tech.3camp | 13 września 2016 | 18:00 | GPN-T | Gdańsk

Zapraszamy na 35. spotkanie z cyklu tech.3camp. Tym razem poruszymy zagadnienia związane z bezpieczeństwem.

AGENDA SPOTKANIA

18:00 - 18:30 Marcin Okraszewski, Dynatrace, Uwierzytelnianie użytkowników - pierwsza linia obrony aplikacji

Tworząc aplikacje bardzo często szybko przechodzimy nad tematem uwierzytelniania użytkowników. Jednak logowanie jest głównym zabezpieczeniem Twojej aplikacji i danych Twoich klientów. Jest to również pierwsza logika aplikacji, która wystawiona jest na próbę wszystkich użytkowników Internetu, a za jej murami powinni być już ci "dobrzy". Czy więc faktycznie przykładamy należytą uwagę procesowi uwierzytelniania? W ramach prezentacji pokarzemy na co zwrócić uwagę i jak zapewnić sobie dobrą implementację bez nadmiernego wysiłku.

18:30 - 19:00 Radosław Karpowicz, Ship it to production - czyli aplikacje pełne dziur

Dlaczego testy bezpieczeństwa webaplikacji są tak ważne? Przedstawię przykłady firm, które dzięki testom były w stanie usunąć błędy bezpieczeństwa. Omówię również najciekawsze włamania oraz techniki, które zostały wykorzystane w tym celu.

19:00 - 19:30 Piotr Soróbka, FancyFon, Nie tylko Mr Robot może zhackować Twój telefon

Wyobraź sobie szalejącą za oknem potężną ulewę. Rzucasz leniwie okiem na swoją ulubioną aplikację pogodową, która właśnie wskazuje, że na niebie nie ma ani jednej chmury, a tropikalny żar nie daje odpocząć. Dziwne - mruczysz pod nosem. Coś musiało się zepsuć podczas wczorajszej aktualizacji.

Czy to na pewno niewinny błąd aplikacji, czy może celowe działanie kogoś, kto przejął kontrolę nad Twoim urządzeniem mobilnym?A co jeśli podobny "błąd" ma też aplikacja do Twojego banku?

Piotr Soróbka z FancyFon S.A. pokaże, w jaki sposób Twoje urządzenie mobilne może zostać zaatakowane za pomocą metody Man-In-The-Middle i opowie o tym, co twórca aplikacji mobilnej może zrobić, by zadbać o bezpieczeństwo przyszłych użytkowników.

19:30 - 20:00 Dorota Kulas, Błażej Kantak, Spokojny sen dewelopera, czyli "pentesterze, znajdź mi wszystkie pluskwy"

Opowiemy czym jest Red Teaming oraz przedstawimy różnice w stosunku do testów penetracyjnych. Podzielimy się naszymi spostrzeżeniami dotyczącymi typowych podatności, jakie napotyka się w systemach produkcyjnych - przy okazji rozwiejemy trochę mitów :) Przedstawimy krótką analizę kilku najczęstszych błędów i założeń w środowisku deweloperów, zapraszając jednocześnie uczestników do debaty i zadawania pytań.

PRELEGENCI

Marcin Okraszewski, Dynatrace

Od ponad 10 lat pracuję w firmie Dynatrace, obecnie na stanowisku architekta. W trakcie mojej przygody z Dynatrace miałem okazję rozwijać diametralnie różne produkty - od analizatora ruchu sieciowego w C++ o ogromnych wymaganiach wydajnościowych, przez aplikację desktopową w .Net i pluginy dla platformy Eclipse, po rozwiązania SaaS z użyciem Big Data pracujące w chmurze Amazon. A po godzinach wychowuję kolejne pokolenie informatyków.

Radosław Karpowicz

Miłośnik szerokopojętego tematu bezpieczeństwa, specjalizujący się w testach penetracyjnych aplikacji webowych. Obecnie pracuje jako inżynier bezpieczeństwa w Auth0. Autor publikacji na temat błędów w systemie aktualizacji programów na platformie Mac OS X, o którym napisały m.in. The Next Web oraz Ars Technica. W wolnych chwilach prowadzi szkolenia z ochrony oraz atakowania webaplikacji.

Piotr Soróbka, FancyFon

Szef działu DevOps w FancyFon, zwany również Pasieką. Pochodzi z rodziny o pszczelarskich tradycjach, ale sam od klasycznego ula woli Smart Bee Hive. W FancyFon przeszedł długą deweloperską drogę: zaczął od programowania na platformy mobilne, a dziś stoi na straży IT security w firmie, ścigając wszystkich, którzy nie blokują swoich komputerów. Absolwent Uniwersytetu Gdańskiego, w wolnym czasie gra w piłkę i FIFĘ.

Dorota Kulas, Błażej Kantak

Dorota - pracuje w IT od 2001 roku, początkowo jako administrator systemów unixowych, następnie wiele lat jako administrator sieci i analityk ds. rozwiązań sieciowych. Od 5 lat pracuje w międzynarodowym środowisku zajmując się symulacją zagrożeń w sieci (Red Team). Dorota specjalizuje się w atakach sieciowych oraz socjotechnikach, a jej ulubionym zajęciem jest rozwiązywanie problemów oraz R&D. Prezentacje: NoVA Hackers 2013 i 2016, SecurityBSides Warsaw 2015, Geek Girls Carrots 2016, HackInParis 2016, wykłady gościnne na Politechnice Gdańskiej.

Błażej - wieloletni fan(atyk?) zagadnień związanych z bezpieczeństwem IT, głównie ataków na sieci (protokoły komunikacyjne) oraz systemy operacyjne z rodziny UNIX i zOS. 20 lat w IT. a od 5 zajmuje się symulacjami ataku na infrastrukturę IT różnych instytucji (banków, firm technologicznych, przemysłu, energetyki, lotnictwa) w Polsce i za granicą. W swoich badaniach zawsze koncentruje się na praktycznych aspektach podatności, np. udoskonalony atak MitM w HSRP czy POSIX file capabilities jako metoda backdoorowania systemu Linux. Prezentacje: wykłady gościnne na Politechnice Gdańskiej i kole naukowym ETI PG, NoVA Hackers 2013, Geek Girls Carrots 2016.