Za nami kolejna, trzecia już edycja konferencji The Hack Summit. Podsumujmy więc najciekawsze naszym zdaniem materiały.
Zacznijmy od złej wiadomości: ze względów zdrowotnych, nikt "merytoryczny" z PAYLOAD nie był w stanie uczestniczyć w tym wydarzeniu osobiście. Ale ma to i dobrą stronę - dzięki temu bowiem dostajecie nasz film profesjonalnie nagrany i zmontowany, z wyraźnym dźwiękiem, zamiast nagrania na żywo, które często są dużo gorszej jakości. A więc...
Nasza prezentacja
W tym roku skupiliśmy się na tym, dlaczego rozmaite "zabawki" tworzone przez polskich bezpieczników mają tak znikomy stopień adopcji w zastosowaniach praktycznych, w porównaniu choćby do produktów Hak5, które przecież nie są technicznie jakoś znacząco lepsze...
Na poniższym filmie wyjaśniamy, jak z "Proof of Concept" przejść do produktu, czyli czegoś, co się nadaje do sprzedaży, a przynajmniej nie zapala czerwonej lampki w głowie potencjalnej osoby, która się z danym urządzeniem zetknie - czy to jako użytkownik nietechniczny, czy jako ofiara.
Omawiamy też ważne aspekty podkładania sprzętu, o których początkujący praktycy bezpieczeństwa ofensywnego często zapominają, a także aspekty związane ze sprzętem klasy wearable. Wszystko to na bazie 5 lat naszych doświadczeń z rozwojem produktów na bazie Raspberry Pi.
Chyba przesadziliśmy z konkursem...
Powyższa prezentacja zawierała mały konkurs - trzeba było odnaleźć i policzyć wszystkie koty, jakie się w niej pojawiły. Zadanie było nietrywialne, bo nie było ani jednej prawidłowej odpowiedzi. A kotów było łącznie 46, w tym 45 "żywych" i 1 rysunkowy:
- 1 na slajdzie tytułowym, wyskakujący z prawej strony dopiero po chwili
- po jednym na slajdach 4, 5, 9, 10, 12, 13, 14, 15, 16, 18, 19, 21, 22, 23, 24, 25, 27, 28, 31 i 32 - oraz wspomniany rysunkowy kot na slajdzie 26
- po 2 na slajdach 8 i 29
- aż 7 fragmentów kota na slajdzie 11 (tu były wątpliwości, czy liczyć je jako 7 różnych kotów, czy jako jednego kota składowego)
- aż 13 świecących par oczu na slajdzie 20 (tu były problemy z poprawnym policzeniem)
Ogólnie przesadziliśmy ze slajdami 11, 15 i 20. Przy kolejnych okazjach obiecujemy być bardziej jednoznaczni 🙂
Inne prezentacje warte polecenia
Jak już zostało wspomniane wyżej, tym razem The Hack Summit odbywał się na żywo - czyli większość prezentacji była nagrywana na żywo i w momencie pisania tego tekstu, cały czas nie pozostało dostępna do obejrzenia. Dostępna jest tylko część (bo również nie całość) nagrań, które były z założenia dostępne jako VoD.
Niemniej jednak, na 5 filmów z całego programu tej konferencji, które naszym zdaniem najbardziej pasują do profilu naszych czytelników, aż 2 są już dostępne. Są to...
Ludzki wymiar zagrożenia: analiza tego co siedzi w głowie cyberprzestępcy
Mariusz Kania z CQURE Academy opracował świetny film na bazie opracowania Insider Threat Detection Study od NATO Cooperative Center Defence Centre of Excellence.
W największym możliwym skrócie, prezentacja ta pokazuje zależności pomiędzy ogólną postawą pracowniczą prezentowaną na co dzień przez pracownika jakiejś organizacji, a także szeregiem czynników zewnętrznych różnego typu (np. popadnięcie w długi, śmierć w najbliższej rodzinie i wiele innych), a stopniem ryzyka dopuszczenia się przez tego pracownika działań przeciwko organizacji. Przytoczmy zresztą cytat z jednego z kolejnych slajdów:
"Źródeł incydentów można doszukiwać się w niespokojnym życiu osobistym sprawców."
Co powinienem robić, aby uniknąć wpadki?
Przeczytaj oryginalne opracowanie (PDF w języku angielskim), przede wszystkim fragmenty:
- od punktu 3.3 na stronie 14 do 3.6 na stronie 20
- od punktu 4.3 na stronie 28 do 4.4 na stronie 37
Najciekawsza i prawdopodobnie najważniejsza z Twojego osobistego punktu widzenia jest tabela 3 z punktu 4.3.2 na stronie 31, ale koniecznie przejrzyj wszystkie tabele od 2 do 7 na stronach 28-37. Dowiesz się z nich, na co uważać, aby nie wpakować się w jakąś nieprzyjemną sytuację.
A jako uzupełnienie, przeczytaj też nasze wcześniejsze artykuły Jak korporacje weryfikują uczciwość pracowników i Jak planować, aby nie wpaść?.
Behavioral biometrics as a fraud prevention solution - case studies from banking industry
Drugim z filmów, które chcielibyśmy polecić, był film (w języku angielskim) Krzysztofa Raczyńskiego, CEO Digital Fingerprints, skupiający się na technikach identyfikacji biometrycznej w czasie rzeczywistym lub bliskim rzeczywistemu, w celu zapobiegania fraudom w aplikacjach bankowych.
Oto 3 najciekawsze slajdy, prezentujące w uproszczeniu możliwości stworzonej przez jego firmę technologii:
Innymi słowy, technologia ta potrafi wykrywać przypadki, gdzie np. ofiara wpuści na swój komputer "konsultanta" przez AnyDesk, a następnie ten konsultant, korzystając z zalogowanej aplikacji bankowej, zdoła wyczyścić jej konto. jeżeli dobrze rozumiemy ten film, opisywana technologia potrafi automatycznie zablokować dostęp do chronionej aplikacji, gdy wykryje istotne zmiany w zachowaniu użytkownika (w sposobie pisania po klawiaturze, oraz w charakterystyce obsługi myszy).
I to na razie tyle
Wszystkie pozostałe filmy, które wstępnie wydają się wartościowe do polecenia, cały czas są w stanie "Nagranie będzie dostępne wkrótce", a więc tak naprawdę znamy tylko ich krótki opis. jeżeli jednak otrzymamy od Was jakieś sygnały zainteresowania, za jakiś czas zrobimy kontynuację tego artykułu.
A tymczasem, miłego oglądania i niech Ta wiedza służy Wam jak najlepiej 🙂