Paweł Srokosz, CERT Polska/NASK Analiza nowych wariantów złośliwego oprogramowania zwykle wiąże się z automatyzacją, opartą na pisanych “na kolanie” prostych skryptach, będących produktem ubocznym analizy wstecznej i pozwalających sprawniej analizować kolejne próbki. Z czasem jednak, każdy taki skrypt zaczyna obrastać we własną kolejkę, moduł szukający próbek w dostępnych źródłach czy moduł raportujący rezultaty. Staje się kolejnym trybikiem złożonej machiny, do której dokładanie kolejnych elementów staje się prawdziwym wyzwaniem. W ramach prezentacji opowiem o naszych próbach okiełznania tego bałaganu, które zaowocowały projektem o roboczej nazwie Karton. dr hab. inż. Michał Karpowicz FLDX jest nowym systemem cyberbezpieczeństwa stworzonym od podstaw w CBiTT/NASK-PIB, wykrywającym i tłumiący wolumetryczne ataki DDoS, zdolnym do skutecznej obsługi zaburzeń ruchu sieciowego o natężeniu znacznie przekraczającym 100 Gbps. Zaimplementowane w nim autorskie algorytmy przetwarzania danych autonomicznie identyfikują, precyzyjnie izolują i dyscyplinują niebezpieczne przepływy pakietów w czasie nieosiągalnym dotychczas na rynku. Jednocześnie algorytmy te generują wiedzę na temat obserwowanych zjawisk sieciowych oraz zapisują ją w postaci reguł decyzyjnych wyrażonych w języku filtracji pakietów, dostarczając w ten sposób środków skutecznego odpierania wielowymiarowych i zmiennych w czasie ataków. FLDX chroni obecnie wybrane segmenty sieci szkieletowej NASK. Opowiem o kilku ciekawych obserwacjach dokonanych przy pomocy systemu. Łukasz Siewierski, Google Autorzy złośliwego oprogramowania na platformę Android muszą cały czas zmieniać sposób swojego działania, żeby dostosować się do nowych zabezpieczeń systemu operacyjnego. Autor (lub grupa autorów), o którym będzie ta prezentacja zdecydował się napisać całą gamę bardzo różnorodnych złośliwych aplikacji, które mają mu przynieść zysk. Jego portfolio zawiera między innymi proste zmiany w istniejących, popularnych aplikacjach tak, aby użytkownikom wyświetlały się inne reklamy jak i bardzo złożone aplikacje. Wykorzystują one luki bezpieczeństwa, aby wykonać unikatowe i nietypowe polecenia autora. Najbardziej skomplikowana aplikacja napisana przez tego autora to “Zen”, który próbuje wykorzystać luki bezpieczeństwa aby uzyskać uprawnienia użytkownika root. Jeśli zdobędzie te uprawnienia to używa ich aby założyć sztuczne konta użytkownika. Konta te zakładane są za pomocą wstrzykiwania kodu w inne procesy oraz za pomocą usług ułatwień dostępu. Jarosław Jedynak, CERT Polska/NASK Jeśli wiemy gdzie szukać, w internecie łatwo znaleźć nieprzeliczone zbiory danych, które można wykorzystać do przestępstwa – wycieki baz, efekty włamań albo przechowywania logów w publicznie dostępnej lokalizacji. Jeśli wiemy jak zapytać, podobne informacje można dostać w odpowiedzi od serwera C&C albo RATa (trojana zdalnego dostępu). W tej prezentacji omówię jak zbieramy dane (zarówno leżące publicznie, jak i bardziej ukryte), oraz co robimy z nimi dalej – i jak mogą skorzystać z tego ludzie i organizacje.
dr hab. inż. Michał Karpowicz
Michał Karpowicz, dr hab. inż., kierownik Zakładu Inżynierii Systemów Informatycznych w NASK-PIB, członek Rady Naukowej NASK-PIB, adiunkt w Instytucie Automatyki i Informatyki Stosowanej Politechniki Warszawskiej. Prowadzi badania w obszarze teorii sterowania i przetwarzania sygnałów, sztucznej inteligencji oraz teorii gier. Kieruje rozwojem i wdrażaniem projektowanych w NASK-PIB systemów cyberbezpieczeństwa wspierających ochronę infrastruktury krytycznej RP. Twórca technologii adaptacyjnej detekcji i mitygacji wolumetrycznych ataków (D)DoS, systemów sterowania siecią, mechanizmów alokacji zasobów w klastrach maszyn wirtualnych, oraz sterowników CPU dla jądra systemu operacyjnego Linux.
Michał Karpowicz, dr hab. inż., kierownik Zakładu Inżynierii Systemów Informatycznych...
Paweł Srokosz
Specjalista bezpieczeństwa i analityk złośliwego oprogramowania w CERT Polska. Specjalizuje się w analizie wstecznej ransomware’u i trojanów bankowych. W wolnym czasie – zapalony gracz CTF w zespole p4.
Paweł Srokosz
CERT Polska/NASK
Specjalista bezpieczeństwa i analityk złośliwego oprogramowania w CERT Polska. Specjalizuje...
Jarosław Jedynak
Zmienił pracę programisty na analizę malware w CERT Polska, gdzie zajmuje się między innymi inżynierią wsteczną protokołów złośliwego oprogramowania, automatyzacją jego analizy oraz rozwojem systemów wspomagających analityków. Po pracy rozwija projekty Open-Source, gra w CTFy w zespole p4 i szuka dziur w całym.
Jarosław Jedynak
CERT Polska/NASK
Zmienił pracę programisty na analizę malware w CERT Polska, gdzie...
Łukasz Siewierski
Łukasz Siewierski zajmuje się analizą złośliwego oprogramowania w zespole Android Security w Google. Na co dzień próbuje zrozumieć metody działania złośliwego oprogramowania napisanego na platformę Android, po to, aby uczynić ją jeszcze bardziej bezpieczną. Poprzednio pracował w CERT Polska gdzie analizował i zapobiegał incydentom bezpieczeństwa w domenie .pl. Łukasz bardzo lubi dzielić się zdobytą przez siebie wiedzą podczas konferencji takich jak Virus Bulletin, Kaspersky SAS czy RSA Conference.
Łukasz Siewierski
Łukasz Siewierski zajmuje się analizą złośliwego oprogramowania w zespole Android...
Już 16 czerwca 2020 r. odbędzie się 3. edycja konferencji SECURE Early Bird. Spotykamy się z Wami w wirtualnej przestrzeni. Jak co roku przygotowaliśmy dla Was solidną porcję eksperckiej wiedzy. I to całkiem za darmo.
SECURE Early Bird to otwarcie sezonu w cyberbezpieczeństwie. Podczas tegorocznej konferencji SECURE Early Bird przyjrzymy się konkretnym problemom i zaproponujemy techniczne rozwiązania. Nasi eksperci to osoby, które na co dzień zajmują się walką z zagrożeniami.
ZAPRASZAMY
Patronat Honorowy
