iHack 2020

Conférences et CTFs - 100% Virtuel

20 juin 2020 de 13h00 à 02h00 am (EST)

20 juin 2020

Des conférences et un CTF
en une seule journée!

13h - 17h (EST) - conférences

Visionnez sur notre channel YouTube

https://youtube.com/user/hackfestca

Horaire

13h00 - Allocution d’Éric Caire, ministre délégué à la transformation numérique gouvernementale
13h10 - Jean-Philippe Décarie-Mathieu: "Les aventures en construction de SOC"
14h00 - Damien Bancal: "Ransomware: quand les pirates informatiques deviennent des pros duchantage 3.0"
14h30 - MaxWhite: "Escalade de Privilèges dans le Cloud: D'une simple vulnérabilité SSRF à Administrateur Cloud Global"
15h30 - hodgepodge: "Using open-source data from the MITRE ATT&CK framework to better understand your closed-source EDR software - a guide for red teamers, and blue teamers alike"
16h00 - Opheliar Chan: "Actually useful measurement and reporting (for appsec and vulnerability management)"
17h00 - lowprivs: "The ABCs of 'Cloud Hacking'"

L’action gouvernementale en cybersécurité

Éric Caire, ministre délégué à la transformation numérique gouvernementale
Durée: 5 à 10 minutes
Voir sur YouTube (15 première minutes): https://www.youtube.com/watch?v=sz6namizlcs

Synopsis
La mise en place d’un centre québécois de cyberdéfense et le lancement de la toute première politique québécoise de cybersécurité sont les résultats d’un gouvernement en action depuis plus d’un an pour renforcer la gouvernance, rehausser l’expertise interne et parfaire les protocoles d’intervention en matière de sécurité de l’information. Garantir la sécurité des infrastructures et la protection des renseignements, tout en assurant une plus grande cohérence gouvernementale, sont parmi les objectifs visés.

Escalade de Privilèges dans le Cloud: D'une simple vulnérabilité SSRF à Administrateur Cloud Global

par MaxWhite - Github
Durée: 50 minutes
Voir sur YouTube: https://www.youtube.com/watch?v=L2a6gAhGsQQ

Synopsis
Au cours des derniers mois, j'ai exploré différentes techniques d'exploitation de vulnérabilités de type SSRF (Server-Side Request Forgery), qui peuvent mener à l'accès non autorisé à des ressources réseau auxquelles seul le serveur Web devrait pouvoir avoir accès. Dans certaines circonstances, les vulnérabilités SSRF peuvent mener à la fuite de clés d'API ou d'accès à la base de données. Dans cette présentation, je démontrerai que dans le contexte d'une application hébergée sur le Cloud, la puissance d'une attaque SSRF a le potentiel d'être décuplée: Un attaquant réussissant ce type d'attaque pourrait prendre le contrôle complet du compte Cloud, les dommages potentiels étant uniquement limités par les capacités du compte administrateur. On peut ainsi imaginer un attaquant ayant accès à l'ensemble des unités de stockage S3 et y hébergeant des logiciels malveillants, ou encore exploitant de puissantes machines pour miner des crypto-monnaies au frais de la victime. La présentation sera accompagnée d'un projet open-source permettant de tester différents scénarios d'exploitation SSRF sur le Cloud: Le Damn Vulnerable Cloud Application Project.
Plan
  • Intro
  • Qu'est-ce qu'une vulnérabilité SSRF (Web)
  • Organisation du système de permissions dans le Cloud
  • Utilisation d'une vulnérabilité SSRF pour l'obtention de clés d'authentification au cloud
  • Escalation de privilège vers un compte administrateur
  • Démonstration
  • Défense et contre-mesures
  • Conclusion - The Damn Vulnerable Cloud Application project

Using open-source data from the MITRE ATT&CK framework to better understand your closed-source EDR software - a guide for red teamers, and blue teamers alike

par hodgepodge
Durée: 20 minutes
Voir sur YouTube: https://www.youtube.com/watch?v=21TvKJkMzwg

Synopsis
Let's talk about how you can use the MITRE ATT&CK framework to better understand which tactics, techniques, and procedures (TTPs) are typically observable by today's endpoint detection and response (EDR) solutions, and how the discovery of these TTPs is being articulated to defenders. This talk will cover the fundamentals of the MITRE ATT&CK framework, as well as how you can use the product of one, or more MITRE ATT&CK Evaluations to better understand what's being caught, and what's being missed by popular EDR solutions.

The ABCs of 'Cloud Hacking'

par lowprivs
Durée: 20 minutes
Voir sur YouTube: https://www.youtube.com/watch?v=21TvKJkMzwg

Synopsis
This is an opinionated talk on what is "Cloud Hacking". What skill sets might be beneficial. What key take aways we can get from publicly disclosed reports and certain goals you want to have when "Cloud Hacking".

Actually useful measurement and reporting (for appsec and vulnerability management)

par Opheliar Chan
Durée: 50 minutes
Voir sur YouTube: https://www.youtube.com/watch?v=Yc46jjVGQZM

Synopsis
Intelligent metrics can help you get other people to do things they might not otherwise do, get your team to do things better (and understand what better means), show success towards objectives, and predict or plan for the future. Join Opheliar Chan as she shares her experiences building metrics to support application security and vulnerability management programs. She'll touch on how to start collecting, give examples of kinds of things you can collect to build compelling stories, and talk about what interesting metric stories can do to help you mature the program you're in and show the value of the work you do.

Ransomware: quand les pirates informatiques deviennent des pros duchantage 3.0

par Damien Bancal
Durée: 20 minutes
Voir sur YouTube: https://www.youtube.com/watch?v=LsLlRO_byw4

Synopsis
En quelques mois, les rançongiciels (ransomware) sont devenus la nouvelle plaie des Internet. Si les premiers chantages ne se contentaient "que" de prendre en otage fichiers et ordinateurs, en quelques mois, les pirates informatiques ont créé un environnement de malfaisances rarement vu auparavant. La conférence reviendra sur l'histoire des chantages numériques, de Rex Mundi en passant par Maze et Dark Overlord. De la capitalisation à outrance des données prises en otage et de l'évolution de ce business qui n'annonce rien de bon pour les entreprises, les clients, les employés. Nous parlerons de la vingtaine de groupes en action, des fusions/acquisitions/recrutements qu'ils mettent en place ; du silence coupable de nombreuses entreprises qui, en ne révélant pas une cyberattaque vécue, ont laissé la porte grande ouverte aux exactions malveillantes.

Les aventures en construction de SOC

par Jean-Philippe Décarie-Mathieu
Durée: 60 minutes
Voir sur YouTube: https://www.youtube.com/watch?v=sz6namizlcs

Synopsis
Votre mandat sera de construire un SOC." Où commence-t-on dans l'établissement d'un Security Operations Center? Quel sera le modèle-type - utilisation à l'interne ou SOCaaS? À quoi va ressembler le stack d'applications? Autant au niveau technique, des ressources humaines et de la gouvernance, quels sont les pièges à éviter, les incontournables et les pierres d'assises d'un tel projet? Cette conférence décrira les étapes de l'idéation même d'un centre d'opérations de sécurité jusqu'à la mise en production de cet outil clé du blue teaming. Basé sur un réel projet abouti, cette conférence couvrira les meilleurs manières de le réussir (et les pires manières de se planter) ainsi que sa pertinence dans une logique plus grande d'intégration d'une culture de sécurité de l'information et de défense en profondeur.

18h30 à 2h am (EST) - CTF

Communication

Pour toute question dirigez-vous sur notre Slack:
- Slack Hackfest - Channel: #ihack-2020
Pour discuter de vive voix et vidéo avec la communauté et les auteurs des CTF:
- Joignez-vous à notre 8x8 pendant l'événement

URLs des CTF

- CTF Beginner: https://beginner.ctf.ihack.computer
- CTF Classic: https://classic.ctf.ihack.computer

Horaire

- 17h30: Inscription sur les scoreboards
- 18h30: Début du CTF
- 02h00: Fin du CTF

Listes des challenges / auteurs (noms sur Slack)

- Signal Processing: @maxwhite
- Electronics : @Hack4Fun, @LEI
- Modern Web : @dax, @brainmoustache
- Video Conferencing : @Laurrentt
- Pwning Binary Reverse Engineering: @sushi
- Forensics/Reconnaissance : @stackfault
- Beginner : @viper, @dax, @gp
- Malware The Flag : @Libra and team

Inscriptions