RELACJA Z WYDARZENIA
Data: 13.06.2022
Mega Sekurak Hacking Party, który odbył się 13 czerwca 2022 roku był jedną z największych i najlepszych imprez poświęconych tematyce cyberbezpieczeństwa w Polsce. Wydarzenie odbyło się on-line i przyciągnęło imponującą liczbę osób! Poniżej znajdziecie liczby 🙂
- Liczba uczestników: 1047!
- Liczba osób na Discordzie w dniu wydarzenia: ponad 700
- 12 godzin materiałów
- 7 prelekcji live
- 5 materiałów video w drugiej ścieżce
Tradycyjnie obyło się bez wodolejstwa, reklam itp. Sama merytoryka! 🙂
W październiku 2022 szykujemy dla Was aż trzy ścieżki.
AGENDA
-
8:45
-
9:00 - 9:45
Jak będzie wyglądało bezpieczeństwo aplikacji webowych w 2050. roku? Jakoś tak: ’ or '1’=’1 Czyli w zasadzie w ogóle się nie zmieni. Dlaczego tak uważam? A to dlatego. że nie wydać na horyzoncie znacznej poprawy w temacie krytycznych i dość prostych do wykorzystania podatności w aplikacjach webowych. Ba – dziur jest coraz więcej. W trakcie prezentacji będę się starał Was przekonać do takiego punktu widzenia.
Po prelekcji przewidujemy krótką sesję Q&A.
-
9:50 - 10:00
Przerwa
-
10:00 - 10:45
Pisząc aplikacje webowe i implementując różne mechanizmy bezpieczeństwa, często musimy korzystać z narzędzi, które dają nam przeglądarki internetowe.
Jedną z operacji, którą typowo wykonuje przeglądarka jest parsowanie HTML-a. Następnie wynik tego parsowania może być przetwarzane przez biblioteki do czyszczenia HTML (takie jak np. DOMPurify), które próbują z niego wyciąć wszelkie fragmenty pozwalające na wykonanie ataku XSS.
W tym przypadku DOMPurify polega na danych zwracanych przez przeglądarkę, by prawidłowo wykonać swoje zadanie. Okazuje się jednak, że przeglądarka może mieć błąd i dosłownie „okłamać” pozostałe narzędzia odnośnie tego, jak przeparsuje dany HTML!
W prezentacji zobaczymy przykład niezwykłego błędu w Chrome (już załatanego), gdzie właśnie błąd w parserze HTML pozwalał na obejście biblioteki DOMPurify.
Po prelekcji przewidujemy krótką sesję Q&A.
-
10:50 - 11:00
Przerwa
-
11:00 - 11:30
Panel poświęcony nowej książce od Sekuraka. Opowiemy o zawartości publikacji, ilości stron i tomów oraz planowanej dacie premiery.
Pokażemy również okładkę i odpowiemy na Wasze pytania!
-
11:30 - 11:45
Przerwa
-
11:45 - 12:30
Application Whitelisting w największym skrócie opisać można jako sposób myślenia, w którym zamiast (albo oprócz) zabraniania złych aplikacji, pozwalamy tylko na te dobre. System Windows wyposażony jest „z pudełka” we wszystko, co jest do tego potrzebne, więc warto taką zmianę rozważyć, ponieważ znacząco podniesie to poziom bezpieczeństwa całej organizacji. Brzmi niewinnie, ale tak naprawdę nieraz jest poważnym wyzwaniem. Dlatego warto temu tematowi poświęcić całą sesję.
Po prelekcji przewidujemy krótką sesję Q&A.
-
12:30 - 13:00
Przerwa obiadowa
-
13:00 - 13:45
Prezentacja zbioru scenariuszy incydentów IT klientów z ostatnich 10 lat, m.in: od niewinnego maila po ransomware na domenie; „halo, backup nie działa”; „głupie IT nie pozwala instalować gier” i inne.
Po prelekcji przewidujemy krótką sesję Q&A.
-
13:50 - 14:00
Przerwa
-
14:00 - 14:45
Po co człowiek wymyślił szyfry? Dlaczego kodowanie to nie jest szyfrowanie? Czym różnią się szyfry klasyczne od szyfrów współczesnych, a co mają wspólnego? Czy można udowodnić, że szyfr jest bezpieczny? Skąd się biorą szyfry? Przynoszą je bociany czy rosną w kapuście? Czy należy się bać, że komputery kwantowe pozbawią nas prywatności?
Po prelekcji przewidujemy krótką sesję Q&A.
-
14:50 - 15:00
Przerwa
-
15:00 - 15:45
„Dobra architektura infrastruktury IT jak dobra architektura urbanistyki – najpierw ignorujemy, a potem narzekamy”
Audyty wewnętrzne, audyty zewnętrzne, audyty certyfikacyjne, testy penetracyjne – to wszystko robimy na co dzień. Ale często punktowo szukamy wad, skupiamy się na jednym elemencie. I nawet gdy przedmiotem zainteresowania jest konkretna aplikacja, to jej bezpieczeństwo uzależnione jest od bezpieczeństwa, w tym „dobrej architektury” samego systemu IT. Dlaczego zatem najczęściej pracujemy mając bardzo zawężony punktu widzenia? Jakie zagrożenia niesie takie podejście?
Po prelekcji przewidujemy krótką sesję Q&A.
-
15:50 - 16:00
Przerwa
-
16:00 - 16:45
Informacje o wielu obiektach pływających i latających są dostępne bez problemu w Internecie. Dzięki temu możemy śledzić praktycznie każdy ich ruch. Na MegaSHP opowiem tym razem co można wyczytać z dostępnych informacji, czy zawsze są one prawdziwe i jak samodzielnie zbudować swoje OSINT-owe centrum dowodzenia.
Po prelekcji przewidujemy krótką sesję Q&A.
-
17:00 - 17:15
-
Otrzymujesz zlecenie na tajne laboratorium, działające w pewnym, obciążonym reżimem kraju. Po dokonanym rozpoznaniu okazuje się, że jednym ze sposobów na ciche wejście pozostaje takie małe, niepozorne urządzenie działające w ich sieci. Na prezentacji pokażę Ci techniki wyszukiwania bardziej zaawansowanych błędów typu Os Command Injection oraz proces ich eksploitacji na przykładzie tych, które znalazłem w zestawie routerów firmy Tenda. Wejdziemy “do środka” samego urządzenia, zobaczymy jak ono funkcjonuje i dokonamy analizy dynamicznej tajemniczej binarki za pomocą Ghidry oraz gdb. Będziemy jeszcze musieli wyłączyć na chwilę prąd w okolicy ale nikt nie obiecywał, że to będzie prosta operacja.
-
Analiza ataków na VoIP zebranych przez SIP Honeypot. Omówienie źródeł geograficznych, metod i częstotliwości ataków. Metody zabezpieczeń serwera SIP.
-
Wykonywanie audytu i wdrażanie poprawek bezpieczeństwa. Dowiesz się, jak w bezpieczny sposób wykonać audyt serwera Linux, czyli jak sprawdzić, co możesz w nim poprawić i zabezpieczyć. Zrozumiesz jak poprawnie zabezpieczyć serwer i usługi. Dowiesz się jak działa skanowanie podatności. Nauczysz się korzystać z dokumentacji i raportów dotyczących podatności i poprawek.
-
QR-kody nie ekscytują absolutnie nikogo. Ot, małe kwadratowe obrazki, pstryknięte smartfonem pozwalają otworzyć stronę WWW bez ręcznego wklepywania URL-a. Gdy jednak zajrzymy do środka, znajdziemy w nich zestaw naprawdę dobrych pomysłów na efektywne upakowanie treści i zwiększanie odporności na uszkodzenie. Bonus – przeanalizujemy ryzyka, z którymi wiąże się publikowanie oraz skanowanie QR-kodów.
-
Praktyczne aspekty wdrożenia ochrony przed porywaniem prefiksów
Dużo w ciągu ostatnich miesięcy mówi się o atakach z porywaniem prefiksów i przejmowaniem przestrzeni adresowej. W trakcie prezentacji zajmiemy się praktyczną stroną takiego ataku oraz najlepszymi praktykami pozwalającymi zminimalizować lub wyeliminować szansę stania się ofiarą takiego ataku.