Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Mega Sekurak Hacking Party już 20.05.2024 r. Agenda, prelegenci oraz… niespodzianka dla wszystkich i kolejna dla wytrwałych :-)

29 kwietnia 2024, 01:53 | Aktualności, W biegu | 0 komentarzy

Za nieco więcej niż trzy tygodnie (20.05.2024 r.) odbędzie się pierwsza w tym roku, zdalna edycja kultowej imprezy dla entuzjastów cyberbezpieczeństwa – Mega Sekurak Hacking Party. Wpis do krótkich nie należy, ale zapewniamy, że warto przeczytać do końca. Zobaczycie co dla Was przygotowaliśmy, poznacie agendę i naszych prelegentów, dowiecie się jak zdobyć dostęp do ponad 70 nagrań (!) z poprzednich edycji MSHP, a wypoczywając podczas majówki, będziecie mieć okazję obejrzeć jedną z najlepiej ocenianych prelekcji na poprzednim MSHP czyli Hackowanie vs AI, którą przeprowadził Tomek Turba. 🙂

Bilety można kupić tutaj: https://sklep.securitum.pl/mshp-maj-2024

Do 7 maja używając kodu: majearly macie 30% zniżki na bilety STANDARD. Jeżeli chciałbyś zamówić (Ty lub Twoja organizacja) więcej biletów to napisz na adres: szkolenia@securitum.pl. Przygotujemy dla Ciebie specjalną wycenę 😊

Jeśli jesteś głodny wiedzy i jednocześnie szukasz najlepszych okazji to polecamy zakup biletu COMBO – umożliwia uczestnictwo w dwóch najbliższych wydarzeniach, tj. Mega Sekurak Hacking Party w formie zdalnej w dniu 20.05.2024 r. oraz Mega Sekurak Hacking Party w formie onsite, w Krakowie w dniu 30.09.2024 r. (o nim w szczegółach w późniejszym terminie).

Uwaga! Bilet COMBO to tylko 599 zł netto, dostępny TYLKO do 19 maja br. 

KIEDY, JAK i GDZIE?

Wydarzenie odbędzie się on-line (poprzez nasz dedykowany serwer na Discordzie) 20 maja 2024 roku. Start planujemy na 9:45 a koniec około godziny 16. Każdy uczestnik otrzyma od nas certyfikat w języku polskim i angielskim (w postaci PDF z zapisanymi punktami ECE) oraz dostęp do nagrań prelekcji na 60 dni.

DLA KOGO?

Tradycyjnie stawiamy na merytorykę, brak nachalnego marketingu, znane i lubiane nazwiska i po prostu świetną atmosferę pasjonatów tematu. Tym razem przygotowaliśmy dla Was następujące ścieżki tematyczne:

  • Netsec – dla administratorów, testerów związanych z bezpieczeństwem sieci
  • Websec/Varies – dla developerów, programistów i testerów związanych z bezpieczeństwem aplikacji webowych ale także dla wszystkich pasjonatów cyberbezpieczeństwa
  • Defence – dla developerów, programistów i testerów oraz administratorów i blue teamów

Na naszym serwerze na Discordzie będziecie mieli okazję porozmawiać z naszymi prelegentami, wymienić się doświadczeniami z innymi uczestnikami (poznacie osoby o podobnych zainteresowaniach), znajdziecie odpowiedzi na nurtujące Was pytania, rozwiniecie swoje umiejętności oraz… po prostu będziecie się świetnie bawić! Serwer będzie aktywny jeszcze długo po samym wydarzeniu. Dodatkowo przewidujemy całą masę konkursów, więc osoby aktywne będą miały szansę na wygranie gadżetów sekuraka oraz Sekurak.Academy.

AGENDA*

Ścieżka DEFENCE

1. Jak napisałem milion wirusów? – Grzegorz Tworek

Przepis jest prosty: zrób generator kodu wirusa, skompiluj, namów innych, żeby zechcieli wszystkie te pliki uruchomić. Zdradzając zakończenie: udało się! Czy antywirusy, sandboxy, EDRy i inne podobne rozwiązania też powinny się cieszyć, ocenicie sami.

2. SSHardening. Różne techniki utwardzania konfiguracji SSH/SCP/SFTP w celu utrudnienia ataku – Karol Szafrański

Wszyscy używają, znają i rozumieją SSH, prawda? Prawda?!…

Usługa oferuje zdalną powłokę oraz pięć innych protokołów. Zostawimy tylko te niezbędne i zoptymalizujemy ich działanie. Następnie skonfigurujemy klucze SSH w sposób bezpieczny i wygodny, co sprawi, że hasła staną się zbędne.

Pogrupujemy konta użytkowników, aby były bardziej bezpieczne. Skonfigurujemy je tak, by każdemu przydzielić tylko niezbędne uprawnienia. Ostatni krok pozostanie niespodzianką:)

3. Flipper Zero – jak w 5 minut pokonałem bramki kontroli dostępu i drzwi otwierane pilotem – Piotr Rzeszut

Piotr pokaże jego możliwości jak chodzi o systemy kontroli dostępu – klonowanie/spoofowanie kart RFID, systemy sterowania na pilota (nawet te bardziej skomplikowane jak keeloq).

4. Historia pewnego włamu. Czyli co mogło pójść lepiej – Robert Przybylski

Sesja będzie przejściem przez historie włamań z którymi Robert miał do czynienia w ramach projektów Compromise Recovery.

Omówione zostaną elementy wspólne które doprowadziły do sytuacji kryzysowej, ale także metody które pozwalają ustrzec się przed podobnymi problemami w przyszłości.

Ścieżka WEBSEC/VARIES

1. Dlaczego hackowanie aplikacji webowych jest proste (2024)? – Michał Sajdak

Jak będzie wyglądało bezpieczeństwo aplikacji webowych w 2050. roku? Jakoś tak: ’ or '1’=’1 Czyli w zasadzie w ogóle się nie zmieni. Dlaczego tak uważam? Dlatego, że nie widać na horyzoncie znacznej poprawy w temacie krytycznych i dość prostych do wykorzystania podatności w aplikacjach webowych. Ba – dziur jest coraz więcej 🙂

W trakcie prezentacji Michał będzie się starał Was przekonać do takiego punktu widzenia.

2. Pentest aplikacji webowej w 40 minut! – Robert Kruczek

W ramach prelekcji, będziemy na żywo szukać podatności w aplikacji internetowej. Spróbujemy je opisać, a także przygotować scenariusze ataków jak w przypadku realnych testów penetracyjnych.

3. State-of-the-art crackowania hashy na FPGA – Mateusz Lewczak

Mateusz przedstawi swoje open sourceowe narzędzie, które można wykorzystać do szybszego crackowania (wybranych) hashy, które na GPU wymagają o wiele więcej czasu niż na specjalnie zaprojektowanych układach logicznych.

Przedstawi faktyczne zalety i wady takiego rozwiązania. Porównanie kosztów oraz wyników dla poszczególnych hashy.

4. Dlaczego hackowanie jest jeszcze prostsze… – Wiktor Sędkowski

Jak przejmować kontrole nad systemami za pomocą ctrl+c i ctrl+v? Script Kiddie w dobie Generatywnej AI oraz automatyzacja testów bezpieczeństwa przy użyciu PentestGPT. Wraz z Wiktorem zobaczymy czy LLM jest w stanie wspierać pentestera w jego codziennej pracy i zobaczmy jak dobrze daje sobie radę z tym zadaniem.

Ścieżka NETSEC

1. Wykorzystanie narzędzi AI w OSINT – Tomasz Turba

Lubisz OSINT? Lubisz AI?

Wraz z Tomkiem zapraszamy zatem na prelekcję nt. narzędzi AI w białym wywiadzie. Co się zmieniło, co się zmieni, a co pozostanie niezmienne. Pokaz będzie miał charakter praktyczny.

2. Drifty z Porsche czyli ciąg dalszy hakowania ECUs – Mateusz Wójcik

Research urządzeń działających w branży automotive to temat nieskończony, niekiedy niewdzięczny natomiast z pewnością jest bardzo wciągający i fascynujący! Lubisz szybkie samochody? Tym razem na warsztat leci ECU, który działa w samochodach marki Porsche.

Wraz z Mateuszem zanurzymy się w analizę możliwości nieautoryzowanego dostępu. Nie obejdzie się bez omówienia wykorzystywanych technologii w codziennej pracy testera automotive.

3. BGP RPKI, czyli podpisywanie prefiksów – Piotr Wojciechowski 

Jak uchronić swoje prefiksy przed kradzieżą i nieuprawnionym rozgłaszaniem przez operatora? W jaki sposób zweryfikować, czy odbierany przez nas prefiks nie jest przypadkiem rozgłaszany przez atakującego?

Ta sesja będzie krótkim przypomnieniem, że swoje prefiksy można cyfrowo podpisywać za pomocą BGP RPKI i nie jest to takie trudne.

4. Akt o cyberodporności, czyli czy można ustawą zabezpieczyć IoT? – Bohdan Widła

Wiemy, że urządzenia IoT często trafiają na rynek z koszmarnymi i łatwymi do wykorzystania podatnościami. Pomysły, żeby wprowadzić tu minimalne wiążące standardy bezpieczeństwa, zmaterializowały się ostatnio na poziomie Unii Europejskiej. W tym roku zapewne zostanie przyjęty, a za mniej więcej 3 lata zacznie być stosowany tzw. akt o cyberodporności.

Bohdan opowie, co to w zasadzie jest i pospekuluje, co może się przez to zmienić.

5. Flipper ZERO. Round One – Maciej Szymczak

W kwietniu 2020 roku powstał pierwszy prototyp F0, a jak to wygląda dzisiaj? Maciej pokaże na żywo co potrafi to maleństwo – od zakupu, przez aktualizacji firmware, podstawową konfigurację aż do wykonania złośliwego kodu na Windows.

*Więcej szczegółów będziemy publikować w kolejnych tygodniach. Agenda może ulec zmianie a jej ostateczny kształt będzie gotowy na dwa tygodnie przed wydarzeniem. 

Niespodzianka na majówkę :-) Udostępniamy bezpłatnie prelekcję Tomka Turby pt. Hackowanie vs AI. Link do wystąpienia będzie dostępny do 7 maja 2024 r. Uwaga! Linkiem można się dzielić :-)

Zapraszam Was do obejrzenia mojej prelekcji. Zobaczysz przegląd technik ataków z wykorzystaniem AI (deep fake audio, video, foto, komunikatory, keytapping), większość w formie praktycznego pokazu. Wskazane zostaną też możliwe kierunki rozwoju narzędzi wspierających cyberbezpieczeństwo i niebezpieczeństwa związane z AI 😉. Przypominamy tę prelekcję gdyż za niedługo jej nowa, odświeżona edycja, z większą pulą ataków, metod obrony oraz tuningu AI!

Tomasz Turba

… I TO NIE JEST NASZE OSTATNIE SŁOWO! MAMY DLA WAS PONAD 70 NAGRAŃ Z POPRZEDNICH EDYCJI MSHP.

Kupując bilet na majowe wydarzenie dostaniesz od nas automatycznie dostęp do nagrań z pięciu poprzednich edycji MSHP! Co dla Was mamy w szczegółach?

WEBSEC (developerzy, programiści, testerzy):

  • „Przegląd stanu bezpieczeństwa API REST w 2021 roku” – Michał Sajdak
  • „Finding & Fixing DOM-based XSS – once and for all?” – Frederik Braun
  • „XSS w 2021 roku” – Michał Bentkowski
  • „SSRF w chmurze. Jak niebezpieczny może być?” – Kamil Jarosiński
  • „XS-leaks – sztuka subtelnych wycieków danych” – Michał Bentkowski
  • „Prototype Pollution – czyli jak zatruć aplikację XSS-em” – Michał Bentkowski
  • „Dlaczego hackowanie aplikacji webowych jest proste ( 2022 )” – Michał Sajdak
  • „Historia niezwykłego buga w parserze HTML w Chromie (+ obejście DOMPurify)” – Michał Bentkowski
  • „Dlaczego hackowanie aplikacji webowych jest proste” – Michał Sajdak
  • „The DOMPurify Backrooms – Weird Tickets, elegant Bypasses & migrating into the Browser” – Mario Heidrich
  • „Eksfiltracja danych za pomocą CSS oraz Scroll-To-Text” – Maciej Piechota
  • „Client-side security w 2022 roku” – Grzegorz Niedziela
  • „Najczęściej popełniane błędy w parsowaniu HTML” – Michał Bentkowski
  • Dlaczego hackowanie aplikacji webowych jest proste 2023 (100% aktualnej wiedzy) – Michał Sajdak
  • Małe kroczki ku zwiększaniu bezpieczeństwa platformy webowej – Michał Bentkowski
  • Dlaczego HTML jest zmutowaną bestią? – Michał Bentkowski

NETSEC (administratorzy, testerzy):

  • „Jak dostać się do danych zabezpieczonych BitLockerem? Zrób sobie aktualizację systemową” – Krzysztof Bierówka
  • „Hakowanie WPA2-Enteprise, czyli jak dobrać się do sieci korporacyjnych?” – Maciej Szymczak
  • „Żonglowanie pamięcią podręczną” – Iwona Polak 
  • „Niebezpieczeństwa mechanizmu WebView- jak wykradać dane aplikacji mobilnych” – Marek Rzepecki
  • „Netgear – CTF w pudełku?!” – Gynvael Coldwind
  • „Chodź pomaluj mi malware” – Maciej Kotowicz
  • „Dlaczego hackowanie aplikacji (pod koniec roku 2021) jest proste?” – Michał Sajdak
  • „Błędy bezpieczeństwa w architekturze współczesnych mikrokontrolerów i sposoby ich wykorzystania” – Grzegorz Wypych
  • „Bezpieczeństwo routingu – podstawy i rzeczy bardziej zaawansowane” – Łukasz Bromirski
  • „Ghidra – na przykładzie poszukiwania podatności OS Command injection” – Mateusz Wójcik
  • „Glitching RISC-V chips: MTVEC corruption for hardening ISA” – Adam Zabrocki 
  • „SDR – radia programowe w analizie bezpieczeństwa” – Piotr Rzeszut
  • „Telefonia IP – jak złamać SIP” – Kamil Folga
  • „Os Command Injection” – Mateusz Wójcik
  • „SIP Honeypot – analiza metod ataków VoIP” – Kamil Folga
  • „Best client fuckups overview” – Tomasz Turba
  • „Nominacja do PwnieAward za błąd w kodzie referencyjnym Intel’a – retrospekcja” – Adam Zabrocki
  • „ElectroVolt: Pwning Popular Desktop Apps While Uncovering New Attack Surface on Electron” – Aaditya Purani oraz Mohan Sri Rama Krishna Pedhapati
  • „Praktyczny bettercap – czyli nowoczesny kombajn do realizacji ataków podsłuchu” – Maciej Szymczak
  • „Case study z pentestów: Niebezpieczeństwo Redisa ” – Marek Rzepecki
  • „Emulacja Firmware” – Mateusz Wójcik
  • „Hackowanie AppLockera” – Grzegorz Tworek
  • Jak wygrywać CTFy: Tips & Tricks! – Gynvael Coldwind
  • Podstawy komunikacji i wykrywania urządzeń w sieci CAN – Mateusz Wójcik
  • Czy tylko banki powinny wzorować się na rekomendacji CSIRT KNF? – Piotr Wojciechowski
  • Metody ataków DoS/DDoS na serwery SIP (VoIP) – Kamil Folga
  • Co w bezpieczeństwie routingu piszczy? – Łukasz Bromirski
  • FIDO2 dla profesjonalistów, czyli łączymy Yubikey z SSH, Windowsem i macOS – Maciej Szymczak
  • Halo, Kernel? Ale to ty dzwonisz… – Grzegorz Tworek
  • Docker hacking – Tomasz Turba
  • Kto to Panu tak…napisał – przykład ciekawej aplikacji desktopowej – Robert Kruczek
  • Szpiedzy (nie) tacy jak my – Krzysztof Wosiński
  • Jak zhackowałem swoją klimatyzację – Piotr Rzeszut
  • Antivirus bypass – techniki na ukrywanie obecności przed oprogramowaniem antywirusowym – Marek Rzepecki
  • AI-srejaj. Jak rozwój LLM wpłynął na pracę pentestera? – Maciej Szymczak
  • Utrudnianie ataków na oprogramowanie za pomocą blockchaina – Martin Matyja

OSINT/EXTRAS (wszyscy, ew. inspektorzy IOD, analitycy):

  • „Prawne pułapki pentestingu i bug bounty” – Bohdan Widła 
  • „Nie wszystko co widzisz jest prawdziwe – analiza oznak modyfikacji zdjęć” – Krzysztof Wosiński
  • „OSINT – historia prawdziwa” – Tomasz Turba
  • „OOPSEC – wpadki i wypadki przy zabezpieczaniu danych” – Krzysztof Wosiński
  • „To ptak! To samolot! Nie, to… OSINT” – Krzysztof Wosiński
  • „OSINT – historia prawdziwa #2” – Tomasz Turba
  • Czy obraz to zawsze więcej niż tysiąc słów? – OSINT-owe techniki wyszukiwania za pomocą obrazów – Krzysztof Wosiński
  • Phishingowe Rewolucje – poznaj składniki i przepisy na skuteczne atakowanie użytkowników – Michał Wnękowicz
  • AI Hacking – Tomasz Turba
  • 2FA, MFA, YubiKey – wszystko co chciałbyś wiedzieć o dwuskładnikowym uwierzytelnianiu! – Maciej Szymczak

DEFENCE (administratorzy, blue team):

  • „Monitorowanie systemów Windows” – Grzegorz Tworek
  • „Powershell dla blueteamów” – Paweł Maziarz
  • „Purple-teaming w Polsce” – Tomasz Turba
  • „Kto Ci kradnie pakiety (Zabbix)” – Arkadiusz Siczek
  • „CTI 101 – jak to zrobić u siebie?” – Sławomir Kiraga
  • „Kryptologia z lotu ptaka” – Iwona Polak 
  • „Dobra architektura infrastruktury IT jak dobra architektura urbanistyki – najpierw ignorujemy, a potem narzekamy” – Piotr Wojciechowski
  • „Application Whitelisting” – Grzegorz Tworek
  • „Praktyczne aspekty wdrożenia ochrony przed porywaniem prefiksów” – Łukasz Bromirski
  • „Prelekcja o budowie QR-kodów” – Tomasz Zieliński
  • „Wykrywanie anomalii w infrastrukturze IT z wykorzystaniem Zabbixa” – Arkadiusz Siczek
  • „Know your tools – OpenSSH” – Dariusz Puchalski
  • „Audyt serwerów Linuxa” – Arkadiusz Siczek
  • „Podpisy cyfrowe plików w Windows. Jak to zrozumieć i używać” – Grzegorz Tworek
  • „Cobalt Strike for Blue Team!” – Wojciech Lesicki
  • Rzeczywiste przypadki z błędami w użyciu kryptografii – Iwona Polak
  • Jak zautomatyzować patchowanie serwerów i aplikacji – Arkadiusz Siczek
  • Użycie NTFS Journal w informatyce śledczej – Grzegorz Tworek
  • Honeypot anyone? – Tomasz Turba
  • 2+2=BUG, czyli paradoks połączonych systemów – Gynvael Coldwind

Jednym zdaniem. Każdy znajdzie coś dla siebie!

Dla uważnych czytelników mamy niespodziankę. Wrzuć u siebie poniższe info na socjale, grupę, intranet itp – zrób screena i wyślij na adres ca@securitum.pl wpisując w tytule MSHP WPIS. Pierwsze 5 osób dostanie od nas darmową wejściówkę na MSHP 20.05.2024, a kolejne 5 kubek sekuraka.

Mega Sekurak Hacking Party – 20.05.2024 r.

20 maja ekipa sekurak.pl zaprasza na Mega Sekurak Hacking Party! Topowi prelegenci- praktycy, bez marketingu produktowego, tylko merytoryka i pokazy hackingu na żywo! Szczegóły i zapisy tutaj: https://sklep.securitum.pl/mshp-maj-2024

BILETY VIP

Zwracamy też uwagę na bilety VIP, których jest ograniczona liczba. Bilet VIP, oprócz tego, że gwarantuje pakiet extra jest też po prostu wsparciem naszych edukacyjnych (nierzadko darmowych) inicjatyw. Każdy, kto kupi bilet VIP dostanie od nas (poza wejściem na samą imprezę):

  • 10 tokenów (o wartości ponad 4000 złotych!) do wykorzystania na nasze szkolenia (min. takie dwudniowe „flagowce” jak Wprowadzenie do Bezpieczeństwa IT czy też Bezpieczeństwo Windows. Elementarz każdego administratora; pełną listę szkoleń w ramach VIP możecie zdobyć pisząc na szkolenia@securitum.pl lub wchodząc na podany na końcu ramki link)
  • Czarną bluzę sekuraka z haftowanym logiem oraz kubek
  • Specjalny dyplom (drukowany i oprawiony w ramkę)

Bilety VIP możecie zamówić tutaj: https://sklep.securitum.pl/mshp-maj-2024

Podsumowując, Mega Sekurak Hacking Party to wydarzenie, na którym bezpiecznikom i pasjonatom tematu cyber nie wypada nie być 😊

Jeżeli dotarliście do końca to mamy jeszcze na koniec mini konkurs. Pierwsze 10 osób, które napisze do nas na adres ca@securitum.pl i napisze tytuły co najmniej pięciu prelekcji, które odbędą się na majowym wydarzeniu, dostanie od nas kubek sekuraka. W tytule trzeba koniecznie wpisać MSHP Kubek.

W najbliższych dniach spodziewajcie się więcej informacji o MSHP. Przekażcie prosimy info w firmach i znajomym bezpiecznikom. Widzimy się już za 20 maja! 😊

~Łukasz Łopuszański

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz