MÁRCIO ALMEIDA

Márcio Almeida é um pentester especializado em encontrar vulnerabilidades em aplicações web e ambientes de rede. Com mestrado em Segurança de aplicativos e mais de sete anos de experiência hacking. Já realizou centenas de testes de invasão bem sucedidos para diversas organizações durante a sua carreira, incluindo governo, bancos, empresas de varejo e indústria de cartões de crédito. Márcio também realizou treinamentos de desenvolvimento de segurança, conscientizando equipes de desenvolvedores sobre problemas de segurança na web e ensinando como construir códigos seguros. Como palestrante ele já apresentou na Alligator Security Conference (2012 e 2013), You Sh0t the Sheriff (2014), BSides - Las Vegas (PasswordsCon - 2014), Black Hat - São Paulo (2014), Ekoparty (2014) e Thotcon 0x6 (2015).

Palestra: Internal Pentesting - From z3r0 to h3r0

Quando você passa muitos anos no lado ofensivo da industria de segurança da informação (principalmente trabalhando como Penetration Tester) após muitos projetos de tempo restrito (geralmente 3 ou 5 dias incluso o report) você define internamente dentro da sua cabeça certos "modus operandi" que te ajudam no trabalho do dia a dia... Estou falando daquelas técnicas e macetes que sempre funcionam em determinada situação e que muitas vezes nos levam a escrever scripts automatizados para facilitar a nossa vida ou somente escrever o passo a passo no nosso toolbox... Quanto mais empresas você passa durante sua carreira, mais desses macetes você aprende de pessoas diferentes e com backgrounds distintos pois para nós pentesters uma ótima forma de aprender macetes novos é lendo blogs de outros pentesters, lendo relatórios antigos ou até mesmo somente lendo seus githubs onde o mesmo faz relatos de algum trick ou até mesmo walkthroughs de como explorar algum bug ou técnica. O objetivo dessa talk é falar um pouco da minha experiencia como pentester e dividir com o publico algumas técnicas que pessoalmente uso em Internal Pentests e que sempre funcionam e me ajudam a atingir meu objetivo. Muitas das técnicas que falarei poderão parecer obvias caso você já possua muita experiencia em testes de intrusão, mas caso contrário eu garanto que você irá gostar de assistir essa talk! Acredite, na pratica a teoria é completamente diferente ;-)