H@ck The Conf

What the… czyli o co chodzi z tymi konferencjami. A do tego fajny konkurs.

Kojarzycie zapewne konferencję What The H@ck, która przez dwa lata z rzędu stanowiła bardzo udaną imprezę na mapie wydarzeń w dziedzinie cyberbezpieczeństwa. Pisałem o niej w artykule What The H@ck – relacja z konferencji jakiej dotąd n ie było. Niestety rok 2019 był drugim i zarazem ostatnim, w którym WTH Conf się odbyła. Jej dotychczasowi organizatorzy: serwis Zaufana Trzecia Strona oraz Fundacja Academic Partners postanowili niestety pójść własnym ścieżkami.

Wiadomo, że gdy nie wiadomo o co chodzi, to nie wiadomo o co chodzi. Ale skupmy się na tym, co wiadomo. W tym roku w kalendarzu imprez pojawiły się dwie konferencje: Oh My H@ck oraz The H@ck Summit i obie nawiązują do tradycji What The H@ck – odbywają się na przełomie listopada i grudnia, posiadają słowo „H@ck” w nazwie i posługują się identyfikacją graficzną nawiązującą do stylistyki pixel art.

To która prawdziwsza?

Trudno stwierdzić ponieważ jak wiadomo sukces ma wielu ojców. Prawa do oryginalnej domeny oraz profilu wydarzenia na FB pozostały jak widać w rękach fundacji, gdyż pod tymi adresami reklamowana jest konferencja The H@ck Summit. Z jakiegoś powodu zmieniła się jednak nazwa i logo (chociaż obecne jest bardzo zbliżone do oryginału):

profil wth conf na fb
Profil wydarzenia WTH Conf na Facebooku

Z kolei w przypadku Oh My H@ck nawiązania nie są tak bezpośrednie – pozostała podobna nazwa i stojąca za organizacją solidna marka, której w branży cybersecurity przedstawiać nie trzeba – Zaufana Trzecia Strona.

Stronę konferencji Oh My H@ck polubiło na Facebooku ponad 330 osób. Około 100 osób zadeklarowało udział, a ponad 500 zainteresowanie wydarzeniem Oh My H@ck 2020.

Natomiast stronę konferencji The H@ck Summit polubiło ponad 160 osób, udział w wydarzeniu The H@ck Summit 2020 zadeklarowało około 100 osób, a zainteresowanie 1,8 tys. osób.

Trochę to śmieszne, trochę… no właśnie.

Organizatorzy obu konferencji od kilku dni aktywnie reklamują się na Facebooku licząc na zainteresowanie społeczności. Wszystkie te subtelne zabiegi marketingowo-socjotechniczne doprowadziły do zabawnej sytuacji – wczoraj obie reklamy pojawiały się na moim wallu w odstępie zaledwie dwóch postów.

reklama Oh My H@ck
Reklama Oh My H@ck
Reklama The H@ck Summit
Reklama The H@ck Summit

Osobiście życzę organizatorom aby obie imprezy okazały się równie udane. Niestety plany może im pokrzyżować fakt, że konferencje w związku z panującą pandemią muszą się odbyć w formule online. Nie wiem czy to tylko moje subiektywne odczucie, czy pewna ogólna tendencja, ale zauważyłem u siebie zdecydowany przesyt wydarzeniami wirtualnymi. Być może nie jestem sam i z tego też powodu odwołano niedawno inną znaną i udaną imprezę – konferencję PWNing, która miała się odbyć w dniach 23-24 listopada.

Jak zostałem internetowym trollem

Całe to zamieszanie wokół konferencji What The H@ck spowodowało, że trochę zdezorientowany, a trochę rozbawiony sytuacją postanowiłem zrobić głupi kawał i wymyśliłem sobie kolejną konferencję, która też będzie miała „H@ck” w nazwie oraz stronę z 8-bitowymi grafikami. I tak oto powstała nieistniejąca konferencja H@ck The Conf oraz strona HackTheConf.pl 🙂

Początkowo miała być tylko domena i jedna strona dla żartu. W przeciągu kilku dni pojawiło się jednak parę nowych pomysłów i projekt trochę się rozrósł. Po udostępnieniu strony w social mediach odezwał się do mnie Adam Haertle z Z3S:

Cześć, fajna ta strona, uśmiałem się 🙂 Konferencje byś zrobił jak już stronę masz, najgorsze za Tobą 🙂

Oczywiście robienie konferencji nie było mi w głowie, ale zacząłem się zastanawiać do czego poza dostarczeniem odrobiny radości można by wykorzystać stronę. I tak zrodził się pomysł konkursu, a Adam oprócz tego, że wykazał się poczuciem humoru obiecał dorzucić jako jedną z nagród wejściówkę na konferencję Oh My H@ck.

Konkurs (już rozstrzygnięty)

Konkurs polega na przeprowadzeniu rekonesansu informacyjnego wokół serwisu HackTheConf.pl. Zostały w nim ukryte pewne easter eggi nawiązujące do tematyki hackowania i cybersecurity. Należy odnaleźć jak najwięcej z nich. Dla ułatwienia dodam, że jest ich kilka.

Zasady konkursu

  1. Pamiętaj, że chodzi o rekonesans informacyjny, nie o bug bounty. Nie szukamy podatności. Strona znajduje się na zwykłym, komercyjnym hostingu, bez zaawansowanych WAF-ów, więc nie stresujcie jej proszę 🙂
  2. Do rekonesansu nie wolno wykorzystywać żadnych narzędzi automatyzujących i skanujących zawartość serwisu. Zabronione są wszelkie crawlery, scrappery, spidery itp.
  3. Adresy, z których zaobserwowane będą zbyt intensywne zapytania wskazujące na to, że używane są narzędzia inne niż przeglądarka zostaną wykluczone z konkursu. Nie, Burp to nie jest przeglądarka, nawet jak wysyła dobre nagłówki :). Wszystko da się znaleźć manualnie korzystając wyłącznie z przeglądarki www (choć nie wszystko jest na samej stronie).
  4. Zabronione jest utrudnianie wzięcia udziału w konkursie innym uczestnikom poprzez obciążanie strony atakami typu DOS, DDOS.
  5. Po znalezieniu wszystkich easter egg-ów należy wysłać ich listę i krótki opis na adres [email protected] wpisując w temacie „wynik X”, gdzie X to liczba znalezisk.
  6. Decydująca jest liczba znalezionych easter egg-ów i czas przesłania.
  7. Jeśli wcześniej nie zostaną wyłonieni zwycięzcy z maksymalną ilością punktów, konkurs zamykamy we wtorek 24.11.2020 o godzinie 20.00.

Czego szukamy

Easter eggs to ukryte informacje lub funkcjonalności, nietypowe odpowiedzi serwisów, wiadomości bądź ciągi znaków (flagi) związane z konkretnym tematem – w tym przypadku hackingiem i cyberbezpieczeństwem.

Aby je udokumentować w większości przypadków wystarczy podać URL, w niektórych opisać słownie jak i co zostało znalezione, ewentualnie przesłać zrzut ekranu.

Za easter egg-a nie uznajemy żadnej treści, która jest widoczna bezpośrednio na którejś ze stron serwisu, do której da się przejść klikając linki ze strony głównej.

Nagrody

Poniżej znajduje się lista nagród w przypadkowej kolejności. Przyjmujemy zasadę, że zwycięzca wybiera sobie jedną nagrodę z poniższej listy, zdobywca drugiego miejsca jedną nagrodę z pozostałych dwóch, a zdobywcy trzeciego miejsca przypada to co pozostanie.

  1. Pakiet szkoleniowy trenera cyberbezpieczeństwa
  2. Wejsciówka na konferencję Oh My H@ck ufundowana przez Zaufaną Trzecią stronę.
  3. BadUSB Beetle – złośliwy „pendrive” bazujący na kontrolerze ATMega 32U4

Notka prawna

Biorąc udział w konkursie zgadzacie się na powyższe zasady. Na stronie konkursowej robię sobie jaja z RODO, ale tutaj już zgodnie z obowiązującym prawem muszę Was poinformować o zasadach przetwarzania danych osobowych. Znajdziecie je w Polityce Prywatności.

Wyniki

Konkurs został już rozstrzygnięty, wyniki znajdziecie tutaj.


Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.