Trilha Segurança
Porque código bom é seguro

Com a crescente evolução da tecnologia da informação em campos como o Cloud Computing, dispositivos móveis, internet das coisas, infotainment além da própria reinvenção da computação pessoal com estas plataformas cada vez mais interoperáveis e uma vida digital cada vez mais integrada e conectada, os dados dos usuários tem se tornado cada vez mais valiosos e dependente da segurança das aplicações. A quantidade e os tipos de dados disponíveis para coleta, análise e disseminação assim como os incidentes provocados pela aquisição destes dados, como o comprometimento de grandes infra-estruturas a partir de simples sistemas entre outros fatores, têm aumentado a importância de se reduzir o risco associado. E com a crescente evolução de incidentes de segurança associado ao ciber-crime, com cadeias de ameaças combinadas, desenvolver código seguro não é mais um diferencial mas sim uma necessidade, uma missão. Frente a isso a Trilha de Segurança com foco em Aplicações tem o objetivo de oferecer conteúdo para ajudar você, e sua empresa, cumprir esta missão.
Em homenagem ao criador da trilha Alberto Fabiano (in memorian)

Programação / Palestras

Importante: Grade de palestras sujeita a alterações sem prévio aviso.
08:00 às 09:00

Todas as pessoas inscritas, palestrantes, coordenadores e de imprensa, devem retirar seus crachás e kit do congressista nos balcões de credenciamento localizados na entrada do evento, para obterem acesso às salas e Auditório Principal.

O café da manhã será servido na área de coffee break.
09:00 às 10:00

Após o credenciamento e um breve café da manhã, convidamos os participantes a comparecer ao local para receberem as boas vindas por parte dos realizadores e patrocinadores.

Neste keynote de abertura, todos serão orientados sobre o funcionamento do evento, destaques e outras novidades.

10:10 às 11:00
O Poder do X

Uso de HTTP Header tais como X-Frame-Options, X-XSS-Protection, Referer entre outros para proteção de aplicações WEB.
Como Não Desenvolver Pôquer Online ou Como Explorar a Pseudo-Aleatoriedade

Inspirado na análise de Laura Diane Hamilton, essa palestra irá caminhar rapidamente por todas as falhas encontradas por ela em um sistema de embaralhamento de cartas e demonstrar como explorar essas falhas.
11:10 às 12:00
Governança e Segurança simplificando o uso de Web APIs

O uso de Web Service APIs (Web APIs) tem diminuído drasticamente a dificuldade na exposição e integração de serviços, aplicações e dados. No entanto, alguns requerimentos como suporte a regras de negócio e SLAs vão além da simples codificação da interface. As demandas do negócio requerem que essas APIs sejam acompanhadas de controles de Segurança e Governança, de modo as empresas sejam abertas para a "nova economia das aplicações". Tais controles, por meio de tecnologia adequada, conseguem trazer benefícios na redução dos riscos de segurança, simplicidade na adoção das APIs pelos desenvolvedores, e mecanismos que irão favorecer uma melhor experiência de usuário final.
12:00 às 13:00

Todos os participantes receberão um sanduíche com bebida no horário de almoço. Ele deverá ser retirado mediante apresentação de voucher que se encontra dentro dos kits dos congressistas entregues no credenciamento.

Uma excelente oportunidade de todas as pessoas no evento interagirem e trocarem ideias, colaboradores, empresas patrocinadoras e apoiadoras, palestrantes e coordenadores.
13:10 às 14:00
Implementando Segurança no Ciclo de Desenvolvimento Ágil

As metodologias de desenvolvimento ágil revolucionaram a forma como se faz software e como se faz segurança de software também. Nesta palestra você entenderá os desafios e benefícios da implementação de segurança no ciclo de desenvolvimento ágil, bem como a gerência de vulnerabilidades na integração contínua e os principais gaps que afetam empresas de pequeno, médio e grande porte.
14:10 às 15:00
Insights de segurança para arquitetura de aplicação

Meu sistema se conecta com um banco de dados, logo, possui um usuário e senha desse banco para o acesso, como gerenciar esse acesso de forma segura? Me pediram acesso ao banco de dados da minha aplicação para um integração... Como efetuar essa integração de forma realmente segura? Logs, logs, logs e mais logs. Haja disco pra armazenar logs... faz sentido? Quando eu tiver um problema e precisar investigar, eu tenho os logs de que necessito? Minha arquitetura está preparada para responder a uma investigação de um evento de segurança? Pediram para eu colocar uma telinha de login na minha aplicação... Telinha? Vamos conversar cinco minutos sobre sistemas de autenticação e autorização, vulgo telinha de login..
15:00 às 15:30

Durante o intervalo de Coffee-break, as mesas de alimentação terão disponíveis café, sucos, frutas e biscoitos. Um delicioso intervalo para relaxar, conhecer novas pessoas e estreitar contatos.

Neste tempo, também surge a oportunidade de todas as pessoas no evento interagirem entre sí, participantes das trilhas, empresas patrocinadoras e apoiadoras, palestrantes e coordenadores.
15:40 às 16:30
Obtendo informações pessoais do seu Android usando uma calculadora

Será demonstrado que é possível realizar uma conexão Shell Linux no Android utilizando a rede Wifi e a partir de um aplicativo que precise apenas de permissão de acesso total a rede para ser instalado. Será utilizado o framework de análise de vulnerabilidade Drozer para demonstrar que, após estabelecer uma conexão Shell, é possível copiar arquivos da memória interna do Smartphone para seu computador. Por último, será comentado sobre formas de proteção para este problema.
Atacando dispositivos Android através da interceptação de dados (mitm)

Aplicativos Android não validam os dados comunicados com seus respectivos servidores. Para os que usam a classe WebView e suas derivadas, isto torna possível injetar scripts. Vou mostrar como é simples de ser feito, além de três exemplos de ataques.
16:40 às 17:30
Development Pitfalls

Esta apresentação tem como meta revelar algumas armadilhas em desenvolvimento, bem como práticas ruins que em adição a outros fatores podem causar problemas sérios de segurança, vamos analisar alguns casos e propor algumas mitigações.
17:40 às 18:30
Pequenas Falhas Grandes Negócios - Cadê o desenvolvimento seguro (SDL)?

Mesmo com o investimento em segurança que algumas empresas tem, e normas para que elas tenham tal segurança, elas acabam não investindo em um desenvolvimento seguro. Demonstrarei alguns cases (vídeos/prints) com pequenas brechas (Direcionamento Inseguro à Objetos, google dork, entre outros) que acabam expondo dados sensíveis de grandes empresas. Pretendo demonstrar os cases, e levantar a discussão do porquê dos programadores estarem programando orientado à gambiarras e gerando erros ""capivarescos"" e como o code review pode ajudar a resolver esses erros. Matérias relacionadas aos erros que encontrei: goo.gl/hq0841 goo.gl/sQIhHC goo.gl/C9v25e
18:40 às 19:00

No horário de encerramento, todas as trilhas serão direcionadas de suas salas para o Auditório Principal, mesmo local da abertura.

Após a apresentação de resultados do dia muitos sorteios fecharão o dia.

Data e Local

Quinta-feira, 7 de Agosto de 2014

8:00 às 19:00

Universidade Anhembi Morumbi

Rua Casa do Ator, 275
Vila Olímpia | São Paulo - SP

Informações sobre Data e Local


Público Alvo

Desenvolvedores de Sistemas e Softwares Aplicativos; Testadores de Software e de Qualidade; Gerentes e todos profissionais de TI que estão interessados em aprofundar seus conhecimentos em segurança de aplicações.


Patrocínio Trilha

Patrocinadores

Gold


Silver


Media


Apoio


Realização


Intel is a trademark of Intel Corporation in the U.S. and/or other countries.