O Outro Lado BSidesSP ed 8/Palestras
профессия Рауль: A influência do cibercrime do Leste Europeu na América Latina
Auditório Pac-Man
O Leste Europeu foi o berço dos trojans bancários mais ativos, complexos e bem sucedidos conhecidos até agora: Zeus, SpyEye, Carberp e outros. Cibercriminosos do Leste Europeu, autores desses trojans bancários, estão não somente influenciando a América Latina de uma maneira nunca vista antes; eles estão vendendo seus exploit kits, suas técnicas, seu know-how para os cibercriminosos latinos, que estão movendo-se de uma posição de clientes para parceiros de negócios, testando novas ferramentas e novos ataques.
Nessa apresentação iremos detalhar o cenário real das ameaças bancárias na América Latina na era pós Zeus e como as instituições financeiras da região devem estar preparadas para um jogo duro na proteção dos seus clientes. Para lutar contra a fraude bancária no futuro, você deve aprender Russo.
Fabio Assolini
Comedor de malware na @kaspersky, ninja da @linhadefensiva, amantes de música eletrônica.
Tecnologias Open Source para Alta disponibilidade e proteção de aplicações Web
Sala Space Invaders
Um dos grandes desafios para as empresas é a disponibilidade e mitigação de vulnerabilidades de aplicações web levando em conta a peculiaridade do sistema hospedado, falta de acesso administrativo, limitações técnicas e ativos de proteção de borda que não contribuem efetivamente nesta tarefa. Nesta palestra irei apresentar como implantar uma camada de segurança totalmente Open Source que permitem a prevenção proativa contra ataques direcionados a aplicações web funcionando em alta disponibilidade.
Alexandro Silva
Alexandro Silva atua há mais de 7 anos como especialista em segurança de redes e sistemas Unix/Linux, responsável pelo desenvolvimento e execução de projetos em segurança de perímetro e profundidade, segurança de sistemas Web, análise de vulnerabilidade, prevenção e detecção de intrusão.Atua como especialista na iBLISS Segurança e Inteligência sendo responsável por projetos de gestão de vulnerabilidades de infraestrutura e aplicações, auditoria de segurança e configuração segura (baseline).
Oficina git-start: Começando no Git
Sala Q*Bert
O Git é uma ferramenta simples e poderosa para gerenciamento de controle de versão.Por isso, tem tido uma rápida adoção por empresas e, principalmente, por projetos Open Source. Junto com sua adoção, o Git traz um novo conceito no desenvolvimento colaborativo de software, onde sua arquitetura possibilita um desenvolvimento descentralizado. Sites como o "GitHub" tem popularizado ainda mais a adoção do Git como ferramenta de controle de versão por desenvolvedores, tendo assim mais visibilidade para compartilhar seus códigos e ideias. A oficina irá ajudar e demonstrar como utilizar o Git através de conceitos e comandos básicos para o dia a dia, além de dicas para o uso dos sites GitHub e Bitbucket.
Fernando A. Damião
Fernando A. Damião é graduando em Ciência da Computação, e um dos fundadores do SJC Hacker Clube, o primeiro Hackerspace do Vale do Paraíba. É entusiasta de Software Livre e Segurança da Informação e atua com Desenvolvimento Web. Também é autor e mantenedor do guia colaborativo git-start: Guia básico de Git. Atualmente é bolsista no Programa EMBRACE - Estudo e Monitoramento Brasileiro do Clima Espacial no INPE.
Oficina de Lockpicking
Sala Missile Command
Victor Scattone e Thiago Lechuga (Garoa Hacker Clube)
Bypass de Token CSRF na prática
Auditório Pac-Man
Exploração pratica de 3 falhas de XSS que permitem o Bypass da proteção de CSRF (CSRF Token)
William Costa
Trabalho com Tecnologia há 12 anos dos quais 7 foram dedicados a Segurança da Informação, conquistei as certificações CISSP, CEH, CPT, CEPT, Comptia Security+, FCNSP, LPI durante minha carreira. Palestrei no BsidesSP 7 e Fatec Mauá, 9 falhas publicadas (CVEs).
Branca de Neve e os 7 anões - A história do Security Content Automation Protocol (SCAP)
Sala Space Invaders
"Atualmente a falta de padronização de nomenclaturas e padrões de detecção, tornam muitas vezes complicado relatórios e notificações. O SCAP (Security Content Automation Protocol) tem o objetivo de minimizar esses problemas, criando padrões, que são utilizados por grandes empresas do mercado em seus produtos como HP, IBM, Tripware entre outras.
De forma simples, ilustraremos na palestra o poder do SCAP (Security Content Automation Protocol) e seus 7 componentes ( CVE, CVSS, CCE, CPE, XCCDF, OVAL e OCIL) . Explicaremos como eles se integram, como que utilizamos no nosso dia a dia, mesmo sem pleno conhecimento, o potencial de cada um dos componentes que podem ser utilizados sozinhos e em que produtos/situações podemos utilizar eles.
Utilizaremos como demonstração de uso o projeto Open Source mantido pela Redhat, chamado Open Scap, no qual linkaremos como o uso dos 7 componentes com a ferramenta pode se tornar parte essencial na sua rede, podendo ser integrados com outras ferramentas com o SpaceWalk.
O uso do SCAP é muito versátil e palestras abordaremos 3 usos principais: Análise Vulnerabilidades, Patch Management, Controle de Configurações."
Rodrigo "Sp0oKeR" Montoro
Rodrigo "Sp0oKeR" Montoro é certificado LPI, RHCE e SnortCP com 15 anos de experiência em Open Source. Atualmente trabalha como Senior Security Administrator em uma startup de combate a malwares e proteção Web chamada Sucuri Security. Já palestrou em inúmeros eventos no Brasil (FISL, CONISLI, Latinoware, H2HC, BSides), EUA (Source Boston / Seattle, Toorcon, Bsides Las Vegas) e Canadá (SecTor). Possui 2 patentes requeridas na detecção de Malwares (PDF e cabeçalhos HTTP), resultados de suas pesquisas. Fundador e evangelista da comunidade Snort no Brasil desde 2003.
O Marco Civil, propostas legislativas para regulamentação da Internet
Auditório Pac-Man
O Brasil está cada vez mais próximo de ter novas leis para crimes eletrônicos e a e regulamentação da Internet nas questões de privacidade, uso e serviços prestados pelos provedores.
Seja na esfera civil ou na criminal, a criação de novas regulamentações trará impactos, positivos e negativos, para os internautas, operadores e empresas. Muitos dos projetos que definem como condutas criminosas técnicas já ultrapassadas ou que na prática serão inúteis, outros são tão genéricos que podem considerar qualquer administrador de rede como um hacker e delinquente.
A objeto deste espaço será atualizar todos sobre o que já existe de lei e o que poderá existir em breve.
Adriano Mendes
Adriano Mendes, advogado atuante no direito empresarial de empresas nacionais e estrangeiras da área de tecnologia; sócio do ASSIS E MENDES Advogados. Atua na área consultiva, com ênfase no exame, elaboração e revisão de contratos de tecnologia, licenças de software e questões que envolvam Direito e Internet. Membro efetivo da Comissão de Ciência e Tecnologia da OAB/SP, Associado e Membro da Diretoria eleita da Internet Society, Capítulo Brasil (ISOC.org). Foi professor de Ética, Direito e Legislação e atualmente palestra sobre assuntos empresariais e de tecnologia jurídica. Possui pós-graduação em contratos pela PUC/SP, MBA em Fusões e Aquisições, LLM Direito e Economia Europeia, além de diversos cursos, no Brasil e exterior, sobre Arbitragem, Direito Eletrônico e Comércio Internacional.
Oficina Practical SAP Pentesting
Sala Q*Bert
This workshop will be focused on basics and advanced areas of technical aspects of SAP security. Understanding the architecture of typical SAP system and focuses on every component that can be attacked with live demo and hands-on exercises Covering areas such as SAP Gateway, Message server, RFC security, ITS, ABAP code vulnerabilities, JAVA-engine attacks, Authorizations, Database security, SAPGUI security and many others will be described.
Alexander Polyakov
A father of ERPScan Security Scanner for SAP. Organizer of ZeroNights deep-technical security conference. His expertise covers security of enterprise business-critical software like ERP, CRM, SRM, banking and processing software. He is the manager of EAS-SEC.org, a well-known security expert of the enterprise applications of such vendors as SAP and Oracle, who published a significant number of the vulnerabilities found in the applications of these vendors with acknowledgements from SAP. He is the writer of multiple whitepapers and surveys devoted to information security research in SAP like ""SAP Security in figures"". Alexander were invited to speak and train at international conferences such as BlackHat, RSA, HITB and 35 others around globe as well as in internal workshops for SAP and fortune 500 companies.
Criptografia a partir do caos
Sala Space Invaders
Esta apresentação vai abordar a utilização de uma nova tendência na criação de algoritmos de criptografia, que é o uso de sistemas caóticos na elaboração destes.
Acredita-se que os algoritmos desenvolvidos a partir da teoria do caos sejam mais seguros, por ela se tratar de uma matemática mais sofistica, e moderna, do que a utilizada na elaboração de algoritmos de criptografia tradicionais.
O objetivo desta apresentação é dar uma introdução a confecção de algoritmos de criptografia, simétrica, caótica.
Anderson Gonçalves Marco
Formado no ICMC - USP em 2012.
Áreas de pesquisa em:
- Criptografia
- Caos
- Programação paralela / GPU
- Mecânica dos sólidos
- Visão computacional
Artigos publicados em revistas:
- MACHICAO, J. ; MARCO, A. G. ; BRUNO, O. M . Chaotic encryption method based on life-like cellular automata. Expert Systems with Applications, v. 39, p. http://dx.doi.o, 2012.
- MARCO, A. G. ; MARTINEZ, A. S. ; Odemir Martinez Bruno . FAST, PARALLEL AND SECURE CRYPTOGRAPHY ALGORITHM USING LORENZ S ATTRACTOR. International Journal of Modern Physics C, v. 21, p. 365-382, 2010.
Trabalhos completos publicados em anais de congressos:
- MARCO, Anderson ; BRUNO, A. B. ; RODRIGUES, F. A. ; COSTA, L. F. ; BRUNO, O. M. . Segmentação automática de áreas urbanas em imagens de sensoriamento remoto. In: VI Workshop de Visão Computacional, 2010, Presidente Prudente. VI Workshop de Visão Computacional, 2010. p. 273-278.
- Jeaneth Machicao ; MARCO, ANDERSON ; BRUNO, ODEMIR . Lyapunov Exponent: A Qualitative Ranking Of Block Cipher Modes Of Operation. In: European Conference on Complex Systems, 2012, Bruselas. ECCS'12 European Conference on Complex Systems, 2012.
- ANSONI, J. L. ; BRANDI, A. C. ; de Marco, A. ; CAROSIO, G. L. C. ; SELEGHIM JUNIOR, P. . SPARSE MATRIX SOLVER ON THE GPU: CONJUGATE GRADIENT METHOD APPLIED TO SOLVE AN INVERSE THERMAL TOMOGRAPHY PROBLEM. In: Inverse Problems, Design and Optimization Symposium, 2010, João Pessoa - PB - Brazil. Inverse Problems, Design and Optimization Symposium, 2010. p. 320-327.
The bits of bitcoin
Auditório Pac-Man
With everything going on in Bitcoin it's about time you knew how it works in detail. We'll take a close look at the structure, history, and operation of bitcoin. Bitcoin is built on a foundation of crypto and elegance. Understand, mining, transaction scripting, crypto primitive and the interlocking protection mechanisms built into the platform.
Objective: attendees will be able to talk in detail about the operation of bitcoin without needing to "hand wave".
(English only)
Ben April
Ben is a Sr. Threat Researcher and the Americas regional manager of Trend Micro's Forward-looking Threat Research Team. He tends to focus on research areas related to Internet infrastructure such as Routing, Bitcoin, DNS and IP reputation. If not doing that he is likely building a prototype of some analysis tool or sourcing system that will somehow "accidentally" find its way into production.
Pingo: API universal para hardware hacking
Sala Space Invaders
Cada vez mais pequenos computadores embarcados podem ser programados em linguagens mais simples do que C. Arduino Yún, Raspberry Pi, BeagleBone e UDOO rodam Python, e para facilitar ainda mais o hardware hacking via GPIO (General-purpose IO) estamos desenvolvendo o Projeto Pingo, uma API universal que unifica as funções necessárias para controlar e ler pinos digitais e analógicos em qualquer placa que rode Python ou que possa ser controalda remotamente por Python.
Luciano Ramalho
Programador repentista, apreciador de linguagens de programação elegantes, contador de estórias e inventor de jogos de tabuleiro. Co-fundador do Garoa Hacker Clube e da Associação Python Brasil.
Oficina Quick'n'Dirty Python para Penetration Testers
Sala Q*Bert
Já procurou alguma ferramenta para um ataque e não encontrou o que precisava? Já quis testar algo, mas não tinha tempo o suficiente? É hora de trabalhar nas suas próprias ferramentas!
Esta oficina tem por objetivo apresentar pacotes e scripts em Python que podem ser úteis no dia-a-dia de qualquer um executando testes de invasão. Alguns temas abordados:
- Extraindo conteúdo de páginas web.
- Ataques contra senhas.
- Análise de metadados de arquivos.
- Automatizando ataques usando Python.
Pré-requisitos:
- Laptop ou máquina virtual com Python 2.7
Daniel C. Marques (@0xc0da)
Daniel é Consultor Sênior da EY, atuando principalmente em Teste de Invasão e Análise de Vulnerabilidades. Bacharel em Ciência da Computação pela Universidade Federal Fluminense (UFF) e trabalhando com Segurança da Informação há 8 anos, participou de diversos projetos em líderes de mercado e em pesquisa relacionados à Análise de Vulnerabilidades, Sistemas Distribuídos e Certificação Digital. Nas horas vagas é instrutor no Instituto Infnet (RJ) e colabora com projetos em um laboratório de pesquisa.
Sequestro digital: A evolução dos malwares Ransomware
Auditório Pac-Man
Alfredo Oliveira
Pequenas Falhas, Grandes Negócios
Sala Space Invaders
A segurança de informação está cada vez menos sendo levada a sério no desenvolvimento web. Com pequenas falhas demonstrarei como bancos, lojas virtuais e faculdades estão com seus sistemas inseguros. Com apenas um tipo de falha (simples) demonstrarei como "hackear" um simples sistemas universitário até um banco.
Carlos Eduardo Santiago
Matéria relacionadas à imprensa com falhas descobertas por mim...