|
Horário
|
Palestra
|
|
08:00 às 09:00
|
Credenciamento e recepção dos participantes com café da manhã simples
|
|
09:00 às 10:00
|
Abertura
|
|
10:10 às 11:00
|
(In)Segurança de Aplicativos Android
(In)Segurança de Aplicativos Android
Rodrigo Chiossi
"Nesta palestra será apresentado os 3 principais mecanismos de comunicação entre processos: Intents / Broadcast Receivers, Content Providers e Services.
Raramente encontramos aplicações que não empregam pelo menos um tipo destes três tipos de mecanismo e mais de 50% dos problemas de segurança na plataforma Android é diretamente causado pelo seu mau uso.
Assim como existem padrões de código que geram aplicativos vulnerável, existem padrões de ataque que podem ser empregados para atacar estes aplicativos. Nesta apresentação serão apresentados alguns destes padrões de ataque que podem ajudar no processo de teste de segurança de um aplicativo alvo além.Por fim, será descrito em detalhes os mecanismos de segurança que podem proteger a comunicação entre processos, "
Rodrigo Chiossi
|
|
11:10 às 12:00
|
Teste de segurança em Web Applications (OWASP ZAP)
Teste de segurança em Web Applications (OWASP ZAP)
Luis Asensio Alves Garcia
"Será apresentado a ferramenta OWASP ZAP que é um proxy que analisa o comportamento da aplicação e mostra as vulnerabilidades que possam existir.
Dentro do ciclo de desenvolvimento e principalmente no momento dos testes é uma ferramenta que pode ajudar na qualidade da aplicação.
Agenda:
- O que é o OWASP
- Apresentação da ferramente OWASP ZAP
- Instalação e configuração básica
- Testes funcionais e relatório de vulnerabilidades."
Luis Asensio Alves Garcia
|
|
12:00 às 13:00
|
Intervalo para almoço*
|
|
13:10 às 14:00
|
Mercury: framework para análise de aplicações Android
Mercury: framework para análise de aplicações Android
Glauco Junquera /
Luander Michel Ribeiro
"Mercury é um framework utilizado para análise de aplicações e dispositivos Android. Ele utiliza técnicas de análise estática e dinâmica para identificar possíveis vulnerabilidades, além de permitir a execução de exploits já conhecidos.
O foco da palestra é apresentar a ferramenta, sua utilização e as contribuições e desafios dos palestrantes no processo de desenvolvimento deste framework."
"Conteúdos abordados serão:
* Segurança nas aplicações Android;
* Como analizar a segurança de uma aplicação Android;
* Overview do Mercury framework;
* Fazendo uso do Mercury na análise de uma aplicação;
* Contribuições para o Mercury open source;"
Glauco Junquera
/
Luander Michel Ribeiro
|
|
14:10 às 15:00
|
Kernel Insecurity Vectors
Kernel Insecurity Vectors
Alan Silva /
Carlos Carvalho
O estudo das falhas de segurança pode ser tão geral quanto um overflow em qualquer programa ou tao específico quanto defeitos na implementação do modulo X na versão Y da máquina virtual Z do fabricante W. Neste trabalho serão demonstradas algumas falhas de segurança e métodos de exploração de kernel usando como base o linux, onde será feita uma apresentação da arquitetura, revisando algumas técnicas já conhecidas, e com isso tentar encontrar um caminho que resulte em novos métodos para explorar essas falhas, que são denominadas vetores de exploração.
Alan Silva
/
Carlos Carvalho
|
|
15:00 às 15:30
|
Coffee-break & networking
|
|
15:40 às 16:30
|
Codificação segura em C para sistemas embarcados
Codificação segura em C para sistemas embarcados
Henrique Persico Rossi
Linguagem C? Por que usá-la?
Bem...a mesma está em grande uso, tanto que ocupa a primeira posição no índice TIOBE de Junho/2013, e vem se destacando desde a década de 1970, época de sua criação!
A área de sistemas embarcados abraçou essa causa e ?de vez em quando? nos deparamos com alguns ?bugs? em equipamentos eletrônicos. Como corrigí-los e prevení-los, agregando segurança ao sistema, é o que veremos nessa palestra. Escovação de bits numa linguagem bem clara!
Alguns dos tópicos que abordaremos: Erros comuns em uso de ponteiros; Alocação estática ou dinâmica? Para sistemas embarcados é diferente?; Sistemas bare-metal e baseados em sistemas operacionais; Usando o heap e stack com moderação; Alguns padrões de codificação existentes (MISRA-C, CERT-C e Netrino); Testes unitários; Conhecendo bem o seu compilador; Uso de ferramentas de análise estática (splint) e dinâmica (valgrind e DUMA).
Henrique Persico Rossi
|
|
16:40 às 17:30
|
(S+ALM) + (S+SDLC): Alguns puzzles holísticos de AppSec, sem racha-cuca, ou não? (STADIUM)
(S+ALM) + (S+SDLC): Alguns puzzles holísticos de AppSec, sem racha-cuca, ou não? (STADIUM)
Alberto Fabiano
O cenário de ameaças de segurança mudou drasticamente, sendo-se que a preocupação em evitá-las deve ser parte essencial do Application Lifecycle Management e do Software Development Life Cycle, que com security mindset devem tornar-se S-ALM e S-SDLC.
Porém a inclusão de uma palavra no acrônimo, pode parecer que segurança é mais uma etapa isolada dentro do processo, sendo uma armadilha cognitiva que acaba sendo um grande vetor de falhas.
Visando oferecer uma solução holística, o S-SDLC (Secure Software Development Life Cycle) e o S-ALM (Secure Application Lifecycle Management) devem ser mais que um conjunto de procedimentos, mas uma mudança cultural e comportamental dentro de um time de desenvolvimento e de uma empresa.
Mantendo foco no que tange ao time de desenvolvimento, nesta palestra apresentaremos suas etapas, acima de tudo tendo foco na redução da superfície de ataque e dos riscos gerados em tempo de desenvolvimento.
Alberto Fabiano
|
|
17:40 às 18:30
|
Q & A: Hulk Smash & Um Pica-pau também - E agora, quem poderá nos salvar?
Q & A: Hulk Smash & Um Pica-pau também - E agora, quem poderá nos salvar?
Alberto Fabiano /
Alan Silva
Slot altamente interativo, para você não sair da trilha com aquele ponto de interrogação cavalar, a pretensão é atender aquelas tuas perguntas pertinentes sobre AppSec que ainda ficaram sem respostas.
Seja de código nativo, gerenciado ou imaginário, independente da arquitetura, plataforma ou camada de aplicação.
E se você for um bem aventurado que tenha uma resposta para uma pergunta não realizada, abrimos este espaço para você compartilhar com todos!
Alberto Fabiano
/
Alan Silva
|
|
18:40 às 19:00
|
Encerramento e sorteios
|
* Todos os participantes receberão um sanduíche na hora do almoço
Obs.: Grade sujeita a alteração
Na estrada de TI há mais de 20 anos, é especialista em desenvolvimento e segurança da informação, atuou no desenvolvimento de várias sistemas, esteve envolvido com telematics security e sistemas de localização, security intelligence, embedded system, tendo participado da definiação de arquitetura e desenvolvimento de sistemas de segurança nacional. Técnico em Eletrônica e Bacharel em Ciência da Computação, realizou especializações em Segurança da Informação. Também atuou no campo de análise de malwares, ameaças digitais e ataques direcionados, tem focado sua atuação no campo de application security e sistemas embarcados.
MiniCV: Alan Silva é Solutions Architect na Cloudera atuando na pesquisa e desenvolvimento para criação de novas soluções usando Hadoop. É pós-graduado em Criptografia e Segurança de Redes pela UFF e Mestre em Ciência da Computação pela UFSCar. Possui experiência em integração de sistemas, criptografia, protocolos de rede, sistemas distribuídos, segurança de aplicações e desenvolvimento de software seguro. Recentemente, Alan criou a startup Brainboss, empresa especializada em Data Science, Segurança da Informação e com foco em serviços de consultoria e desenvolvimento de soluções inovadoras.
MiniCV: Alan Silva é Solutions Architect na Cloudera atuando na pesquisa e desenvolvimento para criação de novas soluções usando Hadoop. É pós-graduado em Criptografia e Segurança de Redes pela UFF e Mestre em Ciência da Computação pela UFSCar. Possui experiência em integração de sistemas, criptografia, protocolos de rede, sistemas distribuídos, segurança de aplicações e desenvolvimento de software seguro. Recentemente, Alan criou a startup Brainboss, empresa especializada em Data Science, Segurança da Informação e com foco em serviços de consultoria e desenvolvimento de soluções inovadoras.
Na estrada de TI há mais de 20 anos, é especialista em desenvolvimento e segurança da informação, atuou no desenvolvimento de várias sistemas, esteve envolvido com telematics security e sistemas de localização, security intelligence, embedded system, tendo participado da definiação de arquitetura e desenvolvimento de sistemas de segurança nacional. Técnico em Eletrônica e Bacharel em Ciência da Computação, realizou especializações em Segurança da Informação. Também atuou no campo de análise de malwares, ameaças digitais e ataques direcionados, tem focado sua atuação no campo de application security e sistemas embarcados.
"Programador C e C++, usuário Linux desde 2000.
Programador low level e hoje trabalha exclusivamente para a MIT em Cambridge-MA com o projeto CryptDB, que permite SQL queries em dados criptografados."
"Glauco Junquera é um engenheiro de software na Samsung SIDI, onde trabalha com análise de segurança para as plataformas Android e Tizen.
Também já trabalhou com desenvolvimento de aplicações e de soluções MDM para dispositivos móveis."
Engenheiro Eletrônico (2005) e pós-graduado em Engenharia de Software (2012). Possuo mais de 11 anos de experiência em desenvolvimento de firmware (linguagens C, C++ e Assembly) para sistemas embarcados. Atualmente sou um dos administradores do portal Embarcados e atuo como consultor/desenvolvedor na área de sistemas embarcados.
"Luander é engenheiro na Samsung SIDI em Campinas. Onde faz parte do time de desenvolvimento e pesquisa na área de segurança da plataforma Android.
Contribuiu com o projeto open source Mercury, além de participar na análise da segurança de várias aplicações dos smartphones Samsung."
Analista e desenvolvedor de sistemas que trabalha com desenvolvimento a mais de 14 anos. Conhecedor nas linguagens: Clipper, Delphi, .Net (asp,c# e vb.net) e Java. Certificações em SCJP 1.4 (Java), MCPD em ASP.NET Developer 3.5 (Microsoft) e CISSP Candidate. Atualmente se dedica a desenvolvimento seguro, onde atua como analista de segurança em uma grande empresa de mídia na área da segurança da informação. Nas horas vagas dedica-se a duas paixões: video-game e mixagem.
Rodrigo é engenheiro de segurança no Instituto de pesquisa da Samsung em Campinas, onde trabalha a 3 anos com segurança em dispositivos Android. Fundador do projeto AndroidXRef, membro ativo das comunidades de segurança SmashTheStack e OverTheWire e membro do hackerspace de Campinas (LHC). Custuma participar de CTFs de segurança pelo time Binary Bandits.
