Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Mega Sekurak Hacking Party – 19.10.2023 – teraz można zapisać się również online :-) Super prezentacje, extra atmosfera, nagrania i brak uporczywego marketingu :)
W tym roku nasze całodniowe wydarzenie (można cały czas się zapisywać) odbędzie się w krakowskim centrum kongresowym ICE (19.10.2023). Od dzisiaj można również wykupić dostęp on-line do całości (w tym dostęp do nagrań):
- Wejdź na ten link
- Wybierz po prawej stronie „bilet uczestnictwo tylko on-line”
- W kolejnym kroku użyj kodu rabatowego: sekurak-mshp-early (daje on aż -30% ważny tylko do 11.10.2023)
Ważne: osoby, które wykupiły dostęp on-site (cały czas zapraszamy!) otrzymają dostęp on-line gratis.
W ramach „biletu uczestnictwo tylko online” otrzymasz:
- Dostęp do transmisji na żywo z main stage (YouTube)
- Dostęp do nagrania z transmisji (na 12 miesięcy)
- Dostęp do dedykowanego serwera Discord MSHP dla uczestników
- Dostęp do zapisu ~70 prezentacji z poprzednich edycji MEGA sekurak hacking party (edycje on-line)
- Udział w wielu konkursach i możliwość wygrania fajnych nagród!
- Certyfikat uczestnictwa (w pdf)
AGENDA
Na MSHP szczycimy się tym, że nasze konferencje to zawsze 100% merytoryki. Nie wrzucamy męczącego marketingu a stawiamy na najlepszych prelegentów i ciekawe tematy. Na Sali Głównej będziemy od 9:00 do godz. 19:00 (być może się przedłuży). O czym więc porozmawiamy?
- 2+2=BUG, czyli paradoks połączonych systemów – Gynvael Coldwind
Kluczową różnicą pomiędzy małymi a dużymi systemami jest powielanie funkcjonalności. Na przykład, w małym systemie zazwyczaj potrzebujemy tylko jednego parsera TCP, jednego parsera HTTP, jednego parsera ZIP, i tak dalej. Załóżmy, że jakimś cudem cały system jest poprawnie zaimplementowany i nie posiada błędów bezpieczeństwa. A teraz dodajmy do tego drugi, również idealnie bezpieczny, połączony system, zbudowany przez zupełnie inny zespół. Jak się często okazuje w praktyce, dwa połączone bezpieczne systemy niekoniecznie dadzą bezpieczną całość.
Celem tego wykładu jest przegląd i omówienie klas błędów typowych dla złożonych systemów. W szczególności Gynvael skupi się na błędach, których przyczyna leży w wykorzystaniu kilku różnych implementacjach tego samego protokołu czy formatu plików. Prelekcja będzie przekrojowa, a więc wspomniane będą błędy zarówno nisko- jak i wysokopoziomowe, zarówno w oprogramowaniu webowym, jak i np. implementacji niskopoziomowych protokołów sieciowych.
Wykład skierowany jest przede wszystkim do osób początkujących i średniozaawansowanych.
- Halo, Kernel? Ale to ty dzwonisz… – Grzegorz Tworek
W systemach Windows, istotna część wydarzeń odbywa się w trybie jądra. Nie dość, że warto tam zajrzeć, to jeszcze czasem przydałoby się w świadomy sposób o coś jądro systemu poprosić.
Korzyści mogą być naprawdę warte zachodu, dlatego warto tematowi poświęcić całą sesję. Uwaga! Grzegorz ostrzega, że zawiera więcej niż śladowe ilości kodu w C.
- Docker hacking – Tomasz Turba
Tomek zaprasza Was na praktyczną prezentacje nietuzinkowych i ciekawych ataków na najpopularniejszą platformę do konteneryzacji. Zostaną przedstawione strategie i techniki wykorzystywane przez hakerów do infiltracji kontenerów Docker, jednocześnie pokazując, jak efektywnie bronić się przed takimi atakami.
Uczestnicy dowiedzą się o potencjalnych lukach bezpieczeństwa w standardowych konfiguracjach Docker, a także o najnowszych narzędziach i praktykach zabezpieczania kontenerów, także związanych z AI.
- Kto to Panu tak… napisał – przykład ciekawej aplikacji desktopowej – Robert Kruczek
Aplikacje desktopowe również posiadają błędy bezpieczeństwa.
W trakcie prezentacji Roberta przeprowadzony będzie pobieżny test penetracyjny aplikacji desktopowej, dzięki któremu dowiemy się czego nie należy robić, projektując mechanizmy uwierzytelnienia.
- Szpiedzy (nie) tacy jak my – Krzysztof Wosiński
Krzysztof zaprasza Was do świata…szpiegowania! Skupi się głównie na social mediach. Poznacie szpiegowanie z wykorzystaniem serwisów internetowych i mediów społecznościowych – małe i duże akcje, drobne i większe porażki.
- Jak zhackowałem swoją klimatyzację – Piotr Rzeszut
Zastanawialiście się kiedyś jak przejść od etapu oglądania obudowy urządzenia z zewnątrz do finalnego przejęcia kontroli nad nim? Jeśli tak, to Piotr postara się pokazać Wam jak przeszedł taką drogę na przykładzie swojej prywatnej klimatyzacji i podzieli się paroma praktycznymi wskazówkami! Z pewnością przydadzą się przy badaniu różnych urządzeń z systemami wbudowanymi na pokładzie.
- Antivirus bypass – techniki na ukrywanie obecności przed oprogramowaniem antywirusowym – Marek Rzepecki
Podczas swojej prezentacji Marek opowie jak zwiększyć skuteczność kampanii red team i testów socjotechnicznych – czyli przedstawi sposoby i narzędzia pozwalaje na obniżenie skuteczności antywirusów w wykrywaniu obecności wrogiego kodu w uruchamianym oprogramowaniu.
- AI-srejaj. Jak rozwój LLM wpłynął na pracę pentestera? – Maciej Szymczak
Podczas prezentacji Maciej opowie o tym jak rozwój LLM (m.in. Chat GPT) wpłynął na prace w IT Security. Porówna plusy dodatnie i ujemne, powróży z porozrzucanych bajtów. Wszystko oczami zawodowego pentestera.
- Dlaczego HTML jest zmutowaną bestią? – Michał Bentkowski
Wyobraźcie sobie, że w macie jakiś dowolny obiekt w pamięci w waszym ulubionym języku programowania. Następnie serializujecie ten obiekt używając do tego standardu JSON. W kolejnym kroku zaś deserializujecie ten JSON z powrotem do obiektu w pamięci. I w tym momencie okazuje się, że dostajecie kompletnie inny obiekt niż mieliście oryginalnie – który zostaje całkowicie inaczej zinterpretowany przez aplikację i który – co gorsza – doprowadza do błędu bezpieczeństwa w aplikacji!
Brzmi źle? Na szczęście w JSON-ie zazwyczaj nie obserwujemy tego typu zachowania. Okazuje się jednak, że w HTML takie zachowanie w pewnych sytuacjach jest w 100% zgodne ze specyfikacją! Tego typu problemu zazwyczaj nazywane są mXSS (mutation XSS).
W swojej prezentacji Michał opowie właśnie o specyfikacji HTML, o tym z czego wynika jego skłonność do mutacji i skąd konkretnie bierze się mXSS. Opowie też, co próbujemy zrobić, żeby próbować mXSS zlikwidować z platformy webowej.
- Utrudnianie ataków na oprogramowanie za pomocą blockchaina – Martin Matyja
Historia pokazała nam że wzrost popularności ataków typu supply chain nie jest przypadkowy. Szerokie pole rażenia oraz trudność w wykryciu tego ataku może spowodować wiele problemów. Zamiast skupiać się na klasycznych rozwiązaniach, może jednak warto rozejrzeć się za nowymi alternatywami? Podczas prelekcji Martin zaproponuje pewien schemat jak w dosyć prosty i sprytny sposób wykorzystać łańcuch bloków do zwalczania ataku poprzez kradzież klucza prywatnego organizacji.
Dodatkowy event! (dostępny tylko on-site)
Na Sali teatralnej organizujemy również Hacking depot. W trzech sesjach trwających po 90 minut, które będą się powtarzały podczas całego dnia (aby każdy miał okazję skorzystać) przygotowaliśmy dla Was:
- Hackowanie na żywo przykładowej sieci, aplikacji, urządzeń…
- Rozmowy w kuluarach z hackerami-prelegentami.
- Sekrety i tricki doświadczonych pentesterów w działaniu.
~ms