Sekurak Mega Hacking Party

19.10.2023

Mega Sekurak Hacking Party ponownie w Krakowie!馃槉

Po kilku latach przerwy wracamy do spotkania on-site!

19 pa藕dziernika 2023 zapraszamy wszystkich zainteresowanych tematyk膮 cyberbezpiecze艅stwa do Centrum Kongresowego ICE w Krakowie. Podczas ca艂ego dnia b臋d膮 czeka艂y na Was dwie 艣cie偶ki:

艢cie偶ka g艂贸wna – 10 prelekcji

Hacking Depot – 3 sesje hackowania „na 偶ywo”

W tym roku witamy w艣r贸d naszych partner贸w: Wojska Obrony Cyberprzestrzeni oraz Bank Alior SA.

AGENDA

  • 9:00
  • 2+2=BUG, czyli paradoks po艂膮czonych system贸w

    Kluczow膮 r贸偶nic膮 pomi臋dzy ma艂ymi a du偶ymi systemami jest powielanie funkcjonalno艣ci. Na przyk艂ad, w ma艂ym systemie zazwyczaj potrzebujemy tylko jednego parsera TCP, jednego parsera HTTP, jednego parsera ZIP, i tak dalej. Za艂贸偶my, 偶e jakim艣 cudem ca艂y system jest poprawnie zaimplementowany i nie posiada b艂臋d贸w bezpiecze艅stwa. A teraz dodajmy do tego drugi, r贸wnie偶 idealnie bezpieczny, po艂膮czony system, zbudowany przez zupe艂nie inny zesp贸艂. Jak si臋 cz臋sto okazuje w praktyce, dwa po艂膮czone bezpieczne systemy niekoniecznie dadz膮 bezpieczn膮 ca艂o艣膰.

    Celem tego wyk艂adu jest przegl膮d i om贸wienie klas b艂臋d贸w typowych dla z艂o偶onych system贸w. W szczeg贸lno艣ci skupi臋 si臋 na b艂臋dach, kt贸rych przyczyna le偶y w wykorzystaniu kilku r贸偶nych implementacjach tego samego protoko艂u czy formatu plik贸w. Prelekcja b臋dzie przekrojowa, a wi臋c wspomniane b臋d膮 b艂臋dy zar贸wno nisko- jak i wysokopoziomowe, zar贸wno w oprogramowaniu webowym, jak i np. implementacji niskopoziomowych protoko艂贸w sieciowych.

    Wyk艂ad skierowany jest przede wszystkim do os贸b pocz膮tkuj膮cych i 艣redniozaawansowanych.

  • Dlaczego HTML jest zmutowan膮 besti膮?

    Wyobra藕cie sobie, 偶e w macie jaki艣 dowolny obiekt w pami臋ci w waszym ulubionym j臋zyku programowania. Nast臋pnie serializujecie ten obiekt u偶ywaj膮c do tego standardu JSON. W kolejnym kroku za艣 deserializujecie ten JSON z powrotem do obiektu w pami臋ci. I w tym momencie okazuje si臋, 偶e dostajecie kompletnie inny obiekt ni偶 mieli艣cie oryginalnie – kt贸ry zostaje ca艂kowicie inaczej zinterpretowany przez aplikacj臋 i kt贸ry – co gorsza – doprowadza do b艂臋du bezpiecze艅stwa w aplikacji!

    Brzmi 藕le? Na szcz臋艣cie w JSON-ie zazwyczaj nie obserwujemy tego typu zachowania. Okazuje si臋 jednak, 偶e w HTML takie zachowanie w pewnych sytuacjach jest w 100% zgodne ze specyfikacj膮! Tego typu problemu zazwyczaj nazywane s膮 mXSS (mutation XSS).

    W swojej prezentacji pom贸wi臋 w艂a艣nie o specyfikacji HTML, o tym z czego wynika jego sk艂onno艣膰 do mutacji i sk膮d konkretnie bierze si臋 mXSS. Opowiem te偶, co pr贸bujemy zrobi膰, 偶eby pr贸bowa膰 mXSS zlikwidowa膰 z platformy webowej.

  • Kto to panu tak... napisa艂?

    Aplikacje desktopowe r贸wnie偶 posiadaj膮 b艂臋dy bezpiecze艅stwa.

    W trakcie prezentacji, przeprowadzony b臋dzie pobie偶ny test penetracyjny aplikacji desktopowej, dzi臋ki kt贸remu dowiemy si臋 czego nie nale偶y robi膰, projektuj膮c mechanizmy uwierzytelnienia.

  • Halo, Kernel? Ale to ty dzwonisz...

    W systemach Windows, istotna cz臋艣膰 wydarze艅 odbywa si臋 w trybie j膮dra. Nie do艣膰, 偶e warto tam zajrze膰, to jeszcze czasem przyda艂oby si臋 w 艣wiadomy spos贸b o co艣 j膮dro systemu poprosi膰.

    Korzy艣ci mog膮 by膰 naprawd臋 warte zachodu, dlatego warto tematowi po艣wi臋ci膰 ca艂膮 sesj臋. Uwaga! Zawiera wi臋cej ni偶 艣ladowe ilo艣ci kodu w C.

  • Antivirus bypass - techniki na ukrywanie obecno艣ci przed oprogramowaniem antywirusowym

    Jak zwi臋kszy膰 skuteczno艣膰 kampanii red team i test贸w socjotechnicznych – czyli przedstawienie sposob贸w i narz臋dzi pozwalaj膮cych na obni偶enie skuteczno艣ci antywirus贸w w wykrywaniu obecno艣ci wrogiego kodu w uruchamianym oprogramowaniu.

  • 14:00 - 15:00

    Przerwa obiadowa

  • AI-srejaj. Jak rozw贸j LLM wp艂yn膮艂 na prac臋 pentestera?

    Podczas prezentacji opowiem o tym jak rozw贸j LLM (m.in. Chat GPT) wp艂yn膮艂 na prace w IT Security. Por贸wnam plusy dodatnie i ujemne, powr贸偶臋 z porozrzucanych bajt贸w. Wszystko oczami zawodowego pentestera.

  • Jak zhackowa艂em swoj膮 klimatyzacj臋

    Zastanawiali艣cie si臋 kiedy艣 jak przej艣膰 od etapu ogl膮dania obudowy urz膮dzenia z zewn膮trz do finalnego przej臋cia kontroli nad nim? Je艣li tak, to postaram si臋 pokaza膰 Wam jak przeszed艂em tak膮 drog臋 na przyk艂adzie swojej prywatnej klimatyzacji i podzieli膰 si臋 paroma praktycznymi wskaz贸wkami, kt贸re z pewno艣ci膮 przydadz膮 si臋 przy badaniu r贸偶nych urz膮dze艅 z systemami wbudowanymi na pok艂adzie.

  • Szpiedzy (nie) tacy jak my

    O szpiegowaniu, g艂ownie w social media. Szpiegowanie z wykorzystaniem serwis贸w internetowych i medi贸w spo艂eczno艣ciowych – ma艂e i du偶e akcje, drobne i wi臋ksze pora偶ki”.

  • Utrudnianie atak贸w na oprogramowanie za pomoc膮 blockchaina

    Historia pokaza艂a nam 偶e wzrost popularno艣ci atak贸w typu supply chain nie jest przypadkowy. Szerokie pole ra偶enia oraz trudno艣膰 w wykryciu tego ataku mo偶e spowodowa膰 wiele problem贸w. Zamiast skupia膰 si臋 na klasycznych rozwi膮zaniach, mo偶e jednak warto rozejrze膰 si臋 za nowymi alternatywami? Podczas prelekcji zaproponuje pewien schemat jak w dosy膰 prosty i sprytny spos贸b wykorzysta膰 艂a艅cuch blok贸w do zwalczania ataku poprzez kradzie偶 klucza prywatnego organizacji.

  • Docker hacking

    Praktyczna prezentacja nietuzinkowych i ciekawych atak贸w na najpopularniejsz膮 platform臋 do konteneryzacji. Zostan膮 przedstawione strategie i techniki wykorzystywane przez haker贸w do infiltracji kontener贸w Docker, jednocze艣nie pokazuj膮c, jak efektywnie broni膰 si臋 przed takimi atakami. Uczestnicy dowiedz膮 si臋 o potencjalnych lukach bezpiecze艅stwa w standardowych konfiguracjach Docker, a tak偶e o najnowszych narz臋dziach i praktykach zabezpieczania kontener贸w, tak偶e zwi膮zanych z AI.

  • 19:00

    Zako艅czenie i after party

  • Hacking Depot

    • Hackowanie na 偶ywo przyk艂adowej sieci, aplikacji, urz膮dze艅鈥
    • Rozmowy w kuluarach z hackerami-prelegentami.
    • 90-minutowe sesje odbywaj膮ce si臋 w sali dla 400 os贸b (obok g艂贸wnej sali konferencyjnej MSHP).
    • Sekrety i tricki do艣wiadczonych pentester贸w w dzia艂aniu.

    Sesja odb臋dzie si臋 trzy razy w trakcie ca艂ego wydarzenia.

    Zapraszamy w najbardziej dogodnym dla Ciebie czasie.

PRELEGENCI I GO艢CIE

SZCZEG脫艁Y WYDARZENIA

Data: 19.10.2023 / godzina rozpocz臋cia: 9:00 / zako艅czenie: 19:00 / Miejsce: Centrum Kongresowe ICE Krak贸w

©2023 Sekurak Hacking Party