Modelowanie zagrożeń - Na przykladzie platności mobilnych

Prezentacja z konferencji ISSA InfoTRAMS Holistic Application Security Od kilku lat na świecie jest promowane podejście polegające na wpisaniu bezpieczeństwa w cały cykl rozwojowy oprogramowania. W polskiej praktyce, nadal kwestie związane z bezpieczeństwem najczęściej poruszane są na dopiero na końcu projektu, tuż przed wdrożeniem gdy wykonywane są testy bezpieczeństwa. Bardzo często takie podejście skutkuje znacznymi kosztami usuwania błędów i sporym "zamieszaniem" w projekcie, ale o tym firma przekonuje się dopiero "za 5 dwunasta", po wykonaniu testów bezpieczeństwa. Z reguły, usuwanie podatności na tym etapie projektu polega na "gaszeniu pożarów" i przyklejaniu kolejnych łatek zamiast wprowadzenia systemowych zmian. W rezultacie, w dalszym cyklu życia, po wprowadzeniu zmian funkcjonalnych wypływają nowe przypadki wystąpienia starych błędów. Jak to zmienić? Czy zastosowanie podstawowych zasad tworzenia bezpiecznego oprogramowania jest faktycznie takie skomplikowane jak by mogło się wydawać? W trakcie prezentacji zostaną przedstawione metodyki wprowadzania bezpieczeństwa do całego cyklu rozwojowego oprogramowania (na przykładzie OWASP SAMM), również z uwzględnieniem sytuacji, gdy stworzenie aplikacji zlecane jest dla firmy zewnętrznej. Krótko omówiona zostanie skuteczność i potencjalne problemy tych metodyk w naszych, polskich realiach. Przedstawione zostanie także kilka prostych sposobów, które zdaniem autora pozwolą na skuteczniejsze osiągnięcie zamierzonego efektu - czyli aplikacji nieobarczonej podatnościami.

Analiza i ocena jakości współczesnych systemów operacyjnych

guest84f9115

Analiza nowej Rekomendacji D pod kątem metodologii testowania

QualityIn.IT

Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing

GATTacking Bluetooth Smart

HIJACKING ATTACKS ON ANDROID DEVICESPositive Hack Days

Jednym z problemów przed którym staje manager bezpieczeństwa lub kierownik projektu, który chce sprawdzić bezpieczeństwo systemu informatycznego to właściwy dobór zakresu testów bezpieczeństwa. Z jednej strony test zbyt ogólny może nie wykryć wielu istotnych słabości, z drugiej strony – dogłębne testy i analizy bezpieczeństwa nie mają ekonomicznego uzasadnienia dla każdego systemu i aplikacji eksploatowanej w firmie. Czas specjalistów, zarówno zewnętrznych jak i wewnętrznych, kosztuje i jest ograniczony, natomiast czas potencjalnych intruzów – nie. Tym bardziej istotne jest optymalne wykorzystanie czasu i budżetu przeznaczonego na testy bezpieczeństwa. Celem prezentacji jest zachęcenie do dyskusji nad tym jak właściwie dobrać zakres testów bezpieczeństwa. Prezentacja z konferencji SEMAFOR 2013, 5-6 marca 2013

Analiza i ocena jakości współczesnych systemów operacyjnych

guest84f9115

Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...

2012 Premium Technology usługi bezpieczeństwa teleinformatycznego

Bezpieczeństwo aplikacji czy musi być aż tak źle

Prezentacja z konferencji SECURE 2012 (Warszawa, 22-24.10.2012) Aplikacje to prawdziwa pięta achillesowa współczesnych systemów IT. Zarówno własne doświadczenia jak i dostępne opracowania wskazują, że w większości aplikacji, niezależnie od stosowanej technologii, można znaleźć poważne podatności. Na domiar złego – zewnętrzne zabezpieczenia (firewalle, IPS, WAF, itp.) mają ograniczoną skuteczność dla ochrony aplikacji. Ciągle, najlepszą metodą radzenia sobie z ewentualnymi podatnościami w eksploatowanych aplikacjach jest unikanie ryzyka, czyli wytwarzanie, bądź zamawianie oprogramowania, które nie posiada istotnych błędów bezpieczeństwa. Ale czy jest to możliwe w praktyce? Agenda: - Wprowadzenie do problemu - Kilka ciekawych przykładów - Krótko o nowych źródłach ryzyka (AJAX, HTML5, aplikacje mobilne, NFC, ...) - Przyczyny powstawania podatności we współczesnych aplikacjach. - Jak postępować w trakcie tworzenia lub zamawiania aplikacji, żeby ograniczyć możliwość powstania istotnych błędów? W szczególności krótko zostaną zaprezentowane ogólnodostępne narzędzia i dokumenty OWASP pomagające zbudować bezpieczne aplikacje (np.: ASVS - Application Security Verification Standard, OpenSAMM - Security Assurance Maturity Model, OWASP Cheat Sheets).

OWASP ASVS 3.1 EA PL - YetiForce

Pabiszczak Błażej

20150521 ser protecto_r_final

Wit Jakuczun

OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce

Wstępne wyniki badania ankietowego "OWASP CISO Survey 2014" w Polsce. Badanie dotyczy postrzegania problemów bezpieczeństwa aplikacji przez managerów ITsec. Czy są to dla nich problemy ważne? Jak sobie z nimi radzą? Jakie przeszkody stoją na drodze do ograniczenia ryzyka? Wstępne wyniki tegorocznego badania w Polsce i porównanie z wynikami anakiety światowej z 2013. Pełny raport z badania zostanie udostępniony po przetworzeniu wyników zebranych przez OWASP na całym Świecie.

[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce

Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...

Prezentacja z konferencji Bezpieczeństwo firmowych sieci (Warszawa, 2012-09-26) Zabezpieczenia sprzętowe i programowe to bardzo istotny element infrastruktury IT każdej firmy, niezależnie od skali. Jest to również bardzo istotny składnik kosztów. Czy rozwiązania, w które inwestujemy są skuteczne? Czy faktycznie podnoszą poziom bezpieczeństwa? Na te pytania nie ma oczywiście prostej odpowiedzi. Wydawać by się mogło, że tak ale czy każdy sprawdza skuteczność wdrożonych zabezpieczeń, czy raczej jest to sprawdzenie ich „w boju”? Podczas mojej praktyki zawodowej, wielokrotnie spotykałem się z rozwiązaniami zabezpieczającymi, które nie działają, działają niezgodnie z założeniami lub wręcz same stanowią źródło zwiększonego ryzyka. Wynika to z tego, że rozwiązania zabezpieczające z reguły wymagają uważnego planowania i konfiguracji i w większości przypadków nie są to rozwiązania „plug & forget” niezależnie od tego co mówią dostawcy tych rozwiązań. Ponadto rozwiązania zabezpieczające (jak każdy element infrastruktury IT) mogą zawierać podatności, które mogą przyczynić się do obniżenia ich skuteczności albo nawet stanowić wyłom w całym systemie zabezpieczeń. W końcu – znowu jak każdy element infrastruktury IT – są one podatne na błędy ludzi, którzy je instalują i którzy nimi administrują. Jak uniknąć takich sytuacji? Należy testować zabezpieczenia przed wdrożeniem (a w niektórych wypadkach – również przed zainwestowaniem w nie czasu i pieniędzy), tak jak każdy inny element infrastruktury IT. Z tym że w przypadku zabezpieczeń należy przede wszystkim uwzględnić testy skuteczności działania tych zabezpieczeń a więc testy w realnych warunkach ataku. W trakcie mojej prezentacji postaram się przedstawić kilka przykładów i scenariuszy pokazujących jak nieprawidłowo działające zabezpieczenia techniczne mogą paradoksalnie przyczynić się do obniżenia poziomu bezpieczeństwa. Omówię zarówno podatności znajdywane w różnych rozwiązaniach zabezpieczających, ciekawe błędy konfiguracji a także nieprawidłowe procedury eksploatacji.

IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych

Continuous security

kraqa

Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?

Urządzenia przenośne (smartfony, tablety) coraz częściej zastępują komputer w roli klienta aplikacji. Ponadto ich zastosowanie umożliwia wdrożenie nowych, niestosowanych dotąd funkcji zmieniających sposób korzystania przez klienta z usług finansowych czy płatności. W swojej prezentacji chciałbym omówić problemy dotyczące bezpieczeństwa informacji jakie należy rozpatrzyć wdrażając usługi mobilne. W szczególności chciałbym się skupić na defektach w oprogramowaniu, które mogą przyczynić się do wzrostu ryzyka stosowania technologii mobilnych. Omawiane problemy: - Profil ryzyka: Czym pod względem bezpieczeństwa różni się aplikacja mobilna od aplikacji przeglądarkowej? - Ograniczenia środowiska mobilnego – wpływ na bezpieczeństwo. - Typowe podatności dla aplikacji internetowych – czy są one aktualne dla aplikacji mobilnych? - Ryzyka i podatności specyficzne dla aplikacji mobilnych – Przykłady. - Dane przechowywane na urządzeniu. - Autoryzacja transakcji. - Wrogie oprogramowanie (malware). - Bezpieczna aplikacja mobilna – Jak to osiągnąć? - Wymagania (również niefunkcjonalne) odnośnie bezpieczeństwa – Przykłady dla bankowości mobilnej - Ocena projektu - Testy bezpieczeństwa

EXATEL InTECH Day PwC

Jerzy Łabuda

YetiForce OWASP ASVS

YetiForce Sp. z o.o.

[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programisty

OWASP ASVS to standard weryfikacji bezpieczeństwa aplikacji. Jest to lista kontrolna do weryfikacji bezpieczeństwa aplikacji ale można ją też zastosować jako listę dobrych praktyk przy projektowaniu, wytwarzaniu i testach wewnętrznych. Pod koniec roku 2015 ukazała się nowa wersja OWASP ASVS 3.0. Zmiany w nowej wersji obejmują m.in.: uzupełnienie listy kontrolnej o rozdziały dotyczące konfiguracji, aplikacji mobilnych, WebServices i REST, mapowanie na standard PCI-DSS, uporządkowanie wielu zapisów. Prezentacja będzie miała na celu omówienie standardu oraz najważniejszych zmian w bieżącej wersji.

4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...

W trakcie swojej prezentacji poruszę problematykę utrzymania bezpieczeństwa aplikacji po wdrożeniu produkcyjnym z perspektywy dostawcy aplikacji. Na przykładowych aplikacjach (platforma SaaS, aplikacja tworzona zwinnie, aplikacja tworzona w waterfall) pokażę wyzwania z tym związane, w odniesieniu do konkretnej aplikacji oraz realiów, w jakich funkcjonuje. Wspólnie z uczestnikami przeanalizujemy możliwe mechanizmy mające na celu utrzymanie bezpieczeństwa aplikacji. Zastanowimy się nad optymalnym ich doborem oraz momentem, w którym warto z nich skorzystać, uwzględniając również koszt wykorzystania danego mechanizmu. Przyjrzymy się mechanizmom takim jak: • testy penetracyjne • konsultacje/szkolenia • definiowanie wymagań dotyczących bezpieczeństwa aplikacji • obsługa incydentów • narzędzia automatyczne • monitorowanie podatności w wykorzystywanych komponentach Postaramy się również wypracować odpowiedzi na poniższe pytania: • Co można zrobić wewnętrznie? • Jakie prace zlecić? • Jakich kompetencji poszukać? • Jak dobrać szkolenia? • Jakiego typu narzędzi poszukać? Chciałbym dać uczestnikom proste recepty na to, jak zadbać o utrzymanie bezpieczeństwa aplikacji, z którymi pracują.

Owasp asvs 3.0 co nowego w bezpieczeństwie aplikacji

OWASP ASVS to standard weryfikacji bezpieczeństwa aplikacji. Standard ten popularny zarówno w Polsce jak i na świecie pomaga zarówno w weryfikacji bezpieczeństwa jak i podczas definiowania wymagań dotyczących bezpieczeństwa aplikacji (funkcjonalnych i niefunkcjonalnych). Na etapie weryfikacji umożliwia on sprawdzenie czy są stosowane zasady dobrej praktyki i pozwala audytorowi na wypowiedzenie się o tym co jest poprawne a nie tylko na koncentrowanie się na błędach, jak to ma miejsce przy nieustandaryzowanych testach bezpieczeństwa. Ponadto stosowanie ASVS powoduje sprecyzowanie zakresu testów bezpieczeństwa a co jest istotne przy zlecaniu testów bezpieczeństwa na zewnątrz organizacji. Pod koniec roku 2015 ukazała się nowa wersja OWASP ASVS 3.0. Zmiany w nowej wersji obejmują m.in.: uzupełnienie listy kontrolnej o rozdziały dotyczące konfiguracji, aplikacji mobilnych, WebServices i REST, mapowanie na bazę podatności CWE i standard PCI-DSS, uporządkowanie wielu zapisów. Prezentacja będzie miała na celu omówienie standardu oraz najważniejszych zmian w bieżącej wersji.

OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...

Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...

Developer in a digital crosshair, 2023 edition - 4Developers

Recent years show a significant increase in attacks against libraries, tools, and infrastructure used in application development, as well as directly against developers and software companies. From fake libraries and malicious changes to popular libraries or programming languages to vulnerabilities in CI/CD infrastructure components. During the presentation, you will discover a handful of interesting, fresh examples and attack techniques and, perhaps most importantly, learn how to work safely as a programmer. You will find out about typosquatting, dependency confusion, protestware and discover stories of attacks on PHP, Codecov, Homebrew, npm, Ruby Gems, or GitHub.

Developer in a digital crosshair, 2022 edition - Oh My H@ck!

Attacks on third-party libraries and tools that are often used while developing software have become dramatically frequent. Among these attacks, one can find dependency confusion, issues in popular dev tools (Codecov, Homebrew, npm...), typosquatting, incidents (PHP, GitHub...), or malicious changes in popular dependencies (UAParser.js, coa, node-ipc...). I will share a lot of gripping real-life examples of such attacks, their causes and effects, and help you stay secure while developing software.

Similar to Modelowanie zagrożeń - Na przykladzie platności mobilnych

Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu

Analiza i ocena jakości współczesnych systemów operacyjnych

guest84f9115

Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...

2012 Premium Technology usługi bezpieczeństwa teleinformatycznego

Bezpieczeństwo aplikacji czy musi być aż tak źle

OWASP ASVS 3.1 EA PL - YetiForce

Pabiszczak Błażej

20150521 ser protecto_r_final

Wit Jakuczun

OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce

[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce

Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...

IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych

Continuous security

kraqa

Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?

EXATEL InTECH Day PwC

Jerzy Łabuda

YetiForce OWASP ASVS

YetiForce Sp. z o.o.

[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programisty

4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...

Owasp asvs 3.0 co nowego w bezpieczeństwie aplikacji

OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...

Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...

Similar to Modelowanie zagrożeń - Na przykladzie platności mobilnych (20)

Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu

Analiza i ocena jakości współczesnych systemów operacyjnych

Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...

2012 Premium Technology usługi bezpieczeństwa teleinformatycznego

Bezpieczeństwo aplikacji czy musi być aż tak źle

OWASP ASVS 3.1 EA PL - YetiForce

20150521 ser protecto_r_final

OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce

[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce

Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...

IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych

Continuous security

Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?

EXATEL InTECH Day PwC

YetiForce OWASP ASVS

[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programisty

4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...

Owasp asvs 3.0 co nowego w bezpieczeństwie aplikacji

OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...

Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...

More from SecuRing

Developer in a digital crosshair, 2023 edition - 4Developers

Developer in a digital crosshair, 2022 edition - Oh My H@ck!

Developer in a digital crosshair, 2022 edition - No cON Name

The frequency of attacks on third-party libraries and tools used in software development has dramatically increased in recent years. Typosquatting, dependency confusion, malicious changes in popular dependencies (UAParser.js, coa, node-ipc...), issues in popular dev tools (Codecov, Homebrew, npm...) or incidents (PHP, GitHub...). In this presentation, I will go over many fascinating, recent examples of these attacks, their causes and effects, and recommend to you how to stay secure when developing software.

Is persistency on serverless even possible?!

In addition to being a common option in cloud environments, serverless computing is also a suggested method for creating plenty of things! Did you ever consider its mechanics? Is serverless truly server-less? How does the execution environment function? In this event-driven compute service, is persistency even conceivable? I will not lie – Remote Code Executions and Command Injections are uncommon, but what if one occurs in your function? Additionally, it may be brought in by an attacker through dependency injection. I will demonstrate how to use it to obtain persistency and exfiltrate more data than the function role gives. Let us figure out: - How serverless infrastructure functions. - Why persistency is possible in this semi-volatile environment. - How to use pseudo shell over HTTP for serverless environment research. - An exploitation demo – how can we make use of an RCE vulnerability to obtain a persistency. - Possible mitigations. Let us hijack the data real-time from the AWS Lambdas and GCP Cloud Functions! Presented at: Confidence 2022, AlligatorCon 2022, Secops Polska Meetup #32, DevSecCon Poland 2022, AWS Community Day Warsaw 2022.

What happens on your Mac, stays on Apple’s iCloud?!

“$ sudo ls ~/Desktop: Operation not permitted”. Apple’s Transparency, Consent, and Control (TCC) framework limits access to private information like documents, a camera, a microphone, emails, and more in order to preserve your privacy. Since authorisation is required to grant such access, the mechanism key design priority was clear user consent. At Black Hat USA 2021, I co-presented considerable research on abusing the TCC mechanisms, however, this time, we won’t be directly exploiting the TCC. Given that iCloud has tons of macOS users’ secrets, why keep attacking the TCC? The default configuration makes Mac synchronize a lot of data. Don’t you have your iMessages/Photos/Calendars/Reminders/Notes accessible from iCloud? That’s good because you take care of your privacy… but most users don’t. :) The brand-new research on abusing Apple’s iCloud to gain access to users’ sensitive data will be shared during the presentation. All that from a malicious applications’ perspective without any additional permissions.

0-Day Up Your Sleeve - Attacking macOS Environments

Do you have Macs in your company's infrastructure? Nowadays, I bet that in most cases the answer would be YES. Macs stopped being computers only used in startups. We can observe them even in huge legacy environments in banks and other corporations. The problem is that they are usually not symmetrically secured, compared to the rest of Windows stations. Macs are not immune, they can be insecurely configured and now...even Apple admits that malware is present on Macs. In this presentation I will: 1. Introduce you to macOS security mechanisms 2. Perform step-by-step macOS infection based on my 0-day (live demo) 3. Show you post-exploitation techniques 4. Attack installed apps and collect data from them 5. Give recommendations on how to harden your Mac and macOS infrastructure

Developer in a digital crosshair, 2022 edition

This presentation takes you through recent attacks aimed at software developers and software companies. First it starts with attacks on libraries you install or have installed (typosquatting, pushing malicious library updates due to maintainer's credential takeover, protestware), even your private ones (dependency confusion). Second it shows attack on tools which are used in software development (package managers). Third, there are examples of attacks onto developer's infrastructure (PHP programming language git sever, GitHub OAuth incident with Heroku and Travis-CI).

20+ Ways To Bypass Your Macos Privacy Mechanisms

How secure are webinar platforms?

20+ Ways to Bypass Your macOS Privacy Mechanisms

"TotallyNotAVirus.app" would like to access the camera and spy on you. To protect your privacy, Apple introduced Transparency, Consent, and Control (TCC) framework that restricts access to sensitive personal resources: documents, camera, microphone, emails, and more. Granting such access requires authorization, and the mechanism's main design concern was clear user consent. In this talk, we will share multiple techniques that allowed us to bypass this prompt, and as a malicious application, get access to protected resources without any additional privileges or user's consent. Together, we submitted over 40 vulnerabilities just to Apple through the past year, which allowed us to bypass some parts or the entire TCC. We also found numerous vulnerabilities in third-party apps (including Firefox, Signal, and others), which allowed us to avoid the OS restrictions by leveraging the targeted apps' privileges. In the first part of the talk, we will give you an overview of the TCC framework, its building blocks, and how it limits application access to private data. We will explore the various databases it uses and discuss the difference between user consent and user intent. Next, we will go through various techniques and specific vulnerabilities that we used to bypass TCC. We will cover how we can use techniques like process injection, mounting, application behavior, or simple file searches to find vulnerabilities and gain access to the protected resources. The audience will leave with a solid understanding of the macOS privacy restrictions framework (TCC) and its weaknesses. We believe there is a need to raise awareness on why OS protections are not 100% effective, and in the end, users have to be careful with installing software on their machines. Moreover - as we're going to publish several exploits - red teams will also benefit from the talk.

Serverless security: attack & defense

Author: Paweł Rzepa In this talk I'm going to show you various attack vectors against the serverless applications built from AWS Lambda functions. You'll see: - my findings on publishing malicious NPM packages to smuggle malicious code into legitimately looking dependences, - examples of validation errors in serverless applications, including Denial of Wallet attacks and RCE in a fugacious, serverless environment - serverless attacks and security nuances in Azure and GCP - recipes to prevent those attacks

Abusing & Securing XPC in macOS apps

XPC is a well-known interprocess communication mechanism used on Apple devices. Abusing XPC led to many severe bugs, including those used in jailbreaks. While the XPC bugs in Apple's components are harder and harder to exploit, did we look at non-Apple apps on macOS? As it turns out, vulnerable apps are everywhere - Anti Viruses, Messengers, Privacy tools, Firewalls, and more. This presentation: 1.Explain how XPC/NSXPC work 2.Present you some of my findings in popular macOS apps (e.g. local privilege escalation to r00t) 3.Abuse an interesting feature on Catalina allowing to inject an unsigned dylib 4.Show you how to fix that vulnz finally!

WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards

The presentation focuses on the whole process of security testing and present it by analogies to the web applications which are quite well-known. It covers the whole SDLC and show the similarities and differences in the arsenal of vulnerabilities, security tools and standards between the smart contracts and web applications on each step. Even though there exist a lot of great security projects for smart contracts, we do not have single, widely accepted security standard (such as ASVS in web apps world). That is why we introduce SCSVS (Smart Contract Security Verification Standard), a open-source 13-part checklist created to standardize the security of smart contracts for developers, architects, security reviewers and vendors.

WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards

Let's get evil - threat modeling at scale

Author: Jakub Kaluzny Let's talk about large-scale security programmes and maintaining security with tens of project teams - agile or waterfall, in-house or outsourced. I will discuss how to effectively track security requirements, organise threat modelling sessions, log output from those and translate it into penetration testing scope and test cases. We will dive deep into evil brainstorming, come up with abuser stories for each user story and define what makes the SDLC process secure or not. This talk is based on my work with different organisations in multiple countries and observations what works well in regards to security at scale and what does not.

Attacking AWS: the full cyber kill chain

While it is quite common practice to do periodic security assessments of your local network, it is really rare to find a company who puts the same effort for testing the security in their cloud. We have to understand what new threats and risks appeared with the cloud and how should we change our attitude to testing cloud security. The goal of my presentation is to show how security assessment of cloud infrastructure it is different from testing environments in classic architecture. I'll demonstrate a hypothetical attack on a company which is fully deployed in the AWS environment. I’m going to show the whole kill chain starting from presenting cloud-applicable reconnaissance techniques. Then I’ll attack the web application server hosted on EC2 instance to access its metadata. Using the assigned role, I’ll access another AWS EC2 instance to escalate privileges to the administrator and then present how to hide fingerprints in CloudTrail service. Finally, I’ll demonstrate various techniques of silent exfiltrating data from AWS environment, setting up persistent access and describe another potential, cloud-specific threats, e.g. cryptojacking or ransomware in the cloud. The presentation shows practical aspects of attacking cloud services and each step of the kill chain will be presented in a form of an interactive, live demo. On the examples of presented attacks, I’ll show how to use AWS exploitation framework Pacu and other handy scripts.

Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards

Last year at AppSec EU I had a presentation about the Ethereum smart contracts and did a technical showcase of some of their potential vulnerabilities and security flaws. I also presented my proposition on how to handle the responsible disclosure process in the smart contracts world. This year I want to focus on the whole process of security testing and present it by analogies to the web applications which are quite well-known. Smart contracts are described as Web3 decentralized apps and I believe that my talk will not only bring new light on this subject but will also help to understand and organize the way of testing. I am going to cover the whole SDLC and show the similarities and differences between the smart contracts and web applications on each step. The presented overview is especially important nowadays when the biggest companies are building their own blockchain platforms and cryptocurrencies – i.e. Libra introduced by Facebook (which by the way also supports smart contracts). I am also going to show the differences in the arsenal of vulnerabilities, security tools and standards by the analogy to web apps arsenal. I think that, even though there exist a lot of great security projects for smart contracts, we do not have a single, widely accepted security standard (such as ASVS in web apps world). I would like to discuss potential work that needs to be done in that area and show my preliminary work on that matter. After this presentation audience will know what are the similarities and differences between smart contracts and web apps in the SDLC, an arsenal of tools and standards, but also will have a fresh overview of possible options and current trends.

Budowanie i hakowanie nowoczesnych aplikacji iOS

Po ostatniej prezentacji dotyczącej pentestów bez jailbreaka, autor zdecydował stworzyć prezentację defensywną. Znajdują się w niej informacje o najczęściej występujących problemach w nowoczesnych aplikacjach iOS oraz wskazówki jak sobie z nimi radzić. W prezentacji przedstawiona jest równie nowa otwartoźródłowa biblioteka iOS Security Suite dostępna pod adresem https://github.com/securing/IOSSecuritySuite

We need t go deeper - Testing inception apps.

When it comes to thick-clients, java applets, embedded devices or mobile apps - often, the idea is to forget about HTTP/S stack, plaintext POST parameters, and instead, implement a custom communication protocol. - Sending files for printing? Caesar cipher does not support full UTF-8, so use AES in ECB mode. - Malware attacking online banking? Even over HTTPS, double-encrypt POST parameters. If your clients are rich, use asymetric encryption, for better protection. - Planning SOAP WS? Use WCF Binary XML and put it in a START-TLS tunnel wrapped over a TCP connection. Welcome to the world of application/x-inception-data content types, <meta charset=obscure> encoding and custom cryptography. Ideas that usually implement methods of 'security by obscurity'. Once the outer layer of obfuscation is off, very often the server backend reveals simple access control issues, SQL query shells or code execution vulnerabilities. I will discuss real-world examples from enterprise solutions tests which require a bit more effort to allow tampering with data send from the client: - intercepting the traffic, bypassing NAC - decapsulating encryption and encoding layers - hooking into function calls, modifying packages - reverse-engineer proprietary protocols and encryption.

Building & Hacking Modern iOS Apps