Sekurak Mega Hacking Party

13.06.2022

Zapraszamy na letnią, zdalną edycję MSHP.

13 czerwca będzie…gorąco!

Mega Sekurak Hacking Party – całodniowa, zdalna edycja, 13.06.2022 – zapraszamy na wyjątkowe wydarzenie w branży! Cały dzień konkretnej, aktualnej wiedzy (z wyłączeniem przerw), większość w formie praktycznych pokazów „hackingu” na żywo, bez męczącego marketingu produktowego, tylko merytoryka, brak nudy gwarantowany! Prezentacje prowadzone przez ludzi, którzy wiedzą o czym mówią, bo na co dzień zajmują się etycznym „hakowaniem” systemów, identyfikacją podatności a także doradzaniem w budowie bezpieczniejszego świata.

AGENDA

Podczas wydarzenie będziemy prowadzili równolegle dwie ścieżki.
  • 8:45
  • 9:00 – 9:45

    Dlaczego hackowanie aplikacji webowych jest proste ( 2022 )

    Jak będzie wyglądało bezpieczeństwo aplikacji webowych w 2050. roku? Jakoś tak: ’ or '1’=’1 Czyli w zasadzie w ogóle się nie zmieni. Dlaczego tak uważam? A to dlatego. że nie wydać na horyzoncie znacznej poprawy w temacie krytycznych i dość prostych do wykorzystania podatności w aplikacjach webowych. Ba – dziur jest coraz więcej. W trakcie prezentacji będę się starał Was przekonać do takiego punktu widzenia.

    Po prelekcji przewidujemy krótką sesję Q&A.

  • 9:50 – 10:00

    Przerwa

  • 10:00 – 10:45

    Historia niezwykłego buga w parserze HTML w Chromie (+ obejście DOMPurify)

    Pisząc aplikacje webowe i implementując różne mechanizmy bezpieczeństwa, często musimy korzystać z narzędzi, które dają nam przeglądarki internetowe.

    Jedną z operacji, którą typowo wykonuje przeglądarka jest parsowanie HTML-a. Następnie wynik tego parsowania może być przetwarzane przez biblioteki do czyszczenia HTML (takie jak np. DOMPurify), które próbują z niego wyciąć wszelkie fragmenty pozwalające na wykonanie ataku XSS.

    W tym przypadku DOMPurify polega na danych zwracanych przez przeglądarkę, by prawidłowo wykonać swoje zadanie. Okazuje się jednak, że przeglądarka może mieć błąd i dosłownie „okłamać” pozostałe narzędzia odnośnie tego, jak przeparsuje dany HTML!

    W prezentacji zobaczymy przykład niezwykłego błędu w Chrome (już załatanego), gdzie właśnie błąd w parserze HTML pozwalał na obejście biblioteki DOMPurify.

    Po prelekcji przewidujemy krótką sesję Q&A.

  • 10:50 – 11:00

    Przerwa

  • 11:00 – 11:30

    Wprowadzenie do Bezpieczeństwa IT – Nowa książka od Sekuraka!

    Panel poświęcony nowej książce od Sekuraka. Opowiemy o zawartości publikacji, ilości stron i tomów oraz planowanej dacie premiery.

    Pokażemy również okładkę i odpowiemy na Wasze pytania!

  • 11:30 – 11:45

    Przerwa

  • 11:45 – 12:30

    Application Whitelisting

    Application Whitelisting w największym skrócie opisać można jako sposób myślenia, w którym zamiast (albo oprócz) zabraniania złych aplikacji, pozwalamy tylko na te dobre. System Windows wyposażony jest „z pudełka” we wszystko, co jest do tego potrzebne, więc warto taką zmianę rozważyć, ponieważ znacząco podniesie to poziom bezpieczeństwa całej organizacji. Brzmi niewinnie, ale tak naprawdę nieraz jest poważnym wyzwaniem. Dlatego warto temu tematowi poświęcić całą sesję.

    Po prelekcji przewidujemy krótką sesję Q&A.

  • 12:30 – 13:00

    Przerwa obiadowa

  • 13:00 – 13:45

    Best client fuckups overview

    Prezentacja zbioru scenariuszy incydentów IT klientów z ostatnich 10 lat, m.in: od niewinnego maila po ransomware na domenie; „halo, backup nie działa”; „głupie IT nie pozwala instalować gier” i inne.

    Po prelekcji przewidujemy krótką sesję Q&A.

  • 13:50 – 14:00

    Przerwa

  • 14:00 – 14:45

    Kryptologia z lotu ptaka

    Po co człowiek wymyślił szyfry? Dlaczego kodowanie to nie jest szyfrowanie? Czym różnią się szyfry klasyczne od szyfrów współczesnych, a co mają wspólnego? Czy można udowodnić, że szyfr jest bezpieczny? Skąd się biorą szyfry? Przynoszą je bociany czy rosną w kapuście? Czy należy się bać, że komputery kwantowe pozbawią nas prywatności?

    Po prelekcji przewidujemy krótką sesję Q&A.

  • 14:50 – 15:00

    Przerwa

  • 15:00 – 15:45

    „Dobra architektura infrastruktury IT jak dobra architektura urbanistyki – najpierw ignorujemy, a potem narzekamy”

    Audyty wewnętrzne, audyty zewnętrzne, audyty certyfikacyjne, testy penetracyjne – to wszystko robimy na co dzień. Ale często punktowo szukamy wad, skupiamy się na jednym elemencie. I nawet gdy przedmiotem zainteresowania jest konkretna aplikacja, to jej bezpieczeństwo uzależnione jest od bezpieczeństwa, w tym „dobrej architektury” samego systemu IT. Dlaczego zatem najczęściej pracujemy mając bardzo zawężony punktu widzenia? Jakie zagrożenia niesie takie podejście?

    Po prelekcji przewidujemy krótką sesję Q&A.

  • 15:50 – 16:00

    Przerwa

  • 16:00 – 16:45

    To ptak! To samolot! Nie, to… OSINT

    Informacje o wielu obiektach pływających i latających są dostępne bez problemu w Internecie. Dzięki temu możemy śledzić praktycznie każdy ich ruch. Na MegaSHP opowiem tym razem co można wyczytać z dostępnych informacji, czy zawsze są one prawdziwe i jak samodzielnie zbudować swoje OSINT-owe centrum dowodzenia.

    Po prelekcji przewidujemy krótką sesję Q&A.

  • 17:00 – 17:15
  • Os Command Injection

    Otrzymujesz zlecenie na tajne laboratorium, działające w pewnym, obciążonym reżimem kraju. Po dokonanym rozpoznaniu okazuje się, że jednym ze sposobów na ciche wejście pozostaje takie małe, niepozorne urządzenie działające w ich sieci. Na prezentacji pokażę Ci techniki wyszukiwania bardziej zaawansowanych błędów typu Os Command Injection oraz proces ich eksploitacji na przykładzie tych, które znalazłem w zestawie routerów firmy Tenda. Wejdziemy “do środka” samego urządzenia, zobaczymy jak ono funkcjonuje i dokonamy analizy dynamicznej tajemniczej binarki za pomocą Ghidry oraz gdb. Będziemy jeszcze musieli wyłączyć na chwilę prąd w okolicy ale nikt nie obiecywał, że to będzie prosta operacja.

     

  • SIP Honeypot – analiza metod ataków VoIP

    Analiza ataków na VoIP zebranych przez SIP Honeypot. Omówienie źródeł geograficznych, metod i częstotliwości ataków. Metody zabezpieczeń serwera SIP.

     

  • Audyt serwerów Linuxa

    Wykonywanie audytu i wdrażanie poprawek bezpieczeństwa. Dowiesz się, jak w bezpieczny sposób wykonać audyt serwera Linux, czyli jak sprawdzić, co możesz w nim poprawić i zabezpieczyć. Zrozumiesz jak poprawnie zabezpieczyć serwer i usługi. Dowiesz się jak działa skanowanie podatności. Nauczysz się korzystać z dokumentacji i raportów dotyczących podatności i poprawek.

     

  • QR-kody nie ekscytują absolutnie nikogo. Ot, małe kwadratowe obrazki, pstryknięte smartfonem pozwalają otworzyć stronę WWW bez ręcznego wklepywania URL-a. Gdy jednak zajrzymy do środka, znajdziemy w nich zestaw naprawdę dobrych pomysłów na efektywne upakowanie treści i zwiększanie odporności na uszkodzenie. Bonus – przeanalizujemy ryzyka, z którymi wiąże się publikowanie oraz skanowanie QR-kodów.

     

  • Praktyczne aspekty wdrożenia ochrony przed porywaniem prefiksów

    Dużo w ciągu ostatnich miesięcy mówi się o atakach z porywaniem prefiksów i przejmowaniem przestrzeni adresowej. W trakcie prezentacji zajmiemy się praktyczną stroną takiego ataku oraz najlepszymi praktykami pozwalającymi zminimalizować lub wyeliminować szansę stania się ofiarą takiego ataku.

PRELEGENCI I GOŚCIE

SZCZEGÓŁY WYDARZENIA

Data: 13.06.2022 / godzina rozpoczęcia: 9:00 / zakończenie: 17:00

MÓWIĄ O NAS

Zdecydowanie najlepszy meeting na jaki byłem we Wrocławiu w tym roku. Masa ciekawej wiedzy zaprezentowanej w niebanalny sposób. Naprawdę polecam i już czekam na kolejny.

Dobrze się bawiłem, dowiedziałem się wielu ciekawych rzeczy, generalnie polecam każdemu się wybrać choć raz na hacking party w jakimś mieście ;p

Mega przykłady pokazane w mega przystępny sposób. Otwartość i dostępność prelegentów

[super była]: widoczność, dźwięk, dostępność (miejsce, wyjścia, catering).

Pełen profesjonalizm prowadzących, sprawna obsługa i rejestracja uczestników, atrakcyjna oprawa graficzna prezentacji, niebanalny humor wielu prezenterów!

Merytorycznie, widowiskowo, bez sztampy

[super] stosunek ceny do zawartości merytorycznej.

Techniczna strona prezentacji stała na wysokim poziomie. Nie były to tylko suche teoretyczne prezentacje, ale praktyczna wiedza przekazana uczestnikom.

Super atmosfera. Pokazy na żywo. Kompetencje prowadzących na najwyższym poziomie.

©2022 Sekurak Hacking Party