O Outro Lado BSidesSP ed 10/Palestras

De Garoa Hacker Clube
Ir para navegação Ir para pesquisar

BioHacking

Auditório Ben10

Otto Heringer (Garoa Hacker Clube)


XSS more than a simple alert("XSS")

Sala Corredor X

Geralmente um XSS (Cross Site Scripting) é demonstrado através da execução da função “alert box” em JavaScript o que não ressalta o impacto que pode ser causado. Essa palestra visa apresentar os conceitos envolvidos no XSS e a demonstração de um ataque bem sucedido e seu impacto.

Slides: https://docs.google.com/presentation/d/1hV7rANhwTVxKRGP487hGJRgZ-1TySGSh6N_DpE5NFzM/present"

Ricardo Iramar dos Santos

MBA em gerenciamento de projetos e engenheiro elétrico no papel, engenheiro de segurança em software na carteira de trabalho, peão na empresa onde trabalha e curioso na essência. Trabalha atualmente na HP na área de pesquisa e desenvolvimento fazendo revisões de segurança em projetos e gerente de projeto em projetos de segurança.

50 Tons de Backdoors

Auditório Ben10

Através de demonstrações práticas, apresentar técnicas de criação de backdoors em sistemas Linux somente com ferramentas e softwares nativos, ensinando através de técnicas ofensivas a defender e detectar possíveis ameças em servidores e desktops.

Esta apresentação coloca em estado de alerta usuários, administradores de sistemas e analistas de segurança sobre os perigos em deixar mesmo que por poucos minutos sistemas sem supervisão sob o controle de terceiros.

Ulisses Castro

Consultor em Segurança da Informação com pouco mais de 10 anos de experiência na área é viciado em resolver problemas! Respira Linux e Segurança Ofensiva, mantendo a todo instante uma visão subersiva de tecnologias despreparadas para o mundo real.

Reverse Engineering a Web Application - For Fun, Behavior & WAF Detection

Sala Corredor X

Screening HTTP traffic can be something really tricky and attacks to applications are becoming increasingly complex day by day. By analyzing thousands upon thousands of infections, we noticed that regular blacklisting is increasingly failing so we started research on a new approach to mitigate the problem. We started with reverse engineering the most popular CMS applications such as Joomla, vBulletin and WordPress, which led to us to creating a way to detect attackers based on whitelist protection in combination with behavior analysis. Integrating traffic analysis with log correlation has resulted in more than 2500 websites now being protected, generating 2 to 3 million alerts daily with a low false positive rate. In this presentation we will share some of our research, our results and how we have maintained WAF (Web Application Firewall) using very low CPU processes and high detection rates.

Rodrigo Montoro (Sp0oKeR)

O Underground do Cibercrime no Brasil

Auditório Ben10

André Alves

André Alves é Sales Engineer da Trend Micro, trabalha com segurança há 8 anos e acompanha no dia-a-dia a realidade das ameaças em grandes empresas brasileiras.


Modelagem de ameaças para Pentesters

Sala Corredor X

O objetivo é mostrar como criar uma estratégia de ataque para Testes de Penetração e APTs, através de metodologias utilzadas para Modelar Ameaças, entender como atingir o resultado ideal.

Porque o objetivo de um ataque ""APT"" não é simplesmente ganhar acesso de root.

Leandro Rocha

Leandro Rocha é consultor e pesquisador de segurança da informação em redes e aplicações. Paulista, nas horas vagas adora brincar com falhas em sistemas e não dispensa uma boa praia, futebol e aquela gelada.

Pentesting in SDN - Owning the controllers

Auditório Ben10

SDN (Software Defined Network) tem atraído a atenção de muitos gigantes da tecnologia de vários segmentos como VMware, Juniper, Cisco, HP, IBM, Google, China Telecom, Huawei e outros, fornecendo mais serviços virtualizados que podem ser programados, gerenciados e monitorados mais rápidamente, com mais eficiência e de uma forma menos dispendiosa do que as soluções habituais. Definição de rotas, switching, tratamento de QoS e políticas de segurança que antes eram "hospedados" em hardware robusto e/ou específico, agora já se exerce estes mesmos conceitos e funções em camadas mais altas de software, instalados em máquinas virtualizadas. Mas como podemos testar isso? Primeiro, vamos abordar uma visão geral da arquitetura para aprender as noções básicas de SDN, logo em seguida, será explicado como encontrar controladores SDN, se presentes em nossa rede, roubar informações críticas para que possamos continuar com a nossa exploração e no final, vamos tomar posse dos controladores e fazer alterações que não deveriamos realizar. Haverá alguns códigos para o metasploit que será demonstrado. Será que um controlador pode nos controlar? Nos vamos ver.

Roberto Soares Espreto

Roberto Soares, é profissional em segurança da informação desde 2005. Atualmente trabalha como Consultor Sênior para a Conviso Application Security (https://www.conviso.com.br), onde sua especialidade é a Análise de Código (code review), Testes de Intrusão em Aplicações Web e Infraestrutura de Redes, Vulnerability Assessment e Treinamentos abordando práticas em desenvolvimento seguro (SDL). Já ministrou palestras em eventos open-source e em faculdades.

Desenvolvimento (IN)seguro

Sala Corredor X

Esta palestra tem como objetivo demonstrar armadilhas no desenvolvimento web, além de práticas ruins que em adição de alguns fatores podem vir a causar falhas de segurança críticas. Analisaremos alguns casos e demonstrarei formas de mitigar e corrigir tais falhas.

Carlos Eduardo Santiago

É analista de segurança sênior especializado em segurança de aplicações e responsável pela área de pesquisa na Site Blindado. Possui experiência como desenvolvedor web, analista de TI, consultor de segurança em empresas nacionais e internacionais. Também é professor convidado da banca de teses do curso de Redes da Unip - Tatuapé. Este ano encontrou falhas de segurança na HelpScout, 99designs (bug bounty program).

Prostituindo Manipuladores

Auditório Ben10

Dentro do seu computador existem diversas estruturas de controle para tratar entrada e saída de dados/informação. Esta apresentação mostrará um pouco do funcionamento do computador e também como você pode manipular algumas destas estruturas para se tornar o cafetão da máquina, obrigando ela a ter um comportamento promíscuo.

Ygor da Rocha Parreira (DMR)

João Guilherme Victorino

Tem se dedicado ao universo da segurança da informação há 3 anos. Suas principais paixões são: computação, matemática e jazz music. Amante de linguagens de baixo nível e sistemas operacionais, leva uma vida tentando não ser mais um bit num universo de double words.

Sequestro digital: A evolução dos Ransomware V2

Já ouviu falar em sequestro digital? Quanto vale a sua informação, já pensou nisso ? Estamos sob um tipo de ataque que traz a realidade física para o mundo digital, você sabe o que é um ataque do tipo Ransonware? Vamos falar um pouco sobre o que é, características, aprendizados e como tentar evitar.

Alfredo Oliveira

Entusiasta do projeto GNU apesar de já ter trabalhado, não por opção, com outros ambientes as raízes sempre foram firmes e fortes em software livre. Trabalha em um laboratório de segurança de uma empresa japonesa, e faz o que faz muito mais que pelo trabalho, pela paixão.


Hacking em Consoles WEBs de Security Appliances

Sala Corredor X

Nesta palestra diversas vulnerabilidades em gateways que deveriam prover segurança serão demonstrados, analisando-se os impactos, as facilidades e as motivações auxiliando a audiência a entender a complexidade dos seus proprios ambientes e a importância da simplificação para obtenção de segurança.

Wiliam Costa

William Costa trabalha com Tecnologia há 12 anos dos quais 7 foram dedicados a Segurança da Informação. Se formou em Tecnólogo em Redes de Computadores pela Faculdade Sumaré, possui certificações tais como : CISSP, CEH, ECSA, CEPT, CPT. Já apresentou palestras na LACSEC, BsidesSP, CSM, TDC. E pesquisador independente, durante suas pesquisas encontrou vulnerabilidades em produtos de renomeadas empresas tais como Cisco, Symantec, Sonicwall, F-Secure, Barracuda, Riverbed, Facebook entre outras.