Tiago ferreira

Tiago Ferreira atualmente é Co-fundador da Blaze Information Security e anteriormente atuou nas principais empresas de segurança do Brasil, acumulando o totatl de 9 anos, além de participação em projetos internacionais em instituição financeira como analista de segurança senior. Possui vasta experiência com testes de segurança em aplicações Web como Internet Banking, e-commerce, gateways de pagamento.

Seu principal foco de atuação é voltado para a área de testes de intrusão, hacking de aplicação Web, Mobile security e desenvolvimento de código para exploração de vulnerabilidades.

Participou cooperando com o desenvolvimento de módulos para o Metasploit Framework e com algumas advisories full disclosure.

Palestras

  • ROADSEC recife 21/05

Título: Rage against the kiosks

Os kiosks têm como função principal, oferecer serviços automatizados para um determinado público. Normalmente tais implementações são
disponibilizadas em estações físicas em locais como hotéis, aeroportos, hospitais e cinemas e a sua finalidade é facilitar a vida dos clientes.
Os sistemas de kiosks são configurados para permitir acesso apenas a aplicação necessária para realizar o que está sendo proposto (consulta de informações, compra de um ticket, consulta de vôos). A aplicação mais comum utilizada é o navegador Web.

Em vários casos a configuração do ambiente restrito não é robusta o suficiente e pode permitir que um usuário mal intencionado escape das restrições do ambiente e tenha acesso indevido a outras partes do sistema como a prompts de comandoe acesso ao sistema de arquivos, transformando o sistema em um vetor de ataque para a rede corporativa.

Esta apresentação visa demonstrar diversas técnicas que podem ser utilizadas para escapar do ambiente restrito criado pelo kiosk. Além disso, será discutida a metodologia e o "mindset" utilizado para realizar os experimentos de break-out de ambientes restritos.