Sekurak Mega Hacking Party

Kraków / 14 czerwca 2021

Całodniowa edycja MEGA Sekurak Hacking Party

MEGA Sekurak Hacking Party to spotkanie ludzi, którzy z pasji związanej z bezpieczeństwem IT uczynili swoje codzienne zajęcie. Wydarzenie kierowane jest głównie do programistów, testerów, przedstawicieli zespołów odpowiedzialnych za  bezpieczeństwo IT w firmach oraz pasjonatów tematu. Konferencja ma formę praktycznych prelekcji prowadzonych przez znanych w branży praktyków i badaczy bezpieczeństwa. Jej pierwsza edycja w 2019 roku zgromadziła ponad 1 300 uczestników, co było rekordem w branży! Zapraszamy do obejrzenia relacji z tego wydarzenia: https://sekurak.pl/mshp/mshp_shortv1.mp4

 

AGENDA / 14 czerwca 2021 (agenda może ulec zmianie)

  • 9:00-10:00

    Rejestracja uczestników i powitalna kawa

  • 10:00-10:45

    Jak atakować przeglądarki / popularne edytory wizualne za pomocą zwykłego schowka?

    Michał Bentkowski

    Świeże badanie Michała skutkujące zgłoszeniem podatności klasy High do Chrome, Firefoksa, Wikipedii czy wielu edytorów wizualnych. Jeśli uważacie że zwykły schowek jest bezpieczny, po tej prezentacji zmienicie zdanie. Do tej pory za to badanie przyznano około 80 000 PLN w ramach nagród bug bounty.

  • 10:50-11:25

    Hakowanie WPA2-Enteprise, czyli jak dobrać się do sieci korporacyjnych?

    Maciej Szymczak

    Na prelekcji poznasz (i zobaczysz na żywo) skuteczne ataki na sieci bezprzewodowe spotykane w firmach. Pokażę sprawdzony sprzęt i narzędzia, dzięki którym dowiesz się w jak całkowicie zautomatyzowany sposób "przekonać" komputer jak i telefon, żeby przyłączył się do fałszywej sieci.

  • 11:25-11:50

    Przerwa kawowa

  • 11:50-12:30

    Kreatywny marketing w służbie cyberbezpieczeństwa.

    Adam Haertle

    Nawet solidne z technicznego punktu widzenia rozwiązania bezpieczeństwa można promować wykorzystując niezbyt solidne metody marketingu. Przyjrzymy się kampaniom reklamowym i promocyjnym kilku produktów, które wyróżniają się w tym zakresie na tle konkurencji.

  • 12:30-12:45

    XS-Leaks i XS-Search - sztuka subtelnych wycieków danych.

    Michał Bentkowski

    XSS to zdecydowanie najpopularniejsza podatność świata przeglądarek. Wyobraźmy sobie jednak świat, w którym XSS-y zostały zażegnane i zastanówmy się, jakie ataki będą wówczas możliwe. W 2019 poczyniono duże postępy w lepszym zrozumieniu ataków XS-Leaks i XS-Search, które pozwalają na wykorzystanie pewnych tzw. bocznych kanałów na wyciąganie danych z innych domen. W prezentacji zostaną pokazane te ataki na żywych przykładach.

  • 12:45-13:50

    Lunch

  • 13:50-14:10

    Jak przygotować od zera książkę o bezpieczeństwie IT?

    Michał Sajdak
    Katarzyna Sajdak

    Pokazana od kuchni historia tworzenia książki sekuraka o bezpieczeństwie aplikacji webowych. Od pomysłu, przez korektę, skład i liczne problemy czy ciekawostki na które natknęliśmy się w trakcie tworzenia książki.

  • 14:10-14:50

    Prawne pułapki pentestingu i bug bounty (prelekcja + dyskusja)

    Bohdan Widła

    W trakcie prelekcji spróbujemy odpowiedzieć na kilka pytań, takich jak: Czy uzyskanie dostępu do niezabezpieczonej webaplikacji może być przestępstwem? Czy "nieautoryzowane testy penetracyjne" zawsze są bezprawne? Czy należy przejmować się prawami autorskimi twórcy złośliwego kodu? Czy prawnik może mówić ludzkim głosem?

  • 14:50-15:20

    Praktyczne aspekty pasywnego rekonesansu infrastruktury IT

    Michał Wnękowicz

    Rekonesans, choć jest metodą dość znaną w świecie IT, w wielu przypadkach jest pomijany przez badaczy bezpieczeństwa czy administratorów. Często informacje znalezione w ten sposób wydają się być zbiorem nie związanych ze sobą puzzli (nie)bezpieczeństwa o małej wartości. W trakcie prelekcji skupimy się na połączeniu wielu pozornie niezależnych narzędzi i technik w celu przeprowadzenia złożonego ataku, opartego o realne przykłady, na jakie natrafia się podczas pracy pentestera. Maksimum hackerskiej skuteczności przy minimalnej ilości logów.

  • 15:20-15:50

    Co wspólnego ma Web Cache Poisoning z atakami typu DoS?

    Marek Rzepecki

    Web cache poisoning jest podatnością często pomijaną podczas testów bezpieczeństwa. Wykwalifikowany napastnik z jej wykorzystaniem może wykonać atak DoS, a w najgorszych przypadkach sprawić, że serwer cache zamiast poprawnej treści będzie serwował exploity każdemu użytkownikowi odwiedzającemu aplikację. W prezentacji pokażemy na żywych przykładach na czym polega błąd Web Cache Poisoning, jakie mogą być jej konsekwencje, oraz jak sprawdzić, czy nasza aplikacja nie jest podatna.

  • 15:50-16:15

    Przerwa kawowa

  • 16:15-16:45

    Uwierzytelnianie / autoryzacja - któż to robi dobrze?

    Michał Sajdak

    W trakcie prelekcji poznamy standardowe i mniej standardowe metody omijania kontroli dostępu do danych. Poznamy też wybrane scenariusze omijania wydawałoby się nieomijalnego - 2FA. Wszystko zilustrowane praktycznymi przykładami wziętymi ze świata urządzeń sieciowych, mniej lub bardziej popularnych serwisów webowych oraz z doświadczenia pentesterskiego.

  • 16:45-17:15

    Świat po Spectre i Meltdown czyli Site Isolation, CORB i podatność w Chrome: CVE-2019-13727

    Marcin Piosek

    Jak ataki Spectre i Meltdown wpłynęły na wykorzystywane przez nas przeglądarki WWW, czyli krótka historia zgłoszonej przez prelegenta podatności w przeglądarce Chrome (w ramach oficjalnego programu bug bounty przyznano nagrodę ~40 000 PLN).

  • 17:15-17:35

    Kto to Panu tak.... napisał - przykład ciekawej aplikacji desktopowej

    Robert Kruczek

    Aplikacje desktopowe również posiadają błędy bezpieczeństwa. W trakcie prezentacji, przeprowadzony będzie pobieżny test penetracyjny aplikacji desktopowej, dzięki któremu dowiemy się czego nie należy robić, projektując mechanizmy uwierzytelnienia.

  • 17:15-17:35

    Atakowanie wewnętrznej infrastruktury przy pomocy przeglądarki

    Jakub Żoczek

    Lightning talk na temat tego jak odwiedzenie niewinnej strony Internetowej może pomóc atakującemu w penetracji wewnętrznej sieci w Twojej firmie.

  • 10:00-17:00

    Bug bounty corner

    Jarosław Kamiński

PRELEGENCI I GOŚCIE

SZCZEGÓŁY WYDARZENIA

Data: 14.06.2021 / godzina rozpoczęcia: 9:45 / zakończenie: około 18:00 / Miejsce: Kraków, ICE

MIEJSCE WYDARZENIA

Centrum Kongresowe ICE Kraków to zlokalizowana w samym sercu Krakowa biznesowa i kulturalna wizytówka miasta. Wokół Centrum Kongresowego znajduje się specjalny układ komunikacyjny obejmujący parkingi naziemne, zatokę autobusową, parkingi dla rowerów oraz dwupoziomowy parking podziemny