Program 9. ročníku mezinárodní vědecké konference SPI 2017

Záštita: Bezpečnostní ředitel MO – ředitel odboru bezpečnosti Ing. Petr Charvát

Termín konference: 1.–2. června 2017, konference je součástí doplňkového programu výstavy IDET 31.5.–2.6., účastníci konference mají zajištěn bezplatný vstup na výstavu po celou dobu jejího průběhu.

Místo konference: Administrativní budova Veletrhů Brno, sály 102 a 103

Webové stránky konference: http://spi.unob.cz

Manažer konference: doc. Ing. Jaroslav Dočkal, CSc., e-mail: jdockal.spi@gmail.com

Jednací řeči: angličtina, čeština a slovenština

Příspěvky přednášejících (vyjma odpolední části 1. dne) budou přednášeny v angličtině, k dispozici bude simultánní překlad. Účastníci konference obdrží tištěný sborník. Po skončení konference účastníci obdrží konferenční CD s prezentacemi.

Generální partner konference: S.ICZ a.s.

1st June 2017

Partner of the day: GREYCORTEX s.r.o.
08.0009.00Registration
09.0009.05Opening Ceremony
09.0509.45Steven Furnell (Plymouth University, United Kingdom)
Build it and they will come? Questioning our provision of security technologies
09.4510.20Edgar R. Weippl (Vienna University of Technology, Austria)
Empirical in information security: peering, net Neutrality and Privacy
10.2010.55Gergely Biczók (CrySyS Lab, Hungary)
Games of Cyber-Warfare
10.5511.15Coffee Break
11.1511.45Marián Novotný (ESET, Slovakia)
Analysis and detection of Shadow Brokers exploits
11.4512.15Radim Polčák (Masaryk University, Czech Republic)
The Battle is Lost, Now Let Us Go and Fight: The Unresolvable Paradoxes of the Law of Cyber-Defence
12.1512.40Tesleem Fagade, Theo Tryfonas (University of Bristol, United Kingdom)
Malicious Insider Threat Detection: A Conceptual Model
12.4013.00Radek Hranický, Lukáš Zobal, Vojtěch Večeřa, Petr Matoušek (Brno University of Technology, Czech Republic)
Distributed Password Cracking in a Hybrid Environment
Partner of the lunch: AUROTON COMPUTER, spol. s r.o.
13.0014.00Lunch
Visit the brewery for foreign participants. Afternoon part of the program will be in Czech
14.0014.30Lenka Cuřínová a Ondřej Steiner (ICZ)
The Splendour and Misery of Risk Assessment
14.3015.00Michal Drozd (GREYCORTEX)
Kyberzločin a.s. versus Vaše firma a.s. 3:0 Příklady cílených pokročilých útoků
15.0015.15Martin Ťupa (HILLSTONE)
Inteligentní Next Generation firewally Hillstone – účinná automatizovaná ochrana proti aktuálním kybernetickým hrozbám
15.1515.30Jiří Sedláček (Network Security Monitoring Cluster)
Vzdělávání KB ve středním školství
15.3015.50Přestávka na kávu – 1. část soutěže o ceny ve znalosti piv a vín
Coffee break – the first part of the competition on price in the knowledge of beers and wines
15.5016.05Martin Ondráček (SODATSW)
Behaviorání analýza chování uživatelů (UBA), jako prostředek ochrany informací
16.0516.20Vítězslav Šavel (Novicom)
AddNet jako základ rychlé reakce pro řešení kybernetických bezpečnostních incidentů
16.2016.35Lukáš Přibyl (Axenta)
Hledání incidentů v záplavě logů
16.3516.50Přestávka na kávu – 2. část soutěže o ceny ve znalosti piv a vín
Coffee break – the second part of the competition on price in the knowledge of beers and wines
16.5017.20Aneta Coufalíková (Centrum CICR při MO ČR)
Centrum CIRC – případová studie
17.2017.50Miroslav Bartoň (Centrum CICR při MO ČR)
Digitální forenzní analýza a ransomware; aktuální trendy v oblasti ransomwaru
19.0022.30Coctail Party v/in Moravská Banka vín/Moravian Bank of Wine (víno/vine Makudera, Prušánky)
Partner of Coctail Party: HILLSTONE Networks, Ltd.

 

2nd June 2017

Partner of the day: FLOWMON NETWORKS a.s.
08.4509.05Jakub Kothánek, Jaroslav Kothánek (Západočeská univerzita v Plzni)
Forenzní zkoumání počítačů a mobilních telefonů (presentation in Czech)
09.0509.25Pavol Sokol, Dalibor Choma, Tomáš Bartoš (Pavol Jozef Šafárik University in Košice, Slovak Republic)
Data honeypotu jako digitální důkaz (presentation in Slovak and English)
09.2509.50Radim Ošťádal (Masaryk University, Czech Republic)
Red/Blue team exercises: preparation and lessons learned
09.5010.10Kálmán Hadarics, Krisztina Győrffy, Bálint Nagy, László Bognár, Anthony Arrott, Ferenc Leitold)
Mathematical Model of Distributed Vulnerability Assessment
10.1010.30Daniel Peters, Patrick Scholz, Jan Nordholz, Florian Thiel, Jean-Pierre Seifert (Physikalisch-Technische Bundesanstalt, Germany)
Software Security Frameworks and Rules for Measuring Instruments under Legal Control
10.3011.00Pavel Minařík (Flowmon)
Network Security Monitoring Using Flow Data
11.0011.10Coffee Break
11.1011.40Stanislav Špaček, Pavel Čeleda, Martin Drašar, Martin Vizváry (Masaryk University, Czech Republic)
Analyzing an Off-the-Shelf Surveillance Software: Hacking Team Case Study
11.4012.00Libor Dostálek (University of South Bohemia, Czech Republic)
Comparison of authentication mechanisms for mobile devices
12.0012.20Marián Svetlík (Forensic Science Institute, Czech Republic)
Evidental Weight of Collected Data in Case of an Incident
12.2012.40Michal Dvořák, Martin Drahanský (Brno University of Technology, Czech Republic)
Security of Hand Geometry
12.4013.00Zdeněk Martinásek, Jan Hajný, Lukáš Malina, Denis Matoušek (Brno University of Technology, Czech Republic)
Hardware-Accelerated Encryption with Strong Authentication
13.0014.00Farewell Banquet (beer – Pivovar Starobrno) Partner of Farewell Banquet: I3 Consultants, s.r.o.

 

Steven Furnell

Profesor Steven Furnell

Životopis

Steven Furnell je profesorem v oboru bezpečnosti informačních systémů a vede Centrum pro bezpečnost, komunikace a sítě výzkumu na Plymouth University ve Velké Británii. Je rovněž mimořádným profesorem na Edith Cowan University v Západní Austrálii a čestným profesorem na Nelson Mandela Metropolitan University v Jihoafrické republice. Mezi předměty jeho výzkumného zájmy patří využitelnost technologií pro bezpečnost a ochranu soukromí, dále správa bezpečnosti a vzdělávání a technologie pro autentizaci uživatelů a detekce průniků. Je autorem více než 270 prací v recenzovaných mezinárodních časopisech a sbornících a rovněž několika knih, například Cybercrime: Vandalizing the Information Society (2001), nebo Computer Insecurity: Risking the System (2005).

Profesor Furnell je předsedou technické komise 11 (bezpečnost a soukromí) v rámci Mezinárodní federace pro zpracování informací (International Federation for Information Processing) a je členem souvisejících pracovních skupin pro správu bezpečnosti, bezpečnostní vzdělávání a lidských aspektů bezpečnosti. Je také členem správní rady Ústavu informačních bezpečnostních profesionálů (Institute of Information Security Professionals), kde vede výbor pro akademickou spolupráci a jednu z jeho regionálních poboček. Další podrobnosti lze nalézt na http://www.plymouth.ac.uk/cscan, kde se nalézá řada podcastů zaměřených na problematiku informační bezpečnosti; jsou dostupné rovněž také prostřednictvím http://www.cscan.org/podcasts. Aktuality od profesora Furnella lze také sledovat prostřednictvím Twitteru (@smfurnell).

Webová stránka: http://cscan.org/?page=staffprofile&id=1

 

Nasaď technologie a výsledky se dostaví? Polemika ohledně našeho vybavování se bezpečnostními technologiemi

Ačkoli se organizace hojně vybavují bezpečnostními technologiemi, často zjišťují, že pokles množství incidentů se nezdá být úměrný mnohdy nemalým investicím. Důvody ovšem obvykle nesouvisejí s funkčností technologií samotných, ale spíše spočívají v okolnosti, že tyto technologie nějakým způsobem stále závisejí na lidech.

Vystoupení se bude zabývat překlenováním rozporu mezi prostou implementací dostupných technologií a vytvořením takových řešení, při nichž jsou technologie nasazeny skutečně efektivně. Některé z problémů vyplývají z okolnosti, že ne vždy je plně zřejmé, jak příslušné technologie využít, zatímco jiné problémy jsou spíše odvozeny od míry (ne)spokojenosti uživatelů s výsledkem. Diskuse bude vycházet z množství uživatelských orientovaných příkladů se zvláštním zaměřením na autentizační technologie, které z pohledu uživatele patří mezi nejčastěji se vyskytující aspekty bezpečnosti.

Edgar Weippl

Edgar Weippl

Životopis

Edgar R. Weippl (CISSP, CISA, CISM, CRISC, CSSLP, CMC) je ředitelem výzkumu ve společnosti SBA Research, docentem (přesněji soukromým docentem) na Technické universitě ve Vídni a rovněž vyučuje na několika dalších vysokých školách zaměřených na aplikované disciplíny (Fachhochschule). Předmětem jeho výzkumného zájmu jsou aplikované koncepce IT bezpečnosti; je rovněž členem redakční rady časopisu Elsevier's Computers & Security (COSE). V loňském roce zastával funkci předsedy organizačního výboru konference ACM CCS 2016, v letošním roce je místopředsedou programového výboru konference SACMAT 2017.

Po absolvování doktorského studia na Technické universitě ve Vídni pracoval dva roky ve výzkumné startupové instituci, poté jako odborný asistent rok vyučoval na Beloit College v USA. V letech 2002 - 2004 byl zaměstnán u softwarové společnosti ISIS Papyrus a současně působil jako konsultant pro některé pobočky Health Maintenance Organization (obojí rovněž v USA) a dále pro finanční průmysl v německém Frankfurtu. V roce 2004 nastoupil na Technickou universitu ve Vídni a spolu s Min Tjoa a Markusem Klemenem založil společnost SBA Research.

Webová stránka: https://www.sba-research.org/

 

Empirie v informační bezpečnosti: peering, síťová neutralita a soukromí

Během posledních let si lze všimnout zvyšujícího se množství prací, věnovaných pozorováním a popisům složitých jevů jako jsou účinnost různých spamovacích kampaní, šíření botů nebo pravděpodobnost toho, že uživatelé v sociálních sítích akceptují jako přátele osoby s falešnou identitou.

Další výzkum bude zaměřen na sítě a cloudové systémy; metodologie výzkumu bude mít podobu empirického přístupu k bezpečnosti systémů a to:

  1. pasivní pozorování velkých systémů, a
  2. aktivní zjišťování, které bude stimulovat systémy k projevu jejich chování.
Přínos výzkumu bude spočívat v pozorování, popisu a odvození způsobu chování složitých systémů, které nemohou být pozorovány přímo a mají značný dopad na uživatele.

Ve svém vystoupení autor vysvětlí, jak lze zjišťovat, zda poskytovatelé připojení do Internetu implementují peering, jestli dodržují síťovou neutralitu a rovněž se bude zabývat aspekty soukromí.

Gergely Biczó

Gergely Biczó

Životopis

Gergely Biczó je odborným asistentem v Laboratoři kryptografie a bezpečnosti systémů (Laboratory of Cryptography and System Security - CrySyS Lab) při Budapešťské univerzitě technologie a ekonomiky, na níž získal v roce 2010 akademický titul doktor (Ph. D.). Dále působil jako postgraduální výzkumník na Future Internet Research Group Maďarské akademie věd a na Norské univerzitě vědy a technologie v Trondheimu. V rámci Fulbrightova stipendia byl zaměstnán jako hostující vědec na Severozápadní univerzitě v USA a jako výzkumný pracovník u firmy Ericsson. V současnosti je zaměřen na výzkum hospodářských aspektů síťových systémů včetně bezpečnosti a soukromí, počínaje kybernetickými válkami přes sociální sítě až po [prostřednictvím Internetu] připojená vozidla. Momentálně získal od Maďarské akademie věd výzkumné stipendium Jánose Bolyaiho a také zastupuje svoji zemi v Technické komisí IFIP 11 pro bezpečnost a soukromí (International Federation for Information Processing).

Prezentace: Hrátky s kybernetickým válčením

Účast států na kybernetickém válčení se v posledních letech stala všeobecně známou, jak o tom svědčí dva dále uvedené okruhy aktivit. Především, mainstreamová média široce informují o kybernetických incidentech, jako byl případ červa Stuxnet v Íránu, napadení ukrajinské energetické sítě nebo údajné, široce diskutované ovlivnění prezidentských voleb v USA. Dále pak okolnost, že kybernetické útoky začaly být oficiálně považovány za stejně vážné nebezpečí, jaké hrozí od standardních útoků vedených ozbrojenými silami, takže vojenské instituce jednotlivých států a jejich aliancí navrhují a realizují strategické plány ohledně kybernetické bezpečnosti a kybernetického válčení. Vzhledem k potenciálnímu dopadu na národní bezpečnost a také ke značné popularitě patří kybernetické válčení ve vojenské a politické literatuře k často probíraným tématům, překvapivě tak tomu ale není co se týče technickoekonomického modelování.

V prezentaci popíšeme jednoduchý teoretický herní model, umožňující společnou analýzu jak rozhodování při kybernetickém válčení (obrana vs. útok), tak i investičního rozhodování států. Zachycujíce unikátní vlastnosti kybernetických zranitelností ukazujeme, jak mohou dílčí stimuly vést na problém vězňova dilematu, dobře známého z teorie her, přičemž rovnováhou je kybernetická válka. Rovněž ukážeme, jak zápas o stejný soubor zranitelností nultého dne (zero-day vulnerabilities) může dále podnítit investice do kybernetické války. Budeme diskutovat důsledky naší analýzy a ukážeme směry pro další výzkum na toto téma.

Marián Novotný

Marián Novotný

Životopis

Marián Novotný získal doktorát z informatiky na Prírodovedeckej Fakulte Univerzity Pavla Jozefa Šafárika v Košiciach. Vo svojej dizertačnej práci sa venoval návrhu a analýze bezpečnostných protokolov. V súčasnosti pôsobí ako špecializovany softvérový inžinier v spoločnosti ESET, kde sa venuje analýze, návrhu a implementácii sieťových detekčných systémov. Tieto systémy sú integrované v produktoch spoločnosti ESET a majú pomenovanie ako Ochrana pred sieťovými útokmi, Ochrana pred botnetmi a Ochrana domácej siete.

Analýza a detekcia exploitov Shadow Brokers

Skupina hackerov s názvom Shadow Brokers zverejnila na Veľký piatok v apríly 2017 exploity údajne vyvinuté Americkou Agentúrou pre Národnú Bezpečnosť (NSA). Tieto nástroje zneužívali zraniteľnosti v implementácii protokolu Server Massage Block (SMB) v hlavných verziách operačného systému MS Windows. Najznámejší nástroj, ktorý sa nazýva EternalBlue, poskytuje v službe SMB spoľahlivé spustenie kódu v kernel móde bez potreby autentifikácie. Spoločnosť Microsoft opravila chyby v marci 2017 v kumulatívnej bezpečnostnej aktualizácii: MS 2017-10. Avšak milióny používateľov na celom svete neaktualizovali svoj operačný systém a navyše MS vydal mimoriadnu aktualizáciu pre nepodporované operačné systémy vrátane Windows XP práve nedávno. Z tohto dôvodu to vytvára príležitosti počítačovým zločincom, aby využívali zverejnené nástroje na šírenie škodlivého softvéru. V piatok 12. mája 2017 sa ransomware útok známy ako WannaCry začal šíriť po celom svete v bezprecedentnom rozsahu a rýchlosti.

V prednáške budeme vysvetľovať jednotlivé exploity spolu s ich komponentmi a súvisiacimi zraniteľnosťami, pričom sa najmä zameriame na EternalBlue. Ukážeme sieťovú komunikáciu počas exploitácie a prediskutujeme možnosti detekcie na sieťovej úrovni. Pokúsime sa podrobnejšie vysvetliť, ako sa WanaCry šíril po celom svete.

Radim Polčák

Radim Polčák

Životopis

Radim Polčák je vedoucím Ústavu práva a technologií Právnické fakulty Masarykovy univerzity. Jako host pravidelně přednáší na právnických fakultách a justičních vzdělávacích institucích v Evropě a USA. Zabývá se převážně právní teorií, právem informačních a komunikačních technologií (ICT) a energetickým právem. Založil stálé mezinárodní sympozium Cyberspace, odborné časopisy Masaryk University Journal of Law and Technology a Revue pro právo a technologie a vede pozorovatelské delegace ÚPT PrF MU při UNCITRAL. Je rozhodcem tribunálu pro doménová jména .eu a .cz při RS HKAK, zakládajícím členem European Academy of Law and ICT, členem Rady European Law Institute a členem řídících a odborných orgánů vědeckých časopisů a mezinárodních konferencí v Evropě, Asii a Austrálii. V oborech práva ICT a právní teorie publikoval přes 150 odborných článků, kapitol v odborných knihách, konferenčních příspěvků a monografií.

The Battle is Lost, Now Let Us Go and Fight: The Unresolvable Paradoxes of the Law of Cyber-Defence

Jedním ze základních principů právního státu je požadavek na omezení aktivit veřejného sektoru pouze na to, co zákon explicitě přikazuje nebo dovoluje. Příslušná pravidla zakládající možnosti veřejné moci aktivně konat se vzájemně liší především co do svého rozsahu. Normy správního práva upravující vydávání stavebních povolení jsou tak logicky nastaveny jinak, než například pravidla pro nákup a využití těžkých zbraní.

Důvodem takových zásadních rozdílů jsou odlišnosti v podmínkách, za nichž příslušná právní pravidla fungují v praxi. Stavební povolení jsou vydávána často a stát se tedy v tomto případě permanentně dostává do kontaktu s individuálními právy zainteresovaných osob (typicky s právem vlastnickým, se svobodou vůle apod.) Pořizování tanků a houfnic se naproti tomu dotýká práv nebo oprávněných zájmů fyzických či právnických osob jen velmi zřídka. Ještě vzácnější jsou pak situace, kdy je veřejná moc oprávněna takových těžkých zbraní užít mimo cvičiště a zasáhnout tím do něčích práv.

Skutečnost, že máme mnohem detailnější úpravu činností veřejné moci při vydávání stavebních povolení než při použití těžkých zbraní, může vypadat paradoxně. Houfnice totiž může do práv člověka zasáhnout nepoměrně citelnějším způsobem než stavební povolení. Skutečností však je, že rozsah situací, kdy je stát oprávněn zasahovat do práv člověka prostřednictvím houfnice, je natolik omezen, že riziko svévole ze strany veřejné moci zde prakticky neexistuje. Ve výsledku tedy nehovoříme o regulatorním paradoxu, ale spíše o logickém vztahu mezi účinností prostředků v dispozici veřejné moci, možností jejich reálného užití a mírou detailu, s níž je takové užití upraveno zákonem. Čím mocnějším nástrojem veřejná moc disponuje, tím omezenější jsou případy jeho reálného užití a tím obecnější je jeho zákonná úprava.

Kybernetická obrana se od tohoto paradigmatu zásadně odlišuje. Podobně jako u kinetických zbraní potřebujeme i v tomto případě nástroje disponující extrémním ničivým potenciálem, které v případě ohrožení zajistí ochranu naší svrchovanosti. K pořízení takových zbraní však je v případě kybernetické obrany nutno v relativně vysoké frekvenci a prakticky na každodenní bázi zasahovat do práv nebo oprávněných zájmů soukromých osob, to navíc v situaci, kdy žádné reálné ohrožení naší suverenity nemusí existovat. K pořízení nástroje použitelného pro kybernetickou obranu je tedy třeba uvažovat o zásahu do práv srovnatelném s použitím houfnice, jehož realizace je srovnatelně frekventovaná jako v případě stavebního povolení.

Příspěvek představí tento nový a ideálně neřešitelný paradox kybernetické obrany spočívající v takové kombinaci faktorů, s níž se právo doposud nesetkalo. V příspěvku bude rovně užito analogie s aktuálními poznatky v oboru právní úpravy vojenského zpravodajství k nastínění možných řešení funkčního systému nástrojů kybernetické obrany zachovávajícího výjimečně křehké avšak pro samotnou existenci republiky vitálně důležité základní principy právního státu.

Aneta Coufalíková

Aneta Coufalíková

Životopis

Kpt. Coufalíková je vedoucí skupiny informační podpory Centra CICR při Ministerstvu obrany. Předmětem její práce je šíření bezpečnostního povědomí a zvyšování připravenosti správců komunikačních a informačních systémů na počítačové hrozby a útoky. Po absolvování doktorského studia na Univerzitě obrany v Brně nastoupila k Centru CIRC jako systémový inženýr. V letech 2012-2014 přispívala do časopisu A Report pravidelnou rubrikou Kyberkoutek. Nadále spolupracuje s Univerzitou obrany formou přednášek nejen pro studenty, ale i pro zaměstnance.

Centrum CIRC – případová studie

S kybernetickými bezpečnostními událostmi a incidenty se setkáváme v rámci monitoringu sítí rezortu Ministerstva obrany dennodenně. Vystoupení se bude zabývat nejčastěji řešenými událostmi a incidenty. Podrobněji bude ukázáno řešení výskytu ransomwaru.

Miroslav Bartoň

Miroslav Bartoň

Životopis

Vedoucí skupiny forenzních analýz na Centru CIRC při Ministerstvu obrany. Po vystudování oboru Robotika a kybernetika na Univerzitě obrany zahájil svoji profesní kariéru na 21. základně taktického letectva v Čáslavi, kde dohlížel na chod kritických systémů využívaných pro řízení letového provozu. Zkušenosti s bezodkladnou analýzou problémů a reakcí na ně poté dále rozvíjel na Centru CIRC v Brně. Zde prošel několika technickými pozicemi, převážně jako bezpečnostní analytik. Dlouhodobě se pohybuje v první linii kontaktu mezi útočníky z internetu a armádním IP rozsahem, díky tomu má představu jednak o množství a typech každodenních plošných útoků napříč internetem, ale také o útocích cílených přímo na AČR. Pravidelně se účastní velkých mezinárodních cvičení NATO v oblasti kybernetické bezpečnosti. Podílí se také na jejich organizaci a technické přípravě.

Digitální forenzní analýza a ransomware; aktuální trendy v oblasti ransomwaru

Kpt. Ing. Miroslav Bartoň doplní přednášku kpt. Ing. Anety Coufalíkové, Ph.D., ukázkou řešení incidentu z praxe. Konkrétně půjde o napadení stanice ransomwarem; podíváme se na to, jak konkrétně lze s využitím forenzní analýzy identifikovat vektor nákazy, analyzovat chování škodlivého kódu a zachránit uživatelovi některá data.