MEGA sekurak hacking party (06.12.2021). Edycja zdalna.

Mega Sekurak Hacking Party – całodniowa, zdalna edycja, 06.12.2021 – zapraszamy na wyjątkowe wydarzenie w branży! Cały dzień konkretnej, aktualnej wiedzy (z wyłączeniem przerw), większość w formie praktycznych pokazów „hackingu” na żywo, bez męczącego marketingu produktowego, tylko merytoryka, brak nudy gwarantowany! Prezentacje prowadzone przez ludzi, którzy wiedzą o czym mówią, bo na co dzień zajmują się etycznym „hakowaniem” systemów, identyfikacją podatności a także doradzaniem w budowie bezpieczniejszego świata 😊

Spotkanie kierowane jest głównie do programistów, testerów, przedstawicieli zespołów odpowiedzialnych za  bezpieczeństwo IT w firmach oraz wszystkich pasjonatów tematu bezpieczeństwa IT.

W ramach uczestnictwa w wydarzeniu otrzymujesz:

- udział w wyjątkowo merytorycznym wydarzeniu na żywo + dostęp do nagrania z wydarzenia przez kolejne 30 dni*

- certyfikat uczestnictwa (w pdf)

Szczegóły wydarzenia

Rozpoczęcie - o godzinie 9:00, zakończenie: około 17:00. 

Agenda:

Netgear - CTF w pudełku?!

Na początku roku miałem chwilę czasu, aby popatrzyć na kilka domowych urządzeń sieciowych od firmy Netgear. Znalezienie pierwszego błędu zajęło mi 15 minut, a potem było tylko zabawniej. Na niniejszej prelekcji chciałbym przedyskutować kilka ciekawszych ze znalezionych błędów.

Gynvael Coldwind

OOPSEC - wpadki i wypadki przy zabezpieczaniu danych
• Problemy zabezpieczeń danych przy użyciu BitLockera

• Niepoprawne zabezpieczanie danych podczas transmisji

• Dyski samoszyfrujące i ich słabości

• Wpadki przy zabezpieczaniu stanowiska pracy

• Najczęstsze problemy z hasłami

• Konsekwencje braku usuwania danych w dokumentach

Krzysztof Wosiński


OSINT - historia prawdziwa

• OSINT offensive - rekonesans serwera domenowego od miniatury zdjęcia? - HISTORIA PRAWDZIWA

• OSINT vs. komunikatory (Telegram, Discord) - DEMO

• OSINT vs. social-media (Instagram, TikTok) - DEMO

• OSINT vs. block-chain - DEMO

• Usefull stuff - automatyzacja, zbiór linków i narzędzi, ochrona przed OSINT

Tomasz Turba

Prototype Pollution - czyli jak zatruć aplikację XSS-em

O podatności prototype pollution w świecie JS wiadomo już od wielu lat... do tej pory była ona traktowana jednak po macoszemu - wydawało się, że większość przypadków jej wystąpienia nie jest praktycznie exploitowalna. Wszystko zaczęło się zmieniać w ostatnich dwóch latach, gdy rozpoczęto szersze badania na temat jej wykorzystania nie tylko w NodeJS, ale w świecie frontendu. Okazało się, że wiele bibliotek pozwala na zatrucie prototypów - i w efekcie na nieoczekiwany wpływ na przepływ sterowania aplikacją. A to wszystko kończy się dużą liczbą XSS-ów! Na prezentacji opowiem ogólnie czym jest prototype pollution, a także pokażę w jaki sposób podatność może objawić się w aplikacji, i dlaczego może prowadzić do XSS-a.

Michał Bentkowski


Cobalt Strike for Blue Team!

Trudno w 2021 nie słyszeć o Cobalt Strike…ale na wszelki wypadek ustalmy pewne fakty. Jest to komercyjne/płatne narzędzie dla zespołów red team, które w praktyce jest coraz częściej wykorzystywane przez przestępców m.in. operatorów ransomware. Z powodu popularności tego narzędzia zespoły Blue Team muszą je znać. Na mojej prezentacji pokażę podstawy Cobalt Strike oraz jak można próbować wykrywać jego działanie. Wspomnę też o darmowych rozwiązaniach takich jak sysmon, sigma rules, którą mogą pomóc Wam w obronie.

Wojciech Lesicki


Dlaczego hackowanie aplikacji (pod koniec roku 2021) jest proste?

Jak będzie wyglądało bezpieczeństwo aplikacji webowych w 2050. roku? Jakoś tak: ' or '1'='1 Czyli w zasadzie w ogóle się nie zmieni. Dlaczego tak uważam? A to dlatego. że nie wydać na horyzoncie znacznej poprawy w temacie krytycznych i dość prostych do wykorzystania podatności w aplikacjach webowych. Ba - dziur jest coraz więcej. W trakcie prezentacji będę się starał Was przekonać do takiego punktu widzenia.

Michał Sajdak


Chodź pomaluje mi malware

Opowiem o wykorzystaniu przez atakujących różnych języków skryptowych i kompilowanych, mniej lub bardziej typowych. Min: MirrorBlast (kixtart, rebol), Zebrocy (nim), Gootkit (nodejs).

Maciej Kotowicz

Podpisy cyfrowe plików w Windows. Jak to zrozumieć i używać
Grzegorz Tworek

Druga ścieżka

Tutaj planujemy ~8 świeżych nagrań video (prelegenci dostępni będą na chacie :) Obecna lista:

  • Narzędzie Ghidra – na przykładzie poszukiwania podatności OS Command injection.
  • Aktywny threat-hunting z wykorzystaniem podwyższonego observability przy pomocy OSquery.
  • Know your tools: OpenSSH.
  • Telefonia IP - jak złamać SIP?
  • Wykorzystanie routingu do zwiększenia bezpieczeństwa swojej sieci
  • Wykrywanie Anomalii w Infrastrukturze IT z wykorzystaniem Zabbixa

CTF

W drugi dzień po MegaSHP proponujemy udział w zawodach CTF (Capture The Flag). Zaoferujemy kilkanaście zadań najeżonych różnymi problemami bezpieczeństwa. W każdym z nich będzie można znaleźć flagę, za którą będą do zdobycia punkty. Przewiodujemy też trochę nagród (kubki/t-shirty sekuraka)

Kolejne prezentacje będą ogłoszone niebawem :-) Kolejność powyżej robocza.

Jeśli ktoś jest jeszcze nie przekonany, kilka opinii edycji czerwcowej (2021):

Typowo dla Sekuraka- bez zbędnego gadania. Same konkrety! Ogromny plus za  kontakt z publiką na discordzie i odpowiadanie na wszystkie pytania. 

Jakość tematów i wykładowców, intensywna i interesująca.

nagrania (prawie) wszystkich konferencji - możliwość wrócenia do omawianych treści jest nieoceniona

Najmocniejszą stroną jest na pewno merytoryczność całej konferencji, brak "lokowania produktu", lub przedstawienie go w sposób bardzo subtelny :) Dodatkowo sama atmosfera całej konferencji i sprawna organizacja sprawia, że MSHP jest obowiązkowym i stałym punktem mojego corocznego harmonogramu

chociaż bezpieczeństwo nie jest moją stroną, to każdy wykład bardzo mi się podobał, szkoda że na mojej uczelni tak nie ma :(

zdalna -możliwość cofnięcia w czasie na wideo, jak coś umknęło i być na bieżąco dalej

mega content!

kontakt i słuchanie sugestii przez organizatorów

Bardzo dobra organizacja jak na wydarzenie online. Jestem mega zadowolony

* Dla wybranej jednej prezentacji (potencjalnie) zastrzegamy dostępność tylko w trybie "na żywo"

**  Uwaga - biletów nie można zwrócić (ale można w razie potrzeby przekazać innej osobie!) - polecamy rozsądne zakupy.


Data dodania: 26 lip 2021
Ostatnia aktualizacja: 18 lis 2021