Bezpieczeństwo komputerowe w praktyce

Security PWNing Conference 2017

Do konferencji zostało jeszcze:
20
dni
20
godziny
22
minuty
21
sekundy

Bezpieczeństwo IT jest trudnym, a jednocześnie fascynującym zagadnieniem. Nieustannie toczy się walka pomiędzy atakującymi i broniącymi aplikacje, systemy i sieci komputerowe, w której każda ze stron stara się być choćby o krok przed oponentem.

Jest rok 2017. Uczestnicy konfliktu już teraz posiadają imponujący zestaw narzędzi, technik i rozwiązań – od współczesnych metodyk tworzenia bezpiecznego oprogramowania, mitygacji wbudowanych w kompilatory i systemy, czy coraz częstszego wykorzystania sandboxów/WAFów/IDSów/IPSów po stronie broniącej, aż do coraz powszechniejszej wiedzy o słabych stronach zabezpieczeń i nowatorskich technik wyszukiwania błędów w oprogramowaniu prowadzących do niekończącej się fali 0-dayów po stronie atakujących.

 – – – – – – – – – – – – – – – – – – – – – – – – -

Gynvael zdjęcie

Wspólnie z Gynvaelem Coldwindem, Przewodniczącym Rady Programowej, zapraszamy Was do udziału w II edycji Security PWNing Conference, konferencji poświęconej problematyce współczesnego hackingu oraz bezpieczeństwa IT.

Duży sukces pierwszej edycji i Wasze pozytywne opinie, stały się dla nas impulsem do podjęcia wyzwania organizacji kolejnej konferencji na równie wysokim poziomie merytorycznym.

Security PWNing Conference 2017 jest wydarzeniem podczas którego:

  • koncentrujemy się na technicznych aspektach bezpieczeństwa informatycznego,
  • swoją wiedzą i doświadczeniami dzielą się najlepsi eksperci z Polski i z Europy,
  • solidną dawkę wiedzy uzupełniamy czasem na dyskusje i rozmowy z prelegentami,
  • zapewniamy element rywalizacji poprzez udział w zawodach mini CTF
  • na koniec zapraszamy na after party, które będzie znakomitą okazją zarówno do relaksu, jak i nawiązania nowych kontaktów!

Wszystko to w wyjątkowej atmosferze, pod czujnym okiem, dobrze znanego Wam, Gynvaela Coldwinda.


6-7 Listopada 2017r. >>> NIE MOŻE CIĘ ZABRAKNĄĆ >>> Zarejestruj się już dziś!

 – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – -

ZOSTAŃ WSPÓŁAUTOREM KSIĄŻKI

Czekamy na Twój artykuł!


Wydawnictwo Naukowe PWN zaprasza do współpracy wszystkich, którzy chcieliby zaistnieć, jako współautorzy książki.

W ramach Security PWNing Conference 2017 zostanie wydana publikacja zapowiadająca książkę. Znajdą się w niej wybrane artykuły, a ich rozbudowana wersja będzie stanowiła docelowo fragment książki.

Zgodnie z tematyką przewodnią konferencji, artykuły powinny być związane z szeroko rozumianym bezpieczeństwem informatycznym. Zachęcamy do przesyłania tekstów skierowanych zarówno do osób początkujących w tej branży, jak też profesjonalistów.

SZCZEGÓŁOWE INFORMACJE >>>

WYNIKI CALL FOR PAPERS!

Dziękujemy wszystkim osobom, które zgłosiły swoje prezentacje w ramach Call for Papers. Spośród nadesłanych zgłoszeń Rada Programowa wybrała sześć tematów, które zostaną dołączone do programu konferencji Security PWNing Conference 2017. Gratulujemy zwycięzcom!

When Third-party components become a source of all evil >>> Marcin Noga
Windows privilege escalation using 3rd party services >>> Kacper Szurek
Bytestream in the bloodstream – (nie)bezpieczeństwo urządzeń i systemów medycznych >>> Maciej  Chmielarz
Śledcza analiza transakcji Bitcoin >>> Mariusz Litwin
Zaawansowane techniki odzyskiwania danych – bieżące wyzwania >>> Kacper Kulczycki
TBA>>> Krystian Matusiewicz i Natalia Wochtman

                                                                                                                                                      

SKŁAD RADY PROGRAMOWEJ

Gynvael Coldwind – http://gynvael.coldwind.pl/
Anna Chałupska –  http://isaca.waw.pl/
Mateusz Jurczyk – http://j00ru.vexillium.org/
Mateusz Kocielski – https://logicaltrust.net/ http://www.akat1.pl/
Borys Łącki – http://bothunters.pl/

Program

6 listopada
10:00-18:00
Otwarcie konferencji
Gynvael Coldwind
Automatyczne wykrywanie błędów ujawnienia pamięci jądra w systemach Windows i Linux
Mateusz Jurczyk

W jądrach systemów operacyjnych przepełnienia bufora i inne typowe błędy zarządzania pamięcią są zwykle widoczne gołym okiem i mogą zostać wykryte na wiele dobrze znanych sposobów. Inaczej jest w przypadku podatności bezpośrednio związanych z wykorzystaniem przestrzeni adresowej trybu użytkownika jako kanału wymiany danych pomiędzy aplikacją a systemem. Problemy te są zazwyczaj znacznie bardziej subtelne, a przez to mogą pozostać niezauważone przez wiele lat, choć niektóre z nich są równie groźne, co klasyczne błędy w kodzie.

Jednym z przykładów takiej subtelnej klasy błędów jest ujawnienie niezainicjalizowanej pamięci jądra (pochodzącej ze stosu lub sterty) do aplikacji działających na prawach zwykłego użytkownika. Z jednej strony dopuszczenie do tego typu małych „wycieków” jest bardzo łatwe dla programisty trybu jądra, a z drugiej nie pozostawiają one po sobie łatwo widocznych śladów, w związku z czym są bardzo rzadko zauważane i naprawiane. W konsekwencji jeszcze do niedawna w powszechnie używanych środowiskach (w szczególności w systemie Windows) roiło się od tego typu luk, które mogły zostać wykorzystane do obejścia systemowych zabezpieczeń (np. KASLR), lub po prostu do ujawnienia wrażliwych danych przetwarzanych w przeszłości przez jądro, takich jak zawartość plików, ruch sieciowy, nazwy okien itp. W celu wykrycia owych wycieków, prelegent stworzył narzędzie opierające się o emulator architektury x86 (Bochs) z dodatkową instrumentacją, która wykonuje pełny taint tracking pamięci jądra. Podejście to doprowadziło do tej pory do odkrycia blisko 40 luk w systemie Windows oraz ponad 10 pomniejszych problemów w jądrze Linux. W niniejszej prelekcji omówiona zostanie architektura wspomnianego projektu, praktyczne doświadczenia związane z jego działaniem oraz sposób eksploitacji najciekawszych podatności.

Dude, where's my OPSEC, czyli cyberwpadki i wypadki
Adam Heartle

W trakcie prezentacji poznamy mniej lub bardziej szczęśliwe przypadki, w których przestępcy, chcący z natury zachować wolność i zgromadzony majątek, popełniali błędy pozwalające na ich identyfikację przez organy ścigania, a czasem także przez detektywów-amatorów. Podczas prelekcji poznamy losy dilerów, włamywaczy, aktywistów i poważnych przestępców i na cudzych błędach nauczymy się, czego w internecie robić nie należy.

Hackowanie Prawników
Piotr Konieczny

Pentesterzy niekiedy muszą balansować na granicy prawa. Warto wiedzieć, jak się zabezpieczyć przed negatywnymi skutkami zarówno autoryzowanych (jak i nieautoryzowanych) testów penetracyjnych. Prezentacja przedstawia kilka ciekawych problemów prawno-technicznych, na jakie natknął się zespół bezpieczeństwa Niebezpiecznik.pl podczas realizacji pentestów, jak i podsunie parę kreatywnych, ale przede wszystkim przetestowanych w boju rozwiązań. Dodatkowo, część prelekcji poświęcona zostanie wybranym, najbardziej interesującym groźbom prawnym kierowanym do redakcji Niebezpiecznika i tego, jak sobie z nimi poradziliśmy, chroniąc OPSEC redaktorów i informatorów.

 

Red teaming w Polsce
Borys Łącki

W prezentacji zostaną ukazane prawdziwe przykłady z testów penetracyjnych
typu RedTeam, w których każdy sposób na kradzież informacji jest dobry.
Phishing, złośliwe oprogramowanie, fałszywe domeny, przełamywanie
zabezpieczeń fizycznych – to tylko niektóre aspekty poruszane podczas
prelekcji. Pokażemy nasze sukcesy oraz porażki, metody ataków oraz dobre
praktyki ograniczające możliwość skutecznego ataku wymierzonego w zasoby
firmowe.

Hardware hacking, czyli o dwóch takich, co chcieli odblokować laptopa
Michał Kowalczyk i Sergiusz Bazański
18:00-19:00
Spotkanie autorskie
20:00-24:00
After party
7 listopada
10:00-17:00
When Third-party components become a source of all evil
Marcin Noga

Twórcy enterprisowych rozwiązań nierzadko korzystają w swoich produktach z third-party components. Bardzo często te komponenty nie posiadają zaimplementowanych podstawowych mitigancji, przestały być rozwijane lub są blednie wykorzystywane przez programistów przez co stają się potencjalnym wektorem ataku.

Podczas prezentacji zostaną omówione błędy w third-party components wykorzystywanych przez takie aplikacje jak Splunk czy Marklogic. Przy okazji omawiania każdego z bugow/bledow przyjrzymy się dokładnie na czym polegał błąd, jakich metod i narzędzi użyto do jego znalezienia oraz jakie było końcowe oddziaływanie na produkt.

 

Eskalacja uprawnień w systemie Windows z wykorzystaniem oprogramowania VPN
Kacper Szurek

W dzisiejszych czasach instalujemy wiele aplikacji na naszych komputerach. Ale czy możemy im ufać? Coraz więcej oprogramowania do swojego działania wykorzystuje serwisy, które w większość uruchamiane są z uprawnieniami użytkownika SYSTEM podczas startu systemu operacyjnego. Na prelekcji zaprezentowane zostaną prawdziwe błędy znalezione w różnych programach typu VPN oraz UPS, które prowadzą do uzyskania konta Administratora w systemie Windows.

Bytestream in the bloodstream - (nie)bezpieczeństwo urządzeń i systemów medycznych
Maciej Chmielarz

Informatyzacja w medycynie jest równie powszechna, co w innych dziedzinach życia. Liczne raporty wskazują jednak, że znacznie odstaje – na niekorzyść – pod względem bezpieczeństwa stosowanych rozwiązań, szczególnie w zestawieniu z niektórymi innymi branżami o krytycznym znaczeniu. Od urządzeń noszonych przez pacjentów (pomp insulinowych, rozruszników serca), przez urządzenia wykorzystywane w szpitalach (pompy infuzyjne, tomografy komputerowe), aż po usługi dostępne w sieci (rejestracja w placówkach medycznych), we wszystkich znaleźć można podatności, które w świecie IT mogłyby się wydawać chorobami już wyeradykowanymi, niczym czarna ospa w populacji ludzi. Podczas prezentacji dokonam przeglądu podatności w rozwiązaniach z branży medycznej, omówienia modeli zagrożeń i wskazania płaszczyzn ataku.

TBA
Krystian Matusiewicz
Śledcza analiza transakcji Bitcoin
Mariusz Litwin

Czy jesteśmy bezradni w stosunku do przestępców wymuszających okup w Bitcoinach? Do jakiego stopnia kryptowaluta zapewnia anonimowość?

W trakcie swojej prezentacji postaram się odpowiedzieć na powyższe pytania pokazując proces analityczny powiązany z reakcja na incydenty bezpieczeństwa, w których zaistniałą konieczność śledzenia transakcji BTC.

Przedstawię narzędzia – open source, darmowe i komercyjne, metodyki oraz ograniczenia w zakresie analizy i śledzenia transakcji w ramach blockchain. W swojej prezentacji uwzględnię aktualne jak i przewidywane/nadchodzące rozwiązania w ramach sieci Bitcoin.

Prezentacja nie ma na celu wprowadzenia w tematykę i historię kryptowalut – zakładam, że słuchacze rozumieją ich idee i podstawowe pojęcia.

Zaawansowane techniki odzyskiwania danych - bieżące wyzwania
Kacper Kulczycki

W trakcie prezentacji zostaną przedstawione kluczowe problemy z jakimi stykają się technicy, zajmujący się odzyskiwaniem danych, w związku z zabezpieczaniem dowodów w postaci cyfrowej, jak i z samym przywracaniem dostępu do utraconych danych. W szczególności omówione zostaną wyzwania jakie stawiają nowe konstrukcje tradycyjnych dysków magnetycznych, nośników opartych o technologię flash, czy technologie stosowane do ochrony danych przed dostępem osób trzecich.

Lightning Talks
Zakończenie konferencji
Gynvael Coldwind

Mini CTF

logo-big

Dla wszystkich uczestników konferencji przygotowaliśmy indywidualny konkurs mini CTF.

Za stronę merytoryczną odpowiada polska drużyna P4, czyli piąty zespół w globalnym rankingu na sezon 2016! Wszystkie zadania w konkursie związane będą z security/hackingiem, a za najlepsze rozwiązania zostaną przyznane nagrody J

W ubiegłym roku w zawodach wzięło udział 38 osób, z czego 25 rozwiązało przynajmniej jedno zadanie.

Zapraszamy – sprawdź swe siły w tegorocznej edycji mini CTF.
Gwarantujemy świetną zabawę, a dla najlepszych – nagrody!

WIDEO 2016

Poniżej udostępniamy prezentacje z  wybranych prelekcji eksperckich, których wysłuchaliście
podczas Security PWNing Conference 2016.

Prelegenci

Przewodniczący Rady Programowej

Gynvael_T2Jx9xFCi3,q250

GYNVAEL COLDWIND

Gynvael Coldwind
Programista pasjonat z zamiłowaniem do bezpieczeństwa komputerowego i niskopoziomowych aspektów informatyki, a także autor licznych art... więcej
Adam Haertle
Bezpiecznik z powołania i zamiłowania. Przez ostatnie kilkanaście lat odpowiadał za kwestie bezpieczeństwa informacji w UPC Polska. Od ... więcej
Mateusz Jurczyk
Wicekapitan i współzałożyciel zespołu "Dragon Sector", drużyny należącej do ścisłej czołówki światowej w zawodach typu Security... więcej
Piotr Konieczny
Od 13 lat pomaga największym polskim i zagranicznym firmom w zabezpieczaniu sieci oraz serwisów internetowych. Absolwent Glasgow Caledonia... więcej
Borys Łącki
Od ponad 10 lat testuje bezpieczeństwo IT. Jest autorem kilkudziesięciu prelekcji na branżowych konferencjach m.in. Confidence, SECURE, A... więcej
Anna Chałupska
Security & Risk Advisory Senior Consultant / IT Auditor ISACA Warsaw Chapter, Deloitte Advisory Członek Zarządu Stowarzyszenia ISA... więcej
Maciej Chmielarz
Pracuje w branży IT od 2008 roku. Doświadczenie zdobywał u pracodawców należących do polskiej i światowej czołówki firm technologic... więcej
Kacper Kulczycki
Rówieśnik 5150 IBM PC. Studiował na Wydziale Fizyki UW, kluczowym miejscu dla powstania polskiego Internetu. W Instytucie Podstawowych Pr... więcej
Mariusz Litwin
Jest analitykiem w dziale Zarządzania Ryzykiem Nadużyć EY. Ukończył studia na kierunku Informatyka ze specjalizacją Kryptologia, na wy... więcej
Krystian Matusiewicz
Kryptograf i inżynier bezpieczeństwa z doświadczeniem zarówno w badaniach naukowych jak i przemysłowych projektach dotyczących bezpi... więcej
Marcin Noga
Przez ostatnie 10 lat w branży zdarzało mu się na co dzień reversować trojany bankowe, szkolić za zakresu ataku i ochrony web aplikacj... więcej
Kacper Szurek
Pracuje w firmie ESET, gdzie zajmuje się analizą i wykrywaniem niebezpiecznego oprogramowania. Prowadzi bloga security.szurek.pl na który... więcej

Uczestnicy

Do udziału w konferencji zapraszamy osoby zainteresowane i zajmujące się bezpieczeństwem informatycznym – praktyków i entuzjastów.

W szczególności zapraszamy:

  • specjalistów ds. bezpieczeństwa IT,
  • osoby odpowiedzialne za administrowanie sieciami i systemami IT,
  • konsultantów i ekspertów bezpieczeństwa informacji,
  • pracowników firm, dostarczających rozwiązania w zakresie bezpieczeństwa IT,
  • studentów,
  • pasjonatów bezpieczeństwa informatycznego. 

Miejsce i termin

6-7 listopada, Warszawa
Novotel Airport Warszawa
ul. 1 Sierpnia 1, 02-134 WARSZAWA
tel.:(+48 )22/5756000
e-mail: http://www.accorhotels.com/pl/hotel-0527-novotel-warszawa-airport/index.shtml

CALL FOR PARTNERS

Serdecznie zapraszamy do współorganizacji Security PWNing Conference 2017.

Wszystkie firmy zainteresowane współpracą lub oddelegowaniem swoich pracowników do udziału w konferencji, prosimy o kontakt z Agnieszką Borzęcką (agnieszka.borzecka@pwn.pl)

Z prawdziwą radością powitamy w naszym gronie również Twoją firmę!

Formularz rejestracyjny

Warunki uczestnictwa

Warunkiem udziału w konferencji jest wypełnienie poniższego formularza zgłoszeniowego oraz akceptacja regulaminu.

Podstawą do uiszczenia należności jest faktura pro forma, która zostanie przesłana w postaci PDF na adres mailowy podany w zgłoszeniu.

Nieuregulowanie faktury pro forma nie jest równoznaczne z rezygnacją z udziału w konferencji.

Zasady składania rezygnacji zostały określone w regulaminie.

W przypadku złożenia rezygnacji w terminie późniejszym niż 14 dni kalendarzowych przed terminem wydarzenia, organizator zastrzega sobie prawo, zgodnie z regulaminem, do obciążenia zamawiającego pełnymi kosztami udziału w konferencji.

 

cvr_piw
Pakiet konferencyjny obejmuje
:

120916676o

  • wstęp na wykłady
  • komplet materiałów konferencyjnych
  • możliwość udziału w mini zawodach CTF
  • przerwy kawowe i lunch
  • after party
  • niepowtarzalną atmosferę  :)

Dodatkowo podczas konferencji umożliwiamy zakup książek PWN z 20% rabatem!
W ofercie m. in. książki autorstwa Gynvaela Coldwinda

Termin

6-7 listopada 2017, Warszawa

Prosimy o wybór opcji

Udział w konferencji
Udział w konferencji + afterparty
Wybierz menu
Menu mięsne
Menu wegetariańskie

Cennik/kod

od 01 lipca 2017
999 PLN
netto + Vat 23%
(do zapłaty: 1228.77 PLN)
od 01 listopada 2017
1199 PLN
netto + Vat 23%
(do zapłaty: 1474.77 PLN)

Warunki zwolnienia z VAT

Tak - oświadczam, że udział w szkoleniu finansowany jest ze środków publicznych
Nie - udział w szkoleniu nie jest finansowy ze środków publicznych

Uczestnicy

Dane do wystawienia faktury VAT

Firma/Instytucja
Osoba fizyczna

Typ płatności

Przelew po otrzymaniu faktury PRO FORMA
Pay-U