Zespół Bezpieczeństwa PCSS

Ochrona przed atakami DDoS dziś i jutro - wystąpienie na konferencji SECURE 2013

W dniu 9 października przedstawiciel naszego zespołu wystąpił na XVII edycji dorocznej konferencji SECURE poświęconej tematowi bezpieczeństwa teleinformatycznego, jednej z największych konferencji o tym profilu organizowanych w Polsce. Konferencja odbyła się w tym roku w Centrum Nauki Kopernik w Warszawie. Organizatorami byli NASK oraz CERT Polska.

Łukasz Czarniecki, przedstawił doświadczenia i wyniki badań własnych (realizowanych wspólnie z Marcinem Jerzakiem - również z naszego zespołu), w zakresie ochrony przed atakami typu DoS i DDoS. Ataki rozproszonej odmowy dostępu do usługi stają się jednym z najpoważniejszych zagrożeń dla bezpieczeństwa systemów. Skala zagrożenia i wielkość potencjalnych strat rosną nieustannie, a zwalczanie w przypadku dużych ataków jest bardzo trudne.

W czasie wystąpienia przedstawiony został przegląd najciekawszych w ataków oraz sposobów przeciwdziałania ich skutkom. Autorzy przedstawili nowe aspekty związane z atakami typu odbitego, które powodują znaczną amplifikację wolumenu ruchu w trakcie ataku oraz przyjrzeli się najciekawszym technologiom, które mogą w przyszłości zwiększyć efektywność zarówno samych ataków, jak i systemów je odpierających.

Zapraszamy do zapoznania się z przygotowaną prezentacją.

Łukasz Czarniecki, Marcin Jerzak. "Ochrona przed atakami DDoS dziś i jutro" - (PDF, 3 MB)

Szkolenie z zasad bezpiecznego programowania dla projektu Geant3

W dniach 10-12.07 przedstawiciele naszego Zespołu przeprowadzili w Pradze doroczne szkolenie z zasad bezpiecznego programowania dla uczestników projektu europejskiego Geant3.

Paweł Berus, Tomasz Nowak i Gerard Frankowski zaprezentowali programistom z różnych stron Europy szereg tematów związanych z tworzeniem oprogramowania maksymalnie odpornego na błędy bezpieczeństwa. Opowiadaliśmy między innymi o modelowaniu zagrożeń, konfiguracji infrastruktury klucza publicznego, wykorzystaniu Java Web Start, technikach przeglądu kodu źródłowego, możliwych problemach bezpieczeństwa związanych z dostępem do systemu plików.

W drugim dniu szkolenia przeprowadzony został intensywny warsztat z zakresu podatności występujących w aplikacjach Web. Uczestnicy mogli samodzielnie zapoznać się z istniejącymi i specjalnie przygotowanymi aplikacjami zawierającymi błędy, a także sprawdzić, w jaki sposób odpowiednie zmiany w kodzie przekładają się na wzrost poziomu bezpieczeństwa implementowanej usługi. Całość została sfinalizowana konkursem z nagrodami HackMe, w ramach którego uczestnicy szkolenia wykorzystywali nabytą właśnie wiedzę do samodzielnego zaatakowania aplikacji. Przybliżenie programistom sposobu postępowania napastników pomoże w wypracowaniu odpowiednich strategii ochrony tworzonego oprogramowania.

Szkolenie było już trzecim tego rodzaju wydarzeniem, przygotowanym przez Zespół Bezpieczeństwa PCSS w ramach projektu GN3. Poprzednie odbyły się w latach ubiegłych w Poznaniu i Berlinie. Oprócz realizacji szkoleń, nasz Zespół bierze udział w innych pracach związanych z bezpieczeństwem w projekcie - między innymi realizuje testy penetracyjne i przeglądy kodu wytworzonego oprogramowania, a także udziela na żądanie porad eksperckich z zakresu zabezpieczania aplikacji i infrastruktury projektowej.

W przypadku zainteresowania przeprowadzeniem podobnego szkolenia poza projektem GN3, prosimy o kontakt z przedstawicielem Zespołu.

Poniżej znajduje się link do materiałów ze szkolenia przeprowadzonego w roku 2010.
Materiały - edycja 2010

"Czy Twoja aplikacja jest bezpieczna?" - warsztaty dla twórców aplikacji Web

Zespół Bezpieczeństwa PCSS, we współpracy z programem Startup-IT dla mikroprzedsiębiorstw działających w sektorze technologii informacyjnych, zrealizował program bezpłatnych audytów bezpieczeństwa aplikacji internetowych przygotowanych przez niedawno debiutujące na rynku firmy, spełniające powyższe kryteria.

Do konkursu zgłoszono kilkanaście różnego rodzaju aplikacji webowych. Zespół Bezpieczeństwa PCSS wybrał do dalszej realizacji 3 z nich, które uzyskały najwyższe noty, bazujące na następujących kryteriach:

1. Poziom krytyczności (wrażliwości) danych przetwarzanych przez aplikację,
2. Innowacyjność, rozumiana zarówno w kontekście pomysłu na działalność realizowanego przy pomocy witryny internetowej, jak i zestawu wykorzystanych do jej tworzenia technologii,
3. Rozmiar aplikacji (bardzo duże witryny nie mogłyby zostać przeanalizowane na odpowiednim poziomie szczegółowości).

Ostatecznie analizie bezpieczeństwa podlegały serwisy: mfinder.pl, uczestnicy.pl oraz fins.pl. Prace przeprowadzono na zasadzie testów penetracyjnych z zerową początkową wiedzą o systemie. Audytorzy starali się zdobyć jak największą wiedzę o testowanym środowisku, a także nieautoryzowany dostęp do danych i systemów. Testowano również scenariusz, w którym intruz posiada legalne konto o standardowych uprawnieniach w systemie i stara się swoje uprawnienia poszerzyć. Poszukiwano podatności na najpopularniejsze klasy podatności aplikacji webowych, a szczególny nacisk położono na mechanizmy uwierzytelniania użytkowników.

Badanie aplikacji od strony użyteczności oraz oferowanej funkcjonalności (niezwiązanej z bezpieczeństwem) nie było przedmiotem analiz, aczkolwiek audytorzy zwracali uwagę na poważniejsze, odkryte ,,przy okazji", błędy tego rodzaju.

Po przetestowaniu każdej z aplikacji, Zespół Bezpieczeństwa PCSS zorganizował indywidualne warsztaty audytorskie dla właścicieli aplikacji. Podczas poszczególnych spotkań szczegółowo omawiano wykryte błędy, wskazując na możliwe zagrożenia (także prezentując ,,na żywo" testowe ataki na witrynę) oraz proponując działania, które podniosą poziom bezpieczeństwa aplikacji tworzonych w przyszłości.

Wyniki analiz wskazują, że świadomość kwestii bezpieczeństwa wśród twórców aplikacji internetowych, choć rośnie, jest jeszcze niewystarczająca (musimy bowiem pamiętać, że poszerza się także wiedza w zakresie metod atakowania aplikacji!). Do aspektów wymagających szczególnej uwagi należą: niewystarczające filtrowanie danych wejściowych, umożliwiające realizację ataków m.in. XSS oraz SQL Injection, ujawnianie zbyt dużej ilości informacji o wykorzystywanym środowisku, brak należytej dbałości o posiadanie aktualnych wersji stosowanego oprogramowania.

Uczestnicy warsztatów byli bardzo zadowoleni z możliwości udziału w programie, który bez ponoszenia dodatkowych kosztów umożliwił weryfikację poziomu bezpieczeństwa tworzonych portali. Miło nam także poinformować, że wiele ciepłych słów na temat naszej pracy usłyszeliśmy podczas zrealizowanych spotkań warsztatowych. Program Startup-IT nie wyklucza organizacji drugiej edycji konkursu.

Dopasowywanie sekwencji biologicznych a bezpieczeństwo IT - wystąpienie na konferencji Confidence 2010 2.0

Zespół Bezpieczeństwa PCSS, niezależnie od bieżących zadań związanych z ochroną własnej infrastruktury oraz udziałem w projektach naukowo-badawczych, prowadzi odrębne badania w wielu dziedzinach. Niejednokrotnie na pierwszy rzut oka nie są one związane z bezpieczeństwem teleinformatycznym.

W ostatnich tygodniach Mateusz Drygas i Tomasz Nowak przyjrzeli się możliwości wykorzystania narzędzi służących analizie sekwencji biologicznych do optymalizacji technik fuzzingu, a konkretnie - do wspomagania rozpoznawania budowy protokołów sieciowych czy formatów plików. Okazuje się, że odpowiednio transponując pewne pojęcia ze świata protokołów sieciowych do obszarów analizy sekwencji biologicznych, można skorzystać z darmowych i sprawdzonych narzędzi bioinformatycznych, znacznie przyspieszając analizę danych uzyskanych z sieci.

Efekty prac zaprezentowaliśmy na odbywającej się w Pradze w dniach 29-30 listopada międzynarodowej konferencji bezpieczeństwa IT Confidence 2.0. Tomasz Nowak przedstawił drugiego dnia konferencji prezentację pt. "Discovery and visualization of network protocols with tools for biological sequence alignment" Poruszenie tematyki testów metodą fuzzingu wywołało ciekawą dyskusję w kuluarach, podczas której wymieniono doświadczenia m.in. z autorami innych fuzzerów.

Podczas konferencji prezentowano prelekcje na różnym poziomie technicznym: od używania gotowej aplikacji wyciągającej metadane z publikowanych dokumentów, poprzez ataki socjotechniczne i bezpieczeństwo IPv6, aż po debugowanie aplikacji i protokołów sieciowych przy użyciu programowania niskopoziomowego. W przerwach pomiędzy prezentacjami wymieniano się doświadczeniami i rozmawiano na tematy związane z bezpieczeństwem systemów teleinformatycznych.

Zapraszamy do zapoznania się z przygotowanym materiałem. Prezentacja jest dostępna jako plik PDF w języku angielskim.

Mateusz Drygas, Tomasz Nowak .Discovery and visualization of network protocols with tools for biological sequence alignment. (PDF, 942 KB)

Testy bezpieczeństwa przeglądarek internetowych

Zespół Bezpieczeństwa Poznańskiego Centrum Superkomputerowo-Sieciowego przeprowadził testy porównawcze przeglądarek internetowych pod kątem odporności na ataki na szyfrowane połączenia SSL/TLS. Szczególną uwagą objęty został sposób wykrywania potencjalnych zagrożeń przez przeglądarki oraz informowania o nich użytkownika (także nieposiadającego szerokiej wiedzy technicznej).

Testom poddanych zostało 5 najpopularniejszych przeglądarek internetowych: (w kolejności alfabetycznej) Apple Safari, Google Chrome, Microsoft Internet Explorer, Mozilla Firefox i Opera. Zweryfikowano m.in. zestaw obsługiwanych algorytmów kryptograficznych oraz szybkość przesyłania danych w szyfrowanych połączeniach przy niestandardowych warunkach w sieci. Jednakże najważniejszą częścią prac było badanie sposobu interakcji z użytkownikiem w przypadku napotkania na różnego rodzaju błędy w zabezpieczeniach przeglądanych stron (np. nieaktualny certyfikat lub zaszyte na witrynie elementy nieszyfrowane). Badano sam fakt wykrycia zagrożenia, szczegółowość i czytelność zaprezentowanych użytkownikowi informacji, a także poziom ochrony zapewniany przez domyślne ustawienia przeglądarki.

Z drugiej strony należy zaznaczyć, że przedmiotem obecnej fazy testów nie była odporność kodu oprogramowania przeglądarek i na podstawie uzyskanych wyników nie należy wyciągać żadnych wniosków w tym zakresie.

Wyraźnie widoczne jest dążenie producentów aplikacji do stworzenia użytkownikom warunków, w których mogliby korzystać z Internetu w sposób bezpieczny. Jednak realizacja tego dążenia nie udaje się wszystkim tak samo dobrze, a niekiedy jest bardzo niejednorodna w ramach poszczególnych przeglądarek. Badane aplikacje charakteryzują się również odmienną ilością informacji o napotkanych błędach, prezentowanych użytkownikowi . co może mieć znaczenie w kwestii wyboru oprogramowania dla poszczególnych grup internautów.

Uzyskane rezultaty nie pozwalają na wyodrębnienie absolutnego lidera czy outsidera. W subiektywnej ocenie autorów raportu obie najbardziej popularne przeglądarki (Firefox i Internet Explorer) spełniają większość podstawowych wymagań w zakresie bezpiecznej obsługi tuneli SSL/TLS - przy czym w przypadku Firefoksa lepiej rozwiązano mechanizm interakcji z użytkownikiem oraz zastosowano nieco bezpieczniejsze ustawienia domyślne, a Internet Explorer uzyskiwał ogólnie lepsze wyniki testów wydajności szyfrowanych tuneli.

Spośród pozostałych przeglądarek, obejmujących swoim zasięgiem węższe segmenty rynku, autorzy raportu wyróżnili Operę za najlepiej rozbudowane mechanizmy informowania o zagrożeniach. Najwięcej do nadrobienia zdają się zaś mieć jeszcze autorzy oprogramowania Safari.

Wydaje się też, że wykorzystywanie tylko jednej przeglądarki (w ujęciu ogólnym, a nie tylko w kontekście tuneli SSL/TLS) jest rozwiązaniem bardzo ograniczającym możliwość postrzegania problemów . zwłaszcza w przypadku użytkowników zorientowanych technicznie.

Zapraszamy do pobrania raportu ze szczegółowym opisem testów (PDF . 3,3 MB)

Szkolenie bezpieczeństwa dla programistów w ramach projektu GN3

Zespół Bezpieczeństwa PCSS odegra kluczową rolę w przygotowaniu kompleksowego szkolenia, obejmującego tematykę tworzenia bezpiecznego oprogramowania, jakie w czerwcu 2010 r. zostanie zorganizowane dla uczestników jednego z największych europejskich projektów naukowo - badawczych, GN3.

Szkolenie poruszy kwestie związane z bezpieczeństwem aplikacji na różnych poziomach. Pierwszego dnia omówione zostaną tematy natury ogólnej, a także przedstawione będą technologie służące jako osobne warstwy zabezpieczeń (np. infrastruktura klucza publicznego). Planowane jest również wystąpienie na temat bezpieczeństwa Web Services.

Drugi dzień poświęcony zostanie ściśle bezpieczeństwu kodu. Omówione zostaną takie kwestie, jak przechowywanie w pamięci wrażliwych danych czy wykorzystywanie niebezpiecznych funkcji. Prowadzący szczegółowo zaprezentują przykłady najczęściej występujących typów podatności w kodach źródłowych aplikacji stacjonarnych i webowych (np. przepełnienie bufora, wycieki pamięci i zasobów, XSS, SQL Injection). Odbędą się też ćwiczenia w wykrywaniu podatności w kodach napisanych w językach C/C++, Java i PHP. Szkolenie zakończą warsztaty poświęcone wykorzystaniu wybranych narzędzi skanujących do wykrywania niektórych typów podatności kodu źródłowego.

Szkolenie odbędzie się w Poznańskim Centrum Superkomputerowo-Sieciowym, prawdopodobnie w dniach 22-23 czerwca 2010 r. Wykłady są przeznaczone tylko dla zarejestrowanych uczestników projektu GN3, jednak najprawdopodobniej przynajmniej część materiałów dostępna będzie publicznie. Językiem szkolenia jest angielski. Oprócz zaproszonych ekspertów z instytucji biorących udział w projekcie, wykłady poprowadzą Gerard Frankowski i Tomasz Nowak z Zespołu Bezpieczeństwa PCSS.

Zaangażowanie specjalistów z Zespołu Bezpieczeństwa PCSS jako ekspertów szkoleniowych jest z pewnością docenieniem roli, jaką Poznańskie Centrum Superkomputerowo-Sieciowe pełni w zakresie bezpieczeństwa w europejskich projektach naukowo-badawczych.

Notatka ze szkolenia i prezentacje do pobrania

Podatność typu SQL Injection w TikiWiki 4.1

W czasie prac wewnętrznych prowadzonych przez nasz zespół, Mateusz Drygas odkrył podatność typu SQL Injection w systemie portalowym TikiWiki. Problem dotyczy wszystkich wersji przed 4.2 i 3.5 LTS. Sczegóły dotyczące błędu znajdują się tutaj.

Wystąpienie na konferencji MTS 2009

30.09.2009. W warszawskim Pałacu Kultury i Nauki odbyła się 4. edycja największej w Polsce konferencji IT - Microsoft Technology Summit. W ramach dwudniowej imprezy przeprowadzono około stu sesji tematycznych dla ponad 3000 uczestników. Przedstawiciele Zespołu Bezpieczeństwa Gerard Frankowski i Marcin Jerzak podczas swojej prelekcji, przez pryzmat kwestii związanych z bezpieczeństwem, opowiadali o poszczególnych elementach heterogenicznej platformy hostingowej - począwszy od utwardzania systemu operacyjnego, przez konfigurację serwera IIS (połączenie IIS + PHP, URLScan), bazy danych (MySQL, MSSQL) po bezpieczeństwo samego interpretera stron (w tym połączenia ASP + PHP w ramach jednego serwisu).

Organizatorzy przygotowali webcasty z wszystkich prezentacji. Film z wystąpienia Gerarda i Marcina znajduje się pod tym adresem. Zapraszamy także do pobrania prezentacji w formacie PDF.

Prezentacja do pobrania poniżej:

• Gerard Frankowski, Marcin Jerzak Bezpieczeństwo heterogenicznej platformy hostingowej (1,8 MB)

Warsztaty bezpiecznego programowania - EGEE'09

Przedstawiciel Zespołu Bezpieczeństwa PCSS, Gerard Frankowski, w ramach prac projektowych EGEE3 (Enabling Grids for e-Science) przeprowadził warsztaty bezpiecznego programowania na międzynarodowej konferencji EGEE'09, która odbyła się w Barcelonie w dn. 21-25 września. W trakcie dwugodzinnej sesji uczestnicy mieli możliwość zapoznania się z podsumowaniem ponad trzyletnich prac w tym obszarze. Poznali (na prawdziwych przykładach) najczęściej występujące w tworzonym oprogramowaniu wzorce błędów bezpieczeństwa oraz sposoby uchronienia się przed popełnianiem podobnych pomyłek.

Sesja przeznaczona była głównie dla programistów, a także - częściowo - dla administratorów serwerów WWW.

Slajdy w formacie PDF można pobrać poniżej:

• Gerard Frankowski Komplet prezentacji EGEE3 (ZIP, 3,1 MB)

Omijanie firewalli w systemach Windows

Członkowie Zespołu Bezpieczeństwa PCSS mieli przyjemność zorganizować pierwsze w historii szkoleń MIC warsztaty bezpieczeństwa w trybie BYOL (ang. Bring Your Own Laptop). Mateusz Drygas, Marcin Jerzak i Jakub Tomaszewski przygotowali scenariusz ataku na rzeczywisty system. Scenariusz ten był następnie krok po kroku realizowany w praktyce przez uczestników. Prowadzący powoli ujawniali kolejne informacje dotyczące "systemu - celu ataku" zostawiając po każdej podpowiedzi czas dla uczestników na własne próby przełamywania zabezpieczeń. Takie postępowanie miało, w zamyśle twórców, zmusić gości do aktywnego uczestnictwa w warsztatach oraz uświadomić fakt niezaprzeczalnej przydatności umiejętności samodzielnego, twórczego myślenia w procesie wykrywania błędów bezpieczeństwa. Każdy z uczestników został wyposażony we własny, zdalny "system - cel ataku", trzymany na serwerze, jako osobną maszynę wirtualną oraz "system - agresora" - dostarczany na specjalnie przygotowanych pendrive'ach, rozdawanych przy wejściu na warsztaty. Dzięki temu uczestnicy nie przeszkadzali sobie nawzajem w pracy. Była to druga część serii szkoleń poświęconych tematyce omijania firewalli w systemach Windows (pierwszy etap odbył się pół roku wcześniej, 18 grudnia 2008 r. jako wstęp i swego rodzaju teoretyczne wprowadzenie do warsztatów).

Prezentacja do pobrania poniżej:

• M. Drygas, M. Jerzak, J. Tomaszewski Omijanie firewalli w systemach Windows(1,7 MB)

Reklama w internecie - warsztaty dla mikroprzedsiębiorców

W dniu 5 czerwca 2009 r. na Politechnice Poznańskiej odbyło się kolejne spotkanie w ramach programu Startup-IT. Tym razem pod hasłem "Reklama internetowa - jak wypromować własny portal". Zachęcamy wszystkich do zapoznania się z prezentacją przygotowaną na tą okazję przez Zespół Bezpieczeństwa. Jakub Tomaszewski postawił się w roli przeciwnika umieszczania reklam w Internecie i opowiedział o sprawdzonych sposobach na blokowanie niechcianych treści.

• Jakub Tomaszewski: Sposoby blokowania reklam (4,5 MB)

Prezentacja ze szkolenia Działu KDM PCSS

W dniu 29 kwietnia 2009 r. Zespół Bezpieczeństwa PCSS zrealizował swój pierwszy w tym roku wykład w ramach cyklu szkoleń Działu KDM PCSS. Tomek Nowocień przygotował prezentacje wprowadzającą do tematyki bezpieczeństwa aplikacji webowych.

Zapraszamy chętnych do pobrania slajdów w formacie PDF.

• Tomasz Nowocień: Bezpieczeństwo aplikacji webowych (4,0 MB)

Prezentacje dla społeczności programistycznych i mikroprzedsiębiorców

Zapraszamy do zapoznania się z kilkoma prezentacjami przygotowanymi pod koniec lutego przez Zespół Bezpieczeństwa PCSS. Tym razem mieliśmy okazję gościć na spotkaniu Poznańskiej Grupy .NET (Gerard Frankowski, 26.02) oraz na warsztatach "Tworzenie serwisów internetowych - część I z II" w ramach programu Startup-IT dla osób chcących założyć własne mikroprzedsiębiorstwo IT (Jakub Tomaszewski i Gerard Frankowski, 27.02).

• Spotkanie Poznańskiej Grupy .NET
• Gerard Frankowski: Bezpieczeństwo usług w ASP.NET (3,5 MB)


• Warsztaty Startup-IT "Tworzenie serwisów internetowych"
• Gerard Frankowski: Zabezpieczanie aplikacji webowych w ASP.NET (2,8 MB)
• Jakub Tomaszewski: Zabezpieczenia serwerów internetowych (1,4 MB)

Bezpieczeństwo dla szkół i mikroprzedsiębiorstw

Po wystąpieniu na konferencji SECURE 2008, członkowie Zespołu Bezpieczeństwa PCSS mieli okazję po raz kolejny promować bezpieczeństwo IT w różnych środowiskach. Prezentacje prowadzone były w ramach programu StartUp-IT podczas VII Seminarium oraz w ramach konferencji "Bezpieczny Internet".

• Warsztat Startup-IT (24.10)
• Tomasz Nowocień: Zagrożenia w sieciach i sposoby zabezpieczeń (1,7 MB)
• Marcin Jerzak: Zabezpieczanie platformy Windows Server 2003 (2,0 MB)
• Gerard Frankowski: Udostępnianie bezpiecznych usług w sieci Internet (2,1 MB)


• I Wielkopolska Konferencja "Bezpieczny Internet" (29.10)
• Tomasz Nowocień: Zagrożenia w sieci (1,9 MB)
• Gerard Frankowski: Bezpieczeństwo danych i usług w Internecie - e-sklepy (2,8 MB)

Pokaz na spotkaniu regionalnym PNIPH w Poznaniu

Przedstawiciele Zespołu Bezpieczeństwa PCSS, Marcin Jerzak i Jakub Tomaszewski, wystąpili podczas zebrania Polsko-Niemieckiej Izby Przemysłowo-Handlowej na spotkaniu które odbyło się 15 października w hotelu Sheraton w Poznaniu. Polsko-Niemieckia Izba Przemysłowo-Handlowa (PNIPH) jest to największą taką organizacją w Polsce, zrzeszającą ponad 950 firm. Do głównych zadań PNIPH należy obok wspierania niemieckich firm w Polsce oraz polskich w Niemczech także informowanie o rynku niemieckim. PNIPH jest jedną z 83 niemieckich Zagranicznych Izb Przemysłowo-Handlowych AHK, uznana przez Niemieckie Zrzeszenie Izb Przemysłowo-Handlowych (niem. Deutscher Industrie- und Handelskammertag, DIHK) oraz Krajową Izbę Gospodarczą.

Podczas spotkania Jakub i Marcin przeprowadzili prezentacje pt. "Utrata danych w firmach - fakty i mity". Uczestniczy dowiedzieli się m.in. o zagrożeniach w poszczególnych obszarach IT we współczesnych organizacjach. Szczególne zainteresowanie wzbudził jednak pokaz na żywo ataku Man In The Middle na szyfrowane połączenia na przykładzie kilku popularnych serwisów oferujących dostęp do poczty przez www (webmail).

Wystąpienie spotkało się z dużą aprobatą  uczestników oraz sporym zainteresowaniem ale także z nieukrywaną obawą dotyczącą przeprowadzonego pokazu.

Marcin Jerzak, Jakub Tomaszewski: Utrata danych w firmach - fakty i mity (PDF, 0,7 MB)

Wystąpienie na konferencji Secure 2008

Przedstawiciele Zespołu Bezpieczeństwa PCSS, Błażej Miga i Gerard Frankowski, wystąpili na warszawskiej konferencji SECURE 2008 (2-3 września 2008, hotel Hyatt Regency Warsaw). SECURE to najstarsza w Polsce cykliczna konferencja poświęcona bezpieczeństwu sieci i systemów ICT, ciesząca się opinią jednego z  najpoważniejszych wydarzeń tego typu w Europie. Tegoroczną, dwunastą już edycję zorganizowały wspólnie NASK,  CERT Polska i organizacją ENISA  (współorganizatorem była również Agencja Bezpieczeństwa Wewnętrznego). Konferencja została objęta patronatem honorowym przez Minister Nauki i  Szkolnictwa Wyższego, prof. Barbarę Kudrycką oraz Wiceprezesa Rady Ministrów , Ministra Spraw Wewnętrznych i Administracji, Grzegorza Schetynę.

Pod koniec drugiego dnia konferencji Błażej i Gerard zaprezentowali wyniki badań nad infrastrukturą klucza publicznego w kontekście opublikowanego 13 maja 2008 roku błędu w generatorze liczb pseudolosowych dla jednego z otwartych systemów operacyjnych. Podczas wystąpienia można było dowiedzieć się m.in., jak działa infrastruktura klucza publicznego, jak można było złamać niektóre klucze RSA, a także, czy wszystkim certyfikatom wydawanym przez zaufane centra certyfikacyjne (CA) można stuprocentowo ufać. Pomimo umieszczenia prezentacji na ostatnim miejscu w agendzie (piątek!), wystąpienie spotkało się z ciepłym przyjęciem organizatorów i uczestników, a także ze sporym zainteresowaniem. Dla chętnych udostępniamy nieco rozszerzoną wersję pokazanej prezentacji (zawierającą dodatkowe slajdy z przykładami).

Więcej o konferencji można przeczytać pod adresem http://www.secure.edu.pl

Błażej Miga, Gerard Frankowski: 13.05.2008 (PDF, 2,8 MB)

Wystąpienie na Konferencji Akademickiej Microsoftu

Przedstawiciel Zespołu Bezpieczeństwa PCSS, Marcin Jerzak wystąpił na dorocznej Konferencji Akademickiej Microsoftu, zorganizowanej w dniach 22-24 września przez Zespół Edukacyjny Microsoft w Rosnówku pod Poznaniem.

Głównymi tematami konferencji były najnowsze programy firmy Microsoft dotyczące współpracy z uczelniami, które mają być wprowadzone w nadchodzącym roku akademickim, a także najnowsze technologie autorstwa Microsoftu. W drugim dniu konferencji prezentacje przeprowadził Marcin Jerzak. Radził, w jaki sposób zabezpieczyć szeroko obecnie wykorzystywaną platformę serwerową Windows 2003 Server.

Zapraszamy do pobrania prezentacji w formacie PDF.

Marcin Jerzak Zabezpieczanie platformy Windows Server 2003 (PDF, 2,3 MB)

Wystąpienie na konferencji IDC Security Roadshow 2008

Przedstawiciele Zespołu Bezpieczeństwa PCSS zostali zaproszeni przez organizatorów konferencji IDC Security Roadshow 2008 - Chronić Biznes: Technologia i Ludzie w charakterze niezależnych ekspertów do wygłoszenia prezentacji związanej z outsourcingiem usług bezpieczeństwa.

Podczas zorganizowanej w warszawskim hotelu Mariott konferencji Gearard Frankowski i Jakub Tomaszewski opowiedzieli o kwestii zewnętrznych audytów bezpieczeństwa teleinformatycznego, przedstawiając problemy, na jakie napotkali podczas swej dotychczasowej pracy związanej z tą tematyką, a także zaproponowali sposoby ich rozwiązania. Prezentacja spotkała się ze sporym zainteresowaniem słuchaczy.

Zapraszamy do pobrania prezentacji w formacie PDF.

Gerard Frankowski, Jakub Tomaszewski Zewnętrzne audyty bezpieczeństwa (1,8 MB)

Raport - bezpieczeństwo zakupów elektronicznych

Zespół Bezpieczeństwa PCSS postanowił przyjrzeć się bliżej jednej z najbardziej popularnych usług internetowych - elektronicznym zakupom. Korzystanie z usług branży, której przychody na polskim rynku wyniosły w 2007 roku ok.  PLN, wiąże się z określonymi zagrożeniami.

Zbadaliśmy, w jakis sposób 50 losowo wybranych polskich sklepów internetowych implementuje obsługę sesji oraz mechanizmu cookies. Wynikiem naszych prac jest raport Bezpieczeństwo sklepów internetowych - sesje i ciasteczka. Zapraszamy do zapoznania się z jego treścią.

Raport w wersji PDF (154 KB)

Szkolenie dla pracowników PCSS

Zespół Bezpieczeństwa PCSS zorganizował szkolenie wewnętrzne dla pracowników Poznańskiego Centrum Superkomputerowo-Sieciowego. Wykłady koncentrowały się wokół wszystkiego tego, o czym powinien wiedzieć użytkownik infrastruktury IT w nowoczesnej firmie.

Gościem specjalnym szkolenia był komisarz Krzysztof Makowski z Wydziału Techniki Operacyjnej Komendy Wojewódzkiej Policji w Poznaniu, który wraz ze swymi - również obecnymi - współpracownikami przygotował prezentację poświęconą przestępczości komputerowej. Grad dociekliwych pytań od uczestników spowodował, że wykład trwał niemal półtorej godziny, za to wszyscy mogli zyskać niezwykle cenną wiedzę dotyczącą legalności poszczególnych działań użytkowników w Internecie. Serdecznie dziękujemy naszym Gościom za możliwość wysłuchania tej interesującej prezentacji.

Kolejne wykłady poprowadzili członkowie Zespołu: Marcin Jerzak opowiedział o wirusach, botach i robakach, a także sposobach obrony przed tym złośliwym oprogramowaniem. Na koniec Tomasz Nowak przedstawił kwestię inwentaryzacji zasobów informatycznych i sytuacje, w których jest ona przydatna. Niewielkie problemy sprzętowe nie pozwoliły zaprezentować wszystkiego, co przygotowaliśmy, ale - sądząc z wyników zebranych ankiet - uczestnicy byli ze szkolenia bardzo zadowoleni.

Zapraszamy do pobrania prezentacji pokazanych na szkoleniu. W miarę upływu czasu na tej stronie pojawi się również prezentacja dotycząca przestępczości komputerowej, a także dodatkowe materiały związane z problemem inwentaryzacji zasobów.

• Krzysztof Makowski, Natalia Barczak, Wiesław Rafał Kicki: Przestępczość komputerowa (0,2 MB)
• Marcin Jerzak: Wirusy, robaki, boty - sposoby obrony (0,3 MB)
• Tomasz Nowak: Inwentaryzacja zasobów informatycznych (2,0 MB)

Prezentacja na konferencji IT Underground 2007

Błażej Miga i Gerard Frankowski uczestniczyli w międzynarodowej konferencji poświęconej bezpieczeństwu systemów komputerowych - IT Underground 2007. Trzydniowa impreza zgromadziła w Warszawie wielu specjalistów zajmujących się zabezpieczeniami. W ostatnim dniu konferencji członkowie Zespołu Bezpieczeństwa PCSS mieli przyjemność wygłoszenia prezentacji dotyczącej bezpieczeństwa serwera webowego produkcji firmy Microsoft - Internet Information Services w wersji 7.0. Prezentacja wywołała spore zaciekawienie uczestników, czego dowodem była spora liczba pytań.

Zapraszamy do zapoznania się z przedstawionym w Warszawie materiałem.

Prezentacja (PDF, 1,8 MB).

Konferencja SecureCON 2007 (Wrocław)

W dniach 20-21 października w Sali Kongresowej Politechniki Wrocławskiej odbyła się konferencja SecureCON 2007, poświęcona bezpieczeństwu komputerowemu. Ponad 200 uczestników, którym przyświecało hasło "In Secure World We Trust", wysłuchało między innymi prezentacji przedstawiciele Zespołu Bezpieczeństwa PCSS. Błażej Miga i Gerard Frankowski zainaugurowali pierwszy dzień konferencji, opowiadając o prowadzonych w ramach projektu Centrum Innowacji Microsoft pracach dotyczących bezpieczeństwa serwera Microsoft IIS 7.0.

Zachęcamy do pobrania przygotowanej na wrocławską konferencję prezentacji.

Apache httpd vulnerabilities

Zespół bezpieczeństwa PCSS ma przyjemność zakomunikować, iż w wyniku analizy kodu źródłowego serwera Apache httpd (ver 1.3.x. 2.x) zostało odnalezionych kilka podatności umożliwiających przeprowadzenie ataku typu DoS na usługi i system na którym uruchomiona jest aplikacja. Oto podstawowe informacje o znalezionych błędach:

Vuln #1
Httpd Server DoS
Środowisko testowe: ver 2.0.59, 2.2.4, prefork mpm module

Vuln #2
SIGUSR1 killer
Środowisko testowe: ver 2.0.59, 2.2.4, prefork mpm module

Vuln #3
SIGUSR1 killer
Środowisko testowe: ver 1.3.37

Vuln #4
System DoS
Środowisko testowe: ver 2.0.59, 2.2.4, prefork mpm module

Informacja o wyżej wymienionych błędach została przekazana fundacji Apache Software Fundation 16 maja 2006 roku. Przez przeszło rok nie został wydany oficjalny patch na odnalezione błędy. Zespół Bezpieczeństwa PCSS jest w trakcie opracowywania własnych, nieoficjalnych patchy. Nasze patche zostaną opublikowane 18.06.2007 na stronie zespołu (http://security.psnc.pl/). W dniu 20.06.2007 zostaną opublikowane szczegółowe informacje na temat odnalezionych błędów.

Bardziej szczegółowe informacje znajdują się w przedstawionym raporcie.

Internet Banking Security 2006

W dniach 28-30 sierpnia 2006 roku w Mikołajkach odbyła się konferencja Internet Banking Security 2006. Podczas konferencji Zespół Bezpieczeństwa PCSS reprezentowany przez Jarosława Sajko i Michała Melewskiego przedstawił raport dotyczący bezpieczeństwa bankowości elektronicznej wzbogacony o pewne dodatkowe informacje związane z tym tematem.

Wystąpienie ocenione zostało pozytywnie i wywołało długą i gorącą dyskusję. W jej toku rozważano sposób informowania banków o tego typu zagrożeniach, wpływ luk na ogólny poziom bezpieczeństwa bankowości elektronicznej oraz zalecenia zmierzające do wyeliminowanie podobnych uchybień w przyszłości.

CONFidence 2006 - Kraków

Już drugi raz z rzędu członkowie Zespołu Bezpieczeństwa PCSS mieli przyjemność uczestniczyć w konferencji bezpieczeństa systemów i ochrony fizycznej CONFidence 2006. Do stolicy Małopolski udali się Błażej Miga (prezentacja dotycząca serwera webowego Apache) oraz Jarosław Sajko (zagadnienia tworzenia rozszerzeń do iptables). Prelegenci byli wspierani przez Michała Melewskiego, który miał zadawać z sali dociekliwe pytania. Treść prezentacji okazała się naturalną podstawą do prowadzenia rzeczowych konwersacji podczas integracyjnej części konferencji :)

Prezentacje w formacie PDF do pobrania poniżej.
Błażej Miga - Hacking Apache Web Server
Jarosław Sajko - IPTables Hacking

Wbrew groźnie brzmiącym tytułom materiały przygotowano w języku polskim ;)

Osoby chcące dowiedzieć się jeszcze więcej o oprogramowaniu iptables zapraszamy na czerwcowe szkolenie działu KDM w Poznańskim Centrum Superkomputerowo - Sieciowym poświęcone temu tematowi. Dokładna data szkolenia będzie ustalona w najbliższych dniach - dalsze informacje znajdują się pod tym adresem.

"Bezpieczna" E-Bankowość

Bankowość elektroniczna jest zjawiskiem niemalże tak powszechnym, jak bankomaty. Na stronach internetowych większości banków bez trudu można odnaleźć panel logowania, poprzez który możemy dostać się do informacji o naszym koncie, założyć lokatę, złożyć wniosek kredytowy. Oczywiście są to dane poufne. Banki zapewniają więc, że dbają o ich bezpieczeństwo, ale czy wypada wierzyć bankom na słowo?

Zespół Bezpieczeństwa Poznańskiego Centrum Superkomputerowo - Sieciowego dokonał analizy publicznie dostępnych informacji na temat konfiguracji bezpiecznych połączeń do systemów bankowych. Jest to materiał przekrojowy obejmujący 41 portali e-bankowych w Polsce. Dotyczy co prawda wąskiego zakresu analizy bezpieczeństwa tego typu systemów, ale wystarcza to do skonstruowania ciekawych wniosków. Zapraszamy do lektury raportu.

Raport - wersja 1.09