Rok temu to właśnie na Oh My H@ck można było po raz pierwszy dowiedzieć się o problemach pociągów Newagu, wynikających z tajemniczych zmian w oprogramowaniu. Ciąg dalszy przygód badaczy z grupy Dragon Sector nie będzie jedyną atrakcją tegorocznej edycji. Zobaczcie, co jeszcze dla was przygotowaliśmy.
Mój plan dnia
Na dobry początek lista prelekcji, na których będę starał się być (jeśli mnie melanż nie porwie). To nie musi być wasza lista – ale jak na jakiś slot nie macie pomysłu, to może skorzystacie. Pełna agenda czeka tu, pod spodem znajdziecie też moje pełne opisy wszystkich sześciu ścieżek. Moje 8 wybranych (same trudne wybory) prelekcji to:
- 9:00 Michał Purzyński o zabezpieczeniach telefonów z Androidem.
- 10:00 Znowu Michał z Google ;) Michał Bentkowski i zabezpieczanie całego świata webaplikacji naraz.
- 11:00 Anna Wasilewska-Śpioch z opowieściami z rosyjskiego darknetu.
- 12:00 Piotr Bazydło i podatności w SharePoincie.
- 13:00 Paweł Jałowiczor i Damian Kuczaty o tym, jak robią bezpieczeństwo w Miejskim Zarządzie Dróg w Bielsku Białej (tak, właśnie tam).
- 14:00 Piotr Zarzycki i Paweł Srokosz o tym, jak Facebook ma w nosie nasze bezpieczeństwo.
- 15:00 Dragon Sector i ciąg dalszy afery pociągowej.
- 16:00 Gdybym nie był na swojej, to poszedłbym posłuchać, jak Maciek Kotowicz sarka na dostawców Threat Intelligence.
- 17:00 Tomek Zieliński i jego potyczki z Ministerstwem Sprawiedliwości.
Planuję zrealizować chociaż 50% swojego ambitnego planu (tak, ja też chcę się z wami wszystkimi zobaczyć i pogadać). Mam nadzieję, że wam pójdzie lepiej! Poniżej pełny opis każdej ścieżki po kolei wraz z krótkim wyjaśnieniem, kto i dlaczego występuje :)
Główna ścieżka (sala Warszawa)
To ścieżka – samograj. Po inauguracji konferencji (startujemy o 8:40) zaczniemy od wykładu generała Karola Molendy, który opowie o tym, jak dzisiaj wygląda obrona przed atakami komputerowymi nadchodzącymi ze wschodu. O 10 wystąpi Iwona Prószyńska z CERT Polska, która przedstawi rozwiązania problemu lepszej komunikacji ze „zwykłymi ludźmi” w obszarze bezpieczeństwa. O 11 warto posłuchać Macieja Ogórkiewicza z ING, który poruszy rzadko omawiany temat – jak organizacja, która nie może przerwać świadczenia usług (np. bank) może przygotować się do ataku ransomware. O 11:45 będzie mała niespodzianka, na którą zapraszam w ciemno. O 12 slot obiadowy (okienka są o różnych godzinach na różnych ścieżkach, żeby wszyscy zdążyli zjeść, nie zadeptując się nawzajem). O 13 wracamy na wykład Dominika Rozdziałowskiego, który uwolniony z zawodowych kajdan obiecał szczerze opowiedzieć o systemie cyberbezpieczeństwa w Polsce. O 14 duet Piotrka Zarzyckiego z CERT Orange Polska i Pawła Srokosza z CERT Polska opowie o bardzo trudnym i ważnym problemie, czyli jak Facebook nie pomaga w… zasadzie niczym związanym z bezpieczeństwem. O 15 temat poszerzy (m.in. o Twittera i LinkedIna) Kuba „unknow” Mrugalski, który także bada tę smutną działkę mediów społecznościowych. O 16 Maciek „mak” Kotowicz zaplanował kilka słów prawdy na temat rynku usług Threat Intelligence – a że Maciek zna rynek usług Threat Intelligence i ma dużą swobodę wyrażania opinii, to będzie dobry show. O 17 wystąpi Tomek „Informatyk Zakładowy” Zieliński, który powiedzieli się swoją świetną historią bojów z Ministerstwem Sprawiedliwości i zbyt dużą liczbą plików PDF – Tomek robi ważne społecznie rzeczy i opowiada o nich z dużą dozą humoru.
Ścieżka cyberwar (sala Amsterdam)
Nie chcę o każdej ścieżce pisać, że to petarda, ale to petarda. Zaczniemy o 9 od Irka Tarnowskiego z CERT Orange Polska, który będzie bronił kontrowersyjnej tezy o tym, że APT przestają używać phishingu. O 10 Łukasz Olejnik opowie o propagandzie i operacjach informacyjnych. O 11 Łukasz Lamparski z Google Threat Intelligence wytłumaczy, dlaczego grupy APT przerzuciły się na urządzenia brzegowe i jakie to tworzy problemy. O 12 przerwa obiadowa, a o 13 Marcin Ratajczyk z Allegro opowie o problemach atrybucji w analizie zagrożeń. O 14 Darek Gońda z GSK opowie o pentestowaniu urządzeń OT – cieszę się, że nawet na slotach „partnerskich” spotykam dobrze mi znane osoby, gwarantujące jakość wystąpień. O 15 Kamil Bojarski ze Standard Chartered poruszy ciekawy temat odstraszania i reagowania na operacje cyber. O 16 Konrad Kałużny i Wojtek Lesicki opowiedzą o ciekawej kampanii APT29 wymierzonej w klientów Microsoftu, a o 17 Maciek Broniarz też o tym samym incydencie. Dobra okazja, by porównać dwie – niekoniecznie takie same – perspektywy.
Ścieżka cybercrime (sala Barcelona)
Zaczynamy o 9 wykładem Bartosza Wawrzyniaka, który pochyli się nad coraz gorszym problemem infostealerów. Po nim wystąpi popularny duet komediowy w składzie Agata Ślusarek i Adam Lange, którzy znowu będą psuli biznes cyberprzestępców (tak, temat mają beznadziejny, ale bywalcy ich show wiedzą, czego się spodziewać). O 11 Ania Wasilewska-Śpioch zabierze nas na wycieczkę na wschód, pokazując niedawne, a wielce ciekawe wydarzenia z rosyjskiego darknetu. Dzieje się tam sporo, a mało osób w Polsce potrafi tak swobodnie poruszać się po tym świecie jak Ania. O 12 prof. ucz. dr hab. inż. Agnieszka Gryszczyńska przybliży temat komputeryzacji prokuratury w Polsce – rzadka okazja, by rzucić okiem na systemy wspierające między innymi walkę z cyberprzestępczością w Polsce. O 13 przerwa obiadowa, z której wracamy o 14 na wykład partnerski (czekam na temat). O 15 Szymon Sidoruk z CERT Polska opowie o tym, czy (i jak) działa w Polsce blokowanie złośliwych SMS-ów (niezwykle cenna inicjatywa!). O 16 wspólnie z Anią Wasilewską-Śpioch spróbujemy opowiedzieć wam historię deepfake’ów, których (najczęściej) nie było, ze sporym naciskiem na ich użycie w atakach na polskich polityków i mity z tym związane. O 17 Dominik Konopacki opowie o śledzeniu kryptowalut, zamykając ścieżkę.
Ścieżka Pwn (sala Rzym)
Z samego rana zaatakuje was tutaj Michał Purzyński z Google, który z właściwym sobie urokiem opowie o mechanizmach broniących waszych telefonów z Androidem przed atakami złych eksploitów. Michał jak mało kto potrafi tłumaczyć skomplikowane technologie (i jak mało kto się na nich zna). Polecam tego Googlowicza. A jakby wam było mało Michałów z Google, którzy znają się na swojej robocie, to o 10 na scenę wyjdzie Michał Bentkowski, który opowie o zabezpieczaniu całego świata naraz, czyli hurtowym podejściu do bezpieczeństwa aplikacji WWW w globalnej skali. O 11 kolejny dobry towar eksportowy, czyli Wojtek Reguła z Securinga, który zabierze was do świata izolacji i atakowania aplikacji w macOS. A skoro mowa o towarach eksportowych, to o 12 Piotr Bazydło z Trend Micro Zero Day Initiative przedstawi znalezione przez siebie krytyczne podatności w SharePoincie. O 13 chwila oddechu i przerwa obiadowa, a o 14 Anna Rydel i Artur Kamiński opowiedzą, jak zadbać o bezpieczeństwo danych w organizacji. Z kolei o 15 na scenę wjadą Sergiusz Bazański, Michał Kowalczyk i Jakub Stępniewicz, którzy – co prawda – nie mają pociągu do sądu, ale i tak tam trafili. Najlepsi polscy hakerzy opowiedzą o dalszych losach lokomotyw zhakowanych przez nieznanych sprawców. Po takim wykładzie nie będzie łatwo podnieść mikrofon, dlatego do tego zadania wyznaczony został Mateusz Chrobok, który przybliży wam temat ataków typu side-channel (czyli przejdzie bokiem, w końcu jakieś dobre tłumaczenie!). O 17 ścieżkę zamknie Bartosz Kisiel z opisem chyba najciekawszego ataku tego roku, czyli tylnej furtki w xz/liblzma.
Ścieżka Tech (sala Paryż)
O 9 Łukasz Bromirski opowie o bezpieczeństwie routingu. Mało jest osób, które są w stanie osobiście każdy pakiet pokierować przez odpowiednie hopy. Łukasz jest taką osobą. O 10 Mateusz Olejarka z Securinga poprowadzi nas w świat aplikacji WWW i błędów w SSO. O 11 Łukasz Dolny ze Standard Chartered wyjaśni, co słychać z kryptografią kwantową. O 12 Grzegorz Tworek sprawdzi, co wiecie o bazie Windows Security Account Manager (bo Grzegorz pewnie wie już (prawie) wszystko). O 13 Mateusz Kocielski zhakuje BBS-y. Tak, BBS-y. Mateusz robi różne dziwne rzeczy, warto posłuchać. O 14 przerwa obiadowa (ostatnia szansa na posiłek), a o 15 wracamy, by posłuchać Wojciecha Cybowskiego, który będzie liczył backdoory, rewersując chiński sprzęt sieciowy. O 16 Michał Kłaput spróbuje (na żywo!) odzyskać dane z dysku zabezpieczonego kluczem przechowywanym w TPM-ie. O 17 Łukasz Mikuła i Jakub Heba spojrzą na podatności aplikacji webowych w blockchainie, czyli słynnym web3.
Ścieżka Mix (sala Londyn)
O 9 mocna reprezentacja KNF, Paweł Piekutowski i Krzysztof Zieliński opowiedzą o tym, jak w obliczu nowych regulacji instytucje finansowe powinny prowadzić sensowne testy redteamowe. O 10 Krzysztof Bińkowski pochyli się nad trudnym tematem hejtu w internecie z perspektywy zbierania materiału dowodowego i identyfikacji sprawców. O 11 wykład partnerski, a o 12 Paweł Maziarz, który będzie eksfiltrował dane na sposoby, o jakich Mosadowi się nie śniło. Paweł jest ekspertem nie tylko od warstwy technicznej, ale też i budowania atmosfery wykładu – szykujcie się na ciekawe przeżycia. O 13 Paweł Jałowiczor i Damian Kuczaty pokażą, jak zapewnić sensowny poziom bezpieczeństwa informacji bez wielkich budżetów – a wiedzą, o czym mówią, bo sami to w ostatnich latach zrobili w Miejskim Zarządzie Dróg w Bielsku Białej. Sam ich zaprosiłem, gdy usłyszałem ich historię – potrzebujemy więcej takich praktycznych i realistycznych opowieści o poprawie świata. O 14 przerwa obiadowa, z której wracamy o 15, by posłuchać Marka Zmysłowskiego, Konrada Jędrzejczyka i Piotra Duszyńskiego, którzy spojrzą na kod generowany przez AI z punktu widzenia bezpieczeństwa. O 16 druga, choć inna część „wykładu o pociągach” – mecenas Zbigniew Krüger, reprezentujący zespół Dragon Sector w procesie wytoczonym im przez NEWAG, opowie o najciekawszych problemach na styku bezpieczeństwa informacji a świata prawników. Ścieżkę zamknie Piotr Żabrowski z wykładem o modelowaniu zagrożeń na przykładzie Allegro, więc też i w odpowiedniej skali.
Podsumowanie
Cały program nieco szerzej omówimy też w wydaniu specjalnym Rozmowy Kontrolowanej już w najbliższą niedzielę o 21. Będzie tez można (oczywiście!) wygrać wejściówkę na konferencję. Oglądać można tu:
Doczytaliście aż tutaj? To (jeśli jeszcze nie macie) pozostało już tylko kupić bilet, z kodem ZAUFANA15 o 15% taniej i do zobaczenia na Narodowym 26 listopada! A ja idę robić dalej slajdy, bo coś by wypadało pokazać.