O Outro Lado BSidesSP ed 10/Palestras
BioHacking
Auditório Ben10
Otto Heringer (Garoa Hacker Clube)
XSS more than a simple alert("XSS")
Sala Corredor X
Geralmente um XSS (Cross Site Scripting) é demonstrado através da execução da função “alert box” em JavaScript o que não ressalta o impacto que pode ser causado. Essa palestra visa apresentar os conceitos envolvidos no XSS e a demonstração de um ataque bem sucedido e seu impacto.
Slides: https://docs.google.com/presentation/d/1hV7rANhwTVxKRGP487hGJRgZ-1TySGSh6N_DpE5NFzM/present"
Ricardo Iramar dos Santos
MBA em gerenciamento de projetos e engenheiro elétrico no papel, engenheiro de segurança em software na carteira de trabalho, peão na empresa onde trabalha e curioso na essência. Trabalha atualmente na HP na área de pesquisa e desenvolvimento fazendo revisões de segurança em projetos e gerente de projeto em projetos de segurança.
50 Tons de Backdoors
Auditório Ben10
Através de demonstrações práticas, apresentar técnicas de criação de backdoors em sistemas Linux somente com ferramentas e softwares nativos, ensinando através de técnicas ofensivas a defender e detectar possíveis ameças em servidores e desktops.
Esta apresentação coloca em estado de alerta usuários, administradores de sistemas e analistas de segurança sobre os perigos em deixar mesmo que por poucos minutos sistemas sem supervisão sob o controle de terceiros.
Ulisses Castro
Consultor em Segurança da Informação com pouco mais de 10 anos de experiência na área é viciado em resolver problemas! Respira Linux e Segurança Ofensiva, mantendo a todo instante uma visão subersiva de tecnologias despreparadas para o mundo real.
Modelagem de ameaças para Pentesters
Sala Corredor X
O objetivo é mostrar como criar uma estratégia de ataque para Testes de Penetração e APTs, através de metodologias utilzadas para Modelar Ameaças, entender como atingir o resultado ideal.
Porque o objetivo de um ataque ""APT"" não é simplesmente ganhar acesso de root.
Leandro Rocha
Leandro Rocha é consultor e pesquisador de segurança da informação em redes e aplicações. Paulista, nas horas vagas adora brincar com falhas em sistemas e não dispensa uma boa praia, futebol e aquela gelada.
Pentesting in SDN - Owning the controllers
Auditório Ben10
SDN (Software Defined Network) tem atraído a atenção de muitos gigantes da tecnologia de vários segmentos como VMware, Juniper, Cisco, HP, IBM, Google, China Telecom, Huawei e outros, fornecendo mais serviços virtualizados que podem ser programados, gerenciados e monitorados mais rápidamente, com mais eficiência e de uma forma menos dispendiosa do que as soluções habituais. Definição de rotas, switching, tratamento de QoS e políticas de segurança que antes eram "hospedados" em hardware robusto e/ou específico, agora já se exerce estes mesmos conceitos e funções em camadas mais altas de software, instalados em máquinas virtualizadas. Mas como podemos testar isso? Primeiro, vamos abordar uma visão geral da arquitetura para aprender as noções básicas de SDN, logo em seguida, será explicado como encontrar controladores SDN, se presentes em nossa rede, roubar informações críticas para que possamos continuar com a nossa exploração e no final, vamos tomar posse dos controladores e fazer alterações que não deveriamos realizar. Haverá alguns códigos para o metasploit que será demonstrado. Será que um controlador pode nos controlar? Nos vamos ver.
Roberto Soares Espreto
Roberto Soares, é profissional em segurança da informação desde 2005. Atualmente trabalha como Consultor Sênior para a Conviso Application Security (https://www.conviso.com.br), onde sua especialidade é a Análise de Código (code review), Testes de Intrusão em Aplicações Web e Infraestrutura de Redes, Vulnerability Assessment e Treinamentos abordando práticas em desenvolvimento seguro (SDL). Já ministrou palestras em eventos open-source e em faculdades.
Desenvolvimento (IN)seguro
Sala Corredor X
Esta palestra tem como objetivo demonstrar armadilhas no desenvolvimento web, além de práticas ruins que em adição de alguns fatores podem vir a causar falhas de segurança críticas. Analisaremos alguns casos e demonstrarei formas de mitigar e corrigir tais falhas.
Carlos Eduardo Santiago
É analista de segurança sênior especializado em segurança de aplicações e responsável pela área de pesquisa na Site Blindado. Possui experiência como desenvolvedor web, analista de TI, consultor de segurança em empresas nacionais e internacionais. Também é professor convidado da banca de teses do curso de Redes da Unip - Tatuapé. Este ano encontrou falhas de segurança na HelpScout, 99designs (bug bounty program).
Hacking em Consoles WEBs de Security Appliances
Sala Corredor X
Nesta palestra diversas vulnerabilidades em gateways que deveriam prover segurança serão demonstrados, analisando-se os impactos, as facilidades e as motivações auxiliando a audiência a entender a complexidade dos seus proprios ambientes e a importância da simplificação para obtenção de segurança.
Wiliam Costa
William Costa trabalha com Tecnologia há 12 anos dos quais 7 foram dedicados a Segurança da Informação. Se formou em Tecnólogo em Redes de Computadores pela Faculdade Sumaré, possui certificações tais como : CISSP, CEH, ECSA, CEPT, CPT. Já apresentou palestras na LACSEC, BsidesSP, CSM, TDC. E pesquisador independente, durante suas pesquisas encontrou vulnerabilidades em produtos de renomeadas empresas tais como Cisco, Symantec, Sonicwall, F-Secure, Barracuda, Riverbed, Facebook entre outras.
Debate
Auditório Ben10
Tema e participantes serão divulgados em breve.