Schedule for 2006

Thursday Sep 28, 2006
08:30 Registration and Morning Coffee
09:00 Opening Words, Tomi Tuominen
09:15 Keynote: Electronic Voting
Harri Hursti
10:15 Coffee
10:30 Keynote: Electronic Voting
Harri Hursti
11:30 Lunch
12:30 200 MKAY - Web Application Exploitation
Joakim Sandström
nSense ApS
Carrier VoIP Security
Nicolas Fischbach
COLT
13:30 Break
13:45 200 MKAY - Web Application Exploitation
Joakim Sandström
nSense ApS
Carrier VoIP Security
Nicolas Fischbach
COLT
14:45 Coffee
15:00 Tietoturvallinen ohjelmointi
Timo Sirainen
Movial Oy
Mitä rajoituksia lainsäädäntö asettaa tietojärjestelmien ja -liikenteen valvontaan ja tutkimiseen?
Pekka Kiviniemi
Asianajotoimisto Jukka Kallio Oy - Attorneys at Law
16:00 Closing Words for the 1st day, Tomi Tuominen
16:15 Cocktails & Networking
19:00 Cocktails & Networking ends

Friday Sep 29, 2006
08:30 Morning Coffee
09:00 Opening Words, Tomi Tuominen
09:15 Windows rootkitit
Mika Ståhlberg, Antti Tikkanen
F-Secure Oyj
Detecting Intrusions using sound forensic methods
Pär Österberg
Sitic
10:15 Coffee
10:30 Windows rootkitit
Mika Ståhlberg, Antti Tikkanen
F-Secure Oyj
Detecting Intrusions using sound forensic methods
Pär Österberg
Sitic
11:30 Lunch
12:30 Standardizing mobile device security - Trusted Computing Group (TCG)
Lauri Tarkkala
Nokia Oyj
Strong Authentication Using Only Low Entropy Passwords
0rm
Toolcrypt
13:30 Break
13:45 Standardizing mobile device security - Trusted Computing Group (TCG)
Lauri Tarkkala
Nokia Oyj
Strong Authentication Using Only Low Entropy Passwords
0rm
Toolcrypt
14:45 Coffee
15:00 T2'06 pähkinän ratkaisu
Jarkko Turkulainen
F-Secure Oyj
Implementation Level Vulnerabilities in Voice over IP Systems
Christian Wieser
OUSPG
16:00 Closing Words, Tomi Tuominen
16:00 Conference Ends

Keynote: Electronic Voting

Harri Hursti


No description.

No description.


200 MKAY - Web Application Exploitation

Joakim Sandström @ nSense ApS


The presentation is focused on exploitation of web application vulnerabilities. Subjects covered by the presentation are: webappsec trends, automated tools, manual testing, extinction of common webapp vulnerabilities, "new" issues in php (evals, metadata code injection), backdooring web applications, techniques and tools for "calling home", exploitation of common web application vulnerabilities such as SQL injection and cross site scripting.

Presentation will include tools like datadumper for mssql, partial "home call" package (xp_cmdshell), j0hnthestripper for mssql db accounts and b0nita isapi filter backdoor.

Joakim Sandström (aka JODE) is the CTO of nSense ApS, a Finnish based consultancy that specializes in the development of web application auditing software. With a background in software engineering, Joakim now performs security audits for some of the largest financial institutions in Scandinavia, governmental agencies as well as privately owned corporations.


Tietoturvallinen ohjelmointi

Timo Sirainen @ Movial Oy


Tietoturvallisesta ohjelmoinnista on olemassa useita oppaita, mutta tästä huolimatta useimmat ohjelmat ovat edelleen täynnä tietoturvareikiä. Turvallisia ohjelmia on vaikea luoda, vaikka tuntisi kaikki mahdolliset ongelmat ja tietäisi kuinka välttää ne.

Tässä puheessa tutustutaan tapoihin välttää erilaisia tietoturvaongelmia sekä suunnittelu- että toteutusvaiheessa. Ohjelmointivirheiden välttämisissä keskitytään menetelmiin, joilla turvallisten ohjelmien luominen helpottuu huomattavasti ilman että ohjelmoijan tarvitsee juuri edes ajatella koko tietoturvaa.

Timo Sirainen tunnetaan luomistaan tietoturvallisiksi mainostetuista avoimen lähdekoodin ohjelmistoistaan, lähinnä Irssi IRC-asiakkaasta ja Dovecot IMAP-palvelimesta. Nykyään hän toimii ohjelmistosunnittelijana Movial Oy:ssä.


Carrier VoIP Security

Nicolas Fischbach @ COLT


VoIP, IMS, FMC, NGN, PacketCore, MPLS. Put those together and you are looking at the next security nightmare when it comes to Service Provider infrastructure security. Carriers are already moving away from basic data and VoIP services towards the Next Generation Network, where you have one Packet-based Core network which is going to carry "junk" Internet traffic, "secure" Multi-Protocol Label Switching VPNs, "QoS guaranteed" voice, etc. And soon, thanks to new handhelds you'll see more and more Fixed and Mobile Convergence which enables you to roam anywhere inside and outside of the entreprise and access new interactive content thanks to the IP Multimedia Subsystem.

During this talk we will present such an architecture (based on a real large scale deployment with 4 major vendors), the security and architecture challenges we ran (and still run) into, and how we mitigate the risks (denial of service, interception, web apps security, fraud, etc).

Nicolas Fischbach is a Senior Manager, in charge of the European Network Security Engineering team at COLT Telecom, a leading pan-European provider of end-to-end business communications services. He holds an Engineer degree in Networking and Distributed Computing and is a recognized authority on Service Provider infrastructure security and denial-of-service attacks mitigation.

Nicolas runs Securite.Org a french speaking portal on computer security, has presented at numerous technical and security conferences, teaches networking and security courses at various universities and engineering schools, co-founded the French chapter of the Honeynet Project and contributes to the french security magazine MISC.


Mitä rajoituksia lainsäädäntö asettaa tietojärjestelmien ja -liikenteen valvontaan ja tutkimiseen?

Pekka Kiviniemi @ Asianajotoimisto Jukka Kallio Oy - Attorneys at Law


Esityksessä perehdytään haastavaan ja keskustelua herättävään aiheeseen siitä, mitä rajoja lainsäädäntö asettaa tietojärjestelmien ja -liikenteen valvontaan ja tutkimiseen. Käsiteltävinä aihepiireinä ovat sähköpostiliikenne, Internetin selailusta syntyvä tietoliikenne, paikkatiedot, henkilötiedot sekä liikesalaisuuksien suoja.

Esitys kannustaa kysymyksien esittämiseen ja keskusteluun, ja esityksessä käsitellään käytännön esimerkkejä.

Pekka Kiviniemi toimii sähköisen liiketoiminnan kysymyksiin erikoistuneena asianajajana Asianajotoimisto Jukka Kallio Oy:ssä. Hän on myös työskennellyt teknologiajuridiikkaan erikoistuneessa asianajotoimisto Brown, Raysman, Millstein, Felder & Steiner LLP:ssa New Yorkissa. Hän on kirjoittanut kirjan ja artikkeleita erikoistumisalueisiinsa liittyen ja kouluttanut yrityksiä ja muita organisaatioita Suomessa, Latviassa ja Yhdysvalloissa vuodesta 2001 alkaen.


Windows rootkitit

Mika Ståhlberg, Antti Tikkanen @ F-Secure Oyj


Termi "rootkit" tarkoitti alunperin Unix-ympäristöjen hakkerityökaluja, joilla murtautujat varmistivat root-tason pääsyn koneelle. Mm. valtionhallinnon tietoturvatermistöstä löytyvä suomennos "murtopakki" on kaiku tältä ajalta. Nykyisin termiä käytetään yleisesti kuvaamaan haittaohjelmia, joissa on häiveominaisuuksia (stealth). Tällaisten haittaohjelmien löytäminen ja poistaminen koneelta voi olla mahdotonta tavallisilla hallintatyökaluilla ja jopa perinteisillä antivirusohjelmilla.

Windows-rootkitit ovat noin viisi vuotta vanha ilmiö. Viime aikoina ne ovat yleistyneet kovaa vauhtia. Tässä esityksessä paneudutaan rootkit-teknologian yksityiskohtiin ja annetaan neuvoja näiltä uhkilta suojautumiseen. Esitys on varsin tekninen ja sisältää runsaasti demoja.

Mika Ståhlberg vetää tutkimusryhmää F-Securen laboratoriossa. Hänen ryhmänsä tekee tutkimusta haittaohjelmien havaitsemisen ja -torjunnan parissa. Viime aikoina Ståhlberg ja hänen ryhmänsä ovat tutkineet vastalääkkeitä rootkit-ohjelmille. Vapaa-ajallaan Ståhlberg lumilautailee ja soittaa rumpuja hevibändissä.

Antti Tikkanen työskentelee tutkijana F-Securen tutkimuslaboratoriossa Helsingin Ruoholahdessa. Merkittävä osa hänen työajastaan kuluu rootkittien havainnointiin käytetyn F-Secure BlackLight -teknologian kehittämiseen. Hän valmistui diplomi-insinööriksi Teknillisen korkeakoulun tietotekniikan osastolta vuonna 2005.


Standardizing mobile device security - Trusted Computing Group (TCG)

Lauri Tarkkala @ Nokia Oyj


The presentation goes through the following areas of TCG:

* Key Use Cases * Introduction to the TCG technical specification * Definition of a Mobile TPM * Implementation options * Reference Architecture * Lifecycle of a Mobile TPM

Lauri Tarkkala currently serves Forum Nokia as an Architect of the Preminet Solution. Prior to moving to Forum Nokia in 2006, he worked for Networking Technologies Laboratory within Nokia Research Center (NRC). There, Mr. Tarkkala held a position of Senior Research Engineer specializing in Wireless Security. While at NRC, he edited the Trusted Computing Group (TCG) Mobile specifications and served as Nokias technical contributor towards the TCG. Mr. Tarkkala holds an M. Sc. in Computer Science from Helsinki University of Technology.


T2'06 pähkinän ratkaisu

Jarkko Turkulainen @ F-Secure Oyj


Esityksessä käydään läpi miten vuoden 2006 pähkinä toimii ja miten se voidaan ratkaista. Samalla tutustutaan yleisemmin virtuaalikoneiden toimintaan ja tutkitaan erilaisia lähestymistapoja virtuaalikoneen käskykannan ratkaisemiseksi.

Jarkko Turkulainen työskentelee F-securella virustutkijana keskittyen pääasiassa binääriviruksiin. Hän harrastaa kestävyysjuoksua ja kanien kasvatusta.


Detecting Intrusions using sound forensic methods

Pär Österberg @ Sitic


Responding to IT incidents and investigating computers looking for signs of a compromise, can be a time consuming task that often require very skilled personnel. Therefore, we often find ourselves in the situation of not really knowing where to begin and which steps to take. This two session presentation (focused on the Windows platform) will describe methods and techniques an organization can implement in order to verify an intrusion or rule it out as a false positive. The techniques demonstrated will not modify the system being investigated or destroy any potential evidence that could make a forensic examination harder, if our investigation finds the system to be compromised.

The first session will be concentrated around the collection of the data which will later be analyzed. We will among other things explain how to build our First Responders Toolkit, how to dump the RAM-memory and other volatile data and how to circumvent Windows file protection in order to dump registry, log and other files in a safe way. The second part of the presentation will focus on analyzing the collected data. We will for example look at the memory dump and compare it with other processes lists, analyze the NTFS Meta Data files looking for ADS and going through the Registry.

Pär Österberg works as a security analyst at the Swedish IT-Incident Centre (Sitic http://www.sitic.se) where he among other things handles IT-related incidents.


Strong Authentication Using Only Low Entropy Passwords

0rm @ Toolcrypt


The presentation demonstrates various attack methods and tools against weak, weak but interesting, semi-weak and strong authentication protocols. Examples include (but are not limited to) MySQL, Oracle, Kerberos and SSH.

After demonstrating weaknesses in the existing solutions - an alternative approach called The toolcrypt authentication protocol (TAP) is presented. A sample implementation of TAP as a drop-in replacement for a weaker scheme is demonstrated as well as evaluation of TAP against current PKI solutions.

0rm is a security consultant and an application developer whenever the Toolcrypt hat comes off. Enjoys at least two out of three of: non-competitive chess, Kenneth Anger films and Himalayan herbs.


Implementation Level Vulnerabilities in Voice over IP Systems

Christian Wieser @ OUSPG


This presentation covers found vulnerabilities in IP-telephone systems. The talk will cover Session Initiation Protocol (SIP) robustness and the information security properties of Real Time Protocol (RTP) implementations.

Christian Wieser received his Master's degree from the Graz University of Technology, Austria. During his exchange year he felt in love with Finland and returned in 2001. He works at the University of Oulu, Finland. His research interest lies in the area of IT-security, particularly in the area of IP-telephony.