Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
Zapraszamy na MEGA Sekurak Hacking Party. 16 prezentacji oraz ponad 50 materiałów VIDEO! Startujemy: 22.05.2023!
Kolejny MSHP zbliża się wielkimi krokami. Wpis jest dość długi ale zobaczycie co dla Was przygotowaliśmy, poznacie agendę i naszych prelegentów, dowiecie się jak zdobyć dostęp do ponad 50 nagrań (!!!) z poprzednich edycji MSHP, a uważni… będą mieli okazję wygrać kubeczki sekuraka. Tak więc zapinamy pasy i jedziemy! Naprawdę warto 😉
Bilety można kupić tutaj: https://sklep.securitum.pl/mega-sekurak-hacking-party-22-maja-2023
Do końca kwietnia używając kodu: mshp-hack35 macie 35% zniżki na bilety STANDARD. Jeżeli chciałbyś zamówić (Ty lub Twoja organizacja) więcej biletów to napisz na adres: szkolenia@securitum.pl. Przygotujemy dla Ciebie specjalną wycenę 😊
KIEDY, JAK i GDZIE?
Wydarzenie odbędzie się on-line (poprzez nasz dedykowany serwer na Discordzie), 22 maja 2023 roku. Start planujemy na 8:45 a koniec około godziny 16. Każdy uczestnik otrzyma od nas certyfikat uczestnictwa (w postaci PDF) oraz dostęp do nagrania prelekcji na 30 dni.
DLA KOGO?
Tradycyjnie stawiamy na merytorykę, brak nachalnego marketingu, doskonałe nazwiska i po prostu świetną atmosferę. Tym razem przygotowaliśmy dla Was następujące ścieżki tematyczne:
- Netsec – dla administratorów, testerów
- Websec/Defence – dla developerów, programistów i testerów oraz administratorów i blue teamów
- [NOWOŚĆ!] Intro – dla wszystkich (przede wszystkim dla osób stawiających pierwsze kroki w tematyce cyberbezpieczeństwa)
Dzięki naszemu kanałowi na Discordzie będziecie mieli okazję porozmawiać z naszymi prelegentami, wymienić się doświadczeniami z innymi uczestnikami (poznacie osoby o podobnych zainteresowaniach), znajdziecie odpowiedzi na nurtujące Was pytania, rozwiniecie swoje umiejętności oraz… po prostu będziecie się świetnie bawić! Kanał będzie aktywny jeszcze długo po samym wydarzeniu.😊
AGENDA
Ścieżka NETSEC (admini, testerzy, pasjonaci IT sec)
- Jak wygrywać CTFy: Tips & Tricks! – Gynvael Coldwind
„Whatever gets you the flag” – ta często powtarzana przeze mnie fraza ma na celu przekazanie dość prostej oczywistości: CTFy nie polegają na prawidłowym i zgodnym ze sztuką rozwiązywaniu zadań, a na zdobyciu flag. Czasem można trochę „oszukać”, użyć jakiejś sztuczki, albo odpowiedniego narzędzia, co pozwala zdobyć flagę w krótszym czasie i pominąć sporą część zadania. Podczas tej prezentacji na żywo pokażę i omówię garść trików podłapanych i wypracowanych podczas 20 lat udziałów w konkursach hakerskich.
- Podstawy komunikacji i wykrywania urządzeń w sieci CAN – Mateusz Wójcik
Koniecznie przyjedź furą (najlepiej sąsiada) bo będziemy hakować urządzenia rozmawiające ze sobą za pomocą magistrali komunikacyjnej Controller Area Network, która wykorzystywana jest z powodzeniem właśnie między innymi w branży automotive! Pokażę Ci jak się do tego zabrać zarówno od strony softu jak i sprzętu. #kupie_opla_do_haxow
- Czy tylko banki powinny wzorować się na rekomendacji CSIRT KNF? – Piotr Wojciechowski
Jaka jest rola peeringów, IXów, CDNów i rozważnego doboru „dostawców internetu”? Jak budować styk ze swoimi operatorami? Jakie znaczenie ma odpowiedni dobór sprzętu za zaprojektowanie brzegu internetowego? Jak podjęte decyzje wpływają na bezpieczeństwo infrastruktury sieciowej użytkownika końcowego? A może trzeba przygotować się na scenariusze awaryjne?
To tylko niektóre zagadnienia, które poruszymy w trakcie wspólnej sesji opisującej proces implementacji zeszłorocznej rekomendacji CSIRT KNF w zakresie przeciwdziałania atakom DDoS
- Metody ataków DoS/DDoS na serwery SIP (VoIP) – Kamil Folga
Prezentacja omawia rzeczywiste atak DoS/DDoS na serwer SIP wraz z analizą ruchu wysyłanego przez atakującego (Wireshark/Tcpdump). Zaprezentujemy metody wykrywania ataków na SIP z użyciem Snort/IDS. Wskazany zostanie podział ataków DoS na podstawie wykorzystywanych właściwości SIP (Message Flooding, Flow Tampering, Message Payload Tampering). Pokażemy jak chronić sieć przed atakami na VoIP.
- Co w bezpieczeństwie routingu piszczy? – Łukasz Bromirski
W trakcie sesji przyjrzymy się najnowszym technicznym rozwiązaniom pozwalającym zabezpieczyć routing dynamiczny na przykładach dotyczących sieci lokalnych, rozległych, VPN, SDWAN i połączeń z chmurą. Oprócz przykładów rozwiązań, sprawdzimy również co ciekawego działo się i dzieje w internecie w kontekście ataków na routing i przechwytywania ruchu na lokalną i globalną skalę.
- FIDO2 dla profesjonalistów, czyli łączymy Yubikey z SSH, Windowsem i macOS – Maciej Szymczak
Z prezentacji dowiesz się jak wykorzystać token sprzętowy do odblokowywania komputera, czy można przechowywać klucz SSH na YubiKey, a może wystarczy tylko dodatkowo zatwierdzać operacje logowania?
Ścieżka INTRO
(NOWOŚĆ! Dla wszystkich pasjonatów ITsec oraz osób stawiających pierwsze kroki. Każdy znajdzie coś dla siebie. Niezależnie czy jesteś studentem czy hobbystą to świetna okazja by poznać świat cyberbezpieczeństwa)
- Czy obraz to zawsze więcej niż tysiąc słów? – OSINT-owe techniki wyszukiwania za pomocą obrazów – Krzysztof Wosiński
Reverse image search, czyli wyszukiwanie z wykorzystaniem obrazów jako informacji źródłowej, zrobiło duży krok naprzód dzięki Google Lens. Czy jednak to narzędzie nigdy się nie myli? I co na to inni, znani operatorzy wyszukiwarek RIS? O tym opowiem podczas mojej prezentacji na MSHP.
- Phishingowe Rewolucje – poznaj składniki i przepisy na skuteczne atakowanie użytkowników – Michał Wnękowicz
Zanurz się w fascynujący świat oszustw, cyberataków, rekonesansu, złośliwych załączników i fałszywych stron internetowych. Odkryjesz, jak cyberprzestępcy krok po kroku przygotowują swoje ataki, jednocześnie poznając skuteczne metody obrony, które pomogą Ci zabezpieczyć siebie i swoją firmę.
- AI Hacking – Tomasz Turba
Zobaczysz przegląd ostatnich technik ataków z wykorzystaniem AI (deep fake audio, video, foto, komunikatory, keytapping), większość w formie praktycznego pokazu. Wskazane zostaną też możliwe kierunki rozwoju narzędzi wspierających cyberbezpieczeństwo i niebezpieczeństwo związanych z AI 😉
- 2FA, MFA, YubiKey – wszystko co chciałbyś wiedzieć o dwuskładnikowym uwierzytelnianiu! – Maciej Szymczak
Login i hasło to za mało! Podczas prezentacji pokażę Ci czym jest uwierzytelnianie z pomocą 2FA/MFA, i jak do tego podejść w 2023 roku, żeby skutecznie chronić Twoją tożsamość w Internecie.
Ścieżka WEBSEC/DEFENCE (dla developerów, programistów i testerów oraz dla programistów i blue teamów)
- Dlaczego hackowanie aplikacji webowych jest proste 2023 (100% aktualnej wiedzy) – Michał Sajdak
Jak będzie wyglądało bezpieczeństwo aplikacji webowych w 2050. roku? Jakoś tak: ’ or '1’=’1, czyli w zasadzie w ogóle się nie zmieni. Dlaczego tak uważam? Dlatego, że nie widać na horyzoncie znacznej poprawy w temacie krytycznych i dość prostych do wykorzystania podatności w aplikacjach webowych. Ba – dziur jest coraz więcej 🙂 W trakcie prezentacji będę się starał Was przekonać do takiego punktu widzenia.
- Małe kroczki ku zwiększaniu bezpieczeństwa platformy webowej – Michał Bentkowski
Ostatnie lata obfitują w nowe mechanizmy mające zwiększyć bezpieczeństwo platformy webowej. Mowa np. o Content-Security-Policy, ciasteczkach SameSite czy Fetch Metadata. Ale w tle, z nieco mniejszym splendorem, dzieje się o wiele więcej mniejszych lub większych zmian, które mogą naprawiać konkretne podatności lub nawet tylko pewne warianty tych podatności. W tej prezentacji przyjrzymy się kilku takim przykładom: omówimy kilka mniej popularnych ataków ze świata webu i przyjrzymy się, jakie kroki są poczynione by je wyeliminować (a przynajmniej zmniejszyć ich prawdopodobieństwo).
- Rzeczywiste przypadki z błędami w użyciu kryptografii – Iwona Polak
CRYptography
Kryptografia ma nam służyć i nas chronić, ale czasem doprowadza nas do łez….
Podczas prezentacji opowiem o tym, jak można sobie kryptografią zrobić krzywdę 😄
- Jak zautomatyzować patchowanie serwerów i aplikacji – Arkadiusz Siczek
Podczas prezentacji przedstawię uczestnikom dostępne opcje i możliwości, które mogą wykorzystać do automatyzacji procesu aktualizacji serwerów i aplikacji. Następnie przejdziemy do omówienia środowisk testowych i produkcyjnych, aby uczestnicy zrozumieli ich znaczenie, zastosowania oraz korzyści. Kolejnym etapem będzie analiza planowania poprawek, podczas której przedstawię metody oraz narzędzia umożliwiające skuteczne zarządzanie i kontrolowanie procesu wprowadzania zmian w ramach automatycznego patchowania. Na koniec, skupimy się na praktycznym aspekcie wdrażania poprawek oraz zademonstruję sposób efektywnego automatyzowania procesu aktualizacji serwerów i aplikacji.
- Użycie NTFS Journal w informatyce śledczej – Grzegorz Tworek
Wewnętrzne struktury systemu plików zawsze są warte poznania i zrozumienia, tym bardziej, że przechowują informacje o tym, co z danych na dysku dawno już zniknęło, lub zostało nadpisane. W efekcie dostajemy cenny artefakt, użyteczny w informatyce śledczej. Choć NTFS USN Journal jest znany i lubiany od wielu lat, to zawsze warto wiedzieć o nim jeszcze więcej: od sposobów zafałszowania zawartej w Journalu informacji, aż po nieudokumentowane funkcje API.
- Honeypot anyone? – Tomasz Turba
Podczas prezentacji będzie można zobaczyć jak zbudować swój własny honeypot. Przedstawię Ci też moje przemyślenia i zebrane statystyki z ostatnich lat działania fałszywego serwera. Na końcu zostanie omówiona też kwestia, że honeypot to nie tylko serwery… zapraszam :-)
Dla uważnych czytelników mamy niespodziankę. Wrzuć u siebie poniższe info na socjale, grupę, intranet itp – zrób screena i wyślij na adres ca@securitum.pl wpisując w tytule MSHP WPIS. Pierwsze 20 osób dostanie od nas kubeczki sekuraka 😊
Mega Sekurak Hacking Party – 22.05.2023
22 maja on-line, odbędzie się kolejne Mega Sekurak Hacking Party. Sekurak, który organizuje wydarzenie szykuje kilka ścieżek tematycznych (websec/defence, netsec i intro dla początkujących) oraz gwarantuje cały dzień merytorycznych treści bez męczącego marketingu, doskonałych prelegentów, masę konkursów oraz inne niespodzianki. Dodatkowo każdy uczestnik dostanie dostęp do ponad 50 nagrań (!!!) z czterech ostatnich edycji MSHP 😊 Po prostu obowiązkowa pozycja dla ludzi interesujących się bezpieczeństwem IT.
Bilety można zamówić tutaj: https://sklep.securitum.pl/mega-sekurak-hacking-party-22-maja-2023
…ALE TO NIE WSZYSTKO. MAMY DLA WAS PONAD 50 NAGRAŃ Z POPRZEDNICH EDYCJI MSHP
Kupując bilet na majowe wydarzenie dostaniesz od nas automatycznie dostęp do nagrań z czterech poprzednich edycji MSHP! Co dla Was mamy?
WEBSEC (developerzy, programiści, testerzy):
- „Przegląd stanu bezpieczeństwa API REST w 2021 roku” – Michał Sajdak
- „Finding & Fixing DOM-based XSS – once and for all?” – Frederik Braun
- „XSS w 2021 roku” – Michał Bentkowski
- „SSRF w chmurze. Jak niebezpieczny może być?” – Kamil Jarosiński
- „XS-leaks – sztuka subtelnych wycieków danych” – Michał Bentkowski
- „Prototype Pollution – czyli jak zatruć aplikację XSS-em” – Michał Bentkowski
- „Dlaczego hackowanie aplikacji webowych jest proste ( 2022 )” – Michał Sajdak
- „Historia niezwykłego buga w parserze HTML w Chromie (+ obejście DOMPurify)” – Michał Bentkowski
- „Dlaczego hackowanie aplikacji webowych jest proste” – Michał Sajdak
- „The DOMPurify Backrooms – Weird Tickets, elegant Bypasses & migrating into the Browser” – Mario Heidrich
- „Eksfiltracja danych za pomocą CSS oraz Scroll-To-Text” – Maciej Piechota
- „Client-side security w 2022 roku” – Grzegorz Niedziela
- „Najczęściej popełniane błędy w parsowaniu HTML” – Michał Bentkowski
NETSEC (administratorzy, testerzy):
- „Jak dostać się do danych zabezpieczonych BitLockerem? Zrób sobie aktualizację systemową” – Krzysztof Bierówka
- „Hakowanie WPA2-Enteprise, czyli jak dobrać się do sieci korporacyjnych?” – Maciej Szymczak
- „Żonglowanie pamięcią podręczną” – Iwona Polak
- „Niebezpieczeństwa mechanizmu WebView- jak wykradać dane aplikacji mobilnych” – Marek Rzepecki
- „Netgear – CTF w pudełku?!” – Gynvael Coldwind
- „Chodź pomaluj mi malware” – Maciej Kotowicz
- „Dlaczego hackowanie aplikacji (pod koniec roku 2021) jest proste?” – Michał Sajdak
- „Błędy bezpieczeństwa w architekturze współczesnych mikrokontrolerów i sposoby ich wykorzystania” – Grzegorz Wypych
- „Bezpieczeństwo routingu – podstawy i rzeczy bardziej zaawansowane” – Łukasz Bromirski
- „Ghidra – na przykładzie poszukiwania podatności OS Command injection” – Mateusz Wójcik
- „Glitching RISC-V chips: MTVEC corruption for hardening ISA” – Adam Zabrocki
- „SDR – radia programowe w analizie bezpieczeństwa” – Piotr Rzeszut
- „Telefonia IP – jak złamać SIP” – Kamil Folga
- „Os Command Injection” – Mateusz Wójcik
- „SIP Honeypot – analiza metod ataków VoIP” – Kamil Folga
- „Best client fuckups overview” – Tomasz Turba
- „Nominacja do PwnieAward za błąd w kodzie referencyjnym Intel’a – retrospekcja” – Adam Zabrocki
- „ElectroVolt: Pwning Popular Desktop Apps While Uncovering New Attack Surface on Electron” – Aaditya Purani oraz Mohan Sri Rama Krishna Pedhapati
- „Praktyczny bettercap – czyli nowoczesny kombajn do realizacji ataków podsłuchu” – Maciej Szymczak
- „Case study z pentestów: Niebezpieczeństwo Redisa ” – Marek Rzepecki
- „Emulacja Firmware” – Mateusz Wójcik
- „Hackowanie AppLockera” – Grzegorz Tworek
OSINT/EXTRAS (wszyscy, ew. inspektorzy IOD, analitycy):
- „Prawne pułapki pentestingu i bug bounty” – Bohdan Widła
- „Nie wszystko co widzisz jest prawdziwe – analiza oznak modyfikacji zdjęć” – Krzysztof Wosiński
- „OSINT – historia prawdziwa” – Tomasz Turba
- „OOPSEC – wpadki i wypadki przy zabezpieczaniu danych” – Krzysztof Wosiński
- „To ptak! To samolot! Nie, to… OSINT” – Krzysztof Wosiński
- „OSINT – historia prawdziwa #2” – Tomasz Turba
DEFENCE (administratorzy, blue team):
- „Monitorowanie systemów Windows” – Grzegorz Tworek
- „Powershell dla blueteamów” – Paweł Maziarz
- „Purple-teaming w Polsce” – Tomasz Turba
- „Kto Ci kradnie pakiety (Zabbix)” – Arkadiusz Siczek
- „CTI 101 – jak to zrobić u siebie?” – Sławomir Kiraga
- „Kryptologia z lotu ptaka” – Iwona Polak
- „Dobra architektura infrastruktury IT jak dobra architektura urbanistyki – najpierw ignorujemy, a potem narzekamy” – Piotr Wojciechowski
- „Application Whitelisting” – Grzegorz Tworek
- „Praktyczne aspekty wdrożenia ochrony przed porywaniem prefiksów” – Łukasz Bromirski
- „Prelekcja o budowie QR-kodów” – Tomasz Zieliński
- „Wykrywanie anomalii w infrastrukturze IT z wykorzystaniem Zabbixa” – Arkadiusz Siczek
- „Know your tools – OpenSSH” – Dariusz Puchalski
- „Audyt serwerów Linuxa” – Arkadiusz Siczek
- „Podpisy cyfrowe plików w Windows. Jak to zrozumieć i używać” – Grzegorz Tworek
- „Cobalt Strike for Blue Team!” – Wojciech Lesicki
Ufff… jest tego sporo 😊 Każdy znajdzie coś dla siebie.
KONKURSY i CTF!
MSHP to także masa super konkursów. Podczas tej edycji rozdamy sporo kubków, koszulek, bluz i innych gadżetów. Uczestnicy dostaną też od nas dostęp do zawodów CTF!
BILETY VIP
Zwracamy też uwagę na bilety VIP, których jest ograniczona liczba. Każdy, kto kupi bilet VIP dostanie od nas (poza wejściem na samą imprezę)
- 10 tokenów (o wartości ponad 4000 złotych!) do wykorzystania na nasze szkolenia (min. takie dwudniowe „flagowce” jak Wprowadzenie do Bezpieczeństwa IT czy też Bezpieczeństwo Windows. Elementarz każdego administratora; pełną listę szkoleń w ramach VIP możecie zdobyć pisząc na szkolenia@securitum.pl lub wchodząc na podany na końcu ramki link)
- Czarną bluzę sekuraka (z haftowanym logiem)
- Specjalny dyplom (drukowany i oprawiony w gustowną ramkę)
- Dostęp do kanału głosowego VIP na Discordzie oraz wielu innych ciekawych rzeczy 😊.
Bilety VIP możecie zamówić tutaj: https://sklep.securitum.pl/mega-sekurak-hacking-party-22-maja-2023
Podsumowując, Mega Sekurak Hacking Party to wydarzenie, na którym po prostu trzeba być 😊
Jeżeli dotarliście do końca to mamy jeszcze na koniec mini konkurs. Pierwsze 10 osób, które napisze do nas na adres ca@securitum.pl i napisze jakie prelekcje (tytuły) wygłosi na majowym MSHP Tomasz Turba dostanie od nas kubeczek sekuraka. W tytule trzeba koniecznie wpisać MSHP Kubeczek.
W najbliższych dniach spodziewajcie się więcej informacji o MSHP. Przekażcie info w firmach i znajomym bezpiecznikom. Widzimy się już za 22 maja! 😊
” przygotowaliśmy dla Was cztery ścieżki tematyczne:”
Ja widzę tylko 3 ścieżki. Trzeba być jakoś „wtajemniczonym”, żeby poznać ścieżkę czwartą?
Hej, dwie ścieżki są w ramach jednej połączonej, tj. websec + defence zgodnie z agendą. Pozostałe to netsec i intro dla początkujących. Zmieniliśmy w tekście by było jasne :-).
Pozdro.