Już dziś, 17 listopada 2022 roku odbywa się czwarta edycja konferencji Early Bird SECURE, podczas której swoją wiedzą i doświadczeniem dzielą się między innymi najlepsi specjaliści z Państwowego Instytutu Badawczego NASK – w tym z działającego w strukturach NASK zespołu CERT Polska. Wydarzenie realizowane jest w formie online, z bezpłatnym dostępem dla wszystkich zainteresowanych. Co istotne, najważniejsze wystąpienia będą również niebawem opublikowane w formie oddzielnych filmów-webinarów.
Eksperci występujący podczas SECURE Early Bird 2022:
- Iwona Prószyńska, CERT Polska – rozpoczęcie konferencji
- Mateusz Szymaniec, CERT Polska – (Nie)bezpieczeństwo webowych klientów e-mail – jak mogłem uzyskać dostęp do kont milionów Polaków
- Krzysztof Zając, CERT Polska – Jak znaleźć ponad 170 podatności we wtyczkach WordPressa zainstalowanych na 15 milionach stron
- Jarosław Jedynak – Jak odszyfrować ransomware albo umrzeć próbując
- Jan Lewit, NASK – APAKT – co to za zwierz i dlaczego pomoże w walce z nielegalnymi treściami w internecie
- Izabela Jarka, NASK – Cyberbezpieczeństwo a (dez)informacja – czy biznes jest bezpieczny?
- Sebastian Kondraszuk, CERT Polska – podsumowanie konferencji
Poważne luki bezpieczeństwa w polskich systemach poczty elektronicznej
Wyświetlanie niezaufanego kodu HTML w zaufanym środowisku nie jest proste, a umożliwienie wykonania kodu JavaScript z przychodzącej wiadomości w kontekście webmaila to poważne zagrożenie bezpieczeństwa. Najczęściej pozwala ono atakującemu na pełen dostęp do skrzynki pocztowej, czyli kradzież treści wiadomości, ich wysyłanie, a także dodanie filtra wysyłającego kopię nowych wiadomości na adres atakującego. Wiadomości zawierające HTML przed wyświetleniem w programie pocztowym powinny być zatem odpowiednio filtrowane – poddawane sanityzacji.
Mateusz Szymaniec z CERT Polska postanowił zatem sprawdzić, jak z atakami typu email-XSS radzą sobie polscy dostawcy poczty. W trakcie swojego ponad półtorarocznego badania przedstawi analizę mechanizmów filtrowania wiadomości HTML w pięciu popularnych webmailach mających w sumie ponad 50% udziału na polskim rynku (z czego pozostałe 40% to Gmail).
W każdym z nich udało mu się znaleźć podatności bezpieczeństwa pozwalające na uzyskanie dostępu do skrzynki pocztowej.
Podczas wystąpienia zaprezentuje ponad 20 znalezionych podatności o różnym poziomie skomplikowania. Opowie też o mechanizmach i sposobach filtrowania kodu HTML oraz o nowoczesnych metodach mitygacji (zmniejszenia prawdopodobieństwa wystąpienia) tego typu zagrożeń. Wspólnie ze słuchaczami prześledzi także, czasem dość bolesny, proces zgłaszania i łatania podatności.
Podatności we wtyczkach do WordPressa
Krzysztof Zając z CERT Polska przedstawi natomiast wyniki swoich badań dotyczących podatnościach we wtyczkach przeznaczonych do WordPressa – najpopularniejszego otwartoźródłowego systemu zarządzania treścią na stronach internetowych. Dzięki ponad 60 tysiącom wtyczek można go rozbudowywać o dodatkowe funkcje, takie jak sklep online, statystyki odwiedzin czy formularz kontaktowy.
Specjalista z zespołu CERT Polska zaprezentuje, w jaki sposób znalazł ponad 170 podatności we wtyczkach WordPressa, w tym poważne, umożliwiające np. uzyskanie uprawnień administratora jednym żądaniem HTTP. Pokaże też podatności, które uznał za szczególnie ciekawe lub zabawne, a także opowie, w jaki sposób WordPress może ułatwiać pisanie bezpiecznego kodu.
Sztuczna inteligencja pomaga w walce z seksualnym wykorzystywaniem dzieci
Podczas swojego wystąpienia Jan Lewit omówi stan zaawansowania projektu APAKT, którego celem jest wypracowanie algorytmów rozpoznających i klasyfikujących materiały przedstawiające seksualne wykorzystywanie dzieci z wykorzystaniem metod sztucznej inteligencji. Jest to projekt realizowany przez NASK, Politechnikę Warszawską oraz firmę Enamor International, z finansowaniem zapewnionym przez Narodowe Centrum Badań i Rozwoju w ramach programu badawczo-rozwojowego CyberSecIdent, ukierunkowanego na podniesienie bezpieczeństwa cyberprzestrzeni RP.
Specjalista z Państwowego Instytutu Badawczego NASK pokaże, jak – dzięki wykorzystaniu AI – możliwe staje się m.in. automatyczne pobieranie treści do systemu, wykrycie i odrzucenie duplikatów, a także analiza pozostałych treści za pomocą AI i wynikająca z tego priorytetyzacja zgłoszeń według prawdopodobieństwa wystąpienia treści mających charakter seksualnego wykorzystania dziecka. Dzięki temu walka z tego typu treściami stanie się jeszcze skuteczniejsza, przy równoczesnym ograniczeniu ekspozycji ekspertów z zespołu Dyżurnet.pl na szkodliwe treści.
Zapraszamy na SECURE 2023!
Warto przypomnieć, że Early Bird SECURE to specjalistyczna, jednodniowa konferencja online, stanowiąca niejako zapowiedź głównego wydarzenia o tej samej nazwie.
SECURE 2023 odbędzie się już w formie stacjonarnej, obejmie wiele ścieżek tematycznych i zgromadzi najważniejszych ekspertów cyberbezpieczeństwa z całego świata. 26. edycja tego wydarzenia będzie miała miejsce już wiosną – 18-20 kwietnia 2023 roku.