x33fcon – unikalna impreza security w Trójmieście

Za jakiś czas będziecie też mogli wygrać parę bezpłatnych biletów na wejście (konkurs na rozwal.to)

Sekurak jest patronem medialnym wydarzenia, publikujemy poniżej  garść informacji od organizatorów.

Rok temu odbyła się w Gdyni pierwsza edycja konferencji pod ciekawą nazwą x33fcon (ang. /ˈziːf-kɒn/).

Konferencja w założeniu poświęcona jest współpracy Red i Blue Teams, czyli zespołom symulującym ataki w sieci klienta, i tym, którzy przed tymi atakami bronią. Tym, którzy przegapili zeszłoroczne wydarzenie, x33fcon udostępnia nagrania na Youtube .

Organizatorzy szykują nam kolejną edycję konferencji 7-8 maja oraz szkolenia od 9 do 11 maja. Podobnie jak w zeszłym roku, udało się zebrać listę interesujących prelegentów i trenerów. Ciekawe tematy znajdą dla siebie nie tylko zespoły “czerwonych” i “niebieskich”, ale również każda osoba zainteresowana bezpieczeństwem systemów i sieci komputerowych oraz IoT.

Konferencję otwiera prelekcja Christophera Payne , który jest dyrektorem Red Team w Target, drugiej co do wielkości przychodu sieci handlowej w Stanach Zjednoczonych. Chris podzieli się swoimi doświadczeniami na temat współpracy jego zespołu z CIRT, opowie, jak najlepiej wykorzystać potencjał obu w celu ich doskonalenia i zilustruje swą opowieść przypadkami z doświadczenia.

Dale Pearson, dyrektor Red Teamów w firmach z listy Fortune 500 opowie nam, co jego zdaniem oznacza red teaming w świecie korporacji. Jak przekonać do tej koncepcji zarząd firmy czy też wyższe kierownictwo organizacji. Zdradzi, czego szukać u kandydatów i co zrobić, żeby zespół pracował jak najefektywniej. Dale jest również bardzo uzdolnionym socjotechnikiem, zainteresowanym m.in. kryminologią, językiem ciała, NLP.

Rob Fuller (mubix) , wieloletni pentester i red teamer z bogatym doświadczeniem, opowie o scenariuszach ataków, które może przyjąć zespół czerwonych, podpowie nam, które sprawdzają się najlepiej dla konkretnych celów i założeń. Opowie, w jaki sposób budować zlecenia, o czym pamiętać, przygotowując dokumentację przed, działając w trakcie i raportując po zakończonej pracy.
Nie przegapcie tych trzech prelekcji, jeśli chcecie zbudować / szefujecie lub jesteście członkiem zespołu pentesterów czy red team!

Nie zabraknie również prelekcji przeznaczonych typowo dla “niebieskich”.

Roberto Rodriquez , Senior Threat Hunter ze SpecterOps, przekaże nam swoją wiedzę i doświadczenie na temat tropienia atakujących w sieci. Co czyni nas skuteczniejszymi? Orężem obrońców są dane, technologia i talent. Jakie wyzwania przed nimi stoją? W jaki sposób można je rozwiązać? Jeśli chcecie posłuchać o “The Hunting ELK” (łowiącym łosiu? ;)), koniecznie pojawcie się na prelekcji Roberto.

Joe Slowik , Adversary Hunter w Dragos, skupi się na różnicy w podejściu do wywiadu i tropienia cyberprzestępców. Przeciwstawi sobie dwie postawy – jedną skupioną wokół pytania “kto?” (bardzo często przybieraną przez prasę i organy ścigania), oraz drugą, skupioną według pytania “jak?” (bardziej użyteczną dla CIRTów). Zdefiniuje “grupy działania” ( activity groups ) powiązane z celami oraz TTP ( Tactics, Techniques and Procedures) i opowie, czym różnią się od konkretnych atakujących ( threat actors ). Swoją opowieść zilustruje przykładami z życia.

Daniel Bohanon , Senior Applied Security Researcher z Advanced Practices Team w FireEye, zdradzi nam, w jaki sposób obrońcy mogą włączyć praktyki znane ze świata DevOps we własne procesy badań i rozwoju (R&D), tak by znacznie usprawnić tworzenie i utrzymanie reguł wykrywania zagrożeń. W FireEye Daniel zajmuje się właśnie tym: tworzeniem i utrzymywaniem reguł o wysokiej elastyczności i niezawodności dla milionów końcówek i setek środowisk. Niniejsza prelekcja opiera się na jego doświadczeniach w tej materii – Daniel przedstawi 3 studia przypadku demonstrujące użycie tych technik w jego codziennej pracy.

Kolejną grupę prelekcji stanowią typowo techniczne opisy ataków i metod, jak również sposobów zapobiegania lub wykrywania ich.

Matt Graeber , kolejny gość konferencji ze SpecterOps (Security Researcher), rozważy, na ile bezpieczny jest kod podpisywany przez Microsoft i czy możemy bezwzględnie mu zaufać. Przedstawi kilka technik ataków związanych z podpisywaniem kodu, które z pewnością zmienią nasz poziom zaufania do aplikacji podpisanych cyfrowo.

Prelekcja Tomka Bukowskiego będzie niespodzianką, ale ustaliliśmy, że chodzi o cztery błędy 0-day w urządzeniu ( enterprise security appliance ) jednego z wiodących producentów na rynku.

Justin Warner (@sixdub), Security Engineer z ICEBRG, przybliży nam szczegóły ataku na Apache Struts, a następnie przedstawi różne sygnatury używane do wykrywania tej podatności. W kolejnym kroku Justin zestawi wspomniane sygnatury z rzeczywistością na podstawie obserwacji poczynionych w trakcie symulacji zagrożeń. Na koniec dowiemy się, w jaki sposób najskuteczniej wykrywać ataki na Apache Struts.

Amit Dori i Aviv Grafi , obaj z izraelskiego Votiro, opowiedzą o obchodzeniu trybu sandbox za pomocą makr VBA wykorzystując odwołania do innego dokumentu. Jeśli chcesz dowiedzieć się, w jaki sposób atakujący wykrywa wykonanie makra w środowisku sandbox, jak komercyjne środowiska reagują na tę technikę, nie przegap prelekcji “Sandbox Evasion using VBA Referencing”.

A jeśli to baza danych? Wykorzystałeś podatność protokołu O5LOGON, znalazłeś hasło w pliku… I co dalej? Kamil Stawiarski , jeden z najmłodszych na świecie posiadaczy certyfikatu Oracle Certified Master, jedyny w Polsce i jeden z ok. 250 na świecie specjalistów, którym przyznano nagrodę Oracle ACE w kategorii “Database Management & Performance”, zaprosi nas na “Oracle hacking session”. Jego prelekcja wypełniona będzie pokazami na żywo, w czasie których dowiemy się m.in., w jaki sposób można podnieść uprawnienia do poziomu wykonania kodu na systemie operacyjnym, mając na starcie uprawnienie CREATE ANY INDEX.

Na koniec jeszcze o technikach cyberprzestępców, metodologiach Red i Blue, ich wspólnym języku oraz współpracy.

Cody Thomas i Christopher Korban z MITRE są związani z projektem ATT&CK Framework. Przedstawią, dlaczego czasy IOC (indicator of compromise) się skończyły i obecnie broniąc sieci musimy skupić się na analizach behawioralnych. Dzięki wykorzystaniu danych wywiadowczych (threat intelligence) oraz wspólnego języka zdefiniowanego w ATT&CK, Red Teamy mogą symulować działania poszczególnych atakujących, wspierając je własną wiedzą o implementacji technicznej. Gdy
przekażą tę wiedzę obserwującym ich w czasie rzeczywistym Blue Teamom, wypełniając luki w detekcji oraz ciągu przyczynowo-skutkowym, możemy mówić o skutecznej współpracy (purple teaming). Cody i Chris przedstawią plany emulacji grup APT3 i APT29 z wykorzystaniem ATT&CK Framework, kompletny modus operandi obu grup oraz “cheat sheet” komend do wykorzystania w symulowanych atakach.

Bartek Inglot i Tom Hall z Mandiant na co dzień zajmują się analizą powłamaniową oraz reagowaniem na incydenty bezpieczeństwa. Dzięki pracy dla klientów na całym świecie mają okazję obserwować bardzo kreatywne, wręcz genialne taktyki, techniki i procedury (TTP) atakujących. Specjalnie dla uczestników konferencji wybrali kilka z ostatnio obserwowanych, najciekawszych z nich, które zaprezentują podczas prelekcji “Attacker Antics: Illustrations of Ingenuity”. Posłuchamy o włamaniach do izolowanych (air-gapped) sieci, atakach na serwery antywirusowe, przechwytywaniu e-maili ich ofiar, kamuflażu złośliwego oprogramowania, wyprowadzania w pole środowisk typu sandbox i używaniu niezwykłych metod przetrwania w sieci (persistence).

–ms