2023 Schedule | September 16 | Bibliothèque et Archives nationales du Québec
8:30AM | Doors open
9:00AM – 9:05AM | Opening words || Reverse Engineering For Malware Analysis Workshop (Room M.460)
9:05AM – 9:30AM | Capt(ret) Steve Waterhouse
Avons-nous amélioré notre résilience face à l’évolution technologique en 25 ans ?
9:30AM – 9:55AM | Julian & Pavle Bozalo
Doing More With Less: Securing Small Organizations
9:55AM – 10:20AM | Cybertom
Revue rapide des évolution récentes en cyber-stratégie
10:20AM – 10:45AM | Thomas Veynachter
Le besoin et l’efficacité des transformations des équipes sécurité dans les organisations
10:45AM – 11:00AM | COFFEE BREAK
11:00AM – 11:25AM | Mitch Breton
Intro to Binary Exploitation With Pwntools
11:25AM – 11:50AM | datalocaltmp
A Ghidra visualisation is worth a thousand GDB breakpointss
11:50AM – 12:15PM | Amir Gharib
Combating Cloud Cryptojacking and Resource Abuse
12:15PM – 1:15PM | LUNCH
1:15PM – 1:40PM | Christophe Reverd || GitHub Actions 101 – Creating a DevSecOps Pipeline (Room M.460)
Le MITRE contre ATT&CK®
1:40PM – 2:05PM | Nicolas-Loïc Fortin
Homo economicus: La malheureuse habitude de qualifier les humains comme le maillon faible
2:05PM – 2:30PM | Terry Cutler
“Insider Secrets” to HOW hackers are getting in, and WHY
2:30PM – 2:55PM | Arnaud Palisson
Loi 25 : les organisations face au défi de l’Évaluation des facteurs relatifs à la vie privée – Présentation d’une méthode accessible incitant à une sécurisation optimale des renseignements personnels
2:55PM – 3:10PM | COFFEE BREAK
3:10PM – 3:35PM | Hugo Genesse
All Bytes are Equal but Some are More Equal Than Others
3:35PM – 4:00PM | Rolland Winters
Passive recon & intelligence collection using cyber-squatted domains
4:00PM – 4:25PM | Francis Perron
Petit guide (peut-être) pratique d’une future carrière en cybersécurité au Québec
4:25PM – 4:50PM | John Aron
Don’t lose control of your security controls and identity
4:50PM – 4:55PM | Closing words
4:55PM – 8:00PM | Cocktail
2023 Schedule ― Detailed Program
Amir Gharib
Combating Cloud Cryptojacking and Resource Abuse
Cloud environments are increasingly targeted by threat actors to abuse, where threat actors exploit compute resources to mine cryptocurrency or launch attacks against other organizations. Cryptojacking is a cyberattack that exploits cloud computing resources to mine cryptocurrency. It involves a threat actor compromising legitimate cloud tenants which leads to significant financial and reputational losses for organizations. Microsoft’s research reveals that targeted organizations faced more than $300,000 in compute fees from cryptojacking attacks. In this presentation, we will share the discovered TTPs (Tactics, Techniques, and Procedures) that we observed in numerous organizations executed by several threat actor groups. Cloud cryptojacking/abuse follows a similar attack lifecycle regardless of the cloud provider. Threat actors need compromised credentials to execute attacks, making credential hygiene and cloud hardening crucial. They will leverage privilege escalation techniques if initial credentials lack sufficient permissions. To gain more abuse power, threat actors might modify subscription configurations. They can also hijack existing subscriptions or create new ones to conceal their operations. Once inside the cloud tenant, they create substantial compute resources, focusing on core types for efficient cryptocurrency mining. They install cryptomining software on virtual machines and add them to mining pools. Moreover, they utilize the compromised infrastructure to launch attacks against other companies. We will dissect the inner workings of cloud attacks such as cryptojacking and resource abuse, as well as how threat actors can pivot from cloud to on-premises. As we move from the initial access stage to the impact stage, we will explore key TTPs. By analyzing footprints and logs, we will provide insights that blue teamers can use to detect and counterattack these threats in Azure, AWS, and GCP especially at early stage of attacks.
Key Take away for:
– Blue Teamers and threat hunters: Take in new TTPs observed by Microsoft experts on several compromised cases and practical information to build high fidelity detections.
– Red Teamers: Get up to speed with related techniques used by ATPs (Advanced persistent threat) which are tracked by Microsoft security experts.
– GRC and Management: Understanding of strategies to strengthen cloud security postures, protect cloud workloads, and defend against a wide range of cloud-based threats and risks.
Bio
Amir Gharib is a senior security researcher at Microsoft. His main responsibility is to improve Microsoft’s detection capabilities across different workloads by researching novel attacks and detection mechanisms. As part of his role, he leverages events and signals from a variety of workloads and products to develop high-fidelity detection that can be used to disrupt attacks automatically. In the past, he was a technical manager at PwC performing incident response, threat hunting, and detection engineering. Furthermore, he worked with IBM Qradar to develop UEBA solutions for users and entities. He currently holds GCFA certification and a Master of Computer Science (MCS) degree specialized in cybersecurity. He has published and presented at several international conferences and journals. His publications have received more than 600 citations in recent years. Outside of work, he enjoys spending time with his family (plus his dog) and friends. He is currently training toward his private pilot license.
Francis Perron
Petit guide (peut-être) pratique d'une future carrière en cybersécurité au Québec
La cybersécurité est en vogue dans la presse, dans les écoles, et dans l’industrie québécoise. Les dernières années nous ont offertes de belles, grosses vulnérabilités et pertes de donnés qui furent très publiques, ajoutant, ou parfois démarrant cette engouement. Nous abordons donc une petite revue de ce que les carrières en cybersécurité vont devoir ajouter aux descriptions d’emplois dans les prochaines années au Québec. Cette étude se base sur la situation locale présente, comparant celle-ci avec les innovations en IA générative, les impacts des logiciels libres et ouverts, les changements législatifs internationaux et la maturité des entreprises dans le domaine ces jours-ci. Au final, cette présentation ne se veut pas une liste à cocher, mais bien une réflexion sur la cybersécurité et l’évolution soudaine que cette carrière a subi récemment, et sur les nouvelles directions potentiels que les entreprises québécoises devraient considérer pour leur organisation de sécurité.
Bio
Ce que Francis Perron aime par dessus tout sont les incidents et les vulnérabilités. Oeuvrant au sein d’Alphabet pendant 15 ans dans les équipes de SRE et Sécurité, il a développé une relation très intime et particulière avec son téléavertisseur. Ce n’est que récemment qu’il a tourné cette page pour passer à la gestion de projets, d’équipes et d’organisations en sécurité. Désormais responsable de l’organization de Sécurité & TI chez Sanity, il garde sans cesse un oeil doux sur son téléphone, espérant qu’il chante de nouveaux cyber-drames.
Arnaud Palisson
Loi 25 : les organisations face au défi de l'Évaluation des facteurs relatifs à la vie privée - Présentation d’une méthode accessible incitant à une sécurisation optimale des renseignements personnels
La Loi 25 entrera en vigueur dans sa quasi-totalité le 22 septembre prochain. Cette refonte majeure de la protection des renseignements personnels (PRP) concerne aussi bien les organismes publics que les entreprises. L’une des dispositions phares de la nouvelle législation porte sur les « évaluations des facteurs relatifs à la vie privée » (ÉFVP), qui doivent être réalisées préalablement à la mise en place de nombreux traitements de renseignements personnels. Or, les petites et moyennes entreprises ne disposent pas de ressources spécialisées en PRP ; tandis que, dans les grandes organisations, le nombre élevé d’ÉFVP obligatoires empêchera leur équipe de PRP de toutes les réaliser. Ce sont donc le plus souvent des non-spécialistes qui seront chargés de mener ces évaluations. On peut dès lors craindre que, pour ne pas obérer le développement de leurs opérations, certaines organisations réaliseront des ÉFVP formelles – sans véritable considération des enjeux de protection des renseignements personnels – ; ou bien elles prendront le risque de ne pas réaliser les ÉFVP légalement requises. Dans un cas comme dans l’autre, les renseignements personnels se retrouveront particulièrement exposés à des incidents de confidentialité. La méthodologie de réalisation des ÉFVP devient donc une question centrale. Nous présentons ici une méthode qui ne se base ni sur des scénarios de risque, ni sur une évaluation probabilité/impact. Elle est en revanche axée sur la notion de FACTEUR de risque d’atteinte à la vie privée – comme nous y invitent d’ailleurs explicitement les termes de la loi. Basée sur les modalités du traitement de renseignements personnels, cette méthode objective propose un processus analytique simple et détaillé, permettant de documenter clairement la prise de décision. En outre, elle incite les organisations à sélectionner des mesures de sécurité selon leur pertinence et leur degré d’intensité, afin de protéger de façon optimale les renseignements personnels qui leur sont confiés.
Bio
Arnaud Palisson est docteur en droit criminel français. De 1995 à 2005, à Paris, il a été analyste pour les services de renseignement du Ministère de l’Intérieur – notamment en contre-terrorisme. Installé ensuite à Montréal, il y a poursuivi ses activités en évaluation de la menace, au sein des services de renseignement de la Sûreté du Québec, puis dans le secteur privé, notamment à la Sûreté aéroportuaire d’Aéroports de Montréal. C’est là qu’il s’est orienté vers la gestion des risques des infrastructures essentielles, tout d’abord en sûreté physique, puis en sécurité de l’information. En 2014, il se spécialise en protection des renseignements personnels, d’abord au Centre universitaire de santé McGill, puis chez Industrielle Alliance. Aujourd’hui conseiller expert en protection de la vie privée chez Eviden Services Inc. (anciennement In Fidem), il est également chargé de cours à l’Université de Montréal et à Polytechnique Montréal, respectivement en gestion des risques de sûreté et en cyberenquête.
Capt(ret) Steve Waterhouse
Avons-nous amélioré notre résilience face à l’évolution technologique en 25 ans ?
Les entreprises par leur transformation numérique se doivent de prendre conscience tout comme tout le monde, que nous sommes très dépendants des TI maintenant et nous nous devons au quotidien toujours avoir un plan “B”. Cette présentation se veut une réflexion commune afin de changer nos perceptions en vue d’une meilleure préparation à ces risques. En 1998, le nord-est de l’Amérique du Nord a subi un évènement météorologique hors du commun soit une tempête de verglas, avec de grandes conséquences sur l’économie de 3 provinces et 3 états américains. Il y a eu heureusement peu de décès (la majorité attribuable à la mauvaise utilisation de chauffage d’appoint) et notre société débutait à peine à découvrir l’Internet. Pendant près d’un mois, beaucoup ont eu à apprendre à composer avec des difficultés d’organisation logistique (nourriture, carburant, médicaments) et comment se tenir au chaud si la vie de refuge d’urgence n’était pas possible. 25 ans plus tard, nous avons reçu l’hivers dernier un autre épisode de verglas qui a simplement créer des problèmes avec des coupures électriques de quelques jours due aux arbres mal entretenus. Devant ce constat, si l’épisode de verglas 2023 aurait été aussi grave qu’en 1998, considérant la dépendance de notre société au numérique et comment l’économie est basée sur du « just in time », est-ce que notre société, notre économie et nos gouvernances à tous les niveaux, prêt à y faire face de manière à réduire les conséquences à un niveau acceptable ?
Bio
C’est au cours de sa carrière militaire au sein du Royal 22e Régiment que le Capt(ret) Steve Waterhouse a troqué son arme contre un clavier et est devenu l’un des premiers cyber-soldats au Canada. Après avoir travaillé à la formation de soldats et d’officiers aux armes de combat, Steve a ensuite travaillé à la mise en place des premiers réseaux administratifs militaire au QGSQFT, à la base de Montréal et au Collège militaire royal de Saint-Jean avec les Forces armées canadiennes, ainsi qu’à la mise en œuvre de pratiques modernes de cybersécurité comme premier Officier de Sécurité des Systèmes d’information (OSSI). Il continue à partager sa passion et son expérience en tant que chargé de cours à l’Université de Sherbrooke dans le cadre du microprogramme de maîtrise en sécurité de l’information – volet prévention. Il est invité à apporter son expérience et son expertise aux commissions de la Chambre des communes du Canada et à l’Assemblée nationale du Québec et est fréquemment sollicité dans les médias canadiens pour commenter les questions de cybersécurité. En 2022, M. Waterhouse a aussi été le premier sous-ministre-adjoint à la sécurité gouvernementale et à la cybersécurité du ministère de la cybersécurité et du numérique du Québec jusqu’au début 2023.
Christophe Reverd
Le MITRE contre ATT&CK®
Outillez votre cyberdéfense en apprenant à naviguer dans la matrice des tactiques et techniques utilisées par les cybercriminels et leurs écosystèmes! Cette présentation intéressera autant les gestionnaires que les professionnels de la cybersécurité et de la gouvernance de la sécurité de l’information souhaitant développer leurs connaissances du domaine des opérations de cybersécurité. Depuis ces dernières années, le MITRE ATT&CK® s’est immiscé dans les opérations de cybersécurité au point de devenir un standard de facto. Les éditeurs de solutions de cybersécurité l’ont compris et intègrent de plus en plus cette approche dans leurs produits. Qu’en est-il de vos pratiques de cybersécurité ou de celles de votre fournisseur de services cybersécurité gérés ? Que vous soyez impliqué dans la cybersécurité offensive ou défensive, apprenez comment penser comme un pirate informatique, comprendre sa motivation, ses actions et ses outils avec l’approche MITRE ATT&CK® et D3FEND®. Que vous fassiez partie d’une grande entreprise ou d’une PME, prenez conscience de l’importance de connaitre les faiblesses de votre cyberdéfense, et d’identifier vos besoins afin d’acquérir les technologies appropriées pour y répondre. Que vous disposiez des ressources ou que vous fassiez appel à un fournisseur de services gérés en cybersécurité, découvrez comment vous assurer de disposer de l’expertise ou des services pour détecter et de répondre aux incidents selon votre contexte. Levez le voile sur l’opérationnalisation de ce qui n’est ni un produit ni une technologie dans les pratiques de cyberenseignement (CTI), chasse aux cybermenaces (TH) et simulations de cyberattaques (AE) ou encore comment renforcer la valeur du centre de gestion des opérations de cybersécurité (SOC). Clarifier l’intégration de l’approche MITRE ATT&CK® dans votre stratégie globale de sécurité de l’information en évaluant votre posture de cyberdéfense afin d’aligner vos contrôles avec les mécanismes de détection et de réponse requis. Enfin, appropriez-vous l’écosystème en ligne et les nombreuses ressources disponibles pour vous former ou vous faire certifier dans le cadre du programme MITRE ATT&CK Defender™ (MAD).
Bio
Tour à tour employé, entrepreneur et consultant, Christophe Reverd a eu l’opportunité d’élaborer, mettre en service, sécuriser et soutenir de grandes architectures d’entreprise (télécommunications, bancaire, fédéral, provincial, municipal, transport, médias, énergie). Ces dernières années, j’ai mis l’emphase sur la gestion des opérations de cybersécurité en mode délégué ainsi qu’en mode consultation. Titulaire d’une maîtrise en administration, concentration gouvernance, audit et sécurité des technologies de l’information (TI) de l’Université de Sherbrooke, je suis également détenteur de certifications professionnelles en gestion de la sécurité de l’information (CISSP-ISSMP), audit TI (CISA), gouvernance TI (CGEIT), risque TI (CRISC), MITRE ATT&CK (SOC, CTI, AE, THDE, PTM)) et infonuagique (Microsoft Azure). Ma passion à promouvoir les technologies émergentes a pris une nouvelle dimension par mon implication en éducation où j’ai inculqué les meilleures pratiques en tant que chargé de cours en gouvernance des TI à l’École de gestion pendant dix ans et en cyber sécurité au Centre de formation des TI (CEFTI) de la Faculté des Sciences de l’Université de Sherbrooke à l’automne 2019, parallèlement à mon parcours professionnel.
Cybertom
Revue rapide des évolution récentes en cyber-stratégie
Quels sont des évolutions récentes qu’il faut prendre le temps de reconnaitre dans le domaine de la cyber? Pendant cette session nous explorerons une sélection de quelques aspirations du passé qui sont devenues réalité, ou sont en passe de le devenir. A ces fins nous reviendrons sur une variété de sujets qui ont été au cœur de beaucoup de discussions et d’efforts dans les 2 à 5 dernières années et qui viennent apporter un changement conséquent aux pratiques de l’industrie. Pour chacune de ces tendances nous ferons une revue de la problématique de départ, les pratiques d’antan, leur évolution jusqu’à aujourd’hui et les défis que cela peut venir poser à la cyber communauté. Cette revue nous permettra de nous replacer dans le parcours évolutif de ces tendances, en définir les moteurs, obstacles, risques, bénéfices, et comment les conceptualiser pour mieux les aborder. Ces tendances ne furent pas sélectionnées purement subjectivement mais également dans une optique de consolidation des thèmes sur lesquels la communauté a fait beaucoup de progrès et qui ont été déjà bien définis dans la littérature académique et/ou de l’industrie. Ainsi nous espérons vous laisser non seulement avec une revue structurée de ces tendances, mais également des pistes de réflexion sur le statut et la continuation de leur évolution et de l’émergence des défis associes à considérer. A noter que nous n’aborderons pas certains sujets trop volatiles tel que l’évolution du paysage de cybermenaces ou trop juridique comme les changements règlementaires et législatif des dernières années. Ces sujets requiert un niveau de détails trop pousses et ne sont pas représentatif de changements propre à l’industrie même de la cyber même si ils peuvent en être les motivateurs. Si cette session ne se veut pas exhaustive et encore moins définitive, elle a pour but de poser un regard rétrospectif sur quelques pratiques émergentes non-négligeable pour le cyber-professionnel d’aujourd’hui et sont en passe de refaçonner notre approche ou celle de nos pairs dans nombre de domaines d’expertise.
Bio
Thomas est conseiller expert en cyber-stratégie chez Mandiant (maintenant une division de Google Cloud). Il tire parti de son expérience d’ingénieur en détection et d’intervenant en réponse aux cyber-incidents pour aider ses clients à mettre en place des programmes de cybersécurité fondés sur le cyber-risque et le renseignement sur les menaces. Grâce à cette position unique, Thomas participe régulièrement à la formulation et communication de cyber-stratégies d’entreprise auprès des exécutifs et/ou conseils d’administration pour de nombreuses entreprises en Amérique du Nord et internationalement. Tout en se concentrant principalement sur des clients issus de secteurs hautement règlementés tels que les services financiers, l’énergie et la sante, il travaille aussi régulièrement avec des clients du secteur publique, manufacturier et commerçant. Cette panoplie d’expériences lui a permis de découvrir et d’analyser comparativement les approches diverses et variées des cyber-stratégies en réponse aux défis encourus par chacune de ces industries. C’est enrichi de ces perspectives que Thomas s’adresse à vous aujourd’hui.
datalocaltmp
A Ghidra visualisation is worth a thousand GDB breakpoints
## A Ghidra visualisation is worth a thousand GDB breakpoints. Whether reverse engineering malware, debugging an application, or researching device security; being able to quickly gain a deep understanding of the project at hand is a huge advantage. This talk aims to illustrate shortfalls of GDB-only-debugging while providing a guide to producing visualisations of native code execution to better focus time and efforts. The talk will cover the process of visualising Android native execution for reverse engineering projects, as well as presenting the benefits of being able to quickly visualise the native execution layer of various Android components. Covering how this generally speeds up what would traditionally require GDB breakpoints and stepping through substantial amounts of decompiled code. Initially the talk will present an example Android application to describe the problem at hand with regards to managing many breakpoints to debug a crashing application. The talk will transition to presenting the current opensource tool stack for execution visualisation (Ghidra + Frida + Cartographer + Lighthouse), how they practically work together to visualise Android Application execution. This portion of the talk will show a practical example of visualising Facebook Messengers native code execution within Ghidra. The talk will then revisit the initial problem application with the visualisation approach to illustrate the significant speedup in debugging. The presentation will then cover the limitations of the current open-source tooling, specifically the inability to support visualising execution on non-rooted devices or execution in non-app processes. I will present my modifications to the tooling (OSS available on my Github) to provide a solution to these short comings and provide a practical example of debugging closed-source native libraries on the Quest 2 VR Headset. The talk will conclude with my general thoughts on these visualisation solutions and how they are extensible to many different projects outside of mobile technologies; as well as present some new tools that are coming out.
Bio
datalocaltmp is an independent security researcher focused on mobile technologies. I have previously maintained the blog at https://theappanalyst.com as well as currently maintain https://datalocaltmp.github.io. Previous work was focused towards ensuring consumer privacy, notably my work with TechCrunch on AirCanada’s (and many others) screen recording functionality resulted in an App Store policy change from Apple. I also have worked with the Biden Campaign in 2020 to prevent the leakage of voter records through their application (covered in detail @ theappanalyst.com). I now investigate security within mobile apps and platforms, claiming bounties with Bird Scooters, Amazon Ring Cameras, Reddit, PlentyofFish, Biden Campaign app, and many others. I have recently given a talk at Meta’s private bug bounty conference in Seoul on visualizing native code execution within their Messenger application and Quest 2 platform. The talk was well received and I believe it’s a topic that many are unfamiliar with but would benefit from.
Hugo Genesse
All Bytes are Equal but Some are More Equal Than Others
Diffing is used in software engineering to see differences between two inputs. In reverse-engineering, this is commonly used to see the differences between two versions of a binary, known as patch diffing. The goal of this talk is to highlight other uses for diffing in reverse-engineering for both static and dynamic analysis that are less common than patch diffing and can be used for different specializations other than vulnerability research on n-days. As with every reverse-engineering tool, the limitations and ways to assess when the analysis can get wrong and what to do to correct those cases will be presented. For static analysis, diffing uses algorithms to calculate how similar basic blocks and control flow inside of a function to find common functions between multiple binaries. By visualizing the similarities and differences, reverse engineers can build robust detections, prioritize their analysis by identifying common libraries in different pieces of statically-linked software that you don’t want to analyze and also find vulnerable dependencies in firmware. For dynamic analysis, diffing can be used with execution traces to pinpoint the code responsible for the change in behavior and analyze memory snapshots to find specific areas where data is stored. Simply create execution traces where the binary behaves differently and diff them to accelerate your workflow. Diffing will then be useful when looking at a malware that is cloaking its malicious actions when detecting a sandbox and even when reverse-engineering a video game and you want to find out your player’s structures in memory. Using free and open-source tools including Ghidra, BinExport and Bindiff, Cartographer and DynamoRIO, demos of different cases will be presented during the talk to showcase the power of diffing when reverse engineering. Furthermore, new features for dynamic tracing based on the number of executions in each trace will be released specially for BSidesMTL.
Bio
Hugo Genesse is working as a cybersecurity researcher at Hitachi Energy Research focused on Industrial Control Systems Cybersecurity for the power grid. He studies the cybersecurity of embedded devices, software and network protocols to build a safer power grid. In his spare time, he is the VP-conference at NorthSec where he leads the content for the conference alongside the CFP team. He is an alumni of the PolyHack/PolyHx cybersecurity club from Polytechnique Montreal. He also previously worked at Google on crimeware and botnets to track the bad guys on the Internet.
John Aron
Don't lose control of your security controls and identity
Bio
John Aron presented at the usual spots in these States for the DoDIN and at Security BSides in Columbus Ohio and San Diego California. Aronetics is a small startup defense and counter-offensive firm HQ’d in Cleveland Ohio and travelled often to get these ideas out how to tamper-proof your identity and your computer. I am a recognized subject matter expert and doing my part to add defenses to our mutual and national ethic. As a hunted person from national adversary, I am a bit careful of where I go and to whom I present. I have no perceived issues presenting this humor and idea to Security BSides Montreal and welcome the opportunity to add humor to such a dark topic. What we need is more sunshine and humor to fend off this advanced and annoying persistent threat.
Julian & Pavle Bozalo
Doing More With Less: Securing Small Organizations
In today’s rapidly evolving digital landscape, small organizations consistently face a myriad of cybersecurity threats. Often operating with limited resources, these organizations must find innovative ways to protect their valuable digital assets without compromising their ability to grow and succeed. This presentation will delve into effective strategies and tactics for securing small organizations through the lens of a hypothetical case study. Our approach focuses on three essential components: tabletop simulations, implementing a cybersecurity culture, and crown jewels assessments. The case study examines a small organization that successfully implements these measures to address its security challenges. In a world where cyber threats are constantly evolving, it is crucial to prepare for a wide range of potential scenarios. Tabletop simulations serve as an invaluable tool in this regard, providing a controlled environment in which stakeholders can collaborate, identify potential vulnerabilities, and develop response strategies. We will demonstrate the benefits of conducting tabletop simulations, emphasizing their ability to help organizations uncover and address weaknesses in their cybersecurity infrastructure. Creating a strong cybersecurity culture is another vital aspect of securing small organizations. This presentation will discuss the importance of fostering security awareness and adherence to best practices among employees. By embedding cybersecurity practices into the fabric of the organization, small businesses can significantly reduce their susceptibility to cyberattacks. We will explore the role of training programs, ongoing communication, and employee engagement in developing a robust cybersecurity culture. Lastly, we will examine the concept of crown jewels assessments, an approach designed to help small organizations identify and prioritize their most valuable digital assets. By understanding which assets are critical to the organization’s success and allocating resources to protect them, small organizations can maximize the impact of their security measures. We will discuss the process of conducting crown jewels assessments, including identifying critical assets, evaluating potential threats, and developing tailored protection strategies. Attendees will leave this presentation with a comprehensive understanding of the practical steps small organizations can take to mitigate cybersecurity risks. By leveraging tabletop simulations, fostering a cybersecurity culture, and conducting crown jewels assessments, small organizations can do more with less and strengthen their overall security posture. Through the application of these strategies, small businesses can minimize their exposure to cyber threats, safeguard their digital assets, and build a more resilient and secure foundation for future growth.
Bio
By day, Julian works as a penetration tester for Valencia Risk, hunting vulnerabilities to exploit. By night, Julian is a researcher and journalist focused on Russian cyberspace. Using his OSINT skills, Julian uncovers emerging threats to the Western world.
Pavle is a cybersecurity analyst for Valencia Risk, with an academic background in political science. He is fluent in English, French, Russian, Serbian, and Bulgarian, with a keen interest in understanding the implications of the evolving threat landscape on human and civil rights.
Mitch Breton
Intro to Binary Exploitation With Pwntools
PwnTools is a versatile software library and framework designed to aid developers and exploiters in working with software vulnerabilities. This talk will provide an introduction to PwnTools and demonstrate its effectiveness in reverse engineering and exploit development. Participants will gain insights into utilizing PwnTools to analyze the internal mechanisms of an application, construct a buffer overflow payload specific to the application, and extract a concealed password from the code. The presentation will encompass fundamental concepts, starting with reverse engineering techniques to unveil the inner workings of a program. Attendees will learn how to employ PwnTools to interact with low-level program components like memory, assembly code, and network sockets. Additionally, the talk will delve into exploit development, highlighting the creation and delivery of payloads, memory manipulation, and automation of repetitive tasks using PwnTools. Furthermore, participants will be introduced to CheckSec, a tool within PwnTools that verifies the presence of various security controls in binary files. The usage of GDB (GNU Debugger) will be explained, including techniques for comprehending GDB output and leveraging its capabilities effectively. The talk will also demonstrate the application of the Cyclic tool, which generates patterns essential for crafting exploits. Python will be showcased as a tool for writing exploit code with PwnTools. Additionally, the discussion will encompass vital topics in binary security, such as Address Space Layout Randomization (ASLR), Position Independent Execution (PIE), and the critical concept of buffer overflows. By attending this talk, participants will gain practical knowledge of PwnTools and its applications in reverse engineering and exploit development. They will acquire the skills necessary to analyze and manipulate program components, generate exploits, and navigate the intricacies of binary security. With PwnTools as their ally, participants will be empowered to tackle software vulnerabilities with greater confidence and proficiency. This talk, if selected to be presented at Bsides-Montreal will help demystify binary exploitation for new, and seasoned security professionals.
Bio
Mitch Breton is a passionate and dedicated Application Security Analyst. Working towards sharing the knowledge I have gained, and continuing my education and career within the cybersecurity space. I got my started in this space after going to college and not wanting to be “Just another application programmer”. A few Youtube videos later and I had signed myself up for college again at Fanshawe in London for the cyber security program and post my graduation have been working in the Industry for about 4 years now.
I have a passion for Red and Purple Team Security, Exploit Development, Reverse Engineering, Programming, Hack the Box, Try Hack Me, Lock Picking, Physical Security and Public Speaking. Forever a curious mind I love to work with others and also independently to enhance the skills of myself and my team as we work to secure applications and networks against the innumerable threats we face in this space every day.
Nicolas-Loïc Fortin
Homo economicus: La malheureuse habitude de qualifier les humains comme le maillon faible
Dans cette présentation, nous nous intéressons de près à l’idée de l’Homo economicus, souvent représentée comme une figure humaine d’une rationalité parfaite qui fait toujours le choix optimal en matière de cybersécurité. Cette représentation, en schématisant l’individu comme une entité uniquement rationnelle et égoïste, tend à simplifier outre mesure la véritable nature humaine, voire à la dénaturer. Une telle vision, nous semble-t-il, fait l’impasse sur la complexité intrinsèque de l’être humain, sur ses motivations multiples et parfois contradictoires, sur le rôle fondamental de ses émotions, sur l’importance de ses valeurs éthiques personnelles, sur la nature et l’intensité de ses relations sociales, et même sur la réalité de sa charge cognitive, qui n’est pas inépuisable. En outre, cette conception néglige un aspect crucial : loin d’être le maillon faible, l’humain est en réalité l’acteur principal dans l’orchestration de la cybersécurité. Il est celui qui conçoit, met en œuvre, contrôle, et améliore sans cesse les systèmes de protection. Son rôle est donc déterminant. Par ailleurs, nous examinons les conséquences de cette vision étroite et réductrice sur les approches que les praticiens en cybersécurité utilisent pour définir et mettre en place les systèmes de protection. Nous constatons qu’elle conduit souvent à des impasses, à des mesures inefficaces ou contre-productives, et parfois même à des risques accrus. C’est pourquoi nous proposons de nouvelles directions pour une meilleure compréhension du comportement en cybersécurité des humains. Nous plaidons pour un Homo cyber-economicus, qui tient compte de l’interdépendance, de l’empathie et de l’altruisme dans les décisions de cybersécurité. Une telle approche, plus réaliste et plus riche, pourrait conduire à des stratégies en cybersécurité plus efficaces. Elle pourrait aussi favoriser une société plus sécuritaire, où l’humain serait reconnu à sa juste valeur, non pas comme un maillon faible, mais comme une force de changement et de progrès.
**La nature humaine : plus complexe que l’Homo economicus**
L’Homo economicus est un modèle conceptuel de l’être humain qui est souvent utilisé en économie. Il est supposé être un individu rationnel qui cherche à maximiser son utilité, c’est-à-dire son bien-être. Ce modèle est très utile pour analyser des situations économiques, mais il ne rend pas compte de la complexité de la nature humaine. Les humains ne sont pas toujours rationnels. Ils peuvent être influencés par leurs émotions, leurs valeurs, leurs relations sociales, et même par leur charge cognitive. Par exemple, un individu peut être plus susceptible de faire un choix risqué s’il est sous pression ou s’il est émotionnellement impliqué dans la situation. De même, un individu peut être plus susceptible de suivre les recommandations de ses amis ou de sa famille que de prendre une décision par lui-même.
**L’importance de l’humain dans la cybersécurité**
L’humain est en réalité l’acteur principal dans l’orchestration de la cybersécurité. C’est lui qui conçoit, met en œuvre, contrôle, et améliore sans cesse les systèmes de protection. Son rôle est donc déterminant. Cependant, la vision étroite et réductrice de l’Homo economicus conduit souvent à des approches en cybersécurité qui ne tiennent pas compte de la complexité de la nature humaine. Cela peut conduire à des impasses, à des mesures inefficaces ou contre-productives, et parfois même à des risques accrus.
**Un Homo cyber-economicus : une approche plus réaliste et plus riche**
Nous proposons de nouvelles directions pour une meilleure compréhension du comportement en cybersécurité des humains. Nous plaidons pour un Homo cyber-economicus, qui tient compte de l’interdépendance, de l’empathie et de l’altruisme dans les décisions de cybersécurité. Une telle approche, plus réaliste et plus riche, pourrait conduire à des stratégies en cybersécurité plus efficaces. Elle pourrait aussi favoriser une société plus sécuritaire, où l’humain serait reconnu à sa juste valeur, non pas comme un maillon faible, mais comme une force de changement et de progrès.
Bio
Avec une carrière s’étendant sur plus de 25 ans, M. Fortin est un leader respecté et influent dans le secteur des technologies de l’information. Depuis l’aube du nouveau millénaire, il a consciemment orienté sa pratique vers la sécurité de l’information, affirmant une expertise qui est devenue sa marque de fabrique. En 2008, il a franchi une étape importante en créant Intrasécure, une entreprise à travers laquelle il a affiné ses compétences et acquis une expérience solide en architecture de sécurité, gouvernance, gestion de crises et conseil stratégique. Sa polyvalence lui a permis de travailler aussi bien avec la haute direction qu’avec les équipes techniques, affirmant son rôle en tant que facilitateur et leader dans le domaine. Animé par un désir insatiable de partager sa passion pour le monde de la cybersécurité, M. Fortin s’est impliqué dans de nombreux projets. Il a co-fondé l’événement de sécurité offensive Hackfest, a apporté une contribution essentielle à l’organisation du CQSI et a récemment mis sur pied l’événement de sécurité défensive intitulé « SeQCure ». Il a animé une multitude de podcasts sur la sécurité, avant de lancer son propre podcast, le PolySécure, en fin 2020. Il est régulièrement sollicité pour donner des conférences et des formations sur une variété de sujets, allant du zéro trust à l’architecture d’entreprise. M. Fortin a également mis sa plume au service de son expertise, contribuant au livre “Les fondamentaux de la gestion de crise cyber”. De plus, il publie régulièrement des billets succincts et informatifs sur différents blogs et newsletters, fournissant des éclairages précieux sur les enjeux actuels de la cybersécurité. Sa carrière est une démonstration de son engagement envers l’avancement de la sécurité de l’information.
Rolland Winters
Passive recon & intelligence collection using cyber-squatted domains
The DNS system was not designed with security in mind, and domain Squatting techniques are most commonly identified and known by their use in phishing attacks. In this talk we will demonstrate a less-often considered use for these domain names as reconnaissance and intelligence gathering tools. Domain squatting presents the creative attacker with low cost, and extremely effective ways to passively gather large amounts of useful data & intelligence. These techniques can be highly targeted, or they can be used by cyber criminals to cast a wide net, taking advantage of victims as the opportunities present themselves. For our research, we are using “catch-all” email inboxes on squatted variants of a very popular public email service. Our intention for this data is to analyse & demonstrate the diversity of information obtainable using this technique. A single typo or bitflip in the domain name of an email address will result in our inboxes receiving email intended for someone else! Using roughly a dozen domain names, we are currently capturing thousands of emails each week. Are you curious to know what we’ve found, and how you can defend your organisation about this type of attack?
Bio
Rolland Winters is a Cyber Operator (Canadian Armed Forces) & Director of Cyber Security (Commissionnaires du Quebec). Rolland Winters is an army reservist and team lead for the cyber protection team at 34 Signal Regiment in Montreal. He is also the director of cybersecurity for the Commissionnaires du Québec. He has a diverse background, with professional experience in military radio and satellite systems, IOT, smart home automation, CCT/security systems, web application development, and information security.
Terry Cutler
“Insider Secrets” to HOW hackers are getting in, and WHY
In the digital age, where our lives are intertwined with technology, the specter of cyber threats looms ominously, posing an ever-increasing risk to our personal and professional security. This presentation promises to offer attendees a rare “behind-the-scenes look” at the sinister world of hackers, their methods, and how they exploit the plethora of information available online to orchestrate targeted attacks. This session delves into the heart of the problem with modern-day security, highlighting the inherent vulnerabilities that we often overlook. Attendees will gain invaluable insights into the minds of the threat agents – the hackers who relentlessly seek to capitalize on these weaknesses, leaving individuals and organizations exposed to potential harm. Essential terminology will be demystified, ensuring that the audience grasps the nuances of cyber threats and becomes better equipped to navigate the digital landscape safely. The presentation unfolds the meticulous phases hackers employ in their quest to target specific victims, revealing the cunning strategies and tactics employed to breach digital defenses. Perhaps most crucially, the session places a strong emphasis on social engineering awareness, shedding light on how hackers leverage psychological manipulation to extract sensitive information from unsuspecting individuals. Attendees will leave this talk more cognizant of their online presence, understanding how seemingly innocuous data can be ingeniously woven together to construct a dangerous profile. To underscore the gravity of the issue, a real-world hacking demonstration will showcase the practical implications of lax online habits, leaving a lasting impact on the audience. However, the session is not one-sided; defensive tools and strategies will also be presented, empowering attendees to take proactive measures in safeguarding their digital identities. The vast expanse of topics covered ensures a comprehensive and enlightening experience for attendees, instilling them with newfound knowledge to secure their online domains. As they emerge from this enlightening session, participants will be more alert, discerning, and better equipped to confront the lurking cyber threats that surround us daily. Armed with the wisdom gained from this presentation, individuals can take charge of their digital destinies and protect themselves in an ever-evolving technological landscape.
Bio
Terry Cutler, the CEO of Cyology Labs, is an internationally acclaimed cybersecurity expert and a Government-cleared Ethical Hacker. He has been providing top-notch consulting services to some of Canada’s largest corporations for over 20 years, advising them on internal and external security penetration prevention and remedies. Terry is also the author of the #1 Amazon best-selling book “Insider Secrets to Internet Safety: Advice from a Professional Hacker.” He has made numerous TV appearances and has delivered live public speaking events on cybersecurity.Terry’s highly effective online learning program, Internet Safety University (www.InternetSafetyUniversity.com), attracts over 39,000 students from 150 countries. The program, developed in 2013, addresses cyber-crime, spying, security failures, Internet scams, and social networking dangers that families and individuals encounter every day.Terry’s achievements in the cybersecurity field have been acknowledged with numerous prestigious awards. In 2017, he was awarded the Cybersecurity Educator of the year, followed by being named to IFSEC Global’s Top 20 Most Influential People in Cybersecurity for three consecutive years (2018, 2019, 2020). He was also listed in the CISO Platform Global TOP 100 List in the same year. To further assist businesses and individuals in staying safe online, Terry launched his highly anticipated App Fraudster (www.FraudsterApp.com).
Thomas Veynachter
Le besoin et l'efficacité des transformations des équipes sécurité dans les organisations
Sécuriser le savoir-faire et la propriété intellectuelle, préserver la confiance des clients : ce ne sont là que quelques-unes des raisons pour lesquelles les entreprises investissent dans la cybersécurité. Le marché mondial de la cybersécurité, qui connaît une croissance rapide, était évalué à 132,94 milliards de dollars en 2021 et devrait croître à un taux de croissance annuel moyen de 14,1 % entre 2022 et 2027. À l’heure où ces investissements colossaux sont réalisés, la menace n’a jamais été aussi grande et, avec l’avènement de l’IA, les groupes cyberterroristes n’ont jamais été aussi efficaces pour soutirer de l’argent à leurs victimes (6 000 milliards USD en 2021). Que pouvez-vous faire pour vous protéger ? Si la souscription d’une cyber-assurance semble incontournable, est-elle suffisante ? Compte tenu du durcissement des critères et de l’augmentation des primes d’assurance, elle ne semble pas suffisante. Alors quelles sont les autres solutions ? L’une d’entre elles, et c’est celle que je vais vous présenter, repose sur la transformation de notre façon de penser la cybersécurité. En appliquant des concepts simples basés sur la livraison de valeur, la transparence, la synchronisation des équipes et une bonne communication, l’intégration de la sécurité dès la conception devient un véritable atout pour se concentrer sur les bonnes priorités, maîtriser les coûts et garantir un haut niveau de qualité. Dans cette présentation, je vais partager avec vous mon expérience de 18 mois au sein d’un des 20 plus grands groupes bancaires mondiaux. Nous verrons comment la décision de transformer a été prise, comment la transformation s’est déroulée, comment elle a été intégrée aux autres initiatives du groupe, les défis, les points durs et surtout les bénéfices que le groupe en a retirés. Au cours de cette session chacun pourra se projeter au sein de son organisation actuelle et envisager les étapes suivantes.
Bio
Thomas est un expert chevronné en cybersécurité avec 15 ans d’expérience dans le secteur bancaire. Passionné par la transformation des entreprises, il est reconnu pour ses compétences techniques avancées en cryptographie. Après avoir débuté comme administrateur de la sécurité des systèmes d’information, il a rapidement gravi les échelons pour devenir responsable de l’équipe de gestion des secrets d’une grande institution financière. Cette expérience l’a conduit à mettre en place des offres de services de chiffrement et de gestion de clés, offrant un haut niveau de disponibilité pour des problématiques cruciales telles que la protection des données et la prévention des cyber-attaques. Grâce à son leadership, Thomas a joué un rôle clé dans la transformation organisationnelle des équipes de cybersécurité de la banque, encourageant une approche proactive de la sécurité. Sa passion pour l’amélioration continue s’est reflétée dans son travail avec les équipes, les guidant vers une plus grande maturité dans leurs livraisons quotidiennes. Aujourd’hui, à la tête du bureau canadien de Neotrust, Thomas a constitué une équipe d’experts en cybersécurité capables de soutenir leurs clients à deux niveaux distincts. D’une part, ils aident les PME à mettre en place des solutions et des processus de cybersécurité. D’autre part, ils apportent leur expertise aux grandes organisations sur les questions de cybertransformation, de gestion de crise et dans des domaines hautement spécialisés tels que la gestion de l’information d’entreprise (EIM) et la cryptographie. Grâce à son leadership et à son engagement en faveur de l’excellence, Thomas est reconnu dans le domaine de la cybersécurité, offrant des solutions cyber automatisées adaptées aux besoins spécifiques de chaque client, tout en restant à l’avant-garde des derniers développements technologiques et des tendances de l’industrie.
Scientific committee
Darren Mott | Quantum Research International Helen Oakley | SAP
Marc-Etienne Léveillé | ESET Masarah Paquet-Clouston | Université de Montréal Mathilde Conseil | BDC Pierre-Marc Bureau | Google Canada