Sekurak Mega Hacking Party

19.10.2023

Mega Sekurak Hacking Party ponownie w Krakowie!😊

Po kilku latach przerwy wracamy do spotkania on-site!

19 października 2023 zapraszamy wszystkich zainteresowanych tematyką cyberbezpieczeństwa do Centrum Kongresowego ICE w Krakowie. Podczas całego dnia będą czekały na Was dwie ścieżki:

Ścieżka główna – 10 prelekcji

Hacking Depot – 3 sesje hackowania „na żywo”

W tym roku witamy wśród naszych partnerów: Wojska Obrony Cyberprzestrzeni oraz Bank Alior SA.

AGENDA

  • 9:00
  • 2+2=BUG, czyli paradoks połączonych systemów

    Kluczową różnicą pomiędzy małymi a dużymi systemami jest powielanie funkcjonalności. Na przykład, w małym systemie zazwyczaj potrzebujemy tylko jednego parsera TCP, jednego parsera HTTP, jednego parsera ZIP, i tak dalej. Załóżmy, że jakimś cudem cały system jest poprawnie zaimplementowany i nie posiada błędów bezpieczeństwa. A teraz dodajmy do tego drugi, również idealnie bezpieczny, połączony system, zbudowany przez zupełnie inny zespół. Jak się często okazuje w praktyce, dwa połączone bezpieczne systemy niekoniecznie dadzą bezpieczną całość.

    Celem tego wykładu jest przegląd i omówienie klas błędów typowych dla złożonych systemów. W szczególności skupię się na błędach, których przyczyna leży w wykorzystaniu kilku różnych implementacjach tego samego protokołu czy formatu plików. Prelekcja będzie przekrojowa, a więc wspomniane będą błędy zarówno nisko- jak i wysokopoziomowe, zarówno w oprogramowaniu webowym, jak i np. implementacji niskopoziomowych protokołów sieciowych.

    Wykład skierowany jest przede wszystkim do osób początkujących i średniozaawansowanych.

  • Dlaczego HTML jest zmutowaną bestią?

    Wyobraźcie sobie, że w macie jakiś dowolny obiekt w pamięci w waszym ulubionym języku programowania. Następnie serializujecie ten obiekt używając do tego standardu JSON. W kolejnym kroku zaś deserializujecie ten JSON z powrotem do obiektu w pamięci. I w tym momencie okazuje się, że dostajecie kompletnie inny obiekt niż mieliście oryginalnie – który zostaje całkowicie inaczej zinterpretowany przez aplikację i który – co gorsza – doprowadza do błędu bezpieczeństwa w aplikacji!

    Brzmi źle? Na szczęście w JSON-ie zazwyczaj nie obserwujemy tego typu zachowania. Okazuje się jednak, że w HTML takie zachowanie w pewnych sytuacjach jest w 100% zgodne ze specyfikacją! Tego typu problemu zazwyczaj nazywane są mXSS (mutation XSS).

    W swojej prezentacji pomówię właśnie o specyfikacji HTML, o tym z czego wynika jego skłonność do mutacji i skąd konkretnie bierze się mXSS. Opowiem też, co próbujemy zrobić, żeby próbować mXSS zlikwidować z platformy webowej.

  • Kto to panu tak… napisał?

    Aplikacje desktopowe również posiadają błędy bezpieczeństwa.

    W trakcie prezentacji, przeprowadzony będzie pobieżny test penetracyjny aplikacji desktopowej, dzięki któremu dowiemy się czego nie należy robić, projektując mechanizmy uwierzytelnienia.

  • Halo, Kernel? Ale to ty dzwonisz…

    W systemach Windows, istotna część wydarzeń odbywa się w trybie jądra. Nie dość, że warto tam zajrzeć, to jeszcze czasem przydałoby się w świadomy sposób o coś jądro systemu poprosić.

    Korzyści mogą być naprawdę warte zachodu, dlatego warto tematowi poświęcić całą sesję. Uwaga! Zawiera więcej niż śladowe ilości kodu w C.

  • Antivirus bypass – techniki na ukrywanie obecności przed oprogramowaniem antywirusowym

    Jak zwiększyć skuteczność kampanii red team i testów socjotechnicznych – czyli przedstawienie sposobów i narzędzi pozwalających na obniżenie skuteczności antywirusów w wykrywaniu obecności wrogiego kodu w uruchamianym oprogramowaniu.

  • 14:00 – 15:00

    Przerwa obiadowa

  • AI-srejaj. Jak rozwój LLM wpłynął na pracę pentestera?

    Podczas prezentacji opowiem o tym jak rozwój LLM (m.in. Chat GPT) wpłynął na prace w IT Security. Porównam plusy dodatnie i ujemne, powróżę z porozrzucanych bajtów. Wszystko oczami zawodowego pentestera.

  • Jak zhackowałem swoją klimatyzację

    Zastanawialiście się kiedyś jak przejść od etapu oglądania obudowy urządzenia z zewnątrz do finalnego przejęcia kontroli nad nim? Jeśli tak, to postaram się pokazać Wam jak przeszedłem taką drogę na przykładzie swojej prywatnej klimatyzacji i podzielić się paroma praktycznymi wskazówkami, które z pewnością przydadzą się przy badaniu różnych urządzeń z systemami wbudowanymi na pokładzie.

  • Szpiedzy (nie) tacy jak my

    O szpiegowaniu, głownie w social media. Szpiegowanie z wykorzystaniem serwisów internetowych i mediów społecznościowych – małe i duże akcje, drobne i większe porażki”.

  • Utrudnianie ataków na oprogramowanie za pomocą blockchaina

    Historia pokazała nam że wzrost popularności ataków typu supply chain nie jest przypadkowy. Szerokie pole rażenia oraz trudność w wykryciu tego ataku może spowodować wiele problemów. Zamiast skupiać się na klasycznych rozwiązaniach, może jednak warto rozejrzeć się za nowymi alternatywami? Podczas prelekcji zaproponuje pewien schemat jak w dosyć prosty i sprytny sposób wykorzystać łańcuch bloków do zwalczania ataku poprzez kradzież klucza prywatnego organizacji.

  • Docker hacking

    Praktyczna prezentacja nietuzinkowych i ciekawych ataków na najpopularniejszą platformę do konteneryzacji. Zostaną przedstawione strategie i techniki wykorzystywane przez hakerów do infiltracji kontenerów Docker, jednocześnie pokazując, jak efektywnie bronić się przed takimi atakami. Uczestnicy dowiedzą się o potencjalnych lukach bezpieczeństwa w standardowych konfiguracjach Docker, a także o najnowszych narzędziach i praktykach zabezpieczania kontenerów, także związanych z AI.

  • 19:00

    Zakończenie i after party

  • Hacking Depot

    • Hackowanie na żywo przykładowej sieci, aplikacji, urządzeń…
    • Rozmowy w kuluarach z hackerami-prelegentami.
    • 90-minutowe sesje odbywające się w sali dla 400 osób (obok głównej sali konferencyjnej MSHP).
    • Sekrety i tricki doświadczonych pentesterów w działaniu.

    Sesja odbędzie się trzy razy w trakcie całego wydarzenia.

    Zapraszamy w najbardziej dogodnym dla Ciebie czasie.

PRELEGENCI I GOŚCIE

SZCZEGÓŁY WYDARZENIA

Data: 19.10.2023 / godzina rozpoczęcia: 9:00 / zakończenie: 19:00 / Miejsce: Centrum Kongresowe ICE Kraków

MÓWIĄ O NAS

Zdecydowanie najlepszy meeting na jaki byłem we Wrocławiu w tym roku. Masa ciekawej wiedzy zaprezentowanej w niebanalny sposób. Naprawdę polecam i już czekam na kolejny.

Dobrze się bawiłem, dowiedziałem się wielu ciekawych rzeczy, generalnie polecam każdemu się wybrać choć raz na hacking party w jakimś mieście ;p

Mega przykłady pokazane w mega przystępny sposób. Otwartość i dostępność prelegentów

[super była]: widoczność, dźwięk, dostępność (miejsce, wyjścia, catering).

Pełen profesjonalizm prowadzących, sprawna obsługa i rejestracja uczestników, atrakcyjna oprawa graficzna prezentacji, niebanalny humor wielu prezenterów!

Merytorycznie, widowiskowo, bez sztampy

[super] stosunek ceny do zawartości merytorycznej.

Techniczna strona prezentacji stała na wysokim poziomie. Nie były to tylko suche teoretyczne prezentacje, ale praktyczna wiedza przekazana uczestnikom.

Super atmosfera. Pokazy na żywo. Kompetencje prowadzących na najwyższym poziomie.

©2023 Sekurak Hacking Party