Olá!

Gostaríamos de comemorar com você o financiamento coletivo finalizado com sucesso mais épico do ano \o/. Agora todos os nossos colaboradores - incluindo você - poderão escolher o palestrante e o tema que querem ver no palco do Roadsec em Maceió. Isso mesmo, a escolha é de vocês! Seguem abaixo os palestrantes e temas (por ordem de recebimento via Call For Papers) para a sua avaliação. Escolha os 4 (quatro) que mais gostar, e os 4 mais votados serão os escolhidos para palestrar. Ah! A votação só ficará aberta até este domingo (22/05), então não deixe para depois:

Wesley Marinho

Formação Técnica e Superior em Informática, com ênfase em redes de computadores e segurança de informação.Consultor de TI autônomo, prestação de serviços na área de Redes de Computadores, como implantação de servidor linux e microsoft(Firewall, Domínio, Proxy, etc), na área de Segurança de Informação, como auditória de segurança em sistemas web, teste de exaustão de infraestrutura(StressTest), hardening, etc, projetos de cabeamento estruturado, gestão da qualidade, com amplo conhecimento das normas ISO 9001.

tema da palestra: CyberWar: Who is The Enemy?

Só quem já trabalhou do outro lado da força sabe o que acontece lá. Muito conhecimento é divulgado sobre métodos de ataque, entretanto, as motivações nem sempre ficam claras. Numa palestra dinâmica e repleta de HandsOn, apresentarei as motivações, os objetivos e todo o processo envolvido no CyberAtack.
O mercado do CyberCrime, apresar de discreto, existe e várias empresas concorrem de forma desleal através de ataques de espionagem em seus concorrentes, mas quem são esses espiões? Quanto eles ganham com isso? E o que acontece depois?

LUCAS DA SILVA VIANNA

Atualmente coordena um curso técnico em Informática do Governo do Estado do Ceará, é Analista de Sistemas e Professor do Instituto Centro de Ensino Tecnológico do Governo do Estado, possui certificação em Linux LPI e Java EE, Java SE  pela Oracle Academy(2015). Anteriormente trabalhou como Supervisor de Segurança da Informação em várias prefeituras do interior do Ceará, atuando na proteção e detecção de falhas das aplicações Web de receita fiscal das mesmas.

TEMA DA PALESTRA: SQL Injection, por que é tão comum?

A palestra visa alertar o porquê de ataques via SQL Injection ainda serem tão comuns, mesmo com as possibilidades de evita-lo serem tão expansivas.


Ulisses Alves Dias

Formado em matemática pela Universidade Federal Fluminense, pós-graduado em segurança da informação, Sargento da Força Aérea Brasileira, onde atuo como analista de redes e segurança, membro do time de CTF n00bsb, de Brasília, finalista do hackaflag de 2015 etapa Brasília.

TEMA DA PALESTRA: Trust me, I'm a social engineer.

A palestra terá como objetivo mostrar que o conceito de engenharia social não é novo. Terá um breve histórico de eventos que se destacaram e contribuíram para o crescimento desse tipo de ataque, terá também análises estatísticas de vários ataques de fishing e vishing que realizei onde trabalho, além de ataques de vishing realizados em conhecidos. Finalizando, apresentarei formas de se detectar possíveis ataques de engenharia social com a ajuda de técnicas de microexpressões faciais e corporais, bem como o uso de perguntas e frases intimidadoras que podem inibir o atacante.

Daniel Dalalana Bertoglio

Mestre em Computação Aplicada (2011) pela Universidade do Vale do Rio dos Sinos (UNISINOS), onde foi bolsista da Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES). Possui graduação em Ciência da Computação pela Universidade Feevale (2008). Atualmente, é estudante de Doutorado em Ciência da Computação pela PUCRS e é professor assistente do Instituto de Ciências Exatas e Tecnológicas da Universidade Feevale, onde leciona nos cursos de Ciência da Computação, Sistemas de Informação e Sistemas para Internet. Atua principalmente nos seguintes temas: Segurança da Informação, Segurança e Auditoria de Sistemas e Segurança de Sistemas Web. 

TEMA DA PALESTRA: Interdisciplinaridade da Segurança da Informação com áreas "diferentes": sendo o cupido dessa relação.

A palestra apresenta as possíveis relações da Segurança da Informação com áreas um tanto quanto distantes da Computação como Psicologia, Administração, Direito e Gestão Financeira. Além disso, apresenta também ideias de correlação entre a Segurança e subáreas dentro da Computação como Inteligência Artificial, Engenharia de Software e Processamento Paralelo e Distribuído. Um visão ampla à respeito da abrangência da Segurança, mostrando a razão pela qual atuar nesta área é tão prazeroso.


Rodrigo Montoro

Rodrigo "Sp0oKeR" Montoro é certificado LPI, RHCE e SnortCP com 15 anos de experiência em especial sistemas Open Source.  Atualmente trabalha na equipe de pesquisa e desenvolvimento na Clavis Security, onde é parte da equipe do Octopus, time que desenvolve solução de SIEM (correlação eventos) e Threat Intel.  Anteriormente trabalhou na Sucuri Security e Spiderlabs. Já palestrou em inúmeros eventos no Brasil (FISL, CONISLI, Latinoware, H2HC, BSides), EUA (Source Boston / Seattle, Toorcon, Bsides Las Vegas) e Canadá (SecTor). Possui 2 patentes na detecção de Malwares (PDF  e cabeçalhos HTTP), resultados de suas pesquisas.

TEMA DA PALESTRA: Auditoria de Sistema Linux em Tempo Real - Quando Linux Auditd encontra com a Elastic Stack

Diversas normas internacionais, como o PCI-DSS (Payment Card Industry Data Security Standard) e a SOX (Sarbanes-Oxley), possuem como requisitos o monitoramento e o acompanhamento de atividades de usuários nos sistemas contemplados.  

No ambiente Unix/Linux, existem atualmente mais de 300 syscalls (chamadas do sistema) por onde passam praticamente todas as funções e rotinas do sistema. Através do Linux Audit  é possível monitorar qualquer acesso a arquivos, diretórios, comandos ou recursos do seu sistema, bem como rastrear todas as syscalls existentes, auxiliando na detecção de atividades non-compliance. Todavia, dependendo do tamanho do seu ambiente e do período de armazenamento dos eventos, consultar essas informações de forma rápida em modo texto não é uma das atividades mais simples.

Dentro deste contexto, a palestra  tem como objetivo apresentar como realizar o monitoramento de atividades nos servidores Linux através do Auditd e como tratar as informações geradas com a Elastic Stack, reduzindo a janela de exposição de novas ameaças e dando mais agilidade no processo de identificação e resposta a Incidentes de segurança da informação;

EM-breve.jpg

Matheus Medeiros

Tem 19 anos, é estudante da área de informática, mora em Belo Horizonte (MG), gosta de codar em C, python, perl, asm, ruby, dentre outras linguagens. Atualmente trabalha como freelancer, é desenvolvedor back-end, front-end não é a sua praia. Curte segurança da informação, e pretende um dia trabalhar com isso.

TEMA DA PALESTRA: malwares no linux

Tecnicas para criar malwares para atingir usuarios linux, api hook, repositórios  de origem desconhecida, usando ptrace pra injetar codigo, etc


Marcos Hilario

É graduado em Sistemas de Informação, possui especialização em Engenharia de Software e Web e, um Mestrado incompleto em Modelagem Computacional do Conhecimento. Trabalha com desenvolvimento de softwares desde 2007, período que participou de projetos de softwares desktop, web e mobile. Tem foco em tecnologias livres (é entusiasta Linux e afins) e, atualmente, é fluente em Python, Java, PHP, C# e Javascript. Além disso, também atua como docente de nível superior nos cursos de Sistemas de Informação, Redes de Computadores e Design Gráfico nas instituições: UNCISAL (Universidade Estadual de Ciências da Saúde de Alagoas), Estácio e Maurício de Nassau. 

TEMA DA PALESTRA: Desenvolvimento Web: Processos Automatizados e a Segurança da Informação.

Atualmente existe uma gama de frameworks e bibliotecas que auxiliam no desenvolvimento de aplicações web. É possível encontrar ferramentas que suportam / ajudam em atividades que vão desde a manipulação / mapeamento de bancos de dados até elementos mais sofisticados como estruturas MVC, inversão de controles e injeção de dependências. Mas ao passo que ajudam na produtividade, essas ferramentas muitas vezes ocultam alguns detalhes relacionados à segurança da informação, que acabem ficando em segundo plano no processo desenvolvimento de um software. Discutiremos essencialmente sobre a segurança de aplicações web e, principalmente, sobre pequenas atitudes que podemos tomar para assim reduzir ao máximo a exposição e a ocorrência de elementos que podem ser explorados, comprometendo assim as aplicações web.

Tiago Ferreira

Tiago Ferreira atualmente é Co-fundador da Blaze Information Security e anteriormente  atuou nas principais empresas de segurança do Brasil, acumulando o totatl de 9 anos, além de participação em projetos internacionais em instituição financeira como analista de segurança senior. Possui vasta experiência com testes de segurança em aplicações Web como Internet Banking, e-commerce, gateways de pagamento. Seu principal foco de atuação é voltado para a área de testes de intrusão, hacking de aplicação Web, Mobile security e desenvolvimento de código para exploração de vulnerabilidades.

TEMA DA PALESTRA: Rage against the kiosks

Os kiosks têm como função principal, oferecer serviços automatizados para um determinado público. Normalmente tais implementações são
disponibilizadas em estações físicas em locais como hotéis, aeroportos, hospitais e cinemas e a sua finalidade é facilitar a vida dos clientes.
Os sistemas de kiosks são configurados para permitir acesso apenas a aplicação necessária para realizar o que está sendo proposto (consulta de informações, compra de um ticket, consulta de vôos). A aplicação mais comum utilizada é o navegador Web.

Em vários casos a configuração do ambiente restrito não é robusta o suficiente e pode permitir que um usuário mal intencionado escape das restrições do ambiente e tenha acesso indevido a outras partes do sistema como a prompts de comandoe acesso ao sistema de arquivos, transformando o sistema em um vetor de ataque para a rede corporativa.

Esta apresentação visa demonstrar diversas técnicas que podem ser utilizadas para escapar do ambiente restrito criado pelo kiosk. Além disso, será discutida a metodologia e o "mindset" utilizado para realizar os experimentos de break-out de ambientes restritos.


Lenon Leite

Amante da tecnologia, entusiasta da área de segurança da informação além de evangelizador PHPDF. Desenvolvedor web desde 2007, Tecnólogo em Segurança de Sistema de Informação pela faculdade com MBA em Engenharia de Software.
Passagens em linguagens como .NET, Ruby on Rails mais especialista em Php e ferramentas correlatas como Cms’s, WordPress, Joomla, Drupal e Frameworks como Zend 1, Zend 2 e Symfony.

TEMA DA PALESTRA: Pescando sites vulneráveis de tarrafa.

Faremos uma pescaria de sites vulneráveis ( algumas ) e não será de anzol, peixe por peixe, iremos jogar a rede/tarrafa e traremos diversos sites vulneráveis de uma vez só.
Automatizaremos o processo utilizando uma ferramenta escrita em php (php avenger), além  de entender os padrões das vulnerabilidades,  aprender técnicas de pesquisa avançada baseada nos padrões das vulnerabilidades, apresentando também como dar bypass nos buscadores para potencializar as pesquisas e não ser bloqueado, além de checar as validações utilizando alguns bypass.

Alexandro Silva

É gerente de operações na iBliss Segurança e Inteligência. Atua há mais de 7 anos como especialista em segurança de redes e sistemas Unix/Linux com foco no desenvolvimento e execução de projetos em segurança de perímetro e profundidade, segurança de sistemas Web, análise de vulnerabilidade, prevenção e detecção de intrusão.

TEMA DA PALESTRA: Tecnologias Open Source para alta disponibilidade e segurança de aplicações Web

Mitigar vulnerabilidades levando em conta a peculiaridade do sistema hospedado, falta de acesso administrativo, limitações técnicas e ativos de proteção de borda que não contribuem efetivamente com esta tarefa é um dos grandes desafios em segurança de aplicações.
Nesta palestra apresentarei como implantar uma camada de segurança  em alta disponibilidade a qual contribui na prevenção proativa contra ataques direcionados a aplicações web.


Gionni Lúcio Gomes

Atualmente, Analista de Tecnologia da Informação na Segvale Segurança Patrimonial
Iniciando Sociedade em uma nova empresa de Segurança Eletrônica(processo de criação e implantação)- Grupo Acesse (já existente em Segurança Patrimonial)
Formando em Segurança da Informação pela Faculdade dos Guararapes
Escrevendo artigo sobre: Monitoramento de ativos de rede em empresas de Segurança Eletrônica
Experiêcias anteriores: Técnico de suporte na Serttel e Analista de Suporte na Accenture

TEMA DA PALESTRA: Sistemas de Segurança Eletrônica: Vulnerabilidades e Exposição Gratuita

Sistemas de CFTV e Alarmes estão cada dia mais presentes nas empresas e residências. A preocupação da sociedade com a segurança física é um dos pontos mais desejados da população. A questão abordada é que empresas e usuários finais ignoram ou desconhecem que estes sistemas possuem vulnerabilidades e que estão hospedados na internet. O uso de criptografia, VPN e firewall, pode ajudar na proteção destes dados. É necessário que, principalmente profissionais de TI verifiquem a estrutura de segurança eletrônica da empresa em que trabalham (que em muitos casos o TI não tem acesso). Já para empresas que fornecem esses serviços, é importante que exista profissionais de tecnologia e segurança no quadro funcional.

José Adriano Pereira de Souza

Atual - Analista de sistemas no TCE-AL, Gerente de projetos no Interjornal, Graduado em Análise de Sistemas, pós-graduado em Engenharia de Softwares. Palestrante no COALT, Flisol e etc.

TEMA DA PALESTRA: Como acessar a Deep Web

Demonstrar como acessar os sites que não são indexados pelos motores de buscas. O que é Deep Web, o que é Bit Coins, como instalar e usar o Thor.


Anderson Tamborim

Anderson Tamborim é fundador do Social Intelligence Group, Especialista em Linguagem Corporal, Micro Expressões, Engenharia Social e Segurança da Informação. Experiência de 16 anos ministrando cursos, palestras e atuando em projetos de consultoria em investigação de fraude no Brasil e exterior. 
Formado em Matemática pela UNESP e Pós graduado na área de Segurança da Informação pelas University of Washington e Royal Holloway University of London. Membro do Time Internacional de Experts e Trainer Oficial Licenciado pelo Center for Body Language e Certificado em Micro Expressões pelo Paul Ekman International, Humintell e Body Language University.

TEMA DA PALESTRA: I am The Danger - Como Ser Aquele Que Bate à Porta

A Engenharia Social é uma ciência multidisciplinar e que permite ao atacante desenvolver diversos canais diferentes de interação com a vítima. Nesta palestra interativa ensinarei como utilizar de maneira efetiva 3 vetores de ataques principais : Voice Phishing (via telefone)  e o Impersonating (Ataques Cara-a-cara). Com a participação do público quero mostrar que habilidades um Engenheiro Social necessita para ser bem sucedido.

Jhonathan Davi

19 Anos; Vencedor do Hackaflag de 2016 (Cuiabá); Entusiasta de Segurança da Informação; Pesquisador de Segurança na equipe Inurl Brasil com alguns artigos e pesquisas publicados nos blogs (blog.inurl.com.br ,jh00nsec.wordpress.com); Desenvolvedor da ferramenta Routerhunterbr 2.0; Desenvolvedor Python e Pesquisador de Segurança na ICONS(Instituto Constituição Aberta); Desenvolvedor Wordpress e Magento; Membro de Elite do time de CTF RTFM (Red Team Freakin' Maniacs).

TEMA DA PALESTRA: Hacking The User 2.0 - Dns Infection

Nesta palestra serão apresentados alguns métodos de infecção de DNS que são utilizados por bankers como métodos de infecção com o objetivo de roubar contas bancárias na internet e taḿbém sera explicado como se defender.


Daniel Pimentel

Mestrando em informática (UFAL), Pós-graduado em Engenharia de Sofware (CESMAC), Graduado em Análise e Desenvolvimento de Sistema (UNCISAL). Certificado LPI e NOVEL. Palestrante/conferencista em diversas conferências nacionais e internacionais. Free Software Developer e Hacktivista.

TEMA DA PALESTRA: Anonymous: Anonimato em tempos sombrios

Anonimato é a forma de garantir a privacidade e segurança, e a criptografia é possivelmente a chave para garantir o anonimato. Porém vivemos em tempos sombrios onde os usuários são "forçados" a abrir mão de seus direitos fundamentais, principalmente da sua privacidade e segurança. Essa palestra pretende abordar temas como anonimato, criptografia e privacidade. Mostrando quais são as ameaças e como se proteger delas através do software livre. Abordando temas que vão desde anonimato, criptomoedas à software livre.

ALAN SANCHES

Consultor e Pentester pela empresa eSecurity, especializado em Segurança Ofensiva, já ministrou palestras nos principais eventos de Tecnologia pelo Brasil.
Pós Graduado em Inteligência Estratégica, é aficionado por Segurança e Engenharia Social. É integrante do time RTFM (Red Team Freakin' Maniacs).

TEMA DA PALESTRA: Ransoware encriptou a "UE9PUlJSQQ==" toda

O objetivo dessa palestra é falar sobre o estrago que um Ransoware pode causar  em uma empresa, como ele se comporta e como funciona sua estrutura para que, além de podermos nos prevenir, podemos também recuperar alguns dados, utilizando técnicas do próprio sistema operacional ou forense.


Vinícius Moraes Lopes

Estudante de engenharia da computação da Universidade Federal do Amazonas,foi estagiário da RNP(Rede Nacional de Ensino e Pesquisa) durante 1 ano e 2 meses.É entusiasta da área de Segurança da Informação e estuda ela faz alguns anos com um grupo de amigos. Conseguiram ao longo desse tempo desenvolver alguma bagagem de conhecimento e os quais ele crê que sejam proveitosos (principalmente quando se trata de Pentests).

TEMA DA PALESTRA: Hack is in the air

A ideia é apresentar de forma prática e simples os meios mais comuns de exploração de vulnerabilidades de redes sem fio e,se possível,demonstrar porque essas vulnerabilidades existem e como ocorrem.Creio que a forma mais simples de abordagem para o tema seria abordar a execução de ataques à redes WEP,seguida de WPA2 e depois a exploração de vulnerabilidades no WPS, incluse o ataque Pixel Dust. Assim passando para o público a importância da segurança na configuração correta de redes sem fio e dando as eles uma visão do caminho a ser analisado/estudado.

Raphael Jubram

Recém graduado em Ciência da Computação pela Universidade Presbiteriana Mackenzie, recebeu o Prêmio Oracle como melhor formando da Faculdade de Computação e Informática.
Parte da sua graduação foi realizada na Durham University (UK), onde teve a oportunidade de fazer parte de um grupo de pesquisa em Computação Visual, bem como desenvolver diversos aspectos pessoais, sociais e técnicos. Além disso, recebeu o prêmio de melhor Essay do English Learning Centre. Na área profissional, trabalhou na EZ-Security onde, dentre outras coisas, foi responsável pelo gerenciamento do sistema de antivírus de um cliente com mais de 4 mil ativos. Na iBliss, onde trabalha atualmente, tem realizado, como atividade principal, análises de vulnerabilidade e pentest tanto em Infra quanto em Aplicações Web. 

TEMA DA PALESTRA: Sequestro 2.0

A palestra tem o intuito de explorar o "mundo" dos ransomwares. Serão mostradas as mais recentes técnicas de infecção; quais são os tipos de ransomware existentes; seu funcionamento; quais os impactos de uma infecção; e o que pode ser feito tanto para evitar uma infecção quanto depois que a máquina já foi infectada.
Demonstrarei a ação de ransomwares tanto para Windows quanto para Android, após extensa pesquisa prática e coleta de estatísticas sobre o tema. O objetivo principal é conscientizar tanto usuários quanto especialistas sobre essa forma de ataque que pode trazer prejuízos imensuráveis para pessoas e empresas.


Arthur Paixão

- Finalista do Hackaflag 2015 (Vencedor da etapa RECIFE);
- Formado no curso técnico de Análise e Desenvolvimento de Software pela UNIBRATEC;
- Graduado em Segurança da Informação pela Faculdade dos Guararapes;
- Pós-graduando em Segurança da Informação Aplicado à Engenharia de Software pelo C.E.S.A.R;
- Engenheiro de Software Sênior na MV s/a;
- Membro do RTFM - Red Team Freakin' Maniacs

TEMA DA PALESTRA: Como se tornar um Jedi em desafios de Capture the Flag

Hoje em dia as crianças não sonham mais em ser jogadores de futebol e sim GAMERS! Uma vertente que está em grande ascensão no Brasil é o Capture the Flag.  A ideia da palestra é falar um pouco dessa modalidade tão famosa no cenário "Hacker", também apresentar alguns métodos (Jedi) que são essenciais para resolução de desafios em suas várias categorias. Um outro ponto bastante importante é ajudar os novatos como também construir um time de CTF de sucesso.

Manoel Abreu Netto

Formado em Ciência da Computação pela Universidade Federal de Alagoas e em Sistemas de Informação pela Faculdade de Alagoas. Possuo mestrado em Engenharia de Software pela PUC-Rio. Já publiquei alguns artigos na área de Engenharia de Software e um capítulo de livro sobre sistemas auto-organizáveis. Sou servidor do Tribunal Regional do Trabalho e cofundador do Elo Jurídico.

TEMA DA PALESTRA: O perigo da senha gerada pelo seu provedor

Mostrarei como é possível descobrir a senha pré-definida dos roteadores da GVT. Abordarei tópicos como: funcionamento do handshake (WPA2); criação de uma wordlist efetiva baseada no padrão de senha, envolvendo como descobrir esse padrão; possíveis ataques após captura da senha, demonstrando o perigo após descoberta da senha. Apesar do tema ser pentester em WiFi, o destaque da palestra é exibir a descoberta do padrão da senha dos roteadores do antigo provedor GVT, técnica que pode ser considerada "0-day".


Wesley Marinho - Thalysson Sarmento - Felipe Tenório - Arthur Melo

  • Arthur Melo - Analista de Infraestrutura - Especialista em Segurança de Informação - GigaCom Broadband Wireless
  • Felipe Tenório - Desenvolvedor e Analista de Segurança Web - Bando do Brasil
  • Thalysson Sarmento - Consultor/Pesquisador em Segurança da Informação(FSDTP), designado a Subdiretoria de Pesquisa no Instituto de Controle do Espaço Aéreo ­ ICEA, trabalhando com pesquisas na área de segurança cibernética.
  • Wesley Marinho - Analista de Infraestrutura e Segurança - WM Consultoria de TI

TEMA DA PALESTRA: Hacking OldSchool: Como o passado influencia no presente

O que os sistemas do passado têm em comum com os sistemas atuais? Mesmos softwares? Mesmos Hardwares? Mesmas arquiteturas? - Não!!! Mesmos desenvolvedores, os humanos! Como aproveitar isso para encontrar falhas nos mais diversos sistemas, e provar que os hackers do passado são os mesmo hackers do presente e ainda serão os hackers do futuro...

Inácio Leite Gorayeb

Formado em Ciências da Computação pela Universidade da Amazônia, especialista em Teste de Software pelo UNICEUMA e mestre em Ciências da Computação pela UFPA.
Trabalhou com redes de computadores durante 2 anos implantando soluções em Software Livre.
Desenvolvimento de Sistemas GETUR Para gestão turística no Estado do Pará, Analista/Líder de Testes e Homologador de Sistemas e, ainda membro do SEPG na Cobra Tecnologia/Banco da Amazônia - Projeto Fomento
Docente a 5 anos, atualmente docente da Fanor - Devry e Estácio FIC. Gestor de T.I durante 3 anos FAMAZ (Faculdade Metropolitana da Amazônia).P.O e Desenvolvedor de Apps (Android/iOS/Windows Phone). Perito Membro da APECOF do Estado do Ceará.

TEMA DA PALESTRA: Será Clone? Uma metodologia de investigação de software - Caso Real.

A palestra descreve a metodologia e ferramentas utilizadas para em uma suspeita de clone de software.
Na palestra serão apresentados os pilares do embasamento técnico científico, para o caso.
As ferramentas neles utilizadas
E será mostrada os diferentes ângulos de visão (Acusação e Defesa)


GIONNI LÚCIO GOMES

Atualmente, Analista de Tecnologia da Informação na Segvale Segurança Patrimonial
Iniciando Sociedade em uma nova empresa de Segurança Eletrônica(processo de criação e implantação)- Grupo Acesse (já existente em Segurança Patrimonial)
Formando em Segurança da Informação pela Faculdade dos Guararapes
Escrevendo artigo sobre: Monitoramento de ativos de rede em empresas de Segurança Eletrônica
Experiêcias anteriores: Técnico de suporte na Serttel e Analista de Suporte na Accenture

TEMA DA PALESTRA: INSegurança dos Sistemas de Câmeras de Vigilância

A Insegurança de Sistemas de Câmeras de vigilância colabora para ataques bem mais perigosos quando se possui imagens do alvo. Estes ataques podem acabar de vez com uma família, uma empresa ou qualquer organização. Os usos destes sistemas se tornam massificados, onde qualquer pessoa adquirir um sistema até para sua casa. Os usuários se preocupam com a segurança física e patrimonial (objetivo do sistema de câmeras), mas desconhecem ou ignoram o fato dos sistemas estarem conectados na internet e obter inúmeras vulnerabilidades. 
A proposta desta apresentação é mostrar vulnerabilidades, como corrigir e conscientizar usuários e profissionais do ramo. Infelizmente, empresas de segurança eletrônica não possuem profissionais especializados em Segurança da Informação e muitas vezes nem profissionais de suporte de tecnologia. Isso agrava ainda mais a situação até de empresas que trabalham com estes sistemas. Vamos demonstrar e ajudar a proteger estes sistemas em um ambiente de rede com recursos já existentes e que já irão resolver os problemas graves da situação atual.

Diego de Freitas Aranha

É professor da Universidade Estadual de Campinas (Unicamp). Coordenou a primeira equipe de investigadores independentes capaz de detectar e explorar vulnerabilidades no software da urna eletrônica em testes controlados organizados pelo Tribunal Superior Eleitoral. Tem experiência na área de Criptografia e Segurança Computacional, com ênfase em implementação eficiente de algoritmos criptográficos e projeto de primitivas criptográficas para fornecimento de anonimato computacional. É Bacharel em Ciência da Computação pela Universidade de Brasília (2005), Mestre (2007) e Doutor (2011) em Ciência da Computação pela Universidade Estadual de Campinas. Foi doutorando visitante por 1 ano na Universidade de Waterloo, Canadá, e Professor Adjunto por pouco mais de 2 anos no Departamento de Ciência da Computação da Universidade de Brasília.

TEMA DA PALESTRA: Análise de segurança de aplicativos bancários na plataforma Android

O volume de transações bancárias realizadas por dispositivos móveis cresce a cada ano. Nessa palestra, reportamos resultados de uma análise de segurança em aplicativos bancários, sob dois aspectos principais: segurança da conexão SSL/TLS estabelecida e configuração do servidor propriamente dito, com ênfase em ataques clássicos e recentes ao protocolo SSL/TLS, sob perspectiva das melhores práticas de segurança. Os bancos analisados foram Banco do Brasil, Bradesco, Caixa Econômica Federal, Citibank, HSBC, Itaú e Santander. Foi possível montar um ataque de personificação do servidor com sucesso na maioria dos aplicativos e obter informações sigilosas, credenciais de autenticação e dados financeiros. As observações coletadas não se resumiram apenas aos ataques de personificação, mas também a falhas na configuração dos servidores e decisões de projeto questionáveis, como integração com redes sociais. Apesar da ênfase no setor financeiro, as recomendações são aplicáveis a outros tipos de serviço.


Igor Rincon Urias Gomes

Possui 5 anos de experiência na área de segurança da informação com foco em análise de vulnerabilidade, pentest e análise de malware com artigos publicados sobre estes temas.

TEMA DA PALESTRA: Explorando sistemas brasileiros

Nesta palestra irei demonstrar um padrão de exploração em sistemas brasileiros, quais as melhores ferramentas a serem utilizadas e qual o mindset hacker eu utilizei para chegar a determinadas conclusões. Claro, algumas vulnerabilidades sempre são expostas nesse caminho.

Bruna Tchordach Condez

Formanda do curso de segurança da informação da Fatec São Caetano do Sul, CompTIA Security+ certified, integrante do time RTFM (Red Team Freakin' Maniacs), competidora de CTFs pelo RTFM, analista de segurança da informação e palestrante do evento Expectata na XP INVESTIMENTOS CTVM.

TEMA DA PALESTRA: PDF - Possibly Damaged FIle

Cyber criminosos estão utilizando novas técnicas anti-decteção para atacar usuários com phishings embutidos em PDF. Segundo a Kaspersky, essa técnica já existia há alguns meses nos EUA e está sendo disseminada pelo Brasil. Esse novo vetor de ataque passa imperceptível por ferramentas anti-phishing, anti-spams e sandboxes. Mostrarei divesos tipos de PDFs seus malwares e links capturados e qual é a missão do usuário final na detecção e contenção desse tipo de ataque.