We współczesnym świecie zmiany następują w błyskawicznym tempie. Dotyczy to także środowiska informatycznego, gdzie atakujący stale doskonalą swoje techniki, a i obrońcy nie próżnują. Powstają coraz nowsze metody ominięcia barier programowych służących zapewnieniu bezpieczeństwa, a równocześnie ewoluują rozwiązania wykorzystywane w systemach, zapewniających bezpieczeństwo IT.
W imieniu Gynvaela Coldwinda, Przewodniczącego Rady Programowej, zapraszamy do udziału w konferencji Security PWNing Conference. Spotkanie to będzie świetną okazją do zapoznania się z bieżącymi zagrożeniami związanymi z bezpieczeństwem IT, zdobycia nowych umiejętności i doświadczenia oraz wymiany poglądów między atakującymi i obrońcami oraz wspólnej dyskusji o bieżących problemach i nowych możliwościach.
Podczas konferencji wystąpią najlepsi eksperci z Polski i Europy. Swoją wiedzą i doświadczeniem podzielą się z Wami m. in.: James Forshaw, Krzysztof Kotowicz, Marek Marczykowski-Górecki, Mateusz Jurczyk, Piotr Konieczny i Michał Sajdak.
Chcesz wiedzieć wszystko o bezpieczeństwie IT? Zarejestruj się na Security PWNing Conference już dziś!
Program

API documentation is supposed to be an example of clear and precision information so that developers can write effective applications and avoid security pitfalls. Of course certainly when it comes to Windows this isn’t always the case. This presentation will go into some issues I’ve discovered over my years of research which show clear lack of precise security documentation, leading to vulnerable conditions. The API documentation can also be a useful source of assumptions about the behaviour of a system which can be used to develop testing strategies.
This presentation should be interest to attendees who in particular have to develop applications on Microsoft platforms as well as security researchers who like interesting logical vulnerabilities. Not all the bugs are fixed, they continue to be issues with the documentation which will come back to haunt developers for many years to come.
Bezpieczeństwo platformy webowej od zawsze opierało się na Same Origin Policy, jednak owa polityka przeszła w ciągu ostatnich lat sporą ewolucję. Rosnące potrzeby aplikacji webowych spowodowały wysyp nowych funkcji. Powstał HTML5, CORS, Content Security Policy, Fetch API, Service Workers, First-party Cookies czy Per-Page Suborigins, każde z nich wprowadzając subtelne zmiany w klasycznym modelu bezpieczeństwa webowego i operując na żywym organizmie Same Origin Policy. Podczas prezentacji zobaczymy, czy po tych zabiegach SOP wyszła zdrowsza (i dlaczego nie), a także jak wykorzystać tę wiedzę do praktycznych ataków na aplikacje internetowe.
Stary, 16-bitowy format obrazków WMF a także jego odświeżone wersje (EMF, EMF+) nie cieszą się dziś dużą popularnością, lecz błędne byłoby przekonanie, że całkowicie odeszły w zapomnienie i nie są już istotnym wektorem ataku. Pliki te wciąż są wspierane przez przeglądarkę Internet Explorer, są natywnym formatem przechowywania obrazków wektorowych w dokumentach pakietu Microsoft Office, a także grają istotną rolę w procesie buforowania wydruków. Jako zapis graficzny będący w zasadzie listą wywołań funkcji GDI, są one przede wszystkim niezwykle ciekawym i obiecującym celem z perspektywy badacza. Jednym ze znanych odkrytych dotychczas błędów była podatność związana z funkcją SetAbortProc naprawiona w 2005 r., która wykorzystywała udokumentowaną cechę formatu w celu nadpisania wskaźnika na funkcję adresem danych wejściowych, prowadząc do zdalnego wykonania kodu.
Czy GDI i powiązane implementacje zostały od tego czasu gruntownie przebadane? Czy wciąż kryją się w nich równie poważne błędy? Do jakiego stopnia pliki EMF mogą wchodzić w interakcję z systemem operacyjnym? Celem tej prezentacji jest odpowiedzenie na owe pytania poprzez omówienie wyników niedawnych badań autora w tym obszarze, wraz ze szczegółowym opisem procesu odkrywania i exploitacji wielu interesujących podatności załatanych przez firmę Microsoft w ostatnich miesiącach.
Fuzzujesz kod by znaleźć błędy bezpieczeństwa, analizujesz malware, grasz w CTF-y, czy też może debugujesz skomplikowany program? Każde z tych zadań na pewno byłoby nieco prostsze gdybyś mógł w efektywny sposób uzyskać informację na temat tego jak Twój program tak naprawdę się zachowuje: które partie kodu wykonuje i w jakiej kolejności.
Typowe narzędzia oferowane security researcherom oraz programistom, i dostępne w popularnych systemach operacyjnych, bywają albo mało precyzyjne albo też mało wydajne. Dlatego też producenci mikroprocesorów w ostatnich latach zaczęli implementować coraz to bardzie zaawansowane metody śledzenia wykonywanych programów. Te najnowsze pozwalają na śledzenie wykonywanego kodu w czasie już niemalże rzeczywistym.
Przegląd metod zaczniemy od przypomnienia tych najstarszych (od znanego każdemu programiście printf-based debuggingu), lecz szybko przejdziemy do metod najnowszych – opartych o technologie takie jak Intel Processor Trace, ARM CoreSight czy też Branch Trace Store. Pokażemy też praktyczne zastosowania prezentowanych metod.
Podłączenie niezaufanego urządzenia do komputera może mieć nieoczekiwane konsekwencje. Szyna PCI daje dostęp do całej pamięci systemu, szyna USB jest stosunkowo skomplikowana i wiele sterowników (jak i same kontrolery!) zawiera luki. W prelekcji zostaną pokazane zagrożenia jakie niosą ze sobą różne urządzenia i jak można nim przeciwdziałać w Qubes OS. Będzie o VT-d, urządzeniach blokowych, HID, audio i kilku innych. Szczególna uwaga będzie poświęcona niezaufanym urządzeniom wejściowym (mysz, klawiatura).
Ataki socjotechniczne mocno różnią się od klasycznych włamań komputerowych. Kiedy celem ataku są ludzie, a nie oprogramowanie, nigdy nie wiadomo, jak zareagują. A reagują w bardzo nieprzewidywalny sposób. W ramach prelekcji, pokazane zostaną kulisy ataków socjotechnicznych przeprowadzonych przez zespół bezpieczeństwa Niebezpiecznik.pl w latach 2014-2016 w kilku polskich firmach z różnych branż. Wykład będzie przeplatany praktycznymi demonstracjami ataków na żywo (na publiczności i zrzutami ekranów z e-maili jakie faktycznie były wymieniane pomiędzy atakującymi a pracownikami-ofiarami.
W spotkaniu mogą wziąć udział uczestnicy konferencji i inne osoby zainteresowane.
Udział w spotkaniu autorskim jest bezpłatny.
Liczba miejsc jest ograniczona.
Jeśli chcesz:
– zrelaksować się po intensywnym konferencyjnym dniu,
– porozmawiać z innymi uczestnikami i prelegentami,
– nawiązać nowe kontakty,
ZAPRASZAMY NA AFTER PARTY!
Prezentacja zawiera szereg przykładów krytycznych podatności związanych z błędną konfiguracją usług. Zostaną przedstawione szczegóły błędów oraz ich wpływ na bezpieczeństwo systemów. Prelegent zwróci uwagę na najważniejsze aspekty ochrony zasobów firmowych, z perspektywy osób odpowiedzialnych za konfigurację.
W trakcie prezentacji zaprezentowanych zostanie kilkanaście podatności w urządzeniach sieciowych. Hackowanie samochodów, dziury w elektronicznych zabawkach dla dzieci, problemy w kamerach, monitorach czy domowych routerach – to tylko kilka przykładów, które będą omawiane w trakcie prelekcji.
Czym jest Red Teaming ? Czy to nie to samo co pentesty?
Case studies.
Czym jest Purple Teaming ?
Przykłady / doświadczenia.
Instrumentacja jest metodą analizy zachowania aplikacji podczaj jej działania. Polega ona na wstrzyknięciu napisanego przez nas kodu do oryginalnego kodu aplikacji. Metoda ta jest przydatna przy dynamicznej analizie aplikacji do których nie posiadamy kodu źródłowego i aplikacji, które są zabezpieczone przed analizą (debugowaniem/uruchomieniem w środowiskach wirtualnych/deasemblacją/itd.).
Podczas prezentacji, prelegent pokaże, w jaki sposób wykorzystać tę technikę do analizy złośliwego oprogramowania przeznaczonego dla systemów Microsoft Windows ale również do analizy aplikacji mobilnych. Pokaże także przykłady zastosowań dla programów zabezpieczonych narzędziami komercyjnymi czy złośliwym oprogramowaniem wykorzystującym różne techniki obfuskacji (np. Andromeda/Nymaim). Również w przypadku aplikacji mobilnych instrumentacja pozwala nam na śledzenie zachowania aplikacji i jej interakcji z komponentami systemu operacyjnego. Prelegent omówi też kilka najpopularniejszych platform programistycznych umożliwiających budowę własnych narzędzi.
Codilime pracuje nad nowym narzędziem do analizy plików binarnych, które będzie wydane jako open source. Veles ma łączyć w sobie hex editor, deasembler, oraz zaawansowane wizualizacje danych binarnych. Program budujemy w modelu klient-serwer, tak aby można było łatwo rozszerzać jego funkcjonalność za pomocą zewnętrznych pluginów. Chcielibyśmy pokazać prototyp naszego narzędzia, przedstawić nasze pomysły i plany. Bardzo zależy nam też na zebraniu feedbacku uczestników konferencji.
Podatność mobilnej aplikacji finansowej na wyciek danych lub wykonanie niezamierzonych przez użytkownika akcji zagraża długofalowymi konsekwencjami. Mowa tak o utracie środków, jak i np. nieświadomym udziale w praniu brudnych pieniędzy. W prezentacji przedstawione zostaną wyniki badań, jakim pracownicy PGS Software poddają obecnie aplikacje polskich banków działające na smartfonach z systemami Android. Ze wstępnych wyników dowiadujemy się, że już na pierwszy rzut oka dostrzec można liczne błędy w sztuce, jak np. komunikacja przy użyciu niezabezpieczonych połączeń HTTP, obecność debugowego i testowego kodu, próby eskalacji uprawnień do poziomu super użytkownika czy brak reakcji na błędne certyfikaty HTTPS.
Przegląd najpoważniejszych ataków dotykających w ostatnich miesiącach firmy i użytkowników na całym świecie. Przykłady z Polski i ze świata, związki, skutki i prognozy.
Relacja i materiały 2016
Relacje
I edycja Security PWNing Conference odbyła się w Warszawie w dniach 7-8 listopada 2016r.
W konferencji udział wzięło około 300 uczestników, zainteresowanych tematyką bezpieczeństwa informatycznego.
Dziękujemy za zaufanie, jakim nas obdarzyliście, uczestnicząc w tym niepowtarzalnym spotkaniu. Liczymy, że będzie to wydarzenie, które na stałe zagości w Waszych kalendarzach!
OTWARCIE KONFERENCJI
Konferencję otworzył swoim wystąpieniem i poprowadził Gynvael Coldwind.
Gynvael, jako Przewodniczący Rady Programowej, pracował wytrwale od kilku miesięcy, aby program konferencji sprostał Waszym potrzebom i oczekiwaniom, a prezentowane wykłady skupiły się na technicznych aspektach bezpieczeństwa informatycznego.
Wasza ocena, wyrażona w ankietach, jest dowodem na to, że to trudne zadanie udało się wykonać, za co Gynvaelowi bardzo dziękujemy!
PRELEKCJE
Zaproszeni eksperci omówili najnowsze metody omijania barier programowych i zaprezentowali przykłady ciekawych rozwiązań wykorzystywanych w systemach, zapewniających bezpieczeństwo it. Poza ekspertami, wystąpiły także osoby wyłonione w call for papers i Ci, którzy zgłosili swój udział w sesji lightning talks. Wszystkim prelegentom dziękujemy za udział i wsparcie merytoryczne.
Poniżej udostępniamy prezentacje z wybranych prelekcji eksperckich, których wysłuchaliście
podczas Security PWNing Conference 2016.
WIECZÓR AUTORSKI
Spotkanie z autorami książki "Praktyczna inżynieria wsteczna: Metody, techniki i narzędzia" odbyło się na zakończenie pierwszego dnia konferencji. Była to niepowtarzalna okazja, aby porozmawiać twarzą w twarz z autorami książki i zdobyć ich autografy!
ODROBINA ROZRYWKI
Kluczowym elementem każdej konferencji jest jej cześć merytoryczna. Nie mniej ważna jest też atmosfera, jaką tworzymy wspólnie z Wami. Luźny klimat, sprzyjający nawiązywaniu kontaktów i dobrej zabawie, stworzyły gry i dodatkowe atrakcje: zawody minictf, escape room i after party.
Indywidualny mini CTF zorganizowali dla Was reprezentanci polskiej drużyny P4 (obecnie szósty zespół w globalnym rankingu na sezon 2016). Opracowali oni 13 zadań, za rozwiązanie których najlepsi uczestnicy otrzymali książki z autografami autorów.
Zabawy w escape room zorganizował Dom Zagadek, dzięki wsparciu Firmy OVH.
Dla nas była to niezapomniana przygoda, mamy nadzieję, że dla Was również
Miejsce i termin
ul. Bitwy Warszawskiej 1920 r. 19, Warszawa
e-mail: dlugokecka@accata.pl
CALL FOR PARTNERS
Serdecznie zapraszamy do współorganizacji Security PWNing Conference 2016.
Wszystkie firmy zainteresowane współpracą lub oddelegowaniem swoich pracowników do udziału w konferencji, prosimy o kontakt z Agnieszką Borzęcką (agnieszka.borzecka@pwn.pl)
Z prawdziwą radością powitamy w naszym gronie również Twoją firmę!