Hackerské tipy, odhalenie zraniteľnosti s medzinárodným dopadom a ako ukradnúť milióny. Nie, to nie sú názvy filmov, ale témy prednášok, ktoré odzneli na Citadelo Security Evening (CSE), ktorý sa konal v stredu 18.10.2017, tradične v priestoroch Citadelo na Lazaretskej 12 v Bratislave.
Už o 18:00 sme privítali prvých hostí. Prišli naši klienti a partneri zo spoločností ako Tatrabanka, Zásielkovňa, KPMG, VÚB, Dopravoprojekt a pod. O hodinku na to sa začali prednášky.
Ako prvý prednášal Martin Leskovjan, CZ Country Manager pre pražské Citadelo. Porozprával o tom, ako zabezpečiť svoj telefón, o projekte bug bounty a samozrejme o tom, čo je nové v pražskom Citadele.
Súčasťou prednášky bolo aj „hacknutie“ naživo. Tomáš Zaťko, náš CEO, predviedol úspešné odomknutie telefónu, ktoré vzal náhodne z publika. Samozrejme odzneli protesty, že sme boli s majiteľom telefónu dohodnutí. Na to vzal ešte ďalší mobil z publika a opäť sa mu podarilo behom pár sekúnd odomknúť obrazovku.
Cieľom bolo presvedčiť našich hostí, aby nepoužívali uzamknutie obrazovky na telefóne použitím vzorca. V skutočnosti nešlo o žiadny zložitý hacking. Na takéto odomknutie sa stačí totiž pozrieť na displej mobilného telefónu a uvidíte opotrebenie displeja podľa najpoužívanejšej dráhy odomykania.
Skvelá prednáška neostala bez povšimnutia. Vyšiel o nej pekný článok v touchIT: “Ako zabezpečiť písanie SMS správ a ochrániť váš smartfón?”
Na druhej prednáške sme privítali Dušana Klinca, nášho hosťa, ktorý porozprával o zraniteľnosti eID, ktorá posledné dni otriasa security svetom.
Dušan Klinec je členom tímu vedcov z Centra pre výskum Kryptografie a Bezpečnosti na Masarykovej Univerzite, ktorí zverejnili vážnu zraniteľnosť týkajúcu sa okrem 750 tis. eID preukazoch vydávaných Estónskom aj občianskych preukazov vydávaných Ministerstvom Vnútra Slovenskej republiky (MV SR).
Dušan Klinec porozprával o tom, ako pri znalosti verejného kľúča a za dostatočného počítačového výkonu (v hodnote okolo 40 000 USD), je možné vygenerovať tajnú časť kľúča využívaného pri elektronickom podpise. Týka sa to cca 300 000 občanov, ktorí elektronické služby štátu využívajú.
Nakoľko sa nám zdala reakcia Ministerstva na odhalené zraniteľnosti neadekvátna, vytvorili sme iniciatívu Eid.fail, čo predstavovalo výzvu ministerstvu vnútra, za ktorou stáli odborníci na informačné technológie a informačnú bezpečnosť.
Na poslednej prednáške porozprával Tomáš Zaťko, náš CEO, o tom, ako jedno chýbajúce slovíčko stálo 32 mil. USD.
O čo išlo? Jednalo sa o smart kontrakt, čo je dohoda/zmluva napísaná v kóde, ktorá je uložená do ethereum blockchainu. Po spísaní takejto dohody, ani jej majiteľ ju nemôže meniť. Avšak v júni tohto roku, neznámi hackeri ukradli ethereum v hodnote 32 000 000 USD. A ako v tom bolo zapletené jedno slovíčko? Kódy píšu ľudia, a ľudia robia chyby. Celá chyba spočívala v jednom chýbajúcom slovíčku „internal“. Vďaka tomu dokázali hackeri ukradnúť ethereum v hodnote 32 mil.USD.
Skvelá prednáška opäť neostala bez povšimnutia. Vyšiel o nej pekný článok v touchIT: „Ako sa podarilo ukradnúť kryptomenu Etherum?“
Po skvelých prednáškach nasledovala prehliadka našich priestorov a voľná zábava.
Pokračujeme v Prahe
Ak ste nestihli live stream, nezúfajte, máme ho uverejnený na facebookovej stránke.
