[Relacja] Security PWNing CONFERENCE 2019
IV edycja najbardziej technicznej konferencji z zakresu bezpieczeństwa IT „Security PWNing” miała miejsce 14-15 listopada w Warszawie. W trakcie 2 dni spotkania wystąpiło 24 prelegentów, których prelekcji wysłuchała rekordowa liczba uczestników, rozegrano zawody liczone do klasyfikacji generalnej CTFtime, wygłoszono serię prezentacji podczas sesji lightning talks oraz stworzono nową sieć kontaktów w ramach czasu na networking i rozmowy z prelegentami.
Ponad 450 specjalistów do spraw bezpieczeństwa IT, osób odpowiedzialnych za administrowanie sieciami i systemami IT, konsultantów i ekspertów bezpieczeństwa informacji, pracowników firm dostarczających rozwiązania w zakresie bezpieczeństwa IT oraz pasjonatów tematyki wzięło udział w wydarzeniu organizowanym przez Instytut PWN. Wzorem poprzednich trzech edycji Przewodniczącym Rady Programowej i twarzą spotkania był Gynvael Coldwind, znany programista-pasjonat z zamiłowaniem do bezpieczeństwa komputerowego i niskopoziomowych aspektów informatyki, współzałożyciel zespołu Dragon Sector, pracujący w Google jako Tech. Lead / Manager w zespole bezpieczeństwa IT.
Konferencja „Security PWNing” 2019 było okazją do wysłuchania 20 wystąpień najlepszych ekspertów cyberbezpieczeństwa z Polski i Europy. Zarówno Prelegenci, jak i uczestnicy podkreślali głęboko techniczny charakter konferencji, różnorodność podejmowanych zagadnień z zachowaniem spójności programu oraz najwyższy poziom merytoryczny prelekcji. Podejmowane tematy spotkały się z dużym zainteresowaniem zgromadzonych, a gorące dyskusje przenosiły się z sali konferencyjnej w kuluary.
Pierwszego dnia konferencji można było wysłuchać wystąpienia Michała Sajdaka, założyciela serwisu Sekurak.pl o największych atakach webowych w 2019 roku. Prokurator Agnieszka Gryszczyńska przybliżyła temat dotyczący kradzieży tożsamości, możliwości zmniejszenia skali ataków i ścigania ich sprawców. Michał Legin, Security Engineer w firmie Google swoje wystąpienie poświęcił problematyce cyfrowych technik śledczych w starciu ze współczesnym trendem do wykorzystania kontenerów i przestrzeni nazw. Grzegorz Wypych z IBM opowiedział o podatności 0day w urządzeniach TP-Link, a Marcin Noga z CISCO/TALOS o odkrytych przez siebie błędach w jednym z sterowników jądra rozwiązania odpowiedzialnego za wykrywanie m.in ataków typu 0day. Dominik “disconnect3d” Czarnota z Trail of Bits omówił problemy związane z PIDami, czyli linuxowymi identyfikatorami procesów oraz z wirtualnym systemem plików procfs. Mateusz Wiśniewski z STM Solutions przedstawił case study o sniffingu TPM – fizycznym ataku na klucze Bitlockera. Jan Dąbroś, Kornel Dulęba i Michał Stanek z Semihalf wygłosili prezentacje poświęcone Secure Boot i Trusted Platform Module. Reenz0h z Sektor7 przyjrzał się dostępnym na rynku rozwiązaniom pod kątem ich rzeczywistego podnoszenia poziomu bezpieczeństwa. Jako ostatni Prelegent pierwszego dnia spotkania wystąpił Arkadiusz Kamiński, redaktor naczelny serwisu o grach wideo arhn.eu, który opowiedział o hackingu z innej strony, czyli Arbitrary Code Execution w grach wideo.
Drugi dzień konferencji obfitował w kolejną dawkę solidnej, technicznej wiedzy. Michał Leszczyński, Krzysztof Stopczański oraz Kamil Frankowicz z CERT Polska pochylili się nad zagadnieniami monitorowania i rozpakowywania złośliwego oprogramowania na poziomie hypervisora oraz niebezpiecznej analizy plików wykonywalnych. Dużo emocji wzbudziło również wystąpienie Adama Haertle, redaktora naczelnego serwisu ZaufanaTrzeciaStrona.pl, który opisał nierzetelne działania marketingowe jednej z polskich firm dostarczających rozwiązania z zakresu bezpieczeństwa IT. O automatyzacji wyszukiwania podatności za pomocą Binary Ninja opowiedział Michał Melewski z firmy Google, a Dominiki Maliński z SEQRED przedstawił koncepcję cybersecurity bill of materials w oparciu o inżynierię wsteczną ogólnodostępnego firmware’u dla urządzeń IoT i OT. Klaus Schmeh, autor 14 książek, 200 artykułów, 1000 wpisów na blogu oraz 25 publikacji naukowych przybliżył zebranym temat największych problemów spotykanych w kryptografii. Paweł Czubachowski i Wojciech Lesicki z Allegro poświęcili swoją prezentację content security policy, a Krystian Matusiewicz z firmy Intel przedstawił analizę przypadku, w którym jedna linia kodu licząca w niestandardowy sposób skrót klucza publicznego RSA mogła doprowadzić do kompromitacji bezpieczeństwa systemu.
Drugiego dnia spotkania odbyła się także sesja lightning talks, podczas której uczestnicy konferencji przedstawili krótkie prezentacje na wybrane przez siebie tematy z zakresu cyberbezpieczeństwa. Krótkie wystąpienia znakomicie wpisały się w trend całej konferencji, stawiając na pierwszym miejscu konkretne zagadnienia z zakresu bezpieczeństwa IT i współczesnego hackingu.
Konferencji towarzyszyły gorące emocje uczestników zawodów liczonych do klasyfikacji generalnej CTFtime.
Konkurs był organizowany przez jedną z najlepszych drużyn CTF na świecie – polski zespół Dragon Sector. W szrankach stanęło ponad 40 uczestników w kilkunastu drużynach mierząc się z arcytrudnymi zadaniami. Zwycięskim drużynom przypadły nagrody o łącznej wartości 53 tys. PLN.
Organizatorzy konferencji nie zapomnieli także o tym, aby uczestnikom konferencji zapewnić dobrą rozrywkę – w Strefie Relaksu można było zagrać w kultowe gry na sprzęcie sprzed kilkunastu–kilkudziesięciu lat od Fundacji Dawne Komputery i Gry, stworzyć własne dzieło sztuki na cyfrowej ścianie graffiti. A wieczorem wziąć udział w networkingu i zrelaksować się na after party .
Gynvael Coldwind, który już po raz czwarty czuwał nad koncepcją i agendą konferencji zaprosił zgromadzonych i wszystkich chętnych na kolejną edycję Security PWNing, która będzie miała miejsce w listopadzie 2020 w Warszawie. Kolejna dawka technicznej wiedzy i najciekawszych tematów z zakresu bezpieczeństwa IT gwarantowana.