8:00               9:00

REJESTRACJA UCZESTNIKÓW

9:00               9:15

OTWARCIE KONFERENCJI

Mirosław MAJ / Fundacja Bezpieczna Cyberprzestrzeń

9:15              9:45

EWOLUCJA MALWARE’U: ZASADY, JAKIE PRZYJĘTO, ABY ZDJĄĆ BOTNET BEEBONE WE WSPÓŁPRACY ZE ŚWATOWYMI SIŁAMI PORZĄDKOWYMI

Raj SAMANI / Intel Security

Beebone jest przykładem polimorficznego malware’u, czyli takiego, który zmienia swą postać, a nawet działania serwerów, przy każdej kolejnej infekcji. Jego twórcy dokonali w nim zmian, maksymalnie utrudniających jego wykrycie i przeciwdziałanie. Ma cechy charakterystyczne dla 0Day malware, bo typowe moduły używane do tworzenia sygnatur czy uaktualniania czarnych list (np. file hash, control server IP address, itd.) zmieniają się z każdym atakiem, utrudniają obronę i skutecznie rozprzestrzeniają się w sieci. Właśnie dlatego tak dużo się mówi o dokumencie „złap mnie, jeśli potrafisz” opisującym Beebone.
McAfee Labs udało się zbudować automatyczny system, który już chronił przed takimi zagrożeniami  (w ramach McAfee GTI) w momencie, gdy Beebone się pojawił. Obecnie w zoo McAfee Labs znajduje się ponad 5 milionów różnych próbek W32/Worm-AAEH (Beebone) – całkiem dużo jak na jeden botnet. Ta liczba próbek świadczy również o tym, jak szybko malware polimorficzny ewoluuje i jak trudno utrzymywać tempo skutecznej obrony przed nim.

9:45             10:30

Operating environment hardening – how to achieve higher level of system resiliency?

Jørgen Woortman  / Microsoft

10:30               11:00

PRZERWA KAWOWA

11:00               11:40

Melanie RIEBACK  / Radically Open Security

 11:40              12:10

O DWÓCH TAKICH, CO OPERATORA REPUTACJĘ NADSZARPNĄĆ CHCIELI – STUDIUM PRZYPADKU

Krzysztof BIAŁEK  / Orange Polska

Na każdym kroku możemy natknąć się na informacje jak powinniśmy się zachowywać w świecie internetu, by nie paść ofiarą oszustów i naciągaczy. Wielu z nas ostrożnie podchodzi do odczytywania korespondencji pochodzącej od nieznajomych nadawców. Zwykle również nie otwieramy podejrzanie wyglądających załączników. Ale co w sytuacji, gdy atakujący umiejętnie podszyje się pod znaną instytucję? Z jakimi konsekwencjami może wiązać się otworzenie jednego maila za dużo?

12:10              13:10

OBIAD

13:10              13:40

Studium przypadku – APT29 i Hammertoss

Michał OSTROWSKI, Tomasz PIETRZYK / FireEye

Znaczenie ataków określanych jako “state-sponsored” (wspieranych przez rządy) w najbardziej znaczący sposób zaistniało najprawdopodobniej przy okazji publikacji raportu Mandaint na temat APT1. Raport ten ujawniał działania cyberszpiegowskie przeprowadzane przez grupę zlokalizowaną w Chinach. W czasie prezentacji przedstawione będą najnowsze, najbardziej znaczące aktywności związane z cyberszpiegostwem, które zawarte zostały w raporcie na temat grupy APT29. Grupa ta powiązana jest z rosyjską działalnością cyberprzestępczą.

13:40               14:10

Ewolucja złośliwego kodu, innowacyjny model ochrony przed szkodliwym oprogramowaniem.  Studium przypadku.

Juan SANTESMASES / Panda Security

Koncepcja oparta jest o klasyfikację wszystkich(!) wykonywalnych procesów na skali bezpieczeństwa oraz monitorowanie aplikacji w czasie rzeczywistym. Budowany sukcesywnie od kilku lat katalog procesów liczy ponad 1,2 miliarda pozycji, rozwiązanie gwarantuje stuprocentową ochronę zarówno w przypadku zaawansowanych ataków dedykowanych jak i ataków Zero-Day.  Przedstawimy studium przypadku, pokażemy mierzalne różnice na tle innych modeli zabezpieczeń.

14:10              14:40

Masking APT with DDOS

Oğuz YILMAZ / Labris Networks

Intrusion prevention systems have generally a limited packet processing capacity. This processing capacity has easily be filled up with high packet rate ddos attacks using common attack vectors. An infiltration case study will be presented.

14:40               15:10

PRZERWA KAWOWA

15:10               15:40

Meandry Streamingu – przypadki oszustw

Radosław MATULEWICZ / KWP Szczecin

Prezencja dotyczy nowej techniki przestępczej umożliwiającej kradzież sygnału telewizyjnego jaką jest streaming. Omawia poszczególne metody oraz sprzęt wykorzystywany przez osoby popełniające czyny zabronione. Porównuje przedmiotowe zjawisko z sharingiem internetowym oraz wskazuje jego skalę i dochodowość. Prezentacja określa problemy i błędy procesu wykrywczego, głownie w takcie prowadzonych postępowań przygotowawczych jak i postępowań przez sądem.

15:40               16:10

Alternatywne sieci komunikacji w operacjach partyzanckich (3 case study)

Adam HAERTLE  / ISACA

Rozwiązania telekomunikacyjne Hezbollahu i Hamasu w odpowiedzi na działania wywiadu Izraela, sieci łączności meksykańskich karteli narkotykowych oraz steganografia w publicznym radiu w walce z kolumbijską partyzantką.

16:10           16:40

Scrubbing Center – krótka historia narodzin

16:40          17:10

Jak zbudować i utrzymać bezpieczną aplikację? Case study włamania do jednego z banków.

 SOCIAL CASE STUDY NETWORKING

9:00               9:15

OTWARCIE DRUGIEGO DNIA KONFERENCJI

Mirosław MAJ / Fundacja Bezpieczna Cyberprzestrzeń

9:15               9:55

OCHRONA CYBERPRZESTRZENI RP – REAKCJA KONTROLOWANYCH JEDNOSTEK NA USTALENIA I WNIOSKI SFORMUŁOWANE W RAPORCIE NIK – „REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP”

Tomasz SORDYL / Najwyższa Izba Kontroli

Niespełna rok temu, w trakcie konferencji Security Case Study 2014 generał Marek Bieńkowski przedstawił wstępne wyniki raportu NIK z kontroli podmiotów państwowych z realizacji zadań w zakresie ochrony cyberprzestrzeni RP. Zakres tych wstępnych wniosków w dużej mierze pokrył się z wnioskami z końcowego, oficjalnego raportu, który został opublikowany w czerwcu 2015 roku. Czas na krok do przodu i analizę tego jakie są dalsze losy tak bardzo ważnego tematu dla bezpieczeństwa Państwa. Dyrektor Marek Bieńkowski przedstawi informacje dotyczące reakcji kontrolowanych jednostek na wnioski i rekomendacje NIK. Działania te stanowią bardzo ważną część dalszych działań państwowych związanych z poprawą cyberbezpieczeńtwa.

9:55              10:35

OSZUSTWA W SERWISIE AUKCYJNYM „OD E-MAILA DO BANKOMATU”

Dawid GOLAK, Błażej MIGA / Allegro

10:35               11:05

CHMURA: POUFNOŚĆ JAKO USŁUGA

Raphaël VINOT / The Computer Incident Response Center Luxembourg (CIRCL)

W prezentacji zostanie pokazane jak pewna grupa użyła pewnych nietypowych urządzeń do uzyskiwania informacji od dostawców usług chmurowych i ich zasobów sieciowych i zdołała ukryć te informacje w ruchu, który nie wyglądał na podejrzany.

11:05              11:35

PRZERWA KAWOWA

11:35              12:05

Co ekspert do spraw bezpieczeństwa powinien wiedzieć na temat chińskich oszustw gospodarczych dokonywanych za pośrednictwem internetu”

Piotr CANOWIECKI / ExamineChina.com 

12:05              12:35

Protokół Modbus – Stworzony do bycia niebezpiecznym

Marcin DUDEK / ComCERT

Ten protokół przemysłowy, mimo że ma już ponad 30 lat, nadal jest powszechnie używany na świecie. Dynamiczny rozwój „chmury” oddziałuje także na systemy przemysłowe, w tym systemy krytyczne dla funkcjonowania państwa. Niesie to za sobą ogromne wyzwania dla osób zajmujących się bezpieczeństwem, a przestarzały protokół na pewno w tym nie pomaga. Na prawdziwym sprzęcie zostaną zaprezentowane możliwe realistyczne ataki oraz pomysły na obronę na tym najniższym szczeblu.

12:35               13:35

OBIAD

13:35               14:05

Chasing down bad guys in Android stores

Adolfo HERNÁNDEZ / Eleven Paths

Powszechna komunikacja, spodziewane konsekwencje globalizacji, upowszechnienie urządzeń przenośnych są obecnie najgorętszymi tematami związanymi z bezpieczeństwem informacji. Na ponad 2 miliardy smartfonów na świecie (wg stanu na rok 2014) niemała liczba 16 milionów używanych urządzeń jest zainfekowana, i rośnie w tempie 36% rocznie. Liczba trojanów bankowych na urządzenia mobilne  jest dziewięciokrotnie większa niż rok temu. Zagrożenia w świecie mobilnym rosną nieustannie: konkretne ataki, agresywne adware, fałszywe aplikacje udające działanie prawdziwych tylko po to, aby wykraść informację w celu użycia jej w innej sytuacji. Te zagrożenia są już na tyle długo na rynku, że dotknęły tysięcy użytkowników. Wysoka dynamika rozwoju rynku aplikacji mobilnych i niewiarygodnie szybkie tempo pojawiania się nowych aplikacji spowodowały, że tradycyjne metody walki ze złośliwym oprogramowaniem stanęły na granicy nieskuteczności.

14:05               14:35

  Aplikacje Androidowe – niebezpieczne praktyki

Dawid PACHOWSKI, Patryk TENDERENDA, Michał SZKLARSKI / Politechnika Warszawaska

Na prezentacji zostanie pokazane jak łatwo obejść zabezpieczenia aplikacji mobilnej. Przykładem będzie program przechowujący zaszyfrowane notatki, działający w całości na urządzeniu (tj. offline). Prelegenci zdekompilują go, a słuchaczom przedstawią krótką analizę odzyskanego kodu. Omówione zostaną wykryte w nim błędy – nie tylko stricte programistyczne, ale również związane z logiką biznesową. Motywacją prelekcji jest pokazanie jak często programiści (i nie tylko) zapominają o bezpieczeństwie oprogramowania, które tworzą.

14:35               15:05

15:05               15:30

15:30              15:45

Tomasz CHLEBOWSKI, Mirosław MAJ
Fundacja Bezpieczna Cyberprzestrzeń

15:45               16:45

16:45              

WARSZTAT 1 – CERT GAMES 14 WRZEŚNIA

Ćwiczenia prowadzone przez zwycięską drużynę Cyber Europe 2014/ ComCERT.PL  (więcej na ten temat)  

Krystian Kochanowski
Dawid Osojca

CERT Games to ćwiczenia z zakresu obrony kluczowej dla organizacji infrastruktury teleinformatycznej.

1. Cel ćwiczenia:

Celem przeprowadzanego ćwiczenia jest kształtowanie dobrych nawyków i praktyk w zakresie obsługi incydentów oraz odpierania ataków na infrastrukturę informatyczną. W ćwiczeniu uczestnicy dostają do dyspozycji gotową infrastrukturę w której w skład wchodzą między innymi usługi takie jak: serwer www, serwer poczty, serwer plików czy serwer DNS. Zadaniem uczestników warsztatów będzie próba obrony własnych zasobów wszelkimi możliwymi defensywnymi technikami.Podczas ćwiczenia wymagana będzie od biorących w nim udział zespołów umiejętność przeprowadzenia działań polegających na poprawnym zabezpieczeniu powierzonej im infrastruktury oraz wykrywania ataków i szybkiego podejmowania decyzji stosownie do zaistniałego zagrożenia. Dodatkowym walorem ćwiczenia jest możliwość oceny zdolności wydelegowanych osób do pracy grupowej i zespołowego rozwiązywania problemów. Przez cały czas trwania ćwiczenia broniący się zespół jest oceniany co pozwoli na koniec w wymierny sposób ocenić skuteczność działań podejmowanych przez zespół. Ćwiczenie kończy się podsumowaniem wyników biorących w nim udział zespołów oraz dodatkowym panelem dyskusyjnym mającym na celu dyskusję nad podjętymi przez zespół działaniami oraz wyłonienie najlepszej strategii postępowania.

2. Warsztaty przeznaczone są dla:

• administratorów systemów informatycznych
• specjalistów ds. bezpieczeństwa

3. Zakres warsztatów obejmuje:

• wykrywanie ataków na chronioną infrastrukturę
• wykrywanie słabości konfiguracji i podatnych usług
• analiza logów i ruchu sieciowego
• system hardening

4. Wymagania dla osób biorących udział w warsztatach:

• podstawowa znajomość administracji systemami Linuks
• znajomość protokołów sieciowych i umiejętność analizy ruchu sieciowego
• podstawowa wiedza z zakresu bezpieczeństwa IT
• umiejętność analizy logów dla popularnych usług sieciowych

5. Wymagania sprzętowe dla uczestników:

• własny laptop z kartą ethernet lub WiFi
• zainstalowane oprogramowanie: – OpenVPN – klient VNC – klient ssh – przeglądarka internetowa

Wszelkie pytania dotyczące warsztatów można przesyłać na adres: [email protected].