Bezpieczeństwo komputerowe w praktyce

Security PWNing Conference 2018

Do konferencji zostało jeszcze:
20
dni
20
godziny
22
minuty
21
sekundy

Bezpieczeństwo IT jest trudnym, a jednocześnie fascynującym zagadnieniem. Nieustannie toczy się walka pomiędzy atakującymi i broniącymi aplikacje, systemy i sieci komputerowe, w której każda ze stron stara się być choćby o krok przed oponentem.

Uczestnicy konfliktu już teraz posiadają imponujący zestaw narzędzi, technik i rozwiązań – od współczesnych metodyk tworzenia bezpiecznego oprogramowania, mitygacji wbudowanych w kompilatory i systemy, czy coraz częstszego wykorzystania sandboxów/WAFów/IDSów/IPSów po stronie broniącej, aż do coraz powszechniejszej wiedzy o słabych stronach zabezpieczeń i nowatorskich technik wyszukiwania błędów w oprogramowaniu prowadzących do niekończącej się fali 0-dayów po stronie atakujących.

 – – – – – – – – – – – – – – – – – – – – – – – – -Gynvael-zdj_C4_99cie

Wspólnie z Gynvaelem Coldwindem, Przewodniczącym Rady Programowej, zapraszamy Was do udziału w III edycjiSecurity PWNing Conference, konferencji poświęconej problematyce współczesnego hackingu oraz bezpieczeństwa IT.

Duży sukces poprzednich edycji i Wasze pozytywne opinie, stały się dla nas impulsem do podjęcia wyzwania organizacji kolejnej konferencji na równie wysokim poziomie merytorycznym.

Security PWNing Conference jest wydarzeniem podczas którego:

  • koncentrujemy się na technicznych aspektach bezpieczeństwa informatycznego,
  • swoją wiedzą i doświadczeniami dzielą się najlepsi eksperci z Polski i z Europy,
  • solidną dawkę wiedzy uzupełniamy czasem na dyskusje i rozmowy z prelegentami,
  • zapewniamy element rywalizacji poprzez udział w zawodach CTF
  • na koniec zapraszamy na after party, które będzie znakomitą okazją zarówno do relaksu, jak i nawiązania nowych kontaktów!

Wszystko to w wyjątkowej atmosferze, pod czujnym okiem, dobrze znanego Wam, Gynvaela Coldwinda.

 – – – – – – – – – – – – – – – – – – – – – – – – -

BanerSecurity-1024x384

988x302_2

WYNIKI CALL FOR PAPERS!

Dziękujemy wszystkim osobom, które zgłosiły swoje prezentacje w ramach Call for Papers.

 Spośród nadesłanych zgłoszeń Rada Programowa wybrała siedem tematów, które zostaną dołączone do programu konferencji Security PWNing Conference 2018.

Niebezpieczne przygody podczas analizy binarek – trochę o fuckupach narzędzi analitycznych i nie tylko  à Kamil Frankowicz

Getting the most from Cyber Security Assessments  à Paweł Krzywicki

Teledildonics – techniczne, etyczne i prawne aspekty bezpieczeństwa podłączonych seks-zabawek à Maciej Chmielarz

Od shella do „shella” w stylu MacGyvera à Reenz0h Black

Programista kluczem do firmy. Exploitacja serwerów GIT à Kacper Szurek

RODO w praktyce – jak wypożyczalnie pojazdów na minuty realizują uprawnienia konsumentów à Tomasz Zieliński

Stary dobry mmap – eksploitacja mmap’a w sterownikach jądra Linux à Mateusz Fruba

SKŁAD RADY PROGRAMOWEJ

Gynvael Coldwind – https://gynvael.coldwind.pl
Piotr Duczyński –  http://isaca.waw.pl
Mateusz Jurczyk – https://j00ru.vexillium.org
Mateusz Kocielski – http://www.akat1.pl, https://logicaltrust.net/
Borys Łącki – http://bothunters.pl

Program

19 listopada
W PROGRAMIE M.IN.

Zapewniamy tłumaczenie symultaniczne z języka polskiego na język angielski!

tlumaczenie

10:00
Hardware RE: hakujemy firmware zamka hotelowego i piszemy lepszy
Michał Leszczyński i Marek Klimowicz

Skoro ludzie piszą własny firmware na routery, to czemu nie przeprogramować hotelowego zamka? Zaprezentujemy techniki reversowania nieudokumentowanego sprzętu oraz możliwości w zakresie samodzielnego przystosowywania oprogramowania. Nie zabraknie również exploitów na tego typu zamki.

Czarnoksiężnicy socjotechniki - najciekawsze sztuczki przestępców
Adam Haertle
PentHertz - Użycie ataków radiowych "Red Team" i w testach penetracyjnych
Sebastian Dudek

Podczas prezentacji pokażemy jak wykorzystać ataki radiowe, aby ominąć istniejące mechanizmy zabezpieczające w trakcie aplikacji Red Team i pentestów. Skoncentrujemy się na aktualnych technologiach wykorzystujących Wi-Fi (Wi-Fi Guest portals, wyposażenia do call conference i Wi-Fi Entreprises), czytniki i karty kontroli dostępu NFC/RFID(Mifare Ultralight/Classic/DESFire, systemy identyfikacji i systemy z niewłaściwym wykorzystaniem kryptografii), piloty i inne urządzenia na sub 1-Ghz, GSM/3G/4G (systemy intercom, alarmy i inne urządzenia IoT), Bluetooth (blokady i inne wyposażenia smart/IoT) a także też i inne niespodzianki. Narzędzia ogólnodostępne jak i te o dostępie  ściśle ograniczonym do użytku wewnętrznego, które stosujemy do realizacji naszych operacji, również zostaną zaprezentowane. Zastosowanie fal radiowych, jednakże, może pociągnąć za sobą kilka komplikacji które naświetlimy również w tej prezentacji, konfrontując teorię z praktyką. No i pokażemy też „triki techniczne” mogące być zastosowane w różnych scenariuszach ataków informatycznych.

TBD
Michał Sajdak
Getting the most from Cyber Security Assessments
Paweł Krzywicki
Low levelowe debugowanie z Pwndbg
Dominik Czarnota

Podczas prelekcji zostanie przedstawione Pwndbg – plugin do GDB ułatwiający debugowanie kodu asemblera, proces inżynierii wstecznej czy znajdywania błędów.

TBD
Piotr Konieczny
-18:00
Arbitrary Code Execution w grach wideo - o hackingu z innej strony
Arkadiusz "Dark Archon" Kamiński

Przyzwyczajeni jesteśmy myśleć o zabezpieczeniach i ich łamaniu z perspektywy abstrakcyjnego, trudnego do zwizualizowania oprogramowania biznesowego. Ale w pewnych kręgach coraz większej popularności nabiera rozrywkowe włamywanie się do kodu gier. Pewni gracze uzyskali zdumiewający poziom zrozumienia zasad rządzących ich ulubionymi tytułami. Do tego stopnia, że wykorzystują ich błędy dla uzyskania lepszych wyników, a nawet nauczyli się je programować po prostu grając. Oto fascynujący świat wykonywania dowolnego kodu w grach wideo.

20:00-23:00
After party
20 listopada
10:00
Od shella do "shella" w stylu MacGyvera
Reenz0h Black

Techniki uruchamiania kodu bez „dotykania” dysku w systemach Windows są dość dobrze opisane i zbadane. Rzadko jednak ten temat jest poruszany w systemach *NIX (w szczególności Linux).

Wyobraź sobie sytuacje: uzyskałeś dostęp do powłoki serwera Linux i chcesz wykonać kolejny krok. Potrzebujesz uruchomić dodatkowa funkcjonalność/narzędzie, ale nie możesz/nie chcesz zostawiać jakichkolwiek artefaktów na dysku skompromitowanej maszyny. Czy można uruchomić swój kod z wykorzystaniem tylko tego, co znajdziesz na serwerze?

Pokaże, jak to zrobić, na kilka różnych sposobów w zależności od konfiguracji zastanej na maszynie ofiary.

Te same techniki mogą posłużyć do obejścia opcji ‚noexec’ ustawionej na partycji.

Niebezpieczne przygody podczas analizy binarek - trochę o fuckupach narzędzi analitycznych i nie tylko
Kamil Frankowicz

Prezentacja będzie dotyczyć błędów we wszelakiej maści narzędziach analitycznych, wspierających oraz bibliotekach użytecznych przy postępowaniu z malware – na każdym etapie analizy: m.in sieciowej, binarnej i etapie późniejszego wykrywania.

Wiele podatności to bardzo podstawowe błędy, które, chyba tylko z pomocą promieniowania kosmicznego, znalazły się w kodzie źródłowym – nie podejrzewałem do tej pory ich twórców o takie rzeczy ;-)

Programista kluczem do firmy. Exploitacja serwerów GIT
Kacper Szurek

Prawie w każdej firmie informatycznej znajduje się serwer GIT. Traktujemy go jako coś oczywistego ale czy zdajemy sobie sprawę, że może stanowić łakomy kąsek dla atakującego? Podczas prezentacji przedstawione zostaną wyniki badań na temat bezpieczeństwa kilku serwerów GIT, które zakończyły się odnalezieniem błędów umożliwiających zdalne wykonanie kodu.

Teledildonics - techniczne, etyczne i prawne aspekty bezpieczeństwa podłączonych seks-zabawek
Maciej Chmielarz

W czasach, kiedy podłączenie elektroniki użytkowej do sieci jest łatwe i tanie, producenci wszelkiego rodzaju urządzeń wprost prześcigają się w dodawaniu tej funkcjonalności do swoich produktów. Jeśli tylko coś ma baterię, to zazwyczaj ma też interfejs bezprzewodowy, aplikację na telefon, serwis w chmurze i związaną z nimi rozległą powierzchnię ataku. Bardzo często, mimo kosztu w postaci dodatkowego zagrożenia, nie przynosi to użytkownikom szczególnej wartości. Wspomniana moda nie ominęła seks-zabawek, które nie tylko komunikują się z aplikacjami i serwisami, ale zbierają też o swoich użytkownikach ogromne ilości intymnych danych. Testowanie bezpieczeństwa w tym obszarze to wrażliwy temat, ze względu na szczególny charakter produktów oraz etyczne i prawne konsekwencje, jakie może nieść ze sobą na przykład włamanie się komuś na osobisty masażer. Podczas prezentacji dokonam omówienia podatności odkrytych w ostatnim czasie w tego typu rozwiązaniach i wiążących się z nimi nietypowych wyzwań dla bezpieczeństwa i prywatności użytkowników. Przedstawię także przemyślenia na temat dalszego rozwoju sytuacji w tej części cyfrowej rzeczywistości.

RODO w praktyce - jak wypożyczalnie pojazdów na minuty realizują uprawnienia konsumentów
Tomasz Zieliński
-18:00
Stary dobry mmap – eksploitacja mmap’a w sterownikach jądra Linux
Mateusz Fruba

Błędy popełniane w implementacji funkcji mmap() w sterownikach jądra Linux zostały odkryte wiele lat temu. Pomimo tego są one nadal powszechne na wielu platformach jak telefony komórkowe, telewizory, routery, systemy serwerowe oraz szeroko pojęte IoT. Przyczyną takiego stanu rzeczy najprawdopodobniej jest brak ogólnodostępnych przewodników omawiających bezpieczne programowanie w przestrzeni jądra Linux. Niejednokrotnie deweloperzy dowiadują się o czyhających na nich niebezpieczeństwach dopiero, gdy ich kod zostanie wystawiony na działanie publicznie dostępnego eksploita a zespół zajmujący się bezpieczeństwem zmusza ich do rozwiązania problemu.

Prezentacja ma na celu zapoznanie słuchacza z procesem budowania w pełni uzbrojonego eksploita wykorzystującego błędy w implementacji funkcji mmap() w sterownikach jądra Linux.

Relacje

 II edycja SECURITY PWNing CONFERENCE 2017 już za nami!

6-7 listopada odbyła się w Warszawie druga edycja konferencji „SECURITY PWNing”, podczas której mieliśmy przyjemność gościć około 320 osób zainteresowanych tematyką bezpieczeństwa informatycznego. Mamy nadzieję, iż dobór tematów i prelegentów oraz poziom ich wstąpień przekonały wszystkich, iż Security PWNing jest już stałym punktem jesiennych wydarzeń z zakresu bezpieczeństwa IT.

Wzorem ubiegłorocznej edycji konferencję otworzył Przewodniczący Rady Programowej, Gynvael Coldwind, który czuwał nad merytoryczną i praktyczną stroną agendy. Zaproszeni eksperci wspólnie z Prelegentami wyłonionymi w ramach CFP podzieli się z uczestnikami konferencji swoją wiedzą i doświadczeniem w obszarze technicznych aspektów bezpieczeństwa informatycznego. Podczas konferencji poruszone zostały m.in. tematy dotyczące hackowania kamer CCTV, problemów prawno-technicznych podczas realizacji pentestów, automatycznego wykrywania błędów ujawnienia pamięci jądra w systemach Windows i Linux, hardware hackingu oraz  przykładów z testów penetracyjnych typu RedTeam. Uczestnicy mogli wysłuchać także prelekcji o (nie)bezpieczeństwie urządzeń i systemów medycznych, śledczej analizie transakcji bitcoin oraz zaawansowanych technikach odzyskiwania danych.

„SECURITY PWNing” to nie tylko potężna dawka technicznej wiedzy, ale i czas na zabawę podczas after party, rozmowy w kuluarach, rywalizację w ramach mini CTF oraz powrót do lat 80 tych i 90 tych ubiegłego wieku w ramach Strefy Gier i Komputerów. Dziękujemy wszystkim uczestnikom, którzy rozwiązywali zadania przygotowane w konkursie mini CTF przygotowanym przez drużynę P4 i serdecznie gratulujemy zwycięzcom!

Pozytywne opinie i głosy zebrane w ankietach stanowią dla nas świetną motywację do pracy nad kolejną edycją, której już nie możemy się doczekać i na którą serdecznie zapraszamy jesienią 2018! Gwarantujemy wysoki poziom techniczny prezentacji i mnóstwo niespodzianek.
Tymczasem zachęcamy do obejrzenia relacji filmowej z tegorocznej konferencji.

Do zobaczenia na III edycji „Security PWNing”!

I edycja Security PWNing Conference odbyła się w Warszawie w dniach 7-8 listopada 2016r.
W konferencji udział wzięło około 300 uczestników, zainteresowanych tematyką bezpieczeństwa informatycznego.

 Dziękujemy za zaufanie, jakim nas obdarzyliście, uczestnicząc w tym niepowtarzalnym spotkaniu. Liczymy, że będzie to wydarzenie, które na stałe zagości w Waszych kalendarzach!


OTWARCIE KONFERENCJI

 Konferencję otworzył swoim wystąpieniem i poprowadził Gynvael Coldwind.
Gynvael, jako Przewodniczący Rady Programowej, pracował wytrwale od kilku miesięcy, aby program konferencji sprostał Waszym potrzebom i oczekiwaniom, a prezentowane wykłady skupiły się na technicznych aspektach bezpieczeństwa informatycznego.
Wasza ocena, wyrażona w ankietach, jest dowodem na to, że to trudne zadanie udało się wykonać, za co Gynvaelowi bardzo dziękujemy!

PRELEKCJE

Zaproszeni eksperci omówili najnowsze metody omijania barier programowych i zaprezentowali przykłady ciekawych rozwiązań wykorzystywanych w systemach, zapewniających bezpieczeństwo it. Poza ekspertami, wystąpiły także osoby wyłonione w call for papers i Ci, którzy zgłosili swój udział w sesji lightning talks. Wszystkim prelegentom dziękujemy za udział i wsparcie merytoryczne.
Poniżej udostępniamy prezentacje z  wybranych prelekcji eksperckich, których wysłuchaliście
podczas Security PWNing Conference 2016.  


WIECZÓR AUTORSKI

Spotkanie z autorami książki "Praktyczna inżynieria wsteczna: Metody, techniki i narzędzia" odbyło się na zakończenie pierwszego dnia konferencji. Była to niepowtarzalna okazja, aby porozmawiać twarzą w twarz z autorami książki i zdobyć ich autografy!

 ODROBINA ROZRYWKI

Kluczowym elementem każdej konferencji jest jej cześć merytoryczna. Nie mniej ważna jest też atmosfera, jaką tworzymy wspólnie z Wami. Luźny klimat, sprzyjający nawiązywaniu kontaktów i dobrej zabawie, stworzyły gry i dodatkowe atrakcje: zawody minictf, escape room i after party.

Indywidualny mini CTF zorganizowali dla Was reprezentanci polskiej drużyny P4  (obecnie szósty zespół w globalnym rankingu na sezon 2016). Opracowali oni 13 zadań, za rozwiązanie których najlepsi uczestnicy otrzymali książki z autografami autorów.

Zabawy w escape room zorganizował Dom Zagadek, dzięki wsparciu Firmy OVH.

Dla nas była to niezapomniana przygoda, mamy nadzieję, że dla Was również :)

Nagrania 2017

Poniżej udostępniamy prezentacje z  wybranych prelekcji eksperckich, których wysłuchaliście
podczas Security PWNing Conference 2017.

Materiały 2017

MATERIA_C5_81Y-e1510570646906

 ———

Udostępniamy także listę artykułów, które znalazły się w publikacji konferencyjnej:

 ———

  • CPU BACKDOOR – CZYLI PO CO WYWAŻAĆ OTWARTE DRZWI – Adam Kostrzewa
  • HASŁA DOSTĘPU - Maciej Chmielarz
  • PWNDBG – INŻYNIERIA WSTECZNA Z GDB – Michalina Oleksy
  • ODZYSKIWANIE DANYCH W KONTEKŚCIE FORMATÓW O ZNANYCH I OTWARTYCH SPECYFIKACJACH - Kacper Kulczycki

 

 GRATULUJEMY AUTOROM!

Prelegenci

Przewodniczący Rady Programowej

Gynvael_T2Jx9xFCi3q250

GYNVAEL COLDWIND

Gynvael Coldwind
Programista pasjonat z zamiłowaniem do bezpieczeństwa komputerowego i niskopoziomowych aspektów informatyki, a także autor licznych art... więcej

ZAWODY CTF

Zawody liczone do klasyfikacji generalnej CTFTime

W ramach konferencji odbędą się zawody CTF organizowane przez zespół Dragon Sector. Konkurs będzie rozgrywany w formule Jeopardy, a zadania będą dotyczyły m.in. inżynierii wstecznej, eksploitacji niskopoziomowej, kryptografii oraz bezpieczeństwa aplikacji webowych.

W zawodach będą mogły wziąć udział 4-osobowe drużyny, a dla najlepszych zespołów przewidziano pulę nagród wynoszącą 17.000 zł.

Ponadto, 29 września odbędzie się online teaser CTF, w którym do wygrania będą m.in. zwroty kosztów zakwaterowania oraz przelotu na główne zawody.

Do udziału zapraszamy wszystkich uczestników konferencji oraz 10 najlepszych drużyn z teasera.

ORGANIZATOR

ds_tlo

SPONSORZY ZAWODÓW

logo_corel_11

Miejsce i termin

19-20 listopada, Warszawa
Warsaw Plaza Hotel
ul. Łączyny 5
tel.:22 431 08 00​
e-mail: wph@warsawplazahotel.pl

CALL FOR PARTNERS

Serdecznie zapraszamy do współorganizacji Security PWNing Conference 2018.

Wszystkie firmy zainteresowane współpracą lub oddelegowaniem swoich pracowników do udziału w konferencji, prosimy o kontakt z Natalią Popiel (natalia.popiel@pwn.pl)

Z prawdziwą radością powitamy w naszym gronie również Twoją firmę!

Formularz rejestracyjny

Warunki uczestnictwa

Warunkiem udziału w konferencji jest wypełnienie poniższego formularza zgłoszeniowego oraz akceptacja regulaminu.

Podstawą do uiszczenia należności jest faktura pro forma, która zostanie przesłana w postaci PDF na adres mailowy podany w zgłoszeniu.

Nieuregulowanie faktury pro forma nie jest równoznaczne z rezygnacją z udziału w konferencji.

Zasady składania rezygnacji zostały określone w regulaminie.

W przypadku złożenia rezygnacji w terminie późniejszym niż 14 dni kalendarzowych przed terminem wydarzenia, organizator zastrzega sobie prawo, zgodnie z regulaminem, do obciążenia zamawiającego pełnymi kosztami udziału w konferencji.

 


Pakiet konferencyjny obejmuje
:

120916676o

  • wstęp na wykłady
  • komplet materiałów konferencyjnych
  • możliwość udziału w zawodach CTF
  • przerwy kawowe i lunch
  • after party
  • niepowtarzalną atmosferę  :)

Dodatkowo podczas konferencji umożliwiamy zakup książek PWN z 20% rabatem!
W ofercie m. in. książki autorstwa Gynvaela Coldwinda

Termin

19-20 listopada 2018, Warszawa

Prosimy o wybór opcji uczestnictwa

Udział w konferencji bez noclegu
konferencja + after party
konferencja (bez after party)
Udział w konferencji z noclegiem (pokój 1 os. na 1 dobę) - dodatkowy koszt 260 zł netto
konferencja + after party + nocleg (pok. 1-os.)
konferencja + nocleg (pok. 1-os.)

Cennik/kod

od 01 lipca 2018
999 PLN
netto + Vat 23%
(do zapłaty: 1228.77 PLN)
od 01 listopada 2018
1199 PLN
netto + Vat 23%
(do zapłaty: 1474.77 PLN)

Warunki zwolnienia z VAT

Tak - oświadczam, że udział w szkoleniu finansowany jest ze środków publicznych
Nie - udział w szkoleniu nie jest finansowy ze środków publicznych

Uczestnicy

Dane do wystawienia faktury VAT

Firma/Instytucja
Osoba fizyczna

Typ płatności

Przelew po otrzymaniu faktury PRO FORMA
Pay-U