HackInBo® Spring Edition 2025 #HiB25

Forensic WACE è uno strumento gratuito che aiuta l’investigatore forense ad analizzare il database WhatsApp di Apple iOS ed Android attraverso un’interfaccia grafica. La particolarità del tool è l’utilizzo di un web server che gestisce più thread contemporaneamente attraverso un'interfaccia grafica, semplice e intuitiva, che consente a più investigatori forensi in contemporanea di estrarre più database di WhatsApp e di eseguire numerose query orientate alle principali necessità investigative, generando rapporti certificati a prova di manomissione con una robusta tecnologia anti-tampering. In particolare, l’approccio multi-thread risulta essere unico nel suo genere al momento. Attraverso una robusta separazione logica, inoltre, viene garantita la confidenzialità dei singoli thread, così da consentire ai singoli investigatori di lavorare su casi differenti in maniera non contaminata. Grazie all'impiego di tool di intelligenza artificiale, sia open source che non, è possibile effettuare un’analisi approfondita su messaggi testuali, vocali ed immagini. Al momento, stiamo lavorando anche sulla possibilità di inferire alcune informazioni da video. Tutti le estrazioni prodotte con AI saranno poi salvate all’interno di un database e mostrate all’utente tramite interfaccia web.

Fine prevista per le 11:30

Questa presentazione fornisce ai partecipanti approfondimenti e strategie operative per proteggere efficacemente i propri sistemi di Intelligenza Artificiale (AI). Verranno esplorati i rischi specifici per la sicurezza introdotti dalla rapida diffusione delle applicazioni basate sull'AI, con un focus particolare sui chatbot online. Oltre le problematiche generali di sicurezza dell'AI, parleremo di come le AI possano essere usate per finalità potenzialmente malevole. Saranno illustrate strategie pratiche per mitigare una serie di rischi, tra cui il prompt injection, il data poisoning etc. Verranno esaminate anche le misure proattive, come la validazione dell'input e l'analisi dell'output delle AI. Al termine della presentazione, i partecipanti avranno acquisito conoscenze e strumenti per proteggere efficacemente i propri sistemi di AI dalle minacce attuali ed emergenti.

Fine prevista per le 12:15

Ci rivediamo tra pochissimo...

Fine prevista per le 14:00

"Compass Security participated in the Pwn2Own 2023 contest held in Toronto, focusing on the Synology BC500 IP camera within the Surveillance Systems category. Our team successfully discovered various vulnerabilities, including one for which we wrote an unauthenticated Remote Code Execution (RCE) exploit. We'll begin the talk by explaining the analysis we performed on the physical device. We'll showcase the discovered debugging interfaces and outline how we analyzed the authentication mechanism and gained shell access as root. This was the first step required for starting the vulnerability discovery process. In the next section we'll explain the weaknesses we discovered during our investigation and we'll talk about the exploitation of the unauthenticated RCE, highlighting unique challenges introduced by the Pwn2Own competition, such as stringent time constraints and collision concerns, which may not necessarily affect real-world attackers. Finally, we will describe the development process we used to write the proof of concept of the exploit. We'll talk about various challenges we encountered and design choices we made to ensure the creation of a robust and reliable exploit."

Fine prevista per le 15:45

Presentazione Report & Premiazione Squadre

Fine prevista per le 17:00