iHack 2020

100% Virtual - Talks & CTFs

June 20th, 2020 - from 1pm to 2am (EST)

June 20th, 2020

One day
of talks & a CTF at night!

1pm to 5pm (EST)- talks

Watch through our YouTube

https://youtube.com/user/hackfestca

Schedule

1pm - Allocution d’Éric Caire, ministre délégué à la transformation numérique gouvernementale
1h10pm - Jean-Philippe Décarie-Mathieu: "Les aventures en construction de SOC"
2pm - Damien Bancal: "Ransomware: quand les pirates informatiques deviennent des pros duchantage 3.0"
2h30pm - MaxWhite: "Escalade de Privilèges dans le Cloud: D'une simple vulnérabilité SSRF à Administrateur Cloud Global"
3h30pm - hodgepodge: "Using open-source data from the MITRE ATT&CK framework to better understand your closed-source EDR softwar$
4pm - Opheliar Chan: "Actually useful measurement and reporting (for appsec and vulnerability management)"
5pm - lowprivs: "The ABCs of 'Cloud Hacking'"

L’action gouvernementale en cybersécurité

Éric Caire, ministre délégué à la transformation numérique gouvernementale
Duration: 15 minutes
See on YouTube (15 first minutes): https://www.youtube.com/watch?v=sz6namizlcs

Synopsis
La mise en place d’un centre québécois de cyberdéfense et le lancement de la toute première politique québécoise de cybersécurité sont les résultats d’un gouvernement en action depuis plus d’un an pour renforcer la gouvernance, rehausser l’expertise interne et parfaire les protocoles d’intervention en matière de sécurité de l’information. Garantir la sécurité des infrastructures et la protection des renseignements, tout en assurant une plus grande cohérence gouvernementale, sont parmi les objectifs visés.

Escalade de Privilèges dans le Cloud: D'une simple vulnérabilité SSRF à Administrateur Cloud Global

by MaxWhite - Github
Duration: 50 minutes
See on YouTube: https://www.youtube.com/watch?v=L2a6gAhGsQQ

Synopsis
Au cours des derniers mois, j'ai exploré différentes techniques d'exploitation de vulnérabilités de type SSRF (Server-Side Request Forgery), qui peuvent mener à l'accès non autorisé à des ressources réseau auxquelles seul le serveur Web devrait pouvoir avoir accès. Dans certaines circonstances, les vulnérabilités SSRF peuvent mener à la fuite de clés d'API ou d'accès à la base de données. Dans cette présentation, je démontrerai que dans le contexte d'une application hébergée sur le Cloud, la puissance d'une attaque SSRF a le potentiel d'être décuplée: Un attaquant réussissant ce type d'attaque pourrait prendre le contrôle complet du compte Cloud, les dommages potentiels étant uniquement limités par les capacités du compte administrateur. On peut ainsi imaginer un attaquant ayant accès à l'ensemble des unités de stockage S3 et y hébergeant des logiciels malveillants, ou encore exploitant de puissantes machines pour miner des crypto-monnaies au frais de la victime. La présentation sera accompagnée d'un projet open-source permettant de tester différents scénarios d'exploitation SSRF sur le Cloud: Le Damn Vulnerable Cloud Application Project.
Plan
  • Intro
  • Qu'est-ce qu'une vulnérabilité SSRF (Web)
  • Organisation du système de permissions dans le Cloud
  • Utilisation d'une vulnérabilité SSRF pour l'obtention de clés d'authentification au cloud
  • Escalation de privilège vers un compte administrateur
  • Démonstration
  • Défense et contre-mesures
  • Conclusion - The Damn Vulnerable Cloud Application project

Using open-source data from the MITRE ATT&CK framework to better understand your closed-source EDR software - a guide for red teamers, and blue teamers alike

by hodgepodge
Duration: 20 minutes
See on YouTube: https://www.youtube.com/watch?v=21TvKJkMzwg

Synopsis
Let's talk about how you can use the MITRE ATT&CK framework to better understand which tactics, techniques, and procedures (TTPs) are typically observable by today's endpoint detection and response (EDR) solutions, and how the discovery of these TTPs is being articulated to defenders. This talk will cover the fundamentals of the MITRE ATT&CK framework, as well as how you can use the product of one, or more MITRE ATT&CK Evaluations to better understand what's being caught, and what's being missed by popular EDR solutions.

The ABCs of 'Cloud Hacking'

by lowprivs
Duration: 20 minutes
See YouTube: https://www.youtube.com/watch?v=21TvKJkMzwg

Synopsis
This is an opinionated talk on what is "Cloud Hacking". What skill sets might be beneficial. What key take aways we can get from publicly disclosed reports and certain goals you want to have when "Cloud Hacking".

Actually useful measurement and reporting (for appsec and vulnerability management)

by Opheliar Chan
Duration: 50 minutes
See on YouTube: https://www.youtube.com/watch?v=Yc46jjVGQZM

Synopsis
Intelligent metrics can help you get other people to do things they might not otherwise do, get your team to do things better (and understand what better means), show success towards objectives, and predict or plan for the future. Join Opheliar Chan as she shares her experiences building metrics to support application security and vulnerability management programs. She'll touch on how to start collecting, give examples of kinds of things you can collect to build compelling stories, and talk about what interesting metric stories can do to help you mature the program you're in and show the value of the work you do.

Ransomware: quand les pirates informatiques deviennent des pros duchantage 3.0

by Damien Bancal
Duration: 20 minutes
See on YouTube: https://www.youtube.com/watch?v=LsLlRO_byw4

Synopsis
En quelques mois, les rançongiciels (ransomware) sont devenus la nouvelle plaie des Internet. Si les premiers chantages ne se contentaient "que" de prendre en otage fichiers et ordinateurs, en quelques mois, les pirates informatiques ont créé un environnement de malfaisances rarement vu auparavant. La conférence reviendra sur l'histoire des chantages numériques, de Rex Mundi en passant par Maze et Dark Overlord. De la capitalisation à outrance des données prises en otage et de l'évolution de ce business qui n'annonce rien de bon pour les entreprises, les clients, les employés. Nous parlerons de la vingtaine de groupes en action, des fusions/acquisitions/recrutements qu'ils mettent en place ; du silence coupable de nombreuses entreprises qui, en ne révélant pas une cyberattaque vécue, ont laissé la porte grande ouverte aux exactions malveillantes.

Les aventures en construction de SOC

by Jean-Philippe Décarie-Mathieu
Duration: 60 minutes
See on YouTube (around minute 15): https://www.youtube.com/watch?v=sz6namizlcs

Synopsis
Votre mandat sera de construire un SOC." Où commence-t-on dans l'établissement d'un Security Operations Center? Quel sera le modèle-type - utilisation à l'interne ou SOCaaS? À quoi va ressembler le stack d'applications? Autant au niveau technique, des ressources humaines et de la gouvernance, quels sont les pièges à éviter, les incontournables et les pierres d'assises d'un tel projet? Cette conférence décrira les étapes de l'idéation même d'un centre d'opérations de sécurité jusqu'à la mise en production de cet outil clé du blue teaming. Basé sur un réel projet abouti, cette conférence couvrira les meilleurs manières de le réussir (et les pires manières de se planter) ainsi que sa pertinence dans une logique plus grande d'intégration d'une culture de sécurité de l'information et de défense en profondeur.

6H30pm to 2am (EST) - CTF

Communication

For any question please go on our Slack:
- Slack Hackfest - Channel: #ihack-2020
To discuss with the community by voice and video and the CTF authors:
- Join our 8x8 during the event

CTFs URLs

- CTF Beginner: https://beginner.ctf.ihack.computer
- CTF Classic: https://classic.ctf.ihack.computer

Schedule

- 17h30: Registration on the scoreboard
- 18h30: CTF Starts
- 02h00: CTF Ends

List of challenges / authors (Slack username)

- Signal Processing: @maxwhite
- Electronics : @Hack4Fun
- Modern Web : @dax, @brainmoustache
- Video Conferencing : @Laurrentt
- Pwning Binary Reverse Engineering: @sushi
- Forensics/Reconnaissance : @stackfault
- Beginner : @viper, @dax, @gp
- Malware The Flag : @Libra and team

Register