Warsztaty

Temat: Ataki czasowe na aplikacje www

Wybrane przykłady ataków czasowych na aplikacje webowe. Technika ta zostanie zaprezentowana w oparciu o podatności: OS commanding (na przykładzie ataku na jeden z nowszych modeli routerów Linksys - poprzez webową konsolę zarządczą) oraz SQL injection (na podstawie przykładowej aplikacji). Oba przypadki prezentowane będą "na żywo" - wykorzystany będzie fizyczny router umieszczony w labie oraz maszyna wirtualna z zainstalowaną podatną aplikacją. Pokazane zostaną zarówno metody detekcji podatności - stosując techniki czasowe - jak i sama technika ataku wykorzystującego aspekty czasowe (zastosowanie mechanizmu timing covert channel).

Temat: Narzędzia forensic w ujawnianiu, pozyskiwaniu i zabezpieczaniu ulotnych danych w skompromitowanym środowisku Windows.

Uczestnicy warsztatów powinni dysponować własnym laptopem (BYOL), najlepiej Windows XP i maks. 1 GB RAM. oraz pendrive'em, min. 2 GB

Krótki wstęp teoretyczny oraz praktyczne wykorzystanie narzędzi forensic: Helix w wersji 1.9 oraz Helix w wersji 3 do ujawniania, pozyskiwania i zabezpieczania dowodów przestępstwa, polegającego na skompromitowaniu systemu Windows poprzez włamanie lub inny tym podobny incydent sieciowy. Szczególny nacisk położony będzie na zabezpieczenie tzw. danych ulotnych z "żywego", pracującego systemu operacyjnego. Zabezpieczenie tych danych może mieć decydujące znaczenie w procesie ujawnienia i ujęcia sprawcy incydentu sieciowego. Umiejętności takie powinien posiadać każdy administrator sieci komputerowej. Najważniejszą sprawą jest niezwłoczne zabezpieczenie (jeszcze przed przybyciem przedstawicieli organów ścigania na miejsce zdarzenia) danych ulotnych tj. takich, które ulegają utracie po wyłączeniu komputera lub z upływem czasu, mogących ulec zmianie lub zniszczeniu w skutek innych działań wykonywanych na systemie operacyjnym, w sposób spełniający warunki forensic, czyli tak, aby w dalszym postępowaniu można było wykazać, że materiał dowodowy prezentowany przed Sądem jest właśnie dokładnie tym materiałem, jaki został zabezpieczony na miejscu zdarzenia, zachowana została jego integralność i nie został w żaden sposób zmieniony. Warsztaty polegałyby na praktycznym zastosowaniu wymienionych wyżej narzędzi do wykonania zrzutu pamięci fizycznej na zewnętrzny nośnik (np. pendrive, zewnętrzny dysk twardy itp.), sporządzenie snapshotu systemu z wyjaśnieniem konsekwencji zastosowania poszczególnych programów z pakietu Helix, omówienie toku postępowania, mającego na celu zachowanie zasad kryjących się pod pojęciem "forensic". Wymagania techniczne odnośnie warsztatów: stanowiska komputerowe dowolnego rodzaju z systemem Windows (najlepiej Windows XP, ale niekoniecznie) i czytnikiem DVD, pendrive o wielkości mogącej pomieścić obraz pamięci RAM ze stanowisk + zapas około 0.5 GB na raporty (pliki). Na stanowiskach powinien być zainstalowany Adobe Reader lub inny czytnik formatu PDF (w takim formacie zapisywane są raporty z wym. narzędzi). Podłączenie do sieci internet (lub wewnętrznej sieci LAN) konieczne z uwagi na sczytywanie artefaktów sieciowych.