citadelo-security-evening

Citadelo Security Evening - jeseň 2017

Hackerské tipy, odhalenie zraniteľnosti s medzinárodným dopadom a ako ukradnúť milióny. Nie, to nie sú názvy filmov, ale témy prednášok, ktoré odzneli na Citadelo Security Evening (CSE), ktorý sa konal v stredu 18.10.2017, tradične v priestoroch Citadelo na Lazaretskej 12 v Bratislave.

Už o 18:00 sme privítali prvých hostí. Prišli naši klienti a partneri zo spoločností ako Tatrabanka, Zásielkovňa, KPMG, VÚB, Dopravoprojekt a pod. O hodinku na to sa začali prednášky. citadelo-team

Prednáška prvá: Hackerské tipy ako zabezpečiť mobil

Ako prvý prednášal Martin Leskovjan, CZ Country Manager pre pražské Citadelo. Porozprával o tom, ako zabezpečiť svoj telefón, o projekte bug bounty a samozrejme o tom, čo je nové v pražskom Citadele.

citadelo-leskovjan Súčasťou prednášky bolo aj „hacknutie“ naživo. Tomáš Zaťko, náš CEO, predviedol úspešné odomknutie telefónu, ktoré vzal náhodne z publika. Samozrejme odzneli protesty, že sme boli s majiteľom telefónu dohodnutí. Na to vzal ešte ďalší mobil z publika a opäť sa mu podarilo behom pár sekúnd odomknúť obrazovku.

citadelo-zatko Cieľom bolo presvedčiť našich hostí, aby nepoužívali uzamknutie obrazovky na telefóne použitím vzorca. V skutočnosti nešlo o žiadny zložitý hacking. Na takéto odomknutie sa stačí totiž pozrieť na displej mobilného telefónu a uvidíte opotrebenie displeja podľa najpoužívanejšej dráhy odomykania.

Skvelá prednáška neostala bez povšimnutia. Vyšiel o nej pekný článok v touchIT: “Ako zabezpečiť písanie SMS správ a ochrániť váš smartfón?”

Prednáška druhá: Odhalenie novej zraniteľnosti s medzinárodným dopadom

Na druhej prednáške sme privítali Dušana Klinca, nášho hosťa, ktorý porozprával o zraniteľnosti eID, ktorá posledné dni otriasa security svetom.

citadelo-klinec Dušan Klinec je členom tímu vedcov z Centra pre výskum Kryptografie a Bezpečnosti na Masarykovej Univerzite, ktorí zverejnili vážnu zraniteľnosť týkajúcu sa okrem 750 tis. eID preukazoch vydávaných Estónskom aj občianskych preukazov vydávaných Ministerstvom Vnútra Slovenskej republiky (MV SR).

Dušan Klinec porozprával o tom, ako pri znalosti verejného kľúča a za dostatočného počítačového výkonu (v hodnote okolo 40 000 USD), je možné vygenerovať tajnú časť kľúča využívaného pri elektronickom podpise. Týka sa to cca 300 000 občanov, ktorí elektronické služby štátu využívajú.

Nakoľko sa nám zdala reakcia Ministerstva na odhalené zraniteľnosti neadekvátna, vytvorili sme iniciatívu Eid.fail, čo predstavovalo výzvu ministerstvu vnútra, za ktorou stáli odborníci na informačné technológie a informačnú bezpečnosť.

Prednáška tretia: Ako ukradnúť milióny? (rekonštrukcia hackerského útoku)

Na poslednej prednáške porozprával Tomáš Zaťko, náš CEO, o tom, ako jedno chýbajúce slovíčko stálo 32 mil. USD.

citadelo-zatko O čo išlo? Jednalo sa o smart kontrakt, čo je dohoda/zmluva napísaná v kóde, ktorá je uložená do ethereum blockchainu. Po spísaní takejto dohody, ani jej majiteľ ju nemôže meniť. Avšak v júni tohto roku, neznámi hackeri ukradli ethereum v hodnote 32 000 000 USD. A ako v tom bolo zapletené jedno slovíčko? Kódy píšu ľudia, a ľudia robia chyby. Celá chyba spočívala v jednom chýbajúcom slovíčku „internal“. Vďaka tomu dokázali hackeri ukradnúť ethereum v hodnote 32 mil.USD.

Skvelá prednáška opäť neostala bez povšimnutia. Vyšiel o nej pekný článok v touchIT: „Ako sa podarilo ukradnúť kryptomenu Etherum?“

Tour de office a voľná zábava

Po skvelých prednáškach nasledovala prehliadka našich priestorov a voľná zábava.

citadelo-cse Pokračujeme v Prahe Ak ste nestihli live stream, nezúfajte, máme ho uverejnený na facebookovej stránke.

O autorovi

Michaela Gallee
Marketing specialist
Milujem online, učenie je môj životný štýl, učiť druhých moje poslanie. Mám vysokoškolské papiere z chémie, certifikáty z marketingu, v zime jazdím na doske a okuliare v skutočnosti nepotrebujem, no vyzerá to cool.
Zobraziť viac od autora

Podobné blogy

Bezpečnosť na internete - Viete sa správať v online priestore bezpečne?

blog |
Priemerný človek strávi na internete každý deň 3 hodiny a 20 minút. Okrem užitočných informácií a zábavy ale na nás čaká v online svete aj veľké množstvo hrozieb.
Zobraziť

Citadelo na novom a ešte bezpečnejšom webe

Blog | | Michaela Gallee
Naša požiadavka na bezpečný web sa môže niekomu zdať prehnaná, nie sme predsa svetová banka. To však nič nemení na tom, že našou víziou je bezpečný internet a preto naša priorita bola kladená na bezpečnosť.
Zobraziť

Čo sú cookies, na čo slúžia a máme sa ich báť?

Blog | | Tomáš Melicher
Ešte stále neviete čo sú cookies? Prečo ich vidíte takmer na každej stránke, a prečo s nimi musíte súhlasiť, aj keď nechcete? Prečítajte si článok o tom, na čo slúžia cookies vo webových prehliadačoch aj o tom, ako súvisia s internetovou bezpečnosťou.
Zobraziť

Ako si objednať pentest- kompletný návod

Blog | | Martin Hanic
Hoci ľuďom z IT bezpečnostnej branže môže táto otázka pripadať rovnako triviálna ako "Ako si objednať nabíjačku na telefón", pre mnohých však spísanie objednávky na pentest predstavuje podobnú úlohu ako navrhnutie jadrovej elektrárne.
Zobraziť