Mega Sekurak Hacking Party – 19.10.2023 – teraz można zapisać się również online :-) Super prezentacje, extra atmosfera, nagrania i brak uporczywego marketingu :)

W tym roku nasze całodniowe wydarzenie (można cały czas się zapisywać) odbędzie się w krakowskim centrum kongresowym ICE (19.10.2023). Od dzisiaj można również wykupić dostęp on-line do całości (w tym dostęp do nagrań):

1. Wejdź na ten link
2. Wybierz po prawej stronie “bilet uczestnictwo tylko on-line”
3. W kolejnym kroku użyj kodu rabatowego: sekurak-mshp-early (daje on aż -30% ważny tylko do 11.10.2023)

Ważne: osoby, które wykupiły dostęp on-site (cały czas zapraszamy!) otrzymają dostęp on-line gratis.

W ramach “biletu uczestnictwo tylko online” otrzymasz:

• Dostęp do transmisji na żywo z main stage (YouTube)
• Dostęp do nagrania z transmisji (na 12 miesięcy)
• Dostęp do dedykowanego serwera Discord MSHP dla uczestników
• Dostęp do zapisu ~70 prezentacji z poprzednich edycji MEGA sekurak hacking party (edycje on-line)
• Udział w wielu konkursach i możliwość wygrania fajnych nagród!
• Certyfikat uczestnictwa (w pdf)

AGENDA

Na MSHP szczycimy się tym, że nasze konferencje to zawsze 100% merytoryki. Nie wrzucamy męczącego marketingu a stawiamy na najlepszych prelegentów i ciekawe tematy. Na Sali Głównej będziemy od 9:00 do godz. 19:00 (być może się przedłuży). O czym więc porozmawiamy?

• 2+2=BUG, czyli paradoks połączonych systemów  – Gynvael Coldwind

Kluczową różnicą pomiędzy małymi a dużymi systemami jest powielanie funkcjonalności. Na przykład, w małym systemie zazwyczaj potrzebujemy tylko jednego parsera TCP, jednego parsera HTTP, jednego parsera ZIP, i tak dalej. Załóżmy, że jakimś cudem cały system jest poprawnie zaimplementowany i nie posiada błędów bezpieczeństwa. A teraz dodajmy do tego drugi, również idealnie bezpieczny, połączony system, zbudowany przez zupełnie inny zespół. Jak się często okazuje w praktyce, dwa połączone bezpieczne systemy niekoniecznie dadzą bezpieczną całość.

Celem tego wykładu jest przegląd i omówienie klas błędów typowych dla złożonych systemów. W szczególności Gynvael skupi się na błędach, których przyczyna leży w wykorzystaniu kilku różnych implementacjach tego samego protokołu czy formatu plików. Prelekcja będzie przekrojowa, a więc wspomniane będą błędy zarówno nisko- jak i wysokopoziomowe, zarówno w oprogramowaniu webowym, jak i np. implementacji niskopoziomowych protokołów sieciowych.

Wykład skierowany jest przede wszystkim do osób początkujących i średniozaawansowanych.

• Halo, Kernel? Ale to ty dzwonisz…  – Grzegorz Tworek

W systemach Windows, istotna część wydarzeń odbywa się w trybie jądra. Nie dość, że warto tam zajrzeć, to jeszcze czasem przydałoby się w świadomy sposób o coś jądro systemu poprosić.

Korzyści mogą być naprawdę warte zachodu, dlatego warto tematowi poświęcić całą sesję. Uwaga! Grzegorz ostrzega, że zawiera więcej niż śladowe ilości kodu w C.

• Docker hacking  –  Tomasz Turba

Tomek zaprasza Was na praktyczną prezentacje nietuzinkowych i ciekawych ataków na najpopularniejszą platformę do konteneryzacji. Zostaną przedstawione strategie i techniki wykorzystywane przez hakerów do infiltracji kontenerów Docker, jednocześnie pokazując, jak efektywnie bronić się przed takimi atakami.

Uczestnicy dowiedzą się o potencjalnych lukach bezpieczeństwa w standardowych konfiguracjach Docker, a także o najnowszych narzędziach i praktykach zabezpieczania kontenerów, także związanych z AI.

• Kto to Panu tak… napisał – przykład ciekawej aplikacji desktopowej  –  Robert Kruczek

Aplikacje desktopowe również posiadają błędy bezpieczeństwa.

W trakcie prezentacji Roberta przeprowadzony będzie pobieżny test penetracyjny aplikacji desktopowej, dzięki któremu dowiemy się czego nie należy robić, projektując mechanizmy uwierzytelnienia.

• Szpiedzy (nie) tacy jak my  –  Krzysztof Wosiński

Krzysztof zaprasza Was do świata…szpiegowania! Skupi się głównie na social mediach. Poznacie szpiegowanie z wykorzystaniem serwisów internetowych i mediów społecznościowych – małe i duże akcje, drobne i większe porażki.

• Jak zhackowałem swoją klimatyzację  –  Piotr Rzeszut

Zastanawialiście się kiedyś jak przejść od etapu oglądania obudowy urządzenia z zewnątrz do finalnego przejęcia kontroli nad nim? Jeśli tak, to Piotr postara się pokazać Wam jak przeszedł taką drogę na przykładzie swojej prywatnej klimatyzacji i podzieli się paroma praktycznymi wskazówkami! Z pewnością przydadzą się przy badaniu różnych urządzeń z systemami wbudowanymi na pokładzie.

• Antivirus bypass – techniki na ukrywanie obecności przed oprogramowaniem antywirusowym  –  Marek Rzepecki

Podczas swojej prezentacji Marek opowie jak zwiększyć skuteczność kampanii red team i testów socjotechnicznych – czyli przedstawi sposoby i narzędzia pozwalaje na obniżenie skuteczności antywirusów w wykrywaniu obecności wrogiego kodu w uruchamianym oprogramowaniu.

• AI-srejaj. Jak rozwój LLM wpłynął na pracę pentestera?  –  Maciej Szymczak

Podczas prezentacji Maciej opowie o tym jak rozwój LLM (m.in. Chat GPT) wpłynął na prace w IT Security. Porówna plusy dodatnie i ujemne, powróży z porozrzucanych bajtów. Wszystko oczami zawodowego pentestera.

• Dlaczego HTML jest zmutowaną bestią? – Michał Bentkowski

Wyobraźcie sobie, że w macie jakiś dowolny obiekt w pamięci w waszym ulubionym języku programowania. Następnie serializujecie ten obiekt używając do tego standardu JSON. W kolejnym kroku zaś deserializujecie ten JSON z powrotem do obiektu w pamięci. I w tym momencie okazuje się, że dostajecie kompletnie inny obiekt niż mieliście oryginalnie – który zostaje całkowicie inaczej zinterpretowany przez aplikację i który – co gorsza – doprowadza do błędu bezpieczeństwa w aplikacji!

Brzmi źle? Na szczęście w JSON-ie zazwyczaj nie obserwujemy tego typu zachowania. Okazuje się jednak, że w HTML takie zachowanie w pewnych sytuacjach jest w 100% zgodne ze specyfikacją! Tego typu problemu zazwyczaj nazywane są mXSS (mutation XSS).

W swojej prezentacji Michał opowie właśnie o specyfikacji HTML, o tym z czego wynika jego skłonność do mutacji i skąd konkretnie bierze się mXSS. Opowie też, co próbujemy zrobić, żeby próbować mXSS zlikwidować z platformy webowej.

• Utrudnianie ataków na oprogramowanie za pomocą blockchaina – Martin Matyja

Historia pokazała nam że wzrost popularności ataków typu supply chain nie jest przypadkowy. Szerokie pole rażenia oraz trudność w wykryciu tego ataku może spowodować wiele problemów. Zamiast skupiać się na klasycznych rozwiązaniach, może jednak warto rozejrzeć się za nowymi alternatywami? Podczas prelekcji Martin zaproponuje pewien schemat jak w dosyć prosty i sprytny sposób wykorzystać łańcuch bloków do zwalczania ataku poprzez kradzież klucza prywatnego organizacji.

Dodatkowy event! (dostępny tylko on-site)

Na Sali teatralnej organizujemy również Hacking depot. W trzech sesjach trwających po 90 minut, które będą się powtarzały podczas całego dnia (aby każdy miał okazję skorzystać) przygotowaliśmy dla Was:

• Hackowanie na żywo przykładowej sieci, aplikacji, urządzeń…
• Rozmowy w kuluarach z hackerami-prelegentami.
• Sekrety i tricki doświadczonych pentesterów w działaniu.

~ms