HackerFest 2022
Hra na schovávačku s hackermi v cloude, efektívne preverovanie bezpečnosti webových aplikácií a najnovšie hackerské techniky v praxi – HackerFest 2022
Tradičnú konferenciu zameranú na IT bezpečnosť a etický hacking pripravil GOPAS na 22. septembra 2022. HackerFest bude mať hybridnú podobu – účastníci si môžu vybrať medzi fyzickou účasťou na prednáškach a streamovanou podobou z pohodlia domova.
Konferencia HackerFest 2022 poskytne účastníkom prehľad o najnebezpečnejších praktikách hackingu dnešnej doby, a predovšetkým o tom, ako sa pred nimi chrániť. Okrem noviniek zo špičkových konferencií a fór z celého sveta, ponúkne aj niekoľko ucelených tém z oblasti IT bezpečnosti a etického hackingu.
„Unikátnost HackerFestu spočívá kromě informační hodnoty jejího obsahu v možnosti sdílet a konzultovat své zkušenosti s kolegy z oboru i přednášejícími odborníky. Proto jsme rádi, že se opět uskuteční i v klasické prezenční podobě. Zachováme ale i možnost on-line přístupu prostřednictvím naší unikátní platformy. Zúčastněným IT profesionálům konference nabídne nejen přednášky, ale i praktické tipy využitelné v praxi a ukázky konkrétních hackerských technik a obrany proti nim,“ hovorí Jan Dvořák, výkonný riaditeľ Počítačovej školy GOPAS.
O akých témach bude napríklad reč na HackerFeste 2022:
Je lepšia automatická alebo manuálna prevodovka? (Roman Kümmel)
Zaujíma vás, ako efektívne vykonať penetračný test webovej aplikácie? Bude na to stačiť niektorý z dostupných automatických scannerov zraniteľností alebo sa budete musieť uchýliť k manuálnemu testovaniu? Táto prednáška ukáže, kde nachádzajú automaty počas testovania bezpečnosti svoje uplatnenie a kde, bohužiaľ, na celej čiare zlyhávajú. Bližšie si predstavíme aj manuálne testovanie a nástroje, ktoré počas neho dokážu uľahčiť a zefektívniť prácu.
Hra na schovávačku v Azure/AzureAD (Lubomír Ošmera)
V prípade cloudového prostredia sa nevinná detská hra na schovávačku môže zmeniť na peklo na zemi, ak ju hráte s útočníkom. Miest, kadiaľ môže útočník šikovne preniknúť do cloudového prostredia, zákerne a nepozorovane sa tam usadiť, je pomerne veľa. Kto je pripravený, nie je zaskočený!
Kerberos pod útokom (Michael Grafnetter)
Nemusíte byť práve bájny Herkules, aby ste pokorili trojhlavého psa (protokol Kerberos) a ovládli tak jeho ríšu (Active Directory doménu). Počas prednášky predstavíme možnosti útoku na Windows Server 2022 cez protokol Kerberos. Možno ich vykonať vo väčšine firiem a hackeri ich preto majú obzvlášť radi. Že nejde len o mýty, uvidíte v praktických ukážkach.
Prehliadače v službách útočníkov (Martin Haller)
Mnoho správcov považuje NAT a hraničný firewall za strážcu. To oni držia zlých útočníkov na internete ďalej od vnútorných sietí. Jedinými cestami, ako sa dostať do LAN, je zneužitie verejne dostupnej služby (port-forward) a exploitovanie používateľa cez phishing. Čo keď je tu ale aj tretia cesta?
Staronová éra deserializačných zraniteľností (Martin Orem)
Nebezpečná deserializácia nepatrí medzi najmodernejšie triedy zraniteľností, no napriek tomu sa za posledné roky teší nesmiernej popularite, pričom vyčarila vrásky na tvárach nejednému defenzívnemu tímu. Tieto zraniteľnosti neobišli ani populárny software, pričom medzi kritické a neslávne známe prípady môžeme zaradiť: Exchange (CVE-2021-42321), Zoho ManageEngine (CVE-2020-10189), Jira (CVE-2020-36239), Telerik (CVE-2019-18935), Jenkins (CVE-2016-9299), Log4J (CVE-2021-44228) a jeho nástupcov. V prednáške uvidíte anatómiu typických chýb pri deserializácií, ich hľadanie a následné spôsoby zneužitia. Záverom si priblížime efektivitu rôznych možností, ako sa voči týmto zraniteľnostiam brániť.
Moderný .NET Malware Ekosystém (Jiří Vinopal)
Zaujíma vás, prečo by sa útočník mohol rozhodnúť pre tvorbu pokročilého malware v .NET a aké sú jeho dnešné výhody a nevýhody? Po tom, čo v prednáške nahliadneme pod kapotu .NET z pohľadu Windows Internals, sa zameriame na jeho využitie a na tvorbu moderného malware. Ukážeme si, nielen praktické príklady využitia v APT, ale aj možnosti obfuskácie a deobfuskácie kódu (nástroje, metódy). Hlavným predmetom bude vysvetlenie moderných metód použitých v .NET malware, kedy prevažne pôjde o metódy volania natívneho kódu, ako sú P/Invoke, D/Invoke a Dynamický P/Invoke, ich prednosti a nástroje na analýzu.
- Woman in the Middle aka „Hrábě de-Fault“ (William Ischanoe)
Pozrieme sa, ako to má klasická česká/slovenská dôchodkyňa ľahké, keď sa chce dostať do našej korporátnej siete chránenej 802.1x, WPAX-Enterprise a pristupovať k našim dátam a identitám na diaľku z pohodlia domova a ako ľahko ich zneužije na získanie kópie identity alebo spustenia akcií.
Počas prednášky pochopíme, ako ľahko zhrabne naše zle používané identity a dáta aj na diaľku, keď nedotiahneme application whitelisting. Ak spúšťame rôzne odkazy/makrá/spustiteľné súbory alebo vkladáme rôzny HW, potom ľahko a efektívne stratíme kontrolu nad službami na počítači a aj dátami na nich, keď ransomware je zrazu ten najmenší problém.
Kedy a kde?
Hackerfest 2022 prebehne vo štvrtok 22. septembra v priestoroch CineStar Čierny Most a na online customizovanej platforme spoločnosti GOPAS. Ponúkne 7 prednášok od 7 popredných odborníkov na IT bezpečnosť a etický hacking. Ďalšie informácie o konferencii nájdete na www.hackerfest.sk.
O spoločnosti GOPAS
IT školiace stredisko GOPAS je najväčším poskytovateľom školení v oblasti informačných technológií na českom a slovenskom trhu. Ročne absolvuje odborné kurzy takmer 30-tisíc študentov, z ktorých väčšinu tvoria IT špecialisti. Aj napriek tomu, že pôsobí na pomerne malom trhu, patrí GOPAS k jedným z najväčších poskytovateľov IT školení v Európe.
