Mega Sekurak Hacking Party 20.05.2024
Zapraszamy na majowe Mega Sekurak Hacking Party!
Na uczestników czekają aż trzy ścieżki tematyczne: WEBSEC, NETSEC i DEFENCE!
Na uczestników czekają aż trzy ścieżki tematyczne: WEBSEC, NETSEC i DEFENCE!
Ścieżka NETSEC
-
Lubisz OSINT? Lubisz AI?
Wraz z Tomkiem zapraszamy zatem na prelekcję nt. narzędzi AI w białym wywiadzie. Co się zmieniło, co się zmieni, a co pozostanie niezmienne. Pokaz będzie miał charakter praktyczny.
-
Research urządzeń działających w branży automotive to temat nieskończony, niekiedy niewdzięczny natomiast z pewnością jest bardzo wciągający i fascynujący! Lubisz szybkie samochody? Ostatnio była Kia, tym razem na warsztat leci ECU, który działa w samochodach marki Porsche.
Wraz z Mateuszem zanurzymy się w analizę możliwości nieautoryzowanego dostępu do funkcji, które wpływają na bezpieczeństwo podczas jazdy. Nie obejdzie się bez wykorzystywanego sprzętu do badań oraz omówienia wykorzystywanych technologii.
-
Jak uchronić swoje prefiksy przed kradzieżą i rozgłoszeniem przez nieuprawnionym rozgłaszaniem przez operatora? W jaki sposób zweryfikować, czy odbierany przez nas prefiks nie jest przypadkiem rozgłaszany przez atakującego?
Ta sesja będzie krótkim przypomnieniem, że swoje prefiksy można cyfrowo podpisywać za pomocą BGP RPKI i nie jest to takie trudne.
-
Wiemy, że urządzenia IoT często trafiają na rynek z koszmarnymi i łatwymi do wykorzystania podatnościami. Pomysły, żeby wprowadzić tu minimalne wiążące standardy bezpieczeństwa, zmaterializowały się ostatnio na poziomie Unii Europejskiej. W tym roku zapewne zostanie przyjęty, a za mniej więcej 3 lata zacznie być stosowany tzw. akt o cyberodporności.
Bohdan opowie, co to w zasadzie jest i pospekuluje, co może się przez to zmienić.
-
W kwietniu 2020 roku powstał pierwszy prototyp F0, a jak to wygląda dzisiaj? Maciej pokaże na żywo co potrafi to maleństwo – od zakupu, przez aktualizacji firmware, podstawową konfigurację aż do wykonania złośliwego kodu na Windows.
-
Jak będzie wyglądało bezpieczeństwo aplikacji webowych w 2050. roku? Jakoś tak: ’ or '1’=’1 Czyli w zasadzie w ogóle się nie zmieni. Dlaczego tak uważam? Dlatego, że nie widać na horyzoncie znacznej poprawy w temacie krytycznych i dość prostych do wykorzystania podatności w aplikacjach webowych. Ba – dziur jest coraz więcej 🙂
W trakcie prezentacji będę się starał Was przekonać do takiego punktu widzenia.
-
W ramach prelekcji, będziemy na żywo szukać podatności w aplikacji internetowej. Spróbujemy je opisać, a także przygotować scenariusze ataków jak w przypadku relanych testów penetracyjnych.
-
Mateusz przedstawi swoje open sourceowe narzędzie, które można wykorzystać do szybszego crackowania (wybranych) hashy, które na GPU wymagają o wiele więcej czas niż na specjalnie zaprojektowanych układach logicznych.
Przedstawi faktyczne zalety i wady takiego rozwiązania. Porównanie kosztów oraz wyników dla poszczególnych hashy.
-
Jak przejmować kontrole nad systemami za pomocą ctrl+c i ctrl+v? Script Kiddie w dobie Generatywnej AI oraz automatyzacja testów bezpieczeństwa przy użyciu PentestGPT. Wraz z Wiktorem sprawdźmy czy LLM jest w stanie wspierać pentestera w jego codziennej pracy i zobaczmy jak dobrze daje sobie radę z tym zadaniem.
-
Przepis jest prosty: zrób generator kodu wirusa, skompiluj, namów innych, żeby zechcieli wszystkie te pliki uruchomić. Zdradzając zakończenie: udało się!
Czy antywirusy, sandboxy, EDRy i inne podobne rozwiązania też powinny się cieszyć, ocenicie sami.
-
SSHardening. Różne techniki utwardzania konfiguracji SSH/SCP/SFTP w celu utrudnienia ataku
Wszyscy używają, znają i rozumieją SSH, prawda? Prawda?!…
Po pierwsze – prócz zdalnej powłoki ta usługa udostępnia co najmniej pięć innych protokołów. Wyłączymy zbędne a z pozostałych wyciśniemy tyle, ile się da.
Po drugie – klucze. Skonfigurujemy je w sposób bezpieczny i wygodny. Wreszcie naprawdę uznacie używanie haseł w SSH za przeżytek – a przynajmniej taką mam nadzieję:)
Po trzecie – admin to nie user, user to nie automat. Uszczelnimy, pogrupujemy i ograniczymy – niech dla każdego konta działa to, co naprawdę potrzebne – i nic więcej.
A po czwarte… a zresztą, sami zobaczycie:)
-
Flipper Zero – jak w 5 minut pokonałem bramki kontroli dostępu i drzwi otwierane pilotem
Piotr pokaże jego możliwości jak chodzi o systemy kontroli dostępu – klonowanie/spoofowanie kart RFID, systemy sterowania na pilota (nawet te bardziej skomplikowane jak keeloq).
-
Sesja będzie przejściem przez historie włamań z którymi Robert miał do czynienia w ramach projektów Compromise Recovery.
Omówione zostaną elementy wspólne które doprowadziły do sytuacji kryzysowej, ale także metody które pozwalają ustrzec się przed podobnymi problemami w przyszłości.
PRELEGENCI I GOŚCIE
-
Twórca portalu sekurak.pl, założyciel Securitum
-
Konsultant ds. cyberbezpieczeństwa
-
Inżynier systemowy
-
Konsultant ds. bezpieczeństwa
-
Senior Security Consultant & Trainer
-
Inżynier systemów wbudowanych
-
Radca prawny
-
Konsultant ds. bezpieczeństwa IT
SZCZEGÓŁY WYDARZENIA
Data: 20.05.2024 / godzina rozpoczęcia: 10:00 / zakończenie: 16:00 / Miejsce: on-line