Hackfest 2016 Website FRANÇAIS
 




OFFICIAL SCHEDULE november 7, 2009
*Presentation in powerpoint/pdf format received from the speaker are right next to the speaker details


  08h00 Registration (Registration at the door / Prepaid passes pickup)      

  09h00 Introduction      

  09h15 Éric Gingras & Sébastien Duquette, Gardien Virtuel : Du Fuzzing dans les tests d'intrusions ?      

  10h15 Philippe Gamache : Audit de code PHP      

  11h00 Break      

  11h30 Peter Giannoulis, Radware : Title to come      

  12h30 Lunch      

  13h30 David Girard : La virtualisation, des failles bien réelles ou virtuelles?      

  14h15 Henry Stern, Cisco Systems : The Bad Boys of Social Networks      

  15h00 Botrax : Comment la loi s'applique aux hackers      

  15h45 Break      

  16h15 Guy Bruneau, SANS Institute : Comprehensive Packet Analysis      

  17h15 Mick Douglas, Pauldotcom : Defense is the new offense      

  18h15 Dinner / Contest Preparation      

  19h15 Start of the hacking contest and the evening / get together / LockPicking contest      

  00h15 End of the contest      



SOCIAL NETWORKING NIGHT / CONTEST

Place: Hôtel Universel
Room: Same Room
Time: 18h00 to 01:00
Who: Anybody (no contest subscription required)

After the presentations, you are invited to join us, come from 6 pm to chill out with the participants and everybody else present on site. Participation to the contest is not mandatory to come over and enjoy this evening, so don’t be shy to drop by!

There will be some good background music that will surprise you, not to mention the refreshments that will be available on site.
In addition, there will be a lock picking contest. The winner will get the chance to live a War Flying experience!

The results of the hacking contest will be displayed in real time and other surprises await you!

Hope to see you there and have a talk!

The Crew

CONFIRMED SPEAKERS

David Girard
La virtualisation, des failles bien réelles ou virtuelles?
Téléchargement présentation (Slide LinkedIn)

Les promoteurs de la virtualisation ne font la promotion que des avantages et les vendeurs de sécurité ne vous parlent que des failles pour vous vendre une panoplie de nouveaux produits pour sécuriser les environnements virtuels. Quelle est la vérité? Comment pouvons-nous attaquer une infrastructure virtuelle et comment pouvons nous la défendre?

David Girard a commencé la programmation de logiciels en 1982 et ses premiers tests d'intrusions en 1986. Il a travaillé comme officier de sécurité d'une unité des Forces armées canadiennes jusqu'en 1993. En 1994, il débute une carrière de consultant en informatique où il participera à l’élaboration de plusieurs systèmes de sécurité (chiffrement, contrôle d’accès, journalisation et authentification). Durant ces années, il a travaillé en étroite collaboration avec différents corps policiers. En 1996 et 1997, il a évolué comme analyste-programmeur en modélisation mathématique (Radarsat, Small Sat et M-Sat) à l’Agence spatiale canadienne. Par la suite, il fonde en 2001, avec deux partenaires, Sécumetrix, une compagnie de biométrie/sécurité. De 2003 à 2009, il a été conseiller principal en sécurité de l'information au Technocentre national du Réseau de la santé et des services sociaux et coordonnateur du Centre de sécurité opérationnelle. Durant cette période il a agit comme officier de liaison entre le réseau de la santé et la Sûreté du Québec (SQ) pour les enquêtes dans le réseau de la santé. M. Girard s’occupe de la pratique de la sécurité de l’information chez BPR-TIC depuis mai 2009. Pour terminer, M. Girard détient plusieurs certifications en sécurité et en Technologie de l’Information (CISSP, CWSP, CHFI, ISO 27001 ISMS PA, ITIL).


Pauldotcom
Offence is the new defense

Mick Douglas


Guy Bruneau, SANS Institute
Comprehensive Packet Analysis

Knowing how to decode network traffic is a skill requirement for any serious network or information security administrator. Being able to decode the bits and bytes that represent mission-critical networks will give you the skills to identify malicious activity, troubleshoot network failures, and analyze other desirable or undesirable network events. This class is a portion of the one day course of SANS Security 556. Itwill give you the skills necessary to decode network traffic with open-source tools available for Unix and Windows systems. Students will learn how to use Wireshark to extract files (pictures, documents, executable, etc) from datastream for malware recovery, incident response and forensics analysis. You'll be able to use these new skills to analyze current or future network protocols and gain a better understanding of your network traffic. The tools covered in this class are: Wireshark, Mergecap, Unix file command and an Hex Editor. o Wireshark as an analyst and forensic tool o Introduction to tshark and mergecap o Filters in Wireshark o Using Wireshark for troubleshooting VoIP o Using Wireshark to carve out files from pcap data (malware, pictures, documents, etc) o Wireshark exercises o Troubleshooting network and applications

Guy Bruneau is a Senior Security Consultant with IPSS Inc. in Ottawa, Ontario. He works within IPSS Inc. security practice assisting clients with their Security needs, implementation and engineering of Intrusion Detection/Prevention Systems (IDS/IPS) on large networks, integration of Enterprise Security Management (ESM) solutions, Network Security Auditing, and Incident Response and Reporting. Guy has a B.A. (IT) from University of Quebec, holds GIAC GSEC, GCIA, GCIH, GCUX, GCFA and ISSPCS certifications. He is a SANS certified instructor and a course author. He authored the OS hardened Snort with Sguil IDS platform where the ISO is freely available at: http://www.whitehats.ca.


Henry Stern, Cisco Systems
The Bad Boys of Social Networks
Présentation non disponible

On the internet, sometimes your closest friends turn out to be your enemies. Your online social networks are not only one of the most useful communication tools of the decade, but also a juicy target for the modern criminal. From 2000, when the ILOVEYOU worm emailed malware to everyone in its victims' address books, criminals have exploited the trust between friends and neighbours to build botnets, steal millions of dollars and cause chaos. This talk will cover the latest security-related issues and events in social networking including the Koobface worm running rampant over all the social networks and the 4chan password theft incident. We will conclude with a discussion of how we can collaborate using social networks to make ourselves and our friends safer.

Henry Stern is a Senior Security Researcher. He joined IronPort Systems in 2006 as one of the original engineers responsible for IronPort Anti-Spam (TM), the industry’s most accurate anti-spam filter, and invented IronPort’s Multidimensional Pattern Recognition (TM) technology for combatting image threats. Henry has been involved in the anti-spam community since 2003, serving as a committer for the Apache SpamAssassin project and a contributor to both the SURBL and URIBL spam domain name blocklists. More recently, Henry’s focus has been on the nexus of malware and crime. Henry is a frequent speaker at both industry and academic computer security conferences and regularly engages in public-private partnerships with law enforcement to help bring online criminals to justice. Henry won best paper at the MIT Spam Conference 2009 for “The Rise and Fall of Reactor Mailer.”


Éric Gingras & Sébastien Duquette, Gardien Virtuel
Du fuzzing dans les tests d'intrusions ?
Téléchargement présentation (PDF)

D'abord le concept de tests d'intrusions, tel qu'ils sont habituellement conduits dans l'industrie, sera défini. Après cette brève introduction, le fuzzing sera présenté en détails : définitions, méthodologies, avantages et inconvénients, etc. Le fuzzing est une technique de plus en plus mature et utilisée pour la découverte de vulnérabilités, mais le fuzzing peut-il être utilisé pour améliorer les tests d'intrusions ? Et plus spécifiquement pour les tests d'applications Web ? Si oui, comment? Si non, pourquoi ? Ensuite, dans la deuxième partie de la présentation, nous ferons un survol des différentes utilisations du fuzzing dans les outils les plus populaires pour les tests d'intrusions. Pour conclure, nous discuterons de la questions suivante : Comment le fuzzing pourrait prendre encore plus de place dans les tests d'intrusions ?

Éric Gingras est chargé du cours de sécurité informatique à l'UQAM, où il complète un doctorat en Informatique cognitive. Chercheur en sécurité de l'information depuis 9 ans, il a contribué, entre autres, à des projets de développement en sécurité informatique chez Ericsson, Francert et Gardien Virtuel, une entreprise en pleine croissance pour laquelle il agit à titre de directeur de la recherche et du développement.

Sébastien Duquette termine un Baccalauréat en Informatique et Génie Logiciel. Dans la dernière année, il s'est intéressé de plus près à l'analyse de vulnérabilités et a publié deux avis dans le dernier mois. Il a participé cette année au concours de sécurité informatique de l'évènement "Boule de cristal" du CRIM, où son équipe à terminée 2eme au volet attaque et 3eme au total. Il contribue au développement de divers projet logiciel, notamment au W3AF (Web Application Attack and Audit Framework) de l'OWASP..


Radware
Canceled

Peter Giannoulis


Philippe Gamache, Parler Haut, Interagir Librement
Audit de code PHP

Durant un audit sécurité d'une application web, il y a plusieurs phases au travail d'enquête : interview, recensement des vulnérabilités (XSS, injections, dévoilement, etc.) par avec des tests d'intrusion, analyse du code, suivi d'un rapport expliquant les problèmes, des recommandations de renforcement et priorisation des tâches. Toutes ces étapes sont importantes, mais certaines sont plus connues que les autres. Dans cette présentation, nous apprendrons les étapes et les outils pour faire un audit du code d'une application Web. Les techniques présentés peuvent être utilisés en plusieurs langages de programmation, mais plusieurs outils seront axé sur le langage de programmation PHP.

Philippe Gamache participe à la communauté de PHP depuis 1999 en faisant de la promotion, en participant aux groupes locaux, en organisant des conférences, en présentant à des conférences et en écrivant des articles techniques. Philippe est l'éditeur et le webmestre du portail PHPortail www.phportail.net . Il est le coauteur du livre "Sécurité PHP 5 et MySQL 5". Il est sur le conseil d'administration de la section de Montréal de l'OWASP. Il est le président de Parler Haut, Interagir Librement; une entreprise qui fait des audits de sécurité et des testes de pénétration des applications Web en PHP. Il offre aussi des formations sur la programmation sécuritaire en PHP.


Botrax,
Quelles lois sont applicables au hacker? Énormément moins que tu penses.
Download presentation (PDF)
AUDIO of the conf (MP3)

Dans quelles juridictions se retrouve le hacker? Il y a beaucoup moins de lois applicables qu’on pense pour empêcher nos activités. Si tu penses qu’il y a des lois qui t’empêchent de faire certaines choses, cette présentation démontre qu’il y a très peu de lois qui s’appliquent à toi en tant qu’être humain au Canada. En rectifiant la compréhension générale en expliquant qu’il y a très peu de lois en place applicables pour empêcher la liberté de faire, on pourra opérer de façon légitime, sans se soucier des pesanteurs légales non-applicables. Pas de pillules bleues dans cette salle, juste des rouges. Cette présentation explique comment l’humain se retrouve hors du système légal et comment se soustraire de la loi dans les activités légitimes et licites.

Botrax a commencé le podcast Le BotCast with Cheese (http://www.BotCast.net) en 2006 pour dénoncer la désinfo qu’il examine depuis 2002. Ce chemin a abouti a la découverte des mots de la loi et les mensonges qui nous gouvernent. En 2007 il est tombé sur du travail fait par d’autres en anglais qui démontre que les lois qu’on pense connaître ne sont pas comme nous le pensons. En examinant les lois on se rend compte que nous sommes totalement libres des lois qu’on pense applicables à nous et notre quotidien. Botrax et son co-animateur TestDummy vulgarisent ces concepts en français dans Le BotCast with Cheese, et dans la présentation au Hackfest 2009.


No audio and video recording is allowed during the conference. It is reserved to authorized media partners to conduct interviews, observation, audio reports, photo or video during the contest. To apply for authorization, please contact: info [at] hackfest.ca

We reserve the right to expel anyone who acts as a media without being duly authorized.










CONTACT US