PSNC Security Team

Warsztaty bezpiecznego programowania - EGEE'09

21.09.2009. Przedstawiciel Zespołu Bezpieczeństwa PCSS, Gerard Frankowski, w ramach prac projektowych EGEE3 (Enabling Grids for e-Science) przeprowadził warsztaty bezpiecznego programowania na międzynarodowej konferencji EGEE'09, która odbyła się w Barcelonie w dn. 21-25 września. W trakcie dwugodzinnej sesji uczestnicy mieli możliwość zapoznania się z podsumowaniem ponad trzyletnich prac w tym obszarze. Poznali (na prawdziwych przykładach) najczęściej występujące w tworzonym oprogramowaniu wzorce błędów bezpieczeństwa oraz sposoby uchronienia się przed popełnianiem podobnych pomyłek.

Sesja przeznaczona była głównie dla programistów, a także - częściowo - dla administratorów serwerów WWW.

Slajdy w formacie PDF można pobrać poniżej:

• Gerard Frankowski Komplet prezentacji EGEE3 (ZIP, 3,1 MB)

Omijanie firewalli w systemach Windows

18 czerwca 2009 r. członkowie Zespołu Bezpieczeństwa PCSS mieli przyjemność zorganizować pierwsze w historii szkoleń MIC warsztaty bezpieczeństwa w trybie BYOL (ang. Bring Your Own Laptop). Mateusz Drygas, Marcin Jerzak i Jakub Tomaszewski przygotowali scenariusz ataku na rzeczywisty system. Scenariusz ten był następnie krok po kroku realizowany w praktyce przez uczestników. Prowadzący powoli ujawniali kolejne informacje dotyczące "systemu - celu ataku" zostawiając po każdej podpowiedzi czas dla uczestników na własne próby przełamywania zabezpieczeń. Takie postępowanie miało, w zamyśle twórców, zmusić gości do aktywnego uczestnictwa w warsztatach oraz uświadomić fakt niezaprzeczalnej przydatności umiejętności samodzielnego, twórczego myślenia w procesie wykrywania błędów bezpieczeństwa. Każdy z uczestników został wyposażony we własny, zdalny "system - cel ataku", trzymany na serwerze, jako osobną maszynę wirtualną oraz "system - agresora" - dostarczany na specjalnie przygotowanych pendrive'ach, rozdawanych przy wejściu na warsztaty. Dzięki temu uczestnicy nie przeszkadzali sobie nawzajem w pracy. Była to druga część serii szkoleń poświęconych tematyce omijania firewalli w systemach Windows (pierwszy etap odbył się pół roku wcześniej, 18 grudnia 2008 r. jako wstęp i swego rodzaju teoretyczne wprowadzenie do warsztatów).

Prezentacja do pobrania poniżej:

• M. Drygas, M. Jerzak, J. Tomaszewski Omijanie firewalli w systemach Windows(1,7 MB)

Reklama w internecie - warsztaty dla mikroprzedsiębiorców

W dniu 5 czerwca 2009 r. na Politechnice Poznańskiej odbyło się kolejne spotkanie w ramach programu Startup-IT. Tym razem pod hasłem "Reklama internetowa - jak wypromować własny portal". Zachęcamy wszystkich do zapoznania się z prezentacją przygotowaną na tą okazję przez Zespół Bezpieczeństwa. Jakub Tomaszewski postawił się w roli przeciwnika umieszczania reklam w Internecie i opowiedział o sprawdzonych sposobach na blokowanie niechcianych treści.

• Jakub Tomaszewski: Sposoby blokowania reklam (4,5 MB)

Prezentacja ze szkolenia Działu KDM PCSS

W dniu 29 kwietnia 2009 r. Zespół Bezpieczeństwa PCSS zrealizował swój pierwszy w tym roku wykład w ramach cyklu szkoleń Działu KDM PCSS. Tomek Nowocień przygotował prezentacje wprowadzającą do tematyki bezpieczeństwa aplikacji webowych.

Zapraszamy chętnych do pobrania slajdów w formacie PDF.

• Tomasz Nowocień: Bezpieczeństwo aplikacji webowych (4,0 MB)

Prezentacje dla społeczności programistycznych i mikroprzedsiębiorców

Zapraszamy do zapoznania się z kilkoma prezentacjami przygotowanymi pod koniec lutego przez Zespół Bezpieczeństwa PCSS. Tym razem mieliśmy okazję gościć na spotkaniu Poznańskiej Grupy .NET (Gerard Frankowski, 26.02) oraz na warsztatach "Tworzenie serwisów internetowych - część I z II" w ramach programu Startup-IT dla osób chcących założyć własne mikroprzedsiębiorstwo IT (Jakub Tomaszewski i Gerard Frankowski, 27.02).

• Spotkanie Poznańskiej Grupy .NET
• Gerard Frankowski: Bezpieczeństwo usług w ASP.NET (3,5 MB)


• Warsztaty Startup-IT "Tworzenie serwisów internetowych"
• Gerard Frankowski: Zabezpieczanie aplikacji webowych w ASP.NET (2,8 MB)
• Jakub Tomaszewski: Zabezpieczenia serwerów internetowych (1,4 MB)

Bezpieczeństwo dla szkół i mikroprzedsiębiorstw

Po wystąpieniu na konferencji SECURE 2008, członkowie Zespołu Bezpieczeństwa PCSS mieli okazję po raz kolejny promować bezpieczeństwo IT w różnych środowiskach. Prezentacje prowadzone były w ramach programu StartUp-IT podczas VII Seminarium oraz w ramach konferencji "Bezpieczny Internet".

• Warsztat Startup-IT (24.10)
• Tomasz Nowocień: Zagrożenia w sieciach i sposoby zabezpieczeń (1,7 MB)
• Marcin Jerzak: Zabezpieczanie platformy Windows Server 2003 (2,0 MB)
• Gerard Frankowski: Udostępnianie bezpiecznych usług w sieci Internet (2,1 MB)


• I Wielkopolska Konferencja "Bezpieczny Internet" (29.10)
• Tomasz Nowocień: Zagrożenia w sieci (1,9 MB)
• Gerard Frankowski: Bezpieczeństwo danych i usług w Internecie - e-sklepy (2,8 MB)

Pokaz na spotkaniu regionalnym PNIPH w Poznaniu

Przedstawiciele Zespołu Bezpieczeństwa PCSS, Marcin Jerzak i Jakub Tomaszewski, wystąpili podczas zebrania Polsko-Niemieckiej Izby Przemysłowo-Handlowej na spotkaniu które odbyło się 15 października w hotelu Sheraton w Poznaniu. Polsko-Niemieckia Izba Przemysłowo-Handlowa (PNIPH) jest to największą taką organizacją w Polsce, zrzeszającą ponad 950 firm. Do głównych zadań PNIPH należy obok wspierania niemieckich firm w Polsce oraz polskich w Niemczech także informowanie o rynku niemieckim. PNIPH jest jedną z 83 niemieckich Zagranicznych Izb Przemysłowo-Handlowych AHK, uznana przez Niemieckie Zrzeszenie Izb Przemysłowo-Handlowych (niem. Deutscher Industrie- und Handelskammertag, DIHK) oraz Krajową Izbę Gospodarczą.

Podczas spotkania Jakub i Marcin przeprowadzili prezentacje pt. "Utrata danych w firmach - fakty i mity". Uczestniczy dowiedzieli się m.in. o zagrożeniach w poszczególnych obszarach IT we współczesnych organizacjach. Szczególne zainteresowanie wzbudził jednak pokaz na żywo ataku Man In The Middle na szyfrowane połączenia na przykładzie kilku popularnych serwisów oferujących dostęp do poczty przez www (webmail).

Wystąpienie spotkało się z dużą aprobatą  uczestników oraz sporym zainteresowaniem ale także z nieukrywaną obawą dotyczącą przeprowadzonego pokazu.

Marcin Jerzak, Jakub Tomaszewski: Utrata danych w firmach - fakty i mity (PDF, 0,7 MB)

Wystąpienie na konferencji Secure 2008

Przedstawiciele Zespołu Bezpieczeństwa PCSS, Błażej Miga i Gerard Frankowski, wystąpili na warszawskiej konferencji SECURE 2008 (2-3 września 2008, hotel Hyatt Regency Warsaw). SECURE to najstarsza w Polsce cykliczna konferencja poświęcona bezpieczeństwu sieci i systemów ICT, ciesząca się opinią jednego z  najpoważniejszych wydarzeń tego typu w Europie. Tegoroczną, dwunastą już edycję zorganizowały wspólnie NASK,  CERT Polska i organizacją ENISA  (współorganizatorem była również Agencja Bezpieczeństwa Wewnętrznego). Konferencja została objęta patronatem honorowym przez Minister Nauki i  Szkolnictwa Wyższego, prof. Barbarę Kudrycką oraz Wiceprezesa Rady Ministrów , Ministra Spraw Wewnętrznych i Administracji, Grzegorza Schetynę.

Pod koniec drugiego dnia konferencji Błażej i Gerard zaprezentowali wyniki badań nad infrastrukturą klucza publicznego w kontekście opublikowanego 13 maja 2008 roku błędu w generatorze liczb pseudolosowych dla jednego z otwartych systemów operacyjnych. Podczas wystąpienia można było dowiedzieć się m.in., jak działa infrastruktura klucza publicznego, jak można było złamać niektóre klucze RSA, a także, czy wszystkim certyfikatom wydawanym przez zaufane centra certyfikacyjne (CA) można stuprocentowo ufać. Pomimo umieszczenia prezentacji na ostatnim miejscu w agendzie (piątek!), wystąpienie spotkało się z ciepłym przyjęciem organizatorów i uczestników, a także ze sporym zainteresowaniem. Dla chętnych udostępniamy nieco rozszerzoną wersję pokazanej prezentacji (zawierającą dodatkowe slajdy z przykładami).

Więcej o konferencji można przeczytać pod adresem http://www.secure.edu.pl

Błażej Miga, Gerard Frankowski: 13.05.2008 (PDF, 2,8 MB)

Wystąpienie na Konferencji Akademickiej Microsoftu

Przedstawiciel Zespołu Bezpieczeństwa PCSS, Marcin Jerzak wystąpił na dorocznej Konferencji Akademickiej Microsoftu, zorganizowanej w dniach 22-24 września przez Zespół Edukacyjny Microsoft w Rosnówku pod Poznaniem.

Głównymi tematami konferencji były najnowsze programy firmy Microsoft dotyczące współpracy z uczelniami, które mają być wprowadzone w nadchodzącym roku akademickim, a także najnowsze technologie autorstwa Microsoftu. W drugim dniu konferencji prezentacje przeprowadził Marcin Jerzak. Radził, w jaki sposób zabezpieczyć szeroko obecnie wykorzystywaną platformę serwerową Windows 2003 Server.

Zapraszamy do pobrania prezentacji w formacie PDF.

Marcin Jerzak Zabezpieczanie platformy Windows Server 2003 (PDF, 2,3 MB)

Wystąpienie na konferencji IDC Security Roadshow 2008

Przedstawiciele Zespołu Bezpieczeństwa PCSS zostali zaproszeni przez organizatorów konferencji IDC Security Roadshow 2008 - Chronić Biznes: Technologia i Ludzie w charakterze niezależnych ekspertów do wygłoszenia prezentacji związanej z outsourcingiem usług bezpieczeństwa.

Podczas zorganizowanej w warszawskim hotelu Mariott konferencji Gearard Frankowski i Jakub Tomaszewski opowiedzieli o kwestii zewnętrznych audytów bezpieczeństwa teleinformatycznego, przedstawiając problemy, na jakie napotkali podczas swej dotychczasowej pracy związanej z tą tematyką, a także zaproponowali sposoby ich rozwiązania. Prezentacja spotkała się ze sporym zainteresowaniem słuchaczy.

Zapraszamy do pobrania prezentacji w formacie PDF.

Gerard Frankowski, Jakub Tomaszewski Zewnętrzne audyty bezpieczeństwa (1,8 MB)

Raport - bezpieczeństwo zakupów elektronicznych

Zespół Bezpieczeństwa PCSS postanowił przyjrzeć się bliżej jednej z najbardziej popularnych usług internetowych - elektronicznym zakupom. Korzystanie z usług branży, której przychody na polskim rynku wyniosły w 2007 roku ok.  PLN, wiąże się z określonymi zagrożeniami.

Zbadaliśmy, w jakis sposób 50 losowo wybranych polskich sklepów internetowych implementuje obsługę sesji oraz mechanizmu cookies. Wynikiem naszych prac jest raport Bezpieczeństwo sklepów internetowych - sesje i ciasteczka. Zapraszamy do zapoznania się z jego treścią.

Raport w wersji PDF (154 KB)

Szkolenie dla pracowników PCSS

Zespół Bezpieczeństwa PCSS zorganizował szkolenie wewnętrzne dla pracowników Poznańskiego Centrum Superkomputerowo-Sieciowego. Wykłady koncentrowały się wokół wszystkiego tego, o czym powinien wiedzieć użytkownik infrastruktury IT w nowoczesnej firmie.

Gościem specjalnym szkolenia był komisarz Krzysztof Makowski z Wydziału Techniki Operacyjnej Komendy Wojewódzkiej Policji w Poznaniu, który wraz ze swymi - również obecnymi - współpracownikami przygotował prezentację poświęconą przestępczości komputerowej. Grad dociekliwych pytań od uczestników spowodował, że wykład trwał niemal półtorej godziny, za to wszyscy mogli zyskać niezwykle cenną wiedzę dotyczącą legalności poszczególnych działań użytkowników w Internecie. Serdecznie dziękujemy naszym Gościom za możliwość wysłuchania tej interesującej prezentacji.

Kolejne wykłady poprowadzili członkowie Zespołu: Marcin Jerzak opowiedział o wirusach, botach i robakach, a także sposobach obrony przed tym złośliwym oprogramowaniem. Na koniec Tomasz Nowak przedstawił kwestię inwentaryzacji zasobów informatycznych i sytuacje, w których jest ona przydatna. Niewielkie problemy sprzętowe nie pozwoliły zaprezentować wszystkiego, co przygotowaliśmy, ale - sądząc z wyników zebranych ankiet - uczestnicy byli ze szkolenia bardzo zadowoleni.

Zapraszamy do pobrania prezentacji pokazanych na szkoleniu. W miarę upływu czasu na tej stronie pojawi się również prezentacja dotycząca przestępczości komputerowej, a także dodatkowe materiały związane z problemem inwentaryzacji zasobów.

• Krzysztof Makowski, Natalia Barczak, Wiesław Rafał Kicki: Przestępczość komputerowa (0,2 MB)
• Marcin Jerzak: Wirusy, robaki, boty - sposoby obrony (0,3 MB)
• Tomasz Nowak: Inwentaryzacja zasobów informatycznych (2,0 MB)

Prezentacja na konferencji IT Underground 2007

Błażej Miga i Gerard Frankowski uczestniczyli w międzynarodowej konferencji poświęconej bezpieczeństwu systemów komputerowych - IT Underground 2007. Trzydniowa impreza zgromadziła w Warszawie wielu specjalistów zajmujących się zabezpieczeniami. W ostatnim dniu konferencji członkowie Zespołu Bezpieczeństwa PCSS mieli przyjemność wygłoszenia prezentacji dotyczącej bezpieczeństwa serwera webowego produkcji firmy Microsoft - Internet Information Services w wersji 7.0. Prezentacja wywołała spore zaciekawienie uczestników, czego dowodem była spora liczba pytań.

Zapraszamy do zapoznania się z przedstawionym w Warszawie materiałem.

Prezentacja (PDF, 1,8 MB).

Konferencja SecureCON 2007 (Wrocław)

W dniach 20-21 października w Sali Kongresowej Politechniki Wrocławskiej odbyła się konferencja SecureCON 2007, poświęcona bezpieczeństwu komputerowemu. Ponad 200 uczestników, którym przyświecało hasło "In Secure World We Trust", wysłuchało między innymi prezentacji przedstawiciele Zespołu Bezpieczeństwa PCSS. Błażej Miga i Gerard Frankowski zainaugurowali pierwszy dzień konferencji, opowiadając o prowadzonych w ramach projektu Centrum Innowacji Microsoft pracach dotyczących bezpieczeństwa serwera Microsoft IIS 7.0.

Zachęcamy do pobrania przygotowanej na wrocławską konferencję prezentacji.

Apache httpd vulnerabilities

Zespół bezpieczeństwa PCSS ma przyjemność zakomunikować, iż w wyniku analizy kodu źródłowego serwera Apache httpd (ver 1.3.x. 2.x) zostało odnalezionych kilka podatności umożliwiających przeprowadzenie ataku typu DoS na usługi i system na którym uruchomiona jest aplikacja. Oto podstawowe informacje o znalezionych błędach:

Vuln #1
Httpd Server DoS
Środowisko testowe: ver 2.0.59, 2.2.4, prefork mpm module

Vuln #2
SIGUSR1 killer
Środowisko testowe: ver 2.0.59, 2.2.4, prefork mpm module

Vuln #3
SIGUSR1 killer
Środowisko testowe: ver 1.3.37

Vuln #4
System DoS
Środowisko testowe: ver 2.0.59, 2.2.4, prefork mpm module

Informacja o wyżej wymienionych błędach została przekazana fundacji Apache Software Fundation 16 maja 2006 roku. Przez przeszło rok nie został wydany oficjalny patch na odnalezione błędy. Zespół Bezpieczeństwa PCSS jest w trakcie opracowywania własnych, nieoficjalnych patchy. Nasze patche zostaną opublikowane 18.06.2007 na stronie zespołu (http://security.psnc.pl/). W dniu 20.06.2007 zostaną opublikowane szczegółowe informacje na temat odnalezionych błędów.

Bardziej szczegółowe informacje znajdują się w przedstawionym raporcie.

Internet Banking Security 2006

W dniach 28-30 sierpnia 2006 roku w Mikołajkach odbyła się konferencja Internet Banking Security 2006. Podczas konferencji Zespół Bezpieczeństwa PCSS reprezentowany przez Jarosława Sajko i Michała Melewskiego przedstawił raport dotyczący bezpieczeństwa bankowości elektronicznej wzbogacony o pewne dodatkowe informacje związane z tym tematem.

Wystąpienie ocenione zostało pozytywnie i wywołało długą i gorącą dyskusję. W jej toku rozważano sposób informowania banków o tego typu zagrożeniach, wpływ luk na ogólny poziom bezpieczeństwa bankowości elektronicznej oraz zalecenia zmierzające do wyeliminowanie podobnych uchybień w przyszłości.

CONFidence 2006 - Kraków

Już drugi raz z rzędu członkowie Zespołu Bezpieczeństwa PCSS mieli przyjemność uczestniczyć w konferencji bezpieczeństa systemów i ochrony fizycznej CONFidence 2006. Do stolicy Małopolski udali się Błażej Miga (prezentacja dotycząca serwera webowego Apache) oraz Jarosław Sajko (zagadnienia tworzenia rozszerzeń do iptables). Prelegenci byli wspierani przez Michała Melewskiego, który miał zadawać z sali dociekliwe pytania. Treść prezentacji okazała się naturalną podstawą do prowadzenia rzeczowych konwersacji podczas integracyjnej części konferencji :)

Prezentacje w formacie PDF do pobrania poniżej.
Błażej Miga - Hacking Apache Web Server
Jarosław Sajko - IPTables Hacking

Wbrew groźnie brzmiącym tytułom materiały przygotowano w języku polskim ;)

Osoby chcące dowiedzieć się jeszcze więcej o oprogramowaniu iptables zapraszamy na czerwcowe szkolenie działu KDM w Poznańskim Centrum Superkomputerowo - Sieciowym poświęcone temu tematowi. Dokładna data szkolenia będzie ustalona w najbliższych dniach - dalsze informacje znajdują się pod tym adresem.

"Bezpieczna" E-Bankowość

Bankowość elektroniczna jest zjawiskiem niemalże tak powszechnym, jak bankomaty. Na stronach internetowych większości banków bez trudu można odnaleźć panel logowania, poprzez który możemy dostać się do informacji o naszym koncie, założyć lokatę, złożyć wniosek kredytowy. Oczywiście są to dane poufne. Banki zapewniają więc, że dbają o ich bezpieczeństwo, ale czy wypada wierzyć bankom na słowo?

Zespół Bezpieczeństwa Poznańskiego Centrum Superkomputerowo - Sieciowego dokonał analizy publicznie dostępnych informacji na temat konfiguracji bezpiecznych połączeń do systemów bankowych. Jest to materiał przekrojowy obejmujący 41 portali e-bankowych w Polsce. Dotyczy co prawda wąskiego zakresu analizy bezpieczeństwa tego typu systemów, ale wystarcza to do skonstruowania ciekawych wniosków. Zapraszamy do lektury raportu.

Raport - wersja 1.09