Confidence - (23-24.05 2012 Krakow)
Język: polski | english

Mario Heiderich

Bio: Mario Heiderich pracuje jako naukowiec na Uniwersytecie Ruhr w Bochum w Niemczech, skupia się na HTML5, bezpieczeństwie SVG i uważa, że XSS można wyeliminować za pomocą JavaScriptu. Być może. Kiedyś. Mario powołał do życia akrusz cheat-sheet w HTML5 i zarządza regułami filtrowania w PHPIDS. W wolnym czasie prowadzi szkolenia i udziela konsultacji z zakresu zabezpieczeń dla największych niemieckich i międzynarodowych firm- dla pieniędzy
i prostej satysfakcji z rozwalania systemów na kawałki. Mario przemawiał na wielu różnych międzynarodowych konferencjach, jest współautorem dwóch książek, kilku prac naukowych i nie widzi problemu w tym, że jego kilkutygodniowy syn posiada już własnego netbooka. Proszę bardzo! Cały Mario.

Temat I prezentacji: Mamy Cię! Jak wykraść cenne dane bez pomocy skryptów.

Język prezentacji: Angielski

Skrót:
Techniki XSS i dziwaczny JavaScript otrzymały ostatnio wiele uwagi – pojawia się coraz więcej praktycznych i namacalnych sposobów na wykorzystanie tego zagrożenia. Świadomi zagrożeń ludzie wyłączają obsługę JavaScriptu, programiści mogą wykorzystać sand-boxy IFrames i CSP w celu ochrony swoich aplikacji, NoScript, filtr XSS i HTML Purifer wykonują świetną pracę w ochronie ludzi przed byciem ofiarą ataku XSS. Ale co z atakami w przeglądarce, które w ogóle nie wymagają żadnych skryptów, a nadal mogą wykraść Twoje cenne dane zanim się o tym dowiesz? Co z atakami, tak podstępnymi i wyrafinowanymi albo i tak prostymi, że nawet Twoje najlepsze rozwiązanie anty XSS nie pomoże, ponieważ nie używają żadnych skryptów, ale sztuczek z kosmosu? Ten wykład będzie przedstawiać i omawiać te rodzaje ataków, pokazywać, jak napastnicy kradną hasła w czystym tekście, odczytują tokeny CSRF i inne poufne dane oraz tworzą samoszpiegujące maile, a nawet gorzej. Czy wyłączanie JavaScript i jego wyeliminowanie jest dobrym poziomem ochrony? Już nie!

Temat II prezentacji: Wasze chmury należą do nas – analiza bezpieczeństwa interfejsów zarządzania chmurą

Prelegenci: Mario Heiderich, Juraj Somorovsky

Język prezentacji: Angielski

Skrót:
Zasoby Cloud Computing są obsługiwane za pomocą interfejsów sterujących. Właśnie poprzez te interfejsy mogą być dodawane nowe obrazy maszyn, istniejące mogą być modyfikowane, a instancje mogą być uruchamiane lub wstrzymywane. Zakończone sukcesem ataki na interfejs sterujący chmury przyznaje napastnikowi pełną władzę nad kontem ofiary, włączając w to dostęp do wszystkich zapisanych danych. Podczas tej prezentacji pokażemy analizę bezpieczeństwa interfejsów sterujących w wielkiej publicznej chmurze (Amazon) oraz w powszechnie stosowanych systemach do tworzenia prywatnych chmur (Eucalyptus). Wyniki naszych badań są alarmujące: w odniesieniu do usług Amazon EC2 i S3, interfejsy sterujące mogą być zagrożone przez ataki signature wrapping oraz zaawansowane techniki XSS. Podobnie interfejsy sterujące Eucalyptus były narażone na ataki signature wrapping i prawie nie miały zabezpieczeń przed XSS.