13h - 17h (EST) - conférences
Visionnez sur notre channel YouTube
https://youtube.com/user/hackfestca
Horaire
- 13h00 - Allocution d’Éric Caire, ministre délégué à la transformation numérique gouvernementale
- 13h10 - Jean-Philippe Décarie-Mathieu: "Les aventures en construction de SOC"
- 14h00 - Damien Bancal: "Ransomware: quand les pirates informatiques deviennent des pros duchantage 3.0"
- 14h30 - MaxWhite: "Escalade de Privilèges dans le Cloud: D'une simple vulnérabilité SSRF à Administrateur Cloud Global"
- 15h30 - hodgepodge: "Using open-source data from the MITRE ATT&CK framework to better understand your closed-source EDR software - a guide for red teamers, and blue teamers alike"
- 16h00 - Opheliar Chan: "Actually useful measurement and reporting (for appsec and vulnerability management)"
- 17h00 - lowprivs: "The ABCs of 'Cloud Hacking'"
L’action gouvernementale en cybersécurité
Éric Caire, ministre délégué à la transformation numérique gouvernementale
Durée: 5 à 10 minutes
Voir sur YouTube (15 première minutes): https://www.youtube.com/watch?v=sz6namizlcs

- Synopsis
- La mise en place d’un centre québécois de cyberdéfense et le lancement de la toute première politique québécoise de cybersécurité sont les résultats d’un gouvernement en action depuis plus d’un an pour renforcer la gouvernance, rehausser l’expertise interne et parfaire les protocoles d’intervention en matière de sécurité de l’information. Garantir la sécurité des infrastructures et la protection des renseignements, tout en assurant une plus grande cohérence gouvernementale, sont parmi les objectifs visés.
Escalade de Privilèges dans le Cloud: D'une simple vulnérabilité SSRF à Administrateur Cloud Global
par MaxWhite - Github
Durée: 50 minutes
Voir sur YouTube: https://www.youtube.com/watch?v=L2a6gAhGsQQ
- Synopsis
- Au cours des derniers mois, j'ai exploré différentes techniques d'exploitation de vulnérabilités de type SSRF (Server-Side Request Forgery), qui peuvent mener à l'accès non autorisé à des ressources réseau auxquelles seul le serveur Web devrait pouvoir avoir accès. Dans certaines circonstances, les vulnérabilités SSRF peuvent mener à la fuite de clés d'API ou d'accès à la base de données. Dans cette présentation, je démontrerai que dans le contexte d'une application hébergée sur le Cloud, la puissance d'une attaque SSRF a le potentiel d'être décuplée: Un attaquant réussissant ce type d'attaque pourrait prendre le contrôle complet du compte Cloud, les dommages potentiels étant uniquement limités par les capacités du compte administrateur. On peut ainsi imaginer un attaquant ayant accès à l'ensemble des unités de stockage S3 et y hébergeant des logiciels malveillants, ou encore exploitant de puissantes machines pour miner des crypto-monnaies au frais de la victime. La présentation sera accompagnée d'un projet open-source permettant de tester différents scénarios d'exploitation SSRF sur le Cloud: Le Damn Vulnerable Cloud Application Project.
- Plan
-
- Intro
- Qu'est-ce qu'une vulnérabilité SSRF (Web)
- Organisation du système de permissions dans le Cloud
- Utilisation d'une vulnérabilité SSRF pour l'obtention de clés d'authentification au cloud
- Escalation de privilège vers un compte administrateur
- Démonstration
- Défense et contre-mesures
- Conclusion - The Damn Vulnerable Cloud Application project
Using open-source data from the MITRE ATT&CK framework to better understand your closed-source EDR software - a guide for red teamers, and blue teamers alike
par hodgepodge
Durée: 20 minutes
Voir sur YouTube: https://www.youtube.com/watch?v=21TvKJkMzwg
- Synopsis
- Let's talk about how you can use the MITRE ATT&CK framework to better understand which tactics, techniques, and procedures (TTPs) are typically observable by today's endpoint detection and response (EDR) solutions, and how the discovery of these TTPs is being articulated to defenders. This talk will cover the fundamentals of the MITRE ATT&CK framework, as well as how you can use the product of one, or more MITRE ATT&CK Evaluations to better understand what's being caught, and what's being missed by popular EDR solutions.
The ABCs of 'Cloud Hacking'
par lowprivs
Durée: 20 minutes
Voir sur YouTube: https://www.youtube.com/watch?v=21TvKJkMzwg
- Synopsis
- This is an opinionated talk on what is "Cloud Hacking". What skill sets might be beneficial. What key take aways we can get from publicly disclosed reports and certain goals you want to have when "Cloud Hacking".
Actually useful measurement and reporting (for appsec and vulnerability management)
par Opheliar Chan
Durée: 50 minutes
Voir sur YouTube: https://www.youtube.com/watch?v=Yc46jjVGQZM
- Synopsis
- Intelligent metrics can help you get other people to do things they might not otherwise do, get your team to do things better (and understand what better means), show success towards objectives, and predict or plan for the future. Join Opheliar Chan as she shares her experiences building metrics to support application security and vulnerability management programs. She'll touch on how to start collecting, give examples of kinds of things you can collect to build compelling stories, and talk about what interesting metric stories can do to help you mature the program you're in and show the value of the work you do.
Ransomware: quand les pirates informatiques deviennent des pros duchantage 3.0
par Damien Bancal
Durée: 20 minutes
Voir sur YouTube: https://www.youtube.com/watch?v=LsLlRO_byw4
- Synopsis
- En quelques mois, les rançongiciels (ransomware) sont devenus la nouvelle plaie des Internet. Si les premiers chantages ne se contentaient "que" de prendre en otage fichiers et ordinateurs, en quelques mois, les pirates informatiques ont créé un environnement de malfaisances rarement vu auparavant. La conférence reviendra sur l'histoire des chantages numériques, de Rex Mundi en passant par Maze et Dark Overlord. De la capitalisation à outrance des données prises en otage et de l'évolution de ce business qui n'annonce rien de bon pour les entreprises, les clients, les employés. Nous parlerons de la vingtaine de groupes en action, des fusions/acquisitions/recrutements qu'ils mettent en place ; du silence coupable de nombreuses entreprises qui, en ne révélant pas une cyberattaque vécue, ont laissé la porte grande ouverte aux exactions malveillantes.
Les aventures en construction de SOC
par Jean-Philippe Décarie-Mathieu
Durée: 60 minutes
Voir sur YouTube: https://www.youtube.com/watch?v=sz6namizlcs
- Synopsis
- Votre mandat sera de construire un SOC." Où commence-t-on dans l'établissement d'un Security Operations Center? Quel sera le modèle-type - utilisation à l'interne ou SOCaaS? À quoi va ressembler le stack d'applications? Autant au niveau technique, des ressources humaines et de la gouvernance, quels sont les pièges à éviter, les incontournables et les pierres d'assises d'un tel projet? Cette conférence décrira les étapes de l'idéation même d'un centre d'opérations de sécurité jusqu'à la mise en production de cet outil clé du blue teaming. Basé sur un réel projet abouti, cette conférence couvrira les meilleurs manières de le réussir (et les pires manières de se planter) ainsi que sa pertinence dans une logique plus grande d'intégration d'une culture de sécurité de l'information et de défense en profondeur.