HANDS ON: 3 NAJPOMEMBNEJŠE KATEGORIJE HEKERSKIH VEŠČIN

2. april 2019, ABC Accelerator, Ljubljana

 

Namen delavnice je udeležencem predstaviti 3 najpomembnejše nabore hekerskih veščin, ki se obravnavajo na tekmovanju “ukradi zastavico” (angl. Capture the Flag; CTF) in predstavljajo najhitrejši način pridobivanja praktičnega znanja na področju etičnega hekanja.

Udeležence nameravamo opremiti s potrebnim predznanjem in orodji za učinkovito in produktivno udeležbo na tovrstnih tekmovanjih in jih posledično umestiti na praktično bližnjico do veščin, ki ločujejo teoretike od praktikov.

Delavnica je hands-on, kar pomeni, da bomo delali na praktičnih primerih, zato s seboj obvezno prinesite prenosni računalnik.

V uvodnem delu bomo predstavili koncept in različne tipe CTF tekmovanj. V nadaljevanju si bomo pogledali najpogostejše primere kategorij nalog. Poleg teoretične predstavitve bomo ob vsaki kategoriji predstavili tudi praktične naloge, vse od najenostavnejših primerov pa do zahtevnih nalog iz vidnejših tekmovanj.

Vsebina:

1. Kaj so CTF tekmovanja
V uvodnem delu si bomo pogledali koncept ter različne tipe CTF tekmovanj. Predstavili bomo, kako iskati primerna tekmovanja, kako se nanje pripraviti ter kako se jih udeležiti. Pri tem tekmovanj ne obravnavamo kot nekaj, kar je cilj samo sebi, ampak kot metodo za pridobivanje praktičnih veščin, ki nam pomagajo pri profesionalnem razvoju na področju informacijske varnosti.

2. Spletne aplikacije
Dotaknili se bomo nekaterih napadov po metodologiji OWASP TOP 10, dodatno pa praktične primere oblikovali na način, s katerimi se srečujemo v praksi pri izvedbi penetracijskih testov. Osredotočali se bomo na logično povezovanje manjših ranljivosti, ki vodijo v končno izrabo sistema preko spletne strani ali aplikacije. Ogledali si bomo orodja, ki jih uporabljamo v operacijskem sistemu Kali Linux.

3. Binarna zloraba
V tem poglavju si bomo pogledali osnovno zgradbo prevedenih izvršljivih programov (“binary executable”), Spoznali bomo osnove o skladu in kopici, ter si pogledali primere zlorabe razlitja sklada. Primeri bodo za Linux, a naučeno bo mogoče prenesti na poljuben drug OS. Ogledali si bomo pogoste metode za izkoriščanje ranljivosti glede na lastnosti prevedenega programa. Na koncu bomo pogledali še primere pomanjkljivosti pri formatiranem izpisu, t.i. “format string vulnerability”.

4. Obratni inženiring
Začeli bomo s hitrim uvodom v IA-32 in AMD64 arhitekturo. Pogledali si bomo metode in orodja za analizo binarnih podatkov, pri čemer bodo v ospredju binarni programi, dotaknili pa se bomo tudi nekaterih drugih formatov. Pogledali bomo, kako iz programov pridobiti skrivne vrednosti ter kako razbiti osnovne metode obfuskacije in “domačega šifriranja”. V zadnjem delu se bomo ukvarjali tudi s spreminjanjem binarnih programov (angl. patching). Poskusili bomo identificirati ključne točke v analiziranih programih in jih spremeniti za namen izogibanja varnostnih mehanizmov.

Ciljna publika:
Ciljna publika so posamezniki, ki jih zanima etično hekanje, predvsem praktično in ofenzivno znanje. Delavnica je primerna za posameznike z ozadjem na področju etičnega hekanja, programiranja ali mrežne ter sistemske administracije. Delavnica je primerna tudi za študente.

Potrebno predznanje:
Od udeležencev se pričakuje osnovno predznanje s področja računalništva in informacijske varnosti:
• poznavanje Linux in Windows operacijskih sistemov,
• poznavanje bash, cmd oziroma sorodnih lupin,
• poznavanje internetnega sklada protokolov TCP/IP,
• osnove podatkovnih baz,
• osnovno predznanje s področja etičnega hekanja,
• osnovno poznavanje programske kode (poljubni programski jezik).

Potrebna oprema:
Za učinkovito sodelovanje na delavnici je obvezen lasten prenosni računalnik, ki ima zmožnost povezovanja na Wi-Fi omrežje ter prednameščeno distribucijo Kali Linux. V kolikor je to mogoče priporočamo uporabo virtualnega okolja.

Gradivo:
Udeleženci delavnice prejmejo vso potrebno učno gradivo v digitalni obliki tekom delavnice.

Predavatelji:

  • Boštjan Špehonja je višji svetovalec na področju informacijske varnosti ter certificirani etični heker. Kot zunanji strokovni sodelavec sodeluje s podjetjem Unistar PRO, kjer je zadolžen za izvajanje varnostnih pregledov ter penetracijskih testov v kompleksnejših okoljih. Ima širok nabor večletnih izkušenj, saj mu je pregled svojega IKT okolja zaupalo že veliko organizacij, kot so podjetja s kritično infrastrukturo, banke, zavarovalnice, ministrstva, ter veliko drugih podjetij. Izvaja tudi izobraževanja in delavnice na temo varne uporabe interneta in etičnega hekanja. Je soustanovitelj fundacije SICEH (Slovenian Certified Ethical Hackers) ter gostujoči strokovnjak na Univerzi v Mariboru in Gea College. Pohvali se lahko, da je odkril ranljivost na uradni strani podjetja Microsoft in si tako prislužil objavo na spletni strani “Security Researcher Acknowledgments for Microsoft Online Services”.
  • Gregor Pogačnik je zaposlen v podjetju Sportradar d.o.o. Delal je kot razvijalec programske opreme ter vodja sistemskih administratorjev. Zadnje čase poskuša izboljšati efektivnost razvoja (CI/CD) ter povezati oba svetova (“DevOps”). V tej vlogi ne zanemarja pogleda na računalniško varnost, pri čemer se z izkoriščanjem ranljivosti v kontroliranih okoljih in tekmovanjem na CTF-jih ukvarja bolj ljubiteljsko.
  • David Petek je varnostni inženir, programer in pentester. Zaposlen je v podjetju Tokens LTD, v katerem skrbi za varnost proizvedene kode. Je ustanovni član in član uprave fundacije SICEH ter gostujoči strokovnjak Univerze v Mariboru. Na področju informacijske varnosti ima pridobljena OSCP in Security+ certifikata. Pogosto predava na informacijsko-varnostnih konferencah in drugih sorodnih dogodkih. V prostem času se ukvarja tudi z iskanjem varnostnih ranljivosti, tekmovanjem na CTF dogodkih, občasno pa sodeluje tudi pri pripravi nalog in organizaciji CTF tekmovanj.
  • Peter Kavčič
    Peter Kavčič je študent Fakultete za organizacijske vede, smer organizacija in management informacijskih sistemov. Že od malih nog ga zanimajo računalniki, v zadnjem času pa daje poudarek samoizobraževanju in osveščanju drugih o varnosti in nevarnostih spleta in naprav, ki se pri tem uporabljajo. Osredotoča se na opremo, ki jo uporabljajo domači uporabniki.

Termin: torek, 2. april 2019

Čas trajanja: 6 ur, 9.00-15.00

Lokacija: ABC Accelerator, Šmartinska cesta 152, Ljubljana

Cena: 297 € + DDV

 

Prijavi se

Napolnite si svoj Inbox 🙂

SEZNANITE SE Z VSEM, KAR PALSIT PONUJA.

Darilo: ob prijavi dobite dostop do 5 najbolje ocenjenih video vsebin z naših dogodkov.