Zdalne MEGA sekurak hacking party (14.06.2021)

Mega Sekurak Hacking Party – całodniowa, zdalna edycja, 14.06.2021 – zapraszamy na wyjątkowe wydarzenie w branży! Ponad 8 godzin konkretnej, aktualnej wiedzy (z wyłączeniem przerw), większość w formie praktycznych pokazów „hackingu” na żywo, bez męczącego marketingu produktowego, tylko merytoryka, brak nudy gwarantowany! Prezentacje prowadzone przez ludzi, którzy wiedzą o czym mówią, bo na co dzień zajmują się etycznym „hakowaniem” systemów, identyfikacją podatności a także doradzaniem w budowie bezpieczniejszego świata 😊

Spotkanie kierowane jest głównie do programistów, testerów, przedstawicieli zespołów odpowiedzialnych za  bezpieczeństwo IT w firmach oraz wszystkich pasjonatów tematu bezpieczeństwa IT.

W ramach uczestnictwa w wydarzeniu otrzymujesz:

- udział w wyjątkowo merytorycznym wydarzeniu na żywo + dostęp do nagrania z wydarzenia przez kolejne 30 dni

- certyfikat uczestnictwa (w pdf)

- Dostęp do nagrań wszystkich archiwalnych remote sekurak hacking party (ponad 25h dodatkowego, unikalnego materiału z prelekcjami dot. np. segmentacji sieci, phishingu, ransomware, podatności Windows, bezpieczeństwo JWT, etc).

Szczegóły wydarzenia

Rozpoczęcie - o godzinie 9:00, zakończenie: około 18:30. Agenda ma formę wstępną - czas trwania prezentacji i ich kolejność może się jeszcze zmienić.

Agenda

  1. Michał Bentkowski - XSS w 2021 roku - czy nadal groźny?  (40 minut)

    XSS (Cross-Site Scripting) to podatność znana od ponad 20 lat. Istnieją znane sposoby zabezpieczenia się przed nią. W przeglądarkach powstały też mechanizmy chroniące przed XSS-ami, które pozwalają zminimalizować ryzyko podatności; takie jak np. Content Security Policy. Okazuje się jednak, że XSS-ów w dzisiejszych aplikacjach nadal nie brakuje! Dlaczego? Na to pytanie postaramy się odpowiedzieć w tej prezentacji.
     
  2. Maciej Szymczak - Hakowanie WPA2-Enteprise, czyli jak dobrać się do sieci korporacyjnych? (30 minut)

    Na prelekcji poznasz (i zobaczysz na żywo) skuteczne ataki na sieci bezprzewodowe spotykane w firmach. Pokażę sprawdzony sprzęt i narzędzia, dzięki którym dowiesz się w jak całkowicie zautomatyzowany sposób "przekonać" komputer jak i telefon, żeby przyłączył się do fałszywej sieci.
     
  3. Grzegorz Tworek - Monitorowanie systemów Windows (45 minut)

    Wbrew powszechnej opinii, systemy Windows bardzo chętnie i bardzo dokładnie "mówią" co się dzieje w ich wnętrzu. Wystarczy chcieć posłuchać. Pewnym wyzwaniem może być w praktyce wybór miejsca, gdzie przyłożyć ucho, ale po intensywnej sesji powinno być jasne, czy wybrać ETW, WPP, IFR czy jeszcze coś innego. Uwaga, sesja może zawierać zauważalne ilości konsoli, PowerShella oraz C.
     
  4. Adam Haertle (Zaufana Trzecia Strona) - Prawdziwa historia włamania do Plus Banku (40 minut)

    Pewnie pamiętacie incydent, w których przestępcy przez wiele tygodni kontrolowali serwer WWW elektronicznej Plus Banku. Podczas prezentacji dowiecie się nie tylko, jaka podatność została wykorzystana i jak przebiegały trzy fazy kradzieży środków klientów, ale także pochylimy się nad przyczynami, dla których ten incydent trwał tak długo - i dlaczego potem się powtórzył. Zobaczymy też perspektywę dziennikarza, który w swojej naiwności próbował pomóc bankowi w nierównym pojedynku z hakerami.
     
  5. Michał Bentkowski - XS-Leaks  - sztuka subtelnych wycieków danych (30 minut)

    XSS to zdecydowanie najpopularniejsza podatność świata przeglądarek. Wyobraźmy sobie jednak świat, w którym XSS-y zostały zażegnane i zastanówmy się, jakie ataki będą wówczas możliwe. W 2021 i poprzednich latach poczyniono duże postępy w lepszym zrozumieniu ataków XS-Leaks, które pozwalają na wykorzystanie pewnych tzw. bocznych kanałów na wyciąganie danych z innych domen. W prezentacji zostaną pokazane te ataki na żywych przykładach.
     
  6. Michał Sajdak - Przegląd stanu bezpieczeństwa API REST w 2021 roku. (40 minut)

    W trakcie prezentacji postaram się odpowiedzieć na pytanie: czy API REST można wreszcie uznać za bezpieczne? Jeśli nie, to jak je zabezpieczyć?
    Całość na podstawie analizy około 20 przypadków realnych, świeżych podatności w API REST. 
     
  7. Frederik Braun - Finding & Fixing DOM-based XSS - once and for all? (30 minut)

    Cross-Site Scripting (XSS) consistently ranks highest in the list of the most prevalent security problems within web applications. In particular, DOM-based XSS exposes one of the most severe issues facing Single Page Applications and Electron Apps. In this talk we will examine the root causes of DOM-based XSS and provide fundamental insights into using static analysis to detect problematic code at scale. Furthermore, we will share practical tips that will ease adoption of these techniques when dealing with potential false positives or large codebases. We will conclude with an outlook on upcoming web standards which aim to support web developers to tackle DOM-based XSS once and for all.

    Frederik Braun to Security Engineer w Mozilli
  8. Marek Rzepecki - Niebezpieczeństwa mechanizmu WebView - jak wykradać dane aplikacji mobilnych? (30 minut)

    WebView jest mechanizmem pozwalającym na wyświetlanie stron w ciele natywnych aplikacji mobilnych, bardzo często używanym przez programistów ze względu na jego możliwości i elastyczność. W niniejszej prezentacji na praktycznych przykładach pokazane zostaną błędy często spotkane w jego implementacji- od XSS, kradzież danych z aplikacji, phishing, aż po (w starszych wersjach Androida) RCE.
     
  9. Bohdan Widła - Prawne pułapki pentestingu i bug bounty (30 minut)

    W trakcie prelekcji spróbujemy odpowiedzieć na kilka pytań, takich jak: Czy uzyskanie dostępu do niezabezpieczonej webaplikacji może być przestępstwem? Czy "nieautoryzowane testy penetracyjne" zawsze są bezprawne? Czy należy przejmować się prawami autorskimi twórcy złośliwego kodu? Czy prawnik może mówić ludzkim głosem?
     
  10. Kamil Jarosiński - SSRF w chmurze. Jak niebezpieczny może być? (40 minut)

    Czy wiesz czym jest podatność SSRF? Dlatego występuje? W jaki sposób jest najczęściej wykorzystywana? Korzystasz ze środowiska uruchomionego w chmurze?Jeśli odpowiedziałeś/odpowiedziałaś chociaż raz twierdząco, to nie możesz przegapić tej prelekcji. Zobacz jak haker może przejąć Twoją infrastrukturę. Odtworzenie realnego scenariusza ataku na żywo. W roli głównej AWS + SSRF + Headless Chromium. 

  11. dr Iwona Polak - Żonglowanie pamięcią podręczną (30 minut)

    Internet - jak ogry - ma warstwy. Niektóre z tych warstw zapisują raz otrzymane informacje w celu późniejszego wykorzystania. Dzięki temu serwery i łącza są mniej obciążone, a użytkownicy końcowi szybciej otrzymują treści. Czasem otrzymują również dwie bonusowe podatności: oszukanie i zatrucie pamięci podręcznej.

  12. Krzysztof Bierówka - jak dostać się do danych zabezpieczonych BitLockerem? Zrób sobie aktualizację systemową (15 minut)

    Wieczny brak czasu na aktualizacje systemowe? W końcu udało się znaleźć chwilę na ich zainstalowanie, ale nie dokończyłeś całego procesu, bo musiałeś wybiec z biura? Czy twoje dane są bezpieczne? Tego dowiesz się z niniejszej prezentacji.

  13. Krzysztof Wosiński - Nie wszystko co widzisz jest prawdziwe - analiza oznak modyfikacji zdjęć (30 minut)

    Rekiny pływające w zalanych centrach handlowych czy pokazy siły bazującej na metodzie kopiuj-wklej - oto metody na dobry click-bait lub phishing. Jak zatem sprawdzić czy obraz, na który patrzymy, nie został zmodyfikowany? Zaprezentuję kilka sposobów na ujawnienie takich działań. 

Jeśli ktoś jest jeszcze nie przekonany, kilka opinii z zeszłego roku:

Techniczna strona prezentacji stała na wysokim poziomie. Nie były to tylko suche teoretyczne prezentacje, ale praktyczna wiedza przekazana uczestnikom.

Merytoryka, brak bullshitu, brak [censored]

Mega przykłady pokazane w mega przystępny sposób. Otwartość i dostępność prelegentów

[super była]: widoczność, dźwięk, dostępność (miejsce, wyjścia, catering).

Cena, obsługa, harmonogram, forma Q&A, tematy

[super] stosunek ceny do zawartości merytorycznej.

Bardzo duża wartość merytoryczna

Pełen profesjonalizm prowadzących, sprawna obsługa i rejestracja uczestników, atrakcyjna oprawa graficzna prezentacji, niebanalny humor wielu prezenterów!

Super atmosfera. Pokazy na żywo. Kompetencje prowadzących na najwyższym poziomie.

*  Uwaga - biletów nie można zwrócić (ale można w razie potrzeby przekazać innej osobie!) - polecamy rozsądne zakupy.


Data dodania: 16 sty 2020
Ostatnia aktualizacja: 11 cze 2021