MEGA sekurak hacking party (16.10.2020)

W zeszłym roku zorganizowaliśmy całodniowe wydarzenie związane z bezpieczeństwem (pojawiło się aż 1300 osób!). Krótka relacja filmowa tutaj, dłuższa - w tym miejscu; Po archiwalne prezentacje można sięgnąć tutaj. Cały event podsumował trafnie jeden z uczestników:

Merytorycznie, widowiskowo, bez sztampy

Kolejna, całodniowa edycja MEGA sekurak hacking party, odbywa się 16 października 2020 roku w Krakowie. Podobnie jak w poprzednim roku, wydarzenie będzie miało miejsce w krakowskim centrum kongresowym ICE - i mamy do dyspozycji ogromną salę koncertową :-) Jeśli jesteś programistą, testerem czy osobą zainteresowaną bezpieczeństwem, ten event jest na pewno dla Ciebie. Nie wymagamy wstępnej wiedzy, a całość prowadzona jest w formie praktycznych prelekcji.

Szczegóły wydarzenia

Rozpoczęcie - około godziny 9:45, zakończenie: około 18:00 - 19:00. Każdy bilet zawiera lunch oraz przerwę kawową (kawa, ciasteczka, woda).

Agenda*

  1. Michał Bentkowski - jak atakować przeglądarki / popularne edytory wizualne za pomocą zwykłego schowka?  (55 minut)

    Świeże badanie Michała skutkujące zgłoszeniem podatności klasy High do Chrome, Firefoksa, Wikipedii czy wielu edytorów wizualnych. Jeśli uważacie że zwykły schowek jest bezpieczny, po tej prezentacji zmienicie zdanie. Do tej pory za to badanie przyznano około 80 000 PLN w ramach nagród bug bounty.
     
  2. Maciej Szymczak - Hakowanie WPA2-Enteprise, czyli jak dobrać się do sieci korporacyjnych? (30 minut)

    Na prelekcji poznasz (i zobaczysz na żywo) skuteczne ataki na sieci bezprzewodowe spotykane w firmach. Pokażę sprawdzony sprzęt i narzędzia, dzięki którym dowiesz się w jak całkowicie zautomatyzowany sposób "przekonać" komputer jak i telefon, żeby przyłączył się do fałszywej sieci.
     
  3. Adam Haertle (Zaufana Trzecia Strona) - Kreatywny marketing w służbie cyberbezpieczeństwa (40 minut)

    Nawet solidne z technicznego punktu widzenia rozwiązania bezpieczeństwa można promować wykorzystując niezbyt solidne metody marketingu. Przyjrzymy się kampaniom reklamowym i promocyjnym kilku produktów, które wyróżniają się w tym zakresie na tle konkurencji.
     
  4. Michał Bentkowski - XS-Leaks i XS-Search  - sztuka subtelnych wycieków danych (30 minut)

    XSS to zdecydowanie najpopularniejsza podatność świata przeglądarek. Wyobraźmy sobie jednak świat, w którym XSS-y zostały zażegnane i zastanówmy się, jakie ataki będą wówczas możliwe. W 2019 poczyniono duże postępy w lepszym zrozumieniu ataków XS-Leaks i XS-Search, które pozwalają na wykorzystanie pewnych tzw. bocznych kanałów na wyciąganie danych z innych domen. W prezentacji zostaną pokazane te ataki na żywych przykładach.
     
  5. Michał Sajdak - uwierzytelnianie / autoryzacja - któż to robi dobrze? (30 minut)

    W trakcie prelekcji poznamy standardowe i mniej standardowe metody omijania kontroli dostępu do danych. Poznamy też wybrane scenariusze omijania wydawałoby się nieomijalnego - 2FA. Wszystko zilustrowane praktycznymi przykładami wziętymi ze świata urządzeń sieciowych, mniej lub bardziej popularnych serwisów webowych oraz z doświadczenia pentesterskiego.
     
  6. Michał Wnękowicz - Praktyczne aspekty pasywnego rekonesansu infrastruktury IT (30 minut)

    Rekonesans, choć jest metodą dość znaną w świecie IT, w wielu przypadkach jest pomijany przez badaczy bezpieczeństwa czy administratorów. Często informacje znalezione w ten sposób wydają się być zbiorem nie związanych ze sobą puzzli (nie)bezpieczeństwa o małej wartości.
    W trakcie prelekcji skupimy się na połączeniu wielu pozornie niezależnych narzędzi i technik w celu przeprowadzenia złożonego ataku, opartego o realne przykłady, na jakie natrafia się podczas pracy pentestera. Maksimum hackerskiej skuteczności przy minimalnej ilości logów.
     
  7. Marek Rzepecki - Co wspólnego ma Web Cache Poisoning z atakami typu DoS? (30 minut)

    Web cache poisoning jest podatnością często pomijaną podczas testów bezpieczeństwa. Wykwalifikowany napastnik z jej wykorzystaniem może wykonać atak DoS, a w najgorszych przypadkach sprawić, że serwer cache zamiast poprawnej treści będzie serwował exploity każdemu użytkownikowi odwiedzającemu aplikację. W prezentacji pokażemy na żywych przykładach na czym polega błąd Web Cache Poisoning, jakie mogą być jej konsekwencje, oraz jak sprawdzić, czy nasza aplikacja nie jest podatna.
     
  8. Bohdan Widła - Prawne pułapki pentestingu i bug bounty (30 minut + 15 minut - dyskusja)

    W trakcie prelekcji spróbujemy odpowiedzieć na kilka pytań, takich jak: Czy uzyskanie dostępu do niezabezpieczonej webaplikacji może być przestępstwem? Czy "nieautoryzowane testy penetracyjne" zawsze są bezprawne? Czy należy przejmować się prawami autorskimi twórcy złośliwego kodu? Czy prawnik może mówić ludzkim głosem?
     
  9. Katarzyna Sajdak / Michał Sajdak - Jak przygotować od zera książkę o bezpieczeństwie IT? (20 minut)

    Pokazana od kuchni historia tworzenia książki sekuraka o bezpieczeństwie aplikacji webowych. Od pomysłu, przez korektę, skład i liczbe problemy czy ciekawostki na które natknęliśmy się w trakcie tworzenia książki.
     
  10. Marcin Piosek - Świat po Spectre i Meltdown czyli Site Isolation, CORB i
    podatność w Chrome: CVE-2019-13727 (30 minut)

    Jak ataki Spectre i Meltdown wpłynęły na wykorzystywane przez nas przeglądarki WWW, czyli krótka historia zgłoszonej przez prelegenta podatności w przeglądarce Chrome (w ramach oficjalnego programu bug bounty przyznano nagrodę ~40 000 PLN).

Jeśli ktoś jest jeszcze nie przekonany, kilka opinii z zeszłego roku:

Techniczna strona prezentacji stała na wysokim poziomie. Nie były to tylko suche teoretyczne prezentacje, ale praktyczna wiedza przekazana uczestnikom.

Merytoryka, brak bullshitu, brak [censored]

Mega przykłady pokazane w mega przystępny sposób. Otwartość i dostępność prelegentów

[super była]: widoczność, dźwięk, dostępność (miejsce, wyjścia, catering).

Cena, obsługa, harmonogram, forma Q&A, tematy

[super] stosunek ceny do zawartości merytorycznej.

Bardzo duża wartość merytoryczna

Pełen profesjonalizm prowadzących, sprawna obsługa i rejestracja uczestników, atrakcyjna oprawa graficzna prezentacji, niebanalny humor wielu prezenterów!

Super atmosfera. Pokazy na żywo. Kompetencje prowadzących na najwyższym poziomie.

Dodatkowe informacje organizacyjne

Parking podziemny (płatny):

 

Tak wygląda miejsce MSHP z zewnątrz:


fot. Bartosz Makowski

Na koniec jeszcze kilka ciekawostek. Tak ocenialiście miejsce wydarzenia:

 

Widok z sali:

Widok ze sceny dla prelegentów:

 

 

Partnerzy

Jeśli chcesz zostać partnerem naszego wydarzenia (możliwość rozłożenia stoiska / reklamy produktów / rekrutacji, itp) - prosimy o kontakt: securitum@securitum.pl

* Agenda jest wstępna / mogą trochę zmienić się tematy (mamy nadzieję na nowe :) oraz kolejność. Podany czas prelekcji jest szacunkowy. Uwaga - biletów nie można zwrócić (ale można w razie potrzeby przekazać innej osobie!) - polecamy rozsądne zakupy.


Data dodania: 16 sty 2020
Ostatnia aktualizacja: 17 mar 2020