Trajanje: od 13:00-15:30

Predava: Matevž Mesojednik, Svetovalec na področju informacijske varnosti, NIL d.o.o

Universal Plug and Play (UPnP) omrežni protokol omogoča povezavo med napravami, kot so usmerjevalniki, tiskalniki, NAS strežniki, smart TV-ji, medijskimi predvajalniki itd. UPnP je bil razvit predvsem za domače uporabnike in ima v osnovi kar nekaj pomanjkljivosti na področju varnosti. 

Nastavitev UPnP na usmerjevalnikih doma in tudi v poslovnih okoljih – pogosto puščamo privzeto. Torej vključeno. Prav to pa predstavlja varnostno pomanjkljivost, ki je hkrati tudi funkcionalnost, saj uporabniku poenostavi dostop do priljubljenih internetnih vsebin in storitev.

Raziskave kažejo, da naj bi bilo med 40 in 50 milijonov mrežnih naprav ranljivih za vsaj enega od treh načinov napadov, ki izkoriščajo varnostne pomanjkljivosti v protokolu UPnP, kar posledično lahko pripeljejo do kraje podatkov in vohunjenja za uporabniki.

Na delavnici bo NIL-ov strokovnjak s področja varnosti povedal več o UPnP omrežnem protokolu, preko praktičnega »heka« pa bo predstavil posledice zlorabe, na prvi pogled nedolžne nastavitve.

Zahteve:

• osnovno poznavanje TCP/IP
• osnovno poznavanje Linux ukazne lupine
• prenosni računalnik z naloženim VMplayer ali VirtualBox
• naloženi VM OS Kali Linux [https://www.kali.org/downloads/]

Agenda:

• na kratko o »etičnem hekanju«
• na kratko o namenskih »exploit« orodjih
• lastnosti in pomanjkljivosti protokola UPnP
• etični hek v živo
• preizkušanje in izraba ranljivosti s strani udeležencev delavnice

Prijava na Eventbrite-u.