Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
PLNOG 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
Konferencja TestFest - 20.02.2016 - Wrocław
Prezentacja ma za zadanie przedstawić zestaw narzędzi ułatwiających zautomatyzowane testy bezpieczeństwa aplikacji webowych. Dodatkowo zostaną omówione wady i zalety każdego z rozwiązań.
Semafor 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
Wnioski z technicznego badania kilkudziesięciu polskich aplikacji bankowych przeznaczonych na platformy Android oraz iOS pod kątem występowania w nich podatności z OWASP Mobile TOP 10. Prezentacja rzeczywistych błędów w oprogramowaniu mobilnym, praktycznych porad jak zabezpieczyć aplikacje oraz odniesienie uzyskanych rezultatów do badań przeprowadzonych w innych krajach.
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
Wystąpienie poświęcone było najciekawszym ukierunkowanym atakom socjotechnicznym... a także tym mniej spektakularnym, ale równie skutecznym atakom phishingowym, wycelowanym w szeregowych internautów. Oprócz przybliżenia problemu, celem prezentacji jest także próba znalezienia odpowiedzi na pytanie jak w poszczególnych przypadkach można było pokrzyżować plany cyberprzestępców i ustalenia podstawowych zasad, których przedstrzeganie pozwoli internautom na zmniejszenie powodzenia kolejnych tego typu działań.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
PLNOG 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
Konferencja TestFest - 20.02.2016 - Wrocław
Prezentacja ma za zadanie przedstawić zestaw narzędzi ułatwiających zautomatyzowane testy bezpieczeństwa aplikacji webowych. Dodatkowo zostaną omówione wady i zalety każdego z rozwiązań.
Semafor 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
Wnioski z technicznego badania kilkudziesięciu polskich aplikacji bankowych przeznaczonych na platformy Android oraz iOS pod kątem występowania w nich podatności z OWASP Mobile TOP 10. Prezentacja rzeczywistych błędów w oprogramowaniu mobilnym, praktycznych porad jak zabezpieczyć aplikacje oraz odniesienie uzyskanych rezultatów do badań przeprowadzonych w innych krajach.
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
Wystąpienie poświęcone było najciekawszym ukierunkowanym atakom socjotechnicznym... a także tym mniej spektakularnym, ale równie skutecznym atakom phishingowym, wycelowanym w szeregowych internautów. Oprócz przybliżenia problemu, celem prezentacji jest także próba znalezienia odpowiedzi na pytanie jak w poszczególnych przypadkach można było pokrzyżować plany cyberprzestępców i ustalenia podstawowych zasad, których przedstrzeganie pozwoli internautom na zmniejszenie powodzenia kolejnych tego typu działań.
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...PROIDEA
Speaker: Borys Lacki
Language: Polish
Historia trzech ataków typu APT wykonanych podczas kontrolowanych testów penetracyjnych. W których od zerowej wiedzy na temat atakowanej firmy przejęto infrastrukturę i uzyskano dostęp do poufnych informacji wykorzystując 0-day w Quake, pendrive w toalecie damskiej oraz plik faktura.exe. Oprócz mrożących krew w żyłach historii zostaną pokazane praktyczne porady jak nie stać się bohaterem kolejnej edycji wykładu.
CONFidence: http://confidence.org.pl/pl/
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PROIDEA
Borys Łącki - LogicalTrust
Language: Polish
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Zarejestruj się na kolejną edycję PLNOG już dzisiaj: krakow.plnog.pl
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)PROIDEA
Prezenter omówi najczęstsze problemy związane z dedykowanymi atakami typu phishing na podstawie przeprowadzonych testów bezpieczeństwa. Słuchacze zrozumieją dlaczego skuteczny atakujący zawsze wygrywa i otrzymają praktyczne wskazówki dotyczące procesów, technologii i edukacji, by maksymalnie utrudnić zadanie cyberprzestępcom.
W prezentacji zostaną ukazane prawdziwe przykłady z testów penetracyjnych typu RedTeam, w których każdy sposób na kradzież informacji jest dobry. Phishing, złośliwe oprogramowanie, fałszywe domeny, przełamywanie zabezpieczeń fizycznych - to tylko niektóre aspekty poruszane podczas prelekcji. Pokażemy nasze sukcesy oraz porażki, metody ataków oraz dobre praktyki ograniczające możliwość skutecznego ataku wymierzonego w zasoby firmowe.
Jak być gotowym na nieprzewidziany atak - Konferencja IT Professional SECURIT...AB SYSTEMS
Prezentacja, w której dzielimy się praktycznymi przykładami stosowania technologii IT SECURITY.
Razem z WatchGuard’em - producentem zapewnianiającym bezpieczny dostępu do sieci i jej zasobów dzięki rozwiązaniom UTM i Next Generation Firewall – pokazaliśmy jak być gotowym na nieprzewidziany atak.
Co można powiedzieć w skrócie o rozwiązaniach WATCHGUARD’a?
Urządzenia WatchGuard’a realizują ponad MILIARD skanowań na godzinę
WatchGuard chronił klientów ponad 22 MILIARDY razy w 2015
Opis prezentacji:
Cyber-infekcji nie da się w 100% uniknąć. Wcześniej czy później zdarzą się incydenty i naruszenia polityk. Ważne, aby się do tego przygotować, umieć samodzielnie wykryć atak/infekcję i mieć przygotowaną skuteczną odpowiedź. Skuteczna i szybka odpowiedź pozwoli na izolację zagrożenia i szybkie jego wyeliminowanie. W przypadku ataków ransomware możliwe jest nawet skuteczne uniknięcie zaszyfrowania danych.
Po fakty techniczno-funkcjonalne zapraszamy bezpośrednio do nas. Chętnie odpowiemy na każde pytanie, a sprzęt wypożyczymy do testów biuro@absystems.pl.
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)PROIDEA
The presentation will be about real examples of redteam attacks targeted at Polish customers. We will show the advantages and disadvantages of certain type of attacks and our failures and successes. We will summarize the most important best practices to protect against a redteam and good advices on how to attack effectively and be more stealthly.
#phishing, #malware, #physicalsecurity, #hackinggadgets
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?SecuRing
Urządzenia przenośne (smartfony, tablety) coraz częściej zastępują komputer w roli klienta aplikacji. Ponadto ich zastosowanie umożliwia wdrożenie nowych, niestosowanych dotąd funkcji zmieniających sposób korzystania przez klienta z usług finansowych czy płatności. W swojej prezentacji chciałbym omówić problemy dotyczące bezpieczeństwa informacji jakie należy rozpatrzyć wdrażając usługi mobilne. W szczególności chciałbym się skupić na defektach w oprogramowaniu, które mogą przyczynić się do wzrostu ryzyka stosowania technologii mobilnych.
Omawiane problemy:
- Profil ryzyka: Czym pod względem bezpieczeństwa różni się aplikacja mobilna od aplikacji przeglądarkowej?
- Ograniczenia środowiska mobilnego – wpływ na bezpieczeństwo.
- Typowe podatności dla aplikacji internetowych – czy są one aktualne dla aplikacji mobilnych?
- Ryzyka i podatności specyficzne dla aplikacji mobilnych – Przykłady.
- Dane przechowywane na urządzeniu.
- Autoryzacja transakcji.
- Wrogie oprogramowanie (malware).
- Bezpieczna aplikacja mobilna – Jak to osiągnąć?
- Wymagania (również niefunkcjonalne) odnośnie bezpieczeństwa – Przykłady dla bankowości mobilnej
- Ocena projektu
- Testy bezpieczeństwa
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comLeszek Mi?
W dobie rozwijającego się w szybkim tempie rynku sprzedaży exploitów typu 0-day i wszechobecnych backdoorów w tzw. „drogich zabawkach”, coraz trudniejszym staje się utworzenie i utrzymanie bezpiecznej infrastruktury krytycznej. Aktualizacje oprogramowania jak i tzw. „old-schoolowe” triki utwardzające systemy i urządzenia sieciowe nadal uznawane są za poprawne, ale zdecydowanie nie są wystarczające. Potrzebujemy mechanizmów profilowania zachowania zarówno sieci, systemów jak i administratorów i użytkowników końcowych. Potrzebujemy więcej dedykowanych, „szytych na miarę” defensywnych konfiguracji oraz przede wszystkim izolacji na poszczególnych warstwach infrastruktury. Jednocześnie zdobywanie przez kadrę techniczną aktualnej, niepowiązanej z żadnym vendorem wiedzy z zakresu „offensive vs defensive” staje się kluczową kwestią w rozwoju technologicznym zespołów IT/ITSec.
Podczas prezentacji, na bazie wieloletniej obserwacji „podwórka IT Security” postaram się przedstawić możliwości, jakie drzemią w rozwiniętych rozwiązaniach Open Source dedykowanych utwardzaniu, profilowaniu i monitorowaniu systemów i sieci. Na bazie rzeczywistych przypadków omówione zostaną wybrane sposoby ochrony i wykrywania zdarzeń wykorzystując:
– izolację (Apparmor, SELinux, Docker/LXC, chroot/jail) celem utrudnienia eskalacji uprawnień
– filtrowanie i profilowanie (seccomp, systemtap, sysdig, GRR, Volatility, modsecurity/naxsi)
– aktywną i pasywną analizę ruchu sieciowego celem wczesnego wykrywania zagrożeń
– hardening jądra systemowego i przestrzeni użytkownika
– centralne miejsce składowania logów i korelacji zdarzeń (Elastic, Logstash, Kibana)
Prezentacja jest swego rodzaju drogowskazem do zbudowania własnej „fortecy” w sposób odmienny od tego, jaki prezentują liderzy komercyjnego rynku. Zastrzyk merytoryki gwarantowany!
Prezentacja z konferencji ISSA InfoTRAMS Holistic Application Security
Od kilku lat na świecie jest promowane podejście polegające na wpisaniu bezpieczeństwa w cały cykl rozwojowy oprogramowania. W polskiej praktyce, nadal kwestie związane z bezpieczeństwem najczęściej poruszane są na dopiero na końcu projektu, tuż przed wdrożeniem gdy wykonywane są testy bezpieczeństwa. Bardzo często takie podejście skutkuje znacznymi kosztami usuwania błędów i sporym "zamieszaniem" w projekcie, ale o tym firma przekonuje się dopiero "za 5 dwunasta", po wykonaniu testów bezpieczeństwa. Z reguły, usuwanie podatności na tym etapie projektu polega na "gaszeniu pożarów" i przyklejaniu kolejnych łatek zamiast wprowadzenia systemowych zmian. W rezultacie, w dalszym cyklu życia, po wprowadzeniu zmian funkcjonalnych wypływają nowe przypadki wystąpienia starych błędów.
Jak to zmienić? Czy zastosowanie podstawowych zasad tworzenia bezpiecznego oprogramowania jest faktycznie takie skomplikowane jak by mogło się wydawać?
W trakcie prezentacji zostaną przedstawione metodyki wprowadzania bezpieczeństwa do całego cyklu rozwojowego oprogramowania (na przykładzie OWASP SAMM), również z uwzględnieniem sytuacji, gdy stworzenie aplikacji zlecane jest dla firmy zewnętrznej. Krótko omówiona zostanie skuteczność i potencjalne problemy tych metodyk w naszych, polskich realiach. Przedstawione zostanie także kilka prostych sposobów, które zdaniem autora pozwolą na skuteczniejsze osiągnięcie zamierzonego efektu - czyli aplikacji nieobarczonej podatnościami.
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
Piotr Wojciechowski – Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator.
Topic of Presentation: TBD
Language: Polish
Abstract: TBD
Prezentacja ma na celu poruszenie zagadnienia dotyczącego różnorakich metod wykorzystywanych przez cyberprzestępców. Zarówno w kontekście technicznym jak i marketingowym. Dodatkowo zostaną zaprezentowane aktualne dane statystyczne i finansowe oraz trendy kształtujące "czarny rynek". Seconference.pl 2009
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...PROIDEA
Speaker: Borys Lacki
Language: Polish
Historia trzech ataków typu APT wykonanych podczas kontrolowanych testów penetracyjnych. W których od zerowej wiedzy na temat atakowanej firmy przejęto infrastrukturę i uzyskano dostęp do poufnych informacji wykorzystując 0-day w Quake, pendrive w toalecie damskiej oraz plik faktura.exe. Oprócz mrożących krew w żyłach historii zostaną pokazane praktyczne porady jak nie stać się bohaterem kolejnej edycji wykładu.
CONFidence: http://confidence.org.pl/pl/
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PROIDEA
Borys Łącki - LogicalTrust
Language: Polish
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Zarejestruj się na kolejną edycję PLNOG już dzisiaj: krakow.plnog.pl
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)PROIDEA
Prezenter omówi najczęstsze problemy związane z dedykowanymi atakami typu phishing na podstawie przeprowadzonych testów bezpieczeństwa. Słuchacze zrozumieją dlaczego skuteczny atakujący zawsze wygrywa i otrzymają praktyczne wskazówki dotyczące procesów, technologii i edukacji, by maksymalnie utrudnić zadanie cyberprzestępcom.
W prezentacji zostaną ukazane prawdziwe przykłady z testów penetracyjnych typu RedTeam, w których każdy sposób na kradzież informacji jest dobry. Phishing, złośliwe oprogramowanie, fałszywe domeny, przełamywanie zabezpieczeń fizycznych - to tylko niektóre aspekty poruszane podczas prelekcji. Pokażemy nasze sukcesy oraz porażki, metody ataków oraz dobre praktyki ograniczające możliwość skutecznego ataku wymierzonego w zasoby firmowe.
Jak być gotowym na nieprzewidziany atak - Konferencja IT Professional SECURIT...AB SYSTEMS
Prezentacja, w której dzielimy się praktycznymi przykładami stosowania technologii IT SECURITY.
Razem z WatchGuard’em - producentem zapewnianiającym bezpieczny dostępu do sieci i jej zasobów dzięki rozwiązaniom UTM i Next Generation Firewall – pokazaliśmy jak być gotowym na nieprzewidziany atak.
Co można powiedzieć w skrócie o rozwiązaniach WATCHGUARD’a?
Urządzenia WatchGuard’a realizują ponad MILIARD skanowań na godzinę
WatchGuard chronił klientów ponad 22 MILIARDY razy w 2015
Opis prezentacji:
Cyber-infekcji nie da się w 100% uniknąć. Wcześniej czy później zdarzą się incydenty i naruszenia polityk. Ważne, aby się do tego przygotować, umieć samodzielnie wykryć atak/infekcję i mieć przygotowaną skuteczną odpowiedź. Skuteczna i szybka odpowiedź pozwoli na izolację zagrożenia i szybkie jego wyeliminowanie. W przypadku ataków ransomware możliwe jest nawet skuteczne uniknięcie zaszyfrowania danych.
Po fakty techniczno-funkcjonalne zapraszamy bezpośrednio do nas. Chętnie odpowiemy na każde pytanie, a sprzęt wypożyczymy do testów biuro@absystems.pl.
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)PROIDEA
The presentation will be about real examples of redteam attacks targeted at Polish customers. We will show the advantages and disadvantages of certain type of attacks and our failures and successes. We will summarize the most important best practices to protect against a redteam and good advices on how to attack effectively and be more stealthly.
#phishing, #malware, #physicalsecurity, #hackinggadgets
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?SecuRing
Urządzenia przenośne (smartfony, tablety) coraz częściej zastępują komputer w roli klienta aplikacji. Ponadto ich zastosowanie umożliwia wdrożenie nowych, niestosowanych dotąd funkcji zmieniających sposób korzystania przez klienta z usług finansowych czy płatności. W swojej prezentacji chciałbym omówić problemy dotyczące bezpieczeństwa informacji jakie należy rozpatrzyć wdrażając usługi mobilne. W szczególności chciałbym się skupić na defektach w oprogramowaniu, które mogą przyczynić się do wzrostu ryzyka stosowania technologii mobilnych.
Omawiane problemy:
- Profil ryzyka: Czym pod względem bezpieczeństwa różni się aplikacja mobilna od aplikacji przeglądarkowej?
- Ograniczenia środowiska mobilnego – wpływ na bezpieczeństwo.
- Typowe podatności dla aplikacji internetowych – czy są one aktualne dla aplikacji mobilnych?
- Ryzyka i podatności specyficzne dla aplikacji mobilnych – Przykłady.
- Dane przechowywane na urządzeniu.
- Autoryzacja transakcji.
- Wrogie oprogramowanie (malware).
- Bezpieczna aplikacja mobilna – Jak to osiągnąć?
- Wymagania (również niefunkcjonalne) odnośnie bezpieczeństwa – Przykłady dla bankowości mobilnej
- Ocena projektu
- Testy bezpieczeństwa
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comLeszek Mi?
W dobie rozwijającego się w szybkim tempie rynku sprzedaży exploitów typu 0-day i wszechobecnych backdoorów w tzw. „drogich zabawkach”, coraz trudniejszym staje się utworzenie i utrzymanie bezpiecznej infrastruktury krytycznej. Aktualizacje oprogramowania jak i tzw. „old-schoolowe” triki utwardzające systemy i urządzenia sieciowe nadal uznawane są za poprawne, ale zdecydowanie nie są wystarczające. Potrzebujemy mechanizmów profilowania zachowania zarówno sieci, systemów jak i administratorów i użytkowników końcowych. Potrzebujemy więcej dedykowanych, „szytych na miarę” defensywnych konfiguracji oraz przede wszystkim izolacji na poszczególnych warstwach infrastruktury. Jednocześnie zdobywanie przez kadrę techniczną aktualnej, niepowiązanej z żadnym vendorem wiedzy z zakresu „offensive vs defensive” staje się kluczową kwestią w rozwoju technologicznym zespołów IT/ITSec.
Podczas prezentacji, na bazie wieloletniej obserwacji „podwórka IT Security” postaram się przedstawić możliwości, jakie drzemią w rozwiniętych rozwiązaniach Open Source dedykowanych utwardzaniu, profilowaniu i monitorowaniu systemów i sieci. Na bazie rzeczywistych przypadków omówione zostaną wybrane sposoby ochrony i wykrywania zdarzeń wykorzystując:
– izolację (Apparmor, SELinux, Docker/LXC, chroot/jail) celem utrudnienia eskalacji uprawnień
– filtrowanie i profilowanie (seccomp, systemtap, sysdig, GRR, Volatility, modsecurity/naxsi)
– aktywną i pasywną analizę ruchu sieciowego celem wczesnego wykrywania zagrożeń
– hardening jądra systemowego i przestrzeni użytkownika
– centralne miejsce składowania logów i korelacji zdarzeń (Elastic, Logstash, Kibana)
Prezentacja jest swego rodzaju drogowskazem do zbudowania własnej „fortecy” w sposób odmienny od tego, jaki prezentują liderzy komercyjnego rynku. Zastrzyk merytoryki gwarantowany!
Prezentacja z konferencji ISSA InfoTRAMS Holistic Application Security
Od kilku lat na świecie jest promowane podejście polegające na wpisaniu bezpieczeństwa w cały cykl rozwojowy oprogramowania. W polskiej praktyce, nadal kwestie związane z bezpieczeństwem najczęściej poruszane są na dopiero na końcu projektu, tuż przed wdrożeniem gdy wykonywane są testy bezpieczeństwa. Bardzo często takie podejście skutkuje znacznymi kosztami usuwania błędów i sporym "zamieszaniem" w projekcie, ale o tym firma przekonuje się dopiero "za 5 dwunasta", po wykonaniu testów bezpieczeństwa. Z reguły, usuwanie podatności na tym etapie projektu polega na "gaszeniu pożarów" i przyklejaniu kolejnych łatek zamiast wprowadzenia systemowych zmian. W rezultacie, w dalszym cyklu życia, po wprowadzeniu zmian funkcjonalnych wypływają nowe przypadki wystąpienia starych błędów.
Jak to zmienić? Czy zastosowanie podstawowych zasad tworzenia bezpiecznego oprogramowania jest faktycznie takie skomplikowane jak by mogło się wydawać?
W trakcie prezentacji zostaną przedstawione metodyki wprowadzania bezpieczeństwa do całego cyklu rozwojowego oprogramowania (na przykładzie OWASP SAMM), również z uwzględnieniem sytuacji, gdy stworzenie aplikacji zlecane jest dla firmy zewnętrznej. Krótko omówiona zostanie skuteczność i potencjalne problemy tych metodyk w naszych, polskich realiach. Przedstawione zostanie także kilka prostych sposobów, które zdaniem autora pozwolą na skuteczniejsze osiągnięcie zamierzonego efektu - czyli aplikacji nieobarczonej podatnościami.
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
Piotr Wojciechowski – Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator.
Topic of Presentation: TBD
Language: Polish
Abstract: TBD
Prezentacja ma na celu poruszenie zagadnienia dotyczącego różnorakich metod wykorzystywanych przez cyberprzestępców. Zarówno w kontekście technicznym jak i marketingowym. Dodatkowo zostaną zaprezentowane aktualne dane statystyczne i finansowe oraz trendy kształtujące "czarny rynek". Seconference.pl 2009
Phishing Attacks - Are You Ready to Respond?Splunk
Phishing and Spear Phishing attacks are the number one starting point for most large data breaches. But there is currently no efficient prevention technology available to mitigate this risk. Learn what capabilities organizations need to have in order to respond to phishing attacks and lower the risk.
- Learn how to detect and respond to phishing attacks
- Understand how an average user behaves when faced with a phishing attack and why they are so successful
- Get insight into the questions that you will need to answer if a phishing campaign is running against your organisation
- Learn the capabilities organisations will need to have in order to answer those questions and protect against phishing attacks
- Learn how you improve your incident response capabilities
Phishing basics: include its history
Introduction: phishing in detail
Techniques: Techniques used like link manipulation,web forgery
New phish: spear phishing
reason behind phishing
latest case study
survey: on top hosting and victim countries
Examples: popular website and email examples
Webinar: 10 steps you can take to protect your business from phishing attacksCyren, Inc
Learn about phishing, the internet's top cyberthreat, in this slide deck. To view the corresponding on-demand webinar, click here: http://bit.ly/2jowgvt
Email of Doom: New phishing attacks that threaten your clientsCalyptix Security
Email phishing may not be the newest hacker scam on the market, but it’s certainly one of the most popular. After all, 85% of organizations have reported falling victim to a phishing attack.
If that isn’t enough to convince you that email phishing is a serious problem, let us remind you that 30% of phishing emails are opened by their intended targets, according to the 2016 Verizon Data Breach Investigations Report..
Hackers have found new tricks for their emails, and the number of phishing attacks has exploded. You will see how the attacks have changed, the new tactics they use, and how to convince your clients to take action.
Video recording of this webinar took place on Sept. 15, 2016.
Aaron Higbee - The Humanity of Phishing Attack & Defensecentralohioissa
In 2015, phishing related breaches dominated security news headlines, and will likely remain the leading initial point-of-entry method for 2016. Not surprisingly an upswing in security awareness spending has paralleled the rise in phishing. In this presentation we dive deep into the largest data pool of human phishing susceptibility and also new research about phishing awareness. We will also look at phishing from the attacker’s point of view and look for opportunities to be better defenders.
Let’s examine the evidence and decide if awareness is the problem. Why do users who are aware of phishing continue to fall for it? What are some of the most successful phishing themes? What are some common response rates? And finally, what can conditioned informants (your co-workers) reporting suspicious emails bring to the table?
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...Marcin Ludwiszewski
opis kolorowych zespolow cybersecurity z naciskiem na purple team
rainbow security concept (blue, red, purple, white, etc.) with focus on purple vs red teaming
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018Logicaltrust pl
Prezenter omówi najczęstsze problemy związane z dedykowanymi atakami typu phishing na podstawie przeprowadzonych testów bezpieczeństwa. Słuchacze zrozumieją dlaczego skuteczny atakujący zawsze wygrywa i otrzymają praktyczne wskazówki dotyczące procesów, technologii i edukacji, by maksymalnie utrudnić zadanie cyberprzestępcom.
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Leszek Mi?
Eksfiltracja danych to proces służący do "ukrytego" przesyłania danych pochodzących z przejętych lub zainfekowanych systemów i urządzeń sieciowych. Oprócz samej kradzieży danych celem atakującego jest przede wszystkim minimalizacja wykrycia takich działań. Podczas prelekcji omówione zostaną metody i techniki eksfiltracyjne bazujące na wykorzystaniu najpopularniejszych protokołów i usług sieciowych: DNS, ICMP, TCP, UDP, SSH, HTTP/HTTPS, a także w oparciu o popularne serwisy w chmurze, np. Google Docs, Slack czy Twitter. Krótkie wprowadzenie teoretyczne poparte zostanie licznymi, praktycznymi pokazami na żywo. Całość prezentacji ma na celu zwrócenie uwagi na jakże istotną wielopoziomową analizę ruchu sieciowego pod kątem anomalii, odejść od normy czy "egzotycznej" charakterystyki i pochodzenia będącej jednocześnie jednym z podstawowych elementów "Threat Huntingu" i procesu aktywnej ochrony.
75% odnotowanych incydentów bezpieczeństwa baz danych związanych jest z połączeniami wewnątrz centrów obliczeniowych. Składają się na to następujące problemy:
brak kontroli nad osobami posiadającymi obszerne uprawnienia administracyjne (sysdba, system etc.)
brak efektywnych mechanizmów rejestrowania działań użytkowników oraz monitoringu dostawców
błędy dotyczące konfiguracji bazy oraz zarządzania uprawnieniami użytkowników
według analiz tylko kilka procent wydatków ukierunkowanych jest na ochronę informacji, reszta to inwestycje skupiające się na ochronie i efektywnej pracy sieci (systemy klasy firewall, utm, ips, antywirus etc).
Wyciek informacji z bazy danych powodują najczęściej zainfekowane uprzednio stacje administratorów, które następnie wykorzystywane są w strefach baz danych (mamy tu do czynienia z tzw. atakiem Island Hopping). Jeszcze większym problemem są osoby uprzywilejowane (jak administratorzy, deweloperzy, dostawcy), zmieniający miejsce pracy. Podczas przeprowadzonej ankiety 70 % pracowników instytucji zadeklarowało, iż odchodząc z firmy skopiuje informacje wrażliwe.
W czasie wykładu zaprezentowane zostaną przykłady rzeczywistych włamań do baz danych przy użyciu ataków bezpośrednich (ataki typu server-side wykorzystujące braki poprawek lub błędy konfiguracji bazy danych), poprzez infekcję stacji klienckich (ataki client-site) oraz przy wykorzystaniu podatności aplikacji Web. Uczestnicy zapoznają się również z różnymi metodami zabezpieczania baz danych przez duże instytucje w Polsce.
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego PROIDEA
Wyciek danych w praktyce, czyli jak wycieki danych mogą doprowadzić do przejęcia kontroli nad systemem. Prezentacja kilku przykładów i metod dzięki którym wyciek danych umożliwia przejęcie kontroli lub pozyskanie dalszych istotnych informacji. Omówienie jakich narzędzi użył atakujący, jaką metodę działania przyjął oraz oraz do czego mogły doprowadzić dalsze konsekwencje. Refleksja nad tym, co zawiodło w mechanizmach bezpieczeństwa, oraz co jest istotne w trakcje tworzenia, wdrażania oraz utrzymania oprogramowania, a także gdzie atakujący upatrują potencjalnych luk.
Praktyczne przedstawienie powiązania pomiędzy wyciekiem danych a popularnymi atakami i ich konsekwencjami w odniesieniu do bezpieczeństwa i reputacji.
[Confidence 2016] Red Team - najlepszy przyjaciel Blue TeamuPiotr Kaźmierczak
Piotr Kaźmierczak, Red Team Leader opowiadał jak ważną rolę w podnoszeniu kompetencji specjalistów od cyberbepieczeństwa pełni redteaming oraz zespół ofensywny. Zaprezentował różne narzędzia oraz przedstawił metody pracy Red Teamu. Prezentację zilustrowały przykłady z ostatnich treningów na poligonie cybernetycznym CDeX.
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSecuRing
Agenda:
1. Wstęp - kto i po co chciałby zaatakować naszą infrastrukturę
2. Przykłady w jaki sposób mógłby wyglądać atak – omówienie na konkretnych sytuacjach:
atak „z Internetu”
przejęcie stacji w LAN
przejęcie telefonu
atak lokalny na transmisje bezprzewodowe
atak lokalny na okablowanie, niezabezpieczone gniazdka, switche...
ataki na transmisję przez Internet - słabości VPN, łącza GSM, ...
3. Czy skuteczna separacja sieci przemysłowej jest możliwa? Czy zawsze jest zgodna z założeniami? Jak zidentyfikować nieoczywiste punkty styku i ocenić ich bezpieczeństwo?
4. Porady i wskazówki, jak minimalizować zagrożenie
Aleksandra Porębska, Datapoint, prezentacja pod tytułem "Od planowania ciągłości biznesu do planowania ciągłości systemów IT - czyli jak przygotować się na najgorsze"
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Logicaltrust pl
Dowiesz się:
jakie ataki w 2020 roku są najgroźniejsze,
jak cyberprzestępcy wykorzystują słabości ludzkie i techniczne,
jak ochronić swoją firmę przed skutecznym atakiem.
Security Awareness po polsku - webinar 2019.11.29Logicaltrust pl
Borys Łącki opowiada na webinarze dlaczego warto dopasować język kampanii Security Awareness do odbiorcy i przedstawia listę materiałów dostępnych publicznie po polsku
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Logicaltrust pl
Zostaną przedstawione przykłady ataków socjotechnicznych wykonanych podczas testów bezpieczeństwa. Prelegent opowie o tym jak się bronić i jak reagować podczas incydentów bezpieczeństwa.
Ataki socjotechniczne w praktyce - Confidence 2019Logicaltrust pl
Zostaną przedstawione przykłady ataków socjotechnicznych wykonanych podczas testów bezpieczeństwa. Prelegent opowie o tym jak się bronić i jak reagować podczas incydentów bezpieczeństwa.
PFL is a fuzzer designed mainly for torturing stuff (mainly libraries or APIs, sometimes co-workers). It uses minerva algorithm. Minerva_lib is able to fuzz any piece of code, as long as it can be linked against its core.
Spear phishing - jak się bronić? Case studies - Confidence 2018Logicaltrust pl
Prezenter omówi najczęstsze problemy związane z dedykowanymi atakami typu phishing na podstawie przeprowadzonych testów bezpieczeństwa. Słuchacze zrozumieją dlaczego skuteczny atakujący zawsze wygrywa i otrzymają praktyczne wskazówki dotyczące procesów, technologii i edukacji, by maksymalnie utrudnić zadanie cyberprzestępcom.
The presentation will be about real examples of redteam attacks targeted at Polish customers. We will show the advantages and disadvantages of certain type of attacks and our failures and successes. We will summarize the most important best practices to protect against a redteam and good advices on how to attack effectively and be more stealthly.
Report on the trip from fuzzing the PHP interpreter, through getting code execution, to hijacking all incoming requests sent to a web server. Thoughts on torturing interpreters, tips and tricks for exploiting vulnerabilities in the PHP core and walk-through interesting bugs found (1e-65 days included)
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
Prezentacja zagadnienia wycieku danych oraz możliwości pozyskania i późniejszego wykorzystania podczas ataków. Omówienie typowych błędów popełnianych podczas projektowania, kodowania oraz wdrażania aplikacji, które mają negatywne konsekwencje dla bezpieczeństwa aplikacji. Prezentacja prostych metod identyfikacji wycieków danych i pozyskiwania istotnych informacji z wykorzystaniem publicznie dostępnych i darmowych narzędzi, które każdy może przetestować w praktyce. Prezentowane metody i techniki nie wymagają dogłębnej wiedzy i nie są skomplikowane, co ułatwia ich zapamiętanie, jak również późniejsze wykorzystanie podczas testów bezpieczeństwa własnych aplikacji, zwłaszcza w momencie wdrażania ich w środowisku produkcyjnym. Opisy wycieków danych bazują na rzeczywistych sytuacjach, jakie spotykane są podczas przeprowadzania testów penetracyjnych, a więc obejmują błędy i niedociągnięcia, które są powszechnie spotykane, a które stanowią potencjalną furtkę dla atakującego.
W skład poruszanych zagadnień wchodzą m.in.:
1. Błędne założenia projektowe podstawą przyszłych kłopotów
2. Typowe błędy, które niosą poważne konsekwencje
2. Na co zwraca uwagę atakujący 3. Darmowe narzędzia ułatwiające pozyskanie pożądanych informacji
4. Analiza działania aplikacji
5. Pozostałości developerskie, środowiska testowe oraz niewłaściwa konfiguracja środowisk produkcyjnych 6. "Bez
komentarza" :)
7. Pozyskiwanie wrażliwych danych z pamięci operacyjnej
8. Czy stosowanie restrykcyjnych zabezpieczeń ułatwia ataki? 9. Aplikacje mobilne a bezpieczeństwo
Wykład ukierunkowany pod kątem przekazania praktycznej wiedzy, projektantom, developerom i administratorom oraz wskazania konsekwencji braku właściwego podejścia do polityki bezpieczeństwa.
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
Na podstawie ponad stu testów aplikacji mobilnych przedstawienie tego co robimy źle, a co jeszcze gorzej. Skupiając się głównie na platformach iOS oraz Android, przeanalizujemy garść typowych i nietypowych błędów. Przestudiujemy problemy, które można napotkać podczas testów bezpieczeństwa oraz pokażemy jak zaradny pentester może sobie z nimi poradzić, dobry programista unikać, a świadomy użytkownik zdawać sobie sprawę, że nosi dziurawy software w kieszeniach.
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...Logicaltrust pl
Prezentacja ma na celu przedstawić skuteczne metody edukacji pracowników w zakresie ochrony zasobów firmowych przed nowymi zagrożeniami.
Efektywne zwiększanie świadomości personelu to proces skomplikowany i trudny, wychodzący daleko poza ramy standardowych kursów, do których przyzwyczajeni są pracownicy. Autor przedstawi nowe podejście do edukacji 'najsłabszego ogniwa' każdego systemu bezpieczeństwa, poparte testami i własnym doświadczeniem.
Testy bezpieczeństwa aplikacji WWW – dobre praktyki
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium przypadków
1. APT x 3 - trzy firmy, trzy wektory ataków,
trzy do zera.
Wybrane studium przypadków
Borys Łącki
2015.10.10
2. Naszą misją jest ochrona naszych Klientów przed realnymi stratami
finansowymi. Wykorzystując ponad 10 lat doświadczenia, świadczymy
usługi z zakresu bezpieczeństwa IT:
● Testy penetracyjne
● Audyty bezpieczeństwa
● Szkolenia
● Konsultacje
● Informatyka śledcza
● Aplikacje mobilne
Borys Łącki
> 10 lat - testy bezpieczeństwa
Edukacja: www.bothunters.pl ~ 7 lat blogowania o cyberprzestępcach
SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet
Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open
Source Security, PLNOG (…)
13. Threat
Dostęp do poufnych informacji
IT nie wie o testach penetracyjnych
1.USB
2.Phishing – e-mail + WWW + złośliwe
oprogramowanie
3.Infrastruktura serwerowa
14. USB - Pendrive
Zasady
- wykorzystujemy urządzenia USB Pendrive
- wymagana interakcja pracownika z plikami
Cel
Weryfikacja przestrzegania przez pracowników
zasad polityki bezpieczeństwa
17. Pendrive
● Pliki na Pendrive USB
Zmiana ikony -> PDF
Lista płac – Zarząd.pdf.exe
(...)
Inne dokumenty ze strony WWW
Różne pliki per Pendrive
18. Pendrive
Wejście na teren firmy
● Rozmowa o pracę
● Sprzedaż produktu
● Kurier
● Klient
● (...) http://thegrid.soup.io/post/380338752/Secretary-Wanted-
Must-be-Flexible
20. Podsumowanie działań
● Skuteczność ataku ~40%
● 1 osoba uruchomiła złośliwe
oprogramowanie w domu :)
● Kilka osób zaniosło Pendrive do działu IT
● Trening == Dyskusja pracowników
Raport per departament, a nie osoba
21. Pomysły na poprawę
● Edukacja
● USB WhiteListing
● Application Whitelisting (AppLocker)
● GPO
22. Phishing
Zasady
- znamy tylko nazwę firmy
- każdą wykrytą osobę potwierdzamy z osobami
decyzyjnymi
Cel
Weryfikacja poziomu świadomości pracowników
celem zwiększenia świadomości i ograniczenia
możliwych strat finansowych
23. Phishing
Rekonesans – lista pracowników
● Wyszukiwarki internetowe
● Grupy dyskusyjne
● LinkedIn/Goldenline
● Metadane z .pdf, .doc, (...)
29. Podsumowanie działań
● Skuteczność ataku – ~40% (załącznik), ~60% (login)
● Pracownik przesyła załącznik do administratora IT :)
● WebProxy – Token (DNS failover)
● 2 x AV
31. Infrastruktura serwerowa
Zasady
- znamy tylko nazwę firmy
- każdy wykryty adres IP potwierdzamy z osobami
decyzyjnymi
Cel
Wykrycie błędów bezpieczeństwa celem naprawy i
ograniczenia możliwych strat finansowych
46. Infrastruktura serwerowa
Eskalacja uprawnień
Uzyskanie dostępów do kolejnych serwerów i
usług
● Błędne uprawnienia plików
● Takie same hasła dla różnych usług
● Brak segmentacji wewnętrznej sieci serwerowej
● Zbędne zasoby: databackup.tgz2, sqldump.tar.bz2,
database.pgsql.gz, (...)
49. Podsumowanie działań
● Uprawnienia administratora (root) na wszystkich
maszynach wirtualnych (VM)
● Dostęp do usług zewnętrznych
● Dostęp VPN
● Dostęp do własności intelektualnej
50. Pomysły na poprawę
● uwierzytelnianie – 2FA, password reuse (!)
● hardening serwerów (zbędne zasoby, uprawnienia)
● okresowe testy penetracyjne
● szyfrowanie poufnych danych (mail/serwer)
● pokazaliśmy jedną z (potencjalnie wielu) ścieżek
51. Bezpieczeństwo
Wczoraj
● Audyt IT - zgodność czy bezpieczeństwo?
● Analiza ryzyka IT – outsourcing, insiders
● Testy bezpieczeństwa - aplikacji, systemów, sieci
Dziś i jutro
● Edukacja – zwiększanie świadomości
● Red Team – kontrolowane testy penetracyjne
● Blue Team – zarządzanie incydentami
● (...)
53. Red Team - Atak
● Kontrolowany atak
● Rozszerzone zasady (APT, DDoS)
● Eksperci nastawieni na Atak
54. Red Team
● Rekonesans
– Plan, Social media, zbędne usługi, drobne informacje
● Ataki socjotechniczne
– Phishing, malware, telefon, smartphone
● Advanced Persistent Threat
– Ataki typu 0-day, działanie w ukryciu
55. Red Team
● Kradzież informacji
– Internet, Insiders
● Publicznie dostępne narzędzia
– Szybka weryfikacja, ciągła aktualizacja
● Dowody i skutki ataku
– Miary, Time-To-Compromise, Time-To-Detect
56. Red Team
● Infekcja złośliwym oprogramowaniem
● Zdalne uruchomienie kodu
● Kradzież danych Klienta
● Atak sieciowy DDoS
● Insider
● Przejęcie usługi
● (...)
57. Blue Team - Obrona
● IT
● SOC
(Security Operations Center)
● CERT
(Computer Emergency Response Team)
● CIRT
(Critical Incident Response Team)
58. Blue Team
● Wykrywanie problemów
– SIEM, IDS, IPS, Korelacja danych, BOK
● Utwardzanie środowisk, spowalnianie
atakujących
– Rekonfiguracja, reakcja w trakcie incydentu
● Zarządzanie incydentami (komunikacja)
– Technologia, ludzie, analiza ryzyka
59. Blue Team
● Informatyka śledcza
– Materiał dowodowy, analiza złośliwego
oprogramowania
● Wdrażanie zmian
– Krytyczne aktualizacje, czas życia podatności
● Testowanie procesów odtworzenia
– Skracanie czasu odtworzenia
● Miary
– Estimated Time To Detection/Recovery
60. Blue Team
● Analiza kosztów
– Czas reakcji, zasoby
● Realne ataki
– Realna ochrona
● Trening i ćwiczenia pracowników
– Edukacja poprzez praktykę i case study
● Selekcja zainfekowanych klientów
– Indication of Compromise
62. Blue Team vs. Red Team
● Wspólne wnioski (baza wiedzy, zalecenia)
● Testy zerowej wiedzy
● Miary skuteczności
● Specjalizacja danej grupy
● Procesy (nie tylko technologia)
● Dostęp fizyczny
Microsoft Enterprise Cloud Red Teaming.pdf
64. Edukacja - Polska
● 49% - zakupy online
● 57% - bankowość online
● 29% PL - obawia się nadużyć związanych z bankowością
(63% EU)
● 57% - brak zainstalowanego oprogramowania
antywirusowego
● 71% - otwiera maile od nieznajomych
● 17% - używa różnych haseł do różnych stron WWW
Special Eurobarometer 423 – Cyber Security – February 2015
68. 70% sukcesu to zasługa ludzi
71% of compromised assets involved users and their
endpoints
Verizon Data Breach Investigations
91% of targeted attacks involve spear-phishing emails
Trend Micro
According to the “IBM Security Services 2014 Cyber
Security Intelligence Index,” 95 percent of information
security incidents involve human error.
76. Podsumowanie
● Edukacja – zwiększanie świadomości
● Red Team – kontrolowane testy penetracyjne
● Blue Team – zarządzanie incydentami
APT x 3 - trzy firmy, trzy wektory ataków
3 : 0