Citadelo Security Evening - jeseň 2017

Citadelo Security Evening - jeseň 2017

Hackerské tipy, odhalenie zraniteľnosti s medzinárodným dopadom a ako ukradnúť milióny. Nie, to nie sú názvy filmov, ale témy prednášok, ktoré odzneli na Citadelo Security Evening (CSE), ktorý sa konal v stredu 18.10.2017, tradične v priestoroch Citadelo na Lazaretskej 12 v Bratislave.

Už o 18:00 sme privítali prvých hostí. Prišli naši klienti a partneri zo spoločností ako Tatrabanka, Zásielkovňa, KPMG, VÚB, Dopravoprojekt a pod. O hodinku na to sa začali prednášky. citadelo-team

Prednáška prvá: Hackerské tipy ako zabezpečiť mobil

Ako prvý prednášal Martin Leskovjan, CZ Country Manager pre pražské Citadelo. Porozprával o tom, ako zabezpečiť svoj telefón, o projekte bug bounty a samozrejme o tom, čo je nové v pražskom Citadele.

citadelo-leskovjan Súčasťou prednášky bolo aj „hacknutie“ naživo. Tomáš Zaťko, náš CEO, predviedol úspešné odomknutie telefónu, ktoré vzal náhodne z publika. Samozrejme odzneli protesty, že sme boli s majiteľom telefónu dohodnutí. Na to vzal ešte ďalší mobil z publika a opäť sa mu podarilo behom pár sekúnd odomknúť obrazovku.

citadelo-zatko Cieľom bolo presvedčiť našich hostí, aby nepoužívali uzamknutie obrazovky na telefóne použitím vzorca. V skutočnosti nešlo o žiadny zložitý hacking. Na takéto odomknutie sa stačí totiž pozrieť na displej mobilného telefónu a uvidíte opotrebenie displeja podľa najpoužívanejšej dráhy odomykania.

Skvelá prednáška neostala bez povšimnutia. Vyšiel o nej pekný článok v touchIT: “Ako zabezpečiť písanie SMS správ a ochrániť váš smartfón?”

Prednáška druhá: Odhalenie novej zraniteľnosti s medzinárodným dopadom

Na druhej prednáške sme privítali Dušana Klinca, nášho hosťa, ktorý porozprával o zraniteľnosti eID, ktorá posledné dni otriasa security svetom.

citadelo-klinec Dušan Klinec je členom tímu vedcov z Centra pre výskum Kryptografie a Bezpečnosti na Masarykovej Univerzite, ktorí zverejnili vážnu zraniteľnosť týkajúcu sa okrem 750 tis. eID preukazoch vydávaných Estónskom aj občianskych preukazov vydávaných Ministerstvom Vnútra Slovenskej republiky (MV SR).

Dušan Klinec porozprával o tom, ako pri znalosti verejného kľúča a za dostatočného počítačového výkonu (v hodnote okolo 40 000 USD), je možné vygenerovať tajnú časť kľúča využívaného pri elektronickom podpise. Týka sa to cca 300 000 občanov, ktorí elektronické služby štátu využívajú.

Nakoľko sa nám zdala reakcia Ministerstva na odhalené zraniteľnosti neadekvátna, vytvorili sme iniciatívu Eid.fail, čo predstavovalo výzvu ministerstvu vnútra, za ktorou stáli odborníci na informačné technológie a informačnú bezpečnosť.

Prednáška tretia: Ako ukradnúť milióny? (rekonštrukcia hackerského útoku)

Na poslednej prednáške porozprával Tomáš Zaťko, náš CEO, o tom, ako jedno chýbajúce slovíčko stálo 32 mil. USD.

citadelo-zatko O čo išlo? Jednalo sa o smart kontrakt, čo je dohoda/zmluva napísaná v kóde, ktorá je uložená do ethereum blockchainu. Po spísaní takejto dohody, ani jej majiteľ ju nemôže meniť. Avšak v júni tohto roku, neznámi hackeri ukradli ethereum v hodnote 32 000 000 USD. A ako v tom bolo zapletené jedno slovíčko? Kódy píšu ľudia, a ľudia robia chyby. Celá chyba spočívala v jednom chýbajúcom slovíčku „internal“. Vďaka tomu dokázali hackeri ukradnúť ethereum v hodnote 32 mil.USD.

Skvelá prednáška opäť neostala bez povšimnutia. Vyšiel o nej pekný článok v touchIT: „Ako sa podarilo ukradnúť kryptomenu Etherum?“

Tour de office a voľná zábava

Po skvelých prednáškach nasledovala prehliadka našich priestorov a voľná zábava.

citadelo-cse Pokračujeme v Prahe Ak ste nestihli live stream, nezúfajte, máme ho uverejnený na facebookovej stránke.

O autorovi

Citadelo
Citadelo
Citadelo je dom plný etických hackerov na vašej strane. Pomáhame otestovať ich informačnú bezpečnosť. Podrobte svoje IT prostredie výzve a odhaľte, do akej miery sú vaše citlivé dáta chránené.
Zobraziť viac od autora

Podobné blogy