Sekurak Hacking Party Kraków 02/2018 – minirelacja

26 lutego 2018, 20:31 | W biegu | komentarzy 31
Tagi:
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Tym razem spróbowaliśmy formuły ze startem we wcześniejszej godzinie (15:00) – i dla dużej liczby osób była to godzina optymalna. Pojawiło się ~450 osób, co przy założeniu że nie było darmowych wejść – jest całkiem niezłym wynikiem.

shp kraków 02/2018

Postawiliśmy też na więcej prezentacji, ale krótszych (opis wszystkich siedmiu macie tutaj). Sami napiszcie czy było to dobre posunięcie :-) Wszystkie prezentacje były również z pokazami „na żywo” i… wszystko zadziałało. Tym którzy nie wierzyli, pokazywaliśmy w kuluarach dodatkowe rzeczy (Artur Czyż np. podmieniał wysłanego do kogoś SMS-a…). Michał Bentkowski przygotował nam z kolei miłą niespodziankę, bo pokazał na żywo ostatniego swojego buga – zlokalizowanego raptem ~2 tygodnie temu – na jednym z systemów Google.

Trochę więcej też było mini konkursów (rozdaliśmy ~8 koszulek) były też interaktywne pytania (choć tutaj dopiero raczkujemy) – najwięcej mieliście problemów z pytaniem – „Ile jest różnych rodzajów SMS-ów”: jeden, dwa, pięć, więcej niż dziesięć?

Z rzeczy, które na pewno usprawnimy to wejście na salę (sprawniejsza dystrybucja gadgetów/koszulek) i trzymanie w ryzach długości prezentacji. Na pewno potrzeba też więcej czasu na tzw. networking/pytania z sali (na pierwszej prezentacji trwały one aż 28 minut, a i tak musieliśmy zakończyć sesję QA) + przyda się więcej przerw.

Kto był? Jak było?

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Bernadetta

    Było świetnie! Mam nadzieję, że następnym razem pojawi się więcej z kwestii bezpieczeństwa telefonii VoIP i więcej smaczków z telefonii komórkowej :)

    Odpowiedz
  2. Artur

    Konkretna porcja informacji z przykładami/potwierdzeniem na żywo.
    Godzina 15 na rozpoczęcie moim zdaniem to dobry czas biorąc pod uwagę tych, którzy dojeżdżają z dalszych zakątków.
    Ja co prawda mam ~80km ale dla takich wykładów wziąłem urlop w pracy i mogę to powtarzać przy każdym spotkaniu organizowanym w Krakowie.

    Odpowiedz
  3. Było Git!!!

    Odpowiedz
  4. MaciejKa

    Bardzo dobre, praktyczne spotkanie. p. Michał Bentkowski pokazał niezły warsztat. Polecam. Warto.

    Odpowiedz
  5. Łukasz

    Mogłem sobie porozmawiać na żywo przez IP phone będąc jednocześnie sniffowanym ;) Było super! To już mój drugi sekurak hacking party i nie ostatni!

    Odpowiedz
  6. Marcin

    Na plus:
    – mega plus za organizacje w Krakowie
    – mega plus za pierwszy wykład choc powinien go prowadzić człowiek Robert K. bo mial najlepszy wykład „energetyczny”
    – Rober K. taki s=śmieszek:) a mógłby poprowadzić najnudniejszy temat a i tak sale by porwał pomimo tego, że nie było pytań
    – przykłady z życia
    – ludzie co przychodzą na spotkania Sekuraka to ludzie co chcą usłyszeć rad od wykładowców co zrobić lub jak żyć jeśli mamy z tym a tym problem i to się dało usłyszeć w tle jak była sesja Q&A w trakcie pierwszego wykładu.
    Na minus:
    – nie może być tak, że tak długo się wchodzi do sali a Państwo takimi telefonikami tak długo „obrabiają” temat i wpuszczacie ludzi,
    – nie może być tak, ze jest 15:20 a nie jeszcze nie zaczęliśmy bo stoimy po koszulki i gadżety
    – no pierwsza przerwa fajnie, że była ale chyba za szybko:)
    – ostatni wyklad Marcina b. trudny i nudny (sorki Marcin) choć z pewnością Marcin jest mega mózgiem i moglby nas wszystkicjh pozamiatac bez problemu ale trzeba inna formue wymyslec na tego typy zagadnienia.

    Odpowiedz
    • Robert Kruczek

      Miło czytać, że komuś się podobało ;) Dzięki takim opiniom chętniej podejmę się kolejnych tematów… może nawet na więcej niż 10 min.

      Odpowiedz
      • Stevko

        Obowiązkowo! Przydała by się jakaś godzinka w Twoim wydaniu na kolejnym SHP. Było jasno, na temat… no i konkretnie! ;)

        Odpowiedz
      • Andrzej

        Rób dalej dobrą robotę, było konkretnie tak jak być powinno.

        Odpowiedz
      • Mar.

        Przydałoby się też więcej tekstów z podatności race condition.
        Temat mega ciekawy, na pewno fajnie byłoby poczytać o tym coś więcej (niekoniecznie rozwiązanie zadania z rozwal.to ;) )

        Odpowiedz
  7. arf

    Byłem, widziałem, nawet pytanie zadałem. Ogólnie na plus.

    A teraz po kolei.
    Prezentacja Artura o SMSów:
    + ciekawa tematyka
    + dobrze zorientowany prezentujący – widać że zna tematykę
    + przykłady na żywo

    – osobiście wolałbym, żeby prowadzący na żywo, a nie na telefonie dokonywał prezentacji, zasłanianie się tym żeby nie ujawniać numerów nie wyszło, ponieważ w aplikacjach od SMSów na telefonie numery te i tak były widoczne

    Podsłuch VOIP:
    Fajnie, szczerze nie spodziewałem się że będzie to zrealizowane w taki konkretny sposób – spodziewałem się czegoś bardziej skomplikowanego po agendzie. Widać najprostsze rozwiązania są najlepsze:)

    Hackowanie Google:
    Super, na prawdę bardzo dobra prezentacja. Michał ma doskonały warsztat i nawet pomimo że jestem bardziej zorientowany w systemach embedded, to wszystko było przekazane dla mnie w sposób jasny i zrozumiały.
    Szkoda że pytania były moderowane. Nie udało się sprzedac Opla niestety :)

    Race condition: OK, prezentacja bardzo w porządku. Temat dośc prosty jak i przykład zastosowania. Prezenter daje radę :)

    Scapy:
    Super, mięsnie, treściwie :)

    SPEL:
    Tu częsciowo niezgodze się z przedpiszcą Marcinem – temat nie był specjalnie trudny, ale został podany w dość monotonny sposób przez co (i może przez późną porę) odbierało się go dość ciężko. Wiedzy Marcinowi na pewno nie brakuje, można by nieco mniej się rozgadywać na proste tematy i więcej przykładów zastosowania podawać. Byłoby lepiej.

    Kiedy następne SHP?

    Odpowiedz
    • Dzięki za komentarz. Odpowiedź na pytanie: „Kiedy następne SHP?” W tym tygodniu w Poznaniu. A w Krakowie – pewnie okolice kwietnia.

      Odpowiedz
  8. Maciej

    Z plusów:
    Myślę, że godzina 15 to świetny pomysł. Oczywiście, niektórzy muszą zostać w pracy, jednak o tej godzinie człowiek potrafi się fajnie skupić :) W przeciwieństwie np. do godziny 18:00, poprzedzonej całym dniem roboty.
    Poza tym bardzo fajnie, że całość została poparta przykładami z życia (na dodatek na żywo). Pokaz XSS’a na Googl’owej aplikacji – mistrzostwo.
    Zadawanie pytań online – fajny pomysł. Rzeczywiście kwestię QA można ogarnąć łatwiej niż bieganie po dużej sali z jednym mikrofonem. Jednak mam wrażenie, że pytania zadawane przez mikrofon były jakby lepszej jakości. ;) Więc ciężko wydać werdykt w tej sprawie – ale sprawniejsze QA można mieć na uwadze.

    Z minusów:
    Wydaje mi się, że tematy jednak leciały zbyt szybko. Gdyby wyciąć chociaż jeden i rozpocząć o 15:00 można by się dowiedzieć więcej.
    Pierwsza przerwa IMHO została zrobiona za wcześnie, natomiast późniejsze „przyśpieszenie” spowodowało, że na ostatnim wykładzie już nie byłem w stanie się poważnie skupić. Przerwy, optymalnie dograne, są bardzo ważne :)
    Niestety, Pan Marcin nie dysponował taką energią jak pozostali prelegenci, co również skutecznie obniżyło moje zaangażowanie na ostatniej prezentacji. Temat może nie był trudny (bo był dobrze wytłumaczony przez prowadzącego), jednak został poprowadzony w sposób dość nużący. Wyraźnie odczuwałem częsty przerywnik w postaci „yyyyy….” przed kolejnym zdaniem, plączące się słowa czy powarzane to samo zdanie. Wiem, że ciężko jest mówić i jednocześnie coś tam klikać, ale jednak poprzedni prelegenci poradzili sobie z tym o wiele lepiej :)
    Poza tym czas na wejście/koszulki niepotrzebnie się przedłużył – nie może być tak, że umawiamy się na 15:00, a startujemy pół godziny później.
    I chętnie bym sobie odtworzył zapis gdzieś na VoD (nawet dodatkowo płatny) – zrobiłem troszkę notatek, jednak przeanalizowanie choćby materiału wideo z prezentacji to byłoby coś. Nie mówiąc o dadtkowych komentarzach prelegentów :)

    Odpowiedz
  9. Agnieszka

    Jakieś plany na inne miasta np. Wrocław?

    Odpowiedz
    • tak, Wrocław będzie i Wawa, może 3Miasto

      Odpowiedz
  10. Yanzy

    Konkret
    Fajnie by się było trzymać czasu ok rozumiem 15 min obsuwy ale musiałem wcześniej wyjść bo.. obowiązki.

    Przypominam o obietnicy linków do prezentacji (jak nie będzie… to lipa ;) )

    Tematy ciekawe.
    Miejscówka dobra może czasami za mały font.

    Może mikroporty na przyszłość, (wolne ręce) chociaż stolikowy mikrofon sprawdził się elegancko

    Odpowiedz
    • Artur

      Również czekam – głównie na obiecany GSM 😀

      Odpowiedz
      • Silesia

        Ja również czekam, miejmy nadzieje że Sekurak wywiąże się z obietnicy :)

        Odpowiedz
  11. Jacek

    Byłem, prezentacja Michała najlepsza, pozostale były dobre ale stanowiły raczej wprowadzenie w temat niż coś dla entuzjastów. Uważam że fajnie byłoby ukierunkować hacking party na jakąś węższą grupę docelową albo realizować je w formie wykładów prowadzonych równolegle na różnych poziomach trudności. Wtedy każdy zainteresowany wyniósł by więcej;)
    Dziękuję wam, miło było was posłuchać i zobaczyć !;)

    Odpowiedz
  12. kcroot

    Z Arturem testowaliśmy sms-y na moim BB Z30 ;)

    Odpowiedz
    • Z powodzeniem? :)

      Odpowiedz
      • kcroot

        Tak BB łyknęło tego sms-a jak młoda prostyt… ;)

        Odpowiedz
        • Łukasz

          Własnie odpaliłem u siebie na Debianie gammu z modemem ZTE… Muszę sprawdzić czy via modem da się zrobić taka wysyłkę…

          Odpowiedz
  13. Tatuś

    Żona pyta – o której wrócisz?
    Nie wiem, o 18 powinno się skończyć – odpowiadam.

    Wracam spóźniony. Foch. Rozumiem żonę – cały dzień pracowała w domu z dwójką małych dzieci. Dla niej każda minuta jest na wagę złota.

    Następnym razem proszę nie czekać na spóźnialskich. Proszę szanować ludzi, którzy byli punktualnie. Nas było więcej niż spóźnialskich.

    Odpowiedz
    • Darek

      „Wyjąłeś mi to z ust, nic nie wkładając”, jak mawia jeden z moich znajomych.
      Nie rozumiem czekania na spóźnialskich. To chyba jakiś sport narodowy. Ostatni dzień rozliczeń podatkowych – urzędy otwarte niemal do północy, na poczcie panie czekają do ostatniej chwili, aż ktoś łaskawie wyśle PITa listem trzy minuty przed północą.
      Jak się ktoś spóźni i straci kawałek świetnej prezentacji, to następnym razem się postara. Ja wiem, korki, szef w pracy. Ale prawie 400 osób dało radę przyjść na czas, a niektórzy przejechali nawet pół Polski.
      Też miałem zaplanowany dzień tak, że uwzględniłem zakończenie o 17:30, a i tak wyszedłem przed końcem o 18:00 i później biegałem jak głupi, żeby się nigdzie nie spóźnić. A to dzięki ludziom, którym się nie spieszy.

      Odpowiedz
    • też tatuś

      +1

      Odpowiedz
    • cholinex

      Dokładnie. Musieliśmy wyjść o 17.35 kiedy to …. zaczynała się przedostatnia prezentacja – czyli dwie przegapione. Darujcie sobie czekanie na spóźnialskich i odbierających koszulki. Dlaczego to stanowisko nie mogło znaleźć się poza salą?

      ps. gdzie można znaleźć obiecane materiały??

      Odpowiedz
  14. Adam

    Duży plus za całość.
    Prezentacja Artura bardzo dobra, ale na przyszłość mikropoty i będzie łatwiej.
    Michały jak zwykle w formie.
    Robert, wszystko fajnie ale było widać duży stres ;)
    Ostatnia prezentacja, no cóż, nie dałem rady. Bardzo słaba prezentacja, może temat ciekawy ale zabrakło umiejętności miękkich.

    Odpowiedz
  15. Wojtek

    Bylem. Zdania po Styczniowym SHP nie zmieniam: zacna inicjatywa, na której warto być.

    Co do talków:

    – Zabawa z SMS

    Fajny, nieznany temat mimo codziennego używania przez wszystkich technologii GSM. Fajnie się też rozmawiało z Arturem już po całym SHP. Ceny starych komórek i innych złomów gsm pewnie chwilowo wzrosną :D

    – Podsłuch VoIP

    W sugestywny sposób pokazane man-in-the-middle + ettercap + wireshark. Dużo dobra w jednym miejscu. Dla mnie totalne zaskoczenie, że arp cache poisoning działa w realnych pentestach (pytanie zadane po SHP).

    – XSS, Hackowanie Google

    Prelegent robi dobrą robotę jak zwykle i tutaj też nie zawiódł. Szczególnie plus za świeże „mięsko” (2 tygodnie od znalezienia podatności) i opis „dobicia zwierza” z wykonaniem xss do końca.

    – Czym jest podatność race condition

    Tutaj poczułem się dziwnie podnosząc rękę jako jedyny na sali gdy padło pytanie czy ktoś wie co to w ogóle jest… A przecież z bardziej spektakularnych przykładów z ostatnich lat to tego typu bugi w kernelach linux`a umożliwiające podniesienie uprawnień (→ dirty cow ←) czyli coś co robi game over po dostaniu się na system. Bardzo fajnie pokazane w demo co jest istotą tego błędu.

    – Scapy

    Jedno z super narzędzi, które tak mało jest używane bo przecież jest ping, nmap, arp, hping, itp. Fajnie, że zostało pokazane.

    – Spring Expression Language – jak wykonać dowolny kod w OS

    Cześć osób w komentarzach pisze, że to była nudna prezentacja. Nie zgodzę się. Nie odstawała poziomem, a zostało pokazane jak z pracy z dokumentacją danego oprogramowania można dojść do
    RCE na systemie gdzie stoi podatna aplikacja. A RCE to literki, które tygrysy lubią najbardziej :D

    A teraz garść sugestii / obserwacji:

    – wydawanie koszulek, gadżetów zakupionych z biletami zrobiło delikatny poślizg, może by to robić w przerwach między talkami zamiast na początku aby nie opóźniać startu?

    – jeden mikrofon i jedna osoba funkcyjna na taką salę to mało jeżeli jest pełna. Przy Styczniowym SHP było mniej osób, tutaj więcej i było bieganie. Może dało by się załatwić dwie osoby funkcyjne do po obu stronach sali z mikrofonami w czasie zadawania sesji pytań?

    – do samego zadawania pytań, w czasie prezentacji Artura (Zabawa z SMS) zrobił się delikatny tasiemiec, a było jeszcze pół talka. Potem prelegent musiał szybko kończyć prezentację bo ponaglał go czas. Może jednak trzymać się konwencji pytania na końcu ?

    – stojący mikrofon zadziwiająco usprawnił przeprowadzanie prezentacji, może warto reszcie prelegentów zasugerować przećwiczenie tego wariantu. Wydatnie usprawnia demo kiedy potrzebne są dwie ręce do klikania.

    Czy po SHP nie moglibyście wrzucić takiego zbioru linków nawiązujących do tematów na sekuraku oczywiście to co można dać na stronę?

    Np. była 10 minutowa zajawka o scapy, na bank macie w archiwum artykuły na ten temat, może warto to przypomnieć, że coś już na temat zostało napisane. Oczywiście, można odesłać do wujka google ale z doświadczenia wiem, że osoby znające się na temacie mogą szybciej wskazać lepsze opracowania danego tematu niż jakby szukać tego samemu.

    Co do prezentacji, które niekoniecznie chcecie pchać w net jak ta o SMS może choć zrobić zestawienie kluczowych słów: model telefonu, framework Xposed, itd. Jak kogoś zaciekawi temat to albo robi notatki na bieżąco z talka rozpraszając uwagę (a talki są krótkie i naładowane tematem), albo robi zdjęcia (owszem część osób robiła, a prośby o nie robienie na początku SHP nie było, na styczniowym SHP była :D ), albo potem drapie się po głowie próbując sobie przypomnieć nazwę softu, który widział na prezentacji…

    Oczywiście nic na siłę, bo pewnie jesteście zawaleni robotą (kto nie jest).

    I ostatnie pytanie: ile planujecie SHP w tym roku w Krakowie i czy można sobie kupić karnet :D

    Odpowiedz
  16. Tomek

    Byłem na wszystkich Krakowskich SHP i było super jak zwykle ;)
    Zaskoczyło mnie, że tak mało osób było na poprzednim SHP.
    Jak już inni napisali, zaczynajmy punktualnie.
    Co do prezentacji:
    1. SMS – Bardzo ciekawa, ale albo coś przeoczyłem, albo jedna rzecz mi się nie trzymała kupy:
    Czy zmodyfikować możemy dowolnego smsa, czy ten pierwszy musi być wysłany jako „Replace”, czyli z założenia przygotowany do późniejszej modyfikacji?
    2. ARP poisoning na przykładzie VoIP – dla mnie temat znany od kilkunastu lat. Można było wspomnieć o HUBach, ponieważ niektórzy mogą nie znać a użycie HUBa (o ile jest możliwe) bardzo ułatwia analizę ruchu.
    3. XSS – Choć to nie mój temat, prezentacja doskonała, bardzo duży plus za to, że prowadzący pokazuje próby, który się nie powiodły, a nie tylko „raz dwa trzy i xss”. Uczy to sposobu myślenia, oglądałem w pełnym skupieniu i wszystko było zrozumiałe.
    4. Race condition – ciekawe, nie znałem wcześniej, teraz już wiem i myślę, że potrafię samemu powtórzyć ;) i czekam na więcej :)
    5. Scapy – przydałby się jakiś fajny przykład zastosowania, czyli zhakowanie czegoś tym narzędziem, wywalenie routera, czy coś takiego.
    6. Spring Framework – nie mój temat, zmęczenie, nie dotrwałem do końca bo sporo po czasie… Ale nie zniechęcajmy.

    Do zobaczenia na następnym SHP.

    Odpowiedz

Odpowiedz