Agenda

Aby zobaczyć opis prelekcji kliknij na jej temat. Porządek wykładów może ulec zmianie.

Wykłady

Aula A - 10.12.2022

Godzina
Opis
Prelegent
09:40 - 09:55
Powitanie i rozpoczęcie konferencji
10:00 - 10:45
(Nie)bezpieczne zakupy - popularne podatności w sklepach internetowych i jak im zapobiegać
Patryk Długajczyk & Maksym Brzęczek
Pokaz wyszukiwania i eksploitacji błędów aplikacji webowej. Zobacz jak nieuwaga może doprowadzić do zakupów za darmo. Prezentujący pokazują podatności napotkane w rzeczywistych systemach, z czego one wynikają oraz w jaki sposób można im zapobiec. Ta prezentacja jest skierowana zarówno do osób interesujących się bezpieczeństwem ofensywnym jak i programistów, którzy chcą tworzyć bezpieczny kod.
11:00 - 11:45
Czy persystencja na środowiskach serverless jest możliwa?! Pwning AWS Lambdas & GCP Cloud Functions
Paweł Kusiński
Serverless jest obecnie jedną z popularniejszych opcji w przypadku środowisk chmurowych, lecz jak on tak naprawdę działa? Czy serverless naprawdę jest server-less? Jak działa środowisko wykonawcze (execution environment)? Czy persystencja jest w ogóle możliwa? Pokażę, jak wykorzystać RCE (Remote Code Execution) do uzyskania persystencji i eksfiltracji większej ilości danych aniżeli uprawnia do tego przypisana rola. Postaram się też udowodnić, iż mimo rzadkości występowania RCE, wcale nie jest to nieprawdopodobne by go do funkcji podrzucić. Co będzie można wynieść z prezentacji? Jak działają funkcje serverlessowe. Dlaczego persystencja jest możliwa w tym półlotnym środowisku. Jak można badać środowisko serverlessowe za pomocą pseudo-shella po HTTP Jak skorzystać z RCE by uzyskać persystencje - LIVE DEMO! Jak się zabezpieczyć. Zapraszam na wykradanie danych na żywo z AWSowych Lambd i GCP Cloud Functions!
12:00 - 12:45
Wytrwałość popłaca - zawiła droga od prostego błędu do wykonania kodu w rządowym systemie
Dr inż. Błażej Adamczyk
Niebanalna i ciekawa historia opisująca pełen proces udanego ataku na duży system rządowy. Przedstawię od podstaw jak znalazłem, a następnie połączyłem w całość szereg kilku podatności. Szczególnie ciekawy jest aspekt wielowymiarowości całej historii, gdzie poruszona zostanie tematyka: http/web, golang, libreoffice, chrome, a nawet kodu jądra systemu Linux.
13:00 - 13:40
Przerwa
13:55 - 13:59
Konkurs Qontest
Dr inż. Adrian Kapczyński
14:00 - 14:45
Wstęp do tworzenia exploitów na aplikacje webowe - narzędzia i metodyki
Michał Zięba
Umiejętność własnoręcznego przygotowania exploita jest cennym atutem w rękach Hakera. Na tej prelekcji nauczysz się podstaw pisania exploitów na aplikacje webowe w języku Python. Poznasz metodyki i narzędzia, a także wyniesiesz ze sobą gotowe snippety kodu, które wykorzystasz w Twoich przyszłych 0-day'ach.
15:00 - 15:45
Modułem przez organizację - wykorzystanie mechanizmu modułów Powershell w ataku
Bartosz Chałek & Piotr Kozowicz
O tym że powershell jest świetnym narzędziem do atakowania komputerów z systemem Windows wie każdy pentester. Nie każdy jednak wie, że łatwo można rozszerzyć jego możliwości przez dodatkowe moduły. W trakcie prezentacji przedstawimy kilka sposobów, jak za pomocą odpowiednio przygotowanych modułów uzyskać persystencję, ukryć się przed wykryciem, a nawet zdobyć kolejne serwery w organizacji
16:00 - 16:45
SOC przyszłości - analiza incydentów i uczenie maszynowe
Daniel Jeczeń & Tomasz Biernat & Adrian Piechota
16:45 - 17:00
Zakończenie

Aula B - 10.12.2022

Godzina
Opis
Prelegent
09:40 - 09:55
Powitanie i rozpoczęcie konferencji
10:00 - 10:45
Jak zostać hakerem? Wstęp do CTFów
Łukasz Wroński
Bezpieczeństwo jest masywne. Nie sposób ogarnąć je ludzkim umysłem. Pytanie więc jak zacząć? Jak zrobić pierwszego gryza tego zakazanego owocu? Jak wykonać pierwszy krok by stać się jak Thomas Anderson (ofkors z oryginalnej trylogii)? Sposobów jest wiele, ale to właśnie udział w CTFach pozwala poczuć się jak prawdziwy haker. Uczyć się bawiąc. Bawic się rywalizując. Pocić, klnąć i frustrować by w końcu przeżyć radość ze zdobycia kolejnej flagi. Ale co to w ogóle są te CTFy i jak brać w nich udział? Usiądź na chwilę i posłuchaj...
11:00 - 11:45
Jesteś celem
Daniel Suchocki
Nie ma czegoś takiego jak organizacja zbyt mała, aby być celem. Zakładanie, że Twoja organizacja lub kategoria rynku nie jest celem nie oznacza, że jesteś bezpieczny. Atakując mniej chronioną organizację cyberprzestępca może wykorzystać ją, aby zaatakować znacznie większą organizację np.Twojego klienta. Większość organizacji skupia się wyłącznie na zapobieganiu przez wykorzystywanie różnego rodzaju oprogramowania zabezpieczającego typu firewall, a sieć wewnętrzna jest traktowana jako zaufana, to przecież Internet jest niebezpieczny, z którego przychodzą wszystkie ataki. Jeśli też tak myślisz to ta prezentacja jest właśnie dla Ciebie. Threat hunting – Proaktywne wykrywanie zagrożeń wewnątrz sieci organizacji. Pamiętaj - zakładanie, że nie jesteś celem jest bardzo niebezpieczne.
12:00 - 12:45
Client-side security w 2022 roku
Grzegorz Niedziela
Przeglądarki oraz frameworki cały czas próbują ułatwić programistom tworzenie bezpiecznych stron, utrudniając nam znajdowanie podatności. Jakich klas błędów po stronie przeglądarki jest coraz mniej w 2022? Czy atrybut SameSite pokonał CSRFy? Czy dalej jest dużo XSSów? Prelekcja będzie o tym jakie mechanizmy bezpieczeństwa zostały wprowadzone w ostatnich latach, a także na jakie klasy podatności warto poświęcić więcej czasu.
13:00 - 14:00
Przerwa
14:00 - 14:45
Hakowanie ludzi. Inżynieria społeczna w rękach cyberprzestępców
Janusz Pietraczuk
Trener CQURE Academy, Janusz Pietraczuk, na przykładzie rozmaitych scenariuszy ataków przybliży, w jaki sposób współcześni cyberprzestępcy wykorzystują inżynierię społeczną, aby wywierać wpływ na swoje ofiary. Z jednej strony w trakcie wystąpienia słuchacze poznają metody przestępców na wykorzystanie wykradzionych oraz słabych danych logowania, a z drugiej dowiedzą się, jakich wskazówek potrzebują użytkownicy końcowi, by zwiększyć bezpieczeństwo swoich haseł. Poruszane zagadnienia – jak i związane z nimi case studies - są poparte wieloletnim doświadczeniem zespołu CQURE z dostarczanych projektów na całym świecie.
15:00 - 15:45
Administrator bez praw, prawa bez Administratora, czyli gdy zwykły użytkownik może więcej niż Domain Admin
Artur Rybicki
Prelekcja będzie stanowić skrócony opis działania User Access Management (UAC) w systemie Windows i prezentację różnych przypadków, kiedy inna usługa będzie odpowiedzialna za zarządzanie uprzywilejowanym dostępem
16:00 - 16:45
Jak mogę zhakować Twoją (przyszłą) firmę.
Rafał Meisel
Zastanawiasz się jak wygląda atak hakerski na współczesne firmy? Chcesz dowiedzieć się z jakich technik i narzędzi korzystają cyberprzestępcy? Podczas wykładu zostanie pokazany przykładowy atak na korporację zaczynając od rekonesansu typu OSINT, przechodząc przez przejęcie infrastruktury, a kończąc na Darknecie i sprzedaży danych. Prelekcja jest skierowana dla każdego niezależnie od poziomu zaawansowania (wiedza techniczna nie jest wymagana).
16:45 - 17:00
Zakończenie