RODRIGO SP0OKER MONTORO

Rodrigo "Sp0oKeR" Montoro é certificado LPI, RHCE e SnortCP com 15 anos de experiência em especial sistemas Open Source.  Atualmente trabalha na equipe de pesquisa e desenvolvimento na Clavis Security, onde é parte da equipe do Octopus, time que desenvolve solução de SIEM (correlação eventos) e Threat Intel.  Anteriormente trabalhou na Sucuri Security e Spiderlabs. Já palestrou em inúmeros eventos no Brasil (FISL, CONISLI, Latinoware, H2HC, BSides), EUA (Source Boston / Seattle, Toorcon, Bsides Las Vegas) e Canadá (SecTor). Possui 2 patentes na detecção de Malwares (PDFe cabeçalhos HTTP), resultados de suas pesquisas. Fundador e evangelista da comunidade Snort no Brasil desde 2003. Nas horas vagas quando não está com a família, faz triathlon e corrida em trilhas.

Palestras

  • ROADSEC PORTO ALEGRE 29/10/2016

Título: EVENTID FIELD HUNTER (EFH) - CAÇANDO AMEAÇAS EM SEUS EVENTOS DO WINDOWS

O sistema Windows possui por volta de 9 categorias e 50 subcategorias em seus eventos, onde podemos detectar tudo que acontece no sistema, como login, envio de dados, criação processos, acesso a arquivos e registro entre outras possibilidades. Dependendo de como configura as auditorias, quantidade de máquinas e modo de funcionamento, teremos milhões e milhões de eventos diariamente, tornando a análise praticamente impossível. Nessa palestra abordaremos um novo método de análise de eventos no Windows (EventID) que estamos desenvolvendo internamente no time de pesquisa do Octopus da Clavis. O método envolve uma análise mais detalhada de cada campo dos eventos e a atribuição de uma nota a eles, com esse scoring é possível dizer se o evento é regular, suspeito ou malicioso, ajudando no filtro dos milhões eventos diários e ajudando na priorização dos eventos a serem analisados.