Mudanças entre as edições de "O Outro Lado BSidesSP ed 8/Palestras"
Linha 92: | Linha 92: | ||
MBA em gerenciamento de projetos e engenheiro elétrico no papel, engenheiro de segurança em software na carteira de trabalho, peão na empresa onde trabalha e curioso na essência. Trabalha atualmente na HP na área de pesquisa e desenvolvimento fazendo revisões de segurança em projetos e gerente de projeto em projetos de segurança. Mais informações em http://www.linkedin.com/in/iramar. |
MBA em gerenciamento de projetos e engenheiro elétrico no papel, engenheiro de segurança em software na carteira de trabalho, peão na empresa onde trabalha e curioso na essência. Trabalha atualmente na HP na área de pesquisa e desenvolvimento fazendo revisões de segurança em projetos e gerente de projeto em projetos de segurança. Mais informações em http://www.linkedin.com/in/iramar. |
||
+ | '''[http://slides.com/riramar/mitm Os slides da palestra estão disponíveis aqui]''' |
||
=Oficina Practical SAP Pentesting= |
=Oficina Practical SAP Pentesting= |
Edição atual tal como às 12h36min de 16 de abril de 2014
профессия Рауль: A influência do cibercrime do Leste Europeu na América Latina
Auditório Pac-Man
O Leste Europeu foi o berço dos trojans bancários mais ativos, complexos e bem sucedidos conhecidos até agora: Zeus, SpyEye, Carberp e outros. Cibercriminosos do Leste Europeu, autores desses trojans bancários, estão não somente influenciando a América Latina de uma maneira nunca vista antes; eles estão vendendo seus exploit kits, suas técnicas, seu know-how para os cibercriminosos latinos, que estão movendo-se de uma posição de clientes para parceiros de negócios, testando novas ferramentas e novos ataques.
Nessa apresentação iremos detalhar o cenário real das ameaças bancárias na América Latina na era pós Zeus e como as instituições financeiras da região devem estar preparadas para um jogo duro na proteção dos seus clientes. Para lutar contra a fraude bancária no futuro, você deve aprender Russo.
Fabio Assolini
Comedor de malware na @kaspersky, ninja da @linhadefensiva, amantes de música eletrônica.
Tecnologias Open Source para Alta disponibilidade e proteção de aplicações Web
Sala Space Invaders
Um dos grandes desafios para as empresas é a disponibilidade e mitigação de vulnerabilidades de aplicações web levando em conta a peculiaridade do sistema hospedado, falta de acesso administrativo, limitações técnicas e ativos de proteção de borda que não contribuem efetivamente nesta tarefa. Nesta palestra irei apresentar como implantar uma camada de segurança totalmente Open Source que permitem a prevenção proativa contra ataques direcionados a aplicações web funcionando em alta disponibilidade.
Alexandro Silva
Alexandro Silva atua há mais de 7 anos como especialista em segurança de redes e sistemas Unix/Linux, responsável pelo desenvolvimento e execução de projetos em segurança de perímetro e profundidade, segurança de sistemas Web, análise de vulnerabilidade, prevenção e detecção de intrusão.Atua como especialista na iBLISS Segurança e Inteligência sendo responsável por projetos de gestão de vulnerabilidades de infraestrutura e aplicações, auditoria de segurança e configuração segura (baseline).
Oficina git-start: Começando no Git
Sala Q*Bert
O Git é uma ferramenta simples e poderosa para gerenciamento de controle de versão.Por isso, tem tido uma rápida adoção por empresas e, principalmente, por projetos Open Source. Junto com sua adoção, o Git traz um novo conceito no desenvolvimento colaborativo de software, onde sua arquitetura possibilita um desenvolvimento descentralizado. Sites como o "GitHub" tem popularizado ainda mais a adoção do Git como ferramenta de controle de versão por desenvolvedores, tendo assim mais visibilidade para compartilhar seus códigos e ideias. A oficina irá ajudar e demonstrar como utilizar o Git através de conceitos e comandos básicos para o dia a dia, além de dicas para o uso dos sites GitHub e Bitbucket.
Fernando A. Damião
Fernando A. Damião é graduando em Ciência da Computação, e um dos fundadores do SJC Hacker Clube, o primeiro Hackerspace do Vale do Paraíba. É entusiasta de Software Livre e Segurança da Informação e atua com Desenvolvimento Web. Também é autor e mantenedor do guia colaborativo git-start: Guia básico de Git. Atualmente é bolsista no Programa EMBRACE - Estudo e Monitoramento Brasileiro do Clima Espacial no INPE.
Oficina de Lockpicking
Sala Missile Command
Victor Scattone e Thiago Lechuga (Garoa Hacker Clube)
Bypass de Token CSRF na prática
Auditório Pac-Man
Exploração pratica de 3 falhas de XSS que permitem o Bypass da proteção de CSRF (CSRF Token)
William Costa
Trabalho com Tecnologia há 12 anos dos quais 7 foram dedicados a Segurança da Informação, conquistei as certificações CISSP, CEH, CPT, CEPT, Comptia Security+, FCNSP, LPI durante minha carreira. Palestrei no BsidesSP 7 e Fatec Mauá, 9 falhas publicadas (CVEs).
Branca de Neve e os 7 anões - A história do Security Content Automation Protocol (SCAP)
Sala Space Invaders
"Atualmente a falta de padronização de nomenclaturas e padrões de detecção, tornam muitas vezes complicado relatórios e notificações. O SCAP (Security Content Automation Protocol) tem o objetivo de minimizar esses problemas, criando padrões, que são utilizados por grandes empresas do mercado em seus produtos como HP, IBM, Tripware entre outras.
De forma simples, ilustraremos na palestra o poder do SCAP (Security Content Automation Protocol) e seus 7 componentes ( CVE, CVSS, CCE, CPE, XCCDF, OVAL e OCIL) . Explicaremos como eles se integram, como que utilizamos no nosso dia a dia, mesmo sem pleno conhecimento, o potencial de cada um dos componentes que podem ser utilizados sozinhos e em que produtos/situações podemos utilizar eles.
Utilizaremos como demonstração de uso o projeto Open Source mantido pela Redhat, chamado Open Scap, no qual linkaremos como o uso dos 7 componentes com a ferramenta pode se tornar parte essencial na sua rede, podendo ser integrados com outras ferramentas com o SpaceWalk.
O uso do SCAP é muito versátil e palestras abordaremos 3 usos principais: Análise Vulnerabilidades, Patch Management, Controle de Configurações."
Rodrigo "Sp0oKeR" Montoro
Rodrigo "Sp0oKeR" Montoro é certificado LPI, RHCE e SnortCP com 15 anos de experiência em Open Source. Atualmente trabalha como Senior Security Administrator em uma startup de combate a malwares e proteção Web chamada Sucuri Security. Já palestrou em inúmeros eventos no Brasil (FISL, CONISLI, Latinoware, H2HC, BSides), EUA (Source Boston / Seattle, Toorcon, Bsides Las Vegas) e Canadá (SecTor). Possui 2 patentes requeridas na detecção de Malwares (PDF e cabeçalhos HTTP), resultados de suas pesquisas. Fundador e evangelista da comunidade Snort no Brasil desde 2003.
O Marco Civil, propostas legislativas para regulamentação da Internet
Auditório Pac-Man
O Brasil está cada vez mais próximo de ter novas leis para crimes eletrônicos e a e regulamentação da Internet nas questões de privacidade, uso e serviços prestados pelos provedores.
Seja na esfera civil ou na criminal, a criação de novas regulamentações trará impactos, positivos e negativos, para os internautas, operadores e empresas. Muitos dos projetos que definem como condutas criminosas técnicas já ultrapassadas ou que na prática serão inúteis, outros são tão genéricos que podem considerar qualquer administrador de rede como um hacker e delinquente.
A objeto deste espaço será atualizar todos sobre o que já existe de lei e o que poderá existir em breve.
Adriano Mendes
Adriano Mendes, advogado atuante no direito empresarial de empresas nacionais e estrangeiras da área de tecnologia; sócio do ASSIS E MENDES Advogados. Atua na área consultiva, com ênfase no exame, elaboração e revisão de contratos de tecnologia, licenças de software e questões que envolvam Direito e Internet. Membro efetivo da Comissão de Ciência e Tecnologia da OAB/SP, Associado e Membro da Diretoria eleita da Internet Society, Capítulo Brasil (ISOC.org). Foi professor de Ética, Direito e Legislação e atualmente palestra sobre assuntos empresariais e de tecnologia jurídica. Possui pós-graduação em contratos pela PUC/SP, MBA em Fusões e Aquisições, LLM Direito e Economia Europeia, além de diversos cursos, no Brasil e exterior, sobre Arbitragem, Direito Eletrônico e Comércio Internacional.
The man-in-the-middle attack
Sala Space Invaders
O objetivo desta apresentação é explicar o conceito do ataque MitM (Man-in-the-Middle), demonstrar na prática o ataque em uma aplicação web e disseminar o conhecimento de algumas formas de mitigação. Para que todos possam entender os conceitos apresentados, inicialmente falo sobre alguns conceitos base como arp, rotas, proxy e ssl handshake.
Ricardo Iramar dos Santos
MBA em gerenciamento de projetos e engenheiro elétrico no papel, engenheiro de segurança em software na carteira de trabalho, peão na empresa onde trabalha e curioso na essência. Trabalha atualmente na HP na área de pesquisa e desenvolvimento fazendo revisões de segurança em projetos e gerente de projeto em projetos de segurança. Mais informações em http://www.linkedin.com/in/iramar.
Os slides da palestra estão disponíveis aqui
Oficina Practical SAP Pentesting
Sala Q*Bert
This workshop will be focused on basics and advanced areas of technical aspects of SAP security. Understanding the architecture of typical SAP system and focuses on every component that can be attacked with live demo and hands-on exercises Covering areas such as SAP Gateway, Message server, RFC security, ITS, ABAP code vulnerabilities, JAVA-engine attacks, Authorizations, Database security, SAPGUI security and many others will be described.
Alexander Polyakov
A father of ERPScan Security Scanner for SAP. Organizer of ZeroNights deep-technical security conference. His expertise covers security of enterprise business-critical software like ERP, CRM, SRM, banking and processing software. He is the manager of EAS-SEC.org, a well-known security expert of the enterprise applications of such vendors as SAP and Oracle, who published a significant number of the vulnerabilities found in the applications of these vendors with acknowledgements from SAP. He is the writer of multiple whitepapers and surveys devoted to information security research in SAP like ""SAP Security in figures"". Alexander were invited to speak and train at international conferences such as BlackHat, RSA, HITB and 35 others around globe as well as in internal workshops for SAP and fortune 500 companies.
Aleph a Collaborative² Malware analysis system
Sala Donkey King
Antivirus, antispyware and lots of “anti” tools became fundamental to contains malware spread and recover from infections. In the past years the exponential number of new malwares are increasing, reaching more than 30.000 per day, making hard to researchers to keep up to date their database. Our thesis is that if there´s a new sample of code, and it has to be static analyzed, we can take advantage from a setup of a collaborative environment to speed up this analysis. He expect to build this tool using the collaborative from opensource developers in order to obtain a new collaborative malware analysis tool, with resources from community to community.
Felipe Pr0teus, Fernando Mercês e Thiago Bordini
Felipe possui graduação em Tecnologia em Informática pela Universidade Estadual de Campinas (2010). Mestre em Eng. de Sistemas e computação da Universidade Federal do Rio de Janeiro (2013), associado ao laboratório de Redes de Alta Velocidade(RAVEL). Tem experiência na área de Ciência da Computação, com ênfase em Visualização de Informação aplicada ao monitoramento de ataques, redes de computadores e segurança da informação. Seus interesses de pesquisa são sobre: testes de penetração, visualização de informação, canais encobertos e técnicas de extração de dados. Membro fundador do Kernel 40º, já tendo palestrado em eventos como Hackers 2 Hackers Conference(2012) e "Ações e Diretrizes de Segurança da RedeRio" (2013).
Fernando Mercês é Consultor de Segurança da Informação na Trend Micro e bacharelando em Ciência da Computação. Com foco em infraestrutura e segurança da aplicações, já atuou em grandes projetos envolvendo softwares livres e participa ativamente de várias comunidades open source, incluindo a do Debian GNU/Linux. Possui as certificações A+, LPIC-3, MCP, MCITP, já ministrou cursos e palestras em eventos como FISL, LinuxCon e H2HC (Hackers To Hackers Conference). É idealizador do evento Universidade Livre, que busca levar o SL às universidades brasileiras, além de escrever textos sobre tecnologia em seu site pessoal, Mente Binária e manter várias ferramentas de código aberto na área de segurança como pev (toolkit para análise de executáveis de Windows), T50 (stress em redes), USBForce (antivírus para pen-drive) e o hack-functions (conjunto de funções em bash para analistas de segurança e programadores).
Thiago Bordini é pesquisado independente. Palestrante em diversos eventos como H2HC, BSides, YSTS, CNASI, SegInfo, ValeSec dentro outras. Professor universitário em diversas universidades de São Paulo.
Programas bug bounty: hackeando os gigantes da internet for fun and profit
Auditório Pac-Man
Reginaldo Silva
Reginaldo Silva, engenheiro formado pelo ITA, é um entusiasta da computação, tendo interesses em segurança da informação, desenvolvimento web, linguagens de programação, inteligência artificial e redes sociais complexas, tema de seu mestrado. É desenvolvedor web desde 2001. Já encontrou de segurança graves nas maiores empresas de internet, como Google, Yahoo, eBay, PayPal e Facebook, onde foi até hoje o único a ter encontrado uma falha que permitia a invasão da rede social.
Criptografia a partir do caos
Sala Space Invaders
Esta apresentação vai abordar a utilização de uma nova tendência na criação de algoritmos de criptografia, que é o uso de sistemas caóticos na elaboração destes.
Acredita-se que os algoritmos desenvolvidos a partir da teoria do caos sejam mais seguros, por ela se tratar de uma matemática mais sofistica, e moderna, do que a utilizada na elaboração de algoritmos de criptografia tradicionais.
O objetivo desta apresentação é dar uma introdução a confecção de algoritmos de criptografia, simétrica, caótica.
Anderson Gonçalves Marco
Formado no ICMC - USP em 2012.
Áreas de pesquisa em:
- Criptografia
- Caos
- Programação paralela / GPU
- Mecânica dos sólidos
- Visão computacional
Artigos publicados em revistas:
- MACHICAO, J. ; MARCO, A. G. ; BRUNO, O. M . Chaotic encryption method based on life-like cellular automata. Expert Systems with Applications, v. 39, p. http://dx.doi.o, 2012.
- MARCO, A. G. ; MARTINEZ, A. S. ; Odemir Martinez Bruno . FAST, PARALLEL AND SECURE CRYPTOGRAPHY ALGORITHM USING LORENZ S ATTRACTOR. International Journal of Modern Physics C, v. 21, p. 365-382, 2010.
Trabalhos completos publicados em anais de congressos:
- MARCO, Anderson ; BRUNO, A. B. ; RODRIGUES, F. A. ; COSTA, L. F. ; BRUNO, O. M. . Segmentação automática de áreas urbanas em imagens de sensoriamento remoto. In: VI Workshop de Visão Computacional, 2010, Presidente Prudente. VI Workshop de Visão Computacional, 2010. p. 273-278.
- Jeaneth Machicao ; MARCO, ANDERSON ; BRUNO, ODEMIR . Lyapunov Exponent: A Qualitative Ranking Of Block Cipher Modes Of Operation. In: European Conference on Complex Systems, 2012, Bruselas. ECCS'12 European Conference on Complex Systems, 2012.
- ANSONI, J. L. ; BRANDI, A. C. ; de Marco, A. ; CAROSIO, G. L. C. ; SELEGHIM JUNIOR, P. . SPARSE MATRIX SOLVER ON THE GPU: CONJUGATE GRADIENT METHOD APPLIED TO SOLVE AN INVERSE THERMAL TOMOGRAPHY PROBLEM. In: Inverse Problems, Design and Optimization Symposium, 2010, João Pessoa - PB - Brazil. Inverse Problems, Design and Optimization Symposium, 2010. p. 320-327.
Painel O Bug Heartbleed
Sala Hero
Bate-papo com especialistas sobre o bug Heartbleed: como ele funciona, quais os reais impactos, como as empresas podem mitigar, etc.
Joaquim Espinhara
Ricardo Iramar dos Santos
MBA em gerenciamento de projetos e engenheiro elétrico no papel, engenheiro de segurança em software na carteira de trabalho, peão na empresa onde trabalha e curioso na essência. Trabalha atualmente na HP na área de pesquisa e desenvolvimento fazendo revisões de segurança em projetos e gerente de projeto em projetos de segurança. Mais informações em http://www.linkedin.com/in/iramar.
Wagner Marcelo
Coordenador de STARTUPS da PUC-SP - Departamento de Computação, Executive Director/CEO da RugbyMania e Executive Director/CEO da Intellecta - Centro de estudos avançados.
The bits of bitcoin
Auditório Pac-Man
With everything going on in Bitcoin it's about time you knew how it works in detail. We'll take a close look at the structure, history, and operation of bitcoin. Bitcoin is built on a foundation of crypto and elegance. Understand, mining, transaction scripting, crypto primitive and the interlocking protection mechanisms built into the platform.
Objective: attendees will be able to talk in detail about the operation of bitcoin without needing to "hand wave".
(English only)
Ben April
Ben is a Sr. Threat Researcher and the Americas regional manager of Trend Micro's Forward-looking Threat Research Team. He tends to focus on research areas related to Internet infrastructure such as Routing, Bitcoin, DNS and IP reputation. If not doing that he is likely building a prototype of some analysis tool or sourcing system that will somehow "accidentally" find its way into production.
Pequenas Falhas, Grandes Negócios
Sala Space Invaders
A segurança de informação está cada vez menos sendo levada a sério no desenvolvimento web. Com pequenas falhas demonstrarei como bancos, lojas virtuais e faculdades estão com seus sistemas inseguros. Com apenas um tipo de falha (simples) demonstrarei como "hackear" um simples sistemas universitário até um banco.
Carlos Eduardo Santiago
Matéria relacionadas à imprensa com falhas descobertas por mim...
- http://www1.folha.uol.com.br/tec/2013/08/1331286-brechas-em-sites-do-bradesco-e-do-banco-do-brasil-expoem-milhoes.shtml
- http://www1.folha.uol.com.br/fsp/mercado/64823-falha-no-site-da-eletropaulo-expoe-dados-de-64-milhoes.shtml
Oficina Quick'n'Dirty Python para Penetration Testers
Sala Q*Bert
Já procurou alguma ferramenta para um ataque e não encontrou o que precisava? Já quis testar algo, mas não tinha tempo o suficiente? É hora de trabalhar nas suas próprias ferramentas!
Esta oficina tem por objetivo apresentar pacotes e scripts em Python que podem ser úteis no dia-a-dia de qualquer um executando testes de invasão. Alguns temas abordados:
- Extraindo conteúdo de páginas web.
- Ataques contra senhas.
- Análise de metadados de arquivos.
- Automatizando ataques usando Python.
Pré-requisitos:
- Laptop ou máquina virtual com Python 2.7
Daniel C. Marques (@0xc0da)
Daniel é Consultor Sênior da EY, atuando principalmente em Teste de Invasão e Análise de Vulnerabilidades. Bacharel em Ciência da Computação pela Universidade Federal Fluminense (UFF) e trabalhando com Segurança da Informação há 8 anos, participou de diversos projetos em líderes de mercado e em pesquisa relacionados à Análise de Vulnerabilidades, Sistemas Distribuídos e Certificação Digital. Nas horas vagas é instrutor no Instituto Infnet (RJ) e colabora com projetos em um laboratório de pesquisa.
Debate: Hackers e Democracia
Auditório Pac-Man
A Internet hoje é o principal veículo para manifestação de opiniões políticas, além de ser o principal meio para organizar e divulgar campanhas, passeatas e ações de protesto. Graças do Hacktivismo, o mundo já presenciou centenas de campanhas de protesto online.
Qual é o papel de hackers, coders e desenvolvedores nesse novo mundo? Quais os limites? Como podemos ajudar na construção da e-democracia? O governo está preparado para isso? E as leis?
Participantes
Adriano Mendes, advogado atuante no direito empresarial de empresas nacionais e estrangeiras da área de tecnologia; sócio do ASSIS E MENDES Advogados. Atua na área consultiva, com ênfase no exame, elaboração e revisão de contratos de tecnologia, licenças de software e questões que envolvam Direito e Internet. Membro efetivo da Comissão de Ciência e Tecnologia da OAB/SP, Associado e Membro da Diretoria eleita da Internet Society, Capítulo Brasil (ISOC.org). Foi professor de Ética, Direito e Legislação e atualmente palestra sobre assuntos empresariais e de tecnologia jurídica. Possui pós-graduação em contratos pela PUC/SP, MBA em Fusões e Aquisições, LLM Direito e Economia Europeia, além de diversos cursos, no Brasil e exterior, sobre Arbitragem, Direito Eletrônico e Comércio Internacional.
Alfredo Deak Junior, Diretor de Serviços Setor Público da Microsoft Brasil e Coronel da Polícia Militar do Estado de São Paulo, aonde atuou entre outras áreas como Diretor de Tecnologia e Chefe do Centro de Processamento de Dados. Graduado pela Academia de Polícia Militar do Barro Branco e pós-graduado pela Universidade Mackenzie em Administração de Sistemas de Informação e pós-graduado pela Faculdade de Tecnologia de São Paulo em Análise de Sistemas.
Cristiano Ferri. Doutor em ciência política e sociologia pela Universidade do Estado do Rio de Janeiro - Instituto de Estudos Sociais e Políticos, Mestre em Políticas Públicas pela Queen Mary College - Universidade de Londres e pesquisador associado do Ash Center for Democratic Governance and Innovation da Universidade de Harvard. Idealizador do Portal e-Democracia de participação social da Câmara dos Deputados. Gestor de projetos ligados à transparência 2.0, como dados abertos e Maratona Hacker dessa Casa. Atualmente é o Coordenador do Laboratório Hacker da Câmara dos Deputados.
Gus, organizador da CryptoRave (2014) e da CryptoParty Brasil (2013), é ativista pela liberdade da informação.
Jéssica Santos de Souza é formada em jornalismo pela Universidade Presbiteriana Mackenzie em 2008. Trabalhou no portal de notícias Rede Brasil Atual até 2012. Blogueira e ativista escreve sobre cinema e movimentos sociais no blog Confissões de uma mente curiosa 2.0.
Sequestro digital: A evolução dos Ransomware
Sala Space Invaders
Já ouviu falar em sequestro digital? Quanto vale a sua informação, já pensou nisso ?
Estamos sob um tipo de ataque que traz a realidade física para o mundo digital, você sabe o que é um ataque do tipo Ransonware? Vamos falar um pouco sobre o que é, características, aprendizados e como tentar evitar.
Alfredo Oliveira
Entusiasta do projeto GNU apesar de já ter trabalhado, não por opção, com outros ambientes as raízes sempre foram firmes e fortes em software livre. Trabalha em um laboratório de segurança de uma empresa japonesa, e faz o que faz muito mais que pelo trabalho, pela paixão.