SOOM.cz
Hacking & Security Konference 2014

zpět

Na co se můžete těšit:

Igor Hák (Viry.cz)

Igor Hák se narodil v Náchodě a mládí za kompem strávil ve Dvoře Králové. V roce 1998 vytvořil předchůdce současného portálu VIRY.CZ. Havěť se mu stala osudnou. Je jeho koníčkem i prací. Od roku 2003 totiž pracuje i pro ESET software.

Havěť 2014

Ohlédnutí za tím, kam se posunula havěť v poslední době, hlavně pak v letošním roce.


Prezentace:

prezentace
videozáznam

Jan Kopecký (OWASP)

Jan Kopecký se pohybuje v oblasti IT security již 10 let. Specializuje se převážně na bezpečnost webových aplikací, infrastruktury, reverzní inženýrství, psaní exploitů a analýzu malware. V současnosti Honza pracuje jako senior ethical hacker pro společnost ING. Dále také provozuje svoji vlastní společnost, která se zabývá konzultacemi v oblasti IT Security. V neposlední řadě je OWASP leaderem pro ČR.

Seznámení s OWASP

Během této přednášky se podíváme na to, co konkrétně OWASP je, co komunita za OWASPem dokázala a co se chystá do budoucna. Seznámíme se také se současnou situací OWASP komunity v ČR.


Prezentace:

prezentace
videozáznam

Kamil Vávra (SOOM.cz)

Kamil Vávra se věnuje počítačové bezpečnosti již přes 7 let. Je jeho koníčkem i prací. Aktuálně působí jako správce sítě na Mendelově univerzitě v Brně. Dlouhodobě se zajímá o etický hacking a ve volném čase publikuje články pro portál SOOM.cz pod přezdívkou infinity. Zabývá se vším od bezpečnosti webových aplikací, provozování honeypotů, RFID, Wi-Fi až po správu a bezpečnost metalických sítí. V poslední době se specializuje na využití smartphonů, tabletů a Raspberry Pi pro penetrační testování.

Kali Pwn Pad - vyzbrojen tabletem je nebezpečím pro společnost

Z této přednášky si odnesete ucelený přehled bezpečnostních nástrojů z prostředí Kali Linuxu a Androidu, ukážeme si praktické využití upraveného tabletu Google Nexus 7 spolu s modifikovaným smartphonem. Poznáte, jak je pro útočníka snadné otestovat a vyhodnotit zabezpečení sítě z mobilního zařízení, prolamovat přihlašovací procedury, mapovat a exploitovat běžící prvky v síti, provádět útoky "man in the middle", nebo zanechat na místě přenosný miniaturní počítač Raspberry Pi, ke kterému se v budoucnu jednoduše připojí.


Prezentace:

prezentace
demonstrační videa

 

Marek Palatinus (Bitcoin.cz)

Obsah přednášky bude doplněn později.



Martin Dráb

Martin Dráb se zkoumání jádra operačních systémů Microsoft Windows věnuje od prvních let studia na MFF UK. Svůj výzkum zaměřuje především na implementaci ochrany proti útokům malware. Aktuálně se zabývá způsoby ochrany proti škodlivým kódům na 64bitových verzích Windows. Část svých znalostí se pokusil shrnout v knize Jádro systému Windows.

S ovladačem do jádra!

64bitové verze Windows vpuštějí do svého jádra pouze ovladače podepsané certifikátem od důvěryhodné certifikační autority. Tato přednáška pojednává nejen o tom, jak tento certifikát získat a na co si při tomto procesu dát pozor, ale i o (ne)legálních možnostech, jak se ověřování digitálního podpisu úplně vyhnout. Některé z popsaných technik byly použity i autory malware.


Prezentace:

prezentace
videozáznam

Martin Klubal (SOOM.cz)

Počítačové bezpečnosti se věnuje již více než 10 let. Během své kariéry prošel společnostmi jako je Seznam.cz a CESNET. Nyní pracuje na pozici bezpečnostního konzultatnta v AEC - jedničce na trhu v oblasti zabezpečení. Martin je také znám z komunitního serveru SOOM.cz, kde vystupuje pod přezdívkou Emkei.

Ekosystém Darknetu

Clearnet, Darknet, Deepnet a tamní černý trh pod drobnohledem Anonymita na internetu je dvousečnou zbraní, která umožnila rozmach černého trhu a zpřístupnila jej takřka komukoliv. Zbraně, drogy, čísla kreditních karet, falešné doklady, padělané bankovky - to je pouze špička ledovce, na kterou při brouzdání v Darknet a Deepnet sítích narazíte. Jak probíhá obchod, platba, systém důvěry a samotné doručení zboží při nákupech na těchto sítích? Budete překvapeni.


Prezentace:

prezentace

Miroslav Hanzl (TransMiNn.cz)

Mirkovi bude letos 32 let. Čerstvě po škole nastoupil na pozici Specialista pro bezpečnost IT - databáze a provozní procesy do Československé obchodní banky, kde setrval po dobu 6ti let. Nakonec musel nedobrovolně odejít v důsledku tří po sobě jdoucích soudních procesů před trestním senátem, kde nakonec byl ve všech případech odsouzen, včetně trestu nepodmíněného. Ve všech případech odsouzen za "počítačovou kriminalitu" a vždy odsouzen bez důkazů, což nejsou pouze blbé řeči na obhajobu svého jednání, ale skutečný fakt, který může Miroslav zájemcům o nahlédnutí na práci české justice a policie předložit v písemné listině. Ta skutečná práce a IT znalosti státních složek totiž není tak úplně idylická, jak minulý rok popisoval Mgr. Václav Písecký. Bohužel do ČSOB se zpátky nedostal a nedostal se ani nikam jinam, protože v dnešní době dostat slušnou práci jako odsouzený je vskutku nemožné. Miroslav ale potřeboval z něčeho žít, a protože se nespokojil s nabízenou prací zametače chodníků, začal se věnovat Internetu na plné obrátky. Internet mu proto dnes poskytuje velmi slušnou obživu. Co však Mirek z Internetu přijímá, to se snaží zároveň vrátit zpět druhým, a to formou právě nově vzniknuvšího projektu TransMiNn, který aktuálně provozuje 20 Exit nodů sítě Tor.

Tor, ochrana soukromí a projekt TransMiNn

Cílem přednášky je poukázat na rizika zásahu do Ústavou chráněných práv nás občanů, jakými jsou ochrana soukromí a listovního tajemství. Dále se budu podrobně věnovat projektu TransMiNn od jeho prvotní myšlenky, přes financování a následnou realizaci až po nepříjemná úskalí, která s sebou provoz Exit nodů anonymizační sítě Tor přináší.

Roman Kümmel (SOOM.cz)

Bezpečnostní konzultant, který se věnuje webové bezpečnosti již více než deset let. Roman je provozovatelem komunitního serveru SOOM.cz a vzdělávací služby Hacker-Academy.cz. Je autorem knihy XSS: Cross-Site Scripting v praxi nebo mnoha desítek odborných článků zaměřených na penetrační testování a zranitelnosti webových aplikací. Za sebou má celou řadu penetračních testů webových aplikací včetně aktivní spolupráce s nejznámějším českým webovým portálem Seznam.cz.

Krádež přihlašovacích údajů obrázkem

Pokud nás webová aplikace požádá o zadání jména a hesla skrz přihlašovací formulář, není důvod jí nedůvěřovat a své přihlašovací údaje nevložit. Pokud nám navíc aplikace bez zadání těchto údajů nezobrazí požadovaná data, nic jiného nám často ani nezbývá. Jedním ze způsobů, jak fake přihlašovací formulář překvapeným uživatelům zobrazit, je zneužít neošetřeného výstupu, skrz který lze u uživatele spustit kód JavaScriptu. Na této přednášce si ale ukážeme, že to lze i jinak. Předvedeme si, že pro zobrazení přihlašovacího formuláře si lze vystačit už jen s tím, že nám aplikace umožní vložit do HTML obsahu externí obrázek.


Prezentace:

prezentace
videozáznam

Tomáš Rosa

Vystudoval na Katedře počítačů FEL ČVUT v Praze v kombinaci s MFF UK v Praze, jeho doktorská práce získala Cenu rektora ČVUT za rok 2004. Jako vedoucí kryptolog pracoval na projektech určených k ochraně utajovaných skutečností České republiky (zákon č. 148/1998 Sb.) stupně PŘÍSNĚ TAJNÉ. V ČR patří mezi průkopníky přístupu aplikované kryptoanalýzy, jakožto přirozeného protipólu známého paradigmatu aplikované kryptografie. V této oblasti spolupracuje na řadě výzkumných projektů.
Osobní web: http://crypto.hyperlink.cz

Penetrační testy biometrie – připravte palice a dláta, doba dřevěná je tu

V konvenční kryptoanalýze jsme dnes zvyklí vnímat útoky především jako algebraickou disciplínu. Ke statistice, zejména té explorativní, se obracíme jen v konkrétních, velmi účelových případech. Možná je to někdy vůči všem těm „hrátkám s mírou“ na pozadí propracovaných numerických aplikací nespravedlivé. Možná je to i otázka zvyku. Ten se ovšem může snadno změnit, neboť biometrické algoritmy nás nevyhnutelně nutí chápat například autentizaci klientů od začátku do konce jako pravděpodobnostně-statistický problém. Bezpečnostní analytik hledající možné slabiny je tak postaven do poněkud nezvyklého terénu (pro rozené biometrické experty je zase – snad trochu překvapivě – často bohužel nezvyklé na jejich aplikacích vůbec nějaké slabiny hledat). Cílem přednášky je tento terén alespoň rámcově zmapovat a ukázat, že i přes počáteční rozpaky sem můžeme s úspěchem transponovat řadu notoricky známých kryptoanalytických principů.

V očekáváních zůstaňme pro začátek skromní, ovšem i tak se budeme snažit dopracovat k obecným principům penetračních testů biometrie. Tyto jsou dosud běžně opomíjeny s mylnou představou, že toto se přeci takto testovat nedá. Je to však jen otázka správného úhlu pohledu, neboli volby matematického modelu. Na příkladu převedení útoku hrubou silou do jeho čistě statistické podoby potvrdíme, že i s málem lze docílit mnoho. Svou obdobu tu mají i singulární slabé klíče, jen se jim zde přiléhavě říká „Doddingtonův zvěřinec“. Zastavíme se rovněž nad otázkou ireverzibility vytváření biometrických šablon (tj. referenčních dat pro ověření/určení identity), se zvláštním přihlédnutím k důsledkům významového posunutí tohoto termínu v biometrii oproti známější jednosměrnosti ve smyslu algoritmickém. V popředí zájmu je zde neschůdnost obnovy původních medicínských nebo etnických informací na základě pouhé znalosti biometrické šablony klienta [ISO/IEC 24745:2011]. Ani tento cíl není z hlediska teorie informace a složitosti rozhodně snadný, a tudíž často zůstává nesplněn (jakkoliv nám dodavatelé prakticky vždy tvrdí opak), nicméně stále nejde o záruku solidní bezpečnosti. Poněkud se totiž zapomíná, že útočník obvykle nepotřebuje kompletní rekonstrukci původní tělesné partie či povahového rysu klienta. Stačí mu jen odvodit „něco“, co mu systém akceptuje jako platný vstup a co ve finále pasuje k dané šabloně! Tedy ireverzibilita, coby požadavek spíše na konkrétní způsob použití nějaké základní funkce pro vytváření šablon, musí být ještě doplněna požadavkem na jednosměrnost této funkce samotné.


Prezentace:

prezentace