Mega Sekurak Hacking Party w Krakowie, 19.10.2023 – agenda, goście i niespodzianki

19 października 2023 zapraszamy wszystkich zainteresowanych tematyką cyberbezpieczeństwa do Centrum Kongresowego ICE w Krakowie. Poniżej znajdziecie wszystkie niezbędne informacje dotyczące wydarzenia, a dla uważnych przygotowaliśmy 5 darmowych wejściówek na imprezę. Szukajcie wyróżnionych słów (nie chodzi o słowa wyróżnione boldem 😉), z których trzeba utworzyć zdanie. Następnie wyślijcie zdanie w temacie maila na szkolenia@securitum.pl. Zaczynamy!

BĄDŹ Z NAMI W KRAKOWIE!

„Zapraszam Was do Krakowa. Wracamy on-site po czterech latach przerwy! Będzie więc wyjątkowa okazja do tego by się spotkać w gronie „bezpieczników”, posłuchać ciekawych wykładów, wymienić doświadczeniami i po prostu dobrze się bawić. Będę do Waszej dyspozycji na miejscu!😊

Michał Sajdak, założyciel sekurak.pl

Co ponadto?

• Będąc na miejscu dostajesz udział w wyjątkowo merytorycznym wydarzeniu „na żywo” plus dostęp do nagrania z konferencji przez kolejne 60 dni (całe wydarzenie będzie profesjonalnie filmowane)
• Każdy uczestnik dostanie dostęp do PAKIETU EXTRA MSHP – czyli dostęp do nagrań z poprzednich edycji MSHP. To ponad 70 wykładów obejmujących takie zagadnienia jak websec, netsec, defence, osint.
• Doskonałą atmosferę i świetną okazję do dyskusji na temat cyberbezpieczeństwa; w wygodnym i przestronnym ICE będziesz miał okazję porozmawiać i wymienić się doświadczeniami z innymi uczestnikami i naszymi prelegentami
• Udział w wielu konkursach i możliwość wygrania fajnych nagród!
• Możliwość zakupu (lub odbioru) naszej najnowszej publikacji tj. Wprowadzenie do Bezpieczeństwa IT.
• Kubek sekuraka.
• Certyfikat uczestnictwa (w pdf).
• Pyszny obiad i… litry doskonałej kawy.

AGENDA

Na MSHP szczycimy się tym, że nasze konferencje to zawsze 100% merytoryki. Nie wrzucamy męczącego marketingu a stawiamy na najlepszych prelegentów i ciekawe tematy. Na Sali Głównej będziemy od 9:00 do godz. 19:00 (być może się przedłuży). O czym więc porozmawiamy?

• 2+2=BUG, czyli paradoks połączonych systemów  – Gynvael Coldwind

Kluczową różnicą pomiędzy małymi a dużymi systemami jest powielanie funkcjonalności. Na przykład, w małym systemie zazwyczaj potrzebujemy tylko jednego parsera TCP, jednego parsera HTTP, jednego parsera ZIP, i tak dalej. Załóżmy, że jakimś cudem cały system jest poprawnie zaimplementowany i nie posiada błędów bezpieczeństwa. A teraz dodajmy do tego drugi, również idealnie bezpieczny, połączony system, zbudowany przez zupełnie inny zespół. Jak się często okazuje w praktyce, dwa połączone bezpieczne systemy niekoniecznie dadzą bezpieczną całość.

Celem tego wykładu jest przegląd i omówienie klas błędów typowych dla złożonych systemów. W szczególności Gynvael skupi się na błędach, których przyczyna leży w wykorzystaniu kilku różnych implementacjach tego samego protokołu czy formatu plików. Prelekcja będzie przekrojowa, a więc wspomniane będą błędy zarówno nisko- jak i wysokopoziomowe, zarówno w oprogramowaniu webowym, jak i np. implementacji niskopoziomowych protokołów sieciowych.

Wykład skierowany jest przede wszystkim do osób początkujących i średniozaawansowanych.

• Halo, Kernel? Ale to ty dzwonisz…  – Grzegorz Tworek

W systemach Windows, istotna część wydarzeń odbywa się w trybie jądra. Nie dość, że warto tam zajrzeć, to jeszcze czasem przydałoby się w świadomy sposób o coś jądro systemu poprosić.

Korzyści mogą być naprawdę warte zachodu, dlatego warto tematowi poświęcić całą sesję. Uwaga! Grzegorz ostrzega, że zawiera więcej niż śladowe ilości kodu w C.

• Docker hacking  –  Tomasz Turba

Tomek zaprasza Was na praktyczną prezentacje nietuzinkowych i ciekawych ataków na najpopularniejszą platformę do konteneryzacji. Zostaną przedstawione strategie i techniki wykorzystywane przez hakerów do infiltracji kontenerów Docker, jednocześnie pokazując, jak efektywnie bronić się przed takimi atakami.

Uczestnicy dowiedzą się o potencjalnych lukach bezpieczeństwa w standardowych konfiguracjach Docker, a także o najnowszych narzędziach i praktykach zabezpieczania kontenerów, także związanych z AI.

• Kto to Panu tak… napisał – przykład ciekawej aplikacji desktopowej  –  Robert Kruczek

Aplikacje desktopowe również posiadają błędy bezpieczeństwa.

W trakcie prezentacji Roberta przeprowadzony będzie pobieżny test penetracyjny aplikacji desktopowej, dzięki któremu dowiemy się czego nie należy robić, projektując mechanizmy uwierzytelnienia.

• Szpiedzy (nie) tacy jak my  –  Krzysztof Wosiński

Krzysztof zaprasza Was do świata…szpiegowania! Skupi się głównie na social mediach. Poznacie szpiegowanie z wykorzystaniem serwisów internetowych i mediów społecznościowych – małe i duże akcje, drobne i większe porażki.

• Jak zhackowałem swoją klimatyzację  –  Piotr Rzeszut

Zastanawialiście się kiedyś jak przejść od etapu oglądania obudowy urządzenia z zewnątrz do finalnego przejęcia kontroli nad nim? Jeśli tak, to Piotr postara się pokazać Wam jak przeszedł taką drogę na przykładzie swojej prywatnej klimatyzacji i podzieli się paroma praktycznymi wskazówkami! Z pewnością przydadzą się przy badaniu różnych urządzeń z systemami wbudowanymi na pokładzie.

• Antivirus bypass – techniki na ukrywanie obecności przed oprogramowaniem antywirusowym  –  Marek Rzepecki

Podczas swojej prezentacji Marek opowie jak zwiększyć skuteczność kampanii red team i testów socjotechnicznych – czyli przedstawi sposoby i narzędzia pozwalaje na obniżenie skuteczności antywirusów w wykrywaniu obecności wrogiego kodu w uruchamianym oprogramowaniu.

• AI-srejaj. Jak rozwój LLM wpłynął na pracę pentestera?  –  Maciej Szymczak

Podczas prezentacji Maciej opowie o tym jak rozwój LLM (m.in. Chat GPT) wpłynął na prace w IT Security. Porówna plusy dodatnie i ujemne, powróży z porozrzucanych bajtów. Wszystko oczami zawodowego pentestera.

• Dlaczego HTML jest zmutowaną bestią? – Michał Bentkowski

Wyobraźcie sobie, że w macie jakiś dowolny obiekt w pamięci w waszym ulubionym języku programowania. Następnie serializujecie ten obiekt używając do tego standardu JSON. W kolejnym kroku zaś deserializujecie ten JSON z powrotem do obiektu w pamięci. I w tym momencie okazuje się, że dostajecie kompletnie inny obiekt niż mieliście oryginalnie – który zostaje całkowicie inaczej zinterpretowany przez aplikację i który – co gorsza – doprowadza do błędu bezpieczeństwa w aplikacji!

Brzmi źle? Na szczęście w JSON-ie zazwyczaj nie obserwujemy tego typu zachowania. Okazuje się jednak, że w HTML takie zachowanie w pewnych sytuacjach jest w 100% zgodne ze specyfikacją! Tego typu problemu zazwyczaj nazywane są mXSS (mutation XSS).

W swojej prezentacji Michał opowie właśnie o specyfikacji HTML, o tym z czego wynika jego skłonność do mutacji i skąd konkretnie bierze się mXSS. Opowie też, co próbujemy zrobić, żeby próbować mXSS zlikwidować z platformy webowej.

• Utrudnianie ataków na oprogramowanie za pomocą blockchaina – Martin Matyja

Historia pokazała nam że wzrost popularności ataków typu supply chain nie jest przypadkowy. Szerokie pole rażenia oraz trudność w wykryciu tego ataku może spowodować wiele problemów. Zamiast skupiać się na klasycznych rozwiązaniach, może jednak warto rozejrzeć się za nowymi alternatywami? Podczas prelekcji Martin zaproponuje pewien schemat jak w dosyć prosty i sprytny sposób wykorzystać łańcuch bloków do zwalczania ataku poprzez kradzież klucza prywatnego organizacji.

Dodatkowy event!

Na Sali teatralnej organizujemy również Hacking depot. W trzech sesjach trwających po 90 minut, które będą się powtarzały podczas całego dnia (aby każdy miał okazję skorzystać) przygotowaliśmy dla Was:

• Hackowanie na żywo przykładowej sieci, aplikacji, urządzeń…
• Rozmowy w kuluarach z hackerami-prelegentami.
• Sekrety i tricki doświadczonych pentesterów w działaniu.

Hacking depot będzie prowadziła nasza, silna ekipa w osobach – Marka Rzepeckiego, Krzysztofa Bierówki i Macieja Szymczaka.

PRELEGENCI

Jak na każdym MSHP gwarantujemy uznanych specjalistów z dziedziny cyberbezpieczeństwa. Naszych gości będzie można również spotkać w kuluarach, zapytać o różne rzeczy i wymienić się doświadczeniami.

GYNVAEL COLDWIND

Hacker

Programista, pasjonat z zamiłowaniem do bezpieczeństwa komputerowego i niskopoziomowych aspektów informatyki. Autor bestsellerowej książki „Zrozumieć Programowanie”, redaktor naczelny i twórca eksperymentalnego magazynu Paged Out!, a także licznych artykułów, publikacji, podcastów oraz wystąpień poświęconych wspomnianym tematom. Współzałożyciel i były kapitan zespołu Dragon Sector, historycznie jednej z najlepszych drużyn Capture The Flag na świecie. W 2013 roku odebrał w Las Vegas (wspólnie z Mateuszem Jurczykiem) nagrodę Pwnie Award w kategorii „Najbardziej innowacyjne badanie naukowe” z dziedziny bezpieczeństwa komputerowego. Większość swojego ponad 17-letniego życia zawodowego spędził pracując w zespole bezpieczeństwa firmy Google. Obecnie jest dyrektorem zarządzającym w HexArcana Cybersecurity GmbH.

MICHAŁ BENTKOWSKI

Inżynier bezpieczeństwa

Inżynier bezpieczeństwa pracujący w Google. Przez wiele lat był pentesterem i regularnie znajdował błędy bezpieczeństwa w aplikacjach i systemach najbardziej znanych światowych instytucji. Od początku 2023 roku, zmienił strony i stara się używać swojej wiedzy, by zabezpieczać świat Internetu przed dalszym występowaniem tychże podatności. Michał interesuje się najbardziej bezpieczeństwem webowym, często skupiając się na XSS-ach, a jego ulubionym tematem jest łamanie bibliotek czyszczących HTML ze złośliwych elementów oraz poznawanie dziwnostek parserów HTML.

MAREK RZEPECKI

Hacker, Konsultant ds. cyberbezpieczeństwa

Zawodowy haker i pasjonat tematyki ofensywnego cyberbezpieczeństwa. Od blisko pięciu lat Senior Security Consultant w Securitum. Zrealizował setki niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz ataków DDoS dla największych polskich i zagranicznych firm. Poza hakowaniem, zajmuje się również przekazywaniem wiedzy związanej z cyberbezpieczeństwem. Prowadzi zaawansowane szkolenia z tematyki związanej z bezpieczeństwem aplikacji webowych, mobilnych, infrastruktur sieciowych oraz służące podnoszeniu świadomości cyberzagrożeń. Przeszkolił tysiące osób w Polsce i za granicą. Prelegent na konferencjach branżowych i autor materiałów edukacyjnych.

PIOTR RZESZUT

Inżynier systemów wbudowanych

Od najmłodszych lat przejawiał zainteresowanie naukami ścisłymi, w szczególności chemią, fizyką, elektroniką i informatyką. W 2018 roku ukończył studia na kierunku Elektronika i Telekomunikacja na Wydziale Informatyki, Elektroniki i Telekomunikacji Akademii Górniczo-Hutniczej w Krakowie uzyskując z wyróżnieniem tytuł magistra inżyniera. Po studiach prowadził badania z zakresu elektroniki spinowej i sprzętowych sieci neuronowych w Zespole Elektroniki Spinowej w Instytucie Elektroniki AGH. Poza pracą zawodową jako inżynier systemów wbudowanych zajmuje się dydaktyką i popularyzowaniem wiedzy z zakresu elektroniki cyfrowej, mikrokontrolerów i układów programowalnych. Prywatnie miłośnik kina, fotografii, muzyki filmowej oraz pasjonat żeglarstwa i lotnictwa.

TOMASZ TURBA

Konsultant ds. cyberbezpieczeństwa

Jest konsultantem ds. bezpieczeństwa IT w firmie Securitum. Posiada certyfikaty Cisco, Red Hat, AWS, Microsoft, NSA 4011 oraz ABW. Ponad piętnastoletnie doświadczenie zbierał już od szkoły średniej realizując zlecenia jako administrator sieci osiedlowej. Współpracował z licznymi instytucjami jako konsultant do spraw zabezpieczeń, pentester i inspektor RODO. Ma duże doświadczenie jako szef zespołu CSIRT. Od 2022 oficjalnie jako researcher i szkoleniowiec w Securitum. Pasjonat bezpieczeństwa informacji z zacięciem do przekazywania wiedzy. Prowadzi szkolenia z analizy śledczej, bezpieczeństwa sieci, białego wywiadu OSINT, przygotowania do certyfikacji CEH oraz wykłady cyber-awareness. Laureat kilku konkursów na najlepszą publikację o bezpieczeństwie IT. Prelegent na MEGA Sekurak Hacking Party 2021, 2022 i 2023.

GRZEGORZ TWOREK

Inżynier systemowy

Specjalista IT w drugim pokoleniu. Od wielu lat aktywnie promuje idee związane z bezpieczeństwem informatyki, zwłaszcza w powiązaniu z systemami Microsoft. Autor artykułów i książek na temat security, prelegent i ekspert na wszelkich konferencjach, od studenckich po BlackHat. W czasie ponad dwudziestoletniej kariery zawodowej zarządzał czterema zbudowanymi od podstaw zespołami ekspertów IT Security, napisał dziesiątki narzędzi, znajdował bugi w kodzie systemów Windows, jednych hackerów wsadzał do więzienia a innych z niego wyciągał. Dwanaście razy nagradzany przez Microsoft tytułem Most Valuable Professional.

KRZYSZTOF WOSIŃSKI

Konsultant

Certyfikowany tester bezpieczeństwa systemów IT (Certified Ethical Hacker), specjalizujący się w systemach militarnych oraz wywiadzie otwartoźródłowym (OSINT), z zakresu którego obronił w 2023 roku doktorat. Od kilkunastu lat zajmuje się zagadnieniami jakości oraz bezpieczeństwa sprzętu i oprogramowania o przeznaczeniu wojskowym, produkowanych dla odbiorców polskich i amerykańskich. W ramach Securitum prowadzi szkolenia z zakresu OSINT-u, bezpieczeństwa działań w sieci oraz przeciwdziałania dezinformacji. Autor popularnych serii „OSINT HINTS” oraz „Czwartki z OSINT-em” na portalu sekurak.pl. Po godzinach zgłębia zagadnienia związane z socjotechniką i OSINT-em, a także tworzy narzędzia usprawniające rozpoznanie otwartoźródłowe.

MACIEJ SZYMCZAK

Senior Security Consultant & Trainer

Mówi łatwo o rzeczach trudnych. Pentester, admin i szkoleniowiec. Od 12 lat zawodowo w IT, a hobbystycznie resztę życia. W Securitum prowadzi szkolenia z bezpieczeństwa aplikacji webowych, bezpieczeństwa sieci, przygotowania do certyfikacji CEH oraz wykłady cyber-awareness dla tych mniej świadomych ;). Prelegent na MEGA Sekurak Hacking Party 2020, 2023 oraz Sekurak Hacking Party 2019 w Gdańsku.

ROBERT „PROXY” KRUCZEK

Konsultant ds. cyberbezpieczeństwa

Konsultant  d/s bezpieczeństwa IT w firmie Securitum,  autor w serwisie sekurak.pl, w wolnych chwilach programista aplikacji internetowych oraz desktopowych – gracz. Uczestnik programów bug bounty – miejsce w Hall of Fame OLX. Zgłoszone błędy bezpieczeństwa między innymi dla: BlaBlaCar, OVH, ERCOM…Ponad 8 lat doświadczenia w testowaniu aplikacji desktopowych i webowych. Prelegent na konferencjach: Confidence (2018), Sekurak Hacking Party (2018). Bardzo duże doświadczenie w realizacji testów socjotechnicznych zdalnie oraz w siedzibie klienta (jak mówi o sobie: „wszedłem do największych w Polsce”).

MARTIN MATYJA

Konsultant ds. cyberbezpieczeństwa

Konsultant ds bezpieczeństwa IT w Securitum, absolwent Cyberbezpieczeństwa na Akademii Górniczo-Hutniczej oraz student Politechniki Warszawskiej na tym samym kierunku. Entuzjasta ofensywnej strony cyberbezpieczeństwa jak i osoba ceniąca niestandardowe rozwiązania po przeciwnej, defensywnej stronie.

PARTNERZY

W tym roku będą z nami Wojska Obrony Cyberprzestrzeni oraz bank Alior. Możemy zdradzić, że obaj partnerzy szykują dla uczestników fajne niespodzianki i konkursy.

WIELKA PREMIERA!

Kolejnym argumentem za obecnością na Mega Sekurak Hacking Party w Krakowie jest premiera naszej długo oczekiwanej książki – Wprowadzenie do Bezpieczeństwa IT! Każdy uczestnik, który zamówi bilet wraz z książką będzie miał okazję do odbioru publikacji w dniu premiery. Będzie również doskonała okazja aby spotkać się z autorami, porozmawiać na temat książki i zdobyć autografy.

BILETY VIP

Przy okazji tej edycji Mega Sekurak Hacking Party macie również okazję kupić bilet MSHP VIP. Co dostaniesz w ramach MSHP VIP?

• 10 „kredytów” na  szkolenia z oferty Securitum do wykorzystania do końca 2024r o wartości ponad 4000 zł – szkolenia będą miały różną cenę w „kredytach”. Poniżej znajdziecie listę przykładowych szkoleń.
• Dostęp do strefy VIP – dostaniesz dostęp do specjalnej strefy gdzie będziesz mógł się zrelaksować i porozmawiać z prelegentami.
• Specjalny dyplom Uczestnika VIP – dostaniesz od nas specjalny, spersonalizowany dyplom. Wydrukowany na świetnej jakości papierze, oprawiony w ramkę i podpisany przez naszą Ekipę.
• Wpis na listę VIP – będziesz informowany w pierwszej kolejności o zbliżających się szkoleniach, nowych produktach itp. Plus dodatkowe zniżki.
• Bluza i kubek Sekuraka.

Bilet można zamówić tutaj: https://sklep.securitum.pl/mshp-krakow-onsite

NA KONIEC…

Dziękujemy za to, że poświęciłeś czas na to aby przeczytać artykuł do końca. Sami widzicie, że przygotowaliśmy dla Was bardzo dużo atrakcji. Nasze konferencje ciszę się dużym uznaniem. Sami przeczytajcie kilka wybranych opinii na temat poprzednich wydarzeń edycji:

• Mogłem być na tych wykładach które mnie interesowały, zadawanie pytań też było możliwe i bez problemowe. Świetna sprawa ten Mega Sekurak Hacking Party.
• Brak marketingu stosowanego, sama technika.
• Profesjonalni, charyzmatyczni Prelegenci, którzy posiadają wiedzę nie tylko teoretyczną, ale i praktyczną, a przy tym fajnie się nią dzielą :-)
• 3 ścieżki, zawsze można wybrać coś dopasowanego do siebie.
• Ciekawe omawiane obszary, responsywność i zaangażowanie prelegentów oraz bardzo ciekawe CTF na rozgrzewkę przed samymi prelekcjami.
• Aktualność materiałów i przykładów (ostatnie podatności, widać, że w większości nie są to odklepywane prezentacje na każdej konfie od paru miesięcy/lat); przygotowanie prezenterów; zaplecze techniczne (a jak coś się działo, to był szybki response).
• Solidna organizacja, Konkursy, ciekawe materiały.
• Pokazy praktyczne, bez zbędnego zanudzania teorią.

To co? Widzimy się 19 października w Krakowie? 😊

~Łukasz Łopuszański