Opis predavanj

Hekerski vdori v dobi GDPR, Mojca Prelesnik, Informacijski pooblaščenec Republike Slovenije
Kako ukrepati, kaj narediti, koga in kdaj obvestiti, če upravljavca zbirk osebnih podatkov doleti hekerski napad na njegov informacijski sistem? Kdaj obvestiti tudi tiste posameznike, katerih osebni podatki so bili tako ali drugače zlorabljeni oziroma je bil do njih omogočen nepooblaščen dostop? Kakšne ukrepe priporoča Informacijski pooblaščenec in zakaj je upravljavec s spoštovanjem načela vgrajenega in privzetega varstva osebnih podatkov na dobri poti do uspeha?

Kibernetski kriminal skozi oči državnega tožilca, Anita Veternik, dodeljena državna tožilka, Vrhovno državno tožilstvo Republike Slovenije
Kibernetski prostor ne pozna nacionalnih meja, kar državnim tožilcem pri pregonu visokotehnoloških kaznivih dejanj povzroča nemalo preglavic. Obstoječe zakonodajne podlage so toge in se večinoma ne zmorejo zadosti hitro prilagajati tehnologiji, ki napreduje s svetlobno hitrostjo. Temu s težavo sledijo tudi državni tožilci, ki morajo za uspešen pregon tovrstnega kriminala poleg dopustnih pravnih rešitev poznati tudi tehnično ozadje konkretnega primera in ga razumeti. S čim se sooča državni tožilec, kakšne instrumente ima na voljo in kako smo v Sloveniji uspešni pri pregonu kibernetskega kriminala?

Ko na vrata potrka policija!, Boštjan Veselič, RTV Slovenija
Kako se spopasti s krajo identitete? Kako razložiti, da določenih ljudi ne poznaš, da določenih krajev nikoli nisi obiskal, in kaj odgovoriti tistim, ki še vedno dvomijo v tvojo nedolžnost? Kako je potekal celoten postopek, kako sem se soočal z obtožbami, kako sem komuniciral z okolico, kaj je znance zanimalo, in nenazadnje, kaj sem izvedel o storilcih, ki so mi ukradli identiteto? Vse to v predavanju.

Unexpected benefits of bad application penetration testing results, Jagor Čakmak, Infigo IS d.o.o.
Data and feedback that we have from our customers shows that sometimes bad results during a penetration test (read: being totally pwned) provided them with ability to create incident detection and response procedures that would be otherwise impossible to make if the tested application or system was without any findings. Each customer tries to make their system or application as secure as possible, however due to mistakes or inherited vulnerabilities that come from used frameworks, risk of compromise is constant.
During the presentation we will show some examples of attacker behavior that can be seen in various system logs and what are they meaning in context of an attack as well as how some of INFIGO’s clients used full compromise of a system during the test to their advantage (yes, this is possible!).

Hacking IoT, opening the IDOR to a hacked world of connected devices, Tony Gee, Pen Test Partners
In todays connected world, IoT manufacturers are creating more and more devices, then providing means of access for mobile users, primarily this is through APIs, often with little consideration to the security of the API. This talk will look at some of our recent research in to IoT security, showing how simple insecure direct object references (IDOR) has led to the compromise of everything from connected kids smart watches, to home automation to cars.

 

Drones, the worst flying IoT devices there are, Dominique C. Brack
Dominique will talk about drones. Drone risks and countermeasures. Drones have become an inherent risk not just for critical infrastructure but also to public events (sports, concerts) and privacy. He will speak about the exclusive risk catalog he has developed for a small highly specialized start-up called DroneGuard. The catalog contains over 140 detailed drone-related risks. From payload of drones (explosives, chemical etc.) to cyber risks like Signal Hacking & Disruption (WiFi, GSM, Bluetooth, RFID, etc.). Since Hek.si is a more technical focussed event he will highlight the risk management framework his experience with their personal payload drone and the cyber risks. This speech will help you if you must protect critical infrastructure from a physical perspective or if you must protect yourself or your company from privacy implications.
Goals for this talk:
– Developing drone based business/ consulting skills. To be able to define drone based services (audit, testing, sensors, etc.)
– Knowing what implications drones will have on you. Knowing the relevant attack vectors for your context (Bank, Factory, Datacenter, City Planer etc.).
– Knowing how to assess risk and select appropriate countermeasures for your critical infrastructure. Know the CBRNNE threats. Identify areas of weak defence.

Pentesting OpenStack Environments, Matthias Luft
OpenStack is one of the most prominent private cloud solutions – yet many environments struggle to deploy it due to its high complexity. For penetration testers, this complexity results in additional challenges:
If building a lab environment already requires a significant amount of time, there is often very little time left for the actual security testing. This presentation will provide a pentester’s introduction to OpenStack, how to prepare for OpenStack security assessments, and list typical assessment steps and findings in OpenStack environments.

Razvoj IoT naprave za zaznavanje škodljivih plinov v kmetijstvu, Matej Kovačič, Inštitut Jožef Stefan, Ana Skubic in Žiga Trošt, Gimnazija Moste
Na predavanju bo predstavljena IoT naprava za zaznavanje škodljivih plinov v kmetijstvu, ki smo jo razvili v okviru raziskovalnega projekta, ki poteka na Gimnaziji Moste. Naprava vsebuje senzorje za merjenje temperature in vlage ter več plinskih senzorjev, s katerimi zaznavamo različne škodljive pline, ki se pojavljajo v kmetijstvu (metan, razni vnetljivi plini, amoniak, ogljikov monoksid, CO2 ter hlapljive organske spojine). Naprava ima tudi barvno led diodo, s katero lahko sporoča stanje ter dva releja za vklop ventilatorja, ki po potrebi izpiha strupen zrak v prostoru. Poleg tega naprava izmerjene vrednosti iz senzorjev beleži v bazo podatkov, trenutne meritve pa so vidne tudi preko spletnega vmesnika.
Predstavljen bo celoten razvoj naprave od prvega prototipa, razvoja in izdelave elektronskega vezja, izdelave ohišja s 3D tiskalnikom ter razvoja programske opreme za beleženje podatkov v bazo, prikaz podatkov preko spletne aplikacije in izvoz podatkov v tabelarični obliki za nadaljnjo analizo. Pri razvoju naprave smo nekaj pozornosti namenili tudi informacijski varnosti. Delovanje naprave smo tudi testirali v kemijskem laboratoriju, pisarniških prostorih ter v hlevu.

Blockchain InSecurity & Hacking, Pawel Zorzan Urban, BRAT s.r.l
Within a permissioned blockchain transactions are validated and processed by participants that are already recognized by the ledger. Even though this is the case, there is still a challenge and issue of trust. How can one ensure the blockchain is secure and trustworthy in order to avoid the substantial impact of a cyberattack? The answer is by building security into your blockchain technology from the start, through strong authentication and cryptography key vaulting. In this lecture we will talk about Blockchain, Security, Smart Contracts, Solidity and analize some code & real case history by an Ethical Hacker.

Security Mitigations – What Are They And How They Work, Goran Mekić, Tilda Center
Although bugs in software can not be avoided, we can do our best to hide them or make exploitation as hard as possible. Different operating systems try to implement mitigations in different ways, but what they have in common is that most of them are focused on memory management. There are also other techniques like access policies, stack protection, W^X and noexec, limiting the resources available to the program, etc. There are some libraries and techniques in user space, like Capsicum in FreeBSD and Pleadge + Unveil in OpenBSD, too.
All of these techniques will be covered and explained through examples in the talk from the perspective of operating system primitives with examples from FreeBSD and HardenedBSD – security enhanced FreeBSD fork. Some mitigations that are not yet implemented and are actively being developed will briefly be covered, like non-DSO-CFI and CFi.

Tackle VMware NSX, Jan Harrie, ERNW
In this presentation we will describe how we performed and still are performing an offensive security analysis of VMware’s SDN solution NSX. NSX integrates deeply into VMware’s virtualization infrastructure and provides network filtering features in a centrally managed, hypervisor-based micro segmentation way. The deep virtualization integration resulted in challenges that we will address in this talk. For example, we will detail how to analyze ESXi kernel modules, both in a debugging and static code analysis way. We will also provide an attack vector analysis based on the NSX architecture and communication protocols as well as fuzzing results and technologies for the kernel modules and overlay networking components.

”My malware” vs “Windows 10 security features” … see the outcome, Mane Piperevski, Piperevski & Associates
In martial arts, you always exploit your opponent’s weakness. We now know their weaknesses, as they know that they cannot make 100% security. But in Windows, the weakness changes all the time so it’s ongoing cat and mouse game. See how XOR encoding, polymorphic code and other techniques fight Windows 10 security features.

Social Engineering, Dominique C. Brack
You can have the best technical security controls in the world, from the most expensive firewall to the most sophisticated biometric access control, but they will not protect you from social engineering attacks. This talk will provide you with the skills to detect, defend against and assess social engineering attacks. You will learn the motivations and methods used by social engineers enabling you to better protect yourself and your organisation.
Recent events like the billion-dollar hack called «Carbanak 2« where 100 Banks across 25 Countries where hit made it clear that technology alone will not protect you from this type of attacks. I am sure out of this 100 Banks every known high tech solution available and every renowned name in the security industry has been used inside this 100 Banks. Still, all this technology hasn’t protected them from this attack (Social Engineering based attacks). As a successful participant at the Social Engineering Capture the Flag (SECTF) competition at Defcon 22 conference in Las Vegas, I do know very well why Social Engineering still works brilliantly and what risk it imposes to the corporate world. Social engineering is another very important puzzle in everyone’s security posture.
You Will Learn How To:
• Assess social engineering threats and the evolution of social engineering
• Recognize the legal and ethical aspects of social engineering
• Identify countermeasures against social engineering attacks
• Plan and evaluate security assessments
• Promote vigilance and implement procedures to defeat deceptions

 

Incident #96851 – Lažna sporočila v imenu FURS, Nataša Klenovšek Arh, SI-CERT
S strani Finančne uprave RS (FURS) smo bili obveščeni o elektronskih sporočilih, ki so jih davčni zavezanci prejeli na svoj elektronski naslov. Elektronsko sporočilo je na prvi pogled dajalo vtis, da ga dejansko pošilja FURS. Sporočilu je bila pripeta MS Excel (.xls) priponka, ki je vsebovala makre. Zagon makrov je privedel do okužbe računalnika. Okužba izrablja t.i. okvir za “izkoriščanje” po zavzetju (post-exploitation framework). V samem predavanju bo predstavljen postopek analize zlonamerne kode, ter demo delovanja uporabljenega orodja s strani napadalca.

CTF, zabava tudi za največje noobe, Peter Kavčič, Fakulteta za organizacijske vede Univerze v Mariboru
Večina hekerjev pozna izraz CTF, vendar pa se jih veliko manj udeležuje takih tekmovanj. Predavanje bo kot ponavadi praktično usmerjeno, kjer bo predstavljeno nekaj osnovnih načinov reševanja takih nalog. Prikazane naloge bodo precej enostavne, saj je predavanje primarno namenjeno tistim, ki se s CTF-ji še niso spopadli. CTF-ji niso bavbav in so primerni tudi za ljudi, ki niso strokovnjaki na področju hekanja.

Varnost aplikacij se prične s prvo vrstico kode!, Igor Alfirević, Matej Taciga in Andrej Skamen, S&T Slovenija d.d.
Varovanje informacij se prične z razvojem informacijskih sistemov, kjer lahko s primernimi ukrepi zmanjšamo tveganja pojava kritičnih varnostnih ranljivosti. Pri razvoju programskih rešitev se v praksi poslužujemo DevOps postopkov, kjer avtomatiziramo/optimiziramo opravila, ki so del razvojnega cikla. Za ustrezen nivo varnosti informacijskega sistema je ključna vključitev postopkov za varnostno preverjanje kode, saj že ena vrstica napačno zapisane kode lahko iz varnostnega vidika ogrozi delovanje celotnega informacijskega sistema. Dobre prakse pri razvoju tako vključujejo korak statičnega varnostnega preverjanja programske kode z namenskimi (SAST) orodji, nemalokrat pa vključujejo tudi ročno verifikacijo rezultatov ter dodatno preverjanje. Namen postopka je, da v zgodnji fazi DevSecOps procesa odkrijemo in odpravimo kritične varnostne ranljivosti še pred izvedbo penetracijskih (in ostalih) testiranj. Izziv je vse skupaj povezati v učinkovit proces, kar bo predstavljeno v predavanju. Poslušalci bodo pridobili tudi informacije o naših izkušnjah pri vzpostavitvi in izvajanju procesa tako v manjših, kot tudi kompleksnejših okoljih.

Varnostne ranljivosti slovenskih bolnišnic, Matej Kovačič, Inštitut Jožef Stefan
Kot poroča že večina slovenskih medijev, je bila na spletni strani Splošne bolnišnice Izola do nedavnega objavljena večja količina zdravstvenih osebnih podatkov pacientov, ki se po zakonodaji o varstvu osebnih podatkov sicer štejejo med občutljive osebne podatke in bi morali biti še posebej zavarovani.
Informacijski pooblaščenec in policija sta še isti dan, ko sta bila o tem obveščena, uvedla predkazenski postopek.
Kaj se je zgodilo?
Kot kaže po do sedaj znanih podatkih, je Splošna bolnišnica Izola v preteklosti pacientom ponudila možnost naročanja na preglede in posege preko spleta. Pacienti so preko tega spletnega mesta naložili tudi skenirane napotnice in izvide.
Zakonodaja zahteva, da so občutljivi osebni podatki (kamor se šteje tudi zdravstvene osebne podatke) med prenosom preko telekomunikacijskih omrežij šifrirani. Da bi se datoteke na strežnik shranjevale v šifrirani obliki, pa očitno nikomur ni prišlo na misel.
Najbolj zastrašujoče je dejstvo, da je bila mapa z zdravstvenimi osebnimi podatki (napotnicami, izvidi) dosegljiva neposredno preko spleta, in sicer preko URL naslova “http(s)://www.sb-izola.si/wp-content/uploads/”.
Tisti, ki je postavljal spletno stran bolnišnice, v tej mapi namreč ni onemogočil brskanja (ali vanj vsaj shranil prazne index.html datoteke).
In seveda jih je tam našel in poindeksiral tudi spletni iskalnik Google (pa morda še kateri).
Kako se bo odvil postopek pred informacijskim pooblaščencem, zlasti v luči dejstva, da od maja 2018 v EU velja uredba GDPR ter kaj smo se iz zgodbe naučili, bomo torej videli šele v prihodnjih mesecih.

Z blockchainom nad plagiate, Urban Osvald, 0xcert d.o.o.
Problematika plagiatorstva in poneverb uradnih listin vodi do resnih posledic na več ravneh, tako v obliki načetega ugleda neavtorizirano navedene inštitucije, ki naj bi dokument izdala, kot potencialnega oškodovanja subjektov, ki so zaupali v nelegitimno pridobljen naziv ponarejevalca. Trenutno rabljena orodja za odkrivanja plagiatov sicer zagotavljajo določeno stopnjo preventive in opozarjanja na problematiko, vendar odkrivajo le vrh ledene gore. Tehnologija veriženja podatkovnih blokov (blockchain) nudi učinkovito rešitev v kombinaciji z nezamenljivimi oz. unikatnimi žetoni (non-fungible tokens). Omogoča hitro, predvsem pa javno dostopno in najzanesljivejše preverjanje avtentičnosti in izvora dokumentov oz. njihovih digitalnih odtisov, kar velja tako za preverjanje vsebine avtorskih del kot za verifikacijo porekla uradnih listin. 0xcertova platforma Academia je bila zasnovana v sodelovanju z Inštitutom Jožef Štefan in vpeljuje najsodobnejše mehanizme blockchain tehnologije in kriptografije.

Looming Cyberwars, Tadej Nared in Maja Ivanišin, Fundacija SI-CEH
Kibernetski kriminal predstavlja le eno izmed trajnih pretečih nevarnosti, ki smo jim priča v kibernetski sferi. Poleg vedno bolj prisotnega industrijskega vohunjenja in naraščajočih groženj s strani ekstremistov v kibernetskem prostoru, vedno večji pomen in izraz dobiva tudi kibernetsko vojskovanje, ki pospešeno postaja poglavitno in krovno področje v vojaških strategijah svetovnih velesil.
V predavanju bomo ob poudarku na kritično infrastrukturo pregledali kibernetske grožnje, ki imajo potencial, da v trenutku spremenijo naravo sodobnega sveta ter si pogledali razloge, ki botrujejo nezavidljivemu stanju pripravljenosti na tovrstne izzive v zahodnem svetu, z namenom nazorno prikazati, da je ravno kibernetska varnost tisto področje, ki zagotavlja blagostanje sodobne digitalne družbe.

Varnostne rešitve IoT platforme »Gorenje ConnectLife«, Igor Guštin, Gorenje d.d.
V predavanju bo predstavljena Gorenjeva IoT platforma – ConnectLife, ki se uporablja za prihajajoče Gorenjeve povezljive aparate (pečica, hladilnik, kuhalna plošča, napa in pomivalni stroj). Eno glavnih vodil pri načrtovanju je bila varna in enostavna izvedba povezljivosti od aparata preko platforme do mobilne aplikacije. Predstavljena bo arhitektura, ki omogoča enostavnost uporabe na strani uporabnika in kar najvišjo stopnjo varnosti na vseh delih platforme. Za platformo smo dobili certifikat TUV, ki pa je hkrati tudi velika obveza, saj pomeni, da je skrb za varnost proces in ne samo enkratno opravilo. V predavanju si bomo ogledali ključne dele tega procesa in prikazali zahtevnost koordinacije med vsemi vpletenimi službami. Predstavljeno bo uporabnikova izkušnja pri varnem uparjanju aparata, v nadaljevanju pa si bomo pogledali še vektorje napada in ključne obrambne strategije.

Najbolj zanimivi hekerskih napadi v zgodovini kriptovalut, Peter Trček, Bitnik d.o.o.
Mt. Gox, Gatecoin, Shapeshift, Nicehash, Bitfinex, Bitstamp, Cryptsy, BTC-e, the DAO, … To so imena znanih podjetij, ki se ukvarjajo s kriptovalutami. Seznamu je skupno dejstvo, da so bile storitve žrtev resnih hekerskih napadov, ki so pogosto rezultirali v velikih izgubah uporabnikov storitve. Navkljub izgubam pa uporabniki povečini niso obrnili hrbta taki storitvi. Kako je to možno? Gre osel tu večkrat na isti led?
Zakaj so kriptovalute tako zanimiva tarča za hekerje? Je to posledica nezrelosti industrije, ali je to morda stalnica pri kriptovalutah in se moramo temu privaditi? Na predavanju si bomo skušali odgovoriti na podobna vprašanja in si pogledati nekaj najbolj zanimivih primerov. Udeleženci bodo skozi predavanje spoznali specifike hekanja v svetu kriptovalut, ter tudi pomemben in zanimiv del njihove zgodovine.

Etično hekanje v svetu kriptovalut, Peter Trček, Bitnik d.o.o.
Svet kriptovalut je pogosto prizadet zaradi hekerskih napadov. Kriptovalute predstavljajo prvo neposredno internetno valuto. Kot take so odlična nadgradnja za hekerje. Če je bilo v preteklosti težje ‘monetizirati’ hekanje, pa je to sedaj skoraj trivialno. Hekanje, phishing, ransomware, … vse to so danes metode cyber-kriminala, kjer je končni cilj hekerja pridobitev kriptovalut. To na kriptovalute meče tudi zelo slabo luč.
A ni vse tako negativno. Ena značilnost kriptovalut je tudi skupnost (community). Geeki iz vseh koncev sveta se združujejo in sodelujejo, brez da bi se morali za to kdaj srečati v živo. Fascinantno je opazovati, kako se lahko skupnost odzove na krizne situacije. Heki v svetu kriptovalut so pogosti. A prav tako pogosto je etično hekanje, torej hekanje, katerega namen ni oškodovanje drugih in lastna korist, temveč ravno nasprotno. Whitehat heker skupine so uporabnikom kriptovalut prihranile že marsikatero gorje. Na predavanju si bomo pogledali nekaj praktičnih primerov etičnega hekanja pri kriptovalutah.

Kritična infrastruktura – Kaj pomeni za elektro distribucijo kibernetski napad?, Alenka Kolar, Elektro Ljubljana d.d.
Ogroženost procesnih sistemov v industriji, predvsem pa na področju kritične infrastrukture, se povečuje iz ekonomskih in socialnih razlogov. Danes SCADA sistemi tečejo na Windowsih, posluževalci procesnih sistemov pa se ne zavedajo, kako je IP protokol »vdrl« v njihovo, do zdaj mirno življenje (»security through obscurity«). Kako je IoT, ne samo skozi merilna mesta pri občanih, že tu in kaj to pomeni za kibernetsko ogroženost elektroenergetskega (EE) omrežja? Kakšne so posledice razpada, smo delno spoznali ob žledu leta 2014, vendar pa bi dobro načrtovan kibernetski napad na EE omrežje prinesel veliko večje težave. Delno nam lahko pri zagotavljanju večje kibernetske varnosti pomaga umetna inteligenca in strojno učenje, še vedno pa je kritični člen človek in njegovo ravnanje iz nepoznavanja sistema IKT. Elektro Ljubljana se je kot prva distribucija lotila združevanja IT in OT na ravni ljudi in hkrati ločevanja na tehnološki ravni. To pa je prineslo določene spremembe v organizacijski kulturi podjetja.

IoT – spletno povezljive naprave (ali tarče)?, Matevž Mesojednik, Branko Miličević, Andrej Gornik, SIQ
Spletno povezljive naprave ponujajo celo vrsto klasičnih ter tudi bolj inovativnih načinov komuniciranja, izmenjave informacij in vsesplošne uporabe.
V SIQ nove pristope povezovanja pozdravljamo, vendar nas bolj kot nove funkcionalnosti, zanimajo novi načini nepredvidene uporabe in s tem izpostavljenost starim in novim vektorjem kibernetskih napadov. Na praktičnem primeru bomo prikazali primer zlorabe IoT naprav in podali koristne nasvete za njihovo varno povezovanje.

Break things for enhance them (responsible disclosure), Leonardo Porpora
In the presentation Leonardo will present the case of vulnerability discover at Signal desktop.
He will show the process of code analysis, communication with developers, fixing process and final responsible disclosure.

 

Napolnite si svoj Inbox 🙂

SEZNANITE SE Z VSEM, KAR PALSIT PONUJA.

Darilo: ob prijavi dobite dostop do 5 najbolje ocenjenih video vsebin z naših dogodkov.