Mega Sekurak Hacking Party

19.10.2023

Mega Sekurak Hacking Party ponownie w Krakowie!😊

Po kilku latach przerwy wracamy do spotkania on-site!

19 października 2023 zapraszamy wszystkich zainteresowanych tematyką cyberbezpieczeństwa do Centrum Kongresowego ICE w Krakowie. Podczas całego dnia będą czekały na Was dwie ścieżki:

Ścieżka główna – 10 prelekcji

Hacking Depot – 2 sesje hackowania „na żywo”

W tym roku witamy wśród naszych partnerów: Wojska Obrony Cyberprzestrzeni oraz Bank Alior SA.

AGENDA

  • 8:50
  • 9:05 – 9:50

    2+2=BUG, czyli paradoks połączonych systemów

    Kluczową różnicą pomiędzy małymi a dużymi systemami jest powielanie funkcjonalności. Na przykład, w małym systemie zazwyczaj potrzebujemy tylko jednego parsera TCP, jednego parsera HTTP, jednego parsera ZIP, i tak dalej. Załóżmy, że jakimś cudem cały system jest poprawnie zaimplementowany i nie posiada błędów bezpieczeństwa. A teraz dodajmy do tego drugi, również idealnie bezpieczny, połączony system, zbudowany przez zupełnie inny zespół. Jak się często okazuje w praktyce, dwa połączone bezpieczne systemy niekoniecznie dadzą bezpieczną całość.

    Celem tego wykładu jest przegląd i omówienie klas błędów typowych dla złożonych systemów. W szczególności skupię się na błędach, których przyczyna leży w wykorzystaniu kilku różnych implementacjach tego samego protokołu czy formatu plików. Prelekcja będzie przekrojowa, a więc wspomniane będą błędy zarówno nisko- jak i wysokopoziomowe, zarówno w oprogramowaniu webowym, jak i np. implementacji niskopoziomowych protokołów sieciowych.

    Wykład skierowany jest przede wszystkim do osób początkujących i średniozaawansowanych.

  • 10:00 – 10:50

    Dlaczego HTML jest zmutowaną bestią?

    Wyobraźcie sobie, że w macie jakiś dowolny obiekt w pamięci w waszym ulubionym języku programowania. Następnie serializujecie ten obiekt używając do tego standardu JSON. W kolejnym kroku zaś deserializujecie ten JSON z powrotem do obiektu w pamięci. I w tym momencie okazuje się, że dostajecie kompletnie inny obiekt niż mieliście oryginalnie – który zostaje całkowicie inaczej zinterpretowany przez aplikację i który – co gorsza – doprowadza do błędu bezpieczeństwa w aplikacji!

    Brzmi źle? Na szczęście w JSON-ie zazwyczaj nie obserwujemy tego typu zachowania. Okazuje się jednak, że w HTML takie zachowanie w pewnych sytuacjach jest w 100% zgodne ze specyfikacją! Tego typu problemu zazwyczaj nazywane są mXSS (mutation XSS).

    W swojej prezentacji pomówię właśnie o specyfikacji HTML, o tym z czego wynika jego skłonność do mutacji i skąd konkretnie bierze się mXSS. Opowiem też, co próbujemy zrobić, żeby próbować mXSS zlikwidować z platformy webowej.

  • 11:00 – 11:50

    Halo, Kernel? Ale to ty dzwonisz…

    W systemach Windows, istotna część wydarzeń odbywa się w trybie jądra. Nie dość, że warto tam zajrzeć, to jeszcze czasem przydałoby się w świadomy sposób o coś jądro systemu poprosić.

    Korzyści mogą być naprawdę warte zachodu, dlatego warto tematowi poświęcić całą sesję. Uwaga! Zawiera więcej niż śladowe ilości kodu w C.

  • 12:00 – 12:50

    Szpiedzy (nie) tacy jak my

    Krzysztof zaprasza Was do świata…szpiegowania! Skupi się głównie na social mediach. Poznacie szpiegowanie z wykorzystaniem serwisów internetowych i mediów społecznościowych – małe i duże akcje, drobne i większe porażki.

  • 13:00 – 13:40

    AI-srejaj. Jak rozwój LLM wpłynął na pracę pentestera?

    Podczas prezentacji Maciej opowie o tym jak rozwój LLM (m.in. Chat GPT) wpłynął na prace w IT Security. Porówna plusy dodatnie i ujemne, powróży z porozrzucanych bajtów. Wszystko oczami zawodowego pentestera.

  • 13:40 – 14:30

    Przerwa obiadowa

    Obiady będą wydawane na pierwszym piętrze.

  • 14:30 – 15:05

    Wykorzystanie blockchaina – ograniczenie ataków typu supply chain

    Historia pokazała nam że wzrost popularności ataków typu supply chain nie jest przypadkowy. Szerokie pole rażenia oraz trudność w wykryciu tego ataku może spowodować wiele problemów. Zamiast skupiać się na klasycznych rozwiązaniach, może jednak warto rozejrzeć się za nowymi alternatywami? Podczas prelekcji Martin zaproponuje pewien schemat jak w dosyć prosty i sprytny sposób wykorzystać łańcuch bloków do zwalczania ataku poprzez kradzież klucza prywatnego organizacji.

  • 15:15 – 15:50

    Jak zhackowałem swoją klimatyzację

    Zastanawialiście się kiedyś jak przejść od etapu oglądania obudowy urządzenia z zewnątrz do finalnego przejęcia kontroli nad nim? Jeśli tak, to postaram się pokazać Wam jak przeszedłem taką drogę na przykładzie swojej prywatnej klimatyzacji i podzielić się paroma praktycznymi wskazówkami, które z pewnością przydadzą się przy badaniu różnych urządzeń z systemami wbudowanymi na pokładzie.

  • 16:00 – 16:50

    Kto to Panu tak… napisał – przykład ciekawej aplikacji desktopowej

    Aplikacje desktopowe również posiadają błędy bezpieczeństwa.

    W trakcie prezentacji Roberta przeprowadzony będzie pobieżny test penetracyjny aplikacji desktopowej, dzięki któremu dowiemy się czego nie należy robić, projektując mechanizmy uwierzytelnienia.

  • 16:50 – 17:30

    Podwieczorek

  • 17:30 – 18:10

    Antivirus bypass – techniki na ukrywanie obecności przed oprogramo- waniem antywirusowym

    Podczas swojej prezentacji Marek opowie jak zwiększyć skuteczność kampanii red team i testów socjotechnicznych – czyli przedstawi sposoby i narzędzia pozwalaje na obniżenie skuteczności antywirusów w wykrywaniu obecności wrogiego kodu w uruchamianym oprogramowaniu.

  • 18:20 – 19:10

    Docker hacking

    Tomek zaprasza Was na praktyczną prezentacje nietuzinkowych i ciekawych ataków na najpopularniejszą platformę do konteneryzacji. Zostaną przedstawione strategie i techniki wykorzystywane przez hakerów do infiltracji kontenerów Docker, jednocześnie pokazując, jak efektywnie bronić się przed takimi atakami.

    Uczestnicy dowiedzą się o potencjalnych lukach bezpieczeństwa w standardowych konfiguracjach Docker, a także o najnowszych narzędziach i praktykach zabezpieczania kontenerów, także związanych z AI.

  • 19:10
  • 12:30 – 13:30

    Hacking Depot – sesja I

    • Hackowanie na żywo przykładowej sieci, aplikacji, urządzeń…
    • Rozmowy w kuluarach z hackerami-prelegentami.
    • Sekrety i tricki doświadczonych pentesterów w działaniu.

     

  • 14:40 – 16:40

    Hacking Depot – sesja II

    • Hackowanie na żywo przykładowej sieci, aplikacji, urządzeń…
    • Rozmowy w kuluarach z hackerami-prelegentami.
    • Sekrety i tricki doświadczonych pentesterów w działaniu.

PRELEGENCI I GOŚCIE

SZCZEGÓŁY WYDARZENIA

Data: 19.10.2023 / godzina rozpoczęcia: 9:00 / zakończenie: 19:30 / Miejsce: Centrum Kongresowe ICE Kraków

MÓWIĄ O NAS

Zdecydowanie najlepszy meeting na jaki byłem we Wrocławiu w tym roku. Masa ciekawej wiedzy zaprezentowanej w niebanalny sposób. Naprawdę polecam i już czekam na kolejny.

Dobrze się bawiłem, dowiedziałem się wielu ciekawych rzeczy, generalnie polecam każdemu się wybrać choć raz na hacking party w jakimś mieście ;p

Mega przykłady pokazane w mega przystępny sposób. Otwartość i dostępność prelegentów

[super była]: widoczność, dźwięk, dostępność (miejsce, wyjścia, catering).

Pełen profesjonalizm prowadzących, sprawna obsługa i rejestracja uczestników, atrakcyjna oprawa graficzna prezentacji, niebanalny humor wielu prezenterów!

Merytorycznie, widowiskowo, bez sztampy

[super] stosunek ceny do zawartości merytorycznej.

Techniczna strona prezentacji stała na wysokim poziomie. Nie były to tylko suche teoretyczne prezentacje, ale praktyczna wiedza przekazana uczestnikom.

Super atmosfera. Pokazy na żywo. Kompetencje prowadzących na najwyższym poziomie.

©2023 Mega Sekurak Hacking Party