Relacja z Mega Sekurak Hacking Party

13.06.2022

Wydarzenie, które odbyło się w czerwcu przyciągnęło imponującą liczbę uczestników. Kontynuowaliśmy dobrze przez Was przyjętą formę konferencji on-line i doskonałej interakcji pomiędzy uczestnikami i prelegentami z wykorzystaniem naszego kanału na Discordzie.

RELACJA AGENDA

RELACJA Z WYDARZENIA

Data: 13.06.2022

Mega Sekurak Hacking Party, który odbył się 13 czerwca 2022 roku był jedną z największych i najlepszych imprez poświęconych tematyce cyberbezpieczeństwa w Polsce. Wydarzenie odbyło się on-line i przyciągnęło imponującą liczbę osób! Poniżej znajdziecie liczby 🙂

  • Liczba uczestników: 1047!
  • Liczba osób na Discordzie w dniu wydarzenia: ponad 700
  • 12 godzin materiałów
  • 7 prelekcji live
  • 5 materiałów video w drugiej ścieżce

Tradycyjnie obyło się bez wodolejstwa, reklam itp. Sama merytoryka! 🙂

W październiku 2022 szykujemy dla Was aż trzy ścieżki.

AGENDA

Podczas wydarzenie będziemy prowadzili równolegle dwie ścieżki.
  • 8:45

    Przywitanie

    Michał Sajdak
    Michał Bentkowski
  • 9:00 - 9:45

    Dlaczego hackowanie aplikacji webowych jest proste ( 2022 )

    Michał Sajdak

    Jak będzie wyglądało bezpieczeństwo aplikacji webowych w 2050. roku? Jakoś tak: ’ or '1’=’1 Czyli w zasadzie w ogóle się nie zmieni. Dlaczego tak uważam? A to dlatego. że nie wydać na horyzoncie znacznej poprawy w temacie krytycznych i dość prostych do wykorzystania podatności w aplikacjach webowych. Ba – dziur jest coraz więcej. W trakcie prezentacji będę się starał Was przekonać do takiego punktu widzenia.

    Po prelekcji przewidujemy krótką sesję Q&A.

  • 9:50 - 10:00

    Przerwa

  • 10:00 - 10:45

    Historia niezwykłego buga w parserze HTML w Chromie (+ obejście DOMPurify)

    Michał Bentkowski

    Pisząc aplikacje webowe i implementując różne mechanizmy bezpieczeństwa, często musimy korzystać z narzędzi, które dają nam przeglądarki internetowe.

    Jedną z operacji, którą typowo wykonuje przeglądarka jest parsowanie HTML-a. Następnie wynik tego parsowania może być przetwarzane przez biblioteki do czyszczenia HTML (takie jak np. DOMPurify), które próbują z niego wyciąć wszelkie fragmenty pozwalające na wykonanie ataku XSS.

    W tym przypadku DOMPurify polega na danych zwracanych przez przeglądarkę, by prawidłowo wykonać swoje zadanie. Okazuje się jednak, że przeglądarka może mieć błąd i dosłownie „okłamać” pozostałe narzędzia odnośnie tego, jak przeparsuje dany HTML!

    W prezentacji zobaczymy przykład niezwykłego błędu w Chrome (już załatanego), gdzie właśnie błąd w parserze HTML pozwalał na obejście biblioteki DOMPurify.

    Po prelekcji przewidujemy krótką sesję Q&A.

  • 10:50 - 11:00

    Przerwa

  • 11:00 - 11:30

    Wprowadzenie do Bezpieczeństwa IT - Nowa książka od Sekuraka!

    Michał Sajdak
    Michał Bentkowski

    Panel poświęcony nowej książce od Sekuraka. Opowiemy o zawartości publikacji, ilości stron i tomów oraz planowanej dacie premiery.

    Pokażemy również okładkę i odpowiemy na Wasze pytania!

  • 11:30 - 11:45

    Przerwa

  • 11:45 - 12:30

    Application Whitelisting

    Grzegorz Tworek

    Application Whitelisting w największym skrócie opisać można jako sposób myślenia, w którym zamiast (albo oprócz) zabraniania złych aplikacji, pozwalamy tylko na te dobre. System Windows wyposażony jest „z pudełka” we wszystko, co jest do tego potrzebne, więc warto taką zmianę rozważyć, ponieważ znacząco podniesie to poziom bezpieczeństwa całej organizacji. Brzmi niewinnie, ale tak naprawdę nieraz jest poważnym wyzwaniem. Dlatego warto temu tematowi poświęcić całą sesję.

    Po prelekcji przewidujemy krótką sesję Q&A.

  • 12:30 - 13:00

    Przerwa obiadowa

  • 13:00 - 13:45

    Best client fuckups overview

    Tomasz Turba

    Prezentacja zbioru scenariuszy incydentów IT klientów z ostatnich 10 lat, m.in: od niewinnego maila po ransomware na domenie; „halo, backup nie działa”; „głupie IT nie pozwala instalować gier” i inne.

    Po prelekcji przewidujemy krótką sesję Q&A.

  • 13:50 - 14:00

    Przerwa

  • 14:00 - 14:45

    Kryptologia z lotu ptaka

    Iwona Polak

    Po co człowiek wymyślił szyfry? Dlaczego kodowanie to nie jest szyfrowanie? Czym różnią się szyfry klasyczne od szyfrów współczesnych, a co mają wspólnego? Czy można udowodnić, że szyfr jest bezpieczny? Skąd się biorą szyfry? Przynoszą je bociany czy rosną w kapuście? Czy należy się bać, że komputery kwantowe pozbawią nas prywatności?

    Po prelekcji przewidujemy krótką sesję Q&A.

  • 14:50 - 15:00

    Przerwa

  • 15:00 - 15:45

    „Dobra architektura infrastruktury IT jak dobra architektura urbanistyki – najpierw ignorujemy, a potem narzekamy”

    Piotr Wojciechowski

    Audyty wewnętrzne, audyty zewnętrzne, audyty certyfikacyjne, testy penetracyjne – to wszystko robimy na co dzień. Ale często punktowo szukamy wad, skupiamy się na jednym elemencie. I nawet gdy przedmiotem zainteresowania jest konkretna aplikacja, to jej bezpieczeństwo uzależnione jest od bezpieczeństwa, w tym „dobrej architektury” samego systemu IT. Dlaczego zatem najczęściej pracujemy mając bardzo zawężony punktu widzenia? Jakie zagrożenia niesie takie podejście?

    Po prelekcji przewidujemy krótką sesję Q&A.

  • 15:50 - 16:00

    Przerwa

  • 16:00 - 16:45

    To ptak! To samolot! Nie, to... OSINT

    Krzysztof Wosiński

    Informacje o wielu obiektach pływających i latających są dostępne bez problemu w Internecie. Dzięki temu możemy śledzić praktycznie każdy ich ruch. Na MegaSHP opowiem tym razem co można wyczytać z dostępnych informacji, czy zawsze są one prawdziwe i jak samodzielnie zbudować swoje OSINT-owe centrum dowodzenia.

    Po prelekcji przewidujemy krótką sesję Q&A.

  • 17:00 - 17:15

    Zakończenie

    Michał Sajdak
    Michał Bentkowski

  • Os Command Injection

    Mateusz Wójcik

    Otrzymujesz zlecenie na tajne laboratorium, działające w pewnym, obciążonym reżimem kraju. Po dokonanym rozpoznaniu okazuje się, że jednym ze sposobów na ciche wejście pozostaje takie małe, niepozorne urządzenie działające w ich sieci. Na prezentacji pokażę Ci techniki wyszukiwania bardziej zaawansowanych błędów typu Os Command Injection oraz proces ich eksploitacji na przykładzie tych, które znalazłem w zestawie routerów firmy Tenda. Wejdziemy “do środka” samego urządzenia, zobaczymy jak ono funkcjonuje i dokonamy analizy dynamicznej tajemniczej binarki za pomocą Ghidry oraz gdb. Będziemy jeszcze musieli wyłączyć na chwilę prąd w okolicy ale nikt nie obiecywał, że to będzie prosta operacja.

     

  • SIP Honeypot - analiza metod ataków VoIP

    Kamil Folga

    Analiza ataków na VoIP zebranych przez SIP Honeypot. Omówienie źródeł geograficznych, metod i częstotliwości ataków. Metody zabezpieczeń serwera SIP.

     

  • Audyt serwerów Linuxa

    Arek Siczek

    Wykonywanie audytu i wdrażanie poprawek bezpieczeństwa. Dowiesz się, jak w bezpieczny sposób wykonać audyt serwera Linux, czyli jak sprawdzić, co możesz w nim poprawić i zabezpieczyć. Zrozumiesz jak poprawnie zabezpieczyć serwer i usługi. Dowiesz się jak działa skanowanie podatności. Nauczysz się korzystać z dokumentacji i raportów dotyczących podatności i poprawek.

     

  • QR kody

    Tomasz Zieliński

    QR-kody nie ekscytują absolutnie nikogo. Ot, małe kwadratowe obrazki, pstryknięte smartfonem pozwalają otworzyć stronę WWW bez ręcznego wklepywania URL-a. Gdy jednak zajrzymy do środka, znajdziemy w nich zestaw naprawdę dobrych pomysłów na efektywne upakowanie treści i zwiększanie odporności na uszkodzenie. Bonus – przeanalizujemy ryzyka, z którymi wiąże się publikowanie oraz skanowanie QR-kodów.

     

  • Praktyczne aspekty wdrożenia ochrony przed porywaniem prefiksów

    Dużo w ciągu ostatnich miesięcy mówi się o atakach z porywaniem prefiksów i przejmowaniem przestrzeni adresowej. W trakcie prezentacji zajmiemy się praktyczną stroną takiego ataku oraz najlepszymi praktykami pozwalającymi zminimalizować lub wyeliminować szansę stania się ofiarą takiego ataku.

©2024 Mega Sekurak Hacking Party