Bezpieczeństwo IT jest trudnym, a jednocześnie fascynującym zagadnieniem. Nieustannie powstają nowe zagrożenia dla aplikacji, systemów i sieci komputerowych. Równolegle tworzone są coraz lepsze i skuteczniejsze zabezpieczenia. Specjaliści IT i hackerzy posiadają imponujący zestaw narzędzi, technik i rozwiązań – od współczesnych metodyk tworzenia bezpiecznego oprogramowania, mitygacji wbudowanych w kompilatory i systemy, czy coraz częstszego wykorzystania sandboxów/WAFów/IDSów/IPSów, aż do coraz powszechniejszej wiedzy o słabych stronach zabezpieczeń i nowatorskich technik wyszukiwania błędów w oprogramowaniu prowadzących do niekończącej się fali 0-dayów.
– – – – – – – – – – – – – – – – – – – – – – – – -
Wspólnie z Gynvaelem Coldwindem, Przewodniczącym Rady Programowej, zapraszamy Was do udziału w IV edycji Security PWNing Conference, konferencji poświęconej problematyce współczesnego hackingu oraz bezpieczeństwa IT.
Podczas trzech dotychczasowych edycji Security PWNing Conference, prelegenci i uczestnicy przekazali nam mnóstwo pozytywnych opinii. W spotkaniach wzięło udział łącznie ponad 1 000 specjalistów bezpieczeństwa IT. Jest to dla nas niezwykła motywacja do pracy nad kolejną edycją, której już teraz nie możemy się doczekać i na którą serdecznie zapraszamy!
Trochę wspomnień….
Program


Twórcy defensywnych rozwiązań typu Endpoint Protection czy aplikacji antywirusowych prześcigają się w dostarczaniu coraz to bardziej uniwersalnych produktów do ochrony stacji końcowej.
więcej>>
W tej prezentacji omówimy problemy związane z “PIDami”, czyli identyfikatorami procesów na Linuxie oraz z wirtualnym systemem plików procfs.
więcej>>
Bitlocker jest rozwiązaniem w systemach firmy Microsoft oferującym szyfrowanie dysku systemowego.
W domyślnej konfiguracji klucz szyfrujący przechowywany w TPM jest uwalniany podczas bootowania, a proces szyfrowania jest przezroczysty dla użytkownika.

Rosnąca popularność konteneryzacji stanowi poważne wyzwanie dla zespołów bezpieczeństwa. Bez właściwego rozumienia technologii stojącej za kontenerami analitycy działają po omacku,
więcej>>
W trakcie prelekcji zostaną zaprezentowane aktualne na 2019 rok podatności w aplikacjach webowych. Dobór jest nieco inny niż powszechnie znany OWASP Top Ten – tym razem uczestnicy będą mogli zobaczyć często mniej znane, ale ciekawe i przede wszystkim skuteczne ataki na aplikacje WWW.

Zaprezentowane zostanie bezpieczeństwo IT nie w aspekcie technologicznym, ale w aspekcie socjologicznym. Choroba lub wypadek – ingerencja niezależna od człowieka, której nikt sobie nie życzy – może złamać system zdrowotny osoby, która świadczy usługi bezpieczeństwa systemu IT.

Odwiedzając popularne sklepy ze sprzętem RTV-AGD nie problem znaleźć półki wypełnione po brzegi urządzeniami IoT. Jednym z bardziej popularnych producentów urządzeń domowego użytku (ale nie tylko) jest firma TP-Link.
więcej>>
Podczas prezentacji pokazane zostaną realne przykłady ataków kierunkowanych na kradzież tożsamości (w dużej mierze opartych na socjotechnice) oraz ataków w których stanowiła ona jedynie jeden z etapów.
więcej>>
„Wszystko jest względne” – jak rzekomo miał mawiać pewien wąsaty niemiecki fizyk. Cyberbezpieczeństwo nie jest pod tym zględem wyjątkowe, szczególnie biorąc pod uwagę ilość rozwiązań dostępnych na rynku.

Mówiąc o bezpieczeństwie systemu komputerowego, zazwyczaj myślimy o zabezpieczeniach jądra systemu operacyjnego, bądź aplikacji użytkownika. Jednak w miarę poprawiania mechanizmów bezpieczeństwa w tych komponentach, zainteresowanie hakerów przenosi się w głębsze warstwy stosu oprogramowania – w tym na firmware.
więcej>>
Trusted Platform Module to mały, tajemniczy chip obecny w wielu platformach sprzętowych i obsługiwany przez większość dostępnych na rynku płyt głównych dla platform PC.
więcej>>
Przyzwyczajeni jesteśmy myśleć o zabezpieczeniach i ich łamaniu z perspektywy abstrakcyjnego, trudnego do zwizualizowania oprogramowania biznesowego.
więcej>>Po intensywnym konferencyjnym dniu zapraszamy Was na after party,
które odbędzie się w hotelu Novotel Centrum.
Podczas tego nieformalnego spotkanie będziecie mogli się zrelaksować,
porozmawiać z innymi uczestnikami i prelegentami oraz nawiązać
nowe kontakty biznesowe.
Nie zabraknie pysznych posiłków i dobrej zabawy!

Twórcy złośliwego oprogramowania chętnie sięgają po rozmaite rozwiązania, które mają na celu ochronę ich „produktów” przed statyczną i dynamiczną analizą.
więcej>>
Analitycy malware, administratorzy, devopsi i developerzy mają nawyk „detonacji” różnego oprogramowania (niekoniecznie złośliwego) w specjalizowanych sandbox’ach lub zwyczajnych maszynach wirtualnych.
więcej>>
Nawet solidne rozwiązania bezpieczeństwa można promować wykorzystując niezbyt solidne metody marketingu. Wbrew rekomendacjom naszego działu prawnego bliżej przyjrzymy się kampaniom reklamowym i promocyjnym kilku produktów, które wyróżniają się w tym zakresie na tle konkurencji.

Szukanie błędów w oprogramowaniu nie jest zadaniem trywialnym – zwykle wymaga wielu godzin ręcznego przeglądania kodu źródłowego. Na szczęście istnieją narzędzia, które mogą nam pomóc wskazując ryzykowne konstrukcje i funkcje.
więcej>>
Historia dociekliwego Cyber Józka, który nigdy nie kupuje niczego w ciemno. Przedstawienie koncepcji cybersecurity bill of materials w oparciu o reverse engineering ogólnodostępnego firmware’u dla urządzeń IoT i OT
więcej>>
Modern encryption algorithms are impressively secure – it would take billions of billions of years to break them.


Prezentacja pokazuje analizę przypadku, w którym jedna linia kodu licząca w niestandardowy sposób skrót klucza publicznego RSA mogłą doprowadzić do kompromitacji bezpieczeństwa systemu.
więcej>>
Partnerzy
PARTNERZY ZŁOCI:
-
-
PARTNER:
Dołącz do grona partnerów Security PWNing Conference 2019!
Wszystkie firmy zainteresowane współpracą lub oddelegowaniem swoich pracowników do udziału w konferencji, prosimy o kontakt z Natalią Nowicką natalia.nowicka@pwn.pl
Relacje
Security PWNing CONFERENCE 2019 - rekordowa liczba uczestników

III edycji przeszła do historii!!!
W dniach 19-20 listopada w Warszawie odbyła się trzecia edycja konferencji „SECURITY PWNing”, która zgromadziła rekordową ilość, ponad 400 osób, zainteresowanych tematyką bezpieczeństwa komputerowego w praktyce.
Uczestnicy mogli zapoznać się między innymi ze sposobami hakowania firmware zamków hotelowych, przeprowadzania ataków na sieci bezprzewodowe podczas Red Teamingu oraz otrzymali solidną dawkę informacji na temat tokenów JWT. Nie zabrakło też wiedzy na temat poszukiwania błędów w bankowości elektronicznej, kosztów Red Teamingu, oraz niebezpieczeństw czyhających na statystycznego użytkownika internetu.
Podczas tegorocznej edycji „Security PWNing” uczestnicy mogli wziąć udział w zawodach liczonych do klasyfikacji generalnej CTFTime. Konkurs został zorganizowany przez zespół Dragon Sector - jedną z najlepszych drużyn CTF na świecie. Zwycięskie drużyny, które najsprawniej rozwiązały zadania z zakresu inżynierii wstecznej, eksploitacji niskopoziomowej, kryptografii oraz bezpieczeństwa aplikacji webowych otrzymały nagrody pieniężne.
Po solidnej dawce technicznych informacji uczestnicy konferencji mogli odpocząć, grając w kultowe gry na sprzęcie sprzed kilkunastu–kilkudziesięciu lat. Goście korzystali także z jednego z najbardziej zaawansowanych technologicznie zestawów VR, który przenosił spragnionych dodatkowych wrażeń w obszary rozszerzonej rzeczywistości. Rozmowy w kuluarach i wspólnie spędzony czas na after party były znakomitą okazją do networkingu, i dalszego zgłębiania interesujących zagadnień.
6-7 listopada odbyła się w Warszawie druga edycja konferencji „SECURITY PWNing”, podczas której mieliśmy przyjemność gościć około 320 osób zainteresowanych tematyką bezpieczeństwa informatycznego. Mamy nadzieję, iż dobór tematów i prelegentów oraz poziom ich wstąpień przekonały wszystkich, iż Security PWNing jest już stałym punktem jesiennych wydarzeń z zakresu bezpieczeństwa IT.
Podczas konferencji poruszone zostały m.in. tematy dotyczące hackowania kamer CCTV, problemów prawno-technicznych podczas realizacji pentestów, automatycznego wykrywania błędów ujawnienia pamięci jądra w systemach Windows i Linux, hardware hackingu oraz przykładów z testów penetracyjnych typu RedTeam. Uczestnicy mogli wysłuchać także prelekcji o (nie)bezpieczeństwie urządzeń i systemów medycznych, śledczej analizie transakcji bitcoin oraz zaawansowanych technikach odzyskiwania danych.
„SECURITY PWNing” to nie tylko potężna dawka technicznej wiedzy, ale i czas na zabawę podczas after party, rozmowy w kuluarach, rywalizację w ramach mini CTF oraz powrót do lat 80 tych i 90 tych ubiegłego wieku w ramach Strefy Gier i Komputerów.
OTWARCIE KONFERENCJI
I edycja Security PWNing Conference odbyła się w Warszawie w dniach 7-8 listopada 2016r.
W konferencji udział wzięło około 300 uczestników, zainteresowanych tematyką bezpieczeństwa informatycznego.
PRELEKCJE
Zaproszeni eksperci omówili najnowsze metody omijania barier programowych i zaprezentowali przykłady ciekawych rozwiązań wykorzystywanych w systemach, zapewniających bezpieczeństwo it.
WIECZÓR AUTORSKI
Spotkanie z autorami książki "Praktyczna inżynieria wsteczna: Metody, techniki i narzędzia" odbyło się na zakończenie pierwszego dnia konferencji. Była to niepowtarzalna okazja, aby porozmawiać twarzą w twarz z autorami książki i zdobyć ich autografy!
ODROBINA ROZRYWKI
Kluczowym elementem każdej konferencji jest jej cześć merytoryczna. Nie mniej ważna jest też atmosfera, jaką tworzymy wspólnie z Wami. Luźny klimat, sprzyjający nawiązywaniu kontaktów i dobrej zabawie, stworzyły gry i dodatkowe atrakcje: zawody minictf, escape room i after party.
Dla nas była to niezapomniana przygoda, mamy nadzieję, że dla Was również
Security PWNing CONFERENCE 2019 - rekordowa liczba uczestników

Materiały
- 0daying the 0day detection engine
- Attacking via Linux’s procfs, and Countermeasures for App Developers
- Container forensics
- Podatności 0day w urządzeniach TP-Link
- Po drugiej stronie lustra...
- Łańcuch bezpieczeństwa firmware - od kluczy w krzemie po UEFI Secure Boot
- TPM - bezpieczeństwo systemu za $3.99 + shipping
- Arbitrary Code Execution w grach wideo - o hackingu z innej strony
- Monitorowanie i rozpakowywanie złośliwego oprogramowania na poziomie hypervisora
- Niebezpieczna analiza binarek vol. 2 – schodzimy (prawie) do metalu…
- Automatyzacja wyszukiwania podatności za pomocą Binary Ninja
- Cyber Józka przygody z analizą firmware’u
- Why the biggest problem in cryptography is that it is not used and what we can do about it
Video 2019
Rada programowa
Przewodniczący Rady Programowej
GYNVAEL COLDWIND
Programista pasjonat z zamiłowaniem do bezpieczeństwa komputerowego i niskopoziomowych aspektów informatyki, a także autor licznych artykułów, publikacji, podcastów oraz wystąpień poświęconych tym tematom. W 2013 roku odebrał w Las Vegas (wspólnie z Mateuszem Jurczykiem) nagrodę Pwnie Award w kategorii „Najbardziej innowacyjne badanie naukowe” z dziedziny bezpieczeństwa komputerowego. Współzałożyciel zespołu Dragon Sector”, jednej z najlepszych drużyn CTF na świecie. Od 2010 roku mieszka w Zurychu, gdzie pracuje dla firmy Google jako Senior Software Engineer/Information Security Engineer.
SKŁAD RADY PROGRAMOWEJ
Gynvael Coldwind – https://gynvael.coldwind.pl
Anna Chałupska – http://isaca.waw.pl
Mateusz Jurczyk – https://j00ru.vexillium.org
Mateusz Kocielski – https://logicaltrust.net / http://akat1.pl/
Borys Łącki – https://bothunters.pl
Prelegenci
ZAWODY CTF
Zawody liczone do klasyfikacji generalnej CTFtime
W ramach konferencji odbędą się zawody CTF organizowane przez zespół Dragon Sector. Konkurs będzie rozgrywany w formule Jeopardy, a zadania będą dotyczyły m.in. inżynierii wstecznej, eksploitacji niskopoziomowej, kryptografii oraz bezpieczeństwa aplikacji webowych.
W zawodach będą mogły wziąć udział 4-osobowe drużyny, a dla najlepszych zespołów przewidziano pulę nagród wynoszącą 53.000 zł.
Do udziału zapraszamy wszystkich uczestników konferencji oraz 10 najlepszych drużyn z teasera, który odbył się 21 września.
ORGANIZATOR
SPONSOR PLATYNOWY
SPONSOR ZŁOTY
SPONSORZY
STREFA RELAKSU
Podczas konferencji specjalnie dla Was przygotujemy STREFĘ RELAKSU,
gdzie będziecie mogli w nieformalnej atmosferze nawiązać
cenne relacje biznesowe i skorzystać z wystawy gier i komputerów sprzed lat.
Fundacja Dawne Komputery i Gry zorganizuje dla Was
w pełni interaktywną wystawę – możecie zatem nie tylko obejrzeć sprzęt,
ale też zagrać w gry komputerowe sprzed kilkunastu-kilkudziesięciu lat.
A na czym będzie można grać?
Specjalnie dla Was udostępnimy: Commodore 64, Amiga 500, NES, SNES, Nintendo 64, Sega Master System II, Sega Mega Drive, PONG, Atari 2600, Atari 65XE, Videopac G7000 i komputery klasy PC z win 98/xp.
Materiały 2019 - ROZWIŃ
- 0daying the 0day detection engine
- Attacking via Linux’s procfs, and Countermeasures for App Developers
- Container forensics
- Podatności 0day w urządzeniach TP-Link
- Po drugiej stronie lustra…
- Łańcuch bezpieczeństwa firmware – od kluczy w krzemie po UEFI Secure Boot
- TPM – bezpieczeństwo systemu za $3.99 + shipping
- Arbitrary Code Execution w grach wideo – o hackingu z innej strony
- Monitorowanie i rozpakowywanie złośliwego oprogramowania na poziomie hypervisora
- Niebezpieczna analiza binarek vol. 2 – schodzimy (prawie) do metalu…
- Automatyzacja wyszukiwania podatności za pomocą Binary Ninja
- Cyber Józka przygody z analizą firmware’u
- Why the biggest problem in cryptography is that it is not used and what we can do about it
Miejsce i termin
ul. Marszałkowska 94, 00-510 Warszawa
tel.: 22 596 00 00
BAZA NOCLEGOWA - rozwiń
Z myślą o Państwa wygodzie przygotowujemy bazę noclegów z wynegocjowanymi stawkami z hotelami. Noclegi można rezerwować na hasło „PZWL” w następujących hotelach:
1. Novotel Hotels & Resorts
ul. Marszałkowska 94
00-510 Warszawa
Pokój Standard jednoosobowy: 339 - PLN netto
Pokój Standard dwuosobowy: 369 PLN netto
2. Polonia Palace Hotel
Al. Jerozolimskie 45
00-692 Warsaw
Pokój Standard jednoosobowy: 495,- PLN netto
Pokój Standard dwuosobowy: 495,- PLN netto
https://reservations.travelclick.com/17033?groupID=2561291
3. Hotel Indigo Warsaw Nowy Świat****
ul. Smolna 40
00-375 Warszawa
Pokój Standard jednoosobowy: 480,- PLN netto
Pokój Standard dwuosobowy: 555,- PLN netto
LINK DO REZERWACJI: https://www.hotelindigo.com/redirect?path=asearch&brandCode=IN&localeCode=en®ionCode=1&hotelCode=WAWID&checkInDate=14&checkInMonthYear=102019&checkOutDate=15&checkOutMonthYear=102019&rateCode=6CBARC&_PMID=99801505&GPC=PWN&cn=no&viewfullsite=true
4. Loft Hotel Sen Pszczoły
ul. Piękna 66A
ul. Piękna 21
00-672 Warszawa
Pokój Standard dwuosobowy: 250,- PLN netto
Apartament: 280,- PLN netto
5. HIPSTEL
Hostel & More…
ul. Pańska 67
00-830 Warszawa
Pokój Standard dwuosobowy:
150,- PLN netto
Pokój Standard trzyosobowy:
200,- PLN netto
+ śniadanie 15 PLN
6. Hotel Metropol
ul. Marszałkowska 99A
00-693 Warszawa
Pokój Standard jednoosobowy: 360,- PLN netto
Pokój Standard dwuosobowy: 400,- PLN netto
https://reservations.travelclick.com/17044?groupID=2561302
7. Ibis Budget Warszawa Centrum
ul. Zagórna 1
00-441 Warszawa
Pokój Standard jednoosobowy: 398,- PLN netto
Pokój Standard dwuosobowy: 398,- PLN netto
+ śniadanie 26 PLN
8. PURO Hotel Warszawa Centrum
ul. Widok 9
00-023 Warszawa
Pokój Standard jednoosobowy: 490,- PLN netto
Pokój Standard dwuosobowy: 550,- PLN netto
9. Mercure Warszawa Centrum
Złota 48/54
00-120 Warszawa
Pokój Standard jednoosobowy:
…,- PLN netto
Pokój Standard dwuosobowy:
…,- PLN netto
10. GOLDEN APARTMENTS
Perecka 11
00-849 Warszawa
Pokój Standard jednoosobowy:
250,- PLN netto
Pokój Standard dwuosobowy:
260,- PLN netto
CALL FOR PAPERS - rozwiń
WYNIKI CALL FOR PAPERS!
Dziękujemy wszystkim osobom, które zgłosiły swoje prezentacje w ramach Call for Papers.
Spośród nadesłanych zgłoszeń Rada Programowa wybrała siedem tematów, które zostaną dołączone do programu konferencji Security PWNing Conference 2019.
„Kradzież tożsamości – Jak zmniejszyć skalę ataków i ścigać ich sprawców” – Agnieszka Gryszczyńska
„Niebezpieczna analiza binarek vol. 2 – schodzimy (prawie) do metalu…” – Kamil Frankowicz
„Monitorowanie i rozpakowywanie złośliwego oprogramowania na poziomie hypervisora” – Michał Leszczyński
„CSP – content security pain…tzn. policy – w praktyce” Paweł Czubachowski i Wojciech Lesicki
„Jak nie liczyć skrótu klucza RSA?” – Krystian Matusiewicz
„Cyber Józka przygody z analizą firmware’u” – Dominik Maliński
„Attacking via Linux’s procfs, and Countermeasures for App Developers” – Disconnect3d (Dominik Czarnota)
SKŁAD RADY PROGRAMOWEJ
Gynvael Coldwind – https://gynvael.coldwind.pl
Anna Chałupska – http://isaca.waw.pl
Mateusz Jurczyk – https://j00ru.vexillium.org
Mateusz Kocielski – https://logicaltrust.net / http://akat1.pl/
Borys Łącki – https://bothunters.pl