Security PWNing ConferenceJak już wspominałem, 7-8 listopada w Warszawie odbędzie się konferencja Security PWNing Conference, przy której organizacji trochę pomagam od strony programowej. Sama konferencja organizowana jest przez Wydawnictwo Naukowe PWN, natomiast charakter będzie miała mniej akademicki, a bardziej praktyczny/scenowy (w rozumieniu sceny profesjonalistów i hobbystów zajmujących się praktycznym bezpieczeństwem IT). Kilka słów o niej, o tym czym się kierowaliśmy wybierając prelegentów i o nich samych poniżej.

Podstawowe informacje

  • Kiedy: 7-8 listopada 2016
  • Gdzie: Warszawa, Klub ARCO, ul. Bitwy Warszawskiej 1920 r. 19
  • Ile: ~1111 PLN, a z magicznym kodem (Gyn20PWNing) ~888 PLN
  • Język: Polski, z wyjątkiem jednej prelekcji (James Forshaw)
  • Strona konferencji: click

Program konferencji i prelegenci

O ile byłem (mówiłem) na sporej liczbie konferencji na kilku różnych kontynentach (od Azji i SyScan na wschodzie, aż do Ameryki Północnej i Black Hat na zachodzie), o tyle przy okazji Security PWNing Conference po raz pierwszy uczestniczę w tworzeniu konferencji od jej samego początku, w roli przewodniczącego rady programowej (taka ładna nazwa kogoś, kto stara się wymyślić co powinno znaleźć się w agendzie i skąd magicznie wyczarować odpowiednich prelegentów). Większość procesu od tej strony była dla mnie nowa (z dokładnością do panelu CFP - raz miałem już okazję w takowym uczestniczyć), a co za tym idzie była to w zasadzie nauka w trakcie pracy (na szczęście głównemu organizatorowi - Małgorzacie Matejek - doświadczenia w organizowaniu konferencji nie brakuje). Po kilku miesiącach, kiedy plan konferencji jest już w zasadzie wyryty w kamieniu, mogę z jednej strony powiedzieć, że chyba podeszliśmy zbyt ostrożnie do tworzenia programu - patrząc po zainteresowaniu CFP; można było spokojnie zrobić dwie ścieżki. Z drugiej jednak strony jestem całkiem zadowolony z tego, jak wygląda agenda.

Wybierając prelegentów miałem dwa główne, ale odrębne cele:

• Po pierwsze, miało być technicznie do granic możliwości - najlepiej prelekcje researcherów / bug hunterów / osób pracujących przy ciekawych (technicznych) projektach.
• Z drugiej strony same prelekcje techniczne są na dłuższą metę dość wyczerpujące - stąd pomysł aby przeplatać je prelekcjami mniej hardkorowymi (ale nadal poniekąd technicznymi), przy których można trochę odetchnąć.

Oprócz tego od początku chcieliśmy wpleść coś charakterystycznego dla głównego organizatora (PWN), czyli spotkanie autorskie z autorami jakiejś książki z branży IT sec. I tak, data premiery „Praktycznej Inżynierii Wstecznej” - czyli 4 listopada (na 3 dni przed konferencją), nie jest przypadkowa - pod koniec pierwszego dnia konferencji odbędzie się spotkanie z większością autorów tej pozycji :). Co więcej, PWN będzie miał również stoisko na konferencji i konkretną zniżkę na książki techniczne (20% wg strony konferencji).

Oprócz prelekcji + spotkania autorskiego będzie też after party po pierwszym dniu konferencji, a także escape room w okolicy holu konferencji (zorganizowany przez Dom Zagadek - są bardzo wysoko w rankingu lockme.pl btw, więc powinno być ciekawie; przy czym forma będzie uproszczona ofc).

A teraz jeśli chodzi o klucz programu - prelegenci i prelekcje (w kolejności z agendy; godziny nie są finalne)!

Dzień 1, 10:00 - Keynote - Gynvael Coldwind
O czym konkretnie będę mówić podczas keynote dam znać za tydzień lub dwa (jak tylko książka trafi do druku) ;)

Dzień 1, 11:00 - Documented to Fail - James Forshaw
(twitter, packet storm)
Jeśli ktoś siedzi w researchu Windowsa to chyba nie sposób nie słyszeć o Jamesie. Ma sporo CVE na koncie, a do tego za swój research związany z ominięciem mitygacji w Windows 8.1 korzystając z obiektów COM dostał bounty w wysokości 100.000 USD od Microsoftu; za ten sam research zresztą był nominowany do Pwnie Award w kategorii "Najbardziej Innowacyjne Badania Naukowe". Obecnie James pracuje razem z j00ru w Google Project Zero, i często o jego researchu można poczytać właśnie na blogu PZ.
Podczas swojej prelekcji James pokaże trochę (anty)przykładów dokumentacji funkcji API, których nieścisłość/nieprecyzyjność prowadziła do błędów po stronie użytkowników (programistów korzystających z) danego API.

Dzień 1, 12:00 - Same Origin Policy – wiwisekcja - Krzysztof Kotowicz
(blog, twitter)
Krzysiek Kotowicz z kolei siedzi w bezpieczeństwie aplikacji webowych i przeglądarek (ba, kiedyś nawet skolidowaliśmy z researchem), a także w kryptografii (patrz np. dość znany atak na SSL - POODLE aka Padding Oracle On Downgraded Legacy Encryption). Na co dzień pracuje w tym samym teamie co ja, czyli Information Security Engineering w Google, choć zajmuje się nieco innymi rzeczami.
Na swojej prelekcji Krzysztof opowie o Content Security Policy, i o tym jak CSP (nie)sprawdziło(?) się w praktyce, i jak wygląda jego ewolucja.

Dzień 1, 13:30 - Graficzny format Windows Metafile: analiza wektorów ataku i najnowszych podatności - Mateusz Jurczyk
(blog, twitter)
Mateusza Jurczyka, czyli j00ru, chyba nie muszę przedstawiać czytelnikom mojego bloga - z uwagi na to, że bardzo dużo (i od wielu lat) razem współpracujemy, jego nick pojawia się w co drugim poście na moim blogu. Ale, żeby tradycji stało się zadość: setki błędów na koncie w istotnym sofcie (od Windowsa z którego jest najbardziej znany, poprzez Adobe Flash / Readera, pdfium czy choćby ffmpeg), 6 nominacji do Pwnie Awards, z czego 3 wygrane, współzałożyciel i wice-kapitan Dragon Sector, współautor „Praktycznej Inżynierii Wstecznej” (i jednocześnie jej redaktor naukowy); na co dzień pracuje w Google Project Zero.
Podczas swojego wystąpienia j00ru opowie o swoim researchu dotyczącym implementacji EMF (Enhanced Metafile, taki nowszy WMF) w Windowsie - a błędów tam nie brakowało.

Dzień 1, 15:00 - Śledzenie ścieżki wykonania procesu: dla security researchera i programisty – Robert Święcki
(www, twitter)
W przeciwieństwie do James'a i j00ru, Robert "jagger" Święcki siedzi przede wszystkim w Linuxie. Jeśli sandboxowaliście kiedyś aplikacje, lub tworzyliście CTFa, pewnie kojarzycie go z NsJail, a jeśli coś fuzzowaliście, to z Honggfuzz. Robert ma na koncie nominacje do Pwnie Awards za buga w prockach AMD (wow), i sporo bugów w Linuxie/OpenSSH/OpenSSL/etc. Do tego jest naszym lokalnym ekspertem od niskopoziomowych aspektów Linuxa i innych Unixów w Dragon Sector - generalnie gdy tylko pojawia się wyrażenie "sandbox escape" albo "coś dziwnego na linuxie", to wołam Roberta ;)
Robert na swojej prelekcji opowie o różnych sposobach na śledzenie ścieżki wykonania procesu, od stricte software'owych, aż do wykorzystujących najnowsze ficzery procesorów (temat jest powiązany z tym o czym Robert pisał w „Praktycznej Inżynierii Wstecznej”).

Dzień 1, 16:00 - Niekoniecznie zaufane urządzenia i co można z nimi zrobić w Qubes OS - Marek Marczykowski-Górecki
(github)
Marka możecie kojarzyć z projektu Qubes OS, bardzo ciekawego, bezpiecznego systemu operacyjnego bazującego na Xenie (oraz Linuxie, choć i aplikacje Windowsowe można uruchomić) i stosującego wirtualizację do separacji uprawnień różnych programów działających w systemie (zgodnie ze słusznym założeniem, że separacja na poziomie kernela po prostu nie działa przez nieskończony ciąg błędów w samym jądrze, driverach i modułach). Dodam, że Marek jest głównym programistą Qubes OSa.
Podczas swojej prelekcji Marek opowie o problemach wynikających z architektury PC, a konkretniej z takiego a nie innego stanu szyn PCI oraz USB.

Dzień 1, 17:00 - TBD - Piotr Konieczny
(twitter, niebezpiecznik)
Pentester, konsultant, a przede wszystkim założyciel Niebezpiecznika - serwisu, który, jakby na to nie patrzeć, zapoczątkował nową erę serwisów z newsami o bezpieczeństwie w Polsce. Prelekcje Piotrka są zazwyczaj dość wysokopoziomowe, a sposób prowadzenia pozwala się odprężyć i po prostu dobrze bawić na prelekcji :)
Na ten moment Piotrek jeszcze nie zdecydował o czym opowie (a może po prostu chce nas zaskoczyć).

Dzień 1, 18:00 - Wieczór autorski z autorami "Praktyczna inżynieria wsteczna: Metody, techniki i narzędzia"
Książka ma 12 autorów (Tomasz Bukowski, Grzegorz Antoniak, Tomasz Kwiecień, Mateusz Krzywicki, Marcin Hartung, Gynvael Coldwind, Hasherezade, Maciej Kotowicz, Michał Kowalczyk, Robert Święcki, Piotr Bania, Mateusz Jurczyk) i większość z nich (ale nie wszyscy) pojawi się na wieczorze autorskim. Samo spotkanie będzie miało formę panelu, dyskusji i pewnie Q&A (i coś mi mówi, że ja będę prowadzącym, chyba, że znajdę kogoś lepszego). Should be fun :)

Dzień 1, 20:00 - ... - Afterparty!

Dzień 2, 10:00 - Krytyczne błędy konfiguracji – Borys Łącki
(bothunters)
Borysa poznałem jak jeszcze był redaktorem magazynu Xploit, do którego nawet zdarzyło mi się napisać jakiś artykuł, ale domyślam się, że Wy bardziej kojarzycie go z serwisu BotHunters.pl, lub z konferencji, na których jest częstym prelegentem (albo np. spotkań branży security we Wrocławiu). Za dnia pracuje w Logical Trust, gdzie zajmuje się testami penetracyjnymi.
Borys podejdzie do tematu bezpieczeństwa od nieco innej strony - zamiast na błędach w oprogramowaniu, skupi się na błędach w jego konfiguracji i ich konsekwencjach związanych z bezpieczeństwem. Dodam, że Borys jest jednym z moich ulubionych prelegentów (mówię to jako osoba, która była na sporej liczbie jego prelekcji) :)

Dzień 2, 11:00 - Hackowanie internetu rzeczy – Michał Sajdak
(sekurak)
Po SECURE 2013 prelegenci dostali oceny swoich prelekcji bazujące na ankietach uczestników. Moje prelekcje bywają czasem słabsze, czasem lepsze - tym razem miałem więcej czasu na przygotowanie, więc poszło lepiej i moja prelekcja została oceniona jako top2 pod względem treści. Wspominam o tym, ponieważ top1 dostała właśnie prelekcja Michała Sajdaka :). Michała możecie kojarzyć przede wszystkim z serwisów Sekurak (i Sekurak Hacking Party lub Sekurak/Offline #1 #2), rozwal.to, czy z firmy, której jest właścicielem - securitum. Ew. możecie go kojarzyć z jego uwielbienia do szukania błędów w routerach, drukarkach, i innym sprzęcie, który z jakiegoś powodu został wyposażony we własny interfejs WWW.
Podczas swojej prelekcji Michał opowie o hakowaniu IoT - wskaże sporo błędów, które zostały znalezione w urządzeniach tej klasy.

Dzień 2, 12:00 - Purple Teaming - dwie strony Mocy – Dorota Kulas i Reenz0h
OK, szczerze przyznaje, że Dorota i Reenz0h są w mniejszości prelegentów, których niestety nie miałem jeszcze okazji poznać/oglądać na żywo (na szczęście będę miał okazję to nadrobić w Warszawie). Wspomogę się więc notatkami ze strony konferencji:
Dorota: Pracuje w IT od 2001 roku, początkowo jako administrator systemów unixowych, następnie wiele lat jako administrator sieci i analityk ds. rozwiązań sieciowych. Od 5 lat pracuje w międzynarodowym środowisku zajmując się symulacją zagrożeń w sieci (Red Team). Dorota specjalizuje się w atakach sieciowych oraz socjotechnikach, a jej ulubionym zajęciem jest rozwiązywanie problemów oraz R&D. Prezentacje: NoVA Hackers 2013 i 2016, SecurityBSides Warsaw 2015, Geek Girls Carrots 2016, HackInParis 2016, wykłady gościnne na Politechnice Gdańskiej.
reenz0h: Wieloletni fan(atyk?) zagadnień związanych z bezpieczeństwem IT, głównie ataków na sieci (protokoły komunikacyjne) oraz systemy operacyjne z rodziny UNIX i zOS. 20 lat w IT, a od 5 zajmuje się symulacjami ataku na infrastrukturę IT różnych instytucji (banków, firm technologicznych, przemysłu, energetyki, lotnictwa) w Polsce i za granicą. W swoich badaniach zawsze koncentruje się na praktycznych aspektach podatności, np. udoskonalony atak MitM w HSRP czy POSIX file capabilities jako metoda backdoorowania systemu Linux. Prezentacje: wykłady gościnne na Politechnice Gdańskiej i kole naukowym ETI PG, NoVA Hackers 2013, Geek Girls Carrots 2016.
Oboje opowiedzą o purple teamingu, czyli połączeniu red teamu i blue teamu.

Dzień 2, 12:45 - Analiza aplikacji z wykorzystaniem instrumentacji – Mariusz Burdach
(blog)
I ponownie muszę posłużyć się bio ze strony konferencji:
Mariusz: Pracuje w Prevenity gdzie zajmuje się analizami złośliwego oprogramowania, identyfikacją błędów w aplikacjach mobilnych z systemem iOS, informatyką śledczą oraz wsparciem organizacji w reakcjach na incydenty bezpieczeństwa. Współtworzy blog malware.prevenity.com.
Mariusz opowie o RE przy użyciu instrumentacji.

Dzień 2, 14:15 - Lighting Talks (12 wystąpień 5-minutowych)
Jeśli się znajdą chętni, to mamy 12 slotów. Zgłoszenia w pierwszy i drugi dzień konferencji :)

Dzień 2, 15:30 - Stan bezpieczeństwa aplikacji mobilnych polskich banków – Tomasz Zieliński
I po raz trzeci muszę wspomóc się bio ze strony:
Tomasz: Programista, lider zespołu mobilnego w firmie PGS Software. W trakcie kilkunastoletniej kariery pracował nad utrzymaniem oprogramowania finansowego dla NBP, brał udział w rozwoju wyszukiwarki BING w Microsofcie, pomógł przy produkcji Angry Birds, był twórcą pierwszego mobilnego rozkładu jazdy komunikacji miejskiej dla systemu Android. Pasjonat szeroko rozumianej branży IT, pilot paralotni.
Jeśli chodzi o prelekcję, to w skrócie: Tomasz wziął na warsztat sporo appek mobilnych używanych przez klientów polskich banków, i sprawdził, czy na pewno wszystko jest w nich OK.

Dzień 2, 17:00 - Realne ataki, realne straty - 2016 w Polsce i na świecie – Adam Haertle
Konferencję zakończy Adam Haertle, który (za bio) pracuje jako IT Security Officer w UPC, gdzie odpowiada za zapewnienie odpowiedniego poziomu ochrony informacji, w szczególności danych osobowych abonentów oraz tajemnicy przedsiębiorstwa, wykrywanie i eliminowanie nadużyć zarówno korporacyjnych jak i abonenckich, współpracę z organami ścigania, funkcjonowanie mechanizmów kontrolnych w obszarze IT oraz ich zgodność z obowiązującymi regulacjami. Choć możecie go też kojarzyć z innego miejsca ;)
Adam zrobi przegląd najpoważniejszych ataków dotykających firmy i użytkowników, które miały miejsce w roku 2016 (całość będzie okraszona przykładami, powiązaniami, skutkami i prognozami).

Uważni czytelnicy zapewne zastanawiają się, co będzie pomiędzy 16:15 a 17:00 - mamy tam jeszcze jeden slot, który przypadnie jednemu z partnerów konferencji. Dam znać przy okazji ogłoszenia tematu prelekcji i prelegenta.

Na koniec chciałbym jeszcze podziękować za wszystkie zgłoszenia na CFP - niestety slotów mieliśmy za mało, więc ostatecznie musieliśmy odmówić kilku prelegentom :(. Podziękowania również dla Rady Programowej, czyli osób, które analizowały i oceniały zgłoszenia na CFP; a konkretniej byli to:

• Anna Chałupska – http://isaca.waw.pl/
• Mateusz Jurczyk – http://j00ru.vexillium.org/
• Mateusz Kocielski – http://www.akat1.pl/
• Borys Łącki – http://bothunters.pl/

I tyle - do zobaczenia w Warszawie :)

Comments:

2016-10-10 12:11:07 = Piotrek
{
Zapowiada się ciekawie :) Konferencja zapowiada się tłusta :)

Czytając Twój wpis, zwróciłem uwagę no coś, na co nie zwracałem uwagi przez całą moja zawodową karierę. Będzie mały offtopic, ale być może uda się wyjaśnic pewna kwestię. Mianowicie chodzi mi o odmianę rzeczownika "programista" w języku polskim. Które zdanie jest poprawne? "Marek jest głównym programistom" czy "Marek jest głównym programistą"? Czytając program konferencji Marka Marczykowskiego-Góreckiego własnie doznałem przeświadczenia, że nie wiem co jest poprawne. Wiem, wiem... większośc czytelników tego bloga to ścisłowcy i stwierdzi, że się czepiam szczegółów. Ale mowimy o tak istotnym słowie w naszej branży więc myślę, że warto znać jego odmianę :D

A więc. Słownik Języka Polskiego odpowiedział mi jednoznacznie. Poprawna odmiana to: Marek jest programistą.

Gynvael popraw literówkę, a reszta (także i ja) niech na zawsze zapamięta odmianę tego rzeczownika :D
}
2016-10-10 13:01:42 = Gynvael Coldwind
{
@Piotrek
Ack, thx za bug report - poprawione :)
}
2016-10-11 00:34:01 = Marcin
{
Pytanie - czy konferencja będzie dostępna online, ewentualnie czy zostaną do niej udostępnione nagrania gdzieś w internecie, przykładowo YT?
}
2016-10-11 13:28:31 = Gynvael Coldwind
{
@Marcin
I to jest dobre pytanie. Live nie będzie, natomiast co do nagrań, to spytam głównego organizatora i dam znać.
}
2016-10-14 21:58:48 = Anonim
{
Jest szansa na jakieś powiadomienia na meila o nowym poście? Przegapiłem masę streamow, bo posty pojawiają sie nieregularnie (wiec nieregularnie wchodzę), a tak zaglądałbym zawsze jakby przyszło powiadomienie.
Pozdrawiam.
}
2016-10-15 09:22:26 = Gynvael Coldwind
{
@Anonim
Hmmm, myślimy o zrobieniu powiadomień mejlowych o streamach (przy czym to technicznie prostsze niż formalnie - GIODO & friends).
Ale... jest RSS na blogu - do góry po prawej są linki. Jeśli nie korzystasz z czytnika RSS, to są chyba serwisy/programy typu RSS-to-mail.
}
2016-10-15 22:34:43 = Dżejms
{
botnethunters to wartościowy portal informacyjny tak samo imię Borys napawa grozą, trąci syberią i władymirem. Kojarzę go ze swojej lodówki, ostatnio otworzyłem a tam borys mówi uważaj na bezpieczeństwo hakerzy masowo wyłączają chłodzenie w tym modelu przez sql injection i od tej pory zakopuje produkty mięsne w ogródku jak w średniowieczu. Poza tym słyszałem że kiedyś reklamował masowo szampony do włosów, ale spoko z chęcią go wysłucham prawie jak Wojciecha Jaruzelskiego kiedy mówił o demokracji w pamiętnym wydaniu teleranku
}
2016-11-10 14:27:50 = Bolo Confidence
{
Czy jest szansa na materiały z wykładów. Przykładowo Robert Święcki mówił że mógłby udostępnić swoje slajdy.

}
2016-11-13 15:58:36 = Tak
{
Czy będą dostępne slajdy? Czy będą dostępne nagrania, bo z tego co widziałem były robione.
}
2016-11-14 10:34:47 = Gynvael Coldwind
{
@Dżejms
?

@Bolo, @Tak
Na pewno będą slajdy - pewnie już niedługo.
Co do nagrań, to zależy (m.in. od jakości nagrania). Zobaczymy...
}

Add a comment:

Nick:
URL (optional):
Math captcha: 8 ∗ 10 + 1 =