Abstrakty 2024

 

Mateusz 'SHM' Kocielski - Emacsem przez BBSa

 

Zabawna historia o tym, jak można przypadkiem natknąć się na lukę, którą później można wykorzystać do zhackowania systemów BBS. Opowieść od początkowego odkrycia błędu aż do uzyskania dostępu do shella. Podatność jest tylko nieznacznie młodsza niż autor. Jak można sobie wyobrazić, wykorzystanie błędu w starszym oprogramowaniu powinno być łatwe, ale ku zaskoczeniu, demony z przeszłości okazały się najlepszym zabezpieczeniem. Aby jednak dowiedzieć się, dlaczego tak jest, musisz uczestniczyć w prelekcji... :)

 

Grzegorz Tworek - Jak napisałem milion wirusów

 

Przepis jest prosty: zrób generator kodu wirusa, skompiluj, namów innych, żeby zechcieli wszystkie te pliki uruchomić. Zdradzając zakończenie: udało się! Czy antywirusy, sandboxy, EDRy i inne podobne rozwiązania też powinny się cieszyć, ocenicie sami.

 

Bartosz Kisiel - Inżynieria wsteczna malware w formacie Mach-O 

 

Kiedy myślimy o inżynierii wstecznej złośliwego (i nie tylko) oprogramowania, domyślnie przychodzą nam do głowy platformy Windows czy Linux oraz analizy plików w formatach takich jak PE czy ELF. Jak natomiast sprawy się mają, gdy chcemy zreversować plik w formacie Mach-O? Na to i kilka innych pytań dotyczących inżynierii wstecznej plików tego formatu postaram się odpowiedzieć podczas swojej prelekcji.

 

Lena Sędkiewicz -  Syzyfowe prace - wdrażanie OWASP Top 10 okiem web developera (Sisyphean task - developer's thoughs on OWASP Top 10 implementation)

 

[PL] Przestrzeń dla cybersecurity znajdzie się wszędzie - nawet w pracy ‘zwykłego’ web developera. Frameworki, biblioteki, CMSy, wtyczki, motywy czekają na odkrycie w nich podatności, nie mówiąc już o naszym własnym kodzie na co dzień wrzucanym na produkcję. Mimo to, wdrażanie rozwiązań związanym z bezpieczeństwem wciąż nie jest oczywiste i przypomina syzyfowe prace, a temat security wraca dopiero, gdy strona czy aplikacja została zhakowana. Co wpływa na ten stan rzeczy? Co można z tym zrobić? Jak można uprościć wdrażanie rozwiązań związanych z bezpieczeństwem? I jak zachęcić web developerów do zapoznania się z OWASP Top 10 tak, aby pisali bezpieczniejszy kod? W prezentacji podzielę się swoim doświadczeniem bycia web developerem kroczącym przez sferę bezpiecznikowych szarości.

 

[EN] Demand for security is everywhere, even if you are 'just' a web developer. Frameworks, libraries, CMSes, plugins, themes - they all have vulnerabilities yet to be discovered, not to mention our own code we implement every day. Still, implementing security solutions seems to be a Sisyphean task. Usually app or website owners do not think of security until being hacked. Why it looks like this and how to deal with it? What are possible solutions to simplify implementing security? And how every dev can learn OWASP Top 10 efficiently? I'll answer this questions referring on my experience as a web developer and show, that between black and white of safe programming there are many shades of grey.

 

Lena Sędkiewicz -  Shackowany umysł - jak konstrukcja mózgu sprzyja hackerom

 

 Ataki socjotechniczne - to pojęcie zna każdy bezpiecznik. Jednak nie tylko brak wiedzy, pośpiech i nadmierne zaufanie sprzyjają hackerom. Nasz mózg jest wręcz stworzony do tego, by dać się shackować. Czemu natura tak działa? I co zrobić, by nasz mózg był mniej "hackowalny"? 

 

CheshireCat - A gdzie podział się metal?

 

Czy w dobie uchmurowienia wszystkiego potrzebni nam są jeszcze klasyczni admini?

 

Katarzyna Bartnik - Oszustwa inwestycyjne, czyli krótka droga od milionera do bankruta

 

To nie będzie prezentacja o tym jak zostać milionerem, ale o tych, którzy chcieli dużo zarobić, a jeszcze więcej stracili. Podczas prezentacji opowiem o znanym, ale bardzo aktywnym sposobie działania cyberprzestępców. Temat poruszę zarówno od strony gry psychologicznej stosowanej przez oszustów, jak i od kuchni ich działania (analiza CTI). Chociaż ten schemat przestępczy nie jest nowy, to na przestrzeni ostatnich miesięcy pojawiają się urozmaicone warianty tego oszustwa, co sprawia, że niektóre osoby kilkukrotnie padają ofiarami tych samych grup przestępczych.

 

Iwona Polak - Wesoły świat pamięci podręcznej

 

Gdy Internet ma potrzebę trochę odetchnąć, z radością korzysta z pamięci podręcznej różnej maści urządzeń pośredniczących. Dopóki jest to zrobione z głową, to pamięć podręczna faktycznie pomaga. Ale czasem nawet Internet traci głowę i wtedy potyka się o własne sznurówki, dostarczając podatności tam, gdzie ich wcale nie było lub gdzie nie były możliwe do wykorzystania.

 

Beata Zalewa - Microsoft Copilot for Security - dobry, zły i brzydki

 

Microsoft Copilot for Security to pierwszy produkt związany z bezpieczeństwem, który umożliwia defenderom poruszanie się z szybkością i skalą sztucznej inteligencji. Łączy w sobie najbardziej zaawansowane modele językowe (LLM) opracowane przez OpenAI z danymi na dużą skalę i analizą zagrożeń, obejmującą ponad 78 bilionów sygnałów bezpieczeństwa dziennie. Podczas tej sesji pokażę możliwości Microsoft Copilot for Security, który pomaga chronić systemy, informacje i sieci. Zawiera także różne funkcje, takie jak analiza behawioralna, wykrywanie zagrożeń, skanowanie podatności i badanie incydentów. Jednak – jak każda nowość na rynku – także Copilot for Security może nas niemile zaskoczyć. Jak? Przekonasz się o tym biorąc udział w tej sesji. 

 

 

Adrian Kapczyński, CISA, CISM, Ph.D. -  Biometrics: 2024 

 

W trakcie prelekcji przedstawione zostaną najnowsze osiągnięcia w obszarze biometrii. 

 

Omówimy, między innymi: 

(1) biometrię behawioralną; 

(2) biometrię wielomodalną; 

(3) biometrię bezdotykową; 

(4) aktualne etyczne i prawne aspekty dotyczące biometrii; 

(5) rolę #AI w systemach biometrycznych.

 

Pod koniec prelekcji skupimy się na przyszłych wyzwaniach i kierunkach rozwoju biometrii.

 

Małgorzata Olszówka - Jak naprawiam OpenSSL-a

 

Pracując nad narzędziami kryptograficznymi, jak stunnel i osslsigncode, napotkałam liczne wyzwania związane z wykorzystywaną przez nie biblioteką OpenSSL, będącą jednym z kluczowych projektów open source w dziedzinie bezpieczeństwa. Zamiast ograniczać się do zgłaszania błędów (issues), postanowiłam aktywnie przyczyniać się do rozwoju projektu poprzez tworzenie żądań zmian (pull requestów), co pozwala na szybkie eliminowanie występujących problemów.

Podczas prezentacji wskażę, jak skutecznie formułować żądania zmian, by były one szybko przetwarzane i akceptowane przez społeczność. Omówię również korzyści płynące z takiego podejścia, zarówno dla mnie jako programisty, jak i dla całej społeczności open source. Podzielę się swoimi doświadczeniami oraz najlepszymi praktykami związanymi z procesem tworzenia żądań zmian.

Celem mojego wystąpienia jest pokazanie, że każdy z nas może przyczynić się do podnoszenia jakości oprogramowania open source. Zapraszam wszystkich zainteresowanych rozwojem oprogramowania open source, którzy chcieliby poznać moje metody radzenia sobie z błędami w OpenSSL.

 

Adam Borzymowski- Podsumowanie ze 100 pentestów - na co zwrócić uwagę

 

Opis prezentacji Czego dowiedzą się uczestnicy, jaką wartość wyniosą z prelekcji

Przejście przez proces zlecania i przeprowadzania testów penetracyjnych w organizacji - zbiór dobrych praktyk oraz opis procesu. Omówione pytań z podsumowaniem, które zostanie przedstawione w formie case study, ukazując najczęściej popełniane błędy z obu perspektyw. Na zakończenie - kilka wniosków dotyczących dbania o własne środowisko oraz cyberbezpieczeństwo w kontekście tworzenia nowych rozwiązań.

 

Michał Mikołajczak - GPT, show me the PII! Common LLMs security pitfalls and their prevention.

 

In the dynamic landscape of technology, Generative AI (GenAI), especially Large Language Models (LLMs) are one of the most important and revolutionizing recent trends. These advanced models offer a plethora of advantages and enable many new use cases – leading to their adoption in a diverse range of applications. 

However, these models on top of being useful, also bring a lot of new, unique security challenges – ones that not only “classic” security experts, but also even the most seasoned AI practitioners find themselves grappling with, due to the vastness of new potential risks, attack vectors, and uncertainty of the potential implications for both our organizations' data and users well-being. 

This talk will go through the most common categories of security threats, vulnerabilities, and unique challenges classified to date in LLM-based applications – describing their nature and possible attacks execution, but also how the developers and architects can try to mitigate these in the system design and implementation.

 

Albert Dubrawski - "Defence in somewhere" i "100% trust". Czyli czy niektóre paradygmaty bezpieczeństwa można już zapomnieć.

 

Prezentacja ma na celu trochę na luzie ponarzekać i zwrócić uwagę na problemy dotyczące współczesnych rozwiązań w chumrze w architekturze "one ring to rule them all", o których wszyscy wiedzą ale zdecydowanie za często udaje się że nie istnieją.

 

Mikołaj Łajming - CPU - od projektu do urządzenia

 

1. O prowadzącym - czyli o mnie

2.1 Krótko o roli CPU w dzisiejszym świecie

2.1.1 Szybka lekcja historii

2.1.2 Architektury - podobieństwa i różnice

2.1.3 Zestawy instrukcji - RISC, CISC i inne

2.1.4 Układy programowalne, specjalizowane oraz inne

2.2 Elementy składowe CPU - od tranzystora po rdzeń

2.3 Matematyka CPU

3.1 Krótko o procesie produkcji

3.1.1 Półprzewodniki - Krzem, azotek galu i inne

3.1.2 Podłoże

3.1.3 Domieszkowanie

3.1.4 Fotolitografia

3.1.5 Wypełnianie

3.1.6 Etching

3.1.7 Procesy pośrednie i kontrola jakości

4.1 Pozostałe informacje oraz ciekawostki

5 Sekcja pytań

 

Maja Goschorska, Mateusz Kopacz - Ochrona przed atakami nowych typów ransomware za pomocą uczenia maszynowego

 

Sztuczna inteligencja odgrywa coraz istotniejszą rolę w cyberbezpieczeństwie, jednak poleganie na skomplikowanych modelach „czarnej skrzynki” nie jest zawsze optymalne.

Proofread: Jako ostatniej linii obrony przed cyberzagrożeniami takimi jak ransomware, potrzebujemy lekkich i szybkich modeli, zdolnych do ciągłego monitorowania urządzeń użytkowników bez obciążania zasobów maszyny i bez konieczności ciągłego dostępu do internetu. Kluczowa jest ich interpretowalność i modyfikowalność, aby nadążać za zmieniającymi się zagrożeniami. Przedstawiam metodę wykrycia ransomware na podstawie wzorców zachowań, wykorzystującą interpretowalny addytywny model oraz złożone środowisko treningowe w chmurze.

 

Marcin Szywała - Dezinformacja jako naturalne środowisko człowieka.

 

Założenie jest takie, że z chwilą powstania informacji, czyli protoinformacji ulega

ona przekształceniu, zmianie powielaniu interpretacji, fałszowaniu - działaniu celowemu i niecelowemu. Wytwarza się chaos. Wraz z przekształcaniem więcej jest informacji przekształconych, zmienionych, fałszywych w obiegu niż prawdziwych. Żyjemy bardziej w bańce dezinformacyjnej niż informacyjnej. Jest ona b. naturalnym środowiskiem dla nas niż informacja.

 

Kamil Frankowicz - Automatyzacja automatyzacji czyli o fuzzingu w dobie GPT-4o & Gemini i innych (+ trochę o testowaniu modeli)

 

Ostatnie lata to rosnące zainteresowanie i zastosowanie technologii uczenia maszynowego oraz modeli językowych, które przyczyniło się do odkrycia nowych wyzwań w dziedzinie bezpieczeństwa tego typu oprogramowania - w tym zarówno testowania jak i osiągnięcia stabilności generowanych rezultatów. 

W prezentacji zostaną zaprezentowane nowe narzędzia, aktualne podejście do efektywnego i co najważniejsze automatycznego testowania oraz wykorzystania tych metod w poszukiwaniu błędów we frameworkach / bibliotekach uczenia maszynowego oraz modelach LLM. 

Ten abstrakt został wygenerowany przez Chat-GPT 4 ( ͡° ͜ʖ ͡°)

 

Paweł Mateja - Telegram 101 

 

Podstawy Telegrama dla bezpieczników, czyli boty, api, scamy i dlaczego warto zawracać sobie tym głowę

 

Oskar Klimczuk -  Północnokoreańscy towarzysze w antywirusie

 

Przysłowie mówi, że najciemniej jest pod latarnią. Podobnie było w ataku Kimsuky, które zaszyło malware w oprogramowaniu antywirusowym.

Pokażę Wam naprawdę kreatywne podejście cyberprzestępców.

Do zobaczenia!

 

Beata Zalewa - Azure OpenAI Security: Best Practice on using Azure OpenAI Service

 

The session aims to explore the best practices for ensuring security when utilizing the Azure OpenAI Service, a powerful tool that combines Azure's robust cloud capabilities with OpenAI's advanced AI models. As businesses and developers increasingly integrate AI into their operations and products, the need for comprehensive security measures becomes paramount to protect sensitive data, maintain privacy, and comply with regulatory standards. Key topics will include an overview of the Azure OpenAI Service, highlighting its features, capabilities, and potential applications across various industries. The session will delve into the security aspects of the service, discussing Azure's built-in security measures, such as authentication, access control, data encryption in transit and at rest, and network security configurations that safeguard against unauthorized access and potential threats.

 

Konrad Kałużny - Co zrobić, żeby Twojej systemy za miliony monet rzeczywiście ratowały Ci skórę? - Proactive Defence w praktycznych przykładach

 

Jak w dzisiejszych czasach zmniejszyć szanse na bycie ofiarą? Jak działać i co robić żeby nie tylko nadążyć za trendami ataków, ale i wyjść im naprzeciw? Adaptacja CTI to jedno, ale jakie informacje są w rzeczywistości użyteczne i jak możemy je wykorzystać? Czy jeśli już kupiłeś już narzędzia to korzystasz z ich pełnego potencjału? Przedstawię proaktywne podejście do analizy i wykrywania zagrożeń i postaram się przedstawić Ci jak możesz zweryfikować odpowiedź na te i inne pytania pytania w swojej organizacji.

 

Aleksandra Bathelt - CyberChef dla analityków cyberbezpieczeństwa

 

W dziedzinie cyberbezpieczeństwa efektywne przetwarzanie i analiza danych są kluczowe dla skutecznego wykrywania zagrożeń i reagowania na nie. CyberChef, potężne narzędzie, które oferuje kompleksowe rozwiązanie dla analityków. Ta prezentacja pokaże, jak CyberChef może usprawnić codzienne zadania, takie jak analiza logów, badanie złośliwego oprogramowania i wyodrębnianie IOC.

Omówię kluczowe cechy narzędzia, w tym jego przyjazny interfejs użytkownika i szeroki zakres operacji. Praktyczne przykłady pokażą, jak CyberChef może automatyzować rutynowe zadania, poprawiać efektywność przetwarzania danych i zwiększać dokładność analizy. Dodatkowo omówimy zaawansowane funkcjonalności.

Na koniec sesji uczestnicy będą wiedzieć, jak skutecznie korzystać z CyberChef, aby zwiększyć swoją efektywność i skuteczność w zarządzaniu zagrożeniami cyberbezpieczeństwa.

 

Adrien Lasalle - Hardware Hacking Curiosity

 

I am Adrien Lasalle, Offensive Security Advisor living in Montreal, Canada. Had the chance to present a talk at NorthSec Montréal 2024 and InCyber NorthAmerica in 2023, regarding hardware hacking and IoT hacking. 

I'm excited to share my discoveries and experiences thus far, highlighting the potential that curiosity holds in reshaping one's path. This talk aims to demystify hardware hacking for beginners and enthusiasts alike, offering valuable insights, practical tips, and a hands-on tutorial for a deeper understanding of this intriguing field. 

This presentation provides a comprehensive introduction to the essentials of IoT security and vulnerability assessment, with a focus on practical, hands-on techniques. Key topics include:

* Safety and Ethics: Emphasis on safety disclaimers related to electronics, soldering, and the ethical considerations inherent in hardware hacking.

* IoT Security Fundamentals: An exploration of common vulnerabilities in IoT devices and the methodologies used for vulnerability assessment.

* Serial Ports Fundamentals: Detailed discussion on serial ports, including UART, JTAG, and SPI

* Firmware Extraction Techniques: Various methods for extracting and analyzing firmware from IoT devices.

* Hands-On Demonstration: A live demonstration applying learned techniques to gain a shell and retrieve secrets from an IoT device.

 

Ścibór Sobieski - Zadbaj o swój najcenniejszy hardware i software - samego siebie

 

Jak to jest, że jako specjaliści naszej branży, doskonale wiemy, jak dbać o backup, archiwa, procedury? Jak to jest, że przeprowadzamy pentesty, wymyślamy scenariusze, jak można do naszych systemów się włamać? A gdy ktoś zapyta, kiedy zrobiłeś przegląd serwisowy własnego ciała, to zwykle się śmiejemy? 

Pogadajmy jak inżynier z inżynierem, o tym, jak działa stres, zarówno przed atakiem, jak i po nim. Sprawdźmy, jak stres się nawarstwia, niemal niezauważalnie, dzień po dniu, a w końcu... 

Porozmawiajmy otwarcie o tym, co możemy z tym zrobić, jak to inżynierowie na podstawie badań i twardych liczb. Poszukajmy odpowiedzi na pytanie: Jak zaopiekować się naszym własnym hardware i software?

 

Marcin Ganclerz - Wiedza - najlepsza broń w jaką możesz uzbroić pracowników

 

Efektywny program edukacji pracowników w zakresie cyberbezpieczeństwa jest kluczem do bezpieczeństwa organizacji. Wciąż wiele firm nie wie jednak, jak skutecznie uzbroić pracowników w najlepszą broń do walki z cyberprzestępcami, czyli wiedzę. Statystyki pokazują, że za 70-90% skutecznych ataków odpowiada phishing i socjotechnika. Ich głównym celem są pracownicy, dlatego firmy powinni wiedzieć, co zrobić aby we właściwy sposób przekazywać wiedzę. Efektywna edukacja pracowników powinna przede wszystkim polegać na zmianie zachowań pracowników. Bez tego elementu nawet najbardziej atrakcyjne szkolenie nie będzie spełniało swojej roli. Jeśli bowiem pracownicy nie zmieniają swoich zachowań to cały wysiłek, który wkładamy w edukację, jest marnowany. W prezentacji zostaną też poruszone inne elementy skutecznego programu edukacji pracowników w zakresie cyberbezpieczeństwa, jak wsparcie kadry zarządzającej, atrakcyjny e-learning, ciekawa komunikacja a także stworzenie brandu dla programu podnoszącego świadomość w zakresie cyberbezpieczeństwa.

 

Jakub Plusczok - GPS spoofing i jamming - jakie to proste

 

Dużo ostatnio się słyszy o zakłócaniu GPS. O co chodzi? Jak się to robi? Jak w ogóle działa GNSS - GPS? Jakie urządzenia odbierają sygnał GPS i czy na pewno mogą mu ufać?

W trakcie prezentacji:

- omówię czym są systemy GNSS (jak działają, różnice),

- pokaże dwa ataki na system GPS (spoofing, jamming) (DEMO),

- omówię konsekwencje ataków na GNSS,

- wskaże metody obrony. 

PS. Prezentacja została stworzona w sposób minimalizujący emisję CO2, poprzez jednokrotne przygotowanie materiałów, które są następnie wykorzystywane na kolejnych konferencjach, co ogranicza emisję CO2 w porównaniu do tradycyjnego modelu tworzenia nowych prezentacji na każdą konferencję.

 

Angelika Maria Piątkowska - "Nie stać cię na włam" - Społeczne koszty zwykłego "odpalenia skryptu".

 

W trakcie tej prezentacji zastanowimy się jakie są realne koszty choćby najprostszego incydentu. A są to koszty nie tylko dla dotkniętego nim podmiotu, ale także dla wielu przypadkowych ofiar i dla środowiska. Przyjrzymy się "efektowi motyla" w technicznym kontekście. Cierpią ludzie, cierpią zwierzęta, cierpi środowisko. Nawet jeśli "ktoś sobie zasłużył", to z pewnością nie zasłużyły sobie wszystkie postronne ofiary. W trakcie tej prezentacji oddamy im głos.

 

Mateusz Lewczak - State-of-the-art crackowania hashy na FPGA

 

Mateusz przedstawi swoje open sourceowe narzędzie, które można wykorzystać do szybszego crackowania (wybranych) hashy, które na GPU wymagają o wiele więcej czas niż na specjalnie zaprojektowanych układach logicznych. Przedstawi faktyczne zalety i wady takiego rozwiązania. Porównanie kosztów oraz wyników dla poszczególnych hashy. I postawi swoje rozwiązanie do walki z czterema RTX'ami 4090.

 

Rafał Kiełbus - Filary bezpieczeństwa technologii blockchain i walut cyfrowych.

 

- ile to jest 256 bitów możliwości

- trylemat blockchain

- różnice pomiędzy blockchain, DLT i kryptowalutami

- klucz prywatny, publiczny, adres

- mnemonik (zwany niepoprawnie seedem)

- konsensus PoW, PoA, PoS

- kiedy użycie blockchain może mieć sens, jak go wybrać

- bajki z mchu i paproci czyli mity o blockchain i krypto

 

Karol Szafrański - SSHardening. Utwardzanie konfiguracji SSH/SCP/SFTP. 

 

Wszyscy używają, znają i rozumieją SSH, prawda? Prawda?!…

Po pierwsze – prócz zdalnej powłoki ta usługa udostępnia co najmniej pięć innych protokołów. Wyłączymy zbędne a z pozostałych wyciśniemy tyle, ile się da.

Po drugie – klucze. Skonfigurujemy je w sposób bezpieczny i wygodny. Wreszcie naprawdę uznacie używanie haseł w SSH za przeżytek – a przynajmniej taką mam nadzieję:)

Po trzecie – admin to nie user, user to nie automat. Uszczelnimy, pogrupujemy i ograniczymy – niech dla każdego konta działa to, co naprawdę potrzebne – i nic więcej.

A po czwarte - możliwości wdrożenia 2FA jest więcej, niż protokołów wymienionych w punkcie pierwszym - rzucimy na nie okiem.

 

Piotr Bożydar Szymajda -  [Nie] Jesteś anonimowy w sieci.

 

Codziennie w internecie pojawiają się niezliczone ilości nowych zdjęć, filmików czy postów.

Miliony ludzi, ukrytych za wymyślnymi loginami, czuje się bezpieczna, odseparowana od prawdziwego świata.

Niskiej jakości filmy ukazują zakapturzonych ludzi, którzy czując się bezkarnie znęcają się nad zwierzętami.

Influencerki, nie podające nigdzie swoich adresów, czują się bezpiecznie odgrodzone ekranami od swoich psychofanów.

A osoby prowadzące setki fake kont na portalach społecznościowych i forach zachwalają swoją przebiegłość.

Czy faktycznie nie da się ich namierzyć? Na swojej prezentacji pokażę, że da się to zrobić i to nie będą osobą wybitnie techniczną.