Program 2015

Image

Wszystkie prezentacje w języku angielskim będą tłumaczone na język polski.

PROGRAM

DZIEŃ 1              Wtorek, 15 września 2015 r.

8:00               9:00

REJESTRACJA UCZESTNIKÓW

9:00               9:15

OTWARCIE KONFERENCJI

Mirosław MAJ / Fundacja Bezpieczna Cyberprzestrzeń

9:15              9:45

Raj_Samani
EWOLUCJA MALWARE’U: ZASADY, JAKIE PRZYJĘTO, ABY ZDJĄĆ BOTNET BEEBONE WE WSPÓŁPRACY ZE ŚWATOWYMI SIŁAMI PORZĄDKOWYMI

Raj SAMANI / Intel Security

Beebone jest przykładem polimorficznego malware’u, czyli takiego, który zmienia swą postać, a nawet działania serwerów, przy każdej kolejnej infekcji. Jego twórcy dokonali w nim zmian, maksymalnie utrudniających jego wykrycie i przeciwdziałanie. Ma cechy charakterystyczne dla 0Day malware, bo typowe moduły używane do tworzenia sygnatur czy uaktualniania czarnych list (np. file hash, control server IP address, itd.) zmieniają się z każdym atakiem, utrudniają obronę i skutecznie rozprzestrzeniają się w sieci. Właśnie dlatego tak dużo się mówi o dokumencie „złap mnie, jeśli potrafisz” opisującym Beebone.
McAfee Labs udało się zbudować automatyczny system, który już chronił przed takimi zagrożeniami  (w ramach McAfee GTI) w momencie, gdy Beebone się pojawił. Obecnie w zoo McAfee Labs znajduje się ponad 5 milionów różnych próbek W32/Worm-AAEH (Beebone) – całkiem dużo jak na jeden botnet. Ta liczba próbek świadczy również o tym, jak szybko malware polimorficzny ewoluuje i jak trudno utrzymywać tempo skutecznej obrony przed nim.

9:45             10:30

Jørgen-WoortmanOperating environment hardening – how to achieve higher level of system resiliency?

Jørgen Woortman  / Microsoft

10:30               11:00

PRZERWA KAWOWA

kawa

11:00               11:40

melanie-rieback

The Naked Hacker: Bringing Radical Transparency into Pentesting

Melanie RIEBACK  / Radically Open Security

 11:40              12:10

bialek-krzysztofO DWÓCH TAKICH, CO OPERATORA REPUTACJĘ NADSZARPNĄĆ CHCIELI – STUDIUM PRZYPADKU

Krzysztof BIAŁEK  / Orange Polska

Na każdym kroku możemy natknąć się na informacje jak powinniśmy się zachowywać w świecie internetu, by nie paść ofiarą oszustów i naciągaczy. Wielu z nas ostrożnie podchodzi do odczytywania korespondencji pochodzącej od nieznajomych nadawców. Zwykle również nie otwieramy podejrzanie wyglądających załączników. Ale co w sytuacji, gdy atakujący umiejętnie podszyje się pod znaną instytucję? Z jakimi konsekwencjami może wiązać się otworzenie jednego maila za dużo?

12:10              13:10

OBIAD

talerz

13:10              13:40

MOstrowskiTPietrzykStudium przypadku – APT29 i Hammertoss

Michał OSTROWSKI, Tomasz PIETRZYK FireEye

Znaczenie ataków określanych jako “state-sponsored” (wspieranych przez rządy) w najbardziej znaczący sposób zaistniało najprawdopodobniej przy okazji publikacji raportu Mandaint na temat APT1. Raport ten ujawniał działania cyberszpiegowskie przeprowadzane przez grupę zlokalizowaną w Chinach. W czasie prezentacji przedstawione będą najnowsze, najbardziej znaczące aktywności związane z cyberszpiegostwem, które zawarte zostały w raporcie na temat grupy APT29. Grupa ta powiązana jest z rosyjską działalnością cyberprzestępczą.

13:40               14:10

J.SantesmasesEwolucja złośliwego kodu, innowacyjny model ochrony przed szkodliwym oprogramowaniem.  Studium przypadku.

Juan SANTESMASES / Panda Security

Koncepcja oparta jest o klasyfikację wszystkich(!) wykonywalnych procesów na skali bezpieczeństwa oraz monitorowanie aplikacji w czasie rzeczywistym. Budowany sukcesywnie od kilku lat katalog procesów liczy ponad 1,2 miliarda pozycji, rozwiązanie gwarantuje stuprocentową ochronę zarówno w przypadku zaawansowanych ataków dedykowanych jak i ataków Zero-Day.  Przedstawimy studium przypadku, pokażemy mierzalne różnice na tle innych modeli zabezpieczeń.

14:10              14:40

OYılmazMasking APT with DDOS

Oğuz YILMAZ / Labris Networks

Intrusion prevention systems have generally a limited packet processing capacity. This processing capacity has easily be filled up with high packet rate ddos attacks using common attack vectors. An infiltration case study will be presented.

14:40               15:10

PRZERWA KAWOWA

kawa

15:10               15:40

R.MatulewiczMeandry Streamingu – przypadki oszustw

Radosław MATULEWICZ / KWP Szczecin

Prezencja dotyczy nowej techniki przestępczej umożliwiającej kradzież sygnału telewizyjnego jaką jest streaming. Omawia poszczególne metody oraz sprzęt wykorzystywany przez osoby popełniające czyny zabronione. Porównuje przedmiotowe zjawisko z sharingiem internetowym oraz wskazuje jego skalę i dochodowość. Prezentacja określa problemy i błędy procesu wykrywczego, głownie w takcie prowadzonych postępowań przygotowawczych jak i postępowań przez sądem.

15:40               16:10

HaertleAlternatywne sieci komunikacji w operacjach partyzanckich (3 case study)

Adam HAERTLE  / ISACA

Rozwiązania telekomunikacyjne Hezbollahu i Hamasu w odpowiedzi na działania wywiadu Izraela, sieci łączności meksykańskich karteli narkotykowych oraz steganografia w publicznym radiu w walce z kolumbijską partyzantką.

16:10           16:40

surgutScrubbing Center – krótka historia narodzin

Krzysztof Surgut / Data Invest

Prezentacja ukaże historię powstania nowego Scrubbing Center w Polsce. Omówione zostaną podstawowe założenia, wymagania i sposób realizacji budowy Scrubbing Center, a także kryteria doboru rozwiązania. Ponadto przedstawione zostanie propedeutyka Scrubbing Center.

16:40          17:10

W.DworakowskiJak zbudować i utrzymać bezpieczną aplikację? Case study włamania do jednego z banków.

Wojciech DWORAKOWSKI / OWASP Polska 

W tym roku media obiegła wiadomość o włamaniu do systemu bankowości internetowej jednego z polskich banków. Przypadek ten jest o tyle ciekawy, że (według opublikowanych informacji) autorem włamania był samodzielnie działający intruz a skutkiem przejęcie kontroli nad serwerami bankowości internetowej, kradzież środków klientów oraz znaczne negatywne skutki dla reputacji banku. W prezentacji przedstawię prawdopodobne sposoby działania intruza, podatności które wykorzystał, ale przede wszystkim będę chciał omówić sposoby i narzędzia które pozwalają na obniżenie ryzyka zaistnienia takich przypadków. Przedstawię narzędzia i materiały OWASP, które pomagają w zbudowaniu i utrzymaniu bezpiecznych aplikacji.

 SOCIAL CASE STUDY NETWORKING
glasswine

PROGRAM

DZIEŃ 2              Środa, 16 września 2015 r.

9:00               9:15

OTWARCIE DRUGIEGO DNIA KONFERENCJI

Mirosław MAJ / Fundacja Bezpieczna Cyberprzestrzeń

9:15               9:55

OCHRONA CYBERPRZESTRZENI RP – REAKCJA KONTROLOWANYCH JEDNOSTEK NA USTALENIA I WNIOSKI SFORMUŁOWANE W RAPORCIE NIK – „REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP”

Tomasz SORDYL / Najwyższa Izba Kontroli

Niespełna rok temu, w trakcie konferencji Security Case Study 2014 generał Marek Bieńkowski przedstawił wstępne wyniki raportu NIK z kontroli podmiotów państwowych z realizacji zadań w zakresie ochrony cyberprzestrzeni RP. Zakres tych wstępnych wniosków w dużej mierze pokrył się z wnioskami z końcowego, oficjalnego raportu, który został opublikowany w czerwcu 2015 roku. Czas na krok do przodu i analizę tego jakie są dalsze losy tak bardzo ważnego tematu dla bezpieczeństwa Państwa. Dyrektor Marek Bieńkowski przedstawi informacje dotyczące reakcji kontrolowanych jednostek na wnioski i rekomendacje NIK. Działania te stanowią bardzo ważną część dalszych działań państwowych związanych z poprawą cyberbezpieczeńtwa.

9:55              10:35

Dawid-GolakB.MigaOSZUSTWA W SERWISIE AUKCYJNYM „OD E-MAILA DO BANKOMATU”

Dawid GOLAK, Błażej MIGA / Allegro

10:35               11:05

R.VinotCHMURA: POUFNOŚĆ JAKO USŁUGA

Raphaël VINOT The Computer Incident Response Center Luxembourg (CIRCL)

W prezentacji zostanie pokazane jak pewna grupa użyła pewnych nietypowych urządzeń do uzyskiwania informacji od dostawców usług chmurowych i ich zasobów sieciowych i zdołała ukryć te informacje w ruchu, który nie wyglądał na podejrzany.

11:05              11:35

PRZERWA KAWOWA

kawa

11:35              12:05

Piotr_CanowieckiCo ekspert do spraw bezpieczeństwa powinien wiedzieć na temat chińskich oszustw gospodarczych dokonywanych za pośrednictwem internetu”

Piotr CANOWIECKIExamineChina.com 

Stadium przypadku czterech najpopularniejszych oszustw, którym ulegają polskie firmy. W każdym z czterech oszustw omówiony zostanie schemat działania przestępców, symptomy które powinny wzbudzić naszą czujność oraz sposoby jak można zmniejszyć ryzyko. We wstępie omówione też zostaną dobre praktyki, które można wdrożyć.
Case study:
– “Big Order Scam”. Oszustwo na duże zamówienie, nie tylko importerzy padają ofiarami.
– „Wyłudzenie przedpłaty.” Kiedy działająca firma nie wysyła towaru za który zapłaciliśmy.
– „Podmiana numeru konta bankowego” Kto i w jaki sposób to robi? Czym są konta OSA, NRA i dlaczego trzeba na nie uważać?
– „Oszustwo na nie istniejącą firmę” Czy strona internetowa świadczy o istnieniu chińskiej firmy?

12:05              12:35

MarcinDudekProtokół Modbus – Stworzony do bycia niebezpiecznym

Marcin DUDEK / ComCERT

Ten protokół przemysłowy, mimo że ma już ponad 30 lat, nadal jest powszechnie używany na świecie. Dynamiczny rozwój „chmury” oddziałuje także na systemy przemysłowe, w tym systemy krytyczne dla funkcjonowania państwa. Niesie to za sobą ogromne wyzwania dla osób zajmujących się bezpieczeństwem, a przestarzały protokół na pewno w tym nie pomaga. Na prawdziwym sprzęcie zostaną zaprezentowane możliwe realistyczne ataki oraz pomysły na obronę na tym najniższym szczeblu.

12:35               13:35

OBIAD

talerz

13:35               14:05

Adolfo-HernándezChasing down bad guys in Android stores

Adolfo HERNÁNDEZ / Eleven Paths

Powszechna komunikacja, spodziewane konsekwencje globalizacji, upowszechnienie urządzeń przenośnych są obecnie najgorętszymi tematami związanymi z bezpieczeństwem informacji. Na ponad 2 miliardy smartfonów na świecie (wg stanu na rok 2014) niemała liczba 16 milionów używanych urządzeń jest zainfekowana, i rośnie w tempie 36% rocznie. Liczba trojanów bankowych na urządzenia mobilne  jest dziewięciokrotnie większa niż rok temu. Zagrożenia w świecie mobilnym rosną nieustannie: konkretne ataki, agresywne adware, fałszywe aplikacje udające działanie prawdziwych tylko po to, aby wykraść informację w celu użycia jej w innej sytuacji. Te zagrożenia są już na tyle długo na rynku, że dotknęły tysięcy użytkowników. Wysoka dynamika rozwoju rynku aplikacji mobilnych i niewiarygodnie szybkie tempo pojawiania się nowych aplikacji spowodowały, że tradycyjne metody walki ze złośliwym oprogramowaniem stanęły na granicy nieskuteczności.

14:05               14:35

 Dawid_Pachowski Patryk_TenderendaMichal_SzklarskiAplikacje Androidowe – niebezpieczne praktyki

Dawid PACHOWSKI, Patryk TENDERENDA, Michał SZKLARSKI / Politechnika Warszawaska

Na prezentacji zostanie pokazane jak łatwo obejść zabezpieczenia aplikacji mobilnej. Przykładem będzie program przechowujący zaszyfrowane notatki, działający w całości na urządzeniu (tj. offline). Prelegenci zdekompilują go, a słuchaczom przedstawią krótką analizę odzyskanego kodu. Omówione zostaną wykryte w nim błędy – nie tylko stricte programistyczne, ale również związane z logiką biznesową. Motywacją prelekcji jest pokazanie jak często programiści (i nie tylko) zapominają o bezpieczeństwie oprogramowania, które tworzą.

14:35               15:05

Z-Duracinska

Jak kryzys może przyczynić się do rozwoju środowiska reakcji na incydenty

Zuzana DURAČINSKÁ / CSIRT.CZ

W wyniku szeregu ataków DDoS, które uderzyły w media, banki i operatorów w Czechach, w 2013 roku, doszło do wielu zmian w czeskim sektorze cyberbezpieczeństwa. Pojawiły się działania, które doprowadziły do zbudowania czegoś, co dziś nazywamy dość silnym środowiskiem cyberbezpieczeństwa. W wyniku tych działań istnieją dziś 22 zespoły CERT/CSIRT, które są oficjalnie rozpoznawane przez Trusted Introducer, oraz szereg innych zespołów, które, choć nie mają oficjalnego statusu, dostarczają bardzo dobrych usług w dziedzinie bezpieczeństwa. Ataki DDoS nie tylko przyczyniły się do rozwoju tak wielu zespołów bezpieczeństwa. W mojej prezentacji przedstawię inne projekty i działania, które są bardzo efektywne w budowie zaufania i współpracy między partnerami.

15:05               15:30

WWiewiorowski

Obowiązek zgłaszania incydentow bezpieczeństwa w nowych ramach prawnych ochrony dany w UE – prezentacja video

Wojciech WIEWIÓROWSKI / Zastępca Europejskiego Inspektora Ochrony Danych

15:30              15:45

TomaszChlebowskiMajPOLSKA OBYWATELSKA CYBERARMIA – OFICJALNA INAUGURACJA INICJATYWY

PolskaObywatelskaCyberobronaTomasz CHLEBOWSKI, Mirosław MAJ
Fundacja Bezpieczna Cyberprzestrzeń

15:45               16:45

Polska Obywatelska Cyberarmia – panel dyskusyjny

PANELIŚCI:
Andrzej Zybertowiczdoradca Szefa Biura Bezpieczeństwa Narodowego i Prezydenta RP
Maciej PyznarRządowe Centrum Bezpieczeństwa
Przedstawiciel MON
Mirosław Maj – Fundacja Bezpieczna Cyberprzestrzeń

16:45              

Zakończenie konferencji – losowanie nagród

WARSZTATY

                          14 września 2015 r.

WARSZTAT 1 – CERT GAMES 14 WRZEŚNIACertGames

Ćwiczenia prowadzone przez zwycięską drużynę Cyber Europe 2014/ ComCERT.PL  (więcej na ten temat)  

Krystian Kochanowski
Dawid Osojca

CERT Games to ćwiczenia z zakresu obrony kluczowej dla organizacji infrastruktury teleinformatycznej.

1. Cel ćwiczenia:

Celem przeprowadzanego ćwiczenia jest kształtowanie dobrych nawyków i praktyk w zakresie obsługi incydentów oraz odpierania ataków na infrastrukturę informatyczną. W ćwiczeniu uczestnicy dostają do dyspozycji gotową infrastrukturę w której w skład wchodzą między innymi usługi takie jak: serwer www, serwer poczty, serwer plików czy serwer DNS. Zadaniem uczestników warsztatów będzie próba obrony własnych zasobów wszelkimi możliwymi defensywnymi technikami.Podczas ćwiczenia wymagana będzie od biorących w nim udział zespołów umiejętność przeprowadzenia działań polegających na poprawnym zabezpieczeniu powierzonej im infrastruktury oraz wykrywania ataków i szybkiego podejmowania decyzji stosownie do zaistniałego zagrożenia. Dodatkowym walorem ćwiczenia jest możliwość oceny zdolności wydelegowanych osób do pracy grupowej i zespołowego rozwiązywania problemów. Przez cały czas trwania ćwiczenia broniący się zespół jest oceniany co pozwoli na koniec w wymierny sposób ocenić skuteczność działań podejmowanych przez zespół. Ćwiczenie kończy się podsumowaniem wyników biorących w nim udział zespołów oraz dodatkowym panelem dyskusyjnym mającym na celu dyskusję nad podjętymi przez zespół działaniami oraz wyłonienie najlepszej strategii postępowania.

2. Warsztaty przeznaczone są dla:

  • administratorów systemów informatycznych
  • specjalistów ds. bezpieczeństwa

3. Zakres warsztatów obejmuje:

  • wykrywanie ataków na chronioną infrastrukturę
  • wykrywanie słabości konfiguracji i podatnych usług
  • analiza logów i ruchu sieciowego
  • system hardening

4. Wymagania dla osób biorących udział w warsztatach:

  • podstawowa znajomość administracji systemami Linuks
  • znajomość protokołów sieciowych i umiejętność analizy ruchu sieciowego
  • podstawowa wiedza z zakresu bezpieczeństwa IT
  • umiejętność analizy logów dla popularnych usług sieciowych

5. Wymagania sprzętowe dla uczestników:

  • własny laptop z kartą ethernet lub WiFi
  • zainstalowane oprogramowanie: – OpenVPN – klient VNC – klient ssh – przeglądarka internetowa

Wszelkie pytania dotyczące warsztatów można przesyłać na adres: scs-workshop-1@securitycasestudy.pl.