Przewiń do zawartości

Confidence 2019 – Największa konferencja o cyberbezpieczeństwie w Polsce

Jedna z większych międzynarodowych konferencji odnośnie Cyberbezpieczeństwa odbyła się 3 i 4 czerwca w Krakowie. Było mnóstwo prelekcji najwyższych lotów, był organizowany turniej CTF, były też i inne atrakcje. Myślę, że każdy mógł znaleźć coś dla siebie, do tego stopnia, że nawet pomimo braku znajomości języka angielskiego dało się pójść na naprawdę fajne wykłady. Jaki był więc Confidence w 2019 roku?

Udało nam się! Dopięliśmy swego i po raz pierwszy większą grupą pojechaliśmy na konferencję. Po raz pierwszy oficjalnie jako Koło Naukowe White-Hats! Sama jego organizacja nie raz wisiała na włosku. Jak nie brak biletów, to brak finansowania na wyjazd. Ostatecznie pojechaliśmy tam w 16 osób, które najbardziej udzielały się w naszym studenckim gronie. Mam nadzieję, że było warto i że nikt z nas nie spocznie na laurach!

Postaram się w artykule opisać jak najdokładniej moje wnioski i spostrzeżenia odnośnie samego wyjazdu. Naprawdę dowiedziałem się tam wiele nowych rzeczy. Dlatego też postaram zebrać to wszystko w pigułkę. Sam wpis jest trochę dłuższy niż zazwyczaj dlatego nie zrażaj się! Po prostu w razie potrzeby podziel go sobie na części!

Plan wpisu:
1. Opisanie prelekcji
2. Turniej CTF
3. Organizacja samej konferencji
4. Podsumowanie

Prelekcje na Confidence

Zamieścił by tutaj całą agendę wydarzenia, jednak była by ona zbyt duża… Dlatego łatwiej będzie, jeżeli zostawię tutaj odnośnik do samej agendy LINK

Główny hol na Confidence
Główny hol wydarzenia

Sam Confidence trwał dwa dni. Dwa wypełnione po brzegi dni. Na raz były prowadzone trzy prelekcje w trzech różnych salach. Każdy wybierał to na co miał ochotę i to co go interesowało. Dlatego warto było w domu się dobrze do tego przygotować i stworzyć plan działania. Wszystko oczywiście przedzielone przerwą na lunch.

Osobiście byłem tylko 5 konferencjach (bardzo źle zaplanowałem pierwszy dzień) a byłem na:

Vulnerabilities from a grave – Michał Sajdak

Czyli podatności zza grobu. Michał przedstawił kilka możliwości ataków, które ujrzały swoje światło dzienne już jakiś czas temu. O dziwo, zapominamy o tych starych podatnościach, a potem wychodzi, że one nadal istnieją! Dla przykładu, kto by myślał o atakowaniu prezentera (tego urządzenia do przełączania slajdów) i to jeszcze firmy Logitech. Tak Wyszło na to, że można wykonywać kod zdalnie poprzez sam prezenter… A raczej jego moduł podpinany do laptopa.

Wyciągnięty wniosek: Sprawdzaj działania niekonwencjonalne w tym bardzo stare podatności.

Podatności zza grobu Michała Sajdaka
Kilka bardzo fajnych ciekawych starych podatności

Advanced Malware Threat – Alexandre Borges

Tutaj byłem trochę rozczarowany… Aleksandre przedstawił się jako osoba z doświadczeniem na scenie, jednak źle się go słuchało. Miał bardzo specyficzny akcent i mówił do tego bardzo cicho. Tak czy inaczej było widać jego doświadczenie w analizie Malware-u. Tutaj jako osoba, która się tym mnie interesowała wyciągnąłem sporo wiedzy z czym to się w ogóle je. Jak wygląda mniej więcej taka praca i z jakich narzędzi się korzysta.

Wyciągnięty wniosek: Analiza malware to bardzo żmudna praca wymagająca ogromnej wiedzy z samego działania aplikacji w tym Assemblera.

The magic of XSS – Michał Bentkowski

Bardzo krótka i dosadna prezentacja odnośnie XSS-ów ale nie tylko w aplikacjach webowych! Teraz jakaś część aplikacji webowych jest przepisywana 1:1 jako aplikacje dekstopowe (budowane w narzędziu “electron”). Działają niemalże jak przeglądarki tylko z jednym wyjątkiem. Są zainstalowane pod ręką oraz nie widzimy adresu URL. I to właśnie tą drugą część możemy wykorzystać do jeszcze łatwiejszego bawienia się XSS-ami, niemalże niezauważenie! Możemy np. przekierować na fałszywą stronę, która imituje logowanie do Google, a widnieje na domenie niezwiązanej z tą firmą (w końcu jej nie widzimy jej domeny!)

Wyciągnięty wniosek: W takich aplikacjach o wiele łatwiej o ataki XSS

Ataki socjotechniczne w praktyce – Borys Łącki

Jedyna polskojęzyczna prezentacja na jakiej byłem. Do tego uważam ją za najlepszą z całej konferencji Confidence! Była naprawdę dosadna zarówno dla osób nietechnicznych (na co uważać) jak i dla osób technicznych. Przekazał nam mnóstwo wiedzy odnośnie metodyki i różnych podejść do ataków socjotechniczny. Wszystko podpierane przykładami z życia firmy Logicaltrust. Naprawdę mega dobra robota! 

Wyciągnięty wniosek: Socjotechnika i świadomość bezpieczeństwa to najistotniejszy czynnik w bezpieczeństwie firmy.

Podsumowanie prelekcji Borysa Łąckiego o socjotechnice - Confidence 2019
Podsumowanie prelekcji o socjotechnice

Zero to Millionaire in 60 minutes: Hacking Real Life Financial Applications – Himanshu Sharma, Aman Sachdev

Jeżeli nie zrazili Cię Hindusi to wykład był ciekawy! Po prostu energiczni i posiadający wiedzę ludzie. Zajmowali się oni testowaniem aplikacji do przeprowadzenia transakcji internetowych. Skąd też tytuł „od zera do milionera”, ponieważ pokazywali sposoby testowania aplikacji i płacenia za towar 100$ zamiast 800$. Jak widać wszystko jest możliwe.

 Wyciągnięty wniosek: Aplikacje do transakcji Internetowych wcale nie tak trudno oszukać.

Turniej CTF

Czyli to co tygryski lubią najbardziej i coś po co pojechaliśmy tam jako zespół! Na Confidence wystawiliśmy dwie drużyny. Jedna, która była ukierunkowana ściśle na wynik, druga miała zaś zdobyć doświadczenie ale i również chodzić na prelekcje.

Typ turnieju: Jeopardy CTF

Turniej CTF - Confidence 2019
Główny hol turnieju

Zadania były naprawdę ciekawe i trudne! Choć były też dwa łatwiejsze, więc nawet jako nowicjusze mogliśmy mieć satysfakcję ze zrobienia jakiegoś zadania. Dalej w naszej drużynie mamy jedno najsilniejsze ogniwo w postaci Mateusza. Reszcie z nas jeszcze zabrakło doświadczenia, ale to przyjdzie jeszcze z czasem!

Niektórzy byli blisko rozwiązań inni zaś drążyli zadanie zupełnie nie w tym kierunku. Koniec końców zdobyliśmy 13 miejsce! Wynik dobry, jednak mam nadzieję, że będzie on tylko dalszą motywacją do poprawiania naszych umiejętności!

Drużyna White-Hats
Gothic - Confidence 2019 -  p4.Team
Jedno zadanie polegało na graniu w Gothica!

Bardzo fajnie, że na sam koniec zostały przedstawione rozwiązania konkretnych zadań. Oczywiście były one bardzo skrótowe, ale jeżeli ktoś dłubał w danym zadaniu może dowiedzieć się gdzie popełnił błąd.

Organizacja

Jak na tak duży event (1300 osób) organizacja wyszła pod wieloma względami pozytywnie jak i negatywnie. 

Poczęstunek na konferencji Confidence 2019
Było co jeść!

Pozytywnie, gdyż niczego tam nie brakowało! Zawsze były przekąski, zawsze było coś do picia (również z mocniejszymi trunkami i lodami). Naprawdę było widać, że pod tym względem wszystko było przemyślane. 

Negatywnie, ponieważ pomimo tak kultowego miejsca jak Muzeum Lotnictwa w Krakowie to ten obiekt był po prostu za mały! Było to widać w szczególności pierwszego dnia podczas kolejki na obiad oraz w kolejce do toalety (dwie małe toalety na płeć to zdecydowanie był żart). 

Tak czy inaczej całość odbieram naprawdę pozytywnie! Tylko rada dla organizatorów, weźcie inne większe miejsce na następną edycję 😉 

Nie przegap kolejnych artykułów!

Jeżeli chcesz być na bieżąco z kolejnymi publikacjami? Zarejestruj się, a wyślę Ci stosowne powiadomienie 😉

Słowem podsumowania

Wyjazd na Confidence był naprawdę udany. Niezła odskocznia od codziennego studenckiego życia (w szczególności przed najbliższymi zaliczeniami). Pojechaliśmy naprawdę zgraną ekipą, z którą można było się pośmiać, pogadać czy też wspólnie rozwiązywać zadania.

Zebraliśmy niezbędne doświadczanie na polu CTF, czy też dowiedzieliśmy się nowych rzeczy podczas prelekcji. To był naprawdę udany wyjazd i mam nadzieję, że nie ostatni w takim gronie!

Chciałem również podziękować Politechnice Wrocławskiej oraz Dr Jacku Oko za możliwość wyjazdu na tą konferencję. Słowa uznania należą się także organizatorom, którzy stanęli na wysokości zadania (oprócz zbyt małej lokalizacji). Mam nadzieję, że wrócimy również za rok, tym razem z mocniejszym składem!

Świetna zabawa - Confidence 2019
Zespół White-Hats PWr

A co Ty sądzisz o Confidence 2019? Byłeś? A może żałujesz, że nie udało się pojechać?

Daj znać w komentarzu!

Podobne artykuły:

HackYeah - największy stacjonarny hackathon
Hack Yeah 2018
Poznań Security Day (PUT)
Poznań Security Day (PUT)
Podziel się artykułem !
  •  
  •  
  •  
  •  

Skomentuj pierwszy!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *