API documentation is supposed to be an example of clear and precision information so that developers can write effective applications and avoid security pitfalls. Of course certainly when it comes to Windows this isn’t always the case. This presentation will go into some issues I’ve discovered over my years of research which show clear lack of precise security documentation, leading to vulnerable conditions. The API documentation can also be a useful source of assumptions about the behaviour of a system which can be used to develop testing strategies.

This presentation should be interest to attendees who in particular have to develop applications on Microsoft platforms as well as security researchers who like interesting logical vulnerabilities. Not all the bugs are fixed, they continue to be issues with the documentation which will come back to haunt developers for many years to come.

Bezpieczeństwo platformy webowej od zawsze opierało się na Same Origin Policy, jednak owa polityka przeszła w ciągu ostatnich lat sporą ewolucję. Rosnące potrzeby aplikacji webowych spowodowały wysyp nowych funkcji. Powstał HTML5, CORS, Content Security Policy, Fetch API, Service Workers, First-party Cookies czy Per-Page Suborigins, każde z nich wprowadzając subtelne zmiany w klasycznym modelu bezpieczeństwa webowego i operując na żywym organizmie Same Origin Policy. Podczas  prezentacji zobaczymy, czy po tych zabiegach SOP wyszła zdrowsza (i dlaczego nie), a także jak wykorzystać tę wiedzę do praktycznych ataków na aplikacje internetowe.

Stary, 16-bitowy format obrazków WMF a także jego odświeżone wersje (EMF, EMF+) nie cieszą się dziś dużą popularnością, lecz błędne byłoby przekonanie, że całkowicie odeszły w zapomnienie i nie są już istotnym wektorem ataku. Pliki te wciąż są wspierane przez przeglądarkę Internet Explorer, są natywnym formatem przechowywania obrazków wektorowych w dokumentach pakietu Microsoft Office, a także grają istotną rolę w procesie buforowania wydruków. Jako zapis graficzny będący w zasadzie listą wywołań funkcji GDI, są one przede wszystkim niezwykle ciekawym i obiecującym celem z perspektywy badacza. Jednym ze znanych odkrytych dotychczas błędów była podatność związana z funkcją SetAbortProc naprawiona w 2005 r., która wykorzystywała udokumentowaną cechę formatu w celu nadpisania wskaźnika na funkcję adresem danych wejściowych, prowadząc do zdalnego wykonania kodu.

Czy GDI i powiązane implementacje zostały od tego czasu gruntownie przebadane? Czy wciąż kryją się w nich równie poważne błędy? Do jakiego stopnia pliki EMF mogą wchodzić w interakcję z systemem operacyjnym? Celem tej prezentacji jest odpowiedzenie na owe pytania poprzez omówienie wyników niedawnych badań autora w tym obszarze, wraz ze szczegółowym opisem procesu odkrywania i exploitacji wielu interesujących podatności załatanych przez firmę Microsoft w ostatnich miesiącach.

Fuzzujesz kod by znaleźć błędy bezpieczeństwa, analizujesz malware, grasz w CTF-y, czy też może debugujesz skomplikowany program? Każde z tych zadań na pewno byłoby nieco prostsze gdybyś mógł w efektywny sposób uzyskać informację na temat tego jak Twój program tak naprawdę się zachowuje: które partie kodu wykonuje i w jakiej kolejności.

Typowe narzędzia oferowane security researcherom oraz programistom, i dostępne w popularnych systemach operacyjnych, bywają albo mało precyzyjne albo też mało wydajne. Dlatego też producenci mikroprocesorów w ostatnich latach zaczęli implementować coraz to bardzie zaawansowane metody śledzenia wykonywanych programów. Te najnowsze pozwalają na śledzenie wykonywanego kodu w czasie już niemalże rzeczywistym.

Przegląd metod zaczniemy od przypomnienia tych najstarszych (od znanego każdemu programiście printf-based debuggingu), lecz szybko przejdziemy do metod najnowszych – opartych o technologie takie jak Intel Processor Trace, ARM CoreSight czy też Branch Trace Store. Pokażemy też praktyczne zastosowania prezentowanych metod.

Podłączenie niezaufanego urządzenia do komputera może mieć nieoczekiwane konsekwencje. Szyna PCI daje dostęp do całej pamięci systemu, szyna USB jest stosunkowo skomplikowana i wiele sterowników (jak i same kontrolery!) zawiera luki. W prelekcji zostaną pokazane zagrożenia jakie niosą ze sobą różne urządzenia i jak można nim przeciwdziałać w Qubes OS. Będzie o VT-d, urządzeniach blokowych, HID, audio i kilku innych. Szczególna uwaga będzie poświęcona niezaufanym urządzeniom wejściowym (mysz, klawiatura).

Ataki socjotechniczne mocno różnią się od klasycznych włamań komputerowych. Kiedy celem ataku są ludzie, a nie oprogramowanie, nigdy nie wiadomo, jak zareagują. A reagują w bardzo nieprzewidywalny sposób. W ramach prelekcji, pokazane zostaną kulisy ataków socjotechnicznych przeprowadzonych przez zespół bezpieczeństwa Niebezpiecznik.pl w latach 2014-2016 w kilku polskich firmach z różnych branż. Wykład będzie przeplatany praktycznymi demonstracjami ataków na żywo (na publiczności i zrzutami ekranów z e-maili jakie faktycznie były wymieniane pomiędzy atakującymi a pracownikami-ofiarami.

W trakcie prezentacji zaprezentowanych zostanie kilkanaście podatności w urządzeniach sieciowych. Hackowanie samochodów, dziury w elektronicznych zabawkach dla dzieci, problemy w kamerach, monitorach czy domowych routerach – to tylko kilka przykładów, które będą omawiane w trakcie prelekcji.

Czym jest Red Teaming ? Czy to nie to samo co pentesty?

Case studies.

Czym jest Purple Teaming ?

Przykłady / doświadczenia.

Instrumentacja jest metodą analizy zachowania aplikacji podczaj jej działania. Polega ona na wstrzyknięciu napisanego przez nas kodu do oryginalnego kodu aplikacji. Metoda ta jest przydatna przy dynamicznej analizie aplikacji do których nie posiadamy kodu źródłowego i aplikacji, które są zabezpieczone przed analizą (debugowaniem/uruchomieniem w środowiskach wirtualnych/deasemblacją/itd.).
Podczas prezentacji, prelegent pokaże, w jaki sposób wykorzystać tę technikę do analizy złośliwego oprogramowania przeznaczonego dla systemów Microsoft Windows ale również do analizy aplikacji mobilnych. Pokaże także przykłady zastosowań dla programów zabezpieczonych narzędziami komercyjnymi czy złośliwym oprogramowaniem wykorzystującym różne techniki obfuskacji (np. Andromeda/Nymaim). Również w przypadku aplikacji mobilnych instrumentacja pozwala nam na śledzenie zachowania aplikacji i jej interakcji z komponentami systemu operacyjnego. Prelegent omówi też kilka najpopularniejszych platform programistycznych umożliwiających budowę własnych narzędzi.

Codilime pracuje nad nowym narzędziem do analizy plików binarnych, które będzie wydane jako open source. Veles ma łączyć w sobie hex editor, deasembler, oraz zaawansowane wizualizacje danych binarnych. Program budujemy w modelu klient-serwer, tak aby można było łatwo rozszerzać jego funkcjonalność za pomocą zewnętrznych pluginów. Chcielibyśmy pokazać prototyp naszego narzędzia, przedstawić nasze pomysły i plany. Bardzo zależy nam też na zebraniu feedbacku uczestników konferencji.

Podatność mobilnej aplikacji finansowej na wyciek danych lub wykonanie niezamierzonych przez użytkownika akcji zagraża długofalowymi konsekwencjami. Mowa tak o utracie środków, jak i np. nieświadomym udziale w praniu brudnych pieniędzy. W prezentacji przedstawione zostaną wyniki badań, jakim pracownicy PGS Software poddają obecnie aplikacje polskich banków działające na smartfonach z systemami Android. Ze wstępnych wyników dowiadujemy się, że już na pierwszy rzut oka dostrzec można liczne błędy w sztuce, jak np. komunikacja przy użyciu niezabezpieczonych połączeń HTTP, obecność debugowego i testowego kodu, próby eskalacji uprawnień do poziomu super użytkownika czy brak reakcji na błędne certyfikaty HTTPS.

Przegląd najpoważniejszych ataków dotykających w ostatnich miesiącach firmy i użytkowników na całym świecie. Przykłady z Polski i ze świata, związki, skutki i prognozy.