19.10.2023

Kluczową różnicą pomiędzy małymi a dużymi systemami jest powielanie funkcjonalności. Na przykład, w małym systemie zazwyczaj potrzebujemy tylko jednego parsera TCP, jednego parsera HTTP, jednego parsera ZIP, i tak dalej. Załóżmy, że jakimś cudem cały system jest poprawnie zaimplementowany i nie posiada błędów bezpieczeństwa. A teraz dodajmy do tego drugi, również idealnie bezpieczny, połączony system, zbudowany przez zupełnie inny zespół. Jak się często okazuje w praktyce, dwa połączone bezpieczne systemy niekoniecznie dadzą bezpieczną całość.

Celem tego wykładu jest przegląd i omówienie klas błędów typowych dla złożonych systemów. W szczególności skupię się na błędach, których przyczyna leży w wykorzystaniu kilku różnych implementacjach tego samego protokołu czy formatu plików. Prelekcja będzie przekrojowa, a więc wspomniane będą błędy zarówno nisko- jak i wysokopoziomowe, zarówno w oprogramowaniu webowym, jak i np. implementacji niskopoziomowych protokołów sieciowych.

Wykład skierowany jest przede wszystkim do osób początkujących i średniozaawansowanych.

Wyobraźcie sobie, że w macie jakiś dowolny obiekt w pamięci w waszym ulubionym języku programowania. Następnie serializujecie ten obiekt używając do tego standardu JSON. W kolejnym kroku zaś deserializujecie ten JSON z powrotem do obiektu w pamięci. I w tym momencie okazuje się, że dostajecie kompletnie inny obiekt niż mieliście oryginalnie – który zostaje całkowicie inaczej zinterpretowany przez aplikację i który – co gorsza – doprowadza do błędu bezpieczeństwa w aplikacji!

Brzmi źle? Na szczęście w JSON-ie zazwyczaj nie obserwujemy tego typu zachowania. Okazuje się jednak, że w HTML takie zachowanie w pewnych sytuacjach jest w 100% zgodne ze specyfikacją! Tego typu problemu zazwyczaj nazywane są mXSS (mutation XSS).

W swojej prezentacji pomówię właśnie o specyfikacji HTML, o tym z czego wynika jego skłonność do mutacji i skąd konkretnie bierze się mXSS. Opowiem też, co próbujemy zrobić, żeby próbować mXSS zlikwidować z platformy webowej.

W systemach Windows, istotna część wydarzeń odbywa się w trybie jądra. Nie dość, że warto tam zajrzeć, to jeszcze czasem przydałoby się w świadomy sposób o coś jądro systemu poprosić.

Korzyści mogą być naprawdę warte zachodu, dlatego warto tematowi poświęcić całą sesję. Uwaga! Zawiera więcej niż śladowe ilości kodu w C.

Krzysztof zaprasza Was do świata…szpiegowania! Skupi się głównie na social mediach. Poznacie szpiegowanie z wykorzystaniem serwisów internetowych i mediów społecznościowych – małe i duże akcje, drobne i większe porażki.

Podczas prezentacji Maciej opowie o tym jak rozwój LLM (m.in. Chat GPT) wpłynął na prace w IT Security. Porówna plusy dodatnie i ujemne, powróży z porozrzucanych bajtów. Wszystko oczami zawodowego pentestera.

Historia pokazała nam że wzrost popularności ataków typu supply chain nie jest przypadkowy. Szerokie pole rażenia oraz trudność w wykryciu tego ataku może spowodować wiele problemów. Zamiast skupiać się na klasycznych rozwiązaniach, może jednak warto rozejrzeć się za nowymi alternatywami? Podczas prelekcji Martin zaproponuje pewien schemat jak w dosyć prosty i sprytny sposób wykorzystać łańcuch bloków do zwalczania ataku poprzez kradzież klucza prywatnego organizacji.

Zastanawialiście się kiedyś jak przejść od etapu oglądania obudowy urządzenia z zewnątrz do finalnego przejęcia kontroli nad nim? Jeśli tak, to postaram się pokazać Wam jak przeszedłem taką drogę na przykładzie swojej prywatnej klimatyzacji i podzielić się paroma praktycznymi wskazówkami, które z pewnością przydadzą się przy badaniu różnych urządzeń z systemami wbudowanymi na pokładzie.

Aplikacje desktopowe również posiadają błędy bezpieczeństwa.

W trakcie prezentacji Roberta przeprowadzony będzie pobieżny test penetracyjny aplikacji desktopowej, dzięki któremu dowiemy się czego nie należy robić, projektując mechanizmy uwierzytelnienia.

Podczas swojej prezentacji Marek opowie jak zwiększyć skuteczność kampanii red team i testów socjotechnicznych – czyli przedstawi sposoby i narzędzia pozwalaje na obniżenie skuteczności antywirusów w wykrywaniu obecności wrogiego kodu w uruchamianym oprogramowaniu.

Tomek zaprasza Was na praktyczną prezentacje nietuzinkowych i ciekawych ataków na najpopularniejszą platformę do konteneryzacji. Zostaną przedstawione strategie i techniki wykorzystywane przez hakerów do infiltracji kontenerów Docker, jednocześnie pokazując, jak efektywnie bronić się przed takimi atakami.

Uczestnicy dowiedzą się o potencjalnych lukach bezpieczeństwa w standardowych konfiguracjach Docker, a także o najnowszych narzędziach i praktykach zabezpieczania kontenerów, także związanych z AI.