Palestras
Título: A guerra entre os rootkits e os mecanismos de detecção é travada no campo de batalha dos pinguins.
Resumo: Na palestra, vamos mergulhar no mundo dos rootkits, explorando o que são, como funcionam e o impacto que têm na segurança dos servidores Linux. Vamos analisar diversos tipos de rootkits e exemplos reais de incidentes causados por essas ameaças. Além disso, vou compartilhar dicas práticas para se proteger contra rootkits e entender melhor seu comportamento. Um ponto interessante que vamos abordar é como os hackers usam rootkits para esconder suas atividades maliciosas em sistemas comprometidos, muitas vezes passando despercebidos por longos períodos. O objetivo é capacitar você a detectar e proteger seus servidores Linux contra esses ataques, fortalecendo a segurança de sua empresa e infraestrutura de TI.
Palestrante: Carlos Silva
Título: And what if it was hacked? Tactics and Impacts of Adversarial Machine Learning attacks
Resumo:
The talk motivation
Growing up listening inside the cybersecurity community made me understand pretty soon that there is no fully secure system in the world. Any time I found a new technology a single thought took shape in my mind: “But, what if someone breaks it?”. During college, when I had an opportunity to do a winter camp in San Francisco to visit some tech companies, including Tesla, this question gained a new view during a talk with one of the major AI engineers of the company. And if someone hacked the Tesla AI system?
Those questions became constant and crystallised over time in my mind. It was always clear to me that even being fascinated with the power of AI technology, the impact of someone hacking it could be immensurable to society. How could we trust a self-driving car without ensuring its AI algorithm safety? How can we walk calmly on the streets when autonomous cars become accessible?
Lately, with the popularisation of AI and a better understanding of how it works, those questions joined a bunch of new others that arose after a better understanding of how AI systems work and the usage of AI became more material in our routines. Now, answering those questions become part of my routine looking for ways to confuse the system that everyone knows is almost superior to human intelligence.
Talk Objective
Based on my recent Studies, the objective of this talk is to lean over the most common techniques known in the AI attack field and join this knowledge with the risk perspective for companies since all the actual companies are somehow using or exposed to AIs. Those attacks can be explored even in companies that do not directly develop their proprietary AI system. Now, AI security must be known and mapped as a tangible risk.
The attacks presented during the talk will be divided into four groups: Extraction, Inversion, Poisoning and Evasion. Each of these techniques is a way to confuse the AI system and generate some type of misbehaviour presenting a risk for the user, such as when the AI is the truth source for important decisions such as credit prediction or the company when for example an attacker confuses the AI to extract training data.
When dealing with AI companies and users must have the same caution as the one applied to protect other systems that store sensitive data for example. After all, as with any other system, an AI is a computer program that processes and analyses a large amount of data to be used in decision-making or other critical process. Thus, the talk will also explore mitigation measures to help manage those risks. After all, now that we have passed the point of return, we need to face the best way to deal with this powerful tool we have in our hands.
Palestrante: Larissa Fabião da Fonseca
Título: AutoExploitation com Scripts NMAP
Resumo: A palestra apresenta como é possível conduzir um auto-scan em vários IPs e como podemos criar Scripts do NMAP para conduzir varreduras e empregar técnicas de AutoExploraçao de Buffer Overflow no alvo, gerando shell reversa ou causando um Denial Of Service no alvo afetado. Durante a apresentação será apresentado de forma didática a simplicidade ao construção de um script do NMAP em LUA, além de demonstrar ao vivo o processo exploratório de vulnerabilidades de Buffer Overflow em servidores Xitami, Sami HTTP e Psoproxy 0.91. Não será apenas uma apresentação, mas uma experiência imersiva e interessante para profissionais e interrados em cibersegurança. #SegurançaCibernética #ScriptsNMAP #AutoExploração
Palestrante: Fernando Henrique Mengali de Souza
Título: Advice For The Young At Heart – Conselhos de dois velhos ranzinzas em como terminar a sua carreira de Infosec
Resumo: Nesta palestra, iremos dar dicas e conselhos para o público que já está ou pretende trabalhar com segurança da informação.
Diferentemente de outras palestras sobre carreira, começaremos pelo final. Por razões óbvias, as pessoas tendem a tentar resolver os problemas imediatos, muitas vezes esquecendo a principal motivação inicial do porquê está neste mercado.
As dicas são focadas em competências e comportamentos necessários para a sobrevivência, convivência e ascensão no mundo corporativo, comunidade de Infosec e outros.
Muitos conselhos serão baseados em décadas de experiências dos dois velhos ranzinzas. Alguns desses conselhos culminaram em resultados como, por exemplo: convencer nossos gestores a financiarem durante mais de uma década viagens a eventos nacionais e internacionais de segurança, como a DEF CON e BlackHat; sermos dois dos três criadores de um podcast de segurança da informação que posteriormente se tornou a semente para a criação do You sh0t the Sheriff, um evento de segurança que ocorre a mais de 16 anos;
auto-promoção pessoal na empresa, resultando em promoções e destaques internos; o momento de pular fora e partir para o empreendedorismo, etc.
Iniciantes, intermediários e experientes poderão se beneficiar das dicas desta palestra que, de forma informal e divertida, fala sobre coisas que não se aprendem em cursos ou faculdades e são cruciais para o desenvolvimento profissional e pessoal.
Também falaremos do the good, the bad and the ugly, dividindo o “mundo corporativo de infosec” em alguns dos principais caminhos que um profissional pode tomar: consultorias, pesquisa de segurança/ consultor independente, operações de segurança, engenharia de vendas. Desta maneira, ajudando a audiência a decidir onde e como eles gostariam de terminar a sua carreira daqui alguns anos.
Palestrante: Luiz Eduardo e Willian Caprino
Título: DeepFake e validação de provas digitais produzidas por I.A: Considerações de impacto para o cidadão, empresas e universo jurídico.
Resumo: Como cientista da computação e advogado, atuando como Perito judicial atuante a 21 anos para os tribunais de justiça (TJSP, TRF, TRT e MPSP CyberGaeco) com especialidade em proteção de dados pessoais, trago uma nova demanda Técnico-Jurídica: um novo modelo de ataque esta sendo perpetrado como a produção de conteúdo falso por uma I.A. que imitam a imagem e fala de uma recurso humano com a finalidade de enganar e obter alguma vantagem, geralmente financeira ou imputar um crime a alguém. Estas violações de dados pessoais (imagens, fala, comportamento natural, idiossincrasias, etc.), que agora encontra suporte na produção de conteúdo por I.A. amplamente acessível e disponível por qualquer usuário na internet. A ideia central é mostrar como o perito forense ou expert investigativo em meios digitais pode auxiliar o judiciário ou autoridade policial em demandas desta natureza, inclusive com base na no Marco Civil da Internet, nas PL 4939/20 e 2338/23, e ou ISO/IEC 42.001. Veremos exemplos de chamada de ações onde a I.A. criam ambientes de produção e manipulação de conteúdo com objetivo de fraudar a personalidade de outrem.
Palestrante: RICARDO ANDRIAN CAPOZZI
Título: Desvendando o Labirinto Digital: Explorando as Profundezas da Segurança de Aplicações com Fuzzing – Uma Jornada pela Identificação e Erradicação de IDORs Ocultos
Resumo: Boas-vindas e contextualização sobre a importância da segurança de aplicações na era digital. Apresentação da abordagem inovadora de Fuzzing como uma ferramenta eficaz na busca por vulnerabilidades, com foco especial em Insecure Direct Object References (IDORs).
Seção 1: Fundamentos da Segurança de Aplicações: Breve revisão das principais ameaças à segurança de aplicações. Destaque para a crescente complexidade dos sistemas digitais e a necessidade de técnicas avançadas de teste de segurança.
Seção 2: Fuzzing – Uma Lente Poderosa: Explicação detalhada sobre o que é Fuzzing e como essa técnica pode ser aplicada para identificar vulnerabilidades. Demonstração de casos de uso bem-sucedidos de Fuzzing em aplicações do mundo real.
Seção 3: Insecure Direct Object References (IDORs): Definição e explicação de IDORs como uma ameaça significativa. Destaque para os riscos associados à manipulação inadequada de referências a objetos.
Seção 4: A Jornada com Fuzzing: Descrição passo a passo de como realizar um teste de segurança usando Fuzzing para identificar e erradicar IDORs ocultos. Exemplos práticos de payloads de Fuzzing e suas aplicações específicas para revelar falhas de IDOR.
Seção 5: Estudos de Caso e Lições Aprendidas: Apresentação de estudos de caso reais de empresas que implementaram com sucesso técnicas de Fuzzing para fortalecer a segurança de suas aplicações. Destaque para as lições aprendidas e melhores práticas a serem consideradas.
Conclusão: Recapitulação dos principais pontos abordados na palestra. Enfatização da importância contínua da segurança de aplicações e da utilização de Fuzzing como uma ferramenta indispensável nesse contexto.
Palestrante: Lenon Stelman
Título: Detectando e mitigando potenciais incidentes cibernéticos
Resumo: Sistemas Linux, geralmente, não dispõem de camadas de proteção sofisticadas e bastante difundidas em sistemas Windows a exemplo de soluções EDR/XDR. Portanto, práticas como port scan podem passar mais facilmente despercebidas quando executadas contra estes sistemas. Estatísticas do Cert.br (https://stats.cert.br/incidentes/#tipos-incidente) apontam que o ataque mais reportado em Jan 2024 é o port scan, o qual sempre teve uma posição de destaque nestas estatísticas, uma vez que este é o responsável pelo mapeamento e coleta de informações sobre os serviços disponibilizados pelo target podendo, inclusive, convenientemente mapear também as vulnerabilidades destes serviços para posterior exploração por ofensores. Assim sendo, embora este tema já tenha sido amplamente abordado anteriormente, as estatísticas mostram que sua relevância ainda é alta e que o problema é persiste. Nesta oficina serão apresentados e caracterizados os principais tipos de port scan, bem como , demonstrada de forma prática e fundamentada, a implementação uma ferramenta FOSS para mitigação deste tendo como objeto targets Linux.
Palestrante: Osmany Arruda
Título: Estratégias para Cultivar uma Cultura Positiva de Cibersegurança
Resumo: Quando falamos de segurança cibernética, muitas empresas enxergam — mesmo que inconscientemente — os colaboradores como inimigos internos e seu elo mais fraco. Essa prática tem sérias consequências à proteção eficiente das informações da organização.
Afinal, mais de 90% dos ataques cibernéticos ocorrem por meio de técnicas de engenharia social, isto é, dependem diretamente de uma ação humana para se concretizarem. Para mitigar os riscos relacionados ao fator humano, nos aprofundaremos nas estratégias necessárias para construir uma forte cultura de segurança cibernética corporativa por meio de reforços positivos.
Nesta palestra, compartilharemos insights sobre métodos de treinamento eficazes que promovem a colaboração e o relacionamento mútuo entre as equipes de segurança e todos os outros colaboradores. Trabalhando lado a lado com os usuários, e não contra eles, as empresas terão sucesso na missão de criar uma cultura onde todos assumem a responsabilidade pela segurança cibernética.
Palestrante: Vinícius Perallis
Título: From SEH Overwrite with Egg Hunter to Get a Shell!
Resumo: Nesta palestra aprenderemos o que é SEH (Structured Exception Handler), qual sua função no sistema, bem como sua famosa mensagem: “o programa encontrou um problema e precisa ser fechado”; como e por que, às vezes, no desenvolvimento de exploits é necessário na pilha de memória, sobrescrever o SEH. Também aprenderemos qual é a função da técnica utilizada no desenvolvimento de exploits chamada Egg Hunter, e quando é necessário fazer uso desta técnica. Por fim, aprenderemos a criar do zero um exploit, para explorar uma vulnerabilidade de Buffer Overflow utilizando a técnica SEH Overwrite com uso de Egg Hunter, e procuraremos badchars para evitar erros em nosso shellcode, tudo isso para obter um shell reverso. PoC está incluído 🙂 é claro!
Palestrante: Rodolpho Concurde
Título: HACKTH~1: Leveraging ShortNames to maximize XXE impact
Resumo: Pentests black-box externos são um verdadeiro tiro no escuro: você nunca sabe quais desafios enfrentará. A fase de reconhecimento é crucial para garantir muitas oportunidades de exploração, e quando se trata de servidores IIS, a pesquisa de Soroush Dalili se encaixa como uma luva. Durante esta apresentação, ChOkO guiará o público pela exploração do (bug ou feature) IIS ShortName e demonstrará como o investimento na etapa de reconhecimento levou à descoberta de aplicações esquecidas. Isso reforça como adotar a mentalidade “try harder” e muito RTFM pode levar à descoberta de vulnerabilidades ocultas, que no cenário apresentado, tratou-se de um 0-day em uma aplicação comercial adotada principalmente por hospitais e universidades.
Palestrante: Rafael ChOkO
Título: Honeypot da abelha a Colméia
Resumo: Desde o momento em que uma aplicação web respira pela primeira vez na internet, ela é bombardeada por uma chuva incessante de ataques automatizados. Esses ataques, embora nefastos, são como uma caixa de Pandora reversa: ao invés de soltar os males do mundo, eles liberam dados preciosos sobre tendências de exploração de vulnerabilidades, as origens obscuras dos ataques e o nível de sofisticação desses invasores virtuais. Nossa missão é capturar esses dados, mas com estilo.
Ao longo desta talk, revelaremos como toda essa estrutura foi desenvolvida, os diferentes disfarces que ela usa para atrair ataques e as análises de inteligência que realizamos com os dados coletados. E para os amantes da open-source e entusiastas da cibersegurança, teremos uma surpresa especial: um client do nosso honeypot disponibilizado gratuitamente para quem quiser se juntar a nossa liga de defensores cibernéticos.
Tudo começou com um simples código em Python, que apesar de suas limitações e bugs herdados de bibliotecas necessárias, nos mostrou o imenso potencial dos honeypots. Desde identificar ataques zero-day que saíram do forno até flagrar tentativas de distribuição de malware e uma variedade de outras tentativas de invasão, percebemos que era hora de evoluir. Assim, com uma arquitetura mais robusta, um código de honeypot reimplementado em C para performance e segurança, e um dashboard tão descolado, estamos prontos para mostrar ao mundo que a melhor defesa é um bom… engano.
Prometemos insights, diversão e, quem sabe, uma nova perspectiva sobre como proteger o mundo digital. Prepare-se, para uma jornada inesquecível pela terra dos honeypots, onde a segurança encontra a inovação, tudo regado a muito humor e paixão pela defesa cibernética. Nos vemos na conferência!
Palestrante: Felipe Prado e Filipe Grahl
Título: Investigating phishing that steals apple credentials
Resumo: Você é roubado dentro do metrô na Linha Amarelha (SP) voltando para casa. Ao perceber o roubo, bloqueia o celular, mas horas depois recebe um Smishing com objetivo de roubas suas credenciais. Quem possivelmente construiu esse Phishing? Será que consigo descobrir algo? Acompanhe essa surpreendente investigação comigo.
Palestrante: Reinaldo Bispo – corvo
Título: LLM exploitation in real world
Resumo: O principal objetivo da paleta é evitar a adoção desse tipo de tecnologia sem uma ideia real dos riscos e impactos que podem trazer para a organização. Como resultado da apresentação, traremos também técnicas que podem ajudar no dia a dia de pessoas que testam a segurança da implementação desse tipo de tecnologia. Dessa forma, alcançamos dois tipos de público: aqueles que estão implementando a tecnologia e também aqueles que estão aprendendo a testar a segurança dessas aplicações. Como temos uma parte introdutória, o publico que não faz parte de nenhum desses dois grupos também será beneficiado.
Palestrante: Joel Corrêa
Título: O que acontece depois da entrega do relatório?
Resumo: A palestra “O que acontece depois da entrega do relatório?” oferece uma visão sobre as dificuldades que os clientes possuem em gerenciar as vulnerabilidades encontradas e como uma solução open source pode auxiliar nesta tarefa. Exploraremos como DefectDojo pode ser usado para identificar, priorizar e remediar vulnerabilidades, fortalecendo a postura de segurança da sua organização. Abordaremos também casos de uso, dicas práticas e possibilidades de integração.
Palestrante: Diogenes Ramos
Título: Priorizando Vulnerabilides com Inteligência de Ameaças
Resumo: Normalmente no processo de gestão de vulnerabilidades nos deparamos com milhares ou até mesmo centenas de milhares de CVEs, está talk tem como foco esclarecer o público como se utilizar de dados sobre estas CVEs para priorizar a correção de riscos reais e ativos atualmente como campanhas de ransomwares, ou ataques em massa, que realmente podem afetar uma empresa negativamente, o conteúdo da talk demonstra apenas informações abertas e disponíveis na Internet e que quando agregadas trazem valor a gestão de risco como um todo.
Palestrante: Cristiano Henrique dos Santos
Título: ReDoS for fun and stuck
Resumo: Nesta palestra, realizo uma análise detalhada de um problema frequentemente negligenciado, o ReDoS (Denial of Service de Expressões Regulares), destacando como as vulnerabilidades em expressões regulares, quando interpretadas por engines suscetíveis, podem comprometer a disponibilidade de nossos sistemas. Apresento, de maneira prática, diversos cenários de ataques potenciais.
Além disso, discuto um CVE encontrado durante meus estudos em uma biblioteca do ecossistema Node.js, com mais de 2 milhões de downloads semanais, e seus impactos.
Também abordo a importância de sermos cautelosos ao utilizar expressões regulares encontradas na internet ou até mesmo geradas por Inteligências Artificiais, como o ChatGPT e o GitHub Copilot.
Por fim, demonstro como podemos nos proteger contra todos os cenários apresentados e alcançar um sistema resistente ao ReDoS.
Palestrante: Jardel Matias
Título: Red Team + CTI: Atacando para Defender
Resumo: Com a palestra: “Red Team + Cyber Threat Intelligence: Atacando para Defender”, buscamos apresentar duas emulações de adversário desenvolvidas e realizadas por uma equipe multidisciplinar de profissionais, onde um casal, na vida e na área de cibersegurança, apresentam juntos como os ataques podem ser a melhor forma de defesa. O que você vai assistir?
Operações de Red Team: Algumas das atividades realizadas pelo lado vermelho da força, focando nas estratégias ofensivas que simulam adversários reais, desenhadas para testar a resiliência e a prontidão das defesas cibernéticas.
Cyber Threat Intelligence (CTI): Descubra como a CTI e um processo inteligente de emulação de adversários pode desempenhar um papel crucial na compreensão de um cenário de ameaças.
Abordaremos conceitos sobre Kill Chain, Pirâmide da Dor, Mitre Attack e Sigma Rules, para que entendam como esses modelos podem ajudar a prever e prevenir ataques cibernéticos e auxiliar no entendimento de táticas, técnicas e procedimentos dos adversários para cenários de emulação de adversários e para o desenvolvimento estratégias de defesa robustas.
Mas isso não é tudo. Você terá a oportunidade de ver a teoria transformada em prática com dois estudos de caso desenvolvidos pelo nosso time:
Ataque envolvendo comprometimento físico com um mouse modificado:
Um dispositivo aparentemente inofensivo que desafia controles de segurança, destacando as vulnerabilidades em um ambiente, e, que se torna a chave para comunicação com um servidor C2 e execução de comandos remotos, podendo causar impactos variados no ambiente comprometido.
Um Ransomware saindo do forno:
Um software malicioso desenvolvido do zero pela nossa equipe, sem assinatura conhecida e com todos os comportamentos que um Ransomware precisa e que um ator de ameaças gosta, causando o terror nos EDR/XDR.
Essa apresentação busca não apenas informar, mas também, inspirar os ouvintes a realizarem atividades de emulação de adversário, entendendo o papel que a emulação de ameaças cibernéticas desempenha na proteção de nossos mundos digitais.
Palestrante: Ana Carolina Marinho e Thiago Miranda de Paula
Título: The windows is our friend!!! Windows Event Log Persistence
Resumo: A ideia dessa talk e mostrar algumas Fases/Técnicas que podemos utilizar durante um exercício Redteam ou ate mesmo em um Pentest em ambiente Windows.
O foco principal é mostrar técnicas de bypass e persistência utilizando o próprio Windows como nosso aliado.
Todos as PoCs aqui foram feitas em um ambiente de Laboratório controlado, onde foi construido alguns mecanismos de proteção como “ Constrained Language, elevação de privilégio utilizamos AlwaysInstallElevated e persistência utilizando Windows EventLog”
Durante todos teste busquei utilizar técnicas diferentes das existentes trazendo assim uma nova abordagem.
Bypass CLM “PowerShell Constrained Language Mode”
Elevação de Privilegio Utilizando WIX File para obter acesso como NT/AUTHORITY
Persistência Utilizando o Windows EventLog
A ideia inicial é mostrar todas as fases necessárias durante um teste de Red Team em equipamentos controlados com o mais alto nível de proteção, e assim obter acesso privilegiado, e com isso criar uma persistência utilizando o próprio Windows EventLog como nosso amigo.
Durante os testes foi possível permanecer totalmente indetectável pelo Windows defender.
Palestrante: Fabricio Gimenes
Título: Whatsapp: Da pesquisa à exposição de falhas
Resumo: Em “WhatsApp: Da pesquisa à Falha”, Vamos falar sobre o processo de pesquisa e estudo do protocolo do WhatsApp, mostrando como ferramentas desenvolvidas para suportar o processo não apenas viabilizaram, mas também otimizaram a pesquisa. Esta palestra detalhará o processo de criação dessas ferramentas, como o “Whats-Sniff” para análise de tráfego e o “Whats-Sandbox” para experimentação segura com o protocolo, e como elas foram fundamentais para identificar vulnerabilidades como o “whats-spoofing”. Discutiremos o impacto dessas falhas, as respostas corporativas e as implicações para a segurança e privacidade dos usuários. Prepare-se para uma sessão repleta de insights técnicos, desafios de pesquisa e a importância do pensamento inovador na segurança cibernética.
Palestrante: Gustavo Lichti