IT security událost roku: Hackerfest 2014

Před několika dny proběhla v Praze na Černém mostě největší událost v oblasti IT security: Bezpečnostní konference počítačové školy Gopas – HackerFest 2014. Sedm bezpečnostních expertů předvedlo v praxi nejnebezpečnější triky současných hackerů – hacking mobilních telefonů, webových aplikací, operačních a antivirových systémů.

Sérii přednášek zahájil Ondřej Ševeček, který v přednášce „Útoky, které žádný antivirus neodhalí, aneb na co je infrastrukturní bezpečnost“ ukázal, že proti cíleným, ručně připraveným, individuálním útokům, je jakýkoliv antivirus krátký. Na praktickém příkladu ukázal omezení UAC a prozradil, jak je možné snadno získat přístup do počítače, který není zašifrován Bitlockerem. Klíčovým heslem jeho přednášky bylo: Pokud víte, jak nástroje fungují, tak je možné je i obejít.

V další přednášce „Já mám BOTy do roboty“ William Ischanoe předvedl, jak je možné někoho na dálku sledovat a jak lze cizí počítač zneužít. Podle něj díky přechodu na NT6 začíná zlatá éra malwaru. Poté v praxi ukázal, jak si pár triviálními triky zajistit svoji vlastní komunitu nadšených zombies.

V následující zajímavé přednášce „Aplikace zákona o kybernetické bezpečnosti v praxi“ Ing. Aleš Špidla informoval, koho se bude tento nový zákon týkat a humornou formou popsal úskalí při zavádění nového zákona. Ten prošel všemi fázemi legislativního procesu a začne platit od 1.1. 2015. V rámci přednášky se proto zaměřil na vyhlášky a další dokumenty pro praktické použití, které zákon doprovázejí nebo doprovázet budou.

V jedné z nejzábavnějších přednášek, které jsme kdy viděli představil Martin Klubal

„Ekosystém Darknetu“. V rámci ní nejen vysvětlil rozdíly na černém trhu v rámci Clearnetu, Darknetu a Deepnetu, ale i ukázal, že anonymita na internetu je dvousečnou zbraní, která umožnila rozmach černého trhu a zpřístupnila jej takřka komukoliv. V praxi ukázal jak na černém trhu probíhá obchod, platba, systém důvěry a samotné doručení zboží při nákupech, nebo například jak rozpoznat falešné nabídky podvodných obchodníků. Nechyběly ani ukázky na aktuální téma „podvody s bitcoiny“. Tato přednáška byla zajímavá i poučná, a to i když nesháníte čísla kreditních karet, zbraně, falešné doklady nebo padělané bankovky…

Následující prezentace Kamila Vávry s názvem „Kali Pwn Pad – vyzbrojen tabletem je nebezpečím pro společnost“ ukázala, že mobilní zařízení používaná pro pracovní účely pronikají ve stále větší míře do podnikové infrastruktury, avšak s rostoucím počtem zařízení přistupujících k podnikové síti rostou i případná rizika. V rámci přednášky bylo ukázáno, že získání přístupu do sítě je většinou jednodušší, než se na první pohled zdá. Předvedeny byly pokročilé metody od klonování přístupových karet až po proniknutí do celé infrastruktury vnitřní sítě.

V posledních dvou prezentacích nejprve poukázal Roman Kümmel ve své prezentaci „Webové aplikace a místa pro dva prstíčky Jezinek“ na fakt, že webové aplikace firem jsou jedním z nejexponovanějších míst, které vedle potenciálních zákazníků navštíví také mnoho útočných botů a hackerů.

Zlatým hřebem konference byla prezentace špičkové polské bezpečnostní specialistky Pauly Januskiewicz a její přednášky „CSI: Windows – Techniques for Finding the Cause of the Unexpected System Takeovers“.

Letošní ročník HackerFestu patřil k tomu nejlepšímu, co je v této oblasti k dispozici a my už se netrpělivě těšíme na další ročník.