Relacja z Sekurak Mega Hacking Party

Kraków/ 25 lutego 2019

Pierwsza całodzienna edycja naszego sekurak hacking party. Tym razem całość odbywała się w ogromnej sali koncertowej, w swobodnej atmosferze, wśród ludzi mających tylko jeden cel: przekazać jak najwięcej sensownej wiedzy związanej z ITsec. Tylko konkretna wiedza, nowe prezentacje, pokazy hackowania na żywo i brak prelekcji reklamowych - po prostu MEGA!

RELACJA Z WYDARZENIA

Data: 25.02.2019 / Miejsce: Kraków, ICE

WASZE POZYTYWNE OPINIE

Merytorycznie, widowiskowo, bez sztampy

Techniczna strona prezentacji stała na wysokim poziomie. Nie były to tylko suche teoretyczne prezentacje, ale praktyczna wiedza przekazana uczestnikom.

Super atmosfera. Pokazy na żywo. Kompetencje prowadzących na najwyższym poziomie.

Pełen profesjonalizm prowadzących, sprawna obsługa i rejestracja uczestników, atrakcyjna oprawa graficzna prezentacji, niebanalny humor wielu prezenterów!

[super była]: widoczność, dźwięk, dostępność (miejsce, wyjścia, catering).

Mega przykłady pokazane w mega przystępny sposób. Otwartość i dostępność prelegentów

[super] stosunek ceny do zawartości merytorycznej.

AGENDA

  • 10:00-10:45

    Co fascynuje mnie w hackingu?

    Gynvael Coldwind

    „Nietechniczna” (na tyle na ile prelegent jest w stanie się powstrzymać od technikaliów) i nieco na luzie prelekcja o tym dlaczego prelegent jeszcze nie znudził się bezpieczeństwem IT.

  • 10:45-11:30

    Zestawienie najciekawszych/najpopularniejszych podatności w 2018 roku

    Michał Bentkowski
    Michał Sajdak

  • 11:55-12:15

    Lightning talk: podstępny kabel USB; podsłuch klawiatury bezprzewodowej

    Marek Rzepecki
    Kamil Jarosiński

    Super krótkie prezentacje (7-10 minut) zawierające maksimum najważniejszej treści: podsłuch klawiatury bezprzewodowej na żywo, prezentacja kabla USB który… nagle staje się klawiaturą i wpisuje konkretną sekwencję klawiszy.

  • 12:15-13:00

    Jak przejąć kontrolę nad serwerem?

    Michał Bentkowski

    Przegląd świeżych podatności aplikacyjnych umożliwiających przejęcie kontroli nad systemem operacyjnym. Krytycznych podatności w znanych komponentach ostatnio nie brakuje. Michał zrobi przegląd (z pokazami na żywo) wielu znanych i nieznanych sposobów przejmowania kontroli nad systemem operacyjnym, korzystając z podatności aplikacyjnych.

  • 13:00-14:10

    Lunch

  • 14:10-14:30

    Lightning talk: podszywające się SMSy; podsłuch VoIP

    Michał Sajdak
    Artur Czyż

    Super krótkie prezentacje (7-10 minut) zawierające maksimum najważniejszej treści: podsłuch telefonów VoIP (na żywo), wysyłka SMSów i późniejsza podmiana ich treści

  • 14:30-15:00

    Server-Side Request Forgery: podatność warta czapki gruszek czy miliona dolarów?

    Michał Sajdak

    W trakcie prelekcji poznacie tą mniej znaną, ale dość częstą podatność. Zobaczycie wykręcające umysł metody omijania filtrów, które zostały źle zaimplementowane u takich gigantów jak: Google / Github czy Dropbox.

  • 15:00-15:30

    Czy OAuth2 jest bezpieczny? Tak. Poza tym, że czasem można bez uwierzytelnienia wykonywać kod w OS.

    Michał Sajdak

    OAuth2 jest generalnie bezpieczny. Poza przypadkami gdy zostanie nieprawidłowo zaimplementowany. Po krótkim wstępie zobaczycie na żywo przykładowe ataki na OAuth2.

  • 16:00-16:45

    Języki programowania vs bezpieczeństwo.

    Gynvael Coldwind

    Prezentacja to przegląd elementów różnych języków programowania, które sprawiają, że pisanie bezpiecznego kodu jest trudne (wraz z przykładami).

  • 16:45-17:40

    O co chodzi w DoSach / DDoSach?

    Michał Wnękowicz
    Marek Rzepecki

    Każdy mówi o DoSach czy DDoSach ale kto widział tego typu atak na żywo? W trakcie prelekcji zobaczycie zarówno‚ klasyczne’ podatności jak XML Bomb / ZIP Bomb czy ReDoS. Będzie też szansa zobaczyć atak DDoS typu reflected.

  • 18:10-18:20

    Lightning talk: hackowanie kamery CCTV

    Michał Sajdak

    Super krótkie prezentacje (7-10 minut) zawierające maksimum najważniejszej treści: jednolinijkowe przejęcie kamery CCTV

  • 18:20-19:10

    Magia XSSów

    Michał Bentkowski

    Sztuczki z arsenału topowego bug-bountera. Michał będący obecnie na wysokiej pozycji Googlowego rankingu „hall of fame” najlepszych bugbounterów w kategorii appsec pokaże nowości dotyczące podatności XSS. Jak zwykle nie zabraknie pokazów na żywo.