{dn}{dl}
{sep}
{hnn}{hl}
{sep}
{mnn}{ml}

O KONFERENCI

10. ročník československé bezpečnostní konference HackerFest 2022.  Konference o nejnebezpečnějších praktikách hackingu dnešní doby a o tom, jak se před nimi chránit.

Konference je určena zejména pro CIO, IT ředitele a manažery, IT Security manažery, bezpečnostní specialisty a všechny zájemce o téma IT bezpečnost, hacking a etický hacking.

Konference proběhne v hybridní podobě - všechny přednášky budou online streamované z konferenčního sálu v Praze. Všichni účastníci obdrží 7denní přístup do archivu přednášek.

 

den konference

 

přednášek

 

expertů

 

účastníků

Program konference

08:00 - 08:30

Registrace

08:30 - 08:45

Úvod

08:45 - 09:45

Woman in the Middle aka Hrábě de-Fault

aneb podíváme se, jak to má klasická česká důchodkyně snadné, když se chce dostat do naší korporátní sítě chráněné 802.1x, WPAX-Enterprise a přistupovat k našim datům a identitám na dálku z pohodlí domova a jak snadno je zneužije pro získání kopie identity nebo spuštění akcí. 

V přednášce pochopíme, jak snadno shrábne naše špatně používané identity a data i na dálku, když nedotáhneme aplication whitelisting. Pokud spouštíme různé odkazy/makra/spustitelné soubory nebo vkládáme různý HW, pak snadno efektivně ztratíme kontrolu nad službami na počítači i daty na nich, kdy ransomware je ten nejmenší problém. Ve skutečnosti pod účtem chybně používaným pro správu na dálku - například při používání nátrojů pro centrální spprávu vcelku snadno ztratíme identitu admina buď duplikováním nebo spuštěním akcí pod jeho účtem. Jestli jste si mysleli, že pro SSL inspekci musí být někdo uvnitř sítě, možná Vás čeká drobné překvapení, protože bez application whitelistingu lze inspekci provést snadno i na druhém konci světa. Dále uvidíme, jak kvůli defaultním nastavením může sejmout korporátní identity i omylem s tím nejobyčejnějším počítačem, pokud razíme cestu Bring-Your-Own-Death, protože wpax-enterprise společně s nedotažením ověřování klienta pomocí klientských certifikátů znamená krádež identity překvapivě snadno a rychle. Také si ukážeme, že bez kontroly fyzického přístupu je 802.1x bezpečnost jen na papíře.

William Ischanoe

10:00 - 11:00

Prohlížeče ve službách útočníků

Řada správců považuje NAT a hraniční firewall za strážce. To oni drží zlé útočníky v internetu dál od vnitřních sítí. Jedinými cestami, jak se dostat do LAN, je zneužití veřejně dostupné služby (port-forward) a exploitování uživatele skrze phishing. Co když je tu ale i třetí cesta?

Ke stažení

Martin Haller

11:15 - 12:15

Kerberos pod útokem

Nemusíte být zrovna bájný Herkules, aby jste pokořili trojhlavého psa (protokol Kerberos) a ovládli tak jeho říši (Active Directory doménu). Stačí jenom použít hrubou sílu (útok kerberoasting), důvtip (zneužití RBCD delegace) a lest (útok Kerberos Relay, DFSCoerce a SpoolSample). Na přednášce si představíme tyto a další útoky na Windows Server 2022 přes protokol Kerberos. Některé z nich lze jako bonus provést vůči jednosměrně důvěřované doméně. Tyto útoky naneštěstí pořád fungují ve většině firem a hackeři je proto mají obzvlášť rádi. A že se nejedná jenom o mýty, to uvidíte na vlastní oči u praktických ukázek.

Ke stažení

Michael Grafnetter

12:15 - 13:15

Oběd

13:15 - 14:15

Hra na schovávanou v Azure/AzureAD

Měli jste jako děti rádi hru na schovávanou? Pak věřte, že v případě cloudového prostředí se tato nevinná dětská hra může změnit v peklo na zemi, pokud ji hrajete s útočníkem. Míst, kudy může útočník šikovně proniknout do cloudového prostředí a zákeřně a nepozorovaně se tam usadit, je poměrně mnoho. Kdo je připraven, není zaskočen! Pojďme si některá místa prohlédnout na praktických ukázkách, abyste si příště na útočníka počíhali Vy.

Ke stažení

Lubomír Ošmera

14:30 - 15:00

Staronová éra deserializačných zraniteľností

Nebezpečná deserializácia nepatrí medzi najmodernejšie triedy zraniteľností, no napriek tomu sa za posledné roky teší nesmiernej popularite, pričom vyčarila vrásky na tvárach nejednému defenzívnemu tímu. Tieto zraniteľnosti neobišli ani populárny software, pričom medzi kritické a neslávne známe prípady môžeme zaradiť: Exchange (CVE-2021-42321), Zoho ManageEngine (CVE-2020-10189), Jira (CVE-2020-36239), Telerik (CVE-2019-18935), Jenkins (CVE-2016-9299), Log4J (CVE-2021-44228) a jeho nástupcov. V prednáške uvidíte anatómiu typických chýb pri deserializácií, ich hľadanie a následné spôsoby zneužitia. Záverom si priblížime efektivitu rôznych možností, ako sa voči týmto zraniteľnostiam brániť.

Ke stažení

Martin Orem

15:15 - 16:15

Moderní .NET Malware Ekosystém

Zajímá vás, proč by se útočník mohl rozhodnout pro tvorbu pokročilého malware v .NET a jaké jsou jeho dnešní výhody a nevýhody? Po té, co v přednášce nahlédneme pod kapotu .NET z pohledu Windows Internals, se zaměříme na jeho využití pro tvorbu moderního malware. Ukážeme si nejen praktické příklady využití v APT, ale také možnosti obfuskace a deobfuskace kódu (nástroje, metody). Hlavním předmětem bude vysvětlení moderních metod použitých v .NET malware, kdy převážně půjde o metody volání nativního kódu, jakou jsou P/Invoke, D/Invoke a Dynamický P/Invoke, jejich přednosti a nástroje pro analýzu.

Ke stažení

Jiří Vinopal

16:30 - 17:30

Je lepší automatická nebo manuální převodovka?

Zajímá vás, jak provést efektivně penetrační test webové aplikace? Bude vám k tomu stačit některý z dostupných automatických scannerů zranitelností, nebo se budete muset uchýlit k manuálnímu testování? Tato přednáška vám ukáže, kde nachází automaty během testování bezpečnosti své uplatnění a kde bohužel na celé čáře selhávají. Blíže si představíme také manuální testování a nástroje, které vám během něj dokáží usnadnit a zefektivnit práci.

Ke stažení

Roman Kümmel

přednášející

Michael Grafnetter

Michael Grafnetter

Bezpečnostní analytik, vývojář a odborný konzultant

Specialista na infrastrukturní bezpečnost, Microsoft Azure a Windows PowerShell. Je autorem unikátní sady nástrojů DSInternals, která je určena pro auditory a penetrační testery Active Directory

Certifikace

MCT, MCITP, MS MVP

William Ischanoe

William Ischanoe

Odborný konzultant a lektor

Rád se zabývá vším, co někdo zapomněl zašifrovat, Windows komponentami z pohledu bezpečnosti, autentizací, PKI, IPSecem a WiFi.

Certifikace

MCSE, MCSA, MCT, MCTS, MCITP, CEI, CEH, ECSA

Roman Kümmel

Roman Kümmel

Bezpečnostní konzultant, lektor

Roman Kümmel je penetrační tester, bezpečnostní konzultant a lektor počítačové školy Gopas zaměřující se hlavně na bezpečnost a hacking webových aplikací.

Martin Haller

Martin Haller

Spoluzakladatel společnosti PATRON-IT a lektor

S využitím standardních i nekonvenčních řešení se snaží přinést co nejlepší zabezpečení malým a středním firmám a vyrovnat tak nerovnováhu sil mezi útočníky a obránci. O nové znalosti a zkušenosti se dělí na svém blogu https://martinhaller.cz .

Certifikace

OSCP, ECSA, CHFI, MCSE, CCNP

Lubomír Ošmera

Lubomír Ošmera

Odborný konzultant, lektor

Lektor, konzultant a architekt v oblasti Microsoft technologií. Jeho primární zaměření je bezpečnost Microsoft světa (cloudového i onprem). Implementuje bezpečnostní technologie jak do malých společností, tak do mezinárodních korporací.

Certifikace

MCSE, MCT, CEH, CND

Martin Orem

Martin Orem

IT security expert a spoluzakladatel

Spoluzakladatel společnosti Binary House s několikaletými zkušenostmi v oblasti informační bezpečnosti. Většinu kariéry se zaměřuje na bezpečnost aplikací a kryptografii a pracoval jako penetrační tester/bezpečnostní konzultant.

Certifikace

GXPN, OSWE

Jiří Vinopal

Jiří Vinopal

Threat Researcher, Malware Researcher & Reverse Engineer

Ve společnosti Check Point Research se zaměřuje na výzkum pokročilých kybernetických hrozeb a technik, výzkum a analýzu malware, reversní inženýrství. Ve volném čase vytváří volně dostupný obsah YouTube kanálu a blogu věnující se tipům a trikům oblasti reversního inženýrství.

REGISTRACE

HackerFest
  • 1 den konference + 7 dní přístup do archivu
  • CineStar Praha Černý most
  • Začátek: 22.9.2022 v 8:30
  • 4 990 Kč*

* uvedená cena je bez DPH

HackerFest
  • online stream konference + 7 dní přístup do archivu
  • online 
  • Začátek: 22.9.2022 v 8:30
  • 3 590 Kč*

* uvedená cena je bez DPH

Newsletter

S naším newsletterem Vám již žádná novinka neunikne!

MÍSTO KONÁNÍ

CineStar Černý Most

OC Černý Most, Chlumecká 765/6, Praha 9

Jak se k nám dostanete?

Metro

Vystupte ve stanici Černý Most (linka B) a následně přibližně 5 minut pěšky do obchodního centra.

Autobus

Využijte autobus 186, 221, 223, 250, 261, 273,303, 304, 353 nebo 367 do zastávky Černý Most. Zastávka se nachází kus od vchodu do obchodního centra.

Auto

Parkování je možné za poplatek v obchodním centru Černý Most. Vjezd do garáže se nachází u sjezdu z ulice Chlumecká.

Partneři konference

Partner

Mediální partner

Community Partner