Palestrantes - Edição 0xF

Alexandre Borges

Malware and Security Researcher

Tipo: Oficina (1h30)
Título: Malwares: todos os truques contra nós
Descrição:

  1. Malwares ring-3:
    Escalação de privilégios
    Simples bypass de KCS usados por malwares bancários
    Atomic Bombing
    Process Doppelgänging
    Hollowing
    Code Injection Detection
    DKOM
    Recent Windows Protections
    Ofuscação

  2. Módulos de kernel maliciosos
    Conceitos sobre device drivers
    Diversos métodos de infecção

Nível: Avançado

Nelson Brito

Nelson Brito é um profissional com duas décadas de experiência em Cyber Security, atuando, como Senior Security Professional and Advisor, pela IBM Security, sendo ele o criador do T50 (An Experimental Mixed Packet Injector) e o único pequisador Brasileiro a palestrar na extinta PH-Neutral (Invited Only Conference), em Berlim. Como entusiasta e pesquisador nas horas vagas, é reconhecido por profissionaiss, especialistas, entusiastas e acadêmicos por suas contribuições em diversas conferências.

Tipo: Palestra (1h30)
Título: T50: An epic history of failure and success...
Descrição:

Após sete anos sem falar publicamente sobre o assunto, muito devido a grande repercussão do uso irresponsável de uma ferramenta, Nelson Brito retornará a falar sobre uma de suas pesquisas mais emblemáticas: a ferramenta T50 (An Experimental Mixed Packet Injector). Assista Nelson Brito falando sobre a motivação, o desenvolvimento, as lições aprendidas e as repercussões, além de revelações inéditas, da ferramenta T50.

Nível: Intermediário

Antonio Costa aka CoolerVoid

Antonio Costa ou simplesmente "Cooler" como gosta de ser chamado, tem experiência de 5 anos na construção de diversos tipos de softwares para embarcados, PDV/PoS e e-commerce em diversas linguagens de programação, tem 6 anos que trabalha na área de segurança da informação na CONVISO onde executa tarefas de codereview, pentest, mitigação de vulnerabilidades(escrita de patchs), pesquisa, consultoria...
https://github.com/CoolerVoid

Tipo: Palestra (40 min)
Título: Stopping trojans, banker malwares and spywares
Descrição:

Sun Tzo na arte da guerra diz "Se você conhece o inimigo e a si mesmo, não tema o resultado de cem batalhas.", vamos conhecer um pouco sobre o inimigo por trás dos malwares, então construir nossa proteção para cada tipo de inimigo.
Esta apresentação tem como foco demonstrar formas de parar spywares, trojans e malwares bankers, utilizando técnicas de hooking(algumas técnicas usadas por antivirus), ou seja vamos deixar alguns malwares improdutivos, vamos escrever programas para bloquear funções de keyloggers, form grabbing, screenlogger banker, recursos de pharming. No final teremos algumas provas de conceito com código fonte(em C++) e vídeos para todos, também algum brainstorm com automatos para análise das syscalls para quem quiser desenvolver seu próprio antivirus.

Nível: Avançado

Tipo: Palestra (40 min)
Título: Intelligent way to block banker malwares
Descrição:

Esta apresentação tem como foco mostrar como parar spywares e malwares bankers utilizando técnicas de hooking(algumas usadas por antivirus), ou seja vamos deixar alguns malwares improdutivos em diversos ataques que fazem uso de keyloggers, screenlogger banker, form grabbing, recursos de pharming. No final teremos algumas provas de conceito com código fonte e vídeos para todos, diversos brainstorms para se proteger tanto no linux e windows...

Nível: Avançado

Camila Fernandez Rodrigues / Cristiane Fernandez Rodrigues / Leandro Jazenko

Camila Fernandez Rodrigues
Estudante de pedagogia, desenvolve atividades na área da educação com foco em inclusão, alfabetização e letramento na rede Municipal e Particular de Americana/SP.
Trabalho voluntário a mais de 2 anos na área da educação religiosa.

Cristiane Fernandez Rodrigues
Possui MBA em Gestão de Segurança da Informação, Riscos e Continuidade dos Negócios, especialista em Processos de Negócios e Cibersegurança. Atua na área há 15 anos e tem se dedicado a encontrar uma maneira mais eficiente de disseminar conhecimento nas empresas.

Leandro Jazenko
Possui MBA em Gestão de Segurança da Informação, Riscos e Continuidade dos Negócios, especialista em Processos de Negócios e Cibersegurança. Consultor de Segurança da Informação atuando na área de tecnologia há 10 anos.

Tipo: BSides 4 Kids (máx 1h30)
Título: Segurança da Informação para mini hackers
Descrição:

Atividade lúdica demonstrando aos mini hackers até onde pode-se confiar nos demais hackers, abordando o uso de redes sociais, envio de fotos, uso de senhas e celular.

Nível: Básico

Carlos Henrique Andrade

Especialista em Segurança da Informação. Autodidata, entusiasta e pesquisador independente, possui experiência nas áreas de telecomunicação, infraestrutura, forense e cibersegurança.

Tipo: Palestra (40 min)
Título: Bluetooth Hacking 101
Descrição:

A proposta da talk é apresentar métodos e ferramentas para avaliar um ambiente Bluetooth (BREDR e LE). Serão apresentadas as principais ferramentas (hardware e software), como identificar perfis, serviços e protocolos, técnicas varreduras e ataques possíveis.

Nível: Básico

Daniel Oliveira de Lima

Especialista em segurança da informação;
Criptografia;
Certificação digital;
Fraud and Risk intelligence;
Atualmente como lider técnico de uma equipe de gestão de vulnerabilidades.

Tipo: Palestra (40 min)
Título: Correlacionando seus dados para prever seu comportamento
Descrição:

Seus dados estão em todo lugar, mas será que ainda descentralizados? Até quando?
Em um universo cibernético cada dia mais inteligente, a correlação dos dados disponiveis na rede é inevitável, é ai que seus dados começam a valer mais... quando correlacionados.
O objetivo da palestra é conscientizar sobre o contexto no qual seus dados podem estar inseridos e serem correlacionados para prever um comportamento futuro sobre o indivíduo, seja no âmbito político, econômico ou social... seja para prever um ataque geopolítico, ou até mesmo sua linha de consumo.

Nível: Avançado

Daniel Quadros

https://garoa.net.br/wiki/Usu%C3%A1rio:DQ

Tipo: Palestra (40 min)
Título: Você Sabe Mesmo Programar?
Descrição:

Convivemos diariamente com erros e falha de segurança de aplicações. Esta palestra vai explorar uma das principais causas: a falta de preparo dos desenvolvedores.

Nível: Básico

Diego F. Aranha

Diego F. Aranha é Professor Doutor na Universidade Estadual de Campinas (Unicamp) desde 2014. Tem experiência na área de Criptografia e Segurança Computacional, com ênfase em implementação eficiente de algoritmos criptográficos e análise de segurança de sistemas reais. Coordenou a primeira equipe de investigadores independentes capaz de detectar e explorar vulnerabilidades no software da urna eletrônica em testes controlados organizados pelo Tribunal Superior Eleitoral. Recebeu em 2015 o prêmio Inovadores com Menos de 35 Anos Brasil da MIT Technology Review por seu trabalho com o voto eletrônico e Google Latin America Research Award para pesquisa em privacidade em 2015 e 2016.

Tipo: Palestra (40 min)
Título: (In)segurança do voto eletrônico no Brasil, 5 anos depois
Descrição:

A palestra apresenta uma análise de segurança do software brasileiro de votação a partir de resultados obtidos durante os últimos Testes Públicos de Segurança organizados pelo Tribunal Superior Eleitoral em 2017. Durante o evento, foi possível explorar uma sequência de vulnerabilidades na proteção dos cartões de memória do equipamento e autenticação de arquivos para atingir o objetivo inédito de violar a integridade do software de votação. As vulnerabilidades são tratadas sob uma perspectiva histórica, relacionando os resultados de múltiplas análises independentes de segurança realizadas nos últimos 5 anos. Por fim, perspectivas futuras são discutidas sob o prisma da implantação em curso do voto impresso nas eleições de 2018 e em contraste com equipamentos de votação utilizados em outros países.

Nível: Intermediário

Felipe Prado

Formado em Tecnologia da Informação e atuante no mercado de segurança e hacking desde 1987, quando iniciou analises de vírus como Brain, Jerusalem (sexta-feira 13), Cascade, Stoned e outros. Iniciou profissionalmente em 1995 sempre com foco em análise de vírus e malware, assim como pentest e arquitetura de segurança corporativa. Hoje integra o time da IBM, trabalhando com soluções de combate a malwares e ataques direcionados ao mercado financeiro brasileiro. Autor de diversos artigos e sempre levando a mensagem de que Hacking faz parte do nosso cotidiano...

Tipo: Lightning Talk (30 min)
Título: Vc acabou com meu carnaval, mais ta blz... resolvi ja brow
Descrição:

Sabemos que malwares brasileiros são destinados ao mercado brasileiro especificamente. Sempre soubemos também da simplicidade dos malwares encontrados, apesar de algumas complexas funcionalidades.. Mas ai nos deparamos com o client Maximus.. Saímos do Delphi para uma mescla de linguagens.. Saímos de técnicas conhecidas e "simples" para técnicas avançadas e sofisticadas... E pior, saímos da era de um desenvolvedor para um grupo de devops... Assim aparece o Client Maximus...

A apresentação irá dar uma visão da técnica usada pelos desenvolvedores e, uma visão geral da sofisticação do malware.. Por fim você ira entender o por que do título “Vc acabou com meu carnaval, mais ta blz... resolvi ja brow”

Nível: Básico

Fellype Cazorino

Estudante de segurança cibernética e graduado em Sistemas de Informação, atuo na área de tecnologia desde que comecei a estagiar há quase 4 anos. Trabalho desde os 14 anos, já passei por supermercado, área de vendas, por TI de multinacional montando máquina, área de desenvolvimento, professor de inglês e agora aventuro-me em Infraestrutura e Segurança da Informação. No meu período acadêmico desenvolvi trabalhos científicos na área da saúde e IoT.

Tipo: Hacker Carreer Fair (15 minutes)
Título: exploit(cazorino) - Um caminho para Infosec
Descrição:

Na apresentação demonstro através de histórias e fatos reais, possibilidades para quem deseja iniciar na área de Segurança da Informação. Imagens e relatos ilustram experiências próprias e motivam quem ainda tem um pé atrás com as tentativas e erros que a vida oferece para quem tem vontade de ser um profissional de segurança.

Nível: Básico

Gisele Truzzi / Marcio Seixas

Gisele Truzzi
Advogada especialista em Direito Digital e Segurança da Informação, fundadora de "Truzzi Advogados";
Articulista da revista IstoÉ Dinheiro;
Atuante na área do Direito Digital desde 2005, nas esferas consultiva e contenciosa;
Também ministra aulas, palestras e treinamentos em empresas e órgãos públicos;
Graduada em Direito pela Universidade Mackenzie;
Pós-graduada em Segurança da Informação pela Faculdade Impacta;
Especialização em Direito Eletrônico pela FGV-RJ;
Certificação em Direitos Autorais pela Harvard Law School.

Marcio Seixas
Dublador, radialista, locutor e comunicador.

Tipo: Palestra (40 min)
Título: Crimes Eletrônicos: danos e repercussão na vida da vítima
Descrição:

Nível:

Ismael Gonçalves

Profissional da área de segurança da informação, iniciou seus trabalhos com segurança há 10 anos.
Possui experiência com codificação e análise de vulnerabilidades em aplicações, tendo reportado diversos problemas de segurança em softwares comerciais e públicos ao longo dos anos. Como voluntário da OWASP, foi um dos líderes do capítulo de Brasília, é um dos autores do OWASP Testing Guide e OWASP Top Ten Cheat Sheet e contribuidor do OWASP Zap Proxy. É voluntário da ISC2 no desenvolvimento de questões para a certificação CISSP.
Atua como consultor na F5 Networks para as Américas e faz parte do time de modelagem de ameaças para os produtos F5.
Escreve quando há tempo no blog https://sharingsec.blogspot.com e contribui com a comunidade infosec via github https://github.com/irgoncalves

Tipo: Lightning Talk (10 min)
Título: SSRF 101
Descrição:

Introdução aos ataques Server Side Request Forgery. Serão apresentados conceitos, exemplos, formas de verificação deste problema e prevenção.

Nível: Intermediário

Leandro Rocha

Tipo: Palestra (40 min)
Título: Automatizando o abuso de repositórios expostos
Descrição:

Tem sido comum a incidência de ataques contra serviços mal configurados e expostos na Internet. Nessa apresentação, Leandro Rocha irá não somente evidenciar a incidência de um tipo de repositório bastante crítico cuja exposição na Internet vem se tornando frequente, mas também demonstrar os métodos usados para automatizar seu abuso, as possibilidades de uso desse tipo de serviço em vários tipos de ataques e formas de mitigar riscos.

Nível:

Leonardo Yvens Schwarzstein

Mestrando na Unicamp, membro ativo da comunidade Rust no Brasil

Tipo: Mini Treinamento (3 hours)
Título: Mergulhando em Rust
Descrição:

A linguagem Rust foi pensada para a computação moderna: Paralela, rápida, segura, produtiva e de código aberto. Neste workshop você aprenderá como Rust atinge estes objetivos e colocará em prática técnicas de programação em Rust.
O workshop requer notebook e é recomendado para quem já programa em alguma linguagem. Mergulhando em Rust já foi realizado em diversas cidades do país como parte do Rust Roadshow.

Nível: Intermediário

Luckas Judocka

Professor na Universidade Anhembi Morumbi (UAM), Mestre em Eng. da Computação pela Universidade de São Paulo (USP) e formado em Ciência da Computação pela Universidade Estadual de Londrina (UEL). Atua como maker, tendo experiência com diversas plataformas de sistemas embarcados. Ganhador de vários prêmios em competições de sistemas embarcados. Atua principalmente com o desenvolvimento de hardwares criptográfico em plataforma FPGA. É membro de diversas comunidades de tecnologia, dentre elas a Papo De Sysadmin, organizando e participando como mentor de vários eventos na cidade de São Paulo. Tem em seu histórico palestras na CPBR, TDC-SP, TDC-PoA, TDC-Floripa, Latinoware, Forum de Hardware Livre, CryptoRave, BSides SP, BSides Latam, RoadSec, Mind The Sec, H2HC, etc.

Tipo: Oficina (1h30)
Título: Criptografando na pratica - do Cesar ao Diffie Hellman
Descrição:

Poucos sabem como a criptografia funciona na pratica. A ideia é mostrar algumas delas com operações que podem ser feitas usando o celular ou uma calculadora... e assim mostrar na pratica os princípios matemáticos que regem a criptografia

Nível: Básico

Tipo: Palestra (40 min)
Título: Construindo hardware para criptografia, o que é preciso considerar?
Descrição:

Quais os critérios a considerar para escolher pela implementação em hardware de um algoritmo de criptografia? Como uma implementação em software funciona? Quais as vantagens e desvantagens do hardware e software? Como pode-se construir hardwares criptográficos seguros? O que seria uma modularização de operações aritméticas sobre corpos finitos binários? Exemplo de modulo criptográfico para criptografia.

Nível: Avançado

Magno Rodrigues de Oliveira

Magno (Logan) Rodrigues é Especialista em Segurança de Aplicações. Também foi fundador do Capítulo da OWASP na Paraíba. Já palestrou em diversos eventos como o GTS, ENSOL, BSidesSP, OWASP App Sec Latam, ECD, BHack e o Just4Meeting em Portugal. Organizador do OWASP Paraíba Day e também do Jampa Sec. Suas especialidades são Segurança em Aplicações Web, Desenvolvimento Seguro e Web Malware. Possui as certificações CompTIA Security+ e EXIN Secure Programming.

Tipo: Palestra (40 min)
Título: Testes de Segurança em API
Descrição:

Cada vez o uso APIs no desenvolvimento de software vem se tornando um padrão no mundo todo. Hoje em dia tudo está se tornando API, as mais diversas e complexas aplicações se comunicam através de API, até mesmo os bancos e grandes organizações. Normalmente elas são criadas quando a empresa ou o desenvolvedor deseja que outros aplicativos ou serviços se comuniquem com a sua aplicação sem ter que expor informações sensíveis como a estrutura do banco de dados daquela aplicação, por exemplo.Assim como todo software, as APIs podem conter bugs e alguns desses bugs podem levar a exploração de vulnerabilidades e por isso precisam ser testadas. Diversos programas de recompensa (Bug Bounties) de empresas já possibilitam a realização de testes de segurança em suas APIs. Durante esta palestra apresentaremos metodologias e ferramentas que podem auxiliar o trabalho de um Analista de Segurança em Aplicações ou um Analista de QA na hora da realização de testes de segurança em uma API. Iremos apresentar métodos e ferramentas que possam realizar este trabalho de forma rápida e eficiente sem criar novas barreiras no processo de desenvolvimento do software. Todas as soluções apresentadas aqui serão soluções gratuitas e/ou open source.

Nível: Intermediário

Marcos Azevedo

Marcos tem mais de 15 anos de experiência em Segurança da Informação, onde os últimos quatro anos foram dedicados a hardening de servidores, correção de problemas de segurança, análise forense e pentesting. Ele tem um bom conhecimento de sistemas operacionais, arquitetura de computadores, compiladores e montadores para Intel x86, linguagem C, Python, PowerShell Scripts e Shell Scripts. Possui um sólido conhecimento de protocolos TCP/IP e experiência em infraestrutura de rede (Cisco Routers and Switches). Sua curva de aprendizado é muito rápida graças aos seus conhecimentos sólidos dos princípios da computação, além da motivação por desafios. Marcos já palestrou em conferências tais como: H2HC, FLISOL, FGSL e outros.

Tipo: Palestra (40 min)
Título: Usando criptografia de forma prática e descomplicada
Descrição:

“Usando criptografia de forma prática e descomplicada” traz uma visão geral sobre Criptografia, desde seu fundamento histórico, nos primórdios de nossa civilização até suas aplicações nos dias de hoje. A palestra em um primeiro momento trás um embasamento teórico básico, com uma visão geral dos mecanismos empregados pela criptografia, os tipos mais comuns de criptografia utilizados atualmente e em sua segunda parte traz uma visão prática, apresentando para a plateia como usar a criptografia no dia-a-dia com ferramentas práticas e simples tanto para Windows quanto para Linux, com exemplos práticos de como enviar e-mails/mensagens criptografadas de forma segura pela rede, diferença entre criptografia e assinatura digital, assinatura de arquivos, assinatura de mensagens eletrônicas, etc.

Nível: Intermediário

Marcos Cícero

Marcos is a senior member of the PhishLabs RAID (Research, Analysis and Intelligence Division), currently working as a Malware Intelligence Analyst. He has been working with security since 1999 in multiple positions. He holds an M.Sc. in Computer Security from University of Liverpool and these SANS certifications: GXPN (GIAC Exploit Researcher and Advanced Penetration Tester) / GREM (GIAC Reverse Engineering Malware). Marcos is always learning, interacting and giving back to the community through talks like these at BSides.

Tipo: Oficina (1h30)
Título: Malware Analysis 102 + a teeny tiny RE CTF
Descrição:

In this talk I will be showing you a bit of the dynamic malware analysis process: it's not exactly a beginner talk, but not that advanced.We're going to see the intricacies of some RAT and Ransomware families. At the end of the talk, I'm gonna present a very small Reverse Engineering Capture the Flag, so the audience can play a little bit with it. Please bring your own laptop!

Nível: Avançado

Tipo: Hacker Carreer Fair (15 minutes)
Título: Working fully remote as a malware analyst
Descrição:

Let's talk about working remote, a real trend in the computer security arena.

Nível: Intermediário

Matheus Gaboardi Tralli

Estudante de Análise e Desenvolvimento de Sistemas, aspirante a pentester, ciborgue (NFC Chip), Técnico em Informática, instrutor de inglês e informática

Tipo: Lightning Talk (10 min)
Título: Dispositivos implantáveis (Cyborg 101)
Descrição:

Um bate-papo sobre o surgimento e a evolução de dispositivos implantáveis, assim como seus usos e procedimentos, cenário atual e expectativas futuras.

Nível: Básico

Diego Fonzo

Engenheiro em Informática e certificado como CEH “Certified Ethical Hacker” (Ec-Council), se desempenha como Senior Security Consultant na área de Serviços Profissionais da Base4 Security. Durante seus mais de 10 anos de experiência na área de segurança da informação Diego se especializou em Penetration Testing e Ethical Hacking, Mobile e Application Hacking, auditorias de segurança internas e externas.

Tipo: Palestra (40 min)
Título: Hacking Mobile APPs with Frida
Descrição:

Nesta palestra será exposta a importância da incorporação de medidas de segurança efetivas no desenvolvimento de aplicações mobile, e de que maneira um atacante pode explorar o comportamento dinâmico de uma aplicação mobile para evadir os controles de segurança implantados.

Nível: Avançado

Paulo Oliveira Kretcheu

Paulo Oliveira Kretcheu (53)
Administrador de redes 20 anos
Colaborador no Debian (DM)
Falante de Esperanto
Certificado LPI-C, UCP, Novell NCLA e DCTS
Pós-graduação (Auditoria e segurança)
Prof. Universitário. Engenheiro Mecânico
Apresentador do Vídeo Blog: kretcheu.com.br

Tipo: Palestra (40 min)
Título: Debian, D o que?
Descrição:

O que é o Debian, quem participa, do que se trata, como colaborar.

Nível: Básico

Pedro Bezerra

Pedro Bezerra, desde 2008 é Consultor de Segurança da Informação com foco em GRC e atualmente trabalha na IBM. Formado em Ciência da Computação, Pós-Graduado em Gestão e Tecnologia de Segurança da Informação e PCI QSA. Atuou em projetos nacionais e internacionais com foco no varejo, indústria médica e instituições financeiras. Desde 2013 desenvolve estudos e projetos independentes sobre a adoção de tecnologias disruptivas como IoT (Internet das Coisas) e Inteligência Artificial.

Tipo: Oficina (1h30)
Título: Criando seu chatbot
Descrição:

Workshop com instruções passo a passo de como criar um chatbot, ter ele disponível na internet, entender como treinar ele para o seu objetivo e deixar ele preparado para automatizações e interações avançadas por App ou outros sistemas de inteligência artificial.

Nível: Básico

Tipo: Mini Treinamento (3 hours)
Título: Criando uma inteligência artificial para segurança da informação
Descrição:

Iniciamos com a explicação dos fundamentos da Inteligência Artificial (AI), deixando muito claro a diferença entre AI, ML, DL, NLP, etc. Após a explicação do conceito será criado um sistema de inteligência artificial em nuvem. O treinamento da AI será feito com base no exemplo pronto de segurança, ou outra necessidade trazida pelo aluno. Na sequencia um App será configurado para que seja mais um canal de comunicação com a AI desenvolvida e treinada. Por fim o aluno terá pronto uma AI, customizada, e que poderá ter interação por App, site ou outros sistemas através de JSON. O aplicativo de exemplo será uma AI que poderá abrir incidentes de segurança da informação com base na criticidade do incidente de segurança, mas o aluno poderá escolher outro exemplo e ser orientado durante o mini treinamento.

Nível: Básico

Peter Venkman

Peter Venkman is a parapsychologist, member of the Ghostbusters and former member of product incident response teams for networking vendors. He holds PhDs in both parapsychology and psychology and used to be a GIAC Certified Incident Handler. Originally his professional interests were focused on paranormal phenamena like ESP and playing with traffic generators before protocol fuzzing was cool. He appeared not to believe in ghosts until he actually saw one, just like developers would not believe one would send a malformed ICMP packet to crash a router until they actually saw one. Despite Venkman's lackadaisical attitude, from time to time he has created inventions that help the Ghostbusters and IR teams to save the day.

Tipo: Palestra (40 min)

Título: IR stories fables and tales from the vendors haunted basement

Descrição:

I would like to contribute with a handful of real Incident Response stories from hardware vendors' perspectives. And these are not new stories, these are stories when organizations were less prepared to respond to security related incidents and when developers were not expecting people messing with packets and reversing firmware images.
Investigations start at the abandoned house across the street from PUC, what seemed to be a simple case of illegal downloading of warez quickly turned into paranormal and 0-day activities and the rest is history. On a serious note, 4 different IR cases experienced first hand while working for different networking vendors will be presented. The goal of the storytelling is to reflect about the past, what have we learned in the past decade or so, and really, how prepared are we these days to deal with certain types of incidents. From an organization, as well as from a hardware vendor perspective.

Nível: Intermediário

Raphael Bottino & Felippe Batista

Tipo: Palestra (40 min)

Título: DisSECando DevOps

Descrição:

A apresentação visa demonstrar como as tecnologias open source e boas práticas podem ajudar as suas aplicações aplicação a manter disponibilidade e com respostas automatizadas a incidentes de segurança.Nível:

Rafael Capucho (aka P4nz3r)

Autodidata, pesquisador independente com foco em segurança de redes e testes de intrusão de sistemas. Pentester profissional, jogador de CTF nas horas vagas, apaixonado por “no tech hacking”.

Tipo: Palestra (40 min)
Título: Descomplicando o Red Team
Descrição:

Descomplicando o Red Team, trás uma abordagem simples e explicativa sobre o conceito de Red Team. Aproveitando a tendência de mercado, a ideia será explicar o que faz um Red Team e em quais cenários é possível solicitar um teste com esse tipo de abordagem.
Durante a apresentação é abordado a origem do conceito Red Team, comparações desta abordagem com o Blue Team, possíveis objetivos, quais equipamentos podem ser utilizados, técnicas e abordagens utilizadas.
O publico alvo desta são profissionais iniciantes e entusiastas de segurança ofensiva, com uma abordagem menos técnica, porém explicativa sobre o conceito de “Red Team” que vem gerando dúvidas em quem está iniciando na área de segurança ofensiva.

Nível: Básico

Ricardo Iramar dos Santos

Dezenove anos de experiência em SDLC, segurança em perímetro e tecnologia da informação trabalhando em grandes empresas do ramo de telecomunicações, farmacêuticas e tecnologia.
MBA em gerenciamento de projetos e engenheiro elétrico no papel, engenheiro de segurança na carteira de trabalho, peão na empresa onde trabalha e curioso na essência. Trabalha atualmente na HP na área de Global Cyber Security e possui as certificações GWAPT, CEH, MCSO e ITIL.

Tipo: Palestra (40 min)
Título: The Amazing Burp Suite
Descrição:

Burp Suite é uma das ferramentas mais conhecida e utilizada na área de testes de segurança em aplicações web.
Se você gosta ou trabalha com segurança em aplicações web e só ouviu falar sobre Burp Suite essa apresentação é para você.
Além do uso desta ferramenta esta palestra visa passar os conhecimentos de base envolvidos que julgo ser mais importante que a própria ferramenta.

Nível: Intermediário

Ricardo Supo Picón

Lider dos capítulos de Rio de Janeiro e Perú de OWASP, CTO e fundador da INZAFE S.A. (Brasil - Chile - Peru), Engenheiro de Informática da Universidade de Lima e Mestrado de Segurança pela UOC Espanha. Reconhecido pelo governo peruano por seu apoio a combatir cibercrimen. Ele tem mais de 15 anos de experiência no sector bancário latino-americano especializado em questões de hacking ético, forense, pentesting web, programação segura, engenharia reversa, análise de malware, otimização, revisão de código, criptografia e fraude bancária.

Tipo: Mini Treinamento (3 hours)
Título: Hacking Web con OWASP
Descrição:

Eles aprenderão a detectar, explorar e corrigir as vulnerabilidades mais frequentes em aplicativos Web usando metodologías e ferramentas do OWASP

Nível: Intermediário

Tipo: Palestra (40 min)
Título: Era uma vez, quando hackearon uma NIC
Descrição:

Um dia, voltando do trabalho e notificado do um incidente de baixo risco, mas depois do analisar o incidente se comprobó que o NIC de um país foi vulnerado. A história não contada de um incidente nacional e narra como os riscos forom reduzidos rapidamente. Os incidentes que ocorreram no NIC, banca e governo e o mal actuar do NIC. Também como as metodologias OWASP ajudam a reduzir esse risco.

Nível: Intermediário

Sean Michael Wykes

Britânico, Sean Michael Wykes é mestre em Engenharia de Informação pela Universidade de Southampton. Radicado no Brasil, ele possui mais de 20 anos de experiência prática em design e desenvolvimento de projetos de software e sistemas seguros, com base em tecnologias como cartões inteligentes e elementos seguros. É CTO da empresa brasileira Nascent Secure Technologies, onde se dedica à aplicação prática das tecnologias de criptografia, consultoria especializada, treinamentos e workshops teórico-práticos, além de mentoria tecnológica de equipes no Brasil e no exterior. Ele é autor do livro "Criptografia Essencial - A Jornada do Criptógrafo" pela Editora Elsevier, 2016.

Tipo: Palestra (40 min)
Título: Brincando de montar blocos seguros - melhorando a segurança em sistemas IoT
Descrição:

A crescente preocupação em segurança digital está fomentando diversas pesquisas que visam proteger transações financeiras, manter a privacidade ou ainda evitar ataques cibernéticos. Para todos estes fins, se tem utilizado técnicas de criptografia.
Infelizmente, na prática, a criptografia é frequentemente usada incorretamente, resultando em inúmeras vulnerabilidades. Os principais motivos das falhas de segurança são devido ao uso incorreto das primitivas básicas de criptográficas ou à falta de conhecimento mais profundo os desenvolvedores em como organizar estes blocos em funções criptográficas mais complexas.
Nesta palestra, serão apresentadas as principais armadilhas quando se desenvolve uma aplicação que necessita de técnicas criptográficas, apresentado as melhores práticas de desenvolvimento e uma biblioteca criptográfica de alto nível, com objetivo de facilitar a construção de aplicações mais seguras.
Para ilustrar, será apresentada uma aplicação IoT que implementa diferentes processos criptográficos utilizando a biblioteca Libsodium (NaCl). A Libsodium é uma biblioteca de software moderna e fácil de usar para criptografia, assinaturas digitais, hashing de senhas e muitas outras operações criptográficas. Seu principal objetivo é fornecer todas as principais operações necessárias para construir ferramentas criptográficas de alto nível, enfatizando a segurança e a facilidade de uso. Além de ser multiplataforma, pode ser executado em diferentes compiladores e sistemas operacionais, incluindo o Windows, iOS e Android. As versões Javascript e WebAssembly também estão disponíveis e são totalmente suportadas [libsodium.org].

Nível: Básico

Tipo: Mini Treinamento (3 hours)
Título: Construindo aplicações IoT seguras com blocos criptográficos de alto-nível
Descrição:

Primitivas e construções criptográficas modernas oferecem altos níveis teóricos de segurança. Infelizmente, na prática, a criptografia é muitas vezes utilizada de forma incorreta, resultando em diversas vulnerabilidades e brechas de segurança. E mesmo quando as melhoras práticas criptográficas são seguidas, falhas de segurança ainda acontecem em função de gerenciamento e armazenamento inseguro das chaves criptográficas e demais credenciais.
Nesta oficina, vamos descobrir como construir aplicações mais seguras através de blocos criptográficos de alto nível. Iremos utilizar uma arquitetura moderna e heterogénea baseada em uma solução IoT do mundo real. Aplicando não somente bom-senso e boas práticas, mas também o mindset de desenvolvimento seguro, modificando a aplicação para gradativamente melhorar a segurança. Ao modelar os principais processos e fluxos de informação, iremos identificar o que é preciso fazer para assegurar dados, dispositivos e usuários.
No processo, você irá aprender a evitar muitas dos erros mais comuns, através da utilização da biblioteca libSodium, que fornece um conjunto de blocos seguros já testados e prontos para inclusão nas suas aplicações.
Será disponibilizada uma imagem de maquina virtual Linux, sendo recomendada a instalação prévia do VirtualBox para quem quiser acompanhar os exercícios práticos de programação.

Nível: Intermediário

Sergio Prado

Sergio Prado atua com desenvolvimento de firmware para sistemas embarcados há mais de 20 anos. Com formação em eletrônica e computação, já atuou com diversas tecnologias de micro­proces­sadores e micro­con­tro­ladores, incluindo Z80, 68000, x86, 8051, PIC, AVR, MIPS, PPC e ARM. É ativo na comunidade de sistemas embarcados no Brasil, sendo um dos criadores do portal Embarcados. Escreve periodicamente em seu blog sergioprado.org, é desenvolvedor Linux e entusiasta na área de segurança, além de colaborar com diversos projetos de software livre, incluindo o kernel Linux.

Tipo: Palestra (40 min)
Título: Extraindo firmware com JTAG
Descrição:

Muitas vezes, identificar e explorar falhas em dispositivos eletrônicos é complicado porque os vetores de ataque podem ser bastante limitados. Uma forma de identificar falhas nestes dispositivos é extraindo seu firmware para análise. JTAG é uma interface física do processador que, se estiver disponível e acessível na placa de circuito impresso, pode ser utilizada para a extração do firmware e posterior análise e engenharia reversa. Nesta apresentação, estudaremos em detalhes o funcionamento da interface JTAG e as principais técnicas e ferramentas que podem ser utilizadas para extração de firmware em dispositivos eletrônicos.

Nível: Intermediário

Sofia Marshallowitz

Graduanda em Ciência e Tecnologia com ênfase em Engenharia de Informação pela Universidade Federal do ABC e em Direito pela Universidade Presbiteriana Mackenzie. Foi bolsista na Escola de Governança da Internet do Comitê Gestor da Internet no Brasil – CGI.br. Já foi back-end, já modelou dados e hoje lida com Direito Digital voltado para InfoSec, possuindo certificações na área. Vê as brechas de segurança como um playground e escreve frequentemente para revistas online (Vice Magazine, Lex Machinae, entre outras) sobre os mais diversos temas da tecnologia. Até hoje não sabe a diferença entre Exatas e Humanas e possivelmente te conhece de algum vazamento de dados.
Mais informações podem ser encontradas em: https://www.linkedin.com/in/marshallowitz/ e http://marshallowitz.tk/

Tipo: Lightning Talk (10 min)
Título: Port Scanning dá processinho?
Descrição:

Atire a primeira pedra quem de nós nunca deu um nmap. No entanto, não é o mesmo de ter aproveitado das vulnerabilidades constatadas para outros feitos.
A legislação brasileira - assim como a americana e de tantos outros países - é nebulosa sobre a legalidade do Port Scan. O ato, pelo simples prazer de colocar o conhecimento em prática, é um crime? Qual é limite? Quais são as implicações criminais sobre?
O intuito dessa lightning talk é pontuar os principais entendimentos jurídicos sobre o tema com as principais dúvidas e riscos do profissional de Segurança da Informação, numa linguagem com juridiquês traduzido, feito para quem está interessado em continuar explorando as brechas sem se prejudicar.

Nível: Intermediário

Thiago Bordini

Diretor de Inteligência Cibernética e Pesquisa na New Space Prevention Inteligencia Cibernética, formado em Sistemas da Informação, pós graduado em Segurança da Informação e MBA em Gestão de TI. Proficiência em segurança de informação a mais de 10 anos, fundou o StaySafe Podcast e é membro organizador da Cloud Security Alliance (CSA) Brasil havendo participado da tradução do primeiro guia de melhores práticas de segurança da informação para Cloud Computing.
Palestrante em diversos eventos como EkoParty, YSTS, H2HC, Bsides, ValeSec, SegInfo, CNASI, etc.

Tipo: Palestra (40 min)
Título: RFID ou MFID
Descrição:

O propósito da apresentação é demonstrar como o uso de soluções que utilizam a tecnologia de RFID podem ser exploradas, demonstrando casos práticos de ataques a estas aplicações.

Nível: Intermediário

Tipo: Lightning Talk (10 min)
Título: O que ocorre com a nova geração de profissionais? Saudosismo talvez
Descrição:

O propósito é discutir o porque as empresas tem dificuldades de encontrar talentos, e porque os jovens tem tanta dificuldade de entrar no mercado. Onde está o GAP.

Nível: Básico

Victor Pasknel

Doutorando em Ciência da Computação pela Universidade de Fortaleza. Consultor de segurança na Morphus Segurança da Informação e professor universitário com ênfase em segurança da informação.

Tipo: Palestra (40 min)
Título: How I Got Into Hacking Ultrasound Machines
Descrição:

Hospitais e clinicas são ambientes ricos em dados sensíveis. Protocolos de comunicação e tecnologias especificas da área médica podem ser exploradas para causar vazamentos de informações sobre pacientes. Esta palestra tem como objetivo apresentar técnicas para realização de pentest em equipamentos médicos e soluções frequentemente utilizadas em ambientes hospitalares.

Nível: Intermediário

Wagner Morais / Alex Vieira

Wagner Morais
Atualmente como Especialista de infraestrutura e Segurança no Santos Futebol Clube;
Bacharel em Ciências da computação pela Universidade Santa Cecília (UNISANTA);
Pós Graduado em Segurança da Informação;
Algumas Certificações:
ISO 27002;
Ethical Hacker;
MCTS (Microsoft Certified Technology Specialist);
LPI (Linux Professional Institute);
VCA (VMware Certified Associate);
Co-fundador do http://bxsec.org. https://www.linkedin.com/in/wagner-morais-06780034/

Alex Vieira
Atualmente como gestor de TI e segurança da informação no seguimento portuário.
ISO 27002;
ITIL V3
MCTS (Microsoft Certified Technology Specialist);
LPI (Linux Professional Institute);
Co-fundador do http://bxsec.org.

Tipo: Oficina (1h30)
Título: Raspberry TOR network router
Descrição:
Sera demonstrado um tutorial de como tornar o raspberry em um roteador Tor.Como ele você poderar navegar anonimamente na internet.

Nível: Intermediário