Udział w dwóch dniach konferencyjnych umożliwia zdobycie 12 punktów CPE (certyfikaty: CISA, CISM, CISSP).
Udział w każdym z warsztatów to możliwość zdobycia dodatkowych 7 pkt CPE. W sumie możliwe jest zdobycie 26 pkt.
Wszystkie prezentacje w języku angielskim będą tłumaczone na język polski.
PROGRAM
DZIEŃ 1 Środa, 26 listopada 2014 r.
8:00 9:00
REJESTRACJA UCZESTNIKÓW
9:00 9:15
OTWARCIE KONFERENCJI
Mirosław MAJ
Fundacja Bezpieczna Cyberprzestrzeń
9:15 10:00
REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP – KONTROLA NIK
Marek BIEŃKOWSKI Prezentacja link
Najwyższa Izba Kontroli
Prezentacja pierwszych wyników tej bardzo ważnej dla bezpieczeństwa RP kontroli.
W 2014 roku Najwyższa Izba Kontroli (Departament Porządku i Bezpieczeństwa Publicznego) przeprowadza kontrolę bezpieczeństwa Rzeczypospolitej Polskiej w cyberprzestrzeni. Kontrolerzy NIK sprawdzają czy istnieje spójny system działania organów administracji państwowej dotyczący monitorowania i przeciwdziałania zagrożeniom w cyberprzestrzeni. To niezywkle ważna kontrola, której wyniki w istotny sposób zaważą nad dalszymi pracami nad cyberbezpieczeństwem w Polsce.
10:00 11:00
Przyszłość cyberbezpieczeństwa RP – dyskusja o Polityce Ochrony Cyberprzestrzeni RP, Doktrynie Cyberbezpieczeństwa RP, Dyrektywie Network Information Security.
PANELIŚCI:
Joanna ŚWIĄTKOWSKA / Instytut Kościuszki
Maciej GROŃ / Ministerstwo Administracji i Cyfryzacji
Krzysztof LIEDEL / Biuro Bezpieczeństwa Narodowego
Andrzej KARPIŃSKI / Orange Polska
Tomasz SZEWCZYK / Rządowe Centrum Bezpieczeństwa
Prowadzenie: Andrzej TARGOSZ / Fundacja Wspierania Edukacji Informatycznej „PROIDEA”
11:30 12:15
Historia zamykania najgroźniejszych botnetów w sieci
Robert KOŚLA Prezentacja link
Microsoft
12:15 12:50
Studium przypadku – działalność grupy przestępczej APT28
Michał OSTROWSKI, Tomasz PIETRZYK Prezentacja link
FireEye
Znaczenie ataków określanych jako “state-sponsored” (wspieranych przez rządy) w najbardziej znaczący sposób zaistniało najprawdopodobniej przy okazji publikacji raportu Mandaint na temat APT1. Raport ten ujawniał działania cyberszpiegowskie przeprowadzane przez grupę zlokalizowaną w Chinach. W czasie prezentacji przedstawione będą najnowsze, najbardziej znaczące aktywności związane z cyberszpiegostwem, które zawarte zostały w raporcie na temat grupy APT28. Grupa ta powiązana jest z rosyjską działalnością cyberprzestępczą.
13:50 14:25
Dragonfly atakuje firmy energetyczne i lotnicze
Marcin SIEDLARZ Prezentacja link
Symantec Security Response
Prezentacja prowadzona przez członka grupy, która opublikowała materiały dotyczące grupy hackerskiej „Dragonfly”. http://www.symantec.com/connect/blogs/dragonfly-western-energy-companies-under-sabotage-threat
Na konferencji w prelekcji przedstawionych zostanie wiele szczegółów niepublikowanych dotychczas.
14:25 15:00
Detekcja i przeciwdziałanie wyciekowi danych w dobie APT
Zbigniew SZMIGIERO Prezentacja link
IBM
15:00 15:35
Learn from the Exerts: CyberArk Privileged Account Security
Valery MILMAN Prezentacja link
CyberArk
16:05 16:40
Nie mogę spać zabezpieczam routery.
Przemysław DĘBA Prezentacja link
Orange Polska
Piotr KONIECZNY
Niebezpiecznik.pl
Powszechnie znany jest przypadek ataku na polskich Internautów, który miał miejsce na początku 2014 r. i związany był z niezabezpieczonymi routerami WiFi. Piotr Konieczny z Niebezpiecznik.pl i Przemysław Dęba z Orange Polska przedstawią kulisy tego ataku i jak wyglądała organizacja obrony przed nim. W czasie prezentacji dowiemy się jak działał atak, kogo dotyczył, z czego wynikał i w jakim przypadku by nie zadziałał. Przedstawione będą również rozważania na temat organizacji systemu powiadamiania przed tego typu atakami oraz jak reagowała społeczność internetowa na tak duże zagrożenie i jakie podejmowała własne kroki w celu poprawy sytuacji.
16:40 17:15
OPSEC w działalności grup przestępczych – sukcesy i wpadki.
Adam HAERTLE
ISACA
Internetowi przestępcy z oczywistych powodów starają się dbać o swoją anonimowość. Korzystają w tym celu z takich narzędzi jak Tor, VPN, BTC, TrueCrypt czy PGP. Mimo tego zdarza się, że wpadają w ręce organów ścigania. W trakcie prezentacji pokażemy, jakie błędy doprowadzają do ich ujęcia oraz jak działają ci, którzy do tej pory pozostają w ukryciu.
17:15 18:30
Przedstawienie Teatru Improwizującego „Klancyk”
„KOMORA MASZYNY LOSUJĄCEJ JEST PUSTA”
Teatr improwizowany Klancyk jest prekursorem warszawskiej teatralnej formy, polegającej na zespołowym budowaniu spektakli bez scenariusza, na bazie sugestii publiczności. Cechą wspólną jest współpraca przynajmniej dwóch aktorów oraz tworzenie fabuły na bieżąco. Improwizacja przyjmuje różne formy. Jest to rodzaj teatralnego jazzu popularny na całym świecie, a w Polsce stanowił pierwszy objaw nowej kultury klubowego performance’u. Przejawia się w występach grup impro, warsztatach i dżemach improwizacji. Jest bezpośredni, opierający się na kontakcie z publicznością, rozładowujący i śmieszny.
PROGRAM
DZIEŃ 2 Czwartek, 27 listopada 2014 r.
9:00 9:15
OTWARCIE DRUGIEGO DNIA KONFERENCJI
Mirosław MAJ
Fundacja Bezpieczna Cyberprzestrzeń
9:15 10:00
Son of SpyEye – a Crimeware Soap Opera
Maurits LUCAS
InTELL Business Director, Fox-IT
SpyEye evolved from buggy crimeware to the weapon of choice for many, when ZeuS retreated and left the market to the SpyEye group. A year later SpyEye mysteriously disappeared. They had something on the side though. We have strong evidence that Tilon, the malware-for-rent (thought to be based on Silon) was actually developed by the SpyEye authors and based largely on the SpyEye source code.
10:00 10:35
SYMULACJA WŁAMAŃ KLUCZEM W WYJAŚNIANIU WSPÓŁCZESNYCH INCYDENTÓW BEZPIECZEŃSTWA
Mariusz STAWOWSKI
CLICO
Jak wyjaśnić incydent bezpieczeństwa, gdy nie znamy jego źródła, ani nie wiemy w jaki sposób do niego doszło? Rozwój technologii Botnet i APT oraz powszechny dostęp do narzędzi exploit kit i usług crime-as-a-service sprawił, że do tego typu incydentów dochodzi coraz częściej. Firma dowiaduje się, że jej ważne dane biznesowe zostały skompromitowane. Nie wie jednak, w jaki sposób do tego doszło – sprawcą mogli być pracownicy firmy korzystających z systemów IT, administratorzy z działu IT, zewnętrzni serwisanci lub audytorzy, a może intruzi z Internetu.Kluczem do wyjaśnienia incydentu i opracowania właściwych działań naprawczych jest ustalenie potencjalnych scenariuszy naruszenia bezpieczeństwa oraz wykonanie kontrolowanej symulacji włamań pod kątem praktycznej oceny skuteczności istniejących środków bezpieczeństwa dla każdego z tych scenariuszy. Praktyczna ocena skuteczności rożnego rodzaju zabezpieczeń jak next-generation firewall, data leakage prevention, czy web application firewall wymaga zastosowania odpowiedniej metodyki i narzędzi. W trakcie prezentacji zostanie omówiony rzeczywisty przypadek tego typu incydentu bezpieczeństwa, jaki miał miejsce w polskim przedsiębiorstwie oraz droga do jego wyjaśnienia.
10:35 11:00
Cyber-EXE™ Polska 2014 – Polskie TELECOM-y ćwiczą odparcie cyberataków.
Maciej PYZNAR Raport z ćwiczeń Cyber-EXE Polska 2014
Rządowe Centrum Bezpieczeństwa
Mirosław MAJ
Fudnacja Bezpieczna Cyberprzestrzeń
11:00 11:45
Panel dyskusyjny – Sposoby skutecznej odpowiedzi na ataki teleinformatyczne ćwiczeń Cyber-EXE™ Polska 2014
PANELIŚCI:
Mariusz STAWOWSKI / CLICO
Paweł WEŻGOWIEC / ComCERT
Grzegorz SZMIGIEL / Veracomp
Mariusz SZCZĘSNY / Asseco
Prowadzenie: Cezary PIEKARSKI /Deloitte Polska
12:15 12:50
ATAK DDOS – JAK NIE STRACIĆ GŁOWY NA FRONCIE?
Borys ŁĄCKI Prezentacja link Prezi
Bothunters.pl
Bezpośrednie własne doświadczenia z mitygacji ataku sieciowego to jedno z najlepszych źródeł informacji dla wszystkich, którzy przgotowują się do tego typu działań. Autor prezentacji ma wiele takich doświadczeń a w trakcie prezentacji, bazującej na jednym z najbardziej poważnych ataków, które miał okazję odpierać, przedstawi szereg najlepszych praktyk zarówno o charakterze technicznym jak i organizacyjnym, w zakresie działań związanych z ochroną przed atakami typu Distributed Denial of Service (DDoS). Zostaną ukazane najczęściej popełniane błędy oraz sprawdzone rozwiązania, z którymi mieliśmy do czynienia w trakcie współpracy z atakowanymi firmami.
12:50 13:25
Real Life DoS/DDOS Threats and Benefits Deep DDOS Inspection.
Oğuz YILMAZ Prezentacja link
Labris Networks
W czasie prezentacji zostaną przedstawione trzy różne studia przypadków, związane z kluczowymi działaniami podejmowanymi w czasie obrony przed atakami DoS/DDoS.
Pierwsze studium będzie dotyczyło komunikacji HTTP związanej z wymianą informacji między nowoczesnym sklepem internetowym a jego moblinymi klientami. W czasie takiej komunikacji powstaje wiele sygnałów, które mogą zostać niesłusznie uznane za symptomy ataków, a po ich analizie w warstwie 7 są rozpoznane jako normalny ruch.
Drugi przypadek będzie dotyczył piekła DDoS-wego, które badacze nazywają rajem: przypadku świata gier. W tym studium zostaną pokazane zaawansowane ataki, które stają się atakami APT w kontekście DoS/DDoS.
W ramach trzeciego studium zostanie umówiony atak polegający na spowodowaniu niewykrywalnego wycieku danych, który został odnotowany u szczególnie istotnych klientów. Takie niewykrywalne ataki zostaną przeanalizowane i przedstawione zostaną usługi umożliwiające ich detekcję i obserwację.
14:25 15:00
The Incident Edge
Filip NOWAK Prezentacja link
IBM
15:00 15:35
O analogiach pomiędzy bezpieczeństwem sieciowym a światem przyrody
Elżbieta RZESZUTKO Prezentacja link
Politechnika Warszawska, Wydział Elektroniki i Technik Informacyjnych
Obecnie stosowane mechanizmy zabezpieczeń w sieciach teleinformatycznych są coraz mniej skuteczne. Szacuje się, iż stosowane oprogramowanie antywirusowe jest w stanie wykryć raptem 45% potencjalnych cyberataków. W związku z tym konieczne jest prowadzenie badań nad nowymi sposobami ochrony poprawiającymi cyberbezpieczeństwo. Jednym ze stosunkowo nowych obszarów badawczych w dziedzinie bezpieczeństwa informacyjnego są rozwiązania tzw. biologicznie-inspirowanego bezpieczeństwa (bio-inspired security). Koncentrują się one na znajdowaniu analogii pomiędzy interakcjami organizmów a scenariuszami ataków sieciowych a następnie na wskazaniu technik ofensywnych i/lub defensywnych występujących w przyrodzie, lecz nie mających jeszcze swojego odpowiednika w świecie wirtualnym. Proponowana prezentacja skupia się na tematyce bezpieczeństwa teleinformatycznego w kontekście odnajdywania analogii z ekosystemami w celu wskazania potencjalnych rozwiązań biologicznie- inspirowanego bezpieczeństwa.
15:35 15:50
Prezentacja nagrodzonej pracy w konkursie GIODO i MAiC na aplikację mobilną przyjazną prywatności.
Prezentacja aplikacji SkyDe
ZESPÓŁ KONKURSOWY: Bartosz Lipiński, Piotr Śmietanka
Politechnika Warszawska
15:50 16:05
Nagrodzona praca w konkursie GIODO i MAiC na aplikację mobilną przyjazną prywatności.
Prezentacja aplikacji SecureWALLET Prezentacja link
ZESPÓŁ KONKURSOWY: Paweł AUGUSTYNOWICZ
Wojskowa Akadema Techniczna
16:05 16:20
Nagrodzona praca w konkursie GIODO i MAiC na aplikację mobilną przyjazną prywatności.
Prezentacja aplikacji UEP Prezentacja link
ZESPÓŁ KONKURSOWY: Dariusz Rumiński, Michał Góral
Uniwersytet Ekonomiczny w Poznaniu
16:20 16:45
Wręczenie nagród w konkursie GIODO i MAiC na aplikację mobilną przyjazną prywatności
Wojciech WIEWIÓROWSKI / Generalny Inspektor Ochrony Danych Osobowych
Maciej GROŃ / Ministerstwo Administracji i Cyfryzacji
16:45 .
Zakończenie konferencji – losowanie nagród
WARSZTATY
25 I 28 listopada 2014 r.
WARSZTAT 1 – CERT GAMES. 25 LISTOPADA
Ćwiczenia prowadzone przez zwycięską drużynę Cyber Europe 2014/ ComCERT.PL (więcej na ten temat)
Krystian Kochanowski
Dawid Osojca
CERT Games to ćwiczenia z zakresu obrony kluczowej dla organizacji infrastruktury teleinformatycznej.
1. Cel ćwiczenia:
Celem przeprowadzanego ćwiczenia jest kształtowanie dobrych nawyków i praktyk w zakresie obsługi incydentów oraz odpierania ataków na infrastrukturę informatyczną. W ćwiczeniu uczestnicy dostają do dyspozycji gotową infrastrukturę w której w skład wchodzą między innymi usługi takie jak: serwer www, serwer poczty, serwer plików czy serwer DNS. Zadaniem uczestników warsztatów będzie próba obrony własnych zasobów wszelkimi możliwymi defensywnymi technikami.Podczas ćwiczenia wymagana będzie od biorących w nim udział zespołów umiejętność przeprowadzenia działań polegających na poprawnym zabezpieczeniu powierzonej im infrastruktury oraz wykrywania ataków i szybkiego podejmowania decyzji stosownie do zaistniałego zagrożenia. Dodatkowym walorem ćwiczenia jest możliwość oceny zdolności wydelegowanych osób do pracy grupowej i zespołowego rozwiązywania problemów. Przez cały czas trwania ćwiczenia broniący się zespół jest oceniany co pozwoli na koniec w wymierny sposób ocenić skuteczność działań podejmowanych przez zespół. Ćwiczenie kończy się podsumowaniem wyników biorących w nim udział zespołów oraz dodatkowym panelem dyskusyjnym mającym na celu dyskusję nad podjętymi przez zespół działaniami oraz wyłonienie najlepszej strategii postępowania.
2. Warsztaty przeznaczone są dla:
- administratorów systemów informatycznych
- specjalistów ds. bezpieczeństwa
3. Zakres warsztatów obejmuje:
- wykrywanie ataków na chronioną infrastrukturę
- wykrywanie słabości konfiguracji i podatnych usług
- analiza logów i ruchu sieciowego
- system hardening
4. Wymagania dla osób biorących udział w warsztatach:
- podstawowa znajomość administracji systemami Linuks
- znajomość protokołów sieciowych i umiejętność analizy ruchu sieciowego
- podstawowa wiedza z zakresu bezpieczeństwa IT
- umiejętność analizy logów dla popularnych usług sieciowych
5. Wymagania sprzętowe dla uczestników:
- własny laptop z kartą ethernet lub WiFi
- zainstalowane oprogramowanie: – OpenVPN – klient VNC – klient ssh – przeglądarka internetowa
Wszelkie pytania dotyczące warsztatów można przesyłać na adres: [email protected].
WARSZTAT 2 – ANALIZA ZŁOŚLIWEGO OPROGRAMOWANIA. 28 LISTOPADA
Szkolenie zostanie poprowadzone w języku angielskim.
Warsztat będzie zorganizowany przez agencję ENISA (European Network Information Security Agency) i Fundację Bezpieczna Cyberprzestrzeń.
Warsztaty poprowadzą pracownicy ENISA:
Lauri Palkmets
Yonas Leguesse
W trakcie warsztatów uczestnicy zapoznają się technikami analizowania złośliwego oprogramowania, które stanowią fragment zestawu ćwiczeń przeznaczonych dla członków zespołów reagujących typu CERT. (patrz: https://www.enisa.europa.eu/activities/cert/support/exercise)
Wymagania sprzętowe dla uczestników:
1. Przygotowanie własnego laptopa, który spełnia następujące wymagania:
- potrafi obsługiwać Virtual Images z wykorzystaniem VirtualBox lub podobnej aplikacji
- posiada 4 G RAM, preferowany procesor i5 lub i7 i 20 GB wolnego miejsca na dysku twardym.
2. Ściągnięcie z sieci obrazu wirtualnego (Open virtualization format). Link do obrazu zostanie przekazany uczestnikom przed warsztatami.
3. Zainstalowanie obrazów wirtualnych na laptopie i przetestowanie poprawności działania. Więcej szczegółowych informacji jak wykonać opisane zadanie znajduje się pod linkiem: http://www.enisa.europa.eu/activities/cert/support/exercise/files/HowtouseCERTExercisesvirtualimages.pdf
Wszelkie pytania dotyczące warsztatów można przesyłać na adres: [email protected].