Difference between revisions of "OWASP Floripa Day 2012"

From OWASP
Jump to: navigation, search
 
(34 intermediate revisions by one user not shown)
Line 1: Line 1:
[[File:OWASP_Floripa_Day.jpg |809px|center| link=https://www.owasp.org/index.php/OWASP_Floripa_Day_2012 | OWASP Floripa Day 2012]]
+
[[File:Cover_wiki.jpg |809px|center| link=https://www.owasp.org/index.php/OWASP_Floripa_Day_2012 | OWASP Floripa Day 2012]]
== Inscrições ==
+
[[File:Ingressos.png | 809px]]
+
<br><br>
+
Estão abertas as inscrições para o OWASP Floripa Day, são 03 modalidades de ingressos:
+
<br><br>
+
*'''Individual''': Nesta modalidade de inscrição, deverão inscrever-se todas PESSOAS FISICAS;
+
*'''Estudante/Associados ACATE''': Válido somente mediante apresentação de comprovante de matrícula fornecido/autenticado por instituição regular de ensino reconhecida pelo MEC por ocasião da chegada do participante ao evento. Para associados ACATE, válido somente mediante comprovante emitido pela ACATE via e-mail ou em papel.
+
*'''Caravanas''': Modalidade exclusiva para caravanas, válido somente para a aquisição de 20 ingressos ou mais na mesma compra.
+
<br><br>
+
Os valores dos ingressos modificarão conforme a proximidade do evento. Portanto aproveite esta oportunidade e aquira já o seu ingresso. '''Garanta sua participação!'''
+
<br><br>
+
[[File:Btn-buy-tickets.png | link=http://www.sympla.com.br/owasp-floripa-day-2012__10439.html | Compre seu ingresso]]
+
 
<br>
 
<br>
 
<br>
 
<br>
{| cellspacing="10" border="0" align="center" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
+
== Encerramento ==
|-  
+
 
=== '''Banners para Divulgação''' ===
+
Infelizmente esta edição chegou ao fim...mas foram dois dias maravilhosos, cheios de novidades e palestras com os profissionais mais bem respeitados da área de segurança. Agradecemos a todos que compareceram e fizeram desses dias, os melhores. Queremos agradecer de coração ao público que prestigiou ao evento pois sem vocês nada disso seria possível. E agradecer também a todos os voluntários, tanto os palestrantes, quanto ao pessoal da organização. E esperamos todos novamente para o ano que vem! E que venha 2013.
<br>Fique a vontade para utilizar qualquer um desses banners para divulgar o evento em seu site/bog/veiculos de comunicação. A OWASP agradece sua colaboração e conta com sua participação neste grande evento.
+
 
 +
Algumas informações referentes ao evento:
 +
<br>
 +
<br>
 +
=== Pesquisa de Satisfação ===
 +
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;" align="center" cellspacing="5"
 +
|-
 +
| [[Image:Proximo ano.png | 346px]]
 +
| [[Image:Classificacao geral.png|409px]]
 +
|}
 +
<br>
 +
Ficamos contentes com o feedback dado e estamos analisando todos os problemas encontrados nesta edição para que na próxima possamos melhorar ainda mais e cada vez mais ir de encontro com a sua necessidade. Obrigada!
 +
<br>
 +
 
 +
=== Certificados de Participação ===
 +
 
 +
Aqueles participantes que necessitam de certificado de participação para comprovação de carga horária ou de comparecimento, deverão enviar um e-mail para [mailto:gabidebem@owasp.org gabidebem@owasp.org] com o assunto: Certificado de Participação. E após conferirmos a participação no evento, enviaremos via e-mail.
 +
 
 +
=== Materiais das Palestras ===
 +
 
 +
Todo o Material utilizado nas palestras será disponibilizado até sexta-feira aqui neste tópico do site.
 +
 
 +
=== 15 de Setembro ===
 +
{| width="80%" class="t"
 +
|-
 +
| height="17" width="14%" align="right" | 09:00 - 09:15
 +
| bgcolor="#8595c2" align="CENTER" | '''Credenciamento'''
 +
|-
 +
| height="49" width="14%" align="right" | 09:15- 09:30
 +
| bgcolor="#eeeeee" align="CENTER" | '''O que é a OWASP?''' - Gabriella de Bem
 +
|-
 +
| height="49" width="14%" align="right" | 9:30 - 10:30
 +
| bgcolor="#b9c2dc" align="CENTER" | '''Análise Forense de ataques através de Aplicações WEB''' - Luiz Vieira
 +
|-
 +
| height="49" width="14%" align="right" | 10:30 - 11:30
 +
| bgcolor="#eeeeee" align="CENTER" | '''Automatizando descoberta de vulnerabilidades com Nmap + NSE''' - Tiago Natel de Moura
 +
|-
 +
| height="17" width="14%" align="right" | 11:30 - 13:00
 +
| bgcolor="#8595c2" align="CENTER" | '''Almoço (Não fornecido pelo evento)'''
 +
|-
 +
| height="49" width="14%" align="right" | 13:00 - 14:00
 +
| bgcolor="#b9c2dc" align="CENTER" | '''Você Escreve Código e Quem Valida?''' - Wagner Elias <br>[http://www.slideshare.net/conviso/voc-escreve-cdigo-e-quem-valida Slides da Palestra]
 +
|-
 +
| height="49" width="14%" align="right" | 14:00 - 15:00
 +
| bgcolor="#eeeeee" align="CENTER" | '''Building Client-Side Attacks with HTML5 Features''' - Tiago Ferreira<br>[http://www.slideshare.net/conviso/building-clientside-attacks-with-html5-features Slides da Palestra]
 +
|-
 +
| height="49" width="14%" align="right" | 15:00 - 16:00
 +
| bgcolor="#b9c2dc" align="CENTER" | '''Dispositivos Criptográficos, mais confiança aos processos de criptografia''' - Rick Lopes de Souza
 +
|-
 +
| height="17" width="14%" align="right" | 16:00 - 16:30
 +
| bgcolor="#8595c2" align="CENTER" | '''Coffee Break'''
 +
|-
 +
| height="49" width="14%" align="right" | 16:30 - 17:15
 +
| bgcolor="#eeeeee" align="CENTER" | '''OWASP Software Security Assurance Process Project''' - Mateo Martinez<br>''Palestra não realizada''
 +
|-
 +
| height="49" width="14%" align="right" | 17:15 - 18:15
 +
| bgcolor="#b9c2dc" align="CENTER" | '''ICP-Brasil, documento eletrônico e a sociedade''' - Armindo Guerra
 +
|-
 +
| height="47" width="14%" align="right" | 18:15 - 19:15
 +
| bgcolor="#eeeeee" align="CENTER" | '''Principais Ameaças à Aplicações Web - OWASP Top 10''' - Rafael Soares
 +
|-
 +
| height="17" width="14%" align="right" | 19:15 - 19:30
 +
| bgcolor="#8595c2" align="CENTER" | '''Encerramento'''
 +
|}
 +
<br />
 +
 
 +
=== 16 de Setembro ===
 +
 
 +
 
 +
{| width="80%" class="t"
 +
|-
 +
| height="17" width="14%" align="right" | 09:00 - 09:15
 +
| bgcolor="#8595c2" align="CENTER" | '''Credenciamento'''
 +
|-
 +
| height="49" width="14%" align="right" | 09:15- 09:30
 +
| bgcolor="#eeeeee" align="CENTER" | '''OWASP Talk'''
 +
|-
 +
| height="49" width="14%" align="right" | 9:30 - 10:30
 +
| bgcolor="#b9c2dc" align="CENTER" | '''Análise estática de malware com o pev''' - Fernando Mercês<br>[https://www.owasp.org/images/e/e7/Owasp-pev-merces.pdf Slides da Palestra]
 +
|-
 +
| height="49" width="14%" align="right" | 10:30 - 11:30
 +
| bgcolor="#eeeeee" align="CENTER" | '''Desenvolvimento de Malwares''' - Tiago Natel de Moura
 +
|-
 +
| height="17" width="14%" align="right" | 11:30 - 13:00
 +
| bgcolor="#8595c2" align="CENTER" | '''Almoço (Não fornecido pelo evento)'''
 +
|-
 +
| height="49" width="14%" align="right" | 13:00 - 14:00
 +
| bgcolor="#b9c2dc" align="CENTER" | '''"Web Spiders" - Automação para Web Hacking''' - Antônio Costa<br>[http://www.slideshare.net/conviso/web-spiders-automao-para-web-hacking Slides da Palestra]
 +
|-
 +
| height="49" width="14%" align="right" | 14:00 - 15:00
 +
| bgcolor="#eeeeee" align="CENTER" | '''Return-Oriented Programming na Unha''' - Victor Mello
 +
|-
 +
| height="49" width="14%" align="right" | 15:00 - 16:00
 +
| bgcolor="#b9c2dc" align="CENTER" | '''Egg Hunter: Pisando em Ovos para Explorar Buffer Overflows''' - Mateus Felipe<br>[https://sites.google.com/site/mateustymbu/OWASP_Floripa_Day_2012-Egghunter-Mateus_Tymbu.odp Slides da Palestra]
 +
|-
 +
| height="17" width="14%" align="right" | 16:00 - 16:30
 +
| bgcolor="#8595c2" align="CENTER" | '''Coffee Break'''
 +
|-
 +
| height="49" width="14%" align="right" | 16:30 - 17:15
 +
| bgcolor="#eeeeee" align="CENTER" | '''Linux Runtime Process Infection''' - Leandro Oliveira<br>''Palestra não realizada.''
 +
|-
 +
| height="49" width="14%" align="right" | 17:15 - 18:15
 +
| bgcolor="#b9c2dc" align="CENTER" | '''Mixando "Application Runtime Analisys" && SIEMs''' - Luiz Zanardo
 +
|-
 +
| height="47" width="14%" align="right" | 18:15 - 19:15
 +
| bgcolor="#eeeeee" align="CENTER" | '''Scoring PDF structure to detect Malicious Files''' - Rodrigo Montoro
 +
|-
 +
| height="17" width="14%" align="right" | 19:15 - 19:30
 +
| bgcolor="#8595c2" align="CENTER" | '''Encerramento'''
 +
|}
 +
<br />
 +
 
 +
 
 +
 
 +
=== Ganhadores dos Cursos ===
 +
 
 +
Os vencedores dos cursos da [http://www.oys.com.br OYS] e das entradas para o [http://solisc.org.br SOLISC], receberão um e-mail com as informações necessárias para adquirir seus prêmios. Caso não receba nenhuma informação até a data de inicio de seu curso, entre em contato com a organização do evento.
 +
 
 +
'''Cursos''':
 +
 
 +
*Análise de vulnerabilidades em Aplicações Web - 40H<br/>'''Inicio: 17/09 à 15/10'''
 +
*Monitoramento de Sistemas e Detecção de Intrusão - 24H<br/>'''Inicio: 22/09 à 27/10'''
 +
*Hardening & Segurança em Servidores Linux - 40H<br/>'''Inicio: 22/10 à 26/11'''
 +
*Fundamentos de Programação com Assembly e C - 40H<br/>'''Inicio: 05/11 à 06/12'''
 +
 
 +
=== Fotos ===
 +
 
 +
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;" align="center" cellspacing="5"
 +
|-
 +
| [[Image:77669 368391329912392 1488629024 o.jpg|209px|thumb]]
 +
| [[Image:242305 368123836605808 2089549203 o.jpg|209px|thumb]]
 +
| [[Image:256167 368124229939102 1997345881 o.jpg|209px|thumb]]
 +
|-
 +
| [[Image:266584 368125126605679 233532930 o.jpg|209px|thumb]]
 +
| [[Image:287032 368135699937955 1989852879 o.jpg|209px|thumb]]
 +
| [[Image:290418 368124036605788 1944320617 o.jpg|209px|thumb]]
 +
|-
 +
| [[Image:291194 368126546605537 1897864283 o.jpg|209px|thumb]]
 +
| [[Image:330447 368136409937884 1807661103 o.jpg|209px|thumb]]
 +
| [[Image:332605 368135386604653 1930393606 o.jpg|209px|thumb]]
 +
|-
 +
| [[Image:336588 368125066605685 2044536507 o.jpg|209px|thumb]]
 +
| [[Image:340871 368390226579169 1174029062 o.jpg|209px|thumb]]
 +
| [[Image:456135 368126333272225 1796041347 o.jpg|209px|thumb]]
 +
|-
 +
| [[Image:465131 368389796579212 1320299088 o.jpg|209px|thumb]]
 +
| [[Image:615658 368388956579296 695882445 o.jpg|209px|thumb]]
 +
| [[Image:560911 479667245398231 418992230 n.jpg|209px|thumb]]
 +
|-
 +
|}
 +
<br>
 +
<br>
 +
 
 +
== Hacking Lab ==
 +
[[File:Hackinglab logo.png]]
 +
=== O que é Hacking-Lab? ===
 +
 
 +
Hacking-Lab é um portal de segurança que aborda hacking e estratégias de defesa. Acreditamos no '''Aprendizado Prático''', mas essa é uma tarefa difícil e que consome tempo, principalmente sem o ambiente apropriado para um bom aprendizado.
 +
 
 +
Por que, então, não compartilhar um lab de segurança para a comunidade? Para esse propósito o Hacking-Lab foi criado. Experiências práticas reais!
 +
 
 +
Acesse o [http://www.hacking-lab.com Hacking-Lab]  e torne-se um membro dessa comunidade!
 +
 
 +
 
 +
=== Desafios Hacking-Lab ===
 +
 
 +
Hacking-Lab provê um grande número de desafios online de segurança. Os usuários podem melhorar suas habilidades com exercícios práticos nas áreas de Network Security, Penetration Testing, Web Application Security, Unix Security, Windows Security, Reverse Engineering, Forensics e etc.
 +
 
 +
Hacking-Lab tem o orgulho de atuar juntamente com OWASP, e seus membros tem acesso gratuito aos desafios de segurança OWASP TOP 10.
 +
 
 +
 
 +
=== Hacking-Lab no OWASP Floripa Day ===
 +
 
 +
Através do projeto Hacking-Lab, haverá durante o OWASP Floripa Day, a disponibilização de desafios online a serem resolvidos, com a necessidade do envio do método utilizado para exploração, e a solução das vulnerabilidades, para o projeto.
 +
 
 +
Para participar, a pessoa precisa acessar o [http://www.hacking-lab.com site do projeto] e cadastrar-se, criando um usuário na comunidade.
 +
 
 +
No site, estará disponível um evento privado, com pelo menos 10 desafios, cujo link para se cadastrar será informado durante evento.
 +
 
 +
Para acessar o lab remoto do HL, e resolver os desafios, é necessário baixar a distro Linux do HL, já com o acesso VPN configurado (http://media.hacking-lab.com/largefiles/livecd/ ), ou os arquivos de configuração da VPN para utilizar a partir do Backtrack, OSX ou Windows (http://media.hacking-lab.com/largefiles/livecd/z_openvpn_config/ ).
 +
 
 +
'''OBS1''': O objetivo dos desafios não é eleger um vencedor, mas sim possibilitar o aprendizado real, na prática, através de desafios que estão vinculados aos temas abordados nas palestras apresentadas no evento.
 +
 
 +
'''OBS2''': Qualquer pessoa poderá participar, pois o nível de dificuldade dos desafios é básico e intermediário.
 +
<br>
 +
<br>
 +
 
 +
== '''Banners para Divulgação''' ==
 +
<br>Fique a vontade para utilizar qualquer um desses banners para divulgar o evento em seu site/blog/veiculos de comunicação. A OWASP agradece sua colaboração e conta com sua participação neste grande evento.
 +
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;" align="center" cellspacing="5"
 
|-
 
|-
 
| [[Image:Owasp banner normal.jpg|209px|thumb]]
 
| [[Image:Owasp banner normal.jpg|209px|thumb]]
Line 81: Line 258:
  
  
== CFP (Call For Papers) ==
+
== Palestras Aprovadas ==
 
+
O Capítulo de Florianópolis da OWASP esta aberto para a SEGUNDA CHAMADA de palestrantes para o OWASP Floripa Day 2012 que será realizado nos dias 15 e 16 de setembro em Florianópolis.
+
<br><br>
+
Estamos procurando por palestrantes que queiram realizar apresentações de 45 minutos ou 1 hora ou um talk de 30 minutos sobre algum dos temas abaixo:
+
<br><br>
+
*Starting and managing SDLC programs
+
*Web Service Security
+
*Metrics for Application Security
+
*Automated and manual source code audit
+
*Information security risks
+
*Penetration Testing
+
*Software Security
+
*Web Security
+
*Malware Analysis
+
*OWASP tools and documents
+
*Secure coding practices
+
*Enhancing the security of the Web infrastructure
+
*Any other subject related to application security.
+
<br>
+
Para se inscrever como palestrante, por favor nos envie:
+
<br>
+
*Nome Completo
+
*Informação de Contato (Email e telefone)
+
*Biografia
+
*Título da Apresentação
+
*Resumo
+
*Foto
+
*Qualquer outra informação necessaria para a apresentação
+
<br>
+
'''A SEGUNDA (e última) CHAMADA''' de propostas serão recebidas até dia '''31 de julho''' nos seguintes emails (por favor mande para ambos):
+
<br>
+
natel@secplus.com.br<br>
+
gabidebem@owasp.org
+
<br><br>
+
== Palestras já aprovadas (Call for papers ainda aberto) ==
+
  
 
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
 
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5"
 
|-  
 
|-  
| style="width:20%" valign="middle"  bgcolor="#CCCCEE" align="center" colspan="0" | Victor Ramos Melo
+
| style="width:20%" valign="middle"  bgcolor="#CCCCEE" align="center" colspan="0" | [[File:Foto M0nad.jpg|232px]]
 
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Return-Oriented Programming na Unha'''<br>'''VICTOR RAMOS MELO'''<br><br>Descreverá uma técnica moderna de exploração de buffer overflows conhecida como Return-Oriented Programming, esta técnica é muito interessante por passar por proteções a nível de sistema operacional como Executable Space Protection (NX, DEP, W^X) assim como Address Space Layout Randomization (ASLR). Irá demonstrar como desenvolver um exploit básico para um código vulnerável sem utilizar-se de ferramentas automatizadoras.
 
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Return-Oriented Programming na Unha'''<br>'''VICTOR RAMOS MELO'''<br><br>Descreverá uma técnica moderna de exploração de buffer overflows conhecida como Return-Oriented Programming, esta técnica é muito interessante por passar por proteções a nível de sistema operacional como Executable Space Protection (NX, DEP, W^X) assim como Address Space Layout Randomization (ASLR). Irá demonstrar como desenvolver um exploit básico para um código vulnerável sem utilizar-se de ferramentas automatizadoras.
 
|-
 
|-
Line 135: Line 277:
 
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Principais Ameaças à Aplicações Web - OWASP Top 10'''<br>'''RAFAEL SOARES FERREIRA'''<br><br>A palestra visa apresentar as principais técnicas para auditorias de segurança em aplicações Web, abordando conceitos fundamentais da área, detalhando as principais vulnerabilidades, formas de exploração e métodos de mitigação destas falhas. Serão apresentadas metodologias e ferramentas, assim como cenários para demonstrações de ataques à aplicações web. A apresentação terá com base o projeto Top 10 da OWASP que identifica e lista as 10 principais ameaças a aplicações web e trata maneiras de explorá-las, assim como medidas de proteção contra elas.
 
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Principais Ameaças à Aplicações Web - OWASP Top 10'''<br>'''RAFAEL SOARES FERREIRA'''<br><br>A palestra visa apresentar as principais técnicas para auditorias de segurança em aplicações Web, abordando conceitos fundamentais da área, detalhando as principais vulnerabilidades, formas de exploração e métodos de mitigação destas falhas. Serão apresentadas metodologias e ferramentas, assim como cenários para demonstrações de ataques à aplicações web. A apresentação terá com base o projeto Top 10 da OWASP que identifica e lista as 10 principais ameaças a aplicações web e trata maneiras de explorá-las, assim como medidas de proteção contra elas.
 
|-
 
|-
| style="width:20%" valign="middle"  bgcolor="#CCCCEE" align="center" colspan="0" | Oscar Marques
+
| style="width:20%" valign="middle"  bgcolor="#CCCCEE" align="center" colspan="0" | [[File:Merces2.jpg | 232px]]
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Mobile Malware em Android'''<br>'''OSCAR MARQUES'''<br><br>A palestra mostrará como andam atualmente as novas pragas digitais que estão atacando o Android. Veremos algumas formas de ataques usados pelos malwares e como proceder para criar um laboratório para analisar esses malwares. A palestra foi apresentada na AndroidConf Brasil, a primeira conferência única sobre Android no Brasil.
+
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Análise estática de malware com o pev'''<br>'''FERNANDO MERCÊS'''<br><br>O pev é um projeto de software livre multiplataforma para análise de
 +
binários PE (do Windows), malwares ou não, baseado na libpe, uma biblioteca para trabalhar com PE que codificamos para suportar o projeto. Nessa palestra apresentarei o projeto com foco em análise estática de malware, com foco no tratamento de informações que as ferramentas do pev podem oferecer em comparação a outros analisadores. Também mostrarei o status atual do projeto, nossos planos futuros e como contribuir, além de uma breve introdução sobre a libpe e seu uso. É particularmente interessante para quem tem interesse em engenharia reversa, detecção de malwares ou mesmo curiosidade sobre a construção do PE.
 
|-
 
|-
 
| style="width:20%" valign="middle"  bgcolor="#CCCCEE" align="center" colspan="0" |  [[File:Antonio_costa_foto.jpg]]
 
| style="width:20%" valign="middle"  bgcolor="#CCCCEE" align="center" colspan="0" |  [[File:Antonio_costa_foto.jpg]]
 
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: "Web Spiders" - Automação para Web Hacking'''<br>'''ANTONIO COSTA'''<br><br>Apresentação abordará Automação para Hacking na WEB, bem como entender o funcionamento de crawlers para o hacking, entender o funcionamento de autenticação e como fazer força bruta, burlar captcha, usar OAUTH, construir parsers, passar certificados de SSL, fazer spoofing de user agent, usar proxys, uso de APIs para desenvolvimento, automação do web browser (imacros e selenium), idéias para fuzzers e scanners, GSM+GPS. Exposição de casos do underground em spam e adsense.
 
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: "Web Spiders" - Automação para Web Hacking'''<br>'''ANTONIO COSTA'''<br><br>Apresentação abordará Automação para Hacking na WEB, bem como entender o funcionamento de crawlers para o hacking, entender o funcionamento de autenticação e como fazer força bruta, burlar captcha, usar OAUTH, construir parsers, passar certificados de SSL, fazer spoofing de user agent, usar proxys, uso de APIs para desenvolvimento, automação do web browser (imacros e selenium), idéias para fuzzers e scanners, GSM+GPS. Exposição de casos do underground em spam e adsense.
 
|-
 
|-
| style="width:20%" valign="middle"  bgcolor="#CCCCEE" align="center" colspan="0" | Tiago Ferreira
+
| style="width:20%" valign="middle"  bgcolor="#CCCCEE" align="center" colspan="0" | [[File:Foto Tiago Ferreira.jpeg | 232px]]
 
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Building Client-Side Attacks with HTML5 Features'''<br>'''TIAGO FERREIRA'''<br><br>A palestra tem como objetivo mostrar os conceitos e funcionamento de algumas funcionalidades que foram adicionadas ao HTML5, levando em consideração os aspectos de segurança do client-side. Para as funcionalidades destacadas, foram  criados cenários de ataques visando ilustrar a obtenção de informações sensíves armazenadas no browser ou até mesmo usar o browser da vítima para lançar ataques contra outros sistemas. Através da exploração das funcionalidades existentes no HTML5, técnicas de exploração como XSS e CSRF, tornam-se mais poderosas e eficientes, sendo possível em alguns casos contornar algumas restrições do Same Origin Policiy (SOP).
 
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Building Client-Side Attacks with HTML5 Features'''<br>'''TIAGO FERREIRA'''<br><br>A palestra tem como objetivo mostrar os conceitos e funcionamento de algumas funcionalidades que foram adicionadas ao HTML5, levando em consideração os aspectos de segurança do client-side. Para as funcionalidades destacadas, foram  criados cenários de ataques visando ilustrar a obtenção de informações sensíves armazenadas no browser ou até mesmo usar o browser da vítima para lançar ataques contra outros sistemas. Através da exploração das funcionalidades existentes no HTML5, técnicas de exploração como XSS e CSRF, tornam-se mais poderosas e eficientes, sendo possível em alguns casos contornar algumas restrições do Same Origin Policiy (SOP).
 +
|-
 +
| style="width:20%" valign="middle"  bgcolor="#CCCCEE" align="center" colspan="0" |  [[File:Foto Rodrigo.jpg | 232px]]
 +
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Scoring PDF structure to detect Malicious Files'''<br>'''RODRIGO MONTORO'''<br><br>O PDF hoje é um dos grandes vetores de ataque para malwares. Antivírus/Proteções Client-side estão lutando para detectar PDFs maliciosos, e isso representa um sério problema de segurança. Encoding, Javascript ofuscation, Compression e filtros tais como: ASCIIHexDecode, ASCII85Decode, e CCITTFaxDecode todos contribuem para a possibilidade de um atacante ocultar conteúdo malicioso. Nesta palestra será discutido a estrutura do PDF, comparações entre amostras de PDFs maliciosos com conteúdos não maliciosos, e demostração de como analisar a estrutura do arquivo utilizando um sistema de pontuação que pode auxiliar muito na determinação se o arquivo é malicioso ou não.
 +
|-
 +
| style="width:20%" valign="middle"  bgcolor="#CCCCEE" align="center" colspan="0" | [[File:Foto Armindo.jpg | 232px]]
 +
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: ICP-Brasil, documento eletrônico e a sociedade'''<br>'''ARMINDO GUERRA JUNIOR'''<br><br>Várias tecnologias atuais utilizam criptografia assimétrica como artifício para resguardar dados sensíveis, inclusive tecnologias web. Uma aplicação bastante usual desse tipo de criptografia é o certificado digital. No Brasil a entidade responsável por fornecer confiabilidade a certificados digitais é ICP-Brasil. Qual é o estado da arte dessa organização? Quais são as principais aplicações de um certificado digital para a sociedade? Por que usar um documento eletrônico? Devemos confiar nele? O objetivo dessa palestra é responder essas, entre outras perguntas.
 +
|-
 +
| style="width:20%" valign="middle"  bgcolor="#CCCCEE" align="center" colspan="0" | [[File:Foto Mateus Tymburiba.jpg | 232px]]
 +
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Egg Hunter: Pisando em Ovos para Explorar Buffer Overflows'''<br>'''MATEUS FELIPE TYMBURIBÁ'''<br><br>Egg Hunter é uma técnica amplamente utilizada atualmente para desenvolver exploits capazes de executar shellcodes em sistemas com restrições de espaço na memória. O método denominado Egg Hunter surgiu como a principal técnica de desenvolvimento de exploits para execução de shellcodes em 2 estágios, superando o desafio imposto pela limitação de espaço. Nessa palestra serão apresentados diversos tipos de Egg Hunters e os cenários aos quais eles se adequam. Serão descritos em detalhes todos os passos para a construção de um exploit baseado nesse método e será demonstrada a sua aplicação na exploração de uma vulnerabilidade real recentemente divulgada.
 +
|-
 +
| style="width:20%" valign="middle"  bgcolor="#CCCCEE" align="center" colspan="0" | [[File:Leandro Oliveira.jpg | 232px]]
 +
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Linux Runtime Process Infection'''<br>'''LEANDRO OLIVEIRA'''<br><br>A palestra pretende mostrar maneiras de manipular um processo em execução, objetivando a criação de uma backdoor que deixe o minimo de resquícios possíveis em disco. A palestra iniciará mostrando uma syscall (ptrace), abordando algumas maneiras interessantes de usa-lá de formas maliciosas. Em seguida, demonstrará como inserir um shellcode dentro de um processo remoto, executar e tomar o controle de volta. Com as possibilidade que serão apresentadas, será discutido como injetar uma Lib remotamente no processo da vitima, para que o hook se torne mais amigável para os que não tem familiaridade com assembly.
 +
|-
 +
| style="width:20%" valign="middle"  bgcolor="#CCCCEE" align="center" colspan="0" | [[File:Foto Wagner Elias.jpg | 232px]]
 +
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Você Escreve Código e Quem Valida?'''<br>'''WAGNER ELIAS'''<br><br>Programadores desenvolvem código como se não houvesse amanhã e pouco se investe na validação de segurança de código. A palestra irá abordar práticas de revisão de segurança de código e como deve ser adotado a prática em um processo de desenvolvimento de software. Além das técnicas será disponibilizado a primeira versão do CodeFight um projeto open source para suporte a revisão de segurança de código fonte.
 +
|-
 +
| style="width:20%" valign="middle"  bgcolor="#CCCCEE" align="center" colspan="0" | [[File:Foto luiz Zanardo.jpg | 232px]]
 +
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Mixando "Application Runtime Analisys" && SIEMs'''<br>'''LUIZ ZANARDO'''<br><br>SIEM (Security Information and Event Management) agregam informação de sistemas e registros estruturados de muitas fontes, incluindo roteadores, gateways e outros dispositivos de rede; firewalls, IDS/IPS e outras soluções de segurança, banco de dados, servidores e logs de sistemas,
 +
sistemas de gerenciamento de identidade entre muitos outros++. O objetivo desta palestra é mostrar como é possível e quais os valores de extrair informação diretamente dos servidores de aplicação, envia-las a um SIEM, mixar os contextos e extrair desde ataques e manipulações de dados simples até complexas situações de fraudes transacionais.
 +
|-
 +
| style="width:20%" valign="middle"  bgcolor="#CCCCEE" align="center" colspan="0" | [[File:Foto rick.jpg | 232px]]
 +
| style="width:80%;padding:10px" valign="middle"  bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Dispositivos Criptográficos, mais confiança aos processos de criptografia
 +
'''<br>'''RICK LOPES DE SOUZA'''<br><br>Atualmente existem diversos mecanismos e softwares que se utilizam da criptografia para a garantia do sigilo, integridade e autenticidade de documentos eletrônicos e que se baseiam no uso de chaves criptográficas. Grande parte da confiança nos sistemas de segurança se baseia no bom uso das chaves e sem o seu correto gerenciamento, dados podem eventualmente ser comprometidos. Esta apresentação tem como objetivo mostrar alguns dos diferentes tipos de dispositivos criptográficos existentes e a sua importância na manutenção da segurança de dados.
 
|-
 
|-
 
|}  
 
|}  
 
 
== Patrocínios ==
 
Estamos atualmente buscado patrocinadores para a primeira edição do OWASP Floripa Day 2012. Veja mais detalhes sobre as [[Media:OWASP_FloripaDay_2012_Sponsorship_Portuguese.pdf|OPORTUNIDADES DE PATROCÍNIO]].
 
<br>
 
'''Material de divulgação sobre o que é o OWASP: [https://www.owasp.org/images/7/72/Press_release.pdf Press Release]
 
 
Se estiver interessado em patrocinar o OWASP Floripa Day 2012, por favor entre em contato com a equipe organizadora da conferência pelos emails abaixo.
 
  
 
== Patrocinadores  ==
 
== Patrocinadores  ==
Line 161: Line 319:
 
|-
 
|-
 
| align="center" | [[File:Oys.png  | link=http://www.oys.com.br/ | OYS Academy]]
 
| align="center" | [[File:Oys.png  | link=http://www.oys.com.br/ | OYS Academy]]
|-
 
| align="center" |  &nbsp;
 
== Patrocinadores Platinum ==
 
 
|-
 
|-
 
| align="center" |  &nbsp;
 
| align="center" |  &nbsp;
Line 171: Line 326:
 
|-
 
|-
 
| align="center" |  &nbsp;
 
| align="center" |  &nbsp;
== Patrocinadores Silver ==
+
== Patrocinadores Bronze ==
 +
|-
 +
| align="center" | [[File:Digitro Logo.png | link=http://www.digitro.com.br/ | Digitro]]
 
|-
 
|-
 
| align="center" |  &nbsp;
 
| align="center" |  &nbsp;
Line 184: Line 341:
 
| align="center" | [[File:PoaSec-Logo.png|320px| link=http://www.poasec.org/ | PoaSec.org]]
 
| align="center" | [[File:PoaSec-Logo.png|320px| link=http://www.poasec.org/ | PoaSec.org]]
 
|-
 
|-
| align="center" | [[File:Logo sempre preto.png|320px| link=http://www.techsempre.com// | TechSempre]]
+
| align="center" | [[File:Logo sempre preto.png|320px| link=http://www.techsempre.com/ | TechSempre]]
 
|-
 
|-
 +
| align="center" | [[File:Logo_ABComm.png‎|320px| link=http://www.abcomm.com.br/ | ABComm - Associação Brasileira de Comércio Eletrônico]]
 +
|-
 +
| align="center" | [[File:Logo senai2012.png|320px| link=http://www.sc.senai.br/ | SENAI - Serviço Nacional de Aprendizagem Industrial]]
 +
|-
 +
| align="center" | [[File:SOFTSUL.png|320px| link=http://www.softsul.org.br/ | SOFTSUL]]
 +
|-
 +
| align="center" | [[File:Hackinglab logo.png|320px| link=http://www.hacking-lab.com/ | HACKING-LAB]]
 +
|-
 +
 
|}
 
|}
  
 
<br>
 
<br>
 
<br>
 
<br>
<center>
 
<b>Estamos a procura de patrocinadores. Deseja fazer parte e colaborar com este grande evento? Entre em contato!</b>
 
<br>
 
<br>
 
</center>
 
 
<br>
 
 
 
 
  
 
== Organização ==
 
== Organização ==

Latest revision as of 10:37, 23 September 2012

OWASP Floripa Day 2012



Contents

Encerramento

Infelizmente esta edição chegou ao fim...mas foram dois dias maravilhosos, cheios de novidades e palestras com os profissionais mais bem respeitados da área de segurança. Agradecemos a todos que compareceram e fizeram desses dias, os melhores. Queremos agradecer de coração ao público que prestigiou ao evento pois sem vocês nada disso seria possível. E agradecer também a todos os voluntários, tanto os palestrantes, quanto ao pessoal da organização. E esperamos todos novamente para o ano que vem! E que venha 2013.

Algumas informações referentes ao evento:

Pesquisa de Satisfação

Proximo ano.png Classificacao geral.png


Ficamos contentes com o feedback dado e estamos analisando todos os problemas encontrados nesta edição para que na próxima possamos melhorar ainda mais e cada vez mais ir de encontro com a sua necessidade. Obrigada!

Certificados de Participação

Aqueles participantes que necessitam de certificado de participação para comprovação de carga horária ou de comparecimento, deverão enviar um e-mail para gabidebem@owasp.org com o assunto: Certificado de Participação. E após conferirmos a participação no evento, enviaremos via e-mail.

Materiais das Palestras

Todo o Material utilizado nas palestras será disponibilizado até sexta-feira aqui neste tópico do site.

15 de Setembro

09:00 - 09:15 Credenciamento
09:15- 09:30 O que é a OWASP? - Gabriella de Bem
9:30 - 10:30 Análise Forense de ataques através de Aplicações WEB - Luiz Vieira
10:30 - 11:30 Automatizando descoberta de vulnerabilidades com Nmap + NSE - Tiago Natel de Moura
11:30 - 13:00 Almoço (Não fornecido pelo evento)
13:00 - 14:00 Você Escreve Código e Quem Valida? - Wagner Elias
Slides da Palestra
14:00 - 15:00 Building Client-Side Attacks with HTML5 Features - Tiago Ferreira
Slides da Palestra
15:00 - 16:00 Dispositivos Criptográficos, mais confiança aos processos de criptografia - Rick Lopes de Souza
16:00 - 16:30 Coffee Break
16:30 - 17:15 OWASP Software Security Assurance Process Project - Mateo Martinez
Palestra não realizada
17:15 - 18:15 ICP-Brasil, documento eletrônico e a sociedade - Armindo Guerra
18:15 - 19:15 Principais Ameaças à Aplicações Web - OWASP Top 10 - Rafael Soares
19:15 - 19:30 Encerramento


16 de Setembro

09:00 - 09:15 Credenciamento
09:15- 09:30 OWASP Talk
9:30 - 10:30 Análise estática de malware com o pev - Fernando Mercês
Slides da Palestra
10:30 - 11:30 Desenvolvimento de Malwares - Tiago Natel de Moura
11:30 - 13:00 Almoço (Não fornecido pelo evento)
13:00 - 14:00 "Web Spiders" - Automação para Web Hacking - Antônio Costa
Slides da Palestra
14:00 - 15:00 Return-Oriented Programming na Unha - Victor Mello
15:00 - 16:00 Egg Hunter: Pisando em Ovos para Explorar Buffer Overflows - Mateus Felipe
Slides da Palestra
16:00 - 16:30 Coffee Break
16:30 - 17:15 Linux Runtime Process Infection - Leandro Oliveira
Palestra não realizada.
17:15 - 18:15 Mixando "Application Runtime Analisys" && SIEMs - Luiz Zanardo
18:15 - 19:15 Scoring PDF structure to detect Malicious Files - Rodrigo Montoro
19:15 - 19:30 Encerramento



Ganhadores dos Cursos

Os vencedores dos cursos da OYS e das entradas para o SOLISC, receberão um e-mail com as informações necessárias para adquirir seus prêmios. Caso não receba nenhuma informação até a data de inicio de seu curso, entre em contato com a organização do evento.

Cursos:

  • Análise de vulnerabilidades em Aplicações Web - 40H
    Inicio: 17/09 à 15/10
  • Monitoramento de Sistemas e Detecção de Intrusão - 24H
    Inicio: 22/09 à 27/10
  • Hardening & Segurança em Servidores Linux - 40H
    Inicio: 22/10 à 26/11
  • Fundamentos de Programação com Assembly e C - 40H
    Inicio: 05/11 à 06/12

Fotos

77669 368391329912392 1488629024 o.jpg
242305 368123836605808 2089549203 o.jpg
256167 368124229939102 1997345881 o.jpg
266584 368125126605679 233532930 o.jpg
287032 368135699937955 1989852879 o.jpg
290418 368124036605788 1944320617 o.jpg
291194 368126546605537 1897864283 o.jpg
330447 368136409937884 1807661103 o.jpg
332605 368135386604653 1930393606 o.jpg
336588 368125066605685 2044536507 o.jpg
340871 368390226579169 1174029062 o.jpg
456135 368126333272225 1796041347 o.jpg
465131 368389796579212 1320299088 o.jpg
615658 368388956579296 695882445 o.jpg
560911 479667245398231 418992230 n.jpg



Hacking Lab

Hackinglab logo.png

O que é Hacking-Lab?

Hacking-Lab é um portal de segurança que aborda hacking e estratégias de defesa. Acreditamos no Aprendizado Prático, mas essa é uma tarefa difícil e que consome tempo, principalmente sem o ambiente apropriado para um bom aprendizado.

Por que, então, não compartilhar um lab de segurança para a comunidade? Para esse propósito o Hacking-Lab foi criado. Experiências práticas reais!

Acesse o Hacking-Lab e torne-se um membro dessa comunidade!


Desafios Hacking-Lab

Hacking-Lab provê um grande número de desafios online de segurança. Os usuários podem melhorar suas habilidades com exercícios práticos nas áreas de Network Security, Penetration Testing, Web Application Security, Unix Security, Windows Security, Reverse Engineering, Forensics e etc.

Hacking-Lab tem o orgulho de atuar juntamente com OWASP, e seus membros tem acesso gratuito aos desafios de segurança OWASP TOP 10.


Hacking-Lab no OWASP Floripa Day

Através do projeto Hacking-Lab, haverá durante o OWASP Floripa Day, a disponibilização de desafios online a serem resolvidos, com a necessidade do envio do método utilizado para exploração, e a solução das vulnerabilidades, para o projeto.

Para participar, a pessoa precisa acessar o site do projeto e cadastrar-se, criando um usuário na comunidade.

No site, estará disponível um evento privado, com pelo menos 10 desafios, cujo link para se cadastrar será informado durante evento.

Para acessar o lab remoto do HL, e resolver os desafios, é necessário baixar a distro Linux do HL, já com o acesso VPN configurado (http://media.hacking-lab.com/largefiles/livecd/ ), ou os arquivos de configuração da VPN para utilizar a partir do Backtrack, OSX ou Windows (http://media.hacking-lab.com/largefiles/livecd/z_openvpn_config/ ).

OBS1: O objetivo dos desafios não é eleger um vencedor, mas sim possibilitar o aprendizado real, na prática, através de desafios que estão vinculados aos temas abordados nas palestras apresentadas no evento.

OBS2: Qualquer pessoa poderá participar, pois o nível de dificuldade dos desafios é básico e intermediário.

Banners para Divulgação


Fique a vontade para utilizar qualquer um desses banners para divulgar o evento em seu site/blog/veiculos de comunicação. A OWASP agradece sua colaboração e conta com sua participação neste grande evento.

Owasp banner normal.jpg
Owasp banner small.jpg
Owasp banner tall.jpg

O Evento


A primeira edição do OWASP Floripa Day será realizada entre os dias 15 e 16 de setembro de 2012, em Florianópolis, Santa Catarina. Serão dois dias de palestras específicas na área de segurança de aplicações ministrados por profissionais do Brasil e exterior, com palestras focadas nas mais avançadas técnicas e nos assuntos mais atuais discutidos pela comunidade de segurança. Será o primeiro evento em Florianópolis totalmente focado em segurança de aplicações.
Evento no Facebook: OWASP FLORIPA DAY 2012 FACEBOOK EVENT

O OWASP FLORIPA DAY será realizado no HOTEL SESC Cacupé, ele possui um moderno Centro Multiuso, com espaço multifuncional para eventos. Abaixo seguem algumas fotos da infraestrutura do local:

Centro Multiuso
Centro Multiuso

Entrada do Centro Multiuso
Entrada Centro Multiuso

Video do HOTEL SESC Cacupé

A Cidade


Uma ilha repleta de belezas por todos os lados. Assim é Florianópolis, uma das capitais mais bonitas do Brasil, repleta de belas praias, lagoas, mata atlântica, deliciosa gastronomia e rica cultura.

Nas últimas décadas, Florianópolis registrou uma renovação do seu perfil econômico. Sem grandes indústrias, a Capital catarinense encontrou no setor de tecnologia da informação e comunicação uma atividade econômica que se identificou com o perfil da cidade, respeitou os elementos naturais da Ilha e se tornou um importante componente para o desenvolvimento local.

Atualmente, as empresas de base tecnológica formam o segundo grupo de atividade organizada que mais fatura e mais paga Imposto Sobre Serviços (ISS) no município. O setor de tecnologia impulsiona também o crescimento de outros setores da economia, entre eles o da construção civil - para a instalação de novas empresas, o de turismo - atraindo eventos de negócios, e o setor de serviços - diante da necessidade por assessorias e consultorias em diferentes áreas.

Além das incubadoras e parques tecnológicos, Florianópolis conta com três universidades públicas e uma privada, o que contribui decisivamente para a formação de profissionais altamente qualificados.

No ano de 2006, Florianópolis foi eleita uma das “10 cidades mais dinâmicas do mundo”, título conferido pela revista internacional Newsweek.

Em 2009, foi criada a Secretaria Municipal de Ciência, Tecnologia e Desenvolvimento Econômico Sustentável da Prefeitura de Florianópolis (SMCTDES), com o objetivo de consolidar e ampliar o papel da administração municipal no crescimento econômico do município. Em março de 2010 foi lançada a logomarca Capital da Inovação, representando a identidade de Florianópolis como celeiro de iniciativas inovadoras.No mesmo ano, foi regulamentada a Lei Catarinense de Inovação, ferramenta para impulsionar ainda mais o setor tecnológico de Florianópolis e de todo o Estado.

Em março de 2010 foi lançada a logomarca Capital da Inovação, representando a identidade de Florianópolis como celeiro de iniciativas inovadoras.

Fonte: Secretaria Municipal de Ciência, Tecnologia, e Desenvolvimento Econômico Sustentável

International Press:

Florianopolis may be the city of superlatives within Brazil.
It’s a laid-back beach town. It’s a vibrant university town. It’s a rapidly-growing technology hub. It has the highest reported quality of life in Brazil, among the highest in the world. It was even named ‘the best place to live in Brazil.’

And with good reason. Florianopolis is gorgeous. The weather is excellent. Cost of living is much lower than in nearby Rio de Janeiro or Sao Paulo. It’s safe. It’s connected, with nonstop flights to major cities in Brazil, as well as the region– Buenos Aires, Santiago, Montevideo.

The biggest reason to come here, though, is that Florianopolis represents Brazil’s future, probably more than any other city. This is saying a lot given that Brazil itself represents the future of the west.

It’s a young, intensely energetic place. Smart, creative, productive people from around the world, and especially from Brazil, are flocking here to create the next big thing, from energy to nanotech. Plus, some of the region’s best incubators are here to help advance new ideas.

The local culture is open to rapid change, growth, and diversity in a way that’s unusually refreshing given Brazil’s highly bureaucratic, populist leanings. I’ve also found English proficiency in Florianopolis to be much better than in many other parts of the country.

Read more: Business Insider



Palestras Aprovadas

Foto M0nad.jpg Palestra: Return-Oriented Programming na Unha
VICTOR RAMOS MELO

Descreverá uma técnica moderna de exploração de buffer overflows conhecida como Return-Oriented Programming, esta técnica é muito interessante por passar por proteções a nível de sistema operacional como Executable Space Protection (NX, DEP, W^X) assim como Address Space Layout Randomization (ASLR). Irá demonstrar como desenvolver um exploit básico para um código vulnerável sem utilizar-se de ferramentas automatizadoras.
Luiz vieira.jpg Palestra: Análise Forense de ataques através de Aplicações WEB
LUIZ VIEIRA

A apresentação abordará como é possível, através de aplicações web, atacantes realizarem comprometimentos do tipo client side, e como é possível, através da investigação forense, realizar a análise dos dados coletados e remontar o cenário do que aconteceu. Será explicado, também, quais rastros determinados tipos de ataques, realizados através de navegadores, deixam na aplicação e na máquina da vítima, e como é possível coletá-los e análisá-los.
Mateo martinez foto.jpg Palestra: OWASP Software Security Assurance Process Project
MATEO MARTÍNEZ

A apresentação abordará como implementar a segurança como um processo dentro do seu ciclo de desenvolvimento de software. Apresentação do OWASP SSAP Project.
Tiago natel foto copy.jpg Palestra: Desenvolvimento de Malwares
TIAGO NATEL DE MOURA

Será apresentado o "State of the Art" do desenvolvimento de Malwares para ambientes unix like, passando desde uma introdução ao formato de binário ELF, explicação do funcionamento de alguns virus conhecidos para linux, até técnicas de infecção, reprodução e propagação. Explicará como usar ferramentas GNU para análise e criação de virus/malwares e apresentará o Malelficus, uma ferramenta GPL que desenvolveu para dissecar e infectar binários ELF. Irá apresentar também técnicas de post-infection para escalada de privilégios subvertendo a shell do usuário com scripts no bashrc e fraquezas em ambientes gráficos como Gnome e KDE que facilitam a execução de arquivos maliciosos, escalada de privilégios e roubo de informações.
Rafael soares foto.jpg Palestra: Principais Ameaças à Aplicações Web - OWASP Top 10
RAFAEL SOARES FERREIRA

A palestra visa apresentar as principais técnicas para auditorias de segurança em aplicações Web, abordando conceitos fundamentais da área, detalhando as principais vulnerabilidades, formas de exploração e métodos de mitigação destas falhas. Serão apresentadas metodologias e ferramentas, assim como cenários para demonstrações de ataques à aplicações web. A apresentação terá com base o projeto Top 10 da OWASP que identifica e lista as 10 principais ameaças a aplicações web e trata maneiras de explorá-las, assim como medidas de proteção contra elas.
Merces2.jpg Palestra: Análise estática de malware com o pev
FERNANDO MERCÊS

O pev é um projeto de software livre multiplataforma para análise de

binários PE (do Windows), malwares ou não, baseado na libpe, uma biblioteca para trabalhar com PE que codificamos para suportar o projeto. Nessa palestra apresentarei o projeto com foco em análise estática de malware, com foco no tratamento de informações que as ferramentas do pev podem oferecer em comparação a outros analisadores. Também mostrarei o status atual do projeto, nossos planos futuros e como contribuir, além de uma breve introdução sobre a libpe e seu uso. É particularmente interessante para quem tem interesse em engenharia reversa, detecção de malwares ou mesmo curiosidade sobre a construção do PE.

Antonio costa foto.jpg Palestra: "Web Spiders" - Automação para Web Hacking
ANTONIO COSTA

Apresentação abordará Automação para Hacking na WEB, bem como entender o funcionamento de crawlers para o hacking, entender o funcionamento de autenticação e como fazer força bruta, burlar captcha, usar OAUTH, construir parsers, passar certificados de SSL, fazer spoofing de user agent, usar proxys, uso de APIs para desenvolvimento, automação do web browser (imacros e selenium), idéias para fuzzers e scanners, GSM+GPS. Exposição de casos do underground em spam e adsense.
Foto Tiago Ferreira.jpeg Palestra: Building Client-Side Attacks with HTML5 Features
TIAGO FERREIRA

A palestra tem como objetivo mostrar os conceitos e funcionamento de algumas funcionalidades que foram adicionadas ao HTML5, levando em consideração os aspectos de segurança do client-side. Para as funcionalidades destacadas, foram criados cenários de ataques visando ilustrar a obtenção de informações sensíves armazenadas no browser ou até mesmo usar o browser da vítima para lançar ataques contra outros sistemas. Através da exploração das funcionalidades existentes no HTML5, técnicas de exploração como XSS e CSRF, tornam-se mais poderosas e eficientes, sendo possível em alguns casos contornar algumas restrições do Same Origin Policiy (SOP).
Foto Rodrigo.jpg Palestra: Scoring PDF structure to detect Malicious Files
RODRIGO MONTORO

O PDF hoje é um dos grandes vetores de ataque para malwares. Antivírus/Proteções Client-side estão lutando para detectar PDFs maliciosos, e isso representa um sério problema de segurança. Encoding, Javascript ofuscation, Compression e filtros tais como: ASCIIHexDecode, ASCII85Decode, e CCITTFaxDecode todos contribuem para a possibilidade de um atacante ocultar conteúdo malicioso. Nesta palestra será discutido a estrutura do PDF, comparações entre amostras de PDFs maliciosos com conteúdos não maliciosos, e demostração de como analisar a estrutura do arquivo utilizando um sistema de pontuação que pode auxiliar muito na determinação se o arquivo é malicioso ou não.
Foto Armindo.jpg Palestra: ICP-Brasil, documento eletrônico e a sociedade
ARMINDO GUERRA JUNIOR

Várias tecnologias atuais utilizam criptografia assimétrica como artifício para resguardar dados sensíveis, inclusive tecnologias web. Uma aplicação bastante usual desse tipo de criptografia é o certificado digital. No Brasil a entidade responsável por fornecer confiabilidade a certificados digitais é ICP-Brasil. Qual é o estado da arte dessa organização? Quais são as principais aplicações de um certificado digital para a sociedade? Por que usar um documento eletrônico? Devemos confiar nele? O objetivo dessa palestra é responder essas, entre outras perguntas.
Foto Mateus Tymburiba.jpg Palestra: Egg Hunter: Pisando em Ovos para Explorar Buffer Overflows
MATEUS FELIPE TYMBURIBÁ

Egg Hunter é uma técnica amplamente utilizada atualmente para desenvolver exploits capazes de executar shellcodes em sistemas com restrições de espaço na memória. O método denominado Egg Hunter surgiu como a principal técnica de desenvolvimento de exploits para execução de shellcodes em 2 estágios, superando o desafio imposto pela limitação de espaço. Nessa palestra serão apresentados diversos tipos de Egg Hunters e os cenários aos quais eles se adequam. Serão descritos em detalhes todos os passos para a construção de um exploit baseado nesse método e será demonstrada a sua aplicação na exploração de uma vulnerabilidade real recentemente divulgada.
Leandro Oliveira.jpg Palestra: Linux Runtime Process Infection
LEANDRO OLIVEIRA

A palestra pretende mostrar maneiras de manipular um processo em execução, objetivando a criação de uma backdoor que deixe o minimo de resquícios possíveis em disco. A palestra iniciará mostrando uma syscall (ptrace), abordando algumas maneiras interessantes de usa-lá de formas maliciosas. Em seguida, demonstrará como inserir um shellcode dentro de um processo remoto, executar e tomar o controle de volta. Com as possibilidade que serão apresentadas, será discutido como injetar uma Lib remotamente no processo da vitima, para que o hook se torne mais amigável para os que não tem familiaridade com assembly.
Foto Wagner Elias.jpg Palestra: Você Escreve Código e Quem Valida?
WAGNER ELIAS

Programadores desenvolvem código como se não houvesse amanhã e pouco se investe na validação de segurança de código. A palestra irá abordar práticas de revisão de segurança de código e como deve ser adotado a prática em um processo de desenvolvimento de software. Além das técnicas será disponibilizado a primeira versão do CodeFight um projeto open source para suporte a revisão de segurança de código fonte.
Foto luiz Zanardo.jpg Palestra: Mixando "Application Runtime Analisys" && SIEMs
LUIZ ZANARDO

SIEM (Security Information and Event Management) agregam informação de sistemas e registros estruturados de muitas fontes, incluindo roteadores, gateways e outros dispositivos de rede; firewalls, IDS/IPS e outras soluções de segurança, banco de dados, servidores e logs de sistemas,

sistemas de gerenciamento de identidade entre muitos outros++. O objetivo desta palestra é mostrar como é possível e quais os valores de extrair informação diretamente dos servidores de aplicação, envia-las a um SIEM, mixar os contextos e extrair desde ataques e manipulações de dados simples até complexas situações de fraudes transacionais.

Foto rick.jpg Palestra: Dispositivos Criptográficos, mais confiança aos processos de criptografia


RICK LOPES DE SOUZA

Atualmente existem diversos mecanismos e softwares que se utilizam da criptografia para a garantia do sigilo, integridade e autenticidade de documentos eletrônicos e que se baseiam no uso de chaves criptográficas. Grande parte da confiança nos sistemas de segurança se baseia no bom uso das chaves e sem o seu correto gerenciamento, dados podem eventualmente ser comprometidos. Esta apresentação tem como objetivo mostrar alguns dos diferentes tipos de dispositivos criptográficos existentes e a sua importância na manutenção da segurança de dados.

Patrocinadores

Patrocinadores Diamond

OYS Academy
 

Patrocinadores Gold

Agência Todo Mundo
 

Patrocinadores Bronze

Digitro
 

Apoio/Divulgação

Resenha Digital
Segurança Digital
Sympla
PoaSec.org
TechSempre
ABComm - Associação Brasileira de Comércio Eletrônico
SENAI - Serviço Nacional de Aprendizagem Industrial
SOFTSUL
HACKING-LAB



Organização

Tiago Natel de Moura
Organizador Geral natel@owasp.org
Gabriella de Bem
Organizador Geral gabidebem@owasp.org
Capítulo OWASP Florianópolis
Capítulo Organizador OWASP Florianópolis Chapter