Mega Sekurak Hacking Party w Krakowie. Relacja video i reportaż z imprezy

Czekaliśmy cztery lata… 19 października 2023 roku, po długiej przerwie, mieliśmy w końcu okazję spotkać się z Wami na żywo w Krakowie! Konferencja zbiegła się z dwoma innymi wydarzeniami, tj. premierą długo wyczekiwanej książki Wprowadzenie do bezpieczeństwa IT oraz 10-leciem sekuraka. Działo się więc sporo, co zobaczycie w relacji video i mini reportażu! Zapinamy pasy i jedziemy. 😊

MIEJSCE

Sekurak i Securitum związane są od zawsze z Krakowem, więc nie mogło być innego miasta, w którym powinno się odbyć Mega Sekurak Hacking Party. Na konferencję wybraliśmy ponownie (w centrum odbyło się też poprzednie MSHP) Centrum Kongresowe ICE, czyli jedno z najbardziej prestiżowych miejsc w grodzie Kraka.

W OCZEKIWANIU NA START…

Nasza ekipa wystartowała z przygotowaniami już od 4:00 rano, aby mieć pewność, że wszystko będzie gotowe na 8:00, czyli na godzinę, kiedy mieliśmy zacząć wpuszczać uczestników (pierwsze osoby pojawiły się już koło 7:00 😉). Wszystko udało się jak należy, rejestracja ruszyła zgodnie z planem i przebiegła sprawnie. Każdy dostał również od nas torbę powitalną z super prezentami.

W tym miejscu warto również wspomnieć o ekipie z firmy Kuluar, która dzielnie pomagała naszej drużynie w rejestracji uczestników, wydawaniu upominków i obsłudze szatni.

Start samej konferencji zaplanowaliśmy na godzinę 8:50, więc w oczekiwaniu na rozpoczęcie uczestnicy mogli częstować się kawą, sokami, wodą, owocami i przekąskami. W tym roku było naprawdę na bogato! Kawa i jedzenie były na najwyższym poziomie, co potwierdziliście w komentarzach podczas samej imprezy i w ankiecie po konferencji. 😊

Wystartowaliśmy punktualnie o godzinie 8:50. Wtedy to niezawodny Tomek Turba przywitał uczestników konferencji, prelegentów i opowiedział w kilku słowach o tym, co się wydarzy podczas całego dnia, a także o starych i nowych inicjatywach sekuraka i Securitum. Główna część MSHP odbyła się w Sali Audytoryjnej, a Hacking Depot – w Sali Teatralnej.

CZĘŚĆ I KONFERENCJI (od godz. 8:50 do 13:40)

Zaczęliśmy konkretnie, czyli od wykładu Gynvaela Coldwinda 2+2=BUG, czyli paradoks połączonych systemów. Celem wykładu był przegląd i omówienie klas błędów typowych dla złożonych systemów. Gynvael skupił się na błędach, których przyczyna leży w wykorzystaniu kilku różnych implementacji tego samego protokołu czy formatu plików. Jako że prelekcja była przekrojowa, Gynvael scharakteryzował błędy zarówno nisko-, jak i wysokopoziomowe w oprogramowaniu webowym, a także błędy implementacji niskopoziomowych protokołów sieciowych. Wykład w założeniu skierowany był do osób początkujących i średnio zaawansowanych. Nie będzie żadną niespodzianką, jeżeli napiszemy, że prelekcja spotkała się z dużym uznaniem! 😊

Tuż po wykładzie mieliśmy małą niespodziankę. Tegoroczna edycja MSHP była również okazją do małego świętowania 10-lecia sekuraka. Na scenę wjechał tort, a kilka słów w zastępstwie Michała Sajdaka powiedziała jego lepsza połowa – Kasia. Michał dostał również świetną rzeźbę.

Tort był naprawdę dobry; każdy miał okazję skosztować go podczas przerw. 

Następnie przyszedł czas na kolejny wykład. Na scenę wkroczył Michał Bentkowski z prelekcją Dlaczego HTML jest zmutowaną bestią? W swojej prezentacji Michał opowiedział o specyfikacji HTML, o tym, z czego wynika jego skłonność do mutacji i skąd konkretnie bierze się mXSS. Wyjaśnił również, co należy zrobić, żeby próbować zlikwidować mXSS z platformy webowej.

Prezentacja Michała zebrała burzę oklasków, a zaraz po prelekcji startowaliśmy z kolejnym „mocnym” nazwiskiem. Grzegorz Tworek to osoba instytucja, jeżeli chodzi o sprawy związane z bezpieczeństwem Windowsa. W systemach Windows istotna część wydarzeń odbywa się w trybie jądra. Nie dość, że warto tam zajrzeć, to jeszcze czasem przydałoby się w świadomy sposób o coś jądro systemu poprosić. Korzyści mogą być naprawdę warte zachodu, dlatego temu tematowi poświęcona została cała sesja. Prelekcja Halo, Kernel? Ale to ty dzwonisz… spotkała się ze świetnym przyjęciem, a uczestnicy mieli dużo pytań – zarówno podczas samego wykładu, jak i po nim, na naszym kanale na Discordzie.

W samo południe czekały na uczestników aż dwie atrakcje. Pierwsza – to doskonały wykład Krzyśka Wosińskiego Szpiedzy (nie) tacy jak my, podczas którego zaprosił słuchaczy do świata… szpiegowania! Skupił się głównie na social mediach. Uczestnicy poznali szpiegowanie z wykorzystaniem serwisów internetowych i mediów społecznościowych – małe i duże akcje, drobne i większe porażki.

O tej samej godzinie wystartowaliśmy również z pierwszą sesją Hacking Depot. Nasza silna ekipa w osobach Marka Rzepeckiego i Krzysztofa Bierówki zaprezentowała hackowanie na żywo przykładowej sieci, aplikacji i urządzeń, prelegenci zdradzili również sekrety i tricki doświadczonych pentesterów w działaniu. Sala Teatralna wypełniła się po brzegi, sama sesja została przyjęta entuzjastycznie, a Wy mieliście masę pytań do prowadzących. Możemy Was zapewnić, że to nie ostatnia tego typu sesja – następna podczas kolejnych edycji MSHP!

Pierwszą część konferencji zakończyliśmy energetycznym wykładem Macieja Szymczaka AI-srejaj. Jak rozwój LLM wpłynął na pracę pentestera? Maciek opowiedział o tym, jak rozwój LLM (m.in. Chat GPT) wpłynął na pracę w IT Security. Porównał „plusy dodatnie i ujemne” 😉 i „powróżył” z porozrzucanych bajtów. Wszystko oczami zawodowego pentestera.

PRZERWA, KULUARY I STOISKA

Pierwszą część konferencji zakończyliśmy – zgodnie z planem – o godzinie 13:40, zapraszając uczestników na przerwę obiadową. Zestawy obiadowe były naprawdę dobre i każdy mógł znaleźć coś dla siebie. Nie zapomnieliśmy o wegetarianach.

Oczywiście Mega Sekurak Hacking Party to nie tylko wykłady. Na parterze ICE również działy się ciekawe rzeczy. Uczestnicy mogli znaleźć trzy nasze stanowiska, na których można było kupić długo wyczekiwaną książkę Wprowadzenie do bezpieczeństwa IT, porozmawiać o naszych planach dotyczących Sekurak Academy 2024 i innych naszych inicjatyw, a także spotkać się z silną ekipą Securitum Audyty!

Oczywiście największym zainteresowaniem cieszyło się nasze stoisko z najnowszą publikacją Wprowadzenie do bezpieczeństwa IT. Właściwie non stop były kolejki, wydaliśmy i sprzedaliśmy setki egzemplarzy.

Równie popularne było stoisko naszej tegorocznej inicjatywy czyli Sekurak Academy. Bardzo dużo osób wykazało zainteresowanie naszymi planami dotyczącymi startu kolejnych semestrów zaplanowanych na 2024 rok! Silną reprezentację stanowiła także ekipa Securitum Audyty, która dwoiła się i troiła, odpowiadając na pytania i zainteresowanie uczestników konferencji.

W tym roku mieliśmy również okazję gościć partnerów wydarzenia, tj. Wojska Obrony Cyberprzestrzeni oraz Alior Bank SA. Na stoiskach wojska można było skorzystać z gogli używanych do poznawania wirtualnej rzeczywistości, spróbować swoich sił w budowie kabli sieciowych, a także porozmawiać o możliwościach kariery. Stanowisko WOC cieszyło się bardzo dużą popularnością! Sami wojskowi byli pod wrażeniem poziomu merytorycznego pytań ze strony uczestników.

Nie mniejszym zainteresowaniem cieszyło się stoisko Alior Banku, gdzie można było posłuchać i porozmawiać o możliwościach związanych z karierą w banku. Samo stanowisko również robiło duże wrażenie! Zwłaszcza, że była to premiera nowego stanowiska :-)

Oczywiście gwoździem programu (poza samymi wykładami) była nasza najnowsza książka. Dzień wcześniej mieliśmy spotkanie z autorami, których zaprosiliśmy na samo wydarzenie. Przy naszych stoiskach przygotowaliśmy specjalny Kącik Autora, w którym można było spotkać osoby współtworzące publikację, upolować autograf czy zdjęcie, a czasem po prostu pogadać na różne tematy.

II CZĘŚĆ KONFERENCJI

Po przerwie obiadowej nadszedł czas na kolejne mocne prelekcje. Martin Matyja ze swoim wykładem Wykorzystanie blockchaina – ograniczenie ataków typu supply chain zaproponował pewien schemat, jak w dosyć prosty i sprytny sposób wykorzystać łańcuch bloków do zwalczania ataku poprzez kradzież klucza prywatnego organizacji. Historia pokazała nam, że wzrost popularności ataków typu supply chain nie jest przypadkowy. Szerokie pole rażenia oraz trudność w wykryciu tego ataku mogą spowodować wiele problemów. Zamiast skupiać się na klasycznych rozwiązaniach, może jednak warto rozejrzeć się za nowymi możliwościami działania?

Zaraz po wykładzie Martina na scenę wkroczył Piotr Rzeszut z bardzo interesującym tematem – Jak zhackowałem swoją klimatyzację?  Jeżeli zastanawialiście się kiedyś, jak przejść od etapu oglądania obudowy urządzenia z zewnątrz do finalnego przejęcia kontroli nad nim, to trafiliście idealnie. Piotr pokazał uczestnikom, jak przeszedł taką drogę, na przykładzie swojej prywatnej klimatyzacji – podzielił się również paroma praktycznymi wskazówkami, które z pewnością przydadzą się przy badaniu różnych urządzeń z systemami wbudowanymi na pokładzie. Co ciekawe, zaraz po wykładzie Piotrek ruszył na drugą część Hacking Depot, która rozpoczęła się o godzinie 14:40.

Drugą część konferencji zakończyliśmy wystąpieniem Roberta Kruczka z naszej ekipy. Robert podczas swojej prezentacji Kto to Panu tak… napisał – przykład ciekawej aplikacji desktopowej pokazał, że aplikacje desktopowe również zawierają błędy bezpieczeństwa. Przeprowadził pobieżny test penetracyjny aplikacji desktopowej, dzięki któremu dowiedzieliście się, czego nie należy robić, projektując mechanizmy uwierzytelnienia.

Po wystąpieniu Roberta zaprosiliśmy wszystkich na podwieczorek, który składał się z dań kuchni indyjskiej. Nie chcieliśmy, aby uczestnicy, po tak intensywnym dniu, odczuwali głód!

CZĘŚĆ TRZECIA KONFERENCJI

Część trzecią wydarzenia rozpoczęliśmy zgodnie z planem. Duże podziękowania w tym miejscu należą się Tomkowi Turbie, który dzielnie prowadził całe wydarzenie i pilnował czasu. Ostatnia część konferencji zaczęła się od wykładu Marka Rzepeckiego Antivirus bypass – techniki na ukrywanie obecności przed oprogramowaniem antywirusowym. Marek (po dwóch wcześniejszych sesjach Hacking Depot!) wciąż miał siłę i energię, aby opowiedzieć o tym, jak zwiększyć skuteczność kampanii red team i testów socjotechnicznych. Zaprezentował, w jaki sposób hackerzy dążą do obniżenia skuteczności programów antywirusowych.

Na zakończenie konferencji na scenę wkroczył niezmordowany Tomek Turba, który opowiedział wiele ciekawych rzeczy na temat Docker hackingu. Podczas praktycznej prezentacji pokazał nietuzinkowe i ciekawe ataki na najpopularniejszą platformę do konteneryzacji. Przedstawił strategie i techniki wykorzystywane przez hackerów do infiltracji kontenerów Docker, jednocześnie pokazując, jak efektywnie bronić się przed takimi atakami. Uczestnicy dowiedzieli się o potencjalnych lukach bezpieczeństwa w standardowych konfiguracjach Docker, a także o najnowszych narzędziach i praktykach zabezpieczania kontenerów, także związanych z AI.

A już na sam koniec nie zabrakło konkursów i elementów humorystycznych, których zwieńczeniem było rzucanie… koszulek sekuraka na salę! Między sobą mówiliśmy, że dobrze, że Tomek nie wpadł na pomysł rzucania książkami lub kubkami, bo mogłoby się skończyć dramatycznie! 😉 Bardzo duży szacunek dla wszystkich tych, którzy dotrwali do końca. Dzień był niezwykle intensywny, ale z relacji samych uczestników i Waszych opinii wynika, że byliście ogromnie zadowoleni! Tak więc było warto. 😊

MSHP W LICZBACH

Imprezę uznajemy za bardzo udaną! Chcielibyśmy podziękować wszystkim uczestnikom, którzy byli z nami „na żywo” w Krakowie (było to ponad 800 osób!) a także wszystkim tym, którzy oglądali konferencję „on-line” (ponad 600 osób!). Oznacza to, że uczestników krakowskiego MSHP było około 1400 osób co jest naszym rekordem. Serdecznie Wam za to dziękujemy 😊 Poniżej znajdziecie kilka ocen wyciągniętych z ankiet oraz opinii po imprezie 😊

Poziom merytoryczny wydarzenia – 4.8

Poziom organizacji – 4.8

Jak oceniasz catering kawowo-ciastkowy? – 4.65 (tutaj zdajemy sobie sprawę, że na końcu kawa „wyjechała” a powinna być do samego końca. Obiecujemy poprawę 😊)

Jak oceniasz obiad i ciepły podwieczorek? – 4.6

Opinie uczestników:

• Wszystkie prelekcje były świetne!
• Szkoda, że co roku nie ma takiej konferencji. Byłoby ekstra jakby też było więcej stoisk partnerskich. Ale ogólnie konferencja czołówka Polski. Kawę dałem 4 przez kolejki! ;-)
• Genialne wydarzenie! :)
• Wszystkie prezentacje super! Nie ma możliwości wybrania jednej najlepszej. Haking Depot fantastyczny! Catering: pyszna kawa i ciastka (a zwłaszcza ptysie), obiad i podwieczorek bardzo dobre. No i hiperfajna atmosfera całego spotkania! Wreszcie na żywo można było pogadać z prelegentami oraz innymi uczestnikami wydarzenia.
• Super konferencja oby takich było więcej!
• Mega wydarzenie z mega pozytywnymi ludźmi. Miałem okazję posłuchać rewelacyjnych prelekcji i nie mogę się doczekać kolejnej edycji on-site :)
• Bardzo mi się podobało, będę na pewno w przyszłości, dziękuję też za „zaganianie” do salek, nie straciłem żadnej prezki.
• Najbardziej zwariowana i merytoryczna konfa na jakiej bylem. Zakonczenie – MISTRZ
• Przyjechałem tylko na trzy prezki: docker, antywirus evasion i gynvael – nie zawiodłem się na żadnej, bardzo duża wiedza trenerów. Totalnie spełnione moje oczekiwania. DZIĘKUJE
• Dziękuję za opcję online, nie mogłem być z dziewczyną więc oglądaliśmy online od początku do końca. Żałuję, że nas nie było pewnie koszulka by wpadła w nasze ręce, ale taki urok „na miejscu”:))

PODZIĘKOWANIA!

Dziękujemy również prelegentom za uczestnictwo i fantastyczne wykłady. Autorom książki Wprowadzenie do Bezpieczeństwa IT, za udział i interakcje z Czytelnikami.

Podziękowania należą się również ekipie z ICE Kraków za doskonałą organizację, Masters Catering za świetne jedzenie i pyszną kawę i przekąski. Firmie Kuluar za pomoc na miejscu (świetne dziewczyny i chłopaki), firmie CS-Light oraz naszym partnerom czyli Wojskom Obrony Cyberprzestrzeni i Alior Bankowi… . Podziękowania należą się również agencji reklamowej roommedia.pl za obsługę medialną wydarzenia.

…oraz oczywiście wszystkim zaangażowanym w to wydarzenie z Securitum Szkolenia i Securitum Audyty oraz Securitum Wydawnictwo. To dzięki Wam wszystkim ta impreza była tak udana 😊

KOLEJNE MSHP JUŻ MAJU!

Wracamy z Mega Sekurak Hacking Party już 20 maja 2024 roku. Tym razem spotkamy się on-line. Planujemy min. trzy ścieżki tj.

✅ NETSEC

✅ WEBSEC

✅ DEFENCE

Więcej informacji o agendzie i prelegentach będziemy przedstawiać w zbliżających się tygodniach i miesiącach. Do zobaczenia!

~Łukasz Łopuszański