Trilha Segurança Porque código bom é seguro

Com a crescente evolução da tecnologia da informação em campos como o Cloud Computing, dispositivos móveis, internet das coisas, infotainment além da própria reinvenção da computação pessoal com estas plataformas cada vez mais interoperáveis e uma vida digital cada vez mais integrada e conectada, os dados dos usuários tem se tornado cada vez mais valiosos e dependente da segurança das aplicações.

A quantidade e os tipos de dados disponíveis para coleta, análise e disseminação assim como os incidentes provocados pela aquisição destes dados, como o comprometimento de grandes infra-estruturas a partir de simples sistemas entre outros fatores, têm aumentado a importância de se reduzir o risco associado. E com a crescente evolução de incidentes de segurança associado ao ciber-crime, com cadeias de ameaças combinadas, desenvolver código seguro não é mais um diferencial mas sim uma necessidade, uma missão.

Frente a isso a Trilha de Segurança com foco em Aplicações tem o objetivo de oferecer conteúdo para ajudar você e sua empresa em cumprir esta missão.

. Coordenação

Alan Silva

Wagner Elias

TODAS AS TRILHAS

Programação / Palestras TODAS AS TRILHAS

Importante
Grade de palestras sujeita a alterações sem prévio aviso.

08:00 às 09:00

Credenciamento, recepção dos participantes e café da manhã

Todas as pessoas inscritas, palestrantes, coordenadores e de imprensa, devem retirar seus crachás e kit do congressista nos balcões de credenciamento localizados na entrada do evento, para obterem acesso às salas e Auditório Principal.

O café da manhã será servido na área de coffee break.

09:00 às 10:00

Abertura do evento no Auditório Principal

STADIUM

Após o credenciamento e um breve café da manhã, convidamos os participantes a comparecer ao local para receberem as boas vindas por parte dos realizadores e patrocinadores.

Neste keynote de abertura, todos serão orientados sobre o funcionamento do evento, destaques e outras novidades.

10:10 às 11:00

Enganando Web Application Firewalls

Antonio Costa

Esta apresentação tem como meta revelar algumas técnicas para detectar e atacar sistemas que fazem uso de WAF(web application firewall), será explicado passo a passo e com códigos como automatizar os ataques. Por final algumas sugestões para detectar anomalias em informações de uma forma mais inteligente e objetiva.

11:10 às 12:00

O espião moderno. Avanços nos métodos de espionagem global

Alex Nunes

A palestra irá abordar técnicas de observação, monitoramento e intrusão utilizados por corporações e governos.

12:00 às 13:00

Intervalo para almoço

Todos os participantes receberão um sanduíche com bebida no horário de almoço. Ele deverá ser retirado mediante apresentação de voucher que se encontra dentro dos kits dos congressistas entregues no credenciamento.

Uma excelente oportunidade de todas as pessoas no evento interagirem e trocarem ideias, colaboradores, empresas patrocinadoras e apoiadoras, palestrantes e coordenadores.

13:10 às 14:00

Antidebugging: eu não quero que você mexa no meu código

Wanderley Caloni

Essa palestra é para desenvolvedores interessados em se proteger de atacantes que irão tentar analisar sua ferramenta depurando-a. Vamos explicar, conforme o tempo disponível, como funciona os seguintes ""ataques"" e suas defesas: - Depuração baseada em exceções. - Ocupando a DebugPort - Detectando attach

14:10 às 15:00

Explorando Vulnerabilidades no Windows

Fernando Dantas

Vulnerabilidades são encontradas diariamente em todos os tipos de aplicações, inclusive em sistemas operacionais. Veremos como é possível explorar vulnerabilidades do Windows e quais proteções ele possui para dificultar esses ataques. A idéia dessa palestra é mostrar vulnerabilidades no windows sendo exploradas, citando as proteções que o windows possui (/GS, SafeSEH, DEP, ASLR) e possíveis métodos para contorná-las.

15:00 às 15:30

Coffee-break e Networking

Durante o intervalo de Coffee-break, as mesas de alimentação terão disponíveis café, sucos, frutas e biscoitos. Um delicioso intervalo para relaxar, conhecer novas pessoas e estreitar contatos.

Neste tempo, também surge a oportunidade de todas as pessoas no evento interagirem entre sí, participantes das trilhas, empresas patrocinadoras e apoiadoras, palestrantes e coordenadores.

15:40 às 16:30

Trocando Bits por Segurança

Rodrigo Maximiano Antunes de Almeida

A segurança e a confiabilidade em sistemas embarcados são áreas críticas e de recente desenvolvimento. Além das complicações inerentes à área de segurança, existem restrições quanto a capacidade de processamento e de armazenamento destes sistemas. Isto é agravado em sistemas de baixo custo. Nesta palestra será apresentada uma técnica que, aplicada à troca de contexto em sistemas operacionais, aumenta a segurança destes. A técnica é baseada na detecção e correção de erros em sequência de valores binários. Serão apresentados no inicio o risco de segurança em sistemas emabrcados principalmente com a nova leva equipamentos conectados (IoT). Serão apresentados também detalhes da implementação em C de algoritmos de detecção/correção de erros e as otimizações que permitiram inserir este tipo de recurso rodar em microcontroladores de baixo custo.

16:40 às 17:30

Cryptography Oracle Attacks

Diego Mariano

A aplicação usa criptografia, logo está segura. Certamente não! Utilizar protocolos criptográficos da maneira correta não é uma tarefa simples. E a escolha ou implementação incorreta leva a ataques que podem vazar as informações confidenciais. O objetivo da palestra é apresentar o que é esse tipo de ataque, como é possível implementá-lo na prática e como se previnir. Tópicos que serão expostos: 1-Introdução básica sobre tipos de cifras 2-Encontrando e explorando 2.1-Encryption/decryption oracles 2.2-Padding oracles 3-Medidas de Precaução

17:40 às 18:30

Engenharia Reversa: Um Estudo de Caso

Nelson Brito

O que fazer quando não é possível auditar ou revisar o código fonte de aplicações? E quando falamos de uma auditoria de sistemas e/ou aplicativos proprietários? Esta palestra irá tratar um estudo de caso de uma vulnerabilidade real no Microsoft Internet Explorer, onde, utilizando-se a engenharia reversa, é possível identificar-se um erro muito comum em programação C++, mesmo sem acesso ao código fonte. "Através de uma abordagem detalhada e didática, será apresentada a técnica mais utilizada por pesquisadores de segurança na descoberta e investigação de vulnerabilidades: Engenharia Revessa. Durante a apresentação uma metodologia será proposta, assim como serão recomendados ferramentas e procedimentos a serem adotados para começar ou melhorar a tarefa exaustiva de Engenharia Reversa. Em um mundo onde nem sempre os auditores terão acesso ao código fonte -- seja por serem sistemas e/ou aplicativos proprietários, seja por serem sistemas e/ou aplicativos legados -- a Engenharia Reversa é uma das técnicas mais importantes na auditoria de códigos. Será apresentada, e demonstrada em detalhes, toda a Engenharia Reversa de uma vulnerabilidade real no Microsoft Internet Explorer, onde, através desta técnica, será possível identificar-se a causa raiz em seu código que permite a sua exploração, assim como uma forma de correção do código para corrigi-la. Esta pesquisa e, consequentemente, apresentação revelará que mesmo alguns ""workarounds"" propostos por fabricantes podem ser contornados, permitindo que a exploração de uma vulnerabilidade seja eficaz.

18:40 às 19:00

Encerramento e Sorteios

STADIUM

No horário de encerramento, todas as trilhas serão direcionadas de suas salas para o Auditório Principal, mesmo local da abertura.

Após a apresentação de resultados do dia muitos sorteios fecharão o dia.

Data e Local

Sexta-feira, 24 de Julho de 2015

8:00 às 19:00

Universidade Anhembi Morumbi

Rua Casa do Ator, 275
Vila Olímpia | São Paulo - SP

Informações sobre Data e Local

Público Alvo

Desenvolvedores de Sistemas e Aplicativos; Testadores de Software e de Qualidade; Gerentes e todos profissionais de TI que estão interessados em aprofundar seus conhecimentos em segurança de aplicações.