Kategoria: Hacking Party

Świat danych binarnych jest przerażający. Krzaczki, hexy, ciągłe dekodowanie, i – oprócz stringów – nic czytelnego dla człowieka. Właśnie! Stringi! Łańcuchy tekstowe! Tekst! To jest terytorium, na którym czujemy się bezpiecznie. Jaki tekst jest, każdy przecież widzi. Więc porzucając formaty binarne idziemy w kierunku dużo prostszych i – przede wszystkim – czytelniejszych dla nas formatów tekstowych. To jest idziemy… z deszczu pod rynnę.
Prelekcja ta będzie miksem ciekawostek, historii i błędów bezpieczeństwa związanych z parsingiem formatów tekstowych. Postaram się Was przekazać, czemu uważam, że pod pewnymi względami dane binarne są jednak jakoś tak bardziej przyjazne.

Studium przypadku, podczas którego Michał i Szymon Wiśniewski z mBank opowiedzą  o tym jak im się udało dzięki dobrze wymyślonemu i zrealizowanemu programowi szkoleniowemu uchronić swoich współpracowników przed groźnymi w skutkach sztuczkami hakerów.

Używając trzydziestoletniej (i nadal działającej!) aplikacji trudno nie być pod wrażeniem, jak bardzo Microsoft skupia się na zgodności wstecznej. Ale znaczy to również, że wszystkie mądre i mniej mądre pomysły na API łączą się w jeden ogromny zbiór, który obejrzany z bliska powinien co najmniej zastanowić.

Złośliwe makra od lat były zmorą bezpieczników ze względu na fakt, że nieświadomi pracownicy uruchamiali, je bezwiednie infekując połowę infrastruktury. Mamy jednak rok 2024 i mamy też AI. Co może pójść nie tak? 🙂 Podczas prelekcji jest gwarantowana praktyka i pokazy na żywo.

Wyobraźmy sobie pewnego inżyniera bezpieczeństwa, który stoi przed wielkim zadaniem: musi zadbać o bezpieczeństwo dosłownie tysięcy aplikacji. Nierealnym jest sądzić, że będzie w stanie przetestować ręcznie te wszystkie aplikacje czy też przeanalizować ich kod w poszukiwaniu podatności. Co zatem może zrobić? Na to pytanie odpowiem na tej prezentacji; pokażę kilka rozwiązań technicznych i organizacyjnych, które pozwolą upewnić się, że każda nowonapisana aplikacja zachowuje wysoki poziom bezpieczeństwa, pozwalając biednemu inżynierowi skupić się tylko na tych mniej typowych lub ciekawszych przypadkach.

Zamknięcie merytorycznej części Konferencji.

Dorota Kulas – w czasie mojej prezentacji przedstawię kampanię phishingową od A do Z, z punktu widzenia atakującego (jednak będzie też tona informacji dla broniących). Omówię cel kampanii, wspomnę krótko o rekonesansie oraz o tym, jak właściwie dobrać temat uwzględniając uwarunkowania socjotechniczne. Następnie przejdę do aspektów technicznych: będzie o klonowaniu stron www i przechwytywaniu poświadczeń użytkowników, o wyborze nazwy domeny, kategoryzacji, wieku domeny, certyfikatach ssl, „uzbrojeniu” kampanii, różnych metodach dostarczania złośliwego oprogramowania, makrach w pakiecie MS Office, przełamywaniu zabezpieczeń na wielu poziomach. Powrócę do tematu białego wywiadu związanego z technologią używaną przez atakowaną organizację i opowiem, w jaki sposób można te informacje wykorzystać, aby atak był bardziej skuteczny. Opowiem krótko o konstruowaniu samego tekstu wiadomości, a następnie przejdę do logowania zdarzeń po stronie Red Teamu w aspekcie wykrywania detekcji i analizy. Podsumowując prezentację, przedstawię najważniejsze punkty prelekcji, zarówno ze strony zespołów atakujących, jak i broniących infrastruktury.

W prezentacji opowiem o podejściu, nie o tym jakie pudło z naklejką SECURITY kupić. Poruszę temat stacji roboczych, drukarek oraz intranetów (oraz jak się do nich bezpiecznie dostać w czasie pandemii). Przedstawię zarówno dobre jak i złe scenariusze. Na koniec sesja Q/A w której będziecie mogli wypytać o nurtujące Was w temacie problemy.

Przez wiele lat swojego istnienia rejestr Windows obrósł legendami. Oczywiście, można w paru miejscach znaleźć niezły śmietnik, ale tak naprawdę, to po prostu bardzo specyficzna, specjalizowana baza danych konfiguracyjnych. W trakcie sesji nie usłyszycie co w rejestrze umieścić albo co z niego skasować. Dowiecie się za to jak działa i czego się po nim spodziewać.

W trakcie prezentacji pokażę bieżące trendy „na rynku” ransomware. Zobaczymy kilka realnych, wieloetapowych scenariuszów infekcji na firmy. Zobaczycie jak może być czasem krótki czas od początku infekcji do zaszyfrowania wszystkich systemów. W końcu zaprezentuję również aktualne statystyki – w jaki sposób ransomware dostaje się do firm. Otwarcie zainfekowanego dokumentu? A może raczej zdalny dostęp? A może…?

Lightning talk / praktyczny pokaz – jak w tytule 🙂

W trakcie prezentacji pokażę przeszło piętnaście realnych przypadków podatności SSRF; omówimy również metody omijania standardowych filtrów, a także zobaczymy różne możliwości wykorzystania tej podatności do osiągnięcia najróżniejszych efektów (Remote Code Execution, czytanie plików z serwera czy „proste” omijanie firewalla). Nie zabraknie również wskazania dobrego sposobu na ochronę przed SSRF.

Co kryje stos USB, czym są deskryptory, w jaki sposób możemy generować własne, dlaczego ciągle zapomina się że każdy pakiet potencjalnie to „input” dla atakującego. Czy sprawdzenie wielkości danych przed wpisaniem do bufora wystarczy ? a może można to obejść stosując ataki fault injection. Odpowiedzi na pytania podczas sesji online, gorąco zapraszam wszystkich zaintersowanych bezpieczeństwem i pasjonatów. Gorący materiał od prelegenta Black Hat, SecurityPWNing, hardwear.io oraz twórcy Raidena – OpenSource generatora pulsów w oparciu o FPGA Grzegorza Wypycha (h0rac)

Niedawno opublikowaliśmy raport z testów bezpieczeństwa aplikacji ProteGO-Safe. Jeden z błędów opisanych w raporcie (pod identyfikatorem PROTEGO_SAFE-WEB-001, we wczesnej wersji aplikacji ProteGO-Safe) pokazywał, że można było z poziomu innych stron www ustalić jaki jest poziom ryzyka zarażenia użytkownika na koronawirusa. Na prezentacji opowiem o tym błędzie: powiem, jak udało mi się wpaść na ten pomysł i pokażę kolejne kroki, jakie potrzebne były do wykorzystania go.

Poza tym, że SQL Server jest serwerem baz danych, to jest również aplikacją działającą w systemie Windows. I jak wiele aplikacji, może zostać wykorzystany do zaatakowania systemu. Zestawiając to z pewnym „onieśmieleniem” wielu administratorów przed dotykaniem SQL, otrzymamy przepis na atak idealny. W czasie intensywnej technicznej sesji spróbujemy podpowiedzieć nie tylko jak nie bać się serwera baz danych, ale i jak poprawić to, co popsuł ktoś, kto o bezpieczeństwie Windows nie pomyślał.

Maciej Kotowicz – Wybierzemy sie w droge na poszukiwanie ciekawej kampanii. A więc zaczynajac od poczatku jakim zazwyczaj jest dokument z niepożądaną treścią przejdziemy caly ciag aż do końcowego malware’u. Będą skrypty, będą metadane oraz dużo zwrotów*! *pivotowana ;]

W połowie czerwca 2020 przyjrzałem się popularnej bibliotece Sanitize z Ruby, której celem jest czyszczenie HTML-a z niebezpiecznych elementów. Zidentyfikowałem w niej ciekawy błąd, dzięki któremu można było pomimo wszystko przemycić dowolny fragment HTML-a. Opowiem na prezentacji jak to obejście działało, wraz z krótkim opisem jak parsowane są pewne specyficzne tagi w HTML-u.

Tłumaczenie bezpieczeństwa tym, którzy go nie rozumieją, jest trudne. Bardzo trudne. Tak trudne, że wiele osób, firm i instytucji przerasta. Czasem chodzi śmiesznie, czasem strasznie. Pokażę, dlaczego (i jak bardzo) proces edukacji się nie udaje i postaram się znaleźć rozwiązania tej sytuacji.

5drv4koaj, 96zvzz0a3, lhxf2mjbx, tz9q7jto1, eqazshshe, salasn2n3, … a jaki token będzie następny? Na prezentacji poznamy sposoby działania generatorów liczb pseudolosowych w popularnych językach programowania i dowiemy się też jak można je złamać – na przykładzie „zgadywania” wartości kolejnych tokenów wygenerowanych przez NodeJS.

Zajrzyj głębiej, żeby wiedzieć, co naprawdę dzieje się w twoim systemie. Od wbudowanych narzędzi, poprzez Sysinternals, do debuggera w 60 minut.

Piotr Wojciechowski – (B)ardzo (G)roźny (P)rotokół 😉

JWT to niezmiernie popularny mechanizm – w szczególności w kontekście rozmaitych API. Na początek zaprezentowane zostanie skondensowane wprowadzenie do tematu, w dalszej części uczestnicy zobaczą przeszło 10 różnych rodzajów ataków na JWT. Nie zabraknie też praktyki (łamanie secretu do tokenu JWT czy omijanie podpisu JWT) oraz dobrych rad dla programistów czy testerów.

Firebase to zestaw usług chmurowych oferowanych przez Google, dzięki którym możliwe jest proste zaimplementowanie procesu uwierzytelnia, dostęp do bazy danych aktualizowanej w czasie rzeczywistym czy po prostu skorzystania z hostingu. W trakcie prezentacji zobaczymy kilka przykładów złej konfiguracji usług Firebase, które skutkować mogą m.in. wyciekiem pełnej zawartości bazy danych.