19.10.2023

Kluczową różnicą pomiędzy małymi a dużymi systemami jest powielanie funkcjonalności. Na przykład, w małym systemie zazwyczaj potrzebujemy tylko jednego parsera TCP, jednego parsera HTTP, jednego parsera ZIP, i tak dalej. Załóżmy, że jakimś cudem cały system jest poprawnie zaimplementowany i nie posiada błędów bezpieczeństwa. A teraz dodajmy do tego drugi, również idealnie bezpieczny, połączony system, zbudowany przez zupełnie inny zespół. Jak się często okazuje w praktyce, dwa połączone bezpieczne systemy niekoniecznie dadzą bezpieczną całość.

Celem tego wykładu jest przegląd i omówienie klas błędów typowych dla złożonych systemów. W szczególności skupię się na błędach, których przyczyna leży w wykorzystaniu kilku różnych implementacjach tego samego protokołu czy formatu plików. Prelekcja będzie przekrojowa, a więc wspomniane będą błędy zarówno nisko- jak i wysokopoziomowe, zarówno w oprogramowaniu webowym, jak i np. implementacji niskopoziomowych protokołów sieciowych.

Wykład skierowany jest przede wszystkim do osób początkujących i średniozaawansowanych.

Wyobraźcie sobie, że w macie jakiś dowolny obiekt w pamięci w waszym ulubionym języku programowania. Następnie serializujecie ten obiekt używając do tego standardu JSON. W kolejnym kroku zaś deserializujecie ten JSON z powrotem do obiektu w pamięci. I w tym momencie okazuje się, że dostajecie kompletnie inny obiekt niż mieliście oryginalnie – który zostaje całkowicie inaczej zinterpretowany przez aplikację i który – co gorsza – doprowadza do błędu bezpieczeństwa w aplikacji!

Brzmi źle? Na szczęście w JSON-ie zazwyczaj nie obserwujemy tego typu zachowania. Okazuje się jednak, że w HTML takie zachowanie w pewnych sytuacjach jest w 100% zgodne ze specyfikacją! Tego typu problemu zazwyczaj nazywane są mXSS (mutation XSS).

W swojej prezentacji pomówię właśnie o specyfikacji HTML, o tym z czego wynika jego skłonność do mutacji i skąd konkretnie bierze się mXSS. Opowiem też, co próbujemy zrobić, żeby próbować mXSS zlikwidować z platformy webowej.

Aplikacje desktopowe również posiadają błędy bezpieczeństwa.

W trakcie prezentacji, przeprowadzony będzie pobieżny test penetracyjny aplikacji desktopowej, dzięki któremu dowiemy się czego nie należy robić, projektując mechanizmy uwierzytelnienia.

W systemach Windows, istotna część wydarzeń odbywa się w trybie jądra. Nie dość, że warto tam zajrzeć, to jeszcze czasem przydałoby się w świadomy sposób o coś jądro systemu poprosić.

Korzyści mogą być naprawdę warte zachodu, dlatego warto tematowi poświęcić całą sesję. Uwaga! Zawiera więcej niż śladowe ilości kodu w C.

Jak zwiększyć skuteczność kampanii red team i testów socjotechnicznych – czyli przedstawienie sposobów i narzędzi pozwalających na obniżenie skuteczności antywirusów w wykrywaniu obecności wrogiego kodu w uruchamianym oprogramowaniu.

Podczas prezentacji opowiem o tym jak rozwój LLM (m.in. Chat GPT) wpłynął na prace w IT Security. Porównam plusy dodatnie i ujemne, powróżę z porozrzucanych bajtów. Wszystko oczami zawodowego pentestera.

Zastanawialiście się kiedyś jak przejść od etapu oglądania obudowy urządzenia z zewnątrz do finalnego przejęcia kontroli nad nim? Jeśli tak, to postaram się pokazać Wam jak przeszedłem taką drogę na przykładzie swojej prywatnej klimatyzacji i podzielić się paroma praktycznymi wskazówkami, które z pewnością przydadzą się przy badaniu różnych urządzeń z systemami wbudowanymi na pokładzie.

O szpiegowaniu, głownie w social media. Szpiegowanie z wykorzystaniem serwisów internetowych i mediów społecznościowych – małe i duże akcje, drobne i większe porażki”.

Historia pokazała nam że wzrost popularności ataków typu supply chain nie jest przypadkowy. Szerokie pole rażenia oraz trudność w wykryciu tego ataku może spowodować wiele problemów. Zamiast skupiać się na klasycznych rozwiązaniach, może jednak warto rozejrzeć się za nowymi alternatywami? Podczas prelekcji zaproponuje pewien schemat jak w dosyć prosty i sprytny sposób wykorzystać łańcuch bloków do zwalczania ataku poprzez kradzież klucza prywatnego organizacji.

Praktyczna prezentacja nietuzinkowych i ciekawych ataków na najpopularniejszą platformę do konteneryzacji. Zostaną przedstawione strategie i techniki wykorzystywane przez hakerów do infiltracji kontenerów Docker, jednocześnie pokazując, jak efektywnie bronić się przed takimi atakami. Uczestnicy dowiedzą się o potencjalnych lukach bezpieczeństwa w standardowych konfiguracjach Docker, a także o najnowszych narzędziach i praktykach zabezpieczania kontenerów, także związanych z AI.