Ethical Hacking konferencia 2011

A NetAcademia május 12-én immár negyedik alkalommal rendezi meg szokásos tavaszi konferenciáját, ahová a biztonsági technológiák iránt bitszinten érdeklődő szakembereket várja izgalmas, gyakorlatias előadásokkal etikus hekkelés témában. A téma apropóját az adja, hogy oktatóközpontunk már több éve tanít IT szakembereket ezen a biztonsági területen.

A konferencia időpontja: 2011. május 12., csütörtök
Időtartam: 9:00-16:00 + bónusz filmnézés (regisztráció negyed 9-től)
Helyszín: Cinema City Aréna, 1087 Budapest, Kerepesi út 9.
Részvételi díj: magánszemélyek részére bruttó 20.000 Ft, céges résztvevőknek 25.000 Ft + Áfa
ISACA ID-vel rendelkező jelentkezők 10% kedvezményt kapnak a részvételi díjból.*

Jelentkezés

A konferencia programja

Betörés megrendelésre, avagy etikus hekkerek munka közben
Előadók: Buherator és Pánczél Zoltán (Silent Signal, IT biztonsági szakértők)

Előadásunkban egy elképzelt behatolástesztelési munka eredményeit fogjuk bemutatni a hallgatóságnak. A prezentáció során a közönség, mint megrendelő vesz részt a közös munkában. Információszivárgási probléma vizsgálata közben a cég webszerverétől a CEO laptopjáig vezető hackelést mutatjuk be élő demókkal. A biztonsági vizsgálathoz zero day kategórába sorolt, általunk felfedezett hiányosságot is felhasználunk, valamint az előadás végén a lehetséges védekezési javaslatokat is megosztjuk a virtuális megrendelőinkkel.

NTDS.DIT offline hash dump, avagy a meztelen igazság a domaines jelszótárolásról
Előadó: Barta Csaba (Deloitte Zrt., Manager)

Az előadás bemutatja, hogy az Microsoft Active Directory központi adatbázisát képező NTDS.DIT állományból hogyan lehet információkat kinyerni. Megmutatjuk, hogy hogyan lehet az állományhoz hozzájutni a Windows operációs rendszer saját beépített szolgáltatásait, illetve parancsait használva. A továbbiakban részletezzük az NTDS.DIT állomány belső felépítését, az egyes táblák tartalmát. Bemutatjuk, hogy hogyan, milyen mezők felhasználásával lehetséges a felhasználói fiókokhoz tárolt, titkosított jelszó hash-eket kinyerni, illetve azokat milyen algoritmusok segítségével lehet dekriptálni. A demók során bemutatásra kerül egy eszközkészlet, amellyel a jelszó hash-ek, illetve forensic szempontból fontos információk nyerhetőek ki az NTDS.DIT állományból.

Oracle biztonságról másképp, avagy a “PATCH”, amit nem szeretnénk
Előadó: Tóth László (Deloitte Zrt., Senior Manager)

Az adatbázisszoftverek napjainkra rendkívül komplex rendszerekké váltak, így a velük kapcsolatban felmerülő biztonsági kérdések is messze túlmutatnak a hagyományos adatbázis biztonsági kérdéseken. Tóth László előadásában az Oracle adatbázisokkal kapcsolatban mutat példákat erre egy általa felfedezett sérülékenységen keresztül és egy sikeres támadás után a hozzáférés fenntartásában segítő módszer bemutatásával. Érdekes az előadás azok számára is akik bináris programok nyomkövetésével szeretnének ismerkedni.

Virtuális biztonság, avagy Alíz a virtualizált Csodaországban
Előadók: Klock László és Spala Ferenc (kancellar.hu, információbiztonsági tanácsadók)

Az előadásban arra szeretnénk rávilágítani, hogy virtualizált környezetek esetében az új technológia újfajta kockázatokat is jelent. Elég, ha csak arra gondolunk, hogy azok a szolgáltatások, amik eddig külön fizikai szervereken voltak, most egy helyre kerülnek, a szeparációt pedig lényegében egy szoftver (hypervisor) igyekszik megvalósítani. Azonban azt tudjuk, hogy a szoftverek nem tökéletesek, az általuk kikényszerített szabályok többségében megkerülhetőek. És akkor még nem is beszéltünk arról, hogy aki a felépített virtuális környezetet adminisztrálja, az hozzáférhet az összes guest géphez. Vagy mégsem? Vagy mégis? Meglátjuk....

IEEE1394, avagy közvetlen kapcsolat az agyba
Előadó: Barta Csaba (Deloitte Zrt., Manager)

Az előadás részletezi a FireWire interfész használatának biztonsági kockázatait. Bemutat egy módszert, amellyel hozzáférést lehet szerezni egy számítógépen a fizikai memória módosításával (akár FireWire interfészen keresztül, akár virtualizált gépek esetén). Az előadás során látható lesz, hogy hogyan lehetséges egy BitLockerel titkosított merevlemez tartalmához, illetve magához a titkosító kulcshoz hozzáférni. Az előadás végén mind a Windows, mind a Linux operációs rendszerek esetében megtudhatjuk, hogy milyen megoldások állnak rendelkezésre a védekezéshez.

eÚtlevelek biztonsága, avagy hogyan lépte át Elvis Presley az Európai Unió határát 2008-ban?
Előadó: Tomcsányi Domonkos

A mai magyar útlevelek, bár ez nem közismert tény, megfelelnek az Európai Uniós szabványoknak, azaz elektronikus formában is eltárolják az útlevélen szereplő adatokat. A gyorsaság, egyszerűség és hatékonyság jegyében megfogant szabvány egy RFID alapú implementáció mellett döntött. Sajnálatos módon a biztonság nem került a kulcsszavak közé, amely egy ilyen szintű azonosítóokmány esetén egyszerűen elfogadhatatlan. Az előadás során bemutatom az eÚtlevél ellen létező összes lehetséges támadási formát: klónozás, avagy hogyan legyünk egyszerre több helyen? tetszőleges útlevél készítése, amely teljes mértékben megfelel az előírásoknak.

Do Androids dream of electric sheep?, avagy mennyire álmodhatunk biztonságos mobil eszközökről
Előadó: Veres-Szentkirályi András (Silent Signal, IT biztonsági szakértő)

A csapból is az folyik, hogy 2011 az Android éve, de vajon ami népszerű, az biztonságos is? Biztonságos, mert Linux alapú? Nem biztonságos, mert írtak már rá malware-t? Előadásomban úgy mutatom be az Android biztonságorientált felfedezését, hogy az élvezhető legyen komolyabb Android előismeretek nélkül is, de közben nem maradnak el a "testközeli" demo-k sem.

Etikus hekkelési tapasztalatok, avagy hiába van neutronágyúnk, ha mindent nyit a pajszer
Előadó: Keleti Arthur (KFKI, IT biztonsági stratéga)

Aki beül az előadásra, az az elmúlt három év vallomását fogja hallani arról, hogy milyen érzéssel állunk föl egy-egy etikus hack projekt végeztével a "boncasztal" mellől. Nem ebből a prezentációból lehet majd megtudni a legtutibb exploitokat, de azt igen, hogy mit gondolnak az üzemeltetők saját rendszereik biztonságáról és mit gondolunk mi róluk. Az őszinteségi roham végén valószínűleg már nemcsak mi fogjuk furcsán érezni magunkat, hanem talán a hallgatóság is pár centivel lejjebb fog csúszni a székében. Ha a szégyentől nem is, de a kárörvendéstől biztosan.

Elosztott Rainbow-táblás törés, avagy ésszel is, meg erővel is
Előadó: Dávid Zoltán (BME Automatizálási Tanszék)

Az előadás tárolt jelszavak visszafejtésével foglalkozik. Részletesen megvizsgáljuk a rainbow-tábla alapú törést. Áttekintjük a jelenleg elérhető rainbow-táblás visszafejtő alkalmazásokat, és felvázoljuk egy több gépet kihasználó, nagy teljesítményű megoldás tervét. A tervek alapján megvalósított sajátfejlesztésű elosztott jelszótörő szoftverünket demókon keresztül mutatjuk be.

Lehetséges-e a felhőben biztonságosan adatot tárolni, és ha igen, miért nem?
Előadó: Lám István

Manapság egyre több adatot osztunk meg online. Viszont a legtöbb ember bele sem gondol abba, hogy amikor megosztunk egy fájlt a barátainkkal, akkor nem csak barátaink férnek hozzá a fájlok tartalmához, hanem maga a tárhely szolgáltató is – például, Google Docs vagy Facebook fényképek. Legtöbb embert ez nem zavarja, megbíznak a szolgáltatókban – de biztos, hogy meg kell? Ha meg is bízunk magában a szolgáltatóban és annak dolgozóiban, mi történik, hogyha egy hacker támadja meg a szolgáltató rendszerét? Egy sikeres betörés során a hacker minden olyan adathoz hozzáfér, amihez maga a szolgáltató is hozzáférhet – azaz, akár a féltve őrzött adatainkhoz is. Előadásom során olyan rendszert fogok bemutatni, amely képes a megosztások kezelésére úgy, hogy akkor is biztonságban maradjanak az adataink, amikor valaki szuper-rendszegazda-root jogosultsággal próbálja kifürkészni fájljaink tartalmát. Mindezt nem operációs rendszerrel, hanem a matematika segítségével.

Bónusz film 3D-ben: Tron: Örökség
amerikai akciófilm, 126 perc, 2010

Jelentkezés

Előadások tavalyról kedvcsinálónak:
Légből kapott biztonság - Kocsis Tamás és dnet
Patchalapú sebezhetőség-analízis - Buherátor
Hekkerek a hadseregben - Dr. Kovács László

Rövid hangulatvideó szintén tavalyról:
Ethical Hacking konferencia 2010

Tanuljon Ethical Hacking-et!
Rendszeresen indítunk hivatalos etikus hekker képzést.

*CISA, CISM, CISSP tanúsítvánnyal rendelkező résztvevők számára a konferencián történő részvétel 6 CPE pontot ér.