O Outro Lado BSidesSP ed 12/Palestras

De Garoa Hacker Clube
Ir para navegação Ir para pesquisar


O Maravilhoso Mundo das Competições Capture the Flag (CTF) e o Projeto CTF-BR

Esta palestra visa fazer uma introdução sobre o maravilhoso mundo das competições Capture the Flag (CTF), eventos de segurança da informação que englobam muitas competências das equipes participantes, exigindo a resolução rápida de problemas de diversas categorias e níveis de dificuldade, obtendo assim as flags e pontuando. O Projeto CTF-BR (www.ctf-br.org) também será explanado.

Wagner Barongello

Apaixonado por ciências exatas desde pequeno, com mais de 17 anos dedicados à ciência da computação, passou por traduções de ROMs, ROM hacking, desenvolvimento web/desktop/mobile (inclusive Palms)/consoles e engenharia reversa em diversos sistemas e arquiteturas. Sabe se virar em eletrônica, robótica, mecânica e automação. Pertinente ao tema, foi um dos vencedores do Hacker Challenge 2007.

Análise de segurança de aplicativos bancários na plataforma Android

O volume de transações bancárias realizadas por dispositivos móveis cresce a cada ano. Nessa palestra, reportamos resultados de uma análise de segurança em aplicativos bancários, sob dois aspectos principais: segurança da conexão SSL/TLS estabelecida e configuração do servidor propriamente dito, com ênfase em ataques clássicos e recentes ao protocolo SSL/TLS, sob perspectiva das melhores práticas de segurança. Os bancos analisados foram Banco do Brasil, Bradesco, Caixa Econômica Federal, Citibank, HSBC, Itaú e Santander. Foi possível montar um ataque de personificação do servidor com sucesso na maioria dos aplicativos e obter informações sigilosas, credenciais de autenticação e dados financeiros. As observações coletadas não se resumiram apenas aos ataques de personificação, mas também a falhas na configuração dos servidores e decisões de projeto questionáveis, como integração com redes sociais. Apesar da ênfase no setor financeiro, as recomendações são aplicáveis a outros tipos de serviço. Demonstração prática incluída.

Rafael Junio

Rafael Junio é formando no curso de Engenharia da Computação da UNICAMP, com interesse nas áreas de Criptografia e Segurança Computacional. Atualmente, pesquisa a segurança de implementações reais do protocolo SSL/TLS em modalidade de Iniciação Científica, sob orientação do Prof. Diego Aranha.

MAME/MESS: Engenharia Reversa e Emulação de Dispositivos Digitais

O projeto MAME (Multiple Arcade Machine Emulator), e posteriormente seu projeto irmão MESS (Multi Emulator Super System), nasceram com o propósito de documentar a história da eletrônica digital, por meio da emulação fiel dos circuitos digitais de placas-mãe de arcades, computadores, consoles de video-game, e diversos outros equipamentos.

Por meio do estudo do código-fonte desses projetos podemos entender melhor como esses dispositivos funcionam, e poder interagir com esses equipamentos mesmo depois de tornarem-se raros ou inacessíveis. Podemos também aprender mais sobre técnicas de projeto de hardware e de desenvolvimento de software embarcado, arquiteturas de computador, etc.

Por fim, as técnicas que precisamos dominar para desenvolver novos emuladores com base no framework MAME/MESS, envolvem procedimentos de engenharia reversa que são também muito úteis na pesquisa de vulnerabilidades em dispositivos embarcados assim como no processo árduo de criação de soluções livres que substituam os firmwares proprietários utilizados nos mais diversos dispositivos do nosso cotidiano, ou até mesmo no processo de port de sistemas operacionais para novas plataformas de hardware.

Nesse sentido, estes conhecimentos de engenharia reversa não são somente o meio para se conseguir matar as saudades dos jogos de video-game das décadas passadas, mas também ferramenta de reconquista da autonomia no uso de computadores de hoje em dia. Para que possamos solucionar os problemas de liberdade dos usuários denunciados por projetos como LibreBoot e Linux-Libre, precisamos formar uma comunidade de hardware hackers habilidosos na prática de engenharia reversa e engajá-los na análise e reconquista dos nossos dispositivos de computação digital.

Felipe Sanches (Juca)

Felipe Sanches é ativista e desenvolvedor de software livre e projetista de hardware livre. Co-fundador da Metamáquina, empresa brasileira de impressão 3d, é um entusiasta das tecnologias de fabricação digital. Participa do desenvolvimento de softwares livres nas áreas de design gráfico, CAD e modelagem/impressão 3D como Inkscape, OpenSCAD, Pronterface e GNU LibreDWG. É também co-fundador do Garoa Hacker Clube, primeiro hackerspace brasileiro, e do PoliGNU: Grupo de Estudos de Software Livre da Escola Politécnica da USP. Há cerca de 2 anos tem contribuído com o desenvolvimento de emuladores para diversos dispositivos de hardware junto aos projetos MAME (Multi Arcade Machine Emulator) e MESS (Multiple Emulator Super System).

Como transformar equipamentos eletrônicos em maquinas de guerra campeãs mundiais

A ideia da apresentação será mostrar um pouco sobre a nossa Equipe, de uma maneira bem descontraída, com a apresentação de vídeos de nossas competições e a exibição de alguns de nossos robôs.

Pretendemos levar o General e o Federal, que são os nossos maiores robôs e os maiores do campeonato nacional, pesam 55,4 Kg e 27,2 Kg, e já conquistaram diversos títulos, entre eles os campeonatos mundiais e o pentacampeonato nacional!

Falar um pouco dos desafios envolvidos no projeto: a escolha de componentes e materiais, quanto custa, como fazer e mostrar que qualquer um pode participar, a nossa competição é aberta ao público.

P.S: O General tem lança-chamas, se houver espaço seguro a gente pode até fazer uma exibição dinâmica do robô.

Francis Eduardo Ribeiro

Estudante de Graduação de Ciências da Computação na Universidade Federal de Itajubá, atual capitão da área de efeitos visuais e marketing da Equipe Uai!rrior de Robótica da UNIFEI.

Campeonato Nacional Winter Challenge 11 2015

  • 1º Lugar categoria Lightweight
  • 1° Lugar categoria Antweight
  • 1º Lugar categoria Hockeybot
  • 3º Lugar categoria Beetleweight

Campeonato Mundial Robogames 2015

  • 1º Lugar categoria Hockeybot
  • 2º Lugar categoria Middleweight
  • 2º Lugar categoria Lightweight

Campeonato Nacional Submarino U.R.C. - Campus Party 2015

  • 1º Lugar categoria Lightweight
  • 3º Lugar categoria Featherweight

Campeonato Nacional Winter Challenge 10 2014

  • 1º Lugar categoria Lightweight
  • 1º Lugar categoria Hockeybot
  • 2° Lugar categoria Featherweight
  • 3º Lugar categoria Beetleweight

Campeonato Mundial USATL - STEM TECH Olympiad 2014

  • Best in Show Categoria Middleweight
  • Best in Show Categoria Hobbyweight
  • 1º Lugar categoria Middleweight
  • 1º Lugar categoria Antweight
  • 3º Lugar categoria Beetleweight
  • 3º Lugar categoria Hobbyweight

Campeonato Nacional Submarino U.R.C. - Campus Party 2014

  • 1º Lugar categoria Middleweight

Segurança no mundo Pós-Quântico

Mitos e verdades sobre o que pode acontecer com os protocolos criptográficos atuais com o advento da tecnologia quântica. O que de fato temos que nos preocupar e qual utilidade prática dos resultados obtidos pela pesquisa acadêmica na segurança pós-quântica.

Será apresentado o modelo de segurança atual dos protocolos criptográficos, como eles ficariam vulneráveis a um ataque quântico e quais são as frentes de pesquisa em andamento para evitar que isso ocorra.

Diego Mariano

No mundo acadêmico, doutorando na área de segurança da informação pela POLI-USP; no mundo corporativo, responsável pela segurança do Internet Banking e Apps móveis do Itaú Unibanco; nas horas vagas participa das competições Capture the Flag pelos times Epic Leet Team e CTF-BR.

Arduino e Wearables - Aplicações para entretenimento

A área de entretenimento está cada vez mais tecnológica. Em apresentações musicais, teatrais, entre outros, vemos artistas utilizando dispositivos com leds, com movimentos e sons. Nesta apresentação, serão apresentados alguns dispositivos vestíveis utilizando Arduino; como camisetas, tiaras, coroas e gravatas, desde seu planejamento, passando pelas etapas de idealização, prototipação e por fim funcionamento. Todas as etapas e desafios serão demonstrados e discutidos. Ao final da apresentação, serão demonstrados ao vivo.

Gedeane Kenshima

Engenheira de Controle e Automação, Técnica em Automação Industrial, ambos pelo IFSP. Atualmente trabalha como Montadora na empresa Tudela Indústria. Hobbista e maker, se interessou pela área de Arduino desde 2013, e Wearables desde o ano passado. Os projetos desenvolvidos são voltados para a área fashion e entretenimento: camisetas com leds, tiaras com servomotores, gravatas sonoras entre outros. Palestras sobre o tema apresentadas no Rio de Janeiro, São José dos Campos, Recife, São Paulo e Brasília, em eventos sobre Arduino, Makers e IoT.

Testando a ingenuidade dos usuários com um Fake AP mal configurado

A popularização de dispositivos móveis e o acesso ubíquo fornecido pelas tecnologias de rede sem fio impulsionam a crescente adoção de redes wireless de uso público. Quase sempre presentes em universidades, shoppings, aeroportos e cafés, essas redes oferecem Internet aos que precisam pagar uma conta ou simplesmente acessar uma rede social. Porém, o uso desta conveniência pressupõe cuidados com segurança através de um esforço colaborativo entre usuário e provedor. Por mais que este último cumpra sua parte, o usuário sempre terá um papel fundamental na proteção de suas próprias informações. A consciência do usuário desta responsabilidade e dos riscos inerentes ao acesso às redes wireless públicas são, portanto, premissas básicas. Visando medir tal consciência em seu nível mais básico, a presente pesquisa analisa, de forma experimental, a postura de usuários no acesso à redes wireless públicas especialmente preparadas para oferecer claros riscos de segurança. Os resultados mostram que, sem muito esforço e em situações semelhantes às aplicadas nesta pesquisa, um atacante seria capaz de comprometer informações sigilosas de 39% dos usuários que conectassem ao seu falso hotspot.

Renato Marinho

Mestre em Informática Aplicada pela Universidade de Fortaleza; Pesquisador do Morphus Labs; 13 anos de experiência na área de Segurança da Informação. Palestrante e professor de cursos de pós-graduação nas áreas de Gestão de Riscos e Perícia Forense Computacional.

Certificações Profissionais: CISSP, CRISC, PMP, LPIC2 e ISO/IEC 27001 Leader Auditor

Validating Certificates and Public Key Pinning

Em 2012 o paper ""The Most Dangerous Code in the World: Validating SSL Certificates in Non-Browser Software"" deixou claro o quanto diversas aplicações mobile estavam vulneráveis ao ataque man-in-the-middle. Hoje com a evolução da IoT esse problema se torna ainda muito mais grafe. Essa palestra visa passar conceitos base sobre validação de certificados feito pelo lado cliente e Public Key Pinning o qual ainda é muito pouco utilizado.

Ricardo Iramar dos Santos

MBA em gerenciamento de projetos pela FGV e engenheiro elétrico no papel, Certified Ethical Hacking, engenheiro de segurança em software na carteira de trabalho, peão na empresa onde trabalha e curioso na essência. Trabalha atualmente na HP na área de Global Cyber Security.

Mach-O A New Threat

Com o grande advento de malwares nos últimos anos, sistemas com OS X podem ser vetores de ataques usando binários Mach-O. Esta apresentação ilustra a dissecação de algo malicioso, bem como analise e algumas possibilidades para mitigação.

Ricardo L0gan

Analista de segurança com mais de 15 anos de experiência, entusiasta em pesquisas sobre malware, testes de intrusão e engenharia reversa. Possui sólido conhecimento em segurança de redes, hardening e tunning em várias plataformas, tais como Windows, Linux, OS X e Cisco. Adepto iniciante nas linguagens programação Python,C e Assembly. Contribui para a comunidade Slackware Brasil (Slackshow e Slackzine) e integra o Staff dos eventos: H2HC, SlackwareShow e Bsides SP.

Segurança na era do SSL Everywhere

Apresentação sobre segurança nos tempos do SSL Everywhere A palestra abordara:

  • Breve introdução sobre o que é o projeto SSL/TLS Everywhere (https://letsencrypt.org/)
  • Explicação sobre o funcionamento da negociação de chave de sessão SSL/TLS
  • como a criptografia de trafego afeta a detecção de um IDS focando principalmente no fato do Snort somente interceptar o handshake SSL
  • Apresentar uma proposta de arquitetura mostrando onde incorporar o IDS na infraestrutura de servidores

Rodolfo C Villordo

Formado em Analise e Desenvolvimento de Sistemas,trabalho com tecnologia há 7 anos. Já atuei como desenvolvedor, SysAdmin e há 2 anos trabalho como analista de segurança da informação.