Mega Sekurak Hacking Party 20.05.2024 – podsumowanie!

20 maja odbyła się pierwsza w tym roku (a kolejna już 30.09.2024r. w Krakowie!) edycja naszej autorskiej konferencji Mega Sekurak Hacking Party. Działo się sporo, było merytorycznie i wesoło! Zapraszamy na krótką relację z wydarzenia.

Chcemy zacząć od podziękowań, które należą się w szczególności:

– prelegentom – za doskonałe prelekcje, w znakomitej większości “świeży” content, przygotowywany od zera – na marginesie, to chyba jedna z kilku rzeczy, które nas wyróżnia patrząc na inne konferencje w branży 🙂  Brawa dla prelegentów za żywą interakcję z uczestnikami – w ankietach wskazaliście, że to dla Was było bardzo cenne.

–  uczestnikom – za aktywną obecność i ciekawe pytania

–  naszym Community VIPom z Sekurak.Academy, którzy pomagali nam “ogarniać” całą konferencję i moderować czaty, zarówno na Youtube jak i na Discordzie. 

Kolejny raz spotkaliśmy się on-line za pośrednictwem Discorda. Na wydarzenie zapisało się ponad 800 osób, które poświęciły swój czas w poniedziałek (w godzinach roboczych) aby obejrzeć trzynaście wyjątkowych prelekcji. Sam serwer na Discordzie uruchomiliśmy dwa tygodnie wcześniej, dając dostęp dla wszystkich uczestników do ponad 80 archiwalnych nagrań z poprzednich edycji konferencji! W oczekiwaniu na główne wydarzenie “było co robić” :-) 

Konferencję podzieliliśmy na trzy bloki tematyczne tj. WEBSEC/VARIES, NETSEC oraz DEFENCE. Każdy mógł znaleźć coś dla siebie. 

Konferencję punktualnie o godz. 9:45 otworzyli Michał Sajdak i Tomek Turba, którzy w krótkich słowach przedstawili agendę całego wydarzenia, kilka informacji organizacyjnych i jak to mamy w zwyczaju – zapowiedź ciekawych konkursów :-) 

KONFERENCJA MERYTORYCZNIE

Zaczęliśmy o 10:00 od trzech mocnych wystąpień.

Mateusz Wójcik podczas swojej prezentacji Drifty z Porsche czyli ciąg dalszy hakowania ECUs zanurzył się w analizę możliwości nieautoryzowanego dostępu do funkcji, które wpływają na bezpieczeństwo podczas jazdy. Nie obeszło się bez wykorzystania sprzętu do badań oraz omówienia wykorzystywanych technologii.

Michał Sajdak opowiadał o tym jak będzie wyglądało bezpieczeństwo aplikacji webowych w 2050 roku i dlaczego uważa, że się wcale nie zmieni. Uzasadniał to tym, że nie widać na horyzoncie znacznej poprawy w temacie krytycznych i dość prostych do wykorzystania podatności w aplikacjach webowych. Ba! – dziur jest coraz więcej 🙂 Czy mu się udało przekonać Was do takiego zdania? Patrząc na wyniki ankiet tak! 

Grzegorz Tworek – człowiek – legenda, którego nie trzeba szerzej przedstawiać, opowiedział o tym jak napisał milion wirusów. Jak to u Grzegorza bywa było mega merytorycznie i profesjonalnie, elementu humorystycznego do całości dodawały ćwierkające w tle ptaszki :-) W końcu mamy wiosnę!

O godzinie 11:00 po krótkiej przerwie wróciliśmy z kolejnymi trzema wykładami.

Maciej Szymczak w wystąpieniu o Flipper ZERO pokazał na żywo co potrafi to maleństwo – od zakupu, przez aktualizację firmware, podstawową konfigurację aż do wykonania złośliwego kodu na Windows.

Na ścieżce WEBSEC/VARIES Robert „Proxy” Kruczek, zaprosił nas na wyjątkowy pokaz tj. pentest aplikacji webowej “na żywo”! Wszystko odbyło się w zaledwie 40 minut. Aplikacje przygotował ZygzakEtylowasyl z Sekurak.Academy za co serdecznie mu w tym miejscu dziękujemy.

Karol Szafrański na ścieżce DEFENCE, przedstawił Wam różne techniki utwardzania konfiguracji SSH/SCP/SFTP w celu utrudnienia ataku. Jesteśmy przekonani, że po wykładzie większość z Was poznała i zrozumiała SSH 🙂

Na tym zakończyliśmy etap drugi naszego wydarzenia. W samo południe (przed godzinną przerwą obiadową) zaprosiliśmy na trzy kolejne prezentacje.

Bohdan Widła – zaprzyjaźniony z nami  prawnik omówił Akt o cyberodporności, i zastanawiał się czy można ustawą zabezpieczyć IoT. 

Mateusz Lewczak z naszej ekipy, przedstawił swoje open source’owe narzędzie, które można wykorzystać do szybszego crackowania (wybranych) hashy, które na GPU wymagają o wiele więcej czas niż na specjalnie zaprojektowanych układach logicznych. Pokazał faktyczne zalety i wady takiego rozwiązania oraz porównanie kosztów oraz wyników dla poszczególnych hashy.

Piotr Rzeszut z kolei wystąpił z drugim na tej konferencji tematem dotyczącym Flippera ZERO (bardzo przez Was oczekiwanej, co pokazała choćby frekwencja na tym wykładzie :-)). Pokazał jego możliwości w zakresie systemu kontroli dostępu – klonowanie/spoofowanie kart RFID, systemy sterowania na pilota (nawet te bardziej skomplikowane jak keeloq).

O godzinie 13:00 zaprosiliśmy wszystkich na godzinną przerwę. Po takiej dawce wiedzy i emocji każdy potrzebuję odrobiny spokoju! Po tym jak już wszyscy wrócili najedzeni i zrelaksowani, o godz. 14.00 nadszedł czas na ostatnie cztery prelekcje Mega Sekurak Hacking Party.

Tomek Turba zaprosił Was na jedno z najbardziej oczekiwanych wystąpień tego dnia tj. Wykorzystanie narzędzi AI w OSINT. Dowiedzieliśmy się co się zmieniło, co się zmieni, a co pozostanie niezmienne. Pokaz miał charakter praktyczny i zostawił uczestników w poczuciu, że… chcą więcej! 

W międzyczasie Wiktor Sędkowki pokazał jak przejmować kontrolę nad systemami za pomocą ctrl+c i ctrl+v. Wraz z Wiktorem sprawdziliśmy czy LLM jest w stanie wspierać pentestera w jego codziennej pracy i zobaczyliśmy jak dobrze daje sobie radę z tym zadaniem.

Ścieżkę DEFENCE zakończyła prelekcja Roberta Przybylskiego, który zaskoczył nas historią nie jednego a wielu włamów. Sesja była przejściem przez historię włamań, z którymi Robert miał do czynienia w ramach projektów Compromise Recovery. Omówione zostały elementy wspólne, które doprowadziły do sytuacji kryzysowej, ale także metody, które pozwalają ustrzec się przed podobnymi problemami w przyszłości.

Część merytoryczną konferencji zakończyliśmy o godzinie 15:00 wykładem Piotrka Wojciechowskiego pt. BGP RPKI, czyli podpisywanie prefiksów. Piotr omówił jak uchronić swoje prefiksy przed kradzieżą, w jaki sposób zweryfikować czy odbierany przez nas prefiks nie jest przypadkiem rozgłaszany przez atakującego. Sesja była krótkim przypomnieniem, że swoje prefiksy można cyfrowo podpisywać za pomocą BGP RPKI i że nie jest to takie trudne.

Konferencję zakończyliśmy planowo, tj. o godz. 15:45 podsumowaniem ze strony Michała Sajdaka, Tomka Turby i Łukasza Łopuszańskiego.

Organizacyjnie wszystko w naszej (nieskromnej :-)) opinii się udało, trzymaliśmy się założonych ram czasowych i mimo mega dużej dawki wiedzy nikt nie czuł się zmęczony. Całość wydarzenia oceniliście na bardzo solidne 4.7/5, co nas bardzo cieszy, ale i daje pole do poprawy, co też niniejszym obiecujemy!

CO SIĘ DZIAŁO NA DISCORDZIE?

W tym roku do obsługi i koordynacji całego wydarzenia ponownie skorzystaliśmy z Discorda. Sam serwer uruchomiliśmy sporo wcześniej, zapraszając uczestników do oglądania archiwalnych wykładów z poprzednich edycji Mega Sekurak Hacking Party. Przez te kilka lat zebrało się ponad 80 materiałów video więc każdy mógł wczuć się w klimat imprezy w oczekiwaniu na 20 maja! 🙂

W dniu wydarzenia na Discordzie zameldowało się kilkaset osób. Jeden z uczestników napisał, że naszą największą siłą jest społeczność i pozostaje nam się z tym w 100% zgodzić. Uczestnicy byli bardzo aktywni, zadawali bardzo ciekawe pytania i pomagali sobie nawzajem w wyjaśnianiu nurtujących ich pytań. 

Nie zabrakło oczywiście konkursów, w których można było wygrać nasze ulubione przez Was gadżety. Kanały dedykowane konkursom płonęły od odpowiedzi. Rozdaliśmy ponad 60 różnego rodzaju nagród typu: kubki, koszulki, bluzy czy książki!

Bardzo dużą popularnością cieszył się (i nadal cieszy bo konkurs trwa do 25 maja) konkurs na wyłapanie słów kluczowych, które prelegenci podawali podczas swoich wykładów. Jedne słowa były podawane wprost, nad innymi trzeba było pogłówkować. Zabawa została bardzo dobrze przez Was przyjęta i pewnie będziemy kontynuować ją na kolejnych edycjach w przyszłości.  

WRZESIEŃ W KRAKOWIE!

Wszystko dobre co ma swoją dobrą kontynuację! Wydarzenie zdalne w dniu 20 maja było dobrą zapowiedzią tego co planujemy 30 września 2024 r. Tym razem zapraszamy na kolejne Mega Sekurak Hacking Party do Krakowa, do super komfortowego Centrum Kongresowego ICE. Przygotowujemy dla Was przynajmniej dwie ścieżki merytoryczne oraz dobrze przez Was ostatnio przyjęty – Hacking Depot (czyli specjalne techniki hackowania na żywo!). Agenda w opracowaniu, ale zapewniamy, że jak zawsze będzie super merytorycznie, wygodnie i smacznie 🙂 

Można już zapisywać się na to wydarzenie, do czego gorąco zachęcamy. 

Zapisy: https://sklep.securitum.pl/mshp-krakow-wrzesien

Łapcie kod rabatowy dający 20% zniżki na bilety: mshpkrk20

To będzie prawdziwe święto hackingu na żywo i możliwość spotkania prawdziwych pasjonatów IT security.

OPINIE PO KONFERENCJI

Na sam koniec mamy dla Was garść Waszych uwag i opinii. Serdecznie dziękujemy, że poświęciliście swój czas na wypełnienie ankiety.

Świetny poziom merytoryczny prelegentów, wspaniała społeczność.

Praktyczne przykłady bezpieczeństwa, a nie tylko ogólniki.

Fajnie zorganizowane tracki. Wszystko przeprowadzone bardzo sprawnie i dobrze przemyślana przerwa obiadowa :)

Fajnie, że oprócz prezek technicznych była też prawna, odpocząłem.

Wysoki poziom merytoryczny i „dyskusje kuluarowe” na Discordzie.

Komunikacja, bardzo dobra opieka techniczna :)

Wszystko, bardzo wysoki poziom – dużo wiedzy – świetnie :)

Przygotowanie techniczne oraz merytoryczne, zero nudy, różnorodność – każdy znalazł coś dla siebie.

Profesjonalizm, sposób prezentacji tematów i prowadzenia, dostęp do tego czego jeszcze nie widziałem – dwie pozostałe ścieżki;)

Przejrzysta agenda, mocno techniczna wiedza, bardzo dobra atmosfera no i najważniejsze – konkursy – chociaż nic nie wygrałem  ;-)

Możliwość interakcji z trenerami, ogromny poziom merytoryczny, konkursy z nagrodami, muzyczka :)

Organizacja, wszystko sprawnie, wszystko ogarnięte – możliwość oglądniecie sobie 'zaległych’ talków, selekcjonowania tematów – no i na większości prezentacji faktyczna, praktyczna wiedza.

NASI POMOCNICY

Z tego miejsca pragniemy także ogromnie podziękować naszym pomocnikom – Community VIP z Sekurak.Academy, którzy wspierają nas na każdym kroku: Agnik, Bartosz, emstelm, Grzechu, idkfa, iptom, Krzychu, Michał, NIEcyberMICHAŚ696, Paweł, ProXy, Rez, ZygzakEtylowasyl.

Do zobaczenia w Krakowie!

~Łukasz Łopuszański