Konferencyjne podsumowanie roku 2018

Na początku trzeba postawić sprawę jasno – zaniedbałem bloga w poprzednim roku. Poprawy nie obiecuję, lecz wytrwale będę skrobał teksty 🙂 Miniony rok w sporej części upłynął mi na dzieleniu się wiedzą poprzez wystąpienia na konferencjach związanych z bezpieczeństwem IT. Aby nie wypaść z “formy”, staram się raz na jakiś wystąpić przed szerszą publicznością, jednakże […]

Honggfuzz – Fast Track

Ten wpis jest częścią cyklu “Od zera do bughuntera” – listę wszystkich postów znajdziesz tutaj. Słowo wstępu Nie będę ukrywał, że honggfuzz był długo przeze mnie ignorowany – AFL działał dobrze, a tam gdzie nie domagał, korzystałem z LibFuzzera (tutaj część pierwsza i druga jego fast tracka). Nawet nie pomagały błędy, które za jego pomocą […]

Automatyczne wyszukiwanie podatności bezpieczeństwa na dużą skalę

Mimo tego, że długo nie pojawiałem się na blogu to nie próżnowałem: popełniłem wpis na blogu CERT Polska, opisujący wykorzystywane przeze mnie metody i rozwiązania do detekcji podatności bezpieczeństwa 🙂 Jest to tekstowe rozszerzenie mojej prezentacji z Confidence 2018. Poniżej zajawka: Problematyka podatności bezpieczeństwa dotyczy praktycznie wszystkich programów lub bibliotek wykorzystywanych w codziennej pracy. Proaktywność […]

Zaproszenie na Confidence 2018

Drugi post z rzędu z zaproszeniem na konferencje – tym razem krakowski Confidence 2018 🙂 Jestem szczerze przekonany, że eventu nie trzeba nikomu przedstawiać – jest to jedna z najstarszych i najpopularniejszych konferencji poświęconych bezpieczeństwu IT, odbywająca się regularnie na przełomie maja i czerwca (w tym roku: 04 – 05.06.2018). Co? Jak? Dlaczego? Wśród prelegentów […]

Zaproszenie na SECURE Early Bird 2018

Dla każdego, kto chce poczuć przedsmak jesiennej edycji SECURE 2018, CERT Polska / NASK przygotował jednodniowe wydarzenie w nieco luźniejszym stylu – SECURE Early Bird 2018. Odbędzie się ono 23 maja w warszawskim centrum konferencyjnym Adgar Plaza – event jest całkowicie za darmo! Zapowiedź ze strony: SECURE Early Bird to nasza wiosenna jaskółka, krótki zwiastun jesiennej konferencji […]

pwnable.kr – fenomenalna platforma do nauki exploitacji & CTF

Ostatnio dużo czasu spędzam na rozwiązywaniu zadań z CTF i praktykowaniu różnych metod exploitacji. Jeden z moich współpracowników (dzięki Mateusz!) polecił mi pwnable.kr jako ciekawe uzupełnienie kursu Modern Binary Exploitation z którego korzystałem (i bardzo polecam 🙂 ). Platforma zachęca do siebie 64 zadaniami o czterech poziomach trudności oraz prawie 16000 użytkowników – niestety większość z […]

Ponce – Symbolic Execution dla “klikaczy”

Ten wpis jest częścią cyklu “Od zera do bughuntera” – listę wszystkich postów znajdziesz tutaj. Osobiście lubię “zwalać” pracę na mój procesor. Zwłaszcza nudne i powtarzalne czynności bo często w nich strzelam babole, które skutkują jeszcze większymi błędami na wyjściu. Fajnym dodatkiem do tego wszystkiego jest sensowna “klikalność” rozwiązania – sensowność rozumiem w ten sposób, […]

PWNing 2017 – Rozwiązanie zadania RE150 “Military grade algorithm” za pomocą Manticore

Początek listopada przyniósł kolejną świetną konferencję – Security PWNing Conference 2017. W tym roku miałem przyjemność współtworzyć z zespołem P4 konkurs CTF organizowany w ramach tej konferencji. Poniżej zaprezentuję rozwiązanie mojego zadania z RE, wycenianego na 150 punktów. W trakcie trwania konkursu rozwiązało je dwanaście osób. Clue zadania był szereg odwracalnych, lecz najzwyczajniej w świecie upierdliwych […]

Security BSides Warsaw 2017

Tradycją staje się, że co roku występuję na Security Bsides Warsaw 🙂 Podczas tegorocznej opowiadałem o lessons learned i efektach projektu, który prowadzę już rok: fuzzowania różnych projektów open-source. Jak w poprzednim roku, Cooper zapewnił świetny streaming i każdą nagrywaną sesję można obejrzeć na kanale YT wydarzenia. Tutaj znajduje się moja prezentacja, natomiast poniżej możesz obejrzeć […]

Zaproszenie na Security BSides Warsaw 2017

Tradycją już jest, że każdej jesieni, w okolicach połowy października spotykają się ze sobą IT Sec junkies w przyciasnej sali konferencyjnej, warszawskiej knajpy Państwo Miasto – mowa oczywiście o kolejnej odsłonie najlepszej i darmowej konferencji entuzjastów bezpieczeństwa Security BSides Warsaw 🙂 W poprzednim roku opowiadałem o procesie fuzzowania za pomocą American Fuzzy Lop. Podczas tegorocznej edycji wydarzenia […]