Bezpieczeństwa systemów informatycznych nie można kupić jak produktu. Bezpieczeństwo to stan który uzyskuje się za pomocą odpowiednio zaplanowanych, wdrożonych i utrzymywanych środków technicznych, organizacyjnych i prawnych. Raporty nt. incydentów bezpieczeństwa oraz wykonywane w polskich przedsiębiorstwach audyty bezpieczeństwa pokazują, iż w wielu systemach informatycznych pomimo wdrożenia kosztownych produktów zabezpieczeń wartościowe zasoby IT nie są właściwe chronione. Częstym tego powodem jest źle wykonany projekt zabezpieczeń.

Wykład omawia praktyczne aspekty zastosowania metodyki PRINCE2 w projektach zabezpieczeń systemów informatycznych.

Współcześnie liczba szkodliwych kodów rośnie w lawinowym tempie. Z dnia na dzień pojawiają się nowe rodziny trojanów robaków itd., a istniejące już ulegają kolejnym modyfikacjom. Aby szybko tworzyć nowe, skuteczne szczepionki potrzebne są nowe metody kolekcji próbek i ich szybkie przetwarzanie. Wykład przedstawi charakterystykę obecnie gromadzonych kolekcji szkodliwego oprogramowania.

Celem prelekcji jest zainteresowanie słuchaczy tematyką reverse engineeringu oraz przekrojowe przedstawienie tematyki. Poruszony zostanie m.in. temat skuteczności zabezpieczeń antypirackich, tricków anti-RE używanych w malwarze, czy użyciu reverse engineeringu w celu dodania/zmiany funkcjonalności oprogramowania.

Podczas prezentacji autor opowie o zarządzaniu zasobami w środowiskach rozproszonych, w szczególności w kontekście integracji baz danych oraz zachowania bezpieczeństwa zgromadzonych informacji. Na przykładzie jednego z przeprowadzonych projektów autor udowodni, że nie trzeba rezygnować z użyteczności i funkcjonalności systemu na rzecz bezpieczeństwa danych. Omawiane tematy będą dotyczyły implementacji systemu uwierzytelniania i autoryzacji użytkownika w środowisku rozproszonym, który za pomocą pojedynczego logowania (single sign-on, SSO) zapewni bezpieczny dostęp do zasobów różnych instytucji (zrzeszonych, bądź nie, w tzw. federacje). Ponadto zostanie zaprezentowane AdHoc, autorskie rozwiązanie firmy GridwiseTech służące do łatwego zarządzania użytkownikami, zasobami i poziomami dostępu do danych w środowiskach rozproszonych.

Błędy bezpieczeństwa trybu jądra zyskują w ciągu ostatnich lat coraz większe zainteresowanie ze strony badaczy. Jest to spowodowane zarówno możliwościami, jakie otwierają przed napastnikiem krytyczne luki, jak i niewielką ilością zabezpieczeń znajdujących się w jądrze Windows. Wiedza z zakresu bezpieczeństwa trybu jądra okazuje się więc niezbędna zarówno do zrozumienia zasady działania istniejących dziur, jak i przy prowadzeniu własnych badań w tym zakresie. Wykład ma na celu zaprezentować, jak w praktyce wygląda znajdowanie i wykorzystywanie błędów w trybie ring-0

W czasie prelekcji autor opowie o sieciach anonimizujących i pseudonimizujących, włączając w to informacje o możliwych atakach na jakie są podatne. Będą to zarówno sprawy poruszone w artykule: link1, jak i kwestie związane ze szwedzką usługą IPREDator czy niemiecką JAP, posiadającą backdora w kliencie. Autor przybliży również pojęcie anomimowości i jej powiązania z prywatnością.

Druga część prelekcji ma zachęcić uczestników do dyskusji na temat politycznych zagrożeń dla anonimizacji na przykładzie: link2 oraz link3

Aplikacje webowe stają się oprogramowaniem coraz bardziej złożonym, posiadającym często unikalne funkcjonalności. Wykorzystanie wyspecjalizowanych, inteligentnych narzędzi, wspomagających manualne testy, pozwala na szybkie i efektywne testowanie aplikacji webowych pod kątem występowania ewentualnych luk w bezpieczeństwie. W czasie wykładu przedstawione zostaną sposoby tworzenia narzędzi bazujących na analizie treści witryny, naśladujących zachowanie rzeczywistego użytkownika oraz zdolnych do wykrywanie zróżnicowanych błędów. Przedstawione zostaną także praktyczne przypadki użycia, poruszone zostaną najtrudniejsze problemy związane z tworzeniem własnego oprogramowania testującego oraz nastąpi próba odpowiedzi na pytanie czy wirtualny tester jest w stanie zastąpić człowieka.

W dobie popularności aplikacji webowych i mnogości błędów, które są w nich znajdowane, stanowią one bardzo łakomy kąsek dla napastników w Internecie. W mediach niemal codziennie można przeczytać o kolejnym ataku, który zakończył się kradzieżą danych lub tożsamości użytkownika serwisu WWW. W trakcie prelekcji zostaną przedstawione wybrane przykłady ataków na aplikacje webowe w kontekście obsługi incydentów jakie dany atak wygeneruje. Odpowiem na następujące pytania: Jak wygląda atak od podszewki? Gdzie szukać śladów ataku? Jak usunąć podatność? Jak przygotować się do kolejnego starcia? Odpowiedzi na pytania poprę praktycznymi przykładami.

Obecnie obserwuje sie rozwój różnorakich platform "embedded" dla zastosowań sieciowych. ALIX firmy PC Engines jest jedną z tańszych alternatyw dla profesjonalnych ale i drogich rozwiązań. OpenBSD ze względu na swą zwięzłość oraz brak kompromisów w kwestii bezpieczeństwa. Podczas prelekcji zostanie przedstawiona charakterystyka bezpiecznej i niezawodnej platformy oraz kilka ciekawszych przypadków użycia związanymi z bezpieczeństwem w sieci.

Aplikacje to część systemu informatycznego, która jest blisko danych a jednocześnie jest blisko użytkownika – a więc również potencjalnego intruza. Z tego względu w ostatnich latach widać zdecydowany wzrost zainteresowania problematyką bezpieczeństwa aplikacji – zwłaszcza aplikacji tworzonych na indywidualne zamówienie.

Prezentacja, na podstawie doświadczeń autora, przedstawia typowe problemy, jakie pojawiają się podczas testów bezpieczeństwa aplikacji. Przykładowo: jak dobrać zakres testów? Jakie metody badania zastosować? Dlaczego należy objąć testami całość aplikacji? Czy i w jakim zakresie dopuścić stosowanie narzędzi automatycznych? Dlaczego przed przystąpieniem do testów istotne jest zidentyfikowanie i przeanalizowanie zagrożeń? Czy należy testować system „żywy” - produkcyjny? Kiedy testować bezpieczeństwo? Jak współpracować z zespołem testującym?

Przedstawione zostaną także opracowane w ramach Open Web Application Security Project (OWASP) publikacje pomagające właściwie zdefiniować zakres i sposób wykonania testów bezpieczeństwa aplikacji: OWASP Application Security Verification Standard (ASVS) oraz OWASP Testing Guide.