Zapraszamy na 57. edycję tech.3camp. Tematem spotkania będzie Bezpieczeństwo IT. Po prelekcjach jak zawsze zapraszamy na pizzę, piwo i inspirujące rozmowy w kuluarach!

AGENDA: 

18:00 – 18:30 – Grzegorz Witczak – „Zielona kłódeczka”, czyli jak działa HTTPS i kiedy… wcale 

HTTPS to protokół, z którego korzystamy codziennie i który zapewnia, że nikt inny nie może odczytać naszej aktywności w internecie. Ale są sytuacje, gdzie „zielona kłódeczka” daje nam tylko złudne poczucie bezpieczeństwa. W trakcie prezentacji wyjaśnię, jak działa HTTPS od podstaw i dlaczego bywa niebezpieczny. Omówimy również exploit FREAK i dlaczego w cyfrowym świecie potrzebujemy… notariusza.

18:30 – 19:00 – Łukasz Przybylski, Intel –  Ta prezentacja korzysta z plików cookies w celu… – jak zjeść ciastko i mieć ciastko

Praktycznie każda strona www, którą odwiedzamy atakuje nas banerem o potrzebie akceptacji plików cookies. Czy po kilku latach od wprowadzenia obowiązku informowania użytkowników o fakcie wykorzystywania ciasteczek przez dostawców treści, jesteśmy świadomi jakie mechanizmy kryją się za tymi powiadomieniami? W czasie tej interaktywnej prezentacji słuchacze dostaną możliwość zweryfikowania swoich opinii na temat tego czy ciasteczka stanowią główne zagrożenie naszej prywatności w Internecie oraz czego tak naprawdę należy się obawiać.

19:00 – 19:10 przerwa

19:10 – 19:40 – Dariusz Kozon – OWASP Dependency Check – wprowadzenie do praktycznego użycia w projekcie Java

OWASP Dependency Check jest biblioteką wspomagającą weryfikację zależności w projektach pod kątem znanych i opisanych luk bezpieczeństwa (obecnie rozwijana dla języków Java i .Net). W tej prezentacji omówię jak zacząć używanie z OWASP DC dla projektów Java oraz jak czytać i interpretować wynik skanu na przykładzie prostej aplikacji w springu oraz jak używać tę bibliotekę w codziennej pracy.

19:40 – 20:10 Marcin Hoppe – Breaking real-world OAuth 2.0 implementations with state machines

The OAuth 2.0 protocol is used everywhere, from startups to large corporations and cloud service providers. It allows users to log in to services such as Google and Facebook (through its cousin OpenID Connect) and enables users to delegate access to third party applications. Security of OAuth 2.0 is a topic of active research, with rigorous analyses, peer-reviewed papers and constantly evolving RFCs covering its threat model and best practices. It would seem that this wealth of information makes building a robust OAuth 2.0 system a hard, yet achievable, goal. Real-life deployments need to deal with other aspects, such as two-factor authentication (2FA), single sign-on (SSO) and user credentials management (including the dreaded password reset). Those are rarely covered by existing threat models. How do we then approach finding implementation flaws in such complex implementations? Join Marcin as he shows you how combining state machines with threat modeling techniques can help discover serious security flaws in OAuth 2.0 systems.

Uczestnictwo w spotkaniu jest bezpłatne, ale z racji ograniczonej liczby miejsc obowiązuje wcześniejsza REJESTRACJA.

Kiedy: wtorek, 2 lipca 2019, godz. 18:00

Gdzie: O4 Coworking (Olivia Business Centre), al. Grunwaldzka 472B

PRELEGENCI:

GRZEGORZ WITCZAK

Programista Java z JIT Team z zamiłowaniem do baz danych oraz upraszczania kodu i życia. Poza programowaniem lubi dzielić się wiedzą jako prelegent i trener programowania. Po godzinach: gadżeciarz i early adopter, śmigający po Trójmieście na hulajnodze.

ŁUKASZ PRZYBYLSKI

Cloud Software Developer @ Platform Security Division | Intel.

Inżynier oprogramowania z zamiłowaniem do tematyki bezpieczeństwa i prywatności. W codziennej pracy skupiony na dostarczaniu rozwiązań zwiększających bezpieczeństwo świata IoT łącząc tematy security z obszarami Web Services i Cloud Computing. Mając świadomość, że należy do wąskiej grupy ludzi znających mechanizmy Internetu od „drugiej strony”, z przyjemnością dzieli się tą wiedzą z jego zwykłymi użytkownikami.

DARIUSZ KOZON

Obecnie programista i szkoleniowiec, wcześniej Tester i QA. Obszary zainteresowań zawodowych to automatyzacja testów, wydajność aplikacji i systemów IT oraz rozwój frameworków testujących i bibliotek programistycznych, głównie z wykorzystaniem stacku technologicznego Javy. W ciągu 11 lat pracy realizował projekty z sektorów: nowe technologie, automotive, HORECA, sektor bankowy i rządowy, bezpieczeństwo, szkolenia. Obecnie współpracuje z Nordea Bank AB, Niebezpiecznik.pl, Software Development Academy, również jako niezależny konsultant. 

MARCIN HOPPE

Marcin has enjoyed his software development for over a decade. One day he decided to turn to security engineering and has not looked back since. He leads the product security team at Auth0, serves on the Node.js Foundation Security Working Group and co-leads the OWASP Serverless Top 10 project.