Abstrakty

W tym miejscu zebraliśmy dla Was abstrakty ze wszystkich edycji #BSidesWarsaw. Zobaczcie o czym macie okazję posłuchać podczas wystąpień naszych prelegentów.



Mariusz Kapusta

Jak być PM Ninja w każdym projekcie


Piotr Głaska

Jak cyberprzestępcy wykorzystują DNS

W trakcie prezentacji na bazie wielu przykładów zostanie omówione wykorzystanie protokołu DNS na różnych etapach intrusion kill chain. Szczególny nacisk zostanie położony na zastosowanie DNS jako kanału do komunikacji C2 i do eksfiltracji danych. Poruszony zostanie również temat świeżych domen, algorytmów DGA, Dictionary DGA, domen lookalike. Pokrótce omówione zostaną możliwości ochrony przed takimi technikami.


Borys Łącki

Ataki socjotechniczne w praktyce

Zostaną przedstawione przykłady ataków socjotechnicznych wykonanych podczas testów bezpieczeństwa. Prelegent opowie o tym jak się bronić i jak reagować podczas incydentów bezpieczeństwa.


Kamil Frankowicz

Trzy lata fuzzingu... I czy coś to zmieniło?

W obszarze fuzzingu jest lepiej niż kiedyś - to na pewno: OSS-Fuzz, większa świadomość branży, wejście w biznes dużych graczy np. Microsoft. Warto jednak się zastanowić, czy aby nie utknęliśmy w martwym punkcie. Może czas przenieść fokus z udoskonaleń technicznych i nowych projektów na edukację deweloperów i bezpieczników? Dlaczego dalej, de facto, jest źle mimo, że jest lepiej? - odpowiedzi na te pytania w prezentacji.


Adam Haertle

Prelegent odmówił podania tytułu

Abstraktu także odmówił ale robi już slajdy


Wiktor Szymański

Czego o hakowaniu można dowiedzieć się z polskich seriali i filmów?

To, że podczas hakowania systemu fortecy z potrójną ścianą ognia należy wykorzystać „Emacs przez Sendmail" wie każdy entuzjasta bezpieczeństwa. Od czasów filmu „Haker" Janusza Zaorskiego minęło ponad 16 lat, a w tym czasie powstało kilkadziesiąt nowych dzieł kinematografii próbujących ukazać tajniki pracy operacyjnej hakerów i specjalistów ds. cyberbezpieczeństwa. Na początku prezentacji z przymrużeniem oka przeanalizujemy sceny hakowania występujące w najnowszych polskich serialach i filmach zwracając uwagę na wykorzystywane narzędzia, wiarygodność i zgodność ze sztuką. Uczestnicy dowiedzą się jak według polskich filmowców wygląda m.in. Darknet, przełamywanie zabezpieczeń sieci Wifi, hakowanie telefonu, namierzanie sygnału GPS czy włamywanie na serwery policji. Prawidłowość wykorzystywanych technik i prawdziwość informacji przekazywanych przez bohaterów ze szklanego ekranu zostanie poddana merytorycznej analizie, a wyłapane błędy zostaną szczegółowo omówione. Czy porównując się do Hollywood mamy się czego wstydzić, a może powinniśmy być dumni z jakości dialogów oraz poziomu realizmu scen w obszarze bezpieczeństwa IT?


Paweł Maziarz

Nietrywialna komunikacja C2 - jakie to proste!

Twórcy złośliwego oprogramowania wymyślają różne sposoby komunikacji przejętych komputerów z serwerami Command & Control (C2), próbując starych i nowych sztuczek, by jak najbardziej ukryć się w codziennym, typowym ruchu sieciowym niepodejrzewających o nic organizacji. Czy taką złośliwą komunikację trudno zaimplementować w dzisiejszych systemach operacyjnych? Odpowiemy sobie na to wykorzystując Powershella, Pythona czy basha, które pod płaszczem HTTP/HTTPS, WebSocketów, FTP, DNS, ICMP i innych takich ustanowią nieautoryzowane medium transmisyjne do danych firmowych. Do uczestników z kolei należeć będzie werdykt, które sztuczki w ich organizacjach mogłyby się powieść, a które nie.


Mateusz Kocielski

Anykernels meet fuzzing

The NetBSD offers RUMP anykernel which lets users to do the magic and execute drivers, network stacks or file systems in userspace. Having kernel parts running in user space is a great opportunity to fuzz them efficiently without fancy kernel approaches. First general information about RUMP will be discussed to get the audience familiar with the subject, then results focused on testing network stack will be presented along with encountered problems and other fuzzing efforts that currently are taking place in the NetBSD project.


Dawid Golak, Jarosław Pukacki

Polowanie na czerwony październik

W trakcie prezentacji, na bazie doświadczeń zdobytych w allegro, opowiemy o zmaganiach blue team oraz o polowaniu na czerwonych. Postaramy się nie przekroczyć po raz kolejny tej cieńkiej granicy.


Adam Lange

Cyberhydraulik w akcji - czyli skąd i jak cieknie!

Wycieki danych, MASOWE wycieki danych, wycieki informacji wrazliwych, wycieki nowych IP (Intellectual property) - Jak to się dzieje? Czy trzeba włamania do systemu aby pozyskać wrażliwe dla firm dane? Czy masz kontrolę nad danymi które są dla Ciebie i twojej firmy lub organizacij cenne? Na te i inne pytania postaram się odpowiedzieć na mojej prelekcji, i podpowiedzieć w jaki sposób można się przed takimi wyciekami uchronić.


Marcin Hoppe

Hakowanie OAuth 2.0

OAuth 2.0 i jego młodszy kuzyn OpenID Connect są używane niemal wszędzie, od startupów przez ogromne korporacje aż do wiodących platform chmurowych. Za pomocą tych protokołów można chociażby logować się do aplikacji za pomocą tożsamości pochodzącej z Google czy Facebooka i dawać aplikacjom dostęp do naszych danych przechowywanych w tych systemach. Bezpieczeństwo OAuth 2.0 jest przedmiotem badań naukowych, analiz, artykułów i ciągle ewoluujących standardów i dokumentów RFC. Mamy obecnie do dyspozycji model zagrożeń i zestaw dobrych praktyk dotyczących implementacji. Wydawałoby się, że stworzenie bezpiecznej implementacji serwera OAuth 2.0, choć z całą pewnością wymagające, jest wykonalne. Rzeczywiste implementacje muszą poradzić sobie nie tylko z zawiłościami protokołu, ale także z takimi aspektami jak uwierzytelnianie wieloskładnikowe, przez zarządzanie sesjami aż po bezpieczną obsługę cyklu życia haseł. Niestety, te aspekty wychodzą poza ramy akademickich publikacji i istniejących modeli zagrożeń. Jak zatem testować implementacje OAuth 2.0 i OpenID Connect pod kątem podatności? Jeżeli jesteście ciekawi, to nie może was zabraknąć na prezentacji Marcina.


Marcin Karpezo

Jak podnieść OpSec Twojej mamy

Będąc specjalistami i hobbystami zajmującymi się bezpieczeństwem dobrze wiemy, że zabezpieczenie naszego własnego korzystania z technologii to zaledwie 1/3 sukcesu. Resztę może zapewnić nam jedynie „współpraca” naszych najbliższych, przyjaciół, kolegów i koleżanek z pracy. O ile w środowisku zawodowym, co raz łatwiej jest zadbać o podniesienie bezpieczeństwa przechowywania i wymiany informacji o tyle trudno jest nam nakłonić do zmiany nawyków naszych bliskich. Próbowałeś kiedyś przekonać do korzystania z menadżera haseł swoją mamę?


Wojciech Reguła

Budowanie i hakowanie nowoczesnych aplikacji iOS

Po mojej ofensywnej prezentacji o testach penetracyjnych aplikacji na iOS bez jailbreaka, nadszedł czas na zmianę strony mocy. W tej prezentacji, chciałbym przedstawić kamienie milowe pozwalające stworzyć bezpieczne aplikacje na iOSa. Pokażę, jak poprawnie budować aplikacje, uwzględniając najciekawsze zmiany zaprezentowane na Apple's Worldwide Developers Conference. Hakerzy także będą zadowoleni, ponieważ omówię tę problematykę z punktu widzenia atakującego. Co więcej - przedstawię podatności znalazłem w aplikacjach Appla


Dawid Osojca

Z wędką na zakupy

W trakcie prezentacji przedstawione zostaną wyniki analizy kampanii phishingowej, która na przestrzeni kilku ostatnich miesięcy targetowała kilkadziesiąt instytucji w kilkunastu różnych krajach.


Maciej "mak" Kotowicz

Rok z życia łowczego

Polowanie w cyber przestrzeni ma rożne wymiary, w zależności na co się poluje i skąd. Wynika to głownie z tego co się widzi i jakie ma się narzędzia. Prezentacja będzie o tym jak się poluje na APT w firmie o globalnym zasięgu i czym to się rożni od polowania na przestępców w niedużej organizacji, z mała dygresja na temat polowań wewnątrz firmowych.


Organizator

S.M.S. - Security and Management Systems, Piotr Jasiek
Rosy Bailly 3/9
Warszawa 01-494
P: +48 534 510 536




Copyright © info at securitybsides.pl 2015-2019

Kontakt
Email: cfp at securitybsides.pl
Regulaminy
Regulamin konferencji
Regulamin Sprzedaży Biletów Indywidualnych
na SECURITY BSIDES WARSAW 2019