Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Sekurak Hacking Party Kraków – mini relacja
14 października mieliśmy przyjemność organizować kolejne Hacking Party w Krakowie. Tym razem gościła nas Politechnika Krakowska.
SHP nawiedziło ~200 osób, rozdaliśmy ok 10 różnych TP-Linków, 20 koszulek i masę gadgetów sekuraka. Część osób była zdziwiona, że gadgety można brać za darmo, a hacking party jest bezpłatne :]
Oczywiście corem całej imprezy były 4 prezentacje:
- Michała Bentkowskiego (hackowanie google docsów i spóki + nietypowy XSS prowadzący do RCE),
- moja (o hackowaniu IoT) oraz
- Marcina Burego (o tworzonym przez niego frameworku routersploit).
Przy okazji dobry news dla fanów hacking party – dość zaawansowana jest organizacja SHP w Poznaniu (grudzień) oraz Wrocławiu (styczeń 2017). Jeśli ktoś chciałby pomóc czy pomęczyć swoją firmę o bycie sponsorem – sekurak@sekurak.pl
Kraków SHP
insider view
SHP Kraków
Na koniec podziękowania dla dla CCNS oraz ISSA Polska za zorganizowanie sali.
oraz dla Securitum za ogólne wsparcie :)
–Michał Sajdak
Gdzie planujecie we Wrocku?
Kiedy będzie Poznań? :)
Pewnie w grudniu
Przede wszystkim serdeczne dzięki za spotkanie. I za smycz :) Atmosfera spotkania – super. Całość prowadzona w świetnym tempie i językiem, który jest zrozumiały nawet dla osoby nie koniecznie będącej specjalistą od security. Ciekawy i fajnie zaprezentowany content, przykuwał uwagę.
Zabrakło chyba tylko slajdu z informacją jak wyjść z VIMa, bez tworzenia prawdziwie losowego ciągu znaków lub resetowania komputera.
Co tu dużo gadać… chcę więcej :D
Przede wszystkim Wasze „mini relacje” to zawsze są faktycznie mini relacje. Nie szarżujecie z ilością zdjęć. ;D
Na szczęście to nie konkurs piękności ;-)
Tam zaraz „konkurs piękności” :-)
Choć na zdjęciach widzę i panie (co cieszy)
Stawiam wniosek aby jednak jakiś konkurs urządzić.
Na przykład „Miss Botnetu” albo „Królowa Walwareu”. :-E
Nie samym softem człowiek żyje. Hard też nie daje całości. ;-D
Jest szansa na Warszawę? :)
Tak, gdzieś Q2 2017 pewnie, może wcześniej
Na liscie miast zabraklo Łodzi :(
Kiedy Sekurak zawita do nas?
*spółki – taki mały błąd.
Czekamy na Wrocław :).
Fajne wykłady, widać, że prowadzili to praktycy, którzy wiedzą o czym mówią. Jak ktoś się zastanawia, czy wybrać się na edycję w swoim mieście, to polecam :-)
Nurtujące mnie pytanie: o ile z hackowania google da się pewnie wyżyć (jak ktoś jest takim wymiataczem jak Michał), o tyle chyba z hackowania IoT, czy routerów to już nie bardzo? Bo chyba mało kto poza największymi firmami płaci sensowny pieniądz w programach typu bugbounty.
A i jeszcze dwie organizacyjne sprawy. Pamiętam, że zamknęliście w pewnym momencie rejestrację, bo było ~350 osób. Ciut słaba frekwencja. To tylko Kraków, czy standard?
Druga sprawa – fajnie, jakbyście póżniej wysyłali np. mailem jakieś potwierdzenie, że się było z krótkim info co się działo (na potrzeby CPE).
No właśnie sporo osób „narzekało” że zapisy zamknięte więc nie mogli się zapisać (zapisało się nawet 420 osób). A tymczasem sporo z tych która się zapisała, nie przyszło. Na razie nie mamy pomysłu jak to dobrze zrobić. Może jakaś mała kwota za wjazd typu 30 zł – ale tego chcielibyśmy uniknąć. Inny pomysł – i chyba to zrobimy to start zapisów tydzień przed imprezą. Raczej w tak krótkim czasie nie powinny się większości osób zmienić plany…
na meet.js zrobili tak, że robią listę obecności. Jak ktoś np 2/3 razy nie przyjdzie, to już następnym razem nie może się zapisać
b. dobry pomysł
Będzie jeszcze mail z prezentacjami podsyłany.
Tak mnie naszła myśl, Michał żartował sobie że „ludzie” z domeny .ru często pytają go o tę binarkę którą tplink zaciąga i odpala, Michał zapewne nie chce rozdawać jej na prawo i lewo, wydaje się to logiczne. Marcin włożył mnóstwo pracy w swój tool który automatycznie robi wszystko. Nie wydaje się to moralne, a tym bardziej podcina gałąź na której firma zarabia kasę. Tool robi dokładnie to co Marcin mówił, zwalnia z pewnej mechanicznej pracy, o ile używanie go wewnętrznie w firmie ma sens, jednak udostępnianie na świat to jak danie małpie brzytwy.
Jednym z celów budowy narzędzia było naświetlenie problemu niskiego poziomu zabezpieczeń w urządzeniach klasy SOHO. Chcieliśmy pójść śladem FireSheep’a dzięki któremu wiele stron zostało zmuszonych do wdrożenia szyfrowania + HSTS.
Pokazanie w jak prosty sposób można atakować tego typu urządzenia nakłania/zmusza Vendorów do zwiększenia poziomu zabezpieczeń wydawanych produktów.