Konferencja Security PWNing Conference 2017

Bezpieczeństwo IT jest trudnym, a jednocześnie fascynującym zagadnieniem. Nieustannie toczy się walka pomiędzy atakującymi i broniącymi aplikacje, systemy i sieci komputerowe, w której każda ze stron stara się być choćby o krok przed oponentem.

Jest rok 2017. Uczestnicy konfliktu już teraz posiadają imponujący zestaw narzędzi, technik i rozwiązań – od współczesnych metodyk tworzenia bezpiecznego oprogramowania, mitygacji wbudowanych w kompilatory i systemy, czy coraz częstszego wykorzystania sandboxów/WAFów/IDSów/IPSów po stronie broniącej, aż do coraz powszechniejszej wiedzy o słabych stronach zabezpieczeń i nowatorskich technik wyszukiwania błędów w oprogramowaniu prowadzących do niekończącej się fali 0-dayów po stronie atakujących.

Wspólnie z Gynvaelem Coldwindem, Przewodniczącym Rady Programowej, zapraszamy Was do udziału w II edycji Security PWNing Conference, konferencji poświęconej problematyce współczesnego hackingu oraz bezpieczeństwa IT.

Duży sukces pierwszej edycji i Wasze pozytywne opinie, stały się dla nas impulsem do podjęcia wyzwania organizacji kolejnej konferencji na równie wysokim poziomie merytorycznym.

Konferencja Security PWNing Conference 2017 jest wydarzeniem podczas którego:

  • koncentrujemy się na technicznych aspektach bezpieczeństwa informatycznego,
  • swoją wiedzą i doświadczeniami dzielą się najlepsi eksperci z Polski i z Europy,
  • solidną dawkę wiedzy uzupełniamy czasem na dyskusje i rozmowy z prelegentami,
  • zapewniamy element rywalizacji poprzez udział w zawodach mini CTF
  • na koniec zapraszamy na after party, które będzie znakomitą okazją zarówno do relaksu, jak i nawiązania nowych kontaktów!

Wszystko to w wyjątkowej atmosferze, pod czujnym okiem, dobrze znanego Wam, Gynvaela Coldwinda.

Konferencja Security PWNing Conference 2017 skierowana jest do

  • specjalistów ds. bezpieczeństwa IT,
  • osoby odpowiedzialne za administrowanie sieciami i systemami IT,
  • konsultantów i ekspertów bezpieczeństwa informacji,
  • pracowników firm, dostarczających rozwiązania w zakresie bezpieczeństwa IT,
  • studentów,
  • pasjonatów bezpieczeństwa informatycznego.

Konferencja Security PWNing Conference 2017 program 6.11

  • Otwarcie konferencji Gynvael Coldwind
  • Automatyczne wykrywanie błędów ujawnienia pamięci jądra w systemach Windows i Linux Mateusz Jurczyk W jądrach systemów operacyjnych przepełnienia bufora i inne typowe błędy zarządzania pamięcią są zwykle widoczne gołym okiem i mogą zostać wykryte na wiele dobrze znanych sposobów. Inaczej jest w przypadku podatności bezpośrednio związanych z wykorzystaniem przestrzeni adresowej trybu użytkownika jako kanału wymiany danych pomiędzy aplikacją a systemem. Problemy te są zazwyczaj znacznie bardziej subtelne, a przez to mogą pozostać niezauważone przez wiele lat, choć niektóre z nich są równie groźne, co klasyczne błędy w kodzie. Jednym z przykładów takiej subtelnej klasy błędów jest ujawnienie niezainicjalizowanej pamięci jądra (pochodzącej ze stosu lub sterty) do aplikacji działających na prawach zwykłego użytkownika. Z jednej strony dopuszczenie do tego typu małych „wycieków” jest bardzo łatwe dla programisty trybu jądra, a z drugiej nie pozostawiają one po sobie łatwo widocznych śladów, w związku z czym są bardzo rzadko zauważane i naprawiane. W konsekwencji jeszcze do niedawna w powszechnie używanych środowiskach (w szczególności w systemie Windows) roiło się od tego typu luk, które mogły zostać wykorzystane do obejścia systemowych zabezpieczeń (np. KASLR), lub po prostu do ujawnienia wrażliwych danych przetwarzanych w przeszłości przez jądro, takich jak zawartość plików, ruch sieciowy, nazwy okien itp. W celu wykrycia owych wycieków, prelegent stworzył narzędzie opierające się o emulator architektury x86 (Bochs) z dodatkową instrumentacją, która wykonuje pełny taint tracking pamięci jądra. Podejście to doprowadziło do tej pory do odkrycia blisko 40 luk w systemie Windows oraz ponad 10 pomniejszych problemów w jądrze Linux. W niniejszej prelekcji omówiona zostanie architektura wspomnianego projektu, praktyczne doświadczenia związane z jego działaniem oraz sposób eksploitacji najciekawszych podatności.
  • Dude, where's my OPSEC, czyli cyberwpadki i wypadki Adam Heartle W trakcie prezentacji poznamy mniej lub bardziej szczęśliwe przypadki, w których przestępcy, chcący z natury zachować wolność i zgromadzony majątek, popełniali błędy pozwalające na ich identyfikację przez organy ścigania, a czasem także przez detektywów-amatorów. Podczas prelekcji poznamy losy dilerów, włamywaczy, aktywistów i poważnych przestępców i na cudzych błędach nauczymy się, czego w internecie robić nie należy.
  • Hackowanie Prawników Piotr Konieczny Pentesterzy niekiedy muszą balansować na granicy prawa. Warto wiedzieć, jak się zabezpieczyć przed negatywnymi skutkami zarówno autoryzowanych (jak i nieautoryzowanych) testów penetracyjnych. Prezentacja przedstawia kilka ciekawych problemów prawno-technicznych, na jakie natknął się zespół bezpieczeństwa Niebezpiecznik.pl podczas realizacji pentestów, jak i podsunie parę kreatywnych, ale przede wszystkim przetestowanych w boju rozwiązań. Dodatkowo, część prelekcji poświęcona zostanie wybranym, najbardziej interesującym groźbom prawnym kierowanym do redakcji Niebezpiecznika i tego, jak sobie z nimi poradziliśmy, chroniąc OPSEC redaktorów i informatorów.
  • Red teaming w Polsce Borys Łącki W prezentacji zostaną ukazane prawdziwe przykłady z testów penetracyjnych typu RedTeam, w których każdy sposób na kradzież informacji jest dobry. Phishing, złośliwe oprogramowanie, fałszywe domeny, przełamywanie zabezpieczeń fizycznych – to tylko niektóre aspekty poruszane podczas prelekcji. Pokażemy nasze sukcesy oraz porażki, metody ataków oraz dobre praktyki ograniczające możliwość skutecznego ataku wymierzonego w zasoby firmowe.
  • Hardware hacking, czyli o dwóch takich, co chcieli odblokować laptopa Michał Kowalczyk i Sergiusz Bazański Jakiś czas temu w nasze ręce trafiły trzy identyczne laptopy zablokowane hasłami na poziomie BIOSu. Zadanie, które z pozoru wyglądało trywialnie, okazało się wymagać dokładnej analizy procesu startu komputera, obejmującej nie tylko kod BIOSu, ale również osobnego układu na płycie głównej (Embedded Controllera), do którego przeniesione zostały wszystkie funkcje związane z bezpieczeństwem i kryptografią. Podczas prezentacji omówimy wiele różnych problemów napotkanych po drodze, wliczając w to analizę kodu działającego w unreal mode (BIOS) oraz atak side-channel na mikrokontroler by złamać PIN do interfejsu programatora.

Konferencja Security PWNing Conference 2017 program 7.11

  • When Third-party components become a source of all evil Marcin Noga Twórcy enterprisowych rozwiązań nierzadko korzystają w swoich produktach z third-party components. Bardzo często te komponenty nie posiadają zaimplementowanych podstawowych mitigancji, przestały być rozwijane lub są blednie wykorzystywane przez programistów przez co stają się potencjalnym wektorem ataku. Podczas prezentacji zostaną omówione błędy w third-party components wykorzystywanych przez takie aplikacje jak Splunk czy Marklogic. Przy okazji omawiania każdego z bugow/bledow przyjrzymy się dokładnie na czym polegał błąd, jakich metod i narzędzi użyto do jego znalezienia oraz jakie było końcowe oddziaływanie na produkt.
  • Eskalacja uprawnień w systemie Windows z wykorzystaniem oprogramowania VPN Kacper Szurek W dzisiejszych czasach instalujemy wiele aplikacji na naszych komputerach. Ale czy możemy im ufać? Coraz więcej oprogramowania do swojego działania wykorzystuje serwisy, które w większość uruchamiane są z uprawnieniami użytkownika SYSTEM podczas startu systemu operacyjnego. Na prelekcji zaprezentowane zostaną prawdziwe błędy znalezione w różnych programach typu VPN oraz UPS, które prowadzą do uzyskania konta Administratora w systemie Windows.
  • Bytestream in the bloodstream - (nie)bezpieczeństwo urządzeń i systemów medycznych Maciej Chmielarz Informatyzacja w medycynie jest równie powszechna, co w innych dziedzinach życia. Liczne raporty wskazują jednak, że znacznie odstaje – na niekorzyść – pod względem bezpieczeństwa stosowanych rozwiązań, szczególnie w zestawieniu z niektórymi innymi branżami o krytycznym znaczeniu. Od urządzeń noszonych przez pacjentów (pomp insulinowych, rozruszników serca), przez urządzenia wykorzystywane w szpitalach (pompy infuzyjne, tomografy komputerowe), aż po usługi dostępne w sieci (rejestracja w placówkach medycznych), we wszystkich znaleźć można podatności, które w świecie IT mogłyby się wydawać chorobami już wyeradykowanymi, niczym czarna ospa w populacji ludzi. Podczas prezentacji dokonam przeglądu podatności w rozwiązaniach z branży medycznej, omówienia modeli zagrożeń i wskazania płaszczyzn ataku.
  • Krystian Matusiewicz
  • Śledcza analiza transakcji Bitcoin Mariusz Litwin Czy jesteśmy bezradni w stosunku do przestępców wymuszających okup w Bitcoinach? Do jakiego stopnia kryptowaluta zapewnia anonimowość? W trakcie swojej prezentacji postaram się odpowiedzieć na powyższe pytania pokazując proces analityczny powiązany z reakcja na incydenty bezpieczeństwa, w których zaistniałą konieczność śledzenia transakcji BTC. Przedstawię narzędzia – open source, darmowe i komercyjne, metodyki oraz ograniczenia w zakresie analizy i śledzenia transakcji w ramach blockchain. W swojej prezentacji uwzględnię aktualne jak i przewidywane/nadchodzące rozwiązania w ramach sieci Bitcoin. Prezentacja nie ma na celu wprowadzenia w tematykę i historię kryptowalut – zakładam, że słuchacze rozumieją ich idee i podstawowe pojęcia.
  • Zaawansowane techniki odzyskiwania danych - bieżące wyzwania Kacper Kulczycki W trakcie prezentacji zostaną przedstawione kluczowe problemy z jakimi stykają się technicy, zajmujący się odzyskiwaniem danych, w związku z zabezpieczaniem dowodów w postaci cyfrowej, jak i z samym przywracaniem dostępu do utraconych danych. W szczególności omówione zostaną wyzwania jakie stawiają nowe konstrukcje tradycyjnych dysków magnetycznych, nośników opartych o technologię flash, czy technologie stosowane do ochrony danych przed dostępem osób trzecich.

 

Konferencja Security PWNing Conference 2017 prelegenci

  • Gynvael Coldwind Programista pasjonat z zamiłowaniem do bezpieczeństwa komputerowego i niskopoziomowych aspektów informatyki, a także autor licznych art... więcej
  • Sergiusz Bazański Z zawodu administrator systemów, z pasji hardware hacker. Współzałożyciel Warszawskiego Hackerspace'u i gracz Dragon Sector. Miłośnik... więcej
  • Adam Haertle Bezpiecznik z powołania i zamiłowania. Przez ostatnie kilkanaście lat odpowiadał za kwestie bezpieczeństwa informacji w UPC Polska. Od ... więcej
  • Mateusz Jurczyk Wicekapitan i współzałożyciel zespołu "Dragon Sector", drużyny należącej do ścisłej czołówki światowej w zawodach typu Security... więcej
  • Piotr Konieczny Od 13 lat pomaga największym polskim i zagranicznym firmom w zabezpieczaniu sieci oraz serwisów internetowych. Absolwent Glasgow Caledonia... więcej
  • Michał Kowalczyk Wicekapitan zespołu "Dragon Sector" oraz współautor "Praktycznej Inżynierii Wstecznej". Od ponad 10 lat interesuje się inżynierią wst... więcej
  • Borys Łącki Od ponad 10 lat testuje bezpieczeństwo IT. Jest autorem kilkudziesięciu prelekcji na branżowych konferencjach m.in. Confidence, SECURE, A... więcej
  • Maciej Chmielarz Pracuje w branży IT od 2008 roku. Doświadczenie zdobywał u pracodawców należących do polskiej i światowej czołówki firm technologic... więcej
  • Kacper Kulczycki Rówieśnik 5150 IBM PC. Studiował na Wydziale Fizyki UW, kluczowym miejscu dla powstania polskiego Internetu. W Instytucie Podstawowych Pr... więcej
  • Mariusz Litwin Jest analitykiem w dziale Zarządzania Ryzykiem Nadużyć EY. Ukończył studia na kierunku Informatyka ze specjalizacją Kryptologia, na wy... więcej
  • Krystian Matusiewicz Kryptograf i inżynier bezpieczeństwa z doświadczeniem zarówno w badaniach naukowych jak i przemysłowych projektach dotyczących bezpi... więcej
  • Marcin Noga Przez ostatnie 10 lat w branży zdarzało mu się na co dzień reversować trojany bankowe, szkolić za zakresu ataku i ochrony web aplikacj... więcej
  • Kacper Szurek Pracuje w firmie ESET, gdzie zajmuje się analizą i wykrywaniem niebezpiecznego oprogramowania. Prowadzi bloga security.szurek.pl na który... więcej

 

Novotel Airport Warszawa, ul. 1 Sierpnia 1, 02-134 Warszawa

Szczegóły

Początek konferencji 06-11-2017 9:00
Koniec konferencji 07-11-2017 17:00
Cena 599zł
Organizator INSTYTUT PWN
Tagi Konferencja IT 2017, konferencja biznesowa 2017, konferencja Warszawa 2017
Kontakt do organizatora

https://www.instytutpwn.pl/konferencja/pwning/
Rodzaj konferencji konferencja płatna
Typ konferencji biznesowa
Województwo mazowieckie
Miasto Warszawa
Adres Novotel Airport Warszawa, ul. 1 Sierpnia 1, 02-134 Warszawa
Lokalizacja
Warszawa
Warszawa, Polska
Warszawa
599zł
Podziel się informacją:
Informacje dot. plików cookies

ComminT Sp. z o.o. stosuje pliki cookies, które są niezbędne w celu odpowiedniego funkcjonowania ich stron internetowych. Nasza strona internetowa używa plików „Cookies” w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować stronę do Twoich potrzeb. Masz możliwość zmiany ustawień dotyczących plików „Cookies” w przeglądarce, dzięki czemu nie będą zbierane żadne informacje. Dalsze informacje znajdują się w zakładce Polityka prywatności.