HackerFest byl rozdělen na dvě části: teoretická konference, ve které se na informací lačném publiku vystřídalo 8 přednášejících, a praktický workshop zaměřený na hacking a penetrační testování Androidu. Cena 4 400 Kč za dvoudenní vstupenku by se mohla zdát vysoká, pravdou ale je, že všechny lístky zmizely už dva měsíce před zahájením konference. (Tak to asi nebylo tak zlý. ;))

Celý festival byl od první chvíle, kdy mi při registraci pořadatelka udělala jmenovkou díru do trička a zavedla mě do foyer, kde se stolky prohýbaly pod náporem cateringu, prodchnutý puncem jisté exkluzivity. Poté, co se publikum vměstnalo do největšího sálu kina Cinema City na Černém mostě, mohla začít první přednáška s názvem Co oči nevidí, srdce nebolí.

Přednáška byla věnována převážně popisům technik, kterými se útočník pokouší zakořenit v operačním systému (tzv. persistence), a jejich odhalování. Následovala přednáška Ondřeje Ševečka, ve které Ondřej popisoval své úspěchy v odhalování bezpečnostních chyb pro Microsoft.

Třetí přednáška patřila k nejzajímavějším nejen svým epickým názvem Pánem World Wide Webu, ale hlavně děsivou názorností a jednoduchostí. Roman Kümmel předvedl útok, který nám umožní pouhým přepsáním session tokenu v cookies manageru ovládnout všechny aplikace pod stejným doménovým jménem. Útok využívá zranitelnosti aplikací napsaných v PHP, konkrétně toho, že PHP ukládá session token pro všechny aplikace v jedné sdílené složce a při ověření kouká akorát, jestli token má, nikoliv už k jaké aplikaci patří. Máme-li tak například stránku, na které si uživatelé mohou vytvářet e-shopy, můžeme si tímto útokem přivlastnit administrační rozhraní všech e-shopů na této stránce a udělat si tak zatraceně veselé Vánoce. :)

Rudolf Marek šel ve své přednášce o firmwaru procesoru AMD x86 SMU snad hlouběji než zlobivý otčím Rosenberg. Z celé přednášky jsem pochopil pouze základní myšlenku útoku, ale změny v kódu firmware napsaného v Assembleru jsem těžce nestíhal. Ačkoliv byla odbornost přednášky nad moje znalosti, rozhodně jsem se nenudil, protože Rudolf Marek je důkaz, že poctiví oldschooloví IT experti ještě nevymřeli. Důkazem toho budiž jeho němá odpověď na otázku bezpečnosti smartphonů, kde se v odpověď pouze pousmál a vytáhl svojí Nokii 6310.

Následovali další přednášky Ondřeje Ševečka o možnostech zneužití certifikátů pro náhradu přihlašovacích údajů do Windows a v elegantním podání Pauli Januszkiewicz předestřené možnosti extrakce uložených přihlašovacích údajů.

Za zmínku stojí ještě poslední přednáška Hackers Love PowerShell Michaela Grafnettera, ve které byly nastíněné například možnosti obejití antiviru pomocí všudypřítomného Powershellu nebo vytvoření persistence přes modifikaci ikonky prohlížeče, která spustí krom prohlížeče i skrytý PS skript a pro běžného uživatele se tak persistence stává nezjistitelnou.

Po tomto osmihodinovém přívalu šťavnatých informací, který byl přerušován jen pauzami k likvidaci poskytnutého opulentního občerstvení, jsem domů odcházel po střechu narvaný novými informacemi, technikami a úvahami nad jejich použitím.

Po denní pauze ustoupila teorie praxi a já si tak mohl pod vedením Milana Oulehy udělat konkrétní představu o tom, jak probíhá penetrační testování Android telefonů. Jelo se opět celý den v tempu, za které by se nemusel stydět ani Brian O’Conner za volantem Hypersportu. Jeden příkaz střídal druhý, až mě nakonec přednášková síň vyplivla o půl šesté na ulici, kde jsem musel pár minut postupně vracet do reality.

Každopádně jízda to byla velkolepá, přednášející až na jednu slabší výjimku předvedli plně profesionální výkon a pro toho, kdo se zajímá o bezpečnost firemní sítě nebo jiných IT systémů, by měl být tento festival takřka povinnost. :) Za mě tedy vřelé doporučení!