Bezpieczeństwo komputerowe w praktyce

Security PWNing Conference 2017

Bezpieczeństwo IT jest trudnym, a jednocześnie fascynującym zagadnieniem. Nieustannie toczy się walka pomiędzy atakującymi i broniącymi aplikacje, systemy i sieci komputerowe, w której każda ze stron stara się być choćby o krok przed oponentem.

Jest rok 2017. Uczestnicy konfliktu już teraz posiadają imponujący zestaw narzędzi, technik i rozwiązań – od współczesnych metodyk tworzenia bezpiecznego oprogramowania, mitygacji wbudowanych w kompilatory i systemy, czy coraz częstszego wykorzystania sandboxów/WAFów/IDSów/IPSów po stronie broniącej, aż do coraz powszechniejszej wiedzy o słabych stronach zabezpieczeń i nowatorskich technik wyszukiwania błędów w oprogramowaniu prowadzących do niekończącej się fali 0-dayów po stronie atakujących.

 – – – – – – – – – – – – – – – – – – – – – – – – -

Gynvael zdjęcie

Wspólnie z Gynvaelem Coldwindem, Przewodniczącym Rady Programowej, zapraszamy Was do udziału w II edycji Security PWNing Conference, konferencji poświęconej problematyce współczesnego hackingu oraz bezpieczeństwa IT.

Duży sukces pierwszej edycji i Wasze pozytywne opinie, stały się dla nas impulsem do podjęcia wyzwania organizacji kolejnej konferencji na równie wysokim poziomie merytorycznym.

Security PWNing Conference 2017 jest wydarzeniem podczas którego:

  • koncentrujemy się na technicznych aspektach bezpieczeństwa informatycznego,
  • swoją wiedzą i doświadczeniami dzielą się najlepsi eksperci z Polski i z Europy,
  • solidną dawkę wiedzy uzupełniamy czasem na dyskusje i rozmowy z prelegentami,
  • zapewniamy element rywalizacji poprzez udział w zawodach mini CTF
  • na koniec zapraszamy na after party, które będzie znakomitą okazją zarówno do relaksu, jak i nawiązania nowych kontaktów!

Wszystko to w wyjątkowej atmosferze, pod czujnym okiem, dobrze znanego Wam, Gynvaela Coldwinda.


6-7 Listopada 2017r. >>> NIE MOŻE CIĘ ZABRAKNĄĆ >>> Zarejestruj się już dziś!

 – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – -

ZOSTAŃ WSPÓŁAUTOREM KSIĄŻKI

Czekamy na Twój artykuł!


Wydawnictwo Naukowe PWN zaprasza do współpracy wszystkich, którzy chcieliby zaistnieć, jako współautorzy książki.

W ramach Security PWNing Conference 2017 zostanie wydana publikacja zapowiadająca książkę. Znajdą się w niej wybrane artykuły, a ich rozbudowana wersja będzie stanowiła docelowo fragment książki.

Zgodnie z tematyką przewodnią konferencji, artykuły powinny być związane z szeroko rozumianym bezpieczeństwem informatycznym. Zachęcamy do przesyłania tekstów skierowanych zarówno do osób początkujących w tej branży, jak też profesjonalistów.

SZCZEGÓŁOWE INFORMACJE >>>

WYNIKI CALL FOR PAPERS!

Dziękujemy wszystkim osobom, które zgłosiły swoje prezentacje w ramach Call for Papers. Spośród nadesłanych zgłoszeń Rada Programowa wybrała sześć tematów, które zostaną dołączone do programu konferencji Security PWNing Conference 2017. Gratulujemy zwycięzcom!

When Third-party components become a source of all evil >>> Marcin Noga
Windows privilege escalation using 3rd party services >>> Kacper Szurek
Bytestream in the bloodstream – (nie)bezpieczeństwo urządzeń i systemów medycznych >>> Maciej  Chmielarz
Śledcza analiza transakcji Bitcoin >>> Mariusz Litwin
Zaawansowane techniki odzyskiwania danych – bieżące wyzwania >>> Kacper Kulczycki
ZIP file encryption weaknesses >>> Krystian Matusiewicz i Natalia Wochtman

                                                                                                                                                      

SKŁAD RADY PROGRAMOWEJ

Gynvael Coldwind – http://gynvael.coldwind.pl/
Anna Chałupska –  http://isaca.waw.pl/
Mateusz Jurczyk – http://j00ru.vexillium.org/
Mateusz Kocielski – https://logicaltrust.net/ http://www.akat1.pl/
Borys Łącki – http://bothunters.pl/

Program

6 listopada
10:00-18:00
Otwarcie konferencji
Gynvael Coldwind
Automatyczne wykrywanie błędów ujawnienia pamięci jądra w systemach Windows i Linux
Mateusz Jurczyk
Dude, where's my OPSEC, czyli cyberwpadki i wypadki
Adam Heartle
Hackowanie Prawników
Piotr Konieczny
TBA
Borys Łącki
18:00-19:00
Spotkanie autorskie
20:00-24:00
After party
7 listopada
10:00-17:00
When Third-party components become a source of all evil
Marcin Noga

Twórcy enterprisowych rozwiązań nierzadko korzystają w swoich produktach z third-party components. Bardzo często te komponenty nie posiadają zaimplementowanych podstawowych mitigancji, przestały być rozwijane lub są blednie wykorzystywane przez programistów przez co stają się potencjalnym wektorem ataku.

Podczas prezentacji zostaną omówione błędy w third-party components wykorzystywanych przez takie aplikacje jak Splunk czy Marklogic. Przy okazji omawiania każdego z bugow/bledow przyjrzymy się dokładnie na czym polegał błąd, jakich metod i narzędzi użyto do jego znalezienia oraz jakie było końcowe oddziaływanie na produkt.

 

Windows privilege escalation using 3rd party services
Kacper Szurek

Nowadays we install a lot of software on our computers. But can we really trust them? More and more applications use services which automatically start when the computer boots. Vast majority of them run as SYSTEM. This can lead to security issues.

During the talk, the speaker will explain common mistakes in inter-process communication. Then he will show how he used those bugs in order to exploit real world VPN and UPS programs.

Bytestream in the bloodstream - (nie)bezpieczeństwo urządzeń i systemów medycznych
Maciej Chmielarz

Informatyzacja w medycynie jest równie powszechna, co w innych dziedzinach życia. Liczne raporty wskazują jednak, że znacznie odstaje – na niekorzyść – pod względem bezpieczeństwa stosowanych rozwiązań, szczególnie w zestawieniu z niektórymi innymi branżami o krytycznym znaczeniu. Od urządzeń noszonych przez pacjentów (pomp insulinowych, rozruszników serca), przez urządzenia wykorzystywane w szpitalach (pompy infuzyjne, tomografy komputerowe), aż po usługi dostępne w sieci (rejestracja w placówkach medycznych), we wszystkich znaleźć można podatności, które w świecie IT mogłyby się wydawać chorobami już wyeradykowanymi, niczym czarna ospa w populacji ludzi. Podczas prezentacji dokonam przeglądu podatności w rozwiązaniach z branży medycznej, omówienia modeli zagrożeń i wskazania płaszczyzn ataku.

TBA
Krystian Matusiewicz
Śledcza analiza transakcji Bitcoin
Mariusz Litwin

Czy jesteśmy bezradni w stosunku do przestępców wymuszających okup w Bitcoinach? Do jakiego stopnia kryptowaluta zapewnia anonimowość?

W trakcie swojej prezentacji postaram się odpowiedzieć na powyższe pytania pokazując proces analityczny powiązany z reakcja na incydenty bezpieczeństwa, w których zaistniałą konieczność śledzenia transakcji BTC.

Przedstawię narzędzia – open source, darmowe i komercyjne, metodyki oraz ograniczenia w zakresie analizy i śledzenia transakcji w ramach blockchain. W swojej prezentacji uwzględnię aktualne jak i przewidywane/nadchodzące rozwiązania w ramach sieci Bitcoin.

Prezentacja nie ma na celu wprowadzenia w tematykę i historię kryptowalut – zakładam, że słuchacze rozumieją ich idee i podstawowe pojęcia.

Zaawansowane techniki odzyskiwania danych - bieżące wyzwania
Kacper Kulczycki
Lightning Talks
Zakończenie konferencji
Gynvael Coldwind

Mini CTF

logo-big

Dla wszystkich uczestników konferencji przygotowaliśmy indywidualny konkurs mini CTF.

Za stronę merytoryczną odpowiada polska drużyna P4, czyli piąty zespół w globalnym rankingu na sezon 2016! Wszystkie zadania w konkursie związane będą z security/hackingiem, a za najlepsze rozwiązania zostaną przyznane nagrody J

W ubiegłym roku w zawodach wzięło udział 38 osób, z czego 25 rozwiązało przynajmniej jedno zadanie.

Zapraszamy – sprawdź swe siły w tegorocznej edycji mini CTF.
Gwarantujemy świetną zabawę, a dla najlepszych – nagrody!

WIDEO 2016

Poniżej udostępniamy prezentacje z  wybranych prelekcji eksperckich, których wysłuchaliście
podczas Security PWNing Conference 2016.

Prelegenci

Przewodniczący Rady Programowej

Gynvael_T2Jx9xFCi3,q250

GYNVAEL COLDWIND

Gynvael Coldwind
Programista pasjonat z zamiłowaniem do bezpieczeństwa komputerowego i niskopoziomowych aspektów informatyki, a także autor licznych art... więcej
Adam Haertle
Bezpiecznik z powołania i zamiłowania. Przez ostatnie kilkanaście lat odpowiadał za kwestie bezpieczeństwa informacji w UPC Polska. Od ... więcej
Mateusz Jurczyk
Wicekapitan i współzałożyciel zespołu "Dragon Sector", drużyny należącej do ścisłej czołówki światowej w zawodach typu Security... więcej
Borys Łącki
Od ponad 10 lat testuje bezpieczeństwo IT. Jest autorem kilkudziesięciu prelekcji na branżowych konferencjach m.in. Confidence, SECURE, A... więcej
Anna Chałupska
Security & Risk Advisory Senior Consultant / IT Auditor ISACA Warsaw Chapter, Deloitte Advisory Członek Zarządu Stowarzyszenia ISA... więcej
Maciej Chmielarz
Pracuje w branży IT od 2008 roku. Doświadczenie zdobywał u pracodawców należących do polskiej i światowej czołówki firm technologic... więcej
Kacper Kulczycki
Rówieśnik 5150 IBM PC. Studiował na Wydziale Fizyki UW, kluczowym miejscu dla powstania polskiego Internetu. W Instytucie Podstawowych Pr... więcej
Mariusz Litwin
Jest analitykiem w dziale Zarządzania Ryzykiem Nadużyć EY. Ukończył studia na kierunku Informatyka ze specjalizacją Kryptologia, na wy... więcej
Krystian Matusiewicz
Kryptograf i inżynier bezpieczeństwa z doświadczeniem zarówno w badaniach naukowych jak i przemysłowych projektach dotyczących bezpi... więcej
Marcin Noga
Przez ostatnie 10 lat w branży zdarzało mu się na co dzień reversować trojany bankowe, szkolić za zakresu ataku i ochrony web aplikacj... więcej
Kacper Szurek
Kacper is Detection Engineer at ESET. After work he finds bugs especially in open source software and participates in different bug bounty p... więcej

Uczestnicy

Do udziału w konferencji zapraszamy osoby zainteresowane i zajmujące się bezpieczeństwem informatycznym – praktyków i entuzjastów.

W szczególności zapraszamy:

  • specjalistów ds. bezpieczeństwa IT,
  • osoby odpowiedzialne za administrowanie sieciami i systemami IT,
  • konsultantów i ekspertów bezpieczeństwa informacji,
  • pracowników firm, dostarczających rozwiązania w zakresie bezpieczeństwa IT,
  • studentów,
  • pasjonatów bezpieczeństwa informatycznego. 

Miejsce i termin

6-7 listopada, Warszawa
Novotel Airport Warszawa
ul. 1 Sierpnia 1, 02-134 WARSZAWA
tel.:(+48 )22/5756000
e-mail: http://www.accorhotels.com/pl/hotel-0527-novotel-warszawa-airport/index.shtml

CALL FOR PARTNERS

Serdecznie zapraszamy do współorganizacji Security PWNing Conference 2016.

Wszystkie firmy zainteresowane współpracą lub oddelegowaniem swoich pracowników do udziału w konferencji, prosimy o kontakt z Agnieszką Borzęcką (agnieszka.borzecka@pwn.pl)

Z prawdziwą radością powitamy w naszym gronie również Twoją firmę!

Formularz rejestracyjny

Warunki uczestnictwa

Warunkiem udziału w konferencji jest wypełnienie poniższego formularza zgłoszeniowego oraz akceptacja regulaminu.

Podstawą do uiszczenia należności jest faktura pro forma, która zostanie przesłana w postaci PDF na adres mailowy podany w zgłoszeniu.

Nieuregulowanie faktury pro forma nie jest równoznaczne z rezygnacją z udziału w konferencji.

Zasady składania rezygnacji zostały określone w regulaminie.

W przypadku złożenia rezygnacji w terminie późniejszym niż 14 dni kalendarzowych przed terminem wydarzenia, organizator zastrzega sobie prawo, zgodnie z regulaminem, do obciążenia zamawiającego pełnymi kosztami udziału w konferencji.

 

cvr_piw
Pakiet konferencyjny obejmuje
:

120916676o

  • wstęp na wykłady
  • komplet materiałów konferencyjnych
  • możliwość udziału w mini zawodach CTF
  • przerwy kawowe i lunch
  • after party
  • niepowtarzalną atmosferę  :)

Dodatkowo podczas konferencji umożliwiamy zakup książek PWN z 20% rabatem!
W ofercie m. in. książki autorstwa Gynvaela Coldwinda

Termin

6-7 listopada 2017, Warszawa

Prosimy o wybór opcji

Udział w konferencji
Udział w konferencji + afterparty
Wybierz menu
Menu mięsne
Menu wegetariańskie

Cennik/kod

od 01 lipca 2017
999 PLN
netto + Vat 23%
(do zapłaty: 1228.77 PLN)
od 01 listopada 2017
1199 PLN
netto + Vat 23%
(do zapłaty: 1474.77 PLN)

Warunki zwolnienia z VAT

Tak - oświadczam, że udział w szkoleniu finansowany jest ze środków publicznych
Nie - udział w szkoleniu nie jest finansowy ze środków publicznych

Uczestnicy

Dane do wystawienia faktury VAT

Firma/Instytucja
Osoba fizyczna

Typ płatności

Przelew po otrzymaniu faktury PRO FORMA
Pay-U
Oświadczam, że zapoznałem się z Regulaminem serwisu i akceptuję jego treść.