Rok temu to właśnie na Oh My H@ck można było po raz pierwszy dowiedzieć się o problemach pociągów Newagu, wynikających z tajemniczych zmian w oprogramowaniu. Ciąg dalszy przygód badaczy z grupy Dragon Sector nie będzie jedyną atrakcją tegorocznej edycji. Zobaczcie, co jeszcze dla was przygotowaliśmy.
Mój plan dnia
Na dobry początek lista prelekcji, na których będę starał się być (jeśli mnie melanż nie porwie). To nie musi być wasza lista – ale jak na jakiś slot nie macie pomysłu, to może skorzystacie. Pełna agenda czeka tu, pod spodem znajdziecie też moje pełne opisy wszystkich sześciu ścieżek. Moje 8 wybranych (same trudne wybory) prelekcji to:
- 9:00 Michał Purzyński o zabezpieczeniach telefonów z Androidem.
- 10:00 Znowu Michał z Google ;) Michał Bentkowski i zabezpieczanie całego świata webaplikacji naraz.
- 11:00 Anna Wasilewska-Śpioch z opowieściami z rosyjskiego darknetu.
- 12:00 Piotr Bazydło i podatności w SharePoincie.
- 13:00 Paweł Jałowiczor i Damian Kuczaty o tym, jak robią bezpieczeństwo w Miejskim Zarządzie Dróg w Bielsku Białej (tak, właśnie tam).
- 14:00 Piotr Zarzycki i Paweł Srokosz o tym, jak Facebook ma w nosie nasze bezpieczeństwo.
- 15:00 Dragon Sector i ciąg dalszy afery pociągowej.
- 16:00 Gdybym nie był na swojej, to poszedłbym posłuchać, jak Maciek Kotowicz sarka na dostawców Threat Intelligence.
- 17:00 Tomek Zieliński i jego potyczki z Ministerstwem Sprawiedliwości.
Planuję zrealizować chociaż 50% swojego ambitnego planu (tak, ja też chcę się z wami wszystkimi zobaczyć i pogadać). Mam nadzieję, że wam pójdzie lepiej! Poniżej pełny opis każdej ścieżki po kolei wraz z krótkim wyjaśnieniem, kto i dlaczego występuje :)
Główna ścieżka (sala Warszawa)
To ścieżka – samograj. Po inauguracji konferencji (startujemy o 8:40) zaczniemy od wykładu generała Karola Molendy, który opowie o tym, jak dzisiaj wygląda obrona przed atakami komputerowymi nadchodzącymi ze wschodu. O 10 wystąpi Iwona Prószyńska z CERT Polska, która przedstawi rozwiązania problemu lepszej komunikacji ze „zwykłymi ludźmi” w obszarze bezpieczeństwa. O 11 warto posłuchać Macieja Ogórkiewicza z ING, który poruszy rzadko omawiany temat – jak organizacja, która nie może przerwać świadczenia usług (np. bank) może przygotować się do ataku ransomware. O 11:45 będzie mała niespodzianka, na którą zapraszam w ciemno. O 12 slot obiadowy (okienka są o różnych godzinach na różnych ścieżkach, żeby wszyscy zdążyli zjeść, nie zadeptując się nawzajem). O 13 wracamy na wykład Dominika Rozdziałowskiego, który uwolniony z zawodowych kajdan obiecał szczerze opowiedzieć o systemie cyberbezpieczeństwa w Polsce. O 14 duet Piotrka Zarzyckiego z CERT Orange Polska i Pawła Srokosza z CERT Polska opowie o bardzo trudnym i ważnym problemie, czyli jak Facebook nie pomaga w… zasadzie niczym związanym z bezpieczeństwem. O 15 temat poszerzy (m.in. o Twittera i LinkedIna) Kuba „unknow” Mrugalski, który także bada tę smutną działkę mediów społecznościowych. O 16 Maciek „mak” Kotowicz zaplanował kilka słów prawdy na temat rynku usług Threat Intelligence – a że Maciek zna rynek usług Threat Intelligence i ma dużą swobodę wyrażania opinii, to będzie dobry show. O 17 wystąpi Tomek „Informatyk Zakładowy” Zieliński, który powiedzieli się swoją świetną historią bojów z Ministerstwem Sprawiedliwości i zbyt dużą liczbą plików PDF – Tomek robi ważne społecznie rzeczy i opowiada o nich z dużą dozą humoru.
Ścieżka cyberwar (sala Amsterdam)
Nie chcę o każdej ścieżce pisać, że to petarda, ale to petarda. Zaczniemy o 9 od Irka Tarnowskiego z CERT Orange Polska, który będzie bronił kontrowersyjnej tezy o tym, że APT przestają używać phishingu. O 10 Łukasz Olejnik opowie o propagandzie i operacjach informacyjnych. O 11 Łukasz Lamparski z Google Threat Intelligence wytłumaczy, dlaczego grupy APT przerzuciły się na urządzenia brzegowe i jakie to tworzy problemy. O 12 przerwa obiadowa, a o 13 Marcin Ratajczyk z Allegro opowie o problemach atrybucji w analizie zagrożeń. O 14 Darek Gońda z GSK opowie o pentestowaniu urządzeń OT – cieszę się, że nawet na slotach „partnerskich” spotykam dobrze mi znane osoby, gwarantujące jakość wystąpień. O 15 Kamil Bojarski ze Standard Chartered poruszy ciekawy temat odstraszania i reagowania na operacje cyber. O 16 Konrad Kałużny i Wojtek Lesicki opowiedzą o ciekawej kampanii APT29 wymierzonej w klientów Microsoftu, a o 17 Maciek Broniarz też o tym samym incydencie. Dobra okazja, by porównać dwie – niekoniecznie takie same – perspektywy.
Ścieżka cybercrime (sala Barcelona)
Zaczynamy o 9 wykładem Bartosza Wawrzyniaka, który pochyli się nad coraz gorszym problemem infostealerów. Po nim wystąpi popularny duet komediowy w składzie Agata Ślusarek i Adam Lange, którzy znowu będą psuli biznes cyberprzestępców (tak, temat mają beznadziejny, ale bywalcy ich show wiedzą, czego się spodziewać). O 11 Ania Wasilewska-Śpioch zabierze nas na wycieczkę na wschód, pokazując niedawne, a wielce ciekawe wydarzenia z rosyjskiego darknetu. Dzieje się tam sporo, a mało osób w Polsce potrafi tak swobodnie poruszać się po tym świecie jak Ania. O 12 prof. ucz. dr hab. inż. Agnieszka Gryszczyńska przybliży temat komputeryzacji prokuratury w Polsce – rzadka okazja, by rzucić okiem na systemy wspierające między innymi walkę z cyberprzestępczością w Polsce. O 13 przerwa obiadowa, z której wracamy o 14 na wykład partnerski (czekam na temat). O 15 Szymon Sidoruk z CERT Polska opowie o tym, czy (i jak) działa w Polsce blokowanie złośliwych SMS-ów (niezwykle cenna inicjatywa!). O 16 wspólnie z Anią Wasilewską-Śpioch spróbujemy opowiedzieć wam historię deepfake’ów, których (najczęściej) nie było, ze sporym naciskiem na ich użycie w atakach na polskich polityków i mity z tym związane. O 17 Dominik Konopacki opowie o śledzeniu kryptowalut, zamykając ścieżkę.
Ścieżka Pwn (sala Rzym)
Z samego rana zaatakuje was tutaj Michał Purzyński z Google, który z właściwym sobie urokiem opowie o mechanizmach broniących waszych telefonów z Androidem przed atakami złych eksploitów. Michał jak mało kto potrafi tłumaczyć skomplikowane technologie (i jak mało kto się na nich zna). Polecam tego Googlowicza. A jakby wam było mało Michałów z Google, którzy znają się na swojej robocie, to o 10 na scenę wyjdzie Michał Bentkowski, który opowie o zabezpieczaniu całego świata naraz, czyli hurtowym podejściu do bezpieczeństwa aplikacji WWW w globalnej skali. O 11 kolejny dobry towar eksportowy, czyli Wojtek Reguła z Securinga, który zabierze was do świata izolacji i atakowania aplikacji w macOS. A skoro mowa o towarach eksportowych, to o 12 Piotr Bazydło z Trend Micro Zero Day Initiative przedstawi znalezione przez siebie krytyczne podatności w SharePoincie. O 13 chwila oddechu i przerwa obiadowa, a o 14 Anna Rydel i Artur Kamiński opowiedzą, jak zadbać o bezpieczeństwo danych w organizacji. Z kolei o 15 na scenę wjadą Sergiusz Bazański, Michał Kowalczyk i Jakub Stępniewicz, którzy – co prawda – nie mają pociągu do sądu, ale i tak tam trafili. Najlepsi polscy hakerzy opowiedzą o dalszych losach lokomotyw zhakowanych przez nieznanych sprawców. Po takim wykładzie nie będzie łatwo podnieść mikrofon, dlatego do tego zadania wyznaczony został Mateusz Chrobok, który przybliży wam temat ataków typu side-channel (czyli przejdzie bokiem, w końcu jakieś dobre tłumaczenie!). O 17 ścieżkę zamknie Bartosz Kisiel z opisem chyba najciekawszego ataku tego roku, czyli tylnej furtki w xz/liblzma.
Ścieżka Tech (sala Paryż)
O 9 Łukasz Bromirski opowie o bezpieczeństwie routingu. Mało jest osób, które są w stanie osobiście każdy pakiet pokierować przez odpowiednie hopy. Łukasz jest taką osobą. O 10 Mateusz Olejarka z Securinga poprowadzi nas w świat aplikacji WWW i błędów w SSO. O 11 Łukasz Dolny ze Standard Chartered wyjaśni, co słychać z kryptografią kwantową. O 12 Grzegorz Tworek sprawdzi, co wiecie o bazie Windows Security Account Manager (bo Grzegorz pewnie wie już (prawie) wszystko). O 13 Mateusz Kocielski zhakuje BBS-y. Tak, BBS-y. Mateusz robi różne dziwne rzeczy, warto posłuchać. O 14 przerwa obiadowa (ostatnia szansa na posiłek), a o 15 wracamy, by posłuchać Wojciecha Cybowskiego, który będzie liczył backdoory, rewersując chiński sprzęt sieciowy. O 16 Michał Kłaput spróbuje (na żywo!) odzyskać dane z dysku zabezpieczonego kluczem przechowywanym w TPM-ie. O 17 Łukasz Mikuła i Jakub Heba spojrzą na podatności aplikacji webowych w blockchainie, czyli słynnym web3.
Ścieżka Mix (sala Londyn)
O 9 mocna reprezentacja KNF, Paweł Piekutowski i Krzysztof Zieliński opowiedzą o tym, jak w obliczu nowych regulacji instytucje finansowe powinny prowadzić sensowne testy redteamowe. O 10 Krzysztof Bińkowski pochyli się nad trudnym tematem hejtu w internecie z perspektywy zbierania materiału dowodowego i identyfikacji sprawców. O 11 wykład partnerski, a o 12 Paweł Maziarz, który będzie eksfiltrował dane na sposoby, o jakich Mosadowi się nie śniło. Paweł jest ekspertem nie tylko od warstwy technicznej, ale też i budowania atmosfery wykładu – szykujcie się na ciekawe przeżycia. O 13 Paweł Jałowiczor i Damian Kuczaty pokażą, jak zapewnić sensowny poziom bezpieczeństwa informacji bez wielkich budżetów – a wiedzą, o czym mówią, bo sami to w ostatnich latach zrobili w Miejskim Zarządzie Dróg w Bielsku Białej. Sam ich zaprosiłem, gdy usłyszałem ich historię – potrzebujemy więcej takich praktycznych i realistycznych opowieści o poprawie świata. O 14 przerwa obiadowa, z której wracamy o 15, by posłuchać Marka Zmysłowskiego, Konrada Jędrzejczyka i Piotra Duszyńskiego, którzy spojrzą na kod generowany przez AI z punktu widzenia bezpieczeństwa. O 16 druga, choć inna część „wykładu o pociągach” – mecenas Zbigniew Krüger, reprezentujący zespół Dragon Sector w procesie wytoczonym im przez NEWAG, opowie o najciekawszych problemach na styku bezpieczeństwa informacji a świata prawników. Ścieżkę zamknie Piotr Żabrowski z wykładem o modelowaniu zagrożeń na przykładzie Allegro, więc też i w odpowiedniej skali.
Podsumowanie
Cały program nieco szerzej omówimy też w wydaniu specjalnym Rozmowy Kontrolowanej już w najbliższą niedzielę o 21. Będzie tez można (oczywiście!) wygrać wejściówkę na konferencję. Oglądać można tu:
Doczytaliście aż tutaj? To (jeśli jeszcze nie macie) pozostało już tylko kupić bilet, z kodem ZAUFANA15 o 15% taniej i do zobaczenia na Narodowym 26 listopada! A ja idę robić dalej slajdy, bo coś by wypadało pokazać.
Komentarze
„prof. ucz. dr hab. inż.” – rly?
Żeby w niektórych środowiskach, na przykład budżetówki, nie być spychanym do parteru przy każdej próbie zmiany status quo, trzeba mieć trochę znaczków budujących pozycję. Nie wszyscy w świecie hołdują kulturze hakerskiej, open source, czy ogólnie merytokracji. W tym przypadku czytamy oznaczenia trochę od końca, trochę nie po kolei. Może je znasz, ale może inni nie, więc pobawię się w kapitana oczywistego.
Inż oznacza ukończenie kierunku technicznego. Dr , że na poziomie doktorskim, czyli ukończone studia doktoranckie, napisany i obroniony doktorat. Hab – że została zrobiona habilitacja, to taki power pack do doktoratu, robi się go sporo lat i wymaga napisania wielu publikacji na dobrym poziomie.
Prof ucz oznacza tytuł profesora konkretnej uczelni, czyli bez nominacji profesorskiej podpisanej przez prezydenta. Natomiast o tyle masz rację w swoim zdziwieniu, że zazwyczaj powinno się to zapisywać troszkę inaczej : dr hab. inż. Agnieszka Gryszczyńska, prof. UKSW. Myślę, że zdziwienie to należałoby skierować głównie do odpowiedzialnych za treści na portalu Ministerstwa Cyfryzacji, którzy zastosowali zapis powielany później przez innych.
Ok, tyle że to jest właśnie spęd miłośników kultury hakerskiej. Do opery nie idzie się w krótkich spodniach, a do knajpy we fraku. Zgrzyt taki.
Cenię merytorykę, a nie tytuły. Nie znam tej pani zupełnie jako człowieka, ale historia pokazuje, że tytuł można kupić albo wywalczyć prowadząc bezwartościowe badania czy tworząc mnóstwo wtórnych publikacji. Szefowanie katedrą na niewielkiej uczelni, to też żaden wyczyn, zwłaszcza w czasach, gdy rządzą powiązania lub polityka.
Prawdziwy ekspert nie tytułuje się ekspertem. Haker – hakerem. A bohater bohaterem. Jedynie u ruskiego sołdata zanim pojawi się persona gieroja, to najpierw słychać jak medale dzwonią.
Za to rozumiem Adama z innego względu: dobre źródło informacji, to nawstawiał tytułów. Niech tam będzie!
Co do samego wykładu o cyfryzacji prokuratur, to jestem ciekaw czy to dalej ten sam system, w którym ~15 lat temu nie działały podstawowe skróty klawiszowe (np. CTRL+C, ale działało o dziwo SHIFT+INS).
CTRL+C jest dla Ciebie podstawowym skrótem klawiszowym, bo wychowałeś się w systemie Windows. Gdybyś był starszy, to CTRL+C byłby dla Ciebie skrótem przerywającym wykonanie programu.
Eee, aż taki smarkaty to ja nie jestem :) . O MS-DOS-a się jeszcze nieco zahaczyło, także ^C.
Ale mi jakoś weszło, że ten kombos przerywa w skrypcie, a w edytorze tekstu nie powoduje wybuchu. Może tamten system pisał jakiś prawilny programista, któremu przez palce by nie przeszło kopiować przez CTRL+C? Z resztą… nawet jakby działało CTRL+C, to panie by nie używały takich skrótów.
@admirał itd
W sumie przekonałeś mnie :) Porównanie z dzwoniącymi medalami cool