Orion Banking offers customers optional biometric security features including finger and vein scanners, iris scanners, keystroke recognition software, and signature verification to authenticate transactions. These biometric technologies provide accurate identification through physiological or behavioral characteristics without requiring something the customer possesses like an ID or password. Finger scanners in particular analyze both fingerprints and unique vein patterns, while iris scanners extract over 200 reference points from the iris to generate an identification code. Keystroke recognition builds a statistical profile of typing habits, and signature recognition analyzes behavioral patterns of how a signature is written. In one example, a vein scanner prevented fraud when a bank robber tried to access a comatose customer's account using a fake fingerprint mold.
Martin Dráb – Zranitelnosti ovladačů jádra Windows v praxi
Obzvláště 64bitové verze OS Windows obsahují silné mechanismy zamezující vykonávání škodlivého kódu v režimu jádra. Cílem přednášky je ukázat, že tato opatření nemusí být vůbec efektivní, pokud autoři ovladačů udělají při programování chybu. Tento fakt bude demonstrován ukázkou zneužití takové chyby, která dovolí útočníkovi vykonat libovolný kód se stejným oprávněním jako ovladač jádra.
www.security-session.cz
Orion Banking offers customers optional biometric security features including finger and vein scanners, iris scanners, keystroke recognition software, and signature verification to authenticate transactions. These biometric technologies provide accurate identification through physiological or behavioral characteristics without requiring something the customer possesses like an ID or password. Finger scanners in particular analyze both fingerprints and unique vein patterns, while iris scanners extract over 200 reference points from the iris to generate an identification code. Keystroke recognition builds a statistical profile of typing habits, and signature recognition analyzes behavioral patterns of how a signature is written. In one example, a vein scanner prevented fraud when a bank robber tried to access a comatose customer's account using a fake fingerprint mold.
Martin Dráb – Zranitelnosti ovladačů jádra Windows v praxi
Obzvláště 64bitové verze OS Windows obsahují silné mechanismy zamezující vykonávání škodlivého kódu v režimu jádra. Cílem přednášky je ukázat, že tato opatření nemusí být vůbec efektivní, pokud autoři ovladačů udělají při programování chybu. Tento fakt bude demonstrován ukázkou zneužití takové chyby, která dovolí útočníkovi vykonat libovolný kód se stejným oprávněním jako ovladač jádra.
www.security-session.cz
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Security Session
This two hours workshop will show how to analyze network traffic in order to decide if a computer was infected with malware. This is a very hard task since current malware tries to hide by mimicking normal traffic. We will present several cases where you will have to discover the true infected machine from a group. The goal of the workshop is to transmit the analysis skills necessary to differentiate the suspicious connections from the normal ones and to finally discover the malware behaviors.
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Security Session
Přijďte se naučit základy, o které se můžete opřít. Pustíme se do crackmes od RubberDucka a probereme nějakou teorii okolo. Workshop volně vychází ze seriálu Nebojte se reverzního inženýrství. Je potřeba alespoň Windows 7, nejlíp 64bitový. Stačí, když poběží ve virtuálce. Stáhněte si zdrojáky a binárky. Budeme používat OllyDbg 2.01 a x64dbg.
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
Na workshopu si ukážeme základní zabezpečení nově nainstalovaného serveru pomocí iptables. Instalaci a nastavení Fail2Ban tak, aby sledoval logování SSH přístupů a při neoprávněném pokusu o příhlášení zablokoval IP adresu útočníka. Vyzkoušíme si i honeypotu, který nám pomůže útočníka zdržet. Nastíníme sledování logů jiných služeb, získávání blacklistovaných IP z abuse trackerů a povíme si i další tipy jak znepříjemnit atakování serveru.
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Security Session
The smallest element in a botnet is a bot. The behavior of a bot can change dynamically based on the decision of the botmaster. Botnets are driven by profit, consequently, bots are expected to be profitable. If goals are not as expected, the bots can be instructed to switch their behavior to serve a better purpose. The aim of this talk is to present a detailed analysis of a network traffic capture of a machine originally infected by a Gamarue variant. The analysis will uncover the behavior of the bot since the initial infection, inactivity period, delivery of new payloads and the following switch of behavior of the bot. Additionally, we will present details on a barely known new botnet capable of performing horizontal brute-forcing of WordPress-based websites.
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
Security by obscurity nemůže fungovat. Nebo ano? Softwarové protektory prošly během 16 let prudkým vývojem. Zhodnotíme, jaká je situace v roce 2016. Podíváme se, jak fungují dnešní protektory pro Windows a Android, ukážeme, co se snaží řešit a současně jaké problémy jejich nasazení přináší. Přednáška bude zajímavá i pro ty, které zajímá problematika malware.
Přednáška zaměřená na rychlý přehled nových technologií v operačním systému Windows 10 a nových mikroarchitekturách procesorů Intel (Haswell, Sky Lake a Kaby Lake). Detailněji se pak bude věnovat některým klíčovým novinkám jako je virtual based security ve Windows 10, nebo některým bezpečnostním rozšířením procesorů. Závěrem poskytne přehled zdrojů k detailním informacím a příkladům využití. Přednáška bude koncipována jako "svodka technologických novinek". Autor bude přítomný po celou dobu konání konference a rád odpoví na Vaše otázky.
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Security Session
If small botnets are difficult to detect, small Linux botnets staying under the radar are more difficult. This talk describes how we detected a novel Linux botnet in a large organization by analyzing the network connections patterns with our behavioral detection system. The botnet exploits web servers and uses obfuscated python scripts to receive commands. Our behavioral IPS, called Stratosphere, was able to detect the botnet by creating machine learning models of real malware behaviors and then using those models to detect similar behaviors in other networks. From the first indicators of compromise to the final remediation, we will share our analysis, the attack methodologies observed and tools used.
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]Security Session
Naše disky sú zašifrované, role presne vymedzené a prístupy do našich systémov pravidelne revidujeme. Čo viac urobiť pre ochranu našich dát? Ochrániť užívateľa pred sebou samotným? V rámci přednášky si prejdeme možnosti, ako ovplyvniť užívateľské správanie a predikovať možné problémy. Zameriame sa na prepojenie technológií s fungovaním firmy a ukážeme metódy, ktoré sa osvedčili firmám u nás i v zahraničí.
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
Nelze chránit to, co není vidět. Díky technologii datových toků (NetFlow/IPFIX) lze dosáhnout hluboké viditelnosti do síťového provozu. Analýza chování sítě na základě statistik o datových tocích odhalí anomálie v provozu včetně dosud neznámých kybernetických hrozeb, které tradiční zabezpečení nezastaví. IT profesionálové po celém světě řeší způsoby, jak získat kontrolu nad síťovým provozem, aby mohli chránit své systémy před pokročilými kybernetickými hrozbami. Tato prezentace přiblíží různé přístupy monitorování počítačových sítí, vysvětlí principy a technologie datových toků a na praktických příkladech ukáže jejích sílu pro získání viditelnosti do provozu a detekci anomálií.
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Security Session
Ačkoli je e-mail často používán i pro důležitou komunikaci, stále je náchylný na odposlech nebo modifikaci nešifrovaných zpráv na cestě. Přitom existuje způsob, jakým lze nakonfigurovat
e-mailový server k vynucení šifrovaného předávání pošty při zachování plné kompatibility se stávajícími poštovními systémy. Využívá se přitom speciálních vlastností protokolů DNSSEC a DANE.
The document discusses the benefits of exercise for mental health. Regular physical activity can help reduce anxiety and depression and improve mood and cognitive functioning. Exercise causes chemical changes in the brain that may help boost feelings of calmness, happiness and focus.
Research in Liveness Detection - Martin DrahanskýSecurity Session
This document discusses research into liveness detection techniques for biometrics. It summarizes several technologies used in fingerprint sensors, such as optical, capacitive, ultrasound and others. It then outlines various liveness detection methods including analyzing perspiration, spectroscopic characteristics, temperature and pressure stimulus, pulsation of pixels, electrical properties, and analyzing pulse and heart activity. The document presents experiments differentiating real fingers from fakes. It also discusses challenges such as skin diseases and environmental factors that affect liveness detection. Overall, the document reviews the state of the art in liveness detection research for biometrics like fingerprints, finger veins, iris, retina and 3D face recognition.
Dolování dat z řeči pro bezpečnostní aplikace - Jan ČernockýSecurity Session
Dolování dat z řeči pro bezpečnostní aplikace discusses using speech mining technologies like speaker recognition, language identification, and speech recognition to help security applications. It notes that while speech is a major mode of human communication, analyzing speech can help narrow searches in scenarios of interest by identifying gender, language, speaker and what was said. The technologies discussed are not perfect but can help limit search spaces compared to relying solely on human experts. The document then provides examples of how gender identification, speech recognition and language identification work at a high level.
This document summarizes a presentation about network traffic monitoring and analysis. It discusses traditional monitoring tools like SNMP and newer tools that provide deeper traffic visibility. It explains how flow monitoring works and standards like NetFlow. The presentation also demonstrates how tools can analyze flow data to detect security issues, troubleshoot problems, and capture packets for forensic analysis. Real examples are shown of using these techniques to identify a malware infection and resolve a email delivery problem.
Jak odesílat zprávy, když někdo vypne Internet - Pavel TáborskýSecurity Session
This document outlines how to use amateur (HAM) radio to disseminate messages when the internet is shut down. It recommends using an APRS-capable handheld radio, yagi antenna, and transmitting on VHF bands to send messages via HAM radio satellites like the ISS, which can then be picked up by an international APRS iGate and tweeted via an APRS-Twitter gateway. Alternatively, cheap options like building a yagi antenna from a tape measure and transmitting APRS messages via digipeaters to an iGate are presented. Predicting satellite passes and ensuring infrastructure like digipeaters and an APRS-Twitter gateway are also discussed.
This document summarizes a presentation about tracking the Asprox botnet over two years. It describes the botnet's infrastructure including distribution channels, zombie hosts, command and control servers, and modules. The presentation traces the history of Asprox from 2007 to its disappearance in early 2015 and analyzes the encryption schemes used in its communication with command and control servers over time.
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Security Session
This two hours workshop will show how to analyze network traffic in order to decide if a computer was infected with malware. This is a very hard task since current malware tries to hide by mimicking normal traffic. We will present several cases where you will have to discover the true infected machine from a group. The goal of the workshop is to transmit the analysis skills necessary to differentiate the suspicious connections from the normal ones and to finally discover the malware behaviors.
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Security Session
Přijďte se naučit základy, o které se můžete opřít. Pustíme se do crackmes od RubberDucka a probereme nějakou teorii okolo. Workshop volně vychází ze seriálu Nebojte se reverzního inženýrství. Je potřeba alespoň Windows 7, nejlíp 64bitový. Stačí, když poběží ve virtuálce. Stáhněte si zdrojáky a binárky. Budeme používat OllyDbg 2.01 a x64dbg.
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
Na workshopu si ukážeme základní zabezpečení nově nainstalovaného serveru pomocí iptables. Instalaci a nastavení Fail2Ban tak, aby sledoval logování SSH přístupů a při neoprávněném pokusu o příhlášení zablokoval IP adresu útočníka. Vyzkoušíme si i honeypotu, který nám pomůže útočníka zdržet. Nastíníme sledování logů jiných služeb, získávání blacklistovaných IP z abuse trackerů a povíme si i další tipy jak znepříjemnit atakování serveru.
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Security Session
The smallest element in a botnet is a bot. The behavior of a bot can change dynamically based on the decision of the botmaster. Botnets are driven by profit, consequently, bots are expected to be profitable. If goals are not as expected, the bots can be instructed to switch their behavior to serve a better purpose. The aim of this talk is to present a detailed analysis of a network traffic capture of a machine originally infected by a Gamarue variant. The analysis will uncover the behavior of the bot since the initial infection, inactivity period, delivery of new payloads and the following switch of behavior of the bot. Additionally, we will present details on a barely known new botnet capable of performing horizontal brute-forcing of WordPress-based websites.
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
Security by obscurity nemůže fungovat. Nebo ano? Softwarové protektory prošly během 16 let prudkým vývojem. Zhodnotíme, jaká je situace v roce 2016. Podíváme se, jak fungují dnešní protektory pro Windows a Android, ukážeme, co se snaží řešit a současně jaké problémy jejich nasazení přináší. Přednáška bude zajímavá i pro ty, které zajímá problematika malware.
Přednáška zaměřená na rychlý přehled nových technologií v operačním systému Windows 10 a nových mikroarchitekturách procesorů Intel (Haswell, Sky Lake a Kaby Lake). Detailněji se pak bude věnovat některým klíčovým novinkám jako je virtual based security ve Windows 10, nebo některým bezpečnostním rozšířením procesorů. Závěrem poskytne přehled zdrojů k detailním informacím a příkladům využití. Přednáška bude koncipována jako "svodka technologických novinek". Autor bude přítomný po celou dobu konání konference a rád odpoví na Vaše otázky.
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Security Session
If small botnets are difficult to detect, small Linux botnets staying under the radar are more difficult. This talk describes how we detected a novel Linux botnet in a large organization by analyzing the network connections patterns with our behavioral detection system. The botnet exploits web servers and uses obfuscated python scripts to receive commands. Our behavioral IPS, called Stratosphere, was able to detect the botnet by creating machine learning models of real malware behaviors and then using those models to detect similar behaviors in other networks. From the first indicators of compromise to the final remediation, we will share our analysis, the attack methodologies observed and tools used.
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]Security Session
Naše disky sú zašifrované, role presne vymedzené a prístupy do našich systémov pravidelne revidujeme. Čo viac urobiť pre ochranu našich dát? Ochrániť užívateľa pred sebou samotným? V rámci přednášky si prejdeme možnosti, ako ovplyvniť užívateľské správanie a predikovať možné problémy. Zameriame sa na prepojenie technológií s fungovaním firmy a ukážeme metódy, ktoré sa osvedčili firmám u nás i v zahraničí.
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
Nelze chránit to, co není vidět. Díky technologii datových toků (NetFlow/IPFIX) lze dosáhnout hluboké viditelnosti do síťového provozu. Analýza chování sítě na základě statistik o datových tocích odhalí anomálie v provozu včetně dosud neznámých kybernetických hrozeb, které tradiční zabezpečení nezastaví. IT profesionálové po celém světě řeší způsoby, jak získat kontrolu nad síťovým provozem, aby mohli chránit své systémy před pokročilými kybernetickými hrozbami. Tato prezentace přiblíží různé přístupy monitorování počítačových sítí, vysvětlí principy a technologie datových toků a na praktických příkladech ukáže jejích sílu pro získání viditelnosti do provozu a detekci anomálií.
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Security Session
Ačkoli je e-mail často používán i pro důležitou komunikaci, stále je náchylný na odposlech nebo modifikaci nešifrovaných zpráv na cestě. Přitom existuje způsob, jakým lze nakonfigurovat
e-mailový server k vynucení šifrovaného předávání pošty při zachování plné kompatibility se stávajícími poštovními systémy. Využívá se přitom speciálních vlastností protokolů DNSSEC a DANE.
The document discusses the benefits of exercise for mental health. Regular physical activity can help reduce anxiety and depression and improve mood and cognitive functioning. Exercise causes chemical changes in the brain that may help boost feelings of calmness, happiness and focus.
Research in Liveness Detection - Martin DrahanskýSecurity Session
This document discusses research into liveness detection techniques for biometrics. It summarizes several technologies used in fingerprint sensors, such as optical, capacitive, ultrasound and others. It then outlines various liveness detection methods including analyzing perspiration, spectroscopic characteristics, temperature and pressure stimulus, pulsation of pixels, electrical properties, and analyzing pulse and heart activity. The document presents experiments differentiating real fingers from fakes. It also discusses challenges such as skin diseases and environmental factors that affect liveness detection. Overall, the document reviews the state of the art in liveness detection research for biometrics like fingerprints, finger veins, iris, retina and 3D face recognition.
Dolování dat z řeči pro bezpečnostní aplikace - Jan ČernockýSecurity Session
Dolování dat z řeči pro bezpečnostní aplikace discusses using speech mining technologies like speaker recognition, language identification, and speech recognition to help security applications. It notes that while speech is a major mode of human communication, analyzing speech can help narrow searches in scenarios of interest by identifying gender, language, speaker and what was said. The technologies discussed are not perfect but can help limit search spaces compared to relying solely on human experts. The document then provides examples of how gender identification, speech recognition and language identification work at a high level.
This document summarizes a presentation about network traffic monitoring and analysis. It discusses traditional monitoring tools like SNMP and newer tools that provide deeper traffic visibility. It explains how flow monitoring works and standards like NetFlow. The presentation also demonstrates how tools can analyze flow data to detect security issues, troubleshoot problems, and capture packets for forensic analysis. Real examples are shown of using these techniques to identify a malware infection and resolve a email delivery problem.
Jak odesílat zprávy, když někdo vypne Internet - Pavel TáborskýSecurity Session
This document outlines how to use amateur (HAM) radio to disseminate messages when the internet is shut down. It recommends using an APRS-capable handheld radio, yagi antenna, and transmitting on VHF bands to send messages via HAM radio satellites like the ISS, which can then be picked up by an international APRS iGate and tweeted via an APRS-Twitter gateway. Alternatively, cheap options like building a yagi antenna from a tape measure and transmitting APRS messages via digipeaters to an iGate are presented. Predicting satellite passes and ensuring infrastructure like digipeaters and an APRS-Twitter gateway are also discussed.
This document summarizes a presentation about tracking the Asprox botnet over two years. It describes the botnet's infrastructure including distribution channels, zombie hosts, command and control servers, and modules. The presentation traces the history of Asprox from 2007 to its disappearance in early 2015 and analyzes the encryption schemes used in its communication with command and control servers over time.
2. Obsah přednášky
● Základní pojmy
● Struktura MBR
● Kód MBR
● Průběh bootování
● …
Platné převážně od Windows Vista
3. Struktura (peného) disku
● Rozdělen na sektory (obvykle 512 B)
● FS většinou pracují s clustery (4 KB) (alokační
jednotky)
4. Struktura MBR
● 512 bajtů celkem
● 355 bajtů užitečného kódu (70 %)
● 85 bajtů chybových hlášek (15 %)
● 4 bajty na ID disku (1 %)
● 2 bajty neznámé funkce (0,5 %)
● 4*16 bajtů na tabulku oddílů (13 %)
● 2 bajty na značku konce (0x55 0xAA) (0,5 %)
5. ID disku
● 4bajtové číslo jedinečně identifikující disk v
rámci systému.
● HKLMSYSTEMMountedDevices, hodnoty
DosDevicesX:
– 12bajtová data
– 4 bajty identifikují disk (ID)
– 8 bajtů udává pozici prvního bajtu oddílu
mapovaného pod písmenem X
6. Záznam o oddílu
Offset Velikost Popis
0 1 Příznaky
0x80 = aktivní (bootovatelný)
0x00 = neaktivní
1 3 CHS adresa prvního sektoru
4 1 Typ/souborový systém (hint)
0x07 = NTFS
0x06 = FAT
0x0C = FAT32
0x07 = exFAT
0x0F = extended
5 3 CHS adresa posledního sektoru
8 4 LBA prvního sektoru
12 4 Délka oddílu, v sektorech
10. Běhové prostředí
4bajtové adresy
– Segment (2 bajty) – obvykle zadán implicitně
– Offset (2 bajty)
– 16 * Segment + Offset = Fyzická adresa
● Příklad shodných adres:
– 0x0000:0x7C00
– 0x07C0:0x0000
– 0x0700:0x0C00
● „služby OS“ přes přerušení
– INT 0x10 – obrazovka
– INT 0x13 – práce s diskem
– INT 0x18 – restart počítače
– ...
11. Struktura kódu MBR
● Kopírování MBR (relokace)
● Hledání aktivního oddílu
● Čtení VBR
● 8042 controller
● TPM
● Předání řízení na první bajt VBR
12. Kopírování
● MBR načten na adresu 0x0000:0x7C00
● Na stejné adrese by měl být spuštěn i VBR
– Disk nemusí vůbec obsahovat MBR
– Transparentnost
● Proto:
– celý obsah MBR překopírován na adresu
0x0000:0x0600
– a spuštěn.
13. Hledání aktivního oddílu
● Postupné zkoumání (primárních) oddílů
● Rozhoduje se podle hodnoty prvního bajtu
(příznaky):
– 0x00 = neaktivní oddíl, hledání pokračuje,
– 0x80 = aktivní oddíl, hledání končí, začíná práce s
diskem,
– Jiná hodnota = neplatný oddíl, chyba „Invalid
partition table“,
– žádný oddíl není aktivní = předání řízení firmwaru
(reboot, nebo nic)
14. Čtení VBR
● Detekce, zda disk podporuje LBA
● ANO = pokus o čtení VBR přes LBA, v případě
chyby se pokračuje dalším bodem
● NE = pokus o čtení přes CHS
● Pokud chyba, reset disku a nový pokus
● Maximálně pět pokusů
● Chyba „Error loading operating system“
● INT 0x13
16. TPM
● Nepovinné
● Speciální HW modul dovolující provádět
kryptografické operace
● Přístupný přes přerušení 0x1A
● MBR jej používá k výpočtu hashe obsahu VBR
– Z výsledku nedělá žádné závěry
17. Volume Boot Record (VBR)
● Cíl: najít, načíst a spustit bootmgr
● Velikost: 512 B – 4 KB
● Prostředí: 16bitové (reálný režim procesoru)
● Obsah: kód, důležité informace pro souborový
systém
● Umístění: první sektory oddílu
● Konkrétní podoba VBR závisí na souborovém
systému, kterým je oddíl formátován
18. Boot loader (Bootmgr)
● Cíl: dostat se do 64bitového režimu a předat
štafetu programu winload.exe
● Velikost: stovky KB
● Prostředí: 16bitové, 32bitové, 64bitové
● Obsah: kód a data (startup.com +
bootmgr.exe)
● Umístění: kořenový adresář aktivního oddílu.
Nesmí být komprimován či šifrován
19. Winload a ntoskrnl
● Winload.exe
– Cíl: načíst hlavní modul jádra a ovladače, které
budou v rámci startu OS potřeba
– Obsah: standardní PE soubor
– Stejně jako bootmgr čte a chová se podle
konfigurace uložené v BCD.
● Ntoskrnl.exe
– Implementuje většinu mechanismů, bez kterých se
žádný větší OS neobejde (VM, plánování,
komunikace s HW, synchronizace, obsluha
přerušení)