O Outro Lado BSidesSP ed 8/Palestras

De Garoa Hacker Clube
Ir para navegação Ir para pesquisar


профессия Рауль: A influência do cibercrime do Leste Europeu na América Latina

Auditório Pac-Man

O Leste Europeu foi o berço dos trojans bancários mais ativos, complexos e bem sucedidos conhecidos até agora: Zeus, SpyEye, Carberp e outros. Cibercriminosos do Leste Europeu, autores desses trojans bancários, estão não somente influenciando a América Latina de uma maneira nunca vista antes; eles estão vendendo seus exploit kits, suas técnicas, seu know-how para os cibercriminosos latinos, que estão movendo-se de uma posição de clientes para parceiros de negócios, testando novas ferramentas e novos ataques.

Nessa apresentação iremos detalhar o cenário real das ameaças bancárias na América Latina na era pós Zeus e como as instituições financeiras da região devem estar preparadas para um jogo duro na proteção dos seus clientes. Para lutar contra a fraude bancária no futuro, você deve aprender Russo.

Fabio Assolini

Comedor de malware na @kaspersky, ninja da @linhadefensiva, amantes de música eletrônica.

Tecnologias Open Source para Alta disponibilidade e proteção de aplicações Web

Sala Space Invaders

Um dos grandes desafios para as empresas é a disponibilidade e mitigação de vulnerabilidades de aplicações web levando em conta a peculiaridade do sistema hospedado, falta de acesso administrativo, limitações técnicas e ativos de proteção de borda que não contribuem efetivamente nesta tarefa. Nesta palestra irei apresentar como implantar uma camada de segurança totalmente Open Source que permitem a prevenção proativa contra ataques direcionados a aplicações web funcionando em alta disponibilidade.

Alexandro Silva

Alexandro Silva atua há mais de 7 anos como especialista em segurança de redes e sistemas Unix/Linux, responsável pelo desenvolvimento e execução de projetos em segurança de perímetro e profundidade, segurança de sistemas Web, análise de vulnerabilidade, prevenção e detecção de intrusão.Atua como especialista na iBLISS Segurança e Inteligência sendo responsável por projetos de gestão de vulnerabilidades de infraestrutura e aplicações, auditoria de segurança e configuração segura (baseline).

Oficina git-start: Começando no Git

Sala Q*Bert

O Git é uma ferramenta simples e poderosa para gerenciamento de controle de versão.Por isso, tem tido uma rápida adoção por empresas e, principalmente, por projetos Open Source. Junto com sua adoção, o Git traz um novo conceito no desenvolvimento colaborativo de software, onde sua arquitetura possibilita um desenvolvimento descentralizado. Sites como o "GitHub" tem popularizado ainda mais a adoção do Git como ferramenta de controle de versão por desenvolvedores, tendo assim mais visibilidade para compartilhar seus códigos e ideias. A oficina irá ajudar e demonstrar como utilizar o Git através de conceitos e comandos básicos para o dia a dia, além de dicas para o uso dos sites GitHub e Bitbucket.

Fernando A. Damião

Fernando A. Damião é graduando em Ciência da Computação, e um dos fundadores do SJC Hacker Clube, o primeiro Hackerspace do Vale do Paraíba. É entusiasta de Software Livre e Segurança da Informação e atua com Desenvolvimento Web. Também é autor e mantenedor do guia colaborativo git-start: Guia básico de Git. Atualmente é bolsista no Programa EMBRACE - Estudo e Monitoramento Brasileiro do Clima Espacial no INPE.

Oficina de Lockpicking

Sala Missile Command

Victor Scattone e Thiago Lechuga (Garoa Hacker Clube)


Bypass de Token CSRF na prática

Auditório Pac-Man

Exploração pratica de 3 falhas de XSS que permitem o Bypass da proteção de CSRF (CSRF Token)

William Costa

Trabalho com Tecnologia há 12 anos dos quais 7 foram dedicados a Segurança da Informação, conquistei as certificações CISSP, CEH, CPT, CEPT, Comptia Security+, FCNSP, LPI durante minha carreira. Palestrei no BsidesSP 7 e Fatec Mauá, 9 falhas publicadas (CVEs).

Branca de Neve e os 7 anões - A história do Security Content Automation Protocol (SCAP)

Sala Space Invaders

"Atualmente a falta de padronização de nomenclaturas e padrões de detecção, tornam muitas vezes complicado relatórios e notificações. O SCAP (Security Content Automation Protocol) tem o objetivo de minimizar esses problemas, criando padrões, que são utilizados por grandes empresas do mercado em seus produtos como HP, IBM, Tripware entre outras.

De forma simples, ilustraremos na palestra o poder do SCAP (Security Content Automation Protocol) e seus 7 componentes ( CVE, CVSS, CCE, CPE, XCCDF, OVAL e OCIL) . Explicaremos como eles se integram, como que utilizamos no nosso dia a dia, mesmo sem pleno conhecimento, o potencial de cada um dos componentes que podem ser utilizados sozinhos e em que produtos/situações podemos utilizar eles.

Utilizaremos como demonstração de uso o projeto Open Source mantido pela Redhat, chamado Open Scap, no qual linkaremos como o uso dos 7 componentes com a ferramenta pode se tornar parte essencial na sua rede, podendo ser integrados com outras ferramentas com o SpaceWalk.

O uso do SCAP é muito versátil e palestras abordaremos 3 usos principais: Análise Vulnerabilidades, Patch Management, Controle de Configurações."

Rodrigo "Sp0oKeR" Montoro

Rodrigo "Sp0oKeR" Montoro é certificado LPI, RHCE e SnortCP com 15 anos de experiência em Open Source. Atualmente trabalha como Senior Security Administrator em uma startup de combate a malwares e proteção Web chamada Sucuri Security. Já palestrou em inúmeros eventos no Brasil (FISL, CONISLI, Latinoware, H2HC, BSides), EUA (Source Boston / Seattle, Toorcon, Bsides Las Vegas) e Canadá (SecTor). Possui 2 patentes requeridas na detecção de Malwares (PDF e cabeçalhos HTTP), resultados de suas pesquisas. Fundador e evangelista da comunidade Snort no Brasil desde 2003.

O Marco Civil, propostas legislativas para regulamentação da Internet

Auditório Pac-Man

O Brasil está cada vez mais próximo de ter novas leis para crimes eletrônicos e a e regulamentação da Internet nas questões de privacidade, uso e serviços prestados pelos provedores.

Seja na esfera civil ou na criminal, a criação de novas regulamentações trará impactos, positivos e negativos, para os internautas, operadores e empresas. Muitos dos projetos que definem como condutas criminosas técnicas já ultrapassadas ou que na prática serão inúteis, outros são tão genéricos que podem considerar qualquer administrador de rede como um hacker e delinquente.

A objeto deste espaço será atualizar todos sobre o que já existe de lei e o que poderá existir em breve.

Adriano Mendes

Adriano Mendes, advogado atuante no direito empresarial de empresas nacionais e estrangeiras da área de tecnologia; sócio do ASSIS E MENDES Advogados. Atua na área consultiva, com ênfase no exame, elaboração e revisão de contratos de tecnologia, licenças de software e questões que envolvam Direito e Internet. Membro efetivo da Comissão de Ciência e Tecnologia da OAB/SP, Associado e Membro da Diretoria eleita da Internet Society, Capítulo Brasil (ISOC.org). Foi professor de Ética, Direito e Legislação e atualmente palestra sobre assuntos empresariais e de tecnologia jurídica. Possui pós-graduação em contratos pela PUC/SP, MBA em Fusões e Aquisições, LLM Direito e Economia Europeia, além de diversos cursos, no Brasil e exterior, sobre Arbitragem, Direito Eletrônico e Comércio Internacional.


Oficina Practical SAP Pentesting

Sala Q*Bert

This workshop will be focused on basics and advanced areas of technical aspects of SAP security. Understanding the architecture of typical SAP system and focuses on every component that can be attacked with live demo and hands-on exercises Covering areas such as SAP Gateway, Message server, RFC security, ITS, ABAP code vulnerabilities, JAVA-engine attacks, Authorizations, Database security, SAPGUI security and many others will be described.

Alexander Polyakov

A father of ERPScan Security Scanner for SAP. Organizer of ZeroNights deep-technical security conference. His expertise covers security of enterprise business-critical software like ERP, CRM, SRM, banking and processing software. He is the manager of EAS-SEC.org, a well-known security expert of the enterprise applications of such vendors as SAP and Oracle, who published a significant number of the vulnerabilities found in the applications of these vendors with acknowledgements from SAP. He is the writer of multiple whitepapers and surveys devoted to information security research in SAP like ""SAP Security in figures"". Alexander were invited to speak and train at international conferences such as BlackHat, RSA, HITB and 35 others around globe as well as in internal workshops for SAP and fortune 500 companies.

Aleph a Collaborative² Malware analysis system

Sala Donkey King

Antivirus, antispyware and lots of “anti” tools became fundamental to contains malware spread and recover from infections. In the past years the exponential number of new malwares are increasing, reaching more than 30.000 per day, making hard to researchers to keep up to date their database. Our thesis is that if there´s a new sample of code, and it has to be static analyzed, we can take advantage from a setup of a collaborative environment to speed up this analysis. He expect to build this tool using the collaborative from opensource developers in order to obtain a new collaborative malware analysis tool, with resources from community to community.

Felipe Pr0teus, Fernando Mercês e Thiago Bordini

Felipe possui graduação em Tecnologia em Informática pela Universidade Estadual de Campinas (2010). Mestre em Eng. de Sistemas e computação da Universidade Federal do Rio de Janeiro (2013), associado ao laboratório de Redes de Alta Velocidade(RAVEL). Tem experiência na área de Ciência da Computação, com ênfase em Visualização de Informação aplicada ao monitoramento de ataques, redes de computadores e segurança da informação. Seus interesses de pesquisa são sobre: testes de penetração, visualização de informação, canais encobertos e técnicas de extração de dados. Membro fundador do Kernel 40º, já tendo palestrado em eventos como Hackers 2 Hackers Conference(2012) e "Ações e Diretrizes de Segurança da RedeRio" (2013).

Fernando Mercês é Consultor de Segurança da Informação na Trend Micro e bacharelando em Ciência da Computação. Com foco em infraestrutura e segurança da aplicações, já atuou em grandes projetos envolvendo softwares livres e participa ativamente de várias comunidades open source, incluindo a do Debian GNU/Linux. Possui as certificações A+, LPIC-3, MCP, MCITP, já ministrou cursos e palestras em eventos como FISL, LinuxCon e H2HC (Hackers To Hackers Conference). É idealizador do evento Universidade Livre, que busca levar o SL às universidades brasileiras, além de escrever textos sobre tecnologia em seu site pessoal, Mente Binária e manter várias ferramentas de código aberto na área de segurança como pev (toolkit para análise de executáveis de Windows), T50 (stress em redes), USBForce (antivírus para pen-drive) e o hack-functions (conjunto de funções em bash para analistas de segurança e programadores).

Thiago Bordini é pesquisado independente. Palestrante em diversos eventos como H2HC, BSides, YSTS, CNASI, SegInfo, ValeSec dentro outras. Professor universitário em diversas universidades de São Paulo.

Criptografia a partir do caos

Sala Space Invaders

Esta apresentação vai abordar a utilização de uma nova tendência na criação de algoritmos de criptografia, que é o uso de sistemas caóticos na elaboração destes.

Acredita-se que os algoritmos desenvolvidos a partir da teoria do caos sejam mais seguros, por ela se tratar de uma matemática mais sofistica, e moderna, do que a utilizada na elaboração de algoritmos de criptografia tradicionais.

O objetivo desta apresentação é dar uma introdução a confecção de algoritmos de criptografia, simétrica, caótica.

Anderson Gonçalves Marco

Formado no ICMC - USP em 2012.

Áreas de pesquisa em:

  • Criptografia
  • Caos
  • Programação paralela / GPU
  • Mecânica dos sólidos
  • Visão computacional

Artigos publicados em revistas:

  • MACHICAO, J. ; MARCO, A. G. ; BRUNO, O. M . Chaotic encryption method based on life-like cellular automata. Expert Systems with Applications, v. 39, p. http://dx.doi.o, 2012.
  • MARCO, A. G. ; MARTINEZ, A. S. ; Odemir Martinez Bruno . FAST, PARALLEL AND SECURE CRYPTOGRAPHY ALGORITHM USING LORENZ S ATTRACTOR. International Journal of Modern Physics C, v. 21, p. 365-382, 2010.

Trabalhos completos publicados em anais de congressos:

  • MARCO, Anderson ; BRUNO, A. B. ; RODRIGUES, F. A. ; COSTA, L. F. ; BRUNO, O. M. . Segmentação automática de áreas urbanas em imagens de sensoriamento remoto. In: VI Workshop de Visão Computacional, 2010, Presidente Prudente. VI Workshop de Visão Computacional, 2010. p. 273-278.
  • Jeaneth Machicao ; MARCO, ANDERSON ; BRUNO, ODEMIR . Lyapunov Exponent: A Qualitative Ranking Of Block Cipher Modes Of Operation. In: European Conference on Complex Systems, 2012, Bruselas. ECCS'12 European Conference on Complex Systems, 2012.
  • ANSONI, J. L. ; BRANDI, A. C. ; de Marco, A. ; CAROSIO, G. L. C. ; SELEGHIM JUNIOR, P. . SPARSE MATRIX SOLVER ON THE GPU: CONJUGATE GRADIENT METHOD APPLIED TO SOLVE AN INVERSE THERMAL TOMOGRAPHY PROBLEM. In: Inverse Problems, Design and Optimization Symposium, 2010, João Pessoa - PB - Brazil. Inverse Problems, Design and Optimization Symposium, 2010. p. 320-327.

The bits of bitcoin

Auditório Pac-Man

With everything going on in Bitcoin it's about time you knew how it works in detail. We'll take a close look at the structure, history, and operation of bitcoin. Bitcoin is built on a foundation of crypto and elegance. Understand, mining, transaction scripting, crypto primitive and the interlocking protection mechanisms built into the platform.

Objective: attendees will be able to talk in detail about the operation of bitcoin without needing to "hand wave".

(English only)

Ben April

Ben is a Sr. Threat Researcher and the Americas regional manager of Trend Micro's Forward-looking Threat Research Team. He tends to focus on research areas related to Internet infrastructure such as Routing, Bitcoin, DNS and IP reputation. If not doing that he is likely building a prototype of some analysis tool or sourcing system that will somehow "accidentally" find its way into production.

Pingo: API universal para hardware hacking

Sala Space Invaders

Cada vez mais pequenos computadores embarcados podem ser programados em linguagens mais simples do que C. Arduino Yún, Raspberry Pi, BeagleBone e UDOO rodam Python, e para facilitar ainda mais o hardware hacking via GPIO (General-purpose IO) estamos desenvolvendo o Projeto Pingo, uma API universal que unifica as funções necessárias para controlar e ler pinos digitais e analógicos em qualquer placa que rode Python ou que possa ser controalda remotamente por Python.

Luciano Ramalho

Programador repentista, apreciador de linguagens de programação elegantes, contador de estórias e inventor de jogos de tabuleiro. Co-fundador do Garoa Hacker Clube e da Associação Python Brasil.

Oficina Quick'n'Dirty Python para Penetration Testers

Sala Q*Bert

Já procurou alguma ferramenta para um ataque e não encontrou o que precisava? Já quis testar algo, mas não tinha tempo o suficiente? É hora de trabalhar nas suas próprias ferramentas!

Esta oficina tem por objetivo apresentar pacotes e scripts em Python que podem ser úteis no dia-a-dia de qualquer um executando testes de invasão. Alguns temas abordados:

  • Extraindo conteúdo de páginas web.
  • Ataques contra senhas.
  • Análise de metadados de arquivos.
  • Automatizando ataques usando Python.

Pré-requisitos:

  • Laptop ou máquina virtual com Python 2.7

Daniel C. Marques (@0xc0da)

Daniel é Consultor Sênior da EY, atuando principalmente em Teste de Invasão e Análise de Vulnerabilidades. Bacharel em Ciência da Computação pela Universidade Federal Fluminense (UFF) e trabalhando com Segurança da Informação há 8 anos, participou de diversos projetos em líderes de mercado e em pesquisa relacionados à Análise de Vulnerabilidades, Sistemas Distribuídos e Certificação Digital. Nas horas vagas é instrutor no Instituto Infnet (RJ) e colabora com projetos em um laboratório de pesquisa.

Sequestro digital: A evolução dos malwares Ransomware

Auditório Pac-Man

Alfredo Oliveira

Pequenas Falhas, Grandes Negócios

Sala Space Invaders

A segurança de informação está cada vez menos sendo levada a sério no desenvolvimento web. Com pequenas falhas demonstrarei como bancos, lojas virtuais e faculdades estão com seus sistemas inseguros. Com apenas um tipo de falha (simples) demonstrarei como "hackear" um simples sistemas universitário até um banco.

Carlos Eduardo Santiago

Matéria relacionadas à imprensa com falhas descobertas por mim...