O Outro Lado BSidesSP ed naovaitercopa/Palestras
Escalação do Brasil para a copa: phishing, malware e engenharia social
Sala de Palestras
A escalção deixa claro qual é o resultado final dessa partida, dinheiro e informações pessoais roubadas, frustração e a sensação de que não estamos fazendo nossa parte.
Vamos analisar alguns ataques e tentar virar o jogo!!
Alfredo Oliveira
Entusiasta do projeto GNU apesar de já ter trabalhado, não por opção, com outros ambientes as raízes sempre foram firmes e fortes em software livre. Trabalha em um laboratório de segurança de uma empresa japonesa, e faz o que faz muito mais que pelo trabalho, pela paixão.
ODog : Um ambiente para programação concorrente e distribuída Baseada em Componentes
Sala de Oficinas
Nessa oficina vou apresentar o projeto open souce ODog. Trata-se de um ambiente para facilitar a programação concorrente e distribuída, através do uso de componentes de software. Primeiramente vou apresentar os conceitos , estrutura e objetivos do ambiente. Em seguida, apresento as suas principais partes constituintes : sintaxe abstrata, semânticas de interação, verificador de regras e modelo de aplicação. Após essa introdução teórica, vou mostrar como usá-lo para se desenvolver um software. O primeiro exemplo será puramente de demonstração. O segundo visa a comunidade de sistemas embarcados e hardware hacking. O terceiro exemplifica seu uso para web pentest. Finalmente termino mostrando como usá-lo para integrar scripts de coleta de dados de inteligência.
Nível Intermediário.
Ivan "Joker" Jeukens
Formado em Ciências da Computação e Doutor em Microeletrônica, trabalhou durante anos com pesquisa na área de sistema embarcados. A cerca de dois anos no campo da segurança da informação, tem interesse em pentest de sistemas web, aplicativos para plataformas mobile, engenharia social e intelligence gathering.
Construção de hardwares criptograficos
Sala de Palestras
Nesta palestra serão abordados conceitos de criptografia que são baseados no problema do logaritmo discreto, realizando uma abordagem rápida acerca de criptografia simétrica e assimétrica.
Para estudo de caso será abordado a construção do AES-128 em hardware (para o caso simétrico) e hardwares para calculo da álgebra sobre Corpos Finitos usados em Curvas Elípticas Criptográficas (ECC) que é um estilo de criptografia assimétrica.
Luckas Farias
É formado em Ciência da computação pela Universidade Estadual de Londrina, atualmente fazendo mestrado em Engenharia da computação pela Escola Politécnica da USP na área de segurança e criptografias para hardwares.
Cyber ativismo e hacktivismo: como as leis podem punir as manifestações e expressões de vontade dos atuais movimentos via Internet
Sala de Palestras
Adriano Mendes
Adriano Mendes, advogado atuante no direito empresarial de empresas nacionais e estrangeiras da área de tecnologia; sócio do ASSIS E MENDES Advogados. Atua na área consultiva, com ênfase no exame, elaboração e revisão de contratos de tecnologia, licenças de software e questões que envolvam Direito e Internet. Membro efetivo da Comissão de Ciência e Tecnologia da OAB/SP, Associado e Membro da Diretoria eleita da Internet Society, Capítulo Brasil (ISOC.org). Foi professor de Ética, Direito e Legislação e atualmente palestra sobre assuntos empresariais e de tecnologia jurídica. Possui pós-graduação em contratos pela PUC/SP, MBA em Fusões e Aquisições, LLM Direito e Economia Europeia, além de diversos cursos, no Brasil e exterior, sobre Arbitragem, Direito Eletrônico e Comércio Internacional.
XSS Injection indo além do Alert();
Sala de Oficinas
XSS Injection indo além do Alert(); é uma oficina que tem como objetivo apresentar a criação de um "Exploit" em javascript para exploração da falha http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2844 já corrigida pelo fabricante.
Para maior interação o participante deve dispor de um computador e conhecimentos básicos de HTML os demais tópicos serão abordados na oficina.
William Costa trabalha com Tecnologia há 12 anos dos quais 7 foram dedicados a Segurança da Informação, atua como Coordenador/Consultor Senior na TRTEC (www.trtec.com.br).
Já apresentou palestras na, LACSEC 9, BsidesSP 7, BsidesSP 8, Faculdade de tecnologia Estadual de Mauá/SP, tem 16 falhas de vulnerabilidades WEBs publicadas (CVEs). Tem um artigo publicado na Revista H2HC(https://www.h2hc.com.br/revista/RevistaH2HC_6.pdf) que faz parte do H2HC Coference um dos maiores eventos de Segurança da América Latina.
Ataques Mitm a Aplicativos Android : Abusando da confiança dos desenvolvedores
Sala de Palestras
Muitos aplicativos Android possuem instâncias da classe WebView e derivadas, a fim de processar e renderizar conteúdo Web (html, javascript , etc). Nessa apresentação vou explorar três possibilidades de se prejudicar o usuário, todas elas baseadas na não autenticação das informações devolvidas ao aplicativo. Vou ilustrar a palestra usuando aplicativos populares brasileiros.
Ivan "Joker" Jeukens
Formado em Ciências da Computação e Doutor em Microeletrônica, trabalhou durante anos com pesquisa na área de sistema embarcados. A cerca de dois anos no campo da segurança da informação, tem interesse em pentest de sistemas web, aplicativos para plataformas mobile, engenharia social e intelligence gathering.
Lidando com ameças sofisticadas - Mãe Dináh (in memoriam)
Sala de Palestras
A apresentação tem como objetivo demonstrar como estamos criando mecanismos de proteção para um cenário que é passado e não estamos pensando em proteção com o olhar no futuro. Como empresas e profissionais podem aprender a ser uma quase Mãe Dináh da segurança. Uma abordagem prática e dinâmica dos desafios enfrentados.
Thiago Bordini
Diretor de Tecnologia e Pesquisa na New Space Prevention, formado em Sistemas da Informação, pós graduado em Segurança da Informação e MBA em Gestão de TI. Proficiência em segurança de informação a mais de 10 anos, é professor universitário desde 2009 e ministra atualmente cursos de pós-graduação na Universidade Mackenzie. Atuou em uma das maiores empresas Americanas na área de Inteligência Cibernética. Cientista incessante, apresentou suas pesquisas nas principais conferências nacionais da área (H2HC, Secure Bsides, YSTS, Bhack, etc), fundou o StaySafe Podcast e é membro organizador da Cloud Security Alliance (CSA) Brasil tendo participado da tradução do primeiro guia de melhores práticas de segurança da informação para Cloud Computing.
OSINT
Sala de Oficinas
OSINT. Conceito, O que é e o que não é. Aplicação prática e ferramentas.
Ranieri Romera
Pesquisador independente de segurança.
Padronização de Informações Periciáveis Extraídas do Registro do Windows: Gerando um Relatório Formal
Sala de Palestras
É possível criar padrões de análise das informações dos arquivos de Registro do Windows de acordo com cenários de investigação, bem como desenvolver a ferramenta que faça a leitura do registro e gere um relatório padronizado com o máximo de informações pertinentes ao cenário(s) escolhido(s)?
Por exemplo, para o cenário 'Invasão de Sistema' a ferramenta deverá sugerir informações comumente relacionadas a tal evento e que estejam armazenadas no Registro do Windows. O mesmo deverá ser feito para outros cenários como: Acesso Indevido, Software Pirata...
Os arquivos de Registro do Windows armazenam informações importantes ao processo pericial, acessá-las, decodificá-las e apresentá-las de forma clara e padronizada torna-se relevante à perícia, logo nota-se que tal relevância extrapola os limites meramente periciais e abrange o contexto acadêmico, técnico, social e empresarial uma vez que a perícia é objeto de interesse de todos esses contextos.
Estou desenvolvendo a ferramenta em Python como projeto da minha monografia e a ideia e compartilhar o que já fiz até agora, falando sobre: estrutura do Registro do Windows; ferramentas que analisam o registro; que tipos de evidência pode ser encontrada no Registro; e o que a minha ferramenta já faz.
Heleno Alves da Luz
Bacharel em Sistemas de Informação e Pós-graduando em Computação Forense (último semestre).