Bezpieczeństwo komputerowe w praktyce

Security PWNing Conference 2016

           

      We współczesnym świecie zmiany następują w błyskawicznym tempie. Dotyczy to także środowiska informatycznego, gdzie atakujący stale doskonalą swoje techniki, a i obrońcy nie próżnują. Powstają coraz nowsze metody ominięcia barier programowych służących zapewnieniu bezpieczeństwa, a równocześnie ewoluują rozwiązania wykorzystywane w systemach, zapewniających bezpieczeństwo IT.

    Gynvael zdjęcie  W imieniu Gynvaela Coldwinda, Przewodniczącego Rady Programowej, zapraszamy do udziału w konferencji Security PWNing Conference. Spotkanie to będzie świetną okazją do zapoznania się z bieżącymi zagrożeniami związanymi z bezpieczeństwem IT, zdobycia nowych umiejętności i doświadczenia oraz wymiany poglądów między atakującymi i obrońcami oraz wspólnej dyskusji o bieżących problemach i nowych możliwościach.

Podczas konferencji wystąpią najlepsi eksperci z Polski i Europy. Swoją wiedzą i doświadczeniem podzielą się z Wami m. in.: James Forshaw, Krzysztof Kotowicz, Marek Marczykowski-Górecki, Mateusz Jurczyk, Piotr Konieczny i Michał Sajdak.

      Chcesz wiedzieć wszystko o bezpieczeństwie IT? Zarejestruj się na Security PWNing Conference już dziś!

Do udziału w konferencji zapraszamy osoby zainteresowane i zajmujące się bezpieczeństwem informatycznym – praktyków i entuzjastów.

W szczególności zapraszamy:

  • specjalistów ds. bezpieczeństwa IT,
  • osoby odpowiedzialne za administrowanie sieciami i systemami IT,
  • konsultantów i ekspertów bezpieczeństwa informacji,
  • pracowników firm, dostarczających rozwiązania w zakresie bezpieczeństwa IT,
  • studentów,
  • pasjonatów bezpieczeństwa informatycznego. 

Program

7 listopada
09:00-09:50
Rejestracja uczestników
09:50-10:00
Otwarcie konferencji
Gynvael Coldwind
10:00-10:45
Keynote
Gynvael Coldwind
10:45-11:00
Przerwa kawowa
11:00-11:45
Documented to Fail
James Forshaw

API documentation is supposed to be an example of clear and precision information so that developers can write effective applications and avoid security pitfalls. Of course certainly when it comes to Windows this isn’t always the case. This presentation will go into some issues I’ve discovered over my years of research which show clear lack of precise security documentation, leading to vulnerable conditions. The API documentation can also be a useful source of assumptions about the behaviour of a system which can be used to develop testing strategies.

This presentation should be interest to attendees who in particular have to develop applications on Microsoft platforms as well as security researchers who like interesting logical vulnerabilities. Not all the bugs are fixed, they continue to be issues with the documentation which will come back to haunt developers for many years to come.

11:45-12:00
Przerwa kawowa
12:00-12:45
Same Origin Policy – wiwisekcja
Krzysztof Kotowicz

Bezpieczeństwo platformy webowej od zawsze opierało się na Same Origin Policy, jednak owa polityka przeszła w ciągu ostatnich lat sporą ewolucję. Rosnące potrzeby aplikacji webowych spowodowały wysyp nowych funkcji. Powstał HTML5, CORS, Content Security Policy, Fetch API, Service Workers, First-party Cookies czy Per-Page Suborigins, każde z nich wprowadzając subtelne zmiany w klasycznym modelu bezpieczeństwa webowego i operując na żywym organizmie Same Origin Policy. Podczas  prezentacji zobaczymy, czy po tych zabiegach SOP wyszła zdrowsza (i dlaczego nie), a także jak wykorzystać tę wiedzę do praktycznych ataków na aplikacje internetowe.

12:45-13:30
Przerwa lunchowa
13:30-14:15
Graficzny format Windows Metafile: analiza wektorów ataku i najnowszych podatności
Mateusz Jurczyk

Stary, 16-bitowy format obrazków WMF a także jego odświeżone wersje (EMF, EMF+) nie cieszą się dziś dużą popularnością, lecz błędne byłoby przekonanie, że całkowicie odeszły w zapomnienie i nie są już istotnym wektorem ataku. Pliki te wciąż są wspierane przez przeglądarkę Internet Explorer, są natywnym formatem przechowywania obrazków wektorowych w dokumentach pakietu Microsoft Office, a także grają istotną rolę w procesie buforowania wydruków. Jako zapis graficzny będący w zasadzie listą wywołań funkcji GDI, są one przede wszystkim niezwykle ciekawym i obiecującym celem z perspektywy badacza. Jednym ze znanych odkrytych dotychczas błędów była podatność związana z funkcją SetAbortProc naprawiona w 2005 r., która wykorzystywała udokumentowaną cechę formatu w celu nadpisania wskaźnika na funkcję adresem danych wejściowych, prowadząc do zdalnego wykonania kodu.

Czy GDI i powiązane implementacje zostały od tego czasu gruntownie przebadane? Czy wciąż kryją się w nich równie poważne błędy? Do jakiego stopnia pliki EMF mogą wchodzić w interakcję z systemem operacyjnym? Celem tej prezentacji jest odpowiedzenie na owe pytania poprzez omówienie wyników niedawnych badań autora w tym obszarze, wraz ze szczegółowym opisem procesu odkrywania i exploitacji wielu interesujących podatności załatanych przez firmę Microsoft w ostatnich miesiącach.

14:15-14:30
Przerwa kawowa
14:30-15:15
Śledzenie ścieżki wykonania procesu: dla security researchera i programisty
Robert Święcki

Fuzzujesz kod by znaleźć błędy bezpieczeństwa, analizujesz malware, grasz w CTF-y, czy też może debugujesz skomplikowany program? Każde z tych zadań na pewno byłoby nieco prostsze gdybyś mógł w efektywny sposób uzyskać informację na temat tego jak Twój program tak naprawdę się zachowuje: które partie kodu wykonuje i w jakiej kolejności.

Typowe narzędzia oferowane security researcherom oraz programistom, i dostępne w popularnych systemach operacyjnych, bywają albo mało precyzyjne albo też mało wydajne. Dlatego też producenci mikroprocesorów w ostatnich latach zaczęli implementować coraz to bardzie zaawansowane metody śledzenia wykonywanych programów. Te najnowsze pozwalają na śledzenie wykonywanego kodu w czasie już niemalże rzeczywistym.

Przegląd metod zaczniemy od przypomnienia tych najstarszych (od znanego każdemu programiście printf-based debuggingu), lecz szybko przejdziemy do metod najnowszych – opartych o technologie takie jak Intel Processor Trace, ARM CoreSight czy też Branch Trace Store. Pokażemy też praktyczne zastosowania prezentowanych metod.

15:15-15:30
Przerwa kawowa
15:30-16:15
Niekoniecznie zaufane urządzenia i co można z nimi zrobić w Qubes OS
Marek Marczykowski-Górecki

Podłączenie niezaufanego urządzenia do komputera może mieć nieoczekiwane konsekwencje. Szyna PCI daje dostęp do całej pamięci systemu, szyna USB jest stosunkowo skomplikowana i wiele sterowników (jak i same kontrolery!) zawiera luki. W prelekcji zostaną pokazane zagrożenia jakie niosą ze sobą różne urządzenia i jak można nim przeciwdziałać w Qubes OS. Będzie o VT-d, urządzeniach blokowych, HID, audio i kilku innych. Szczególna uwaga będzie poświęcona niezaufanym urządzeniom wejściowym (mysz, klawiatura).

16:15-16:30
Przerwa kawowa
16:30-17:15
Jak wykraść 11 milionów złotych jednym e-mailem?
Piotr Konieczny

Ataki socjotechniczne mocno różnią się od klasycznych włamań komputerowych. Kiedy celem ataku są ludzie, a nie oprogramowanie, nigdy nie wiadomo, jak zareagują. A reagują w bardzo nieprzewidywalny sposób. W ramach prelekcji, pokazane zostaną kulisy ataków socjotechnicznych przeprowadzonych przez zespół bezpieczeństwa Niebezpiecznik.pl w latach 2014-2016 w kilku polskich firmach z różnych branż. Wykład będzie przeplatany praktycznymi demonstracjami ataków na żywo (na publiczności ;) i zrzutami ekranów z e-maili jakie faktycznie były wymieniane pomiędzy atakującymi a pracownikami-ofiarami.

Wieczór autorski
18:00-19:00
Spotkanie z autorami książki "Praktyczna inżynieria wsteczna: Metody, techniki i narzędzia"
7 listopada

W spotkaniu mogą wziąć udział uczestnicy konferencji i inne osoby zainteresowane.

Udział w spotkaniu autorskim jest bezpłatny.

Liczba miejsc jest ograniczona.

ZAPISZ SIĘ!

AFTER PARTY
20:00-23:00
AFTER PARTY
7 listopada

partyJeśli chcesz:

– zrelaksować się po intensywnym konferencyjnym dniu,

– porozmawiać z innymi uczestnikami i prelegentami,

– nawiązać nowe kontakty,

ZAPRASZAMY NA AFTER PARTY!

 

8 listopada
10:00-10:45
Krytyczne błędy konfiguracji
Borys Łącki

Prezentacja zawiera szereg przykładów krytycznych podatności związanych z błędną konfiguracją usług. Zostaną przedstawione szczegóły błędów oraz ich wpływ na bezpieczeństwo systemów. Prelegent zwróci uwagę na najważniejsze aspekty ochrony zasobów firmowych, z perspektywy osób odpowiedzialnych za konfigurację.

10:45-11:00
Przerwa kawowa
11:00-11:45
Hackowanie internetu rzeczy
Michał Sajdak

W trakcie prezentacji zaprezentowanych zostanie kilkanaście podatności w urządzeniach sieciowych. Hackowanie samochodów, dziury w elektronicznych zabawkach dla dzieci, problemy w kamerach, monitorach czy domowych routerach – to tylko kilka przykładów, które będą omawiane w trakcie prelekcji.

11:45-12:00
Przerwa kawowa
12:00-12:45
Purple Teaming - dwie strony Mocy
Dorota Kulas i reenz0h

Czym jest Red Teaming ? Czy to nie to samo co pentesty?

Case studies.

Czym jest Purple Teaming ?

Przykłady / doświadczenia.

12:45-13:00
Analiza aplikacji z wykorzystaniem instrumentacji
Mariusz Burdach

Instrumentacja jest metodą analizy zachowania aplikacji podczaj jej działania. Polega ona na wstrzyknięciu napisanego przez nas kodu do oryginalnego kodu aplikacji. Metoda ta jest przydatna przy dynamicznej analizie aplikacji do których nie posiadamy kodu źródłowego i aplikacji, które są zabezpieczone przed analizą (debugowaniem/uruchomieniem w środowiskach wirtualnych/deasemblacją/itd.).
Podczas prezentacji, prelegent pokaże, w jaki sposób wykorzystać tę technikę do analizy złośliwego oprogramowania przeznaczonego dla systemów Microsoft Windows ale również do analizy aplikacji mobilnych. Pokaże także przykłady zastosowań dla programów zabezpieczonych narzędziami komercyjnymi czy złośliwym oprogramowaniem wykorzystującym różne techniki obfuskacji (np. Andromeda/Nymaim). Również w przypadku aplikacji mobilnych instrumentacja pozwala nam na śledzenie zachowania aplikacji i jej interakcji z komponentami systemu operacyjnego. Prelegent omówi też kilka najpopularniejszych platform programistycznych umożliwiających budowę własnych narzędzi.

13:30-14:15
Przerwa lunchowa
14:15-15:15
Lightning Talks
15:15-15:30
VELES: Nowe narzędzie do analizy plików binarnych
Maciej Pytel i Marcin Kościelnicki

Codilime pracuje nad nowym narzędziem do analizy plików binarnych, które będzie wydane jako open source. Veles ma łączyć w sobie hex editor, deasembler, oraz zaawansowane wizualizacje danych binarnych. Program budujemy w modelu klient-serwer, tak aby można było łatwo rozszerzać jego funkcjonalność za pomocą zewnętrznych pluginów. Chcielibyśmy pokazać prototyp naszego narzędzia, przedstawić nasze pomysły i plany. Bardzo zależy nam też na zebraniu feedbacku uczestników konferencji.

15:30-15:45
Przerwa kawowa
15:45-16:30
Stan bezpieczeństwa aplikacji mobilnych polskich banków
Tomasz Zieliński

Podatność mobilnej aplikacji finansowej na wyciek danych lub wykonanie niezamierzonych przez użytkownika akcji zagraża długofalowymi konsekwencjami. Mowa tak o utracie środków, jak i np. nieświadomym udziale w praniu brudnych pieniędzy. W prezentacji przedstawione zostaną wyniki badań, jakim pracownicy PGS Software poddają obecnie aplikacje polskich banków działające na smartfonach z systemami Android. Ze wstępnych wyników dowiadujemy się, że już na pierwszy rzut oka dostrzec można liczne błędy w sztuce, jak np. komunikacja przy użyciu niezabezpieczonych połączeń HTTP, obecność debugowego i testowego kodu, próby eskalacji uprawnień do poziomu super użytkownika czy brak reakcji na błędne certyfikaty HTTPS.

16:30-16:40
Przerwa kawowa
16:40-17:10
PWN w OVH – case study
Adrian Cieślak i Marcin Ulanecki
17:10-17:55
Realne ataki, realne straty - 2016 w Polsce i na świecie
Adam Haertle

Przegląd najpoważniejszych ataków dotykających w ostatnich miesiącach firmy i użytkowników na całym świecie. Przykłady z Polski i ze świata, związki, skutki i prognozy.

17:55-18:00
Zakończenie konferencji

Relacja i materiały 2016

Relacje

I edycja Security PWNing Conference odbyła się w Warszawie w dniach 7-8 listopada 2016r.
W konferencji udział wzięło około 300 uczestników, zainteresowanych tematyką bezpieczeństwa informatycznego.

 Dziękujemy za zaufanie, jakim nas obdarzyliście, uczestnicząc w tym niepowtarzalnym spotkaniu. Liczymy, że będzie to wydarzenie, które na stałe zagości w Waszych kalendarzach!


OTWARCIE KONFERENCJI

 Konferencję otworzył swoim wystąpieniem i poprowadził Gynvael Coldwind.
Gynvael, jako Przewodniczący Rady Programowej, pracował wytrwale od kilku miesięcy, aby program konferencji sprostał Waszym potrzebom i oczekiwaniom, a prezentowane wykłady skupiły się na technicznych aspektach bezpieczeństwa informatycznego.
Wasza ocena, wyrażona w ankietach, jest dowodem na to, że to trudne zadanie udało się wykonać, za co Gynvaelowi bardzo dziękujemy!

PRELEKCJE

Zaproszeni eksperci omówili najnowsze metody omijania barier programowych i zaprezentowali przykłady ciekawych rozwiązań wykorzystywanych w systemach, zapewniających bezpieczeństwo it. Poza ekspertami, wystąpiły także osoby wyłonione w call for papers i Ci, którzy zgłosili swój udział w sesji lightning talks. Wszystkim prelegentom dziękujemy za udział i wsparcie merytoryczne.
Poniżej udostępniamy prezentacje z  wybranych prelekcji eksperckich, których wysłuchaliście
podczas Security PWNing Conference 2016.  


WIECZÓR AUTORSKI

Spotkanie z autorami książki „Praktyczna inżynieria wsteczna: Metody, techniki i narzędzia” odbyło się na zakończenie pierwszego dnia konferencji. Była to niepowtarzalna okazja, aby porozmawiać twarzą w twarz z autorami książki i zdobyć ich autografy!

 ODROBINA ROZRYWKI

Kluczowym elementem każdej konferencji jest jej cześć merytoryczna. Nie mniej ważna jest też atmosfera, jaką tworzymy wspólnie z Wami. Luźny klimat, sprzyjający nawiązywaniu kontaktów i dobrej zabawie, stworzyły gry i dodatkowe atrakcje: zawody minictf, escape room i after party.

Indywidualny mini CTF zorganizowali dla Was reprezentanci polskiej drużyny P4  (obecnie szósty zespół w globalnym rankingu na sezon 2016). Opracowali oni 13 zadań, za rozwiązanie których najlepsi uczestnicy otrzymali książki z autografami autorów.

Zabawy w escape room zorganizował Dom Zagadek, dzięki wsparciu Firmy OVH.

Dla nas była to niezapomniana przygoda, mamy nadzieję, że dla Was również :)

Już teraz zapraszamy do udziału w II edycji Security PWNing Conference 2017!
Szczegóły wkrótce.

Prelegenci

Przewodniczący Rady Programowej

Gynvael_T2Jx9xFCi3,q250

GYNVAEL COLDWIND

Gynvael Coldwind
Programista pasjonat z zamiłowaniem do bezpieczeństwa komputerowego i niskopoziomowych aspektów informatyki, a także autor licznych art... więcej
James Forshaw
James is a security researcher in Google’s Project Zero. He has been involved with computer hardware and software security for over 10 yea... więcej
Mateusz Jurczyk
Wicekapitan i współzałożyciel zespołu "Dragon Sector", drużyny należącej do ścisłej czołówki światowej w zawodach typu Security... więcej
Piotr Konieczny
Od 12 lat pomaga największym polskim i zagranicznym firmom w zabezpieczaniu sieci oraz serwisów internetowych. Absolwent Glasgow Caledonia... więcej
Krzysztof Kotowicz
Badacz bezpieczeństwa, specjalizujący się w Javascript i nowych technologiach platformy webowej. Autor otwartoźródłowych narzędzi dla... więcej
Borys Łącki
Od ponad 10 lat testuje bezpieczeństwo IT. Jest autorem kilkudziesięciu prelekcji na branżowych konferencjach m.in. Confidence, SECURE, A... więcej
Marek Marczykowski-Górecki
Doświadczony administrator Linux, specjalizujący się w bezpieczeństwie i wirtualizacji. Programista systemowy udzielający się w projek... więcej
Michał Sajdak
Założyciel serwisu sekurak.pl oraz konsultant ds. bezpieczeństwa IT w Securitum. Posiada dziesięcioletnie doświadczenie w zagadnieniach... więcej
Robert Święcki
Badacz problemów z dziedziny bezpieczeństwa komputerowego, szczególnie w zakresie niskopoziomowym oraz systemów operacyjnych. Autor kilk... więcej
Mariusz Burdach
Pracuje w Prevenity gdzie zajmuje się analizami złośliwego oprogramowania, identyfikacją błędów w aplikacjach mobilnych z systemem iO... więcej
Adam Haertle
Miłośnik bezpieczeństwa i prywatności, który nie zawsze stosuje swoje porady w praktyce. Pracuje jako IT Security Officer w UPC, gdzie ... więcej
Marcin Kościelnicki
Senior Software Engineer w Codilime. Programista zainteresowany tematyką inżynierii wstecznej oprogramowania i sprzętu. Pomaga zespołow... więcej
Dorota Kulas
Pracuje w IT od 2001 roku, początkowo jako administrator systemów unixowych, następnie wiele lat jako administrator sieci i analityk ds.... więcej
Maciej Pytel
Technical Leader w Codilime. Programista, fan Pythona. Do niedawna Tech Lead w projekcie cloudowym w CodiLime, teraz zagłębia się w tema... więcej
reenz0h
Wieloletni fan(atyk?) zagadnień związanych z bezpieczeństwem IT, głównie ataków na sieci (protokoły komunikacyjne) oraz systemy oper... więcej
Tomasz Zieliński
Programista, lider zespołu mobilnego w firmie PGS Software. W trakcie kilkunastoletniej kariery pracował nad utrzymaniem oprogramowania fi... więcej

Miejsce i termin

7-8 listopada, Warszawa
Klub ARCO
ul. Bitwy Warszawskiej 1920 r. 19, Warszawa

e-mail: dlugokecka@accata.pl

CALL FOR PARTNERS

Serdecznie zapraszamy do współorganizacji Security PWNing Conference 2016.

Wszystkie firmy zainteresowane współpracą lub oddelegowaniem swoich pracowników do udziału w konferencji, prosimy o kontakt z Agnieszką Borzęcką (agnieszka.borzecka@pwn.pl)

Z prawdziwą radością powitamy w naszym gronie również Twoją firmę!