One day
Our Sponsors
12pm to 6:30pm (EST)- talks
Watch through our YouTube
https://youtube.com/user/hackfestca
Schedule
- 11h50 - Mot d'ouverture
- 12h00 - Sébastien Huneault / TheRage: "Injection SQL, comment ça marche?"
- 13h00 - Franck Desert: "Splinternet ?"
- 14h00 - acetum: "L’art du pitch : Un outil journalistique pour communiquer en infosec"
- 14h45 - Marc-Antoine Roux: "Où est Charlie? Introduction à la recherche numérique de personnes disparues"
- 15h15 - Pause
- 15h30 - Miu: (English) "DockerxQemu Emulation Adventure"
- 17h00 - Ahmed Shah: (English) "IBM Power Systems and IBM I OS: History and Security"
- 17h30 - Magno Logan - (English) "Kubernetes Security: Attacking and Defending K8s Clusters"
- 18h30 - End of talks / CTF starts
- 02h00 - CTF ends
Injection SQL, comment ça marche?
Sébastien Hunault / TheRage
Length: 60 minutes
Voir sur YouTube
- Synopsis
- sqlmap, c'est bien beau, mais ça fait quoi ? La présentation expliquera ce qu'est l'injection SQL de base ainsi que quelques méthodes pour accéder aux autres bases de données, le tout simplement causé par un code mal conçu et une requête. Des exemples simples seront présentés et des méthodes qui pourront s'appliquer à la plupart des systèmes de gestion de base de données (MSSQL, MySql, Postgresql, etc.).
Splinternet ?
Franck Desert
Length: 60 minutes
Voir sur YouTube
- Synopsis
- Quoi vous ne connaissez pas ? Bah, on me demande à tous les jours si le Cloud est sécuritaire ? Si Internet est sécuritaire ? D'ailleurs sommes nous en sécurité ?
Mais la vraie question, si on y réfléchit 5mn n'est ce pas plutôt : - A qui appartient Internet et par conséquent le Cloud ?
Venez nous voir et je suis certain que vous comprendrez ce que je veux dire et tout ceci a un nom : Splinternet ! ;) A très vite.
L’art du pitch : Un outil journalistique pour communiquer en infosec
acetum
Length: 30 minutes
Voir sur YouTube
- Synopsis
- Les journalistes indépendants et pigistes doivent vendre leurs idées. Les éditeurs étant des gens occupés, il faut réussir à capter leur attention. La formule utilisée est le « pitch » (synopsis). Il s’agit d’un outil pour démontrer la pertinence et l’originalité d’une idée.
Les dirigeants d’entreprises sont aussi des gens occupés et hautement sollicités. Si l’équipe de sécurité ou TI veut que son message passe, il est important de le formuler de façon claire, mais aussi intéressante. Les techniques utilisées pour vendre une idée d’article à un magazine peuvent également servir à transmettre un message important à la bonne personne à l’intérieur de l’organisation.
Cette présentation aura pour but d’expliquer la structure et la rédaction d’un bon pitch.
Où est Charlie? Introduction à la recherche numérique de personnes disparues
Marc-Antoine Roux
Length: 60 minutes
Voir sur YouTube
- Synopsis
- Et si vous pouviez aider à trouver des indices sur des personnes disparues?
Avec l’avènement des téléphones intelligents et de l’omniprésence des médias sociaux, les efforts de recherche de personnes disparues ne sont plus limités au monde physique. Venez apprendre ce que sont les évènements « Missing Person CTF » qui peuvent être fait d’une façon virtuelle dans une ambiance compétitive et amicale.
(English) DockerxQemu Emulation Adventure
Miu
Length: 1h30 minutes
See on YouTube
- Synopsis
- Through this talk I will share with you my adventure on IoT Firmware emulation using Docker and Qemu. The objective is to find an easy and reusable way to quickly setup and emulate a firmware in order to perform a dynamic analysis for your IoT security researches. Let's setup everything and see how it works !
(English) IBM Power Systems and IBM I OS: History and Security
Ahmed Shah
Length: 30 minutes
See on YouTube
- Synopsis
- IBM Power Systems with IBM i OS are commonly used in Fortune 500 companies. This presentation will cover why companies use IBM Power Systems, challenges in research, as well as security issues that arise when deploying these systems.
(English) Kubernetes Security: Attacking and Defending K8s Clusters
Magno Logan
Length: 60 minutes
See on YouTube
- Synopsis
- This presentation aims to talk about different attack scenarios leveraging Kubernetes clusters. We'll dig deeper into a real-world attack scenario using real-world applications to demonstrate different ways attackers and malicious users can use to exploit your cluster and the applications running on it. But first, we’ll give an overview of Kubernetes and its architecture, covering the main components from the Control Plane and the Worker Nodes. Then, we'll use the K8s Threat Matrix and the MITRE ATT&CK for Containers published this year to discuss the Tactics, Techniques and Procedures to demonstrate the Recon, Exploitation and Post-Exploitation phases. After that, we'll provide some best practices to securing your cluster based on the scenarios and the CIS Benchmarks for Kubernetes. We'll show how to use Role-based access control (RBAC) for Access Control, to enable audit logs for security and troubleshooting, and we'll set up some network policies to avoid communication between pods and prevent any lateral movement from attackers.
6:30pm to 2am (EST) - CTF
Prizes
3000$ divided to the TOP 3 winners
Thanks to https://cyberdefense.ai !!
Communication
For any question please go on our Discord:
- Hackfest Discord - Channel: #ihack
To discuss with the community by voice and video and the CTF authors:
- Hackfest Discord - VOICE Channel: #ihack
CTFs URLs
CTF Classic: https://classic.ctf.ihack.computer/ Team of 1 to 4 persons
CTF Beginner: https://beginner.ctf.ihack.computer/ Individual team
Schedule
- <12h30: Registration on the scoreboard
- 18h30: CTF Starts
- 02h00: CTF Ends
List of challenges / authors (Discord username) / Might changed
- secure'nt - @dax & @Brainmoustache
- Configuration-as-a-Service (@dax)
- Server Side Remote Faxmachine - @MaxWhite
- It Takes Two - @lowprivshighhopes
- The Onion Things - @Miu
- Vaccine Passport - @laurrentt
- Basic windows binary exploitation - @salt
- Beginner CTF - @Viper
- Cyberwall.ai CTF - https://cyberwall.ai
13h - 17h (EST) - VIP Lounge
Schedule TBA
- A VIP ZONE for Managers, Directors, CISOs, VPs to discuss security with a Live commenting of a CTF and its vulnerabiltiies and exploits!
Email us ([email protected]) for a seat!
Presented by
- CYBERDEFENSE.AI
- Proud partner of iHack 2021, CYBERDEFENSE AI is an innovative Quebec Start-up that brings together a dynamic team of IT security specialists. It develops applications against malicious attacks on the Web.
Its mission: to democratize cybersecurity. - CYBERWALL.AI
- CYBERWALL ai is a Web Security Platform that responds to the reality of SMEs, thanks to active participation of Red Team Experts.