As Villages da BSidesSP são espaços temáticos organizados por comunidades ou parceiros nossos.
A programação das Villages é independente da BSidesSP.
AppSec Village
| Segurança em desenvolvimento além de ASTs (Application Security Testing) quebrando a esteira | Em um mundo cada vez mais digital, proteger nossas aplicações vai muito além de usar ferramentas de teste de segurança (ASTs). Na palestra vamos explorar como fortalecer a segurança de software com práticas que integram DevSecOps, educam desenvolvedores e adotam estratégias proativas. Vamos desmistificar a ideia de que SAST, SCA, IAC entre outras ferramentas de AST são suficientes, mostrando como uma abordagem mais ampla pode tornar nossas aplicações muito mais seguras desde a concepção até a implementação. | Wagner Elias | |
| Escape Room: Protect your Code | Encare este empolgante desafio de Escape Room Portátil! Forme uma equipe de até 8 participantes e mergulhe em 15 minutos desafiadores, onde vocês precisarão resolver quatro intrigantes desafios contidos em uma maleta. Esses desafios exigirão habilidades de lógica, resolução de problemas, capacidades mecânicas e, essencialmente, práticas de codificação segura para assegurar que seu software fique protegido contra vulnerabilidades. Preparado para testar suas habilidades sob pressão? | ||
| Escape Room: Protect your Code | Encare este empolgante desafio de Escape Room Portátil! Forme uma equipe de até 8 participantes e mergulhe em 15 minutos desafiadores, onde vocês precisarão resolver quatro intrigantes desafios contidos em uma maleta. Esses desafios exigirão habilidades de lógica, resolução de problemas, capacidades mecânicas e, essencialmente, práticas de codificação segura para assegurar que seu software fique protegido contra vulnerabilidades. Preparado para testar suas habilidades sob pressão? | ||
| Escape Room: Protect your Code | Encare este empolgante desafio de Escape Room Portátil! Forme uma equipe de até 8 participantes e mergulhe em 15 minutos desafiadores, onde vocês precisarão resolver quatro intrigantes desafios contidos em uma maleta. Esses desafios exigirão habilidades de lógica, resolução de problemas, capacidades mecânicas e, essencialmente, práticas de codificação segura para assegurar que seu software fique protegido contra vulnerabilidades. Preparado para testar suas habilidades sob pressão? | ||
Organização:
 |
Bio Hacking Village
Nesta edição teremos no Village de BioHacking, a instalação de BioChips com Leonard Akira da MyBioChip (https://www.mybiochip.com.br), Body Piercer especialista na aplicação de BioChips. No sábado teremos o sorteio de 02 BioChips + Instalação para os presentes no evento (das 15h as 18h). Não percam esta novidade!
| Biohacking: como equilibrar novidade e privacidade? | Biohacking busca alcançar melhorias para o corpo e a mente através da ciência e tecnologia. Todavia, é essencial equilibrar o uso dessa inovação com a proteção dos usuários, garantindo ética, segurança e privacidade desde o início e em todo o processo. | Natalia Fischer | |
| BioHacking e o Futuro do Transumanismo | Uma palestra explicando os próximos passos da Evolução Humana em direção a um Futuro CyberTech. | Leo Akira | |
Organização:
CISOs Village
| Advancing AI: Considerations about Governance, Risk and Security | A palestra explorará o papel transformador da IA nos negócios com um olhar crítico sobre governança, gestão de riscos e segurança. Com base em insights e desenvolvimentos recentes, será abordada uma visão geral abrangente que enfatiza a importância de estruturas robustas de governança de IA, identificação e mitigação de riscos relacionados à IA, e o papel vital da segurança para manter a integridade dos negócios e a confiança nas aplicações de IA. | Gustavo Galegale | |
| Enfrentando os desafios de segurança da informação e de privacidade da atualidade com os recursos de pequenas e médias empresas | A palestra começará a ser desenvolvida através da contextualização do papel e da significância das pequenas e médias empresas para a economia, aprofundando sobre as relações que estas possuem com as grandes organizações e os principais riscos decorrentes da execução das atividades terceirizadas, que cada vez mais pautam as práticas de seleção e gerenciamento dos fornecedores. A temática será desenvolvida apresentando os principais desafios de segurança da informação e privacidade comuns a estas empresas, que possuem a necessidade de se manter relevantes em um mercado altamente competitivo com poucos recursos financeiros, e discorrerá sobre a geração de valor enquanto introduz os benefícios de uma abordagem estruturada sob a liderança de um CISO para tornar as empresas cada dia mais seguras. | Marina Moraes | |
| vCISOs: Líder de Segurança, TI ou de Riscos Corporativos? | As organizações usam CISOs virtuais porque são mais acessíveis do que CISOs em tempo integral. Eles também podem ser benéficos para organizações que não estão no setor de TI.O que é um CISO virtual e como ele pode ajudar sua organização – Os benefícios de usar um CISO virtual – Os desafios de usar um CISO virtual – Como escolher o CISO virtual certo para sua organização | Erick Kumagai | |
| Do Zero Trust ao Digital Trust | Embora o NIST defina o Zero Trust como um modelo de segurança que elimina a confiança implícita e assume que nenhum usuário, dispositivo ou serviço é confiável por padrão, a ISACA apresenta o Digital Trust como uma abordagem holística para a segurança cibernética que se baseia em três pilares: Confiança / Risco / Resiliência Para fortalecer ainda mais sua postura de segurança, a empresa pode adotar o Digital Trust, implementando medidas como: Gerenciamento de Identidade e Acesso (IAM) / Segmentação de Rede / Monitoramento Contínuo / Planos de Recuperação de Desastres Ao combinar os princípios do Zero Trust com a visão holística do Digital Trust, as empresas podem criar uma postura de segurança cibernética robusta e resiliente, capaz de proteger seus ativos digitais contra as ameaças em constante evolução. | Renato Borba | |
| Engenharia Social e Deep Fake com IA | Elementos para uma Visão Executiva em Segurança Cibernética com Engenharia Social e Deep Fake com IA para CISOs: 1. Compreendendo a Ameaça: Engenharia Social e Deepfakes 2. Impacto nos Negócios 3. Desafios 4. Estratégias de Mitigação 5. Liderança e Governança 6. Olhando para o Futuro” | Natanael dos Santos | |
| Inteligência de ameaças e soluções protetivas – o que bate na porta do CISO e como levar isso ao Board | Painel | Renato Borba – Moderador Thiago Bordini – Especialista CTI Thiago Tassele – Especialista em solução de proteção Leandro Ludwig – CISO (Bradesco) Fabiana Tanaka – CISO (Leroy) |
|
| Gestão do Programa de Privacidade por Indicadores para/após Implementação da LGPD. | A Lei Geral de Proteção de Dados Pessoais (LGPD) trouxe um novo paradigma para o tratamento de dados no Brasil, exigindo das empresas robustas medidas de proteção e governança. O CISO, como líder em segurança da informação, assume um papel crucial na implementação e gestão eficaz de um programa de privacidade, utilizando indicadores como bússola para o sucesso. 1. Compreendendo o Cenário da LGPD 2. Estabelecendo um Programa de Privacidade Sólido 3. O Poder dos Indicadores de Privacidade 4. Monitoramento e Tomada de Decisões Estratégicas 5. Gestão de Riscos e Conformidade Contínua | José Galdino | |
Organização:
Cloud Security
Call For Papers ABERTO – Clique aqui
| O canivete-suíço de WAF: do básico até gambiarras técnicas e adestramento de equipes | Lucas Andrade Cioffi | |
| Fortificando a AWS: Explorando as Melhores Práticas de Segurança com IAM | Fernando Alencar | |
| Segurança em Cloud 50-50: O modelo de responsabilidade compartilhada | Divina Vitorino | |
Organização:
Conscientização Village
Organização:
Apoio:
Cyber Woman Village
| Computação Quântica: Uma nova era de inovações | Inês Brosso e Arnaldo Gunzi | |
| Acessibilidade e Segurança | Paula Papis e Thierry Marconde | |
| Segurança na Internet: Conscientização do usuário | Micarla Melo | |
| Quando a Segurança Cibernética encontra a Prevenção a Fraudes | Juliana Silveira D’Addio | |
| BISOs: Quem são? Onde vivem? O que comem? | Raissa Ataíde e Larissa Lotufo | |
| Explorando o Cyber Universo: Tecnologia Educacional em SI | Maiza Dias | |
| Exposure Management | Ana Cerqueira | |
| OSINT em Fraudes Eletrônicas | Vitor Pereira | |
| Cadeia de Impacto: Moldando o Futuro de IA de Alto Risco | Alessandra Martins | |
| Vamos dar um passeio seguro? Uma volta por algumas ferramentas de segurança da Microsoft | Gabriela Salles | |
| Como networking pode salvar sua empresa de um ciberataque | Talu Gomes | |
| Humanizando o Hacker: A importância das soft skills na segurança ofensiva | Dante Souza | |
| IA x Appsec Mobile | Celso Hummel | |
| Engenharia reversa para mulheres | Gabriela Vicari, Gabrielle Alves, Thayse Solis e Bianca Garcia | |
Organização:
 |  |
Village Dumont Hackerspace
| Bluetooth Hacking | Gabu | |
| Formação de Comunidade para capacitação em Segurança da Informação. | Arnaldo Napolitano Sanchez | |
| O dia que fiz engenharia reversa num jogo de Gameboy Advance | Bruno Macabeus | |
| Introdução a stack gráfica do Linux | Zeh Ortigoza | |
| Explorando Vulnerabilidades nos sistemas keyless automotivos | Ana Clara Aravecchia | |
| Os perigos do wi-fi phishing, e como se prevenir | Matheus Henrique Rodrigues/ Guilherme da Silva Oliveira | |
| Mensagens criptografadas do Whatsapp – Como elas acontecem exemplificadas através da Cifra de César | Romenia Ishiyama | |
| Não deixe o cadeado destrancado na nuvem! Noções básicas de segurança na nuvem | Flávio Pimenta | |
| Definindo sua pipeline de CI/CD no GitLab com o poderoso Checkov integrado ao Terraform | Amaury Borges Souza | |
Organização:
 |  |  |  |
Forense
| Desmistificando o Reboleto | A palestra tem o foco em realizar a análise da cadeia de ataque do Reboleto, o qual se trata de uma ferramenta utilizada por criminosos para realizar a alteração de dados de boletos (códigos e QR Codes). O foco é apresentar detalhes do funcionamento e detalhes de investigações. | Caique Barqueta | |
| Perícia Forense Digital como estratégia de negócios. | Como a perícia digital se encaixa em diversos nichos de negócios, os benefícios e diferenciais | Peterson Batista | |
| Casos da vida Pericial | Estou a disposição para trazer e contextualizar casos periciais | André Lorinczi | |
| Pericia em audio e comparacao de locutores | Uma analise de como e feito uma pericia em audio. | Ezio Silva | |
| Aplicacação de LGPD e Pericicia Computacional | Principios da Computação Forense em demandas com a LGPD. | Ricardo Capozzi | |
Organização:
 |
Village AI
| IA Generativa, um futuro inevitável | Veremos na apresentação o potencial da IA generativa, capaz de conceber informações e mídias inéditas a partir de bancos de dados já existentes. Estamos vivendo o momento mais disruptivo da humanidade, e com estas habilidades, tornam-se aptas a produzir dados, imagens, vídeos e sons exclusivos e originais. Precisamos superar a visão equivocada onde a máquina é adversária do ser humano e passar a encará-la como uma ferramenta eficiente para tarefas. | Alessandro de Oliveira Faria | |
| O que é prompt hacking? | A palestra irá dar uma introdução sobre o que são LLMs e o que é prompt hacking. Após a introdução, a ideia é falar de alguns métodos de ataque como prompt leaking, jailbreaking, etc. e estratégias de neutralização como filtering, sandwich defense, xml tagging, etc. Como é uma área nova com constantes publicações, é possível que eu inclua técnicas mais recentes até o dia da palestra. | Cássia Sampaio | |
| Linguística Computacional aplicada à Cibersegurança | Linguística Computacional é a base da Inteligência Artificial generativa atual. Nessa palestra, ensinaremos o público sobre processos básicos de processamentos de Dados de Texto até a chegada na IA. Após isso, explicaremos as principais aplicações do campo em Cibersegurança, explicando técnicas de análise como Estilometria, Detecção de Phishing, Identificação de Língua Mãe, clusterização de dados, Embeddings e outros. | Ismael Deus Marques | |
| Segurança ofensiva no mundo da IA | Um breve resumo em quais são os cenários e desafios existentes da segurança ofensiva com foco em IA, definindo a importância do AI Red Team assim como ataques e casos de uso recentes e relacionados com o tema. | Lucas Palma | |
| Modelagem de Ameaças, AI e Neurodata: sim, isso faz sentido | Esta palestra trabalha com a interseção da modelagem de ameaças (tanto em Segurança quanto em Privacidade), inteligência artificial (IA) e dados oriundos de Brain Computer Interface (BCI) e outros gadgets cerebrais, explorando como esses campos convergem e se complementam, além de discutir o que já é possível fazer, ainda que sem um framework oficial. | Sofia Marshallowitz | |
| Neural Networks in Phishing URL Detection | A palestra irá explorar um modelo de detecção de phishing baseado na análise de URL, abrangendo etapas como coleta, pré-processamento de dados, aplicação do modelo e alertas. Um caso real de IA será apresentado, com ênfase na aplicação de Redes Neurais Convolucionais para detectar phishing. | Mateus Fernandes | |
| Painel: Por que o Red Team precisa conhecer algoritmos de LLM ? Mediador: Sylvio Musto Neto, MBA, CySA | | Em breve | Sylvio Musto Neto | |
Organização:
4Kids
| Estação Brincadeiras STEM | Alessandra Pacheco e Estefanni Ferreira | |
| Estação Leitura e Artes no Papel [STEM e Proteção de Dados] | Alessandra Pacheco e Estefanni Ferreira | |
| Estação Gincana Goleada Segura | Alessandra Pacheco e Gleice Galdino | |
| Estação Brincadeiras STEM | Gleice Galdino, Estefanni Ferreira | |
| Estação Gincana Goleada Segura | Alessandra Pacheco e Estefanni Ferreira | |
| Roda de Conversa – Tema: A importância do controle parental e orientações de configuração | Alessandra Pacheco, Gleice Galdino, Eva Pereira | |
| Estação Leitura e Artes no Papel [STEM e Proteção de Dados] | Gleice Galdino, Estefanni Ferreira | |
Organização:
 |  |  |
Mobile Security Village
| Abertura | ||
| Mobile Appsec x IA | Celso Hummel | |
| Hardening Mobile Apps | Lucas Palma | |
| MobSec Tools: Além de Frida e Objection | Bruno Sena | |
| Como me tornei usuário Super no Duolingo sem pagar – O passo a passo para crackear o mais famoso app de línguas | Rafael Sousa | |
| Mobile App Obfuscation | Larissa Maruyama | |
| Como saber se sua escova de dentes faz parte de uma botnet? | Gabriel Barbosa (Gabu) | |
| Sorteio MobSec Crew | ||
Organização:
OSINT Village
| Pesquisa na DeepWeb através da Surface | A apresentação será baseada na demonstração de algumas técnicas e ferramentas que possibilitam pesquisar alguns dados da deepweb através de ferramentas da surface | |
| OSINT para o Bem: Fazendo a Diferença na Vida das Pessoas | A palestra abordará como OSINT pode ser usadi para o bem e impactar e fazer a diferença real nas vidas das pessoas. inspirado na força tarefa do Skull Games pretendo abordar como técnicas eficientes e recursos de inteligência de fontes abertas pode ajudar a identificar suspeitos e produzir provas.Nossa palestra irá explorar o poder transformador da Inteligência de Fontes Abertas (OSINT) no combate ao abuso e na assistência às vítimas. Inspirados pela força-tarefa do Skull Games, discutiremos como a aplicação de técnicas avançadas e o uso estratégico de recursos de OSINT podem ser cruciais na identificação de predadores sexuais e suas vítimas, produzindo provas vitais para a aplicação da lei. | |
| Parece real mas não é: a importância da verificação de dados no processo de Hunting | Ao consultar um documento público você suspeita que uma informação chave possa está errado? Se está errado, o erro é proposital ou apenas um descuido? Nesta palestra vamos descobrir o quão importante é validar as informações no processo de Hunting e como fugir dessas possíveis armadilhas. |
|
| Mitos, fraquezas e crimes imperfeitos: 10 anos de investigação sobre Darknets | ||
| Além do perfil – OSINT e o poder da investigação em redes sociais | “Vou ensinar como coletar informações utilizando OSINT. Primeiro dou uma explicação sobre osint e vou ensinar a NÂO usar ferramentas e sim pensar de uma forma analitica. Uma forma diferente de OSINT e foco na parte de SOCMINT, investigação em redes sociais.” |
|
| Prevendo comportamentos de usuários em redes sociais usando OSINT e SOCMINT | Hoje cada postagem nas redes sociais e cada interação online podem revelar detalhes íntimos sobre nossa vida pessoal e profissional, a necessidade de inovação na defesa contra ameaças cibernéticas é mais evidente do que nunca. A palestra abordará essa questão de forma abrangente, explorando estratégias avançadas de Inteligência de Fontes Abertas e Inteligência de Mídia Social utilizadas por atacantes para identificar e selecionar alvos com precisão. | |
| Caça de infraestruturas de atores com Favicon | Visando identificar atividades relacionadas a atores de ameaças, como servidores webs, infraestruturas utilizadas, campanhas de phishings, sites de fraudes por meio da utilização do Favicon e apresentar algumas ferramentas que podem ser úteis no momento da caça. | |
Organização:
Red Team Village
| Electron Exposed: Red Team Revelations (macOS Edition) | In the world of cybersecurity, the stakes are always high, and at this year’s Bsides in São Paulo, we’re bringing a serious focus to the Red Team Village. Our objective? To dissect macOS Electron applications and reveal the vulnerabilities lurking beneath the surface. Electron applications, while popular, have shown vulnerabilities that can be exploited with relative ease. In this talk, we’ll uncover how these applications can be manipulated to bypass security measures, gaining access to directories protected by the Transparency, Consent, and Control (TCC). Furthermore, we’ll demonstrate techniques for implanting backdoors, effectively transforming these apps into gateways for privilege escalation. We’ll provide an in-depth examination of the anatomy of an macOS Electron app, exposing the exploitation scenarios with meticulous detail. Through case studies, we’ll illustrate vulnerabilities that persist despite patches and highlight overlooked risks by manufacturers, emphasizing the real-world implications for both red team simulations and genuine attackers. Our discussion will underscore the critical necessity of hardening Electron applications against exploitation. Without proper fortification, these apps serve as low-hanging fruit for adversaries seeking to compromise systems. We’ll outline essential hardening techniques tailored to the diverse permissions these apps wield within the system. Finally, we’ll explore the more ominous implications of these vulnerabilities. Some applications boast entitlements granting access to sensitive resources like cameras and audio, which can be exploited for surveillance purposes. We’ll reveal how these entitlements can be leveraged to compromise user privacy, adding a sobering dimension to our exploration. Throughout the talk, we’ll present 3 CVEs acquired through our research, providing tangible evidence of the risks at hand. Join us as we shine a light on the vulnerabilities inherent in Electron applications. This talk is essential for anyone involved in red team operations. See you there. | Roberto Espreto | |
| Análise de Técnicas de Living off the Land usadas pelo grupo Volt Typhoon | A proposta da apresentação é realizar um exame das estratégias utilizadas pelo grupo cibernético Volt Typhoon conhecido por empregar técnicas de Living off the Land (LotL) em seus ataques. Dessa forma serão abordadas as TTPs de fases do engajamento desse grupo listadas pela Cybersecurity and Infrastructure Security Agency (CISA) diferenciando as técnicas aplicadas na vida real com o que aprendemos ao estudar para certificações como OSCP e OSEP. | Angello Cassio | |
| Unleashing GitOps: Leveraging GitOps for zero coast recon | Nesta palestra, exploramos o uso do GitOps para fins de recon e threat hunting, oferecendo um caminho para estratégias de reconhecimento de custo zero usando o Github. Ao aproveitar os princípios do GitOps, os pesquisadores de segurança podem otimizar seus fluxos de trabalho de recon, playbooks e afins. Vamos usar a stack de ferramentas do ProjectDiscovery em conjunto com o HEDnsExtractor e criar uma receita do zero para retroaliementar seu processo de recon usando GitOps. | Ialle Teixeira e Neriberto Prado | |
| Evil docs: incorporando malware a arquivos sem suspeitas | Nesta palestra de 45 minutos, mergulharemos em uma análise dos formatos de arquivos comumente considerados seguros para leitura, como CSV, PDF e imagens, e como esses formatos podem ser explorados para executar códigos maliciosos. Exploraremos os mecanismos por trás dessas vulnerabilidades aparentemente inofensivas e examinaremos exemplos possíveis de ataques que aproveitam essas brechas de segurança | Juliana Gaioso | |
| Fazendo Diferenciação de Binários para Encontrar falhas e explorá-las! | Aqui pretendo demonstrar as principais técnicas usadas para exploração de binários para encontrar falhas e vulnerabilidades, fazendo diferenciação entre elas e assim explora-las | Rafael Sousa | |
| Potencializando Ações Ofensivas através de OSINT Automatizada em Grupos de Telegram | A Palestra irá abordar o processo de OSINT automatizada em grupos de telegram com a ferramenta TEx (Telegram Explorer) e a análise das mensagens com o foco em extrair dados, informações e insights úteis para potencializar o alcance do Red Team e ações Ofensivas. | Guilherme Bacelar | |
| Fortalecendo a defesa. Táticas e Técnicas de RedTeam para um BlueTeam mais eficiente | A ideia é mostrar como uma pessoa que já foi do Red team e colocar ela dentro do blue team e trazer táticas e técnicas utilizadas pelo Red team a favor do blue team | Paulo Trindade e Ricardo Alves | |
Organizadores:
Apoiadores:
 |  |
Village – Somos Um
| Recepção – Village Somos Um | |
| Boas Vindas dos membros + Agenda do Dia | |
| Colonialismo Digital com Rodolfo Avelino + Sessao de autógrafo de seu livro | |
| Algoritmos Racistas com Ruan Brandão | |
| Painel Histórias Negras em Cyber: Desafios e Oportunidades com Eva Pereira, Daniele Ferreira, Cleber Brandão e moderação de Gustavo Marques. | |
| Conexão Afro com Jobson Santana | |
| Espaço aberto para dúvidas e mentoria | |
Organização:
