This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "OWASP Floripa Day 2012"
| Line 107: | Line 107: | ||
| − | + | == Palestras Aprovadas == | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | == Palestras | ||
{|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5" | {|style="vertical-align:top;width:90%;background-color:#white;padding:10px;border:1px solid silver;" align="center" cellspacing="5" | ||
| Line 167: | Line 132: | ||
| style="width:80%;padding:10px" valign="middle" bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: "Web Spiders" - Automação para Web Hacking'''<br>'''ANTONIO COSTA'''<br><br>Apresentação abordará Automação para Hacking na WEB, bem como entender o funcionamento de crawlers para o hacking, entender o funcionamento de autenticação e como fazer força bruta, burlar captcha, usar OAUTH, construir parsers, passar certificados de SSL, fazer spoofing de user agent, usar proxys, uso de APIs para desenvolvimento, automação do web browser (imacros e selenium), idéias para fuzzers e scanners, GSM+GPS. Exposição de casos do underground em spam e adsense. | | style="width:80%;padding:10px" valign="middle" bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: "Web Spiders" - Automação para Web Hacking'''<br>'''ANTONIO COSTA'''<br><br>Apresentação abordará Automação para Hacking na WEB, bem como entender o funcionamento de crawlers para o hacking, entender o funcionamento de autenticação e como fazer força bruta, burlar captcha, usar OAUTH, construir parsers, passar certificados de SSL, fazer spoofing de user agent, usar proxys, uso de APIs para desenvolvimento, automação do web browser (imacros e selenium), idéias para fuzzers e scanners, GSM+GPS. Exposição de casos do underground em spam e adsense. | ||
|- | |- | ||
| − | | style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | | + | | style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | [[File:Foto Tiago Ferreira.jpeg | 232px]] |
| style="width:80%;padding:10px" valign="middle" bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Building Client-Side Attacks with HTML5 Features'''<br>'''TIAGO FERREIRA'''<br><br>A palestra tem como objetivo mostrar os conceitos e funcionamento de algumas funcionalidades que foram adicionadas ao HTML5, levando em consideração os aspectos de segurança do client-side. Para as funcionalidades destacadas, foram criados cenários de ataques visando ilustrar a obtenção de informações sensíves armazenadas no browser ou até mesmo usar o browser da vítima para lançar ataques contra outros sistemas. Através da exploração das funcionalidades existentes no HTML5, técnicas de exploração como XSS e CSRF, tornam-se mais poderosas e eficientes, sendo possível em alguns casos contornar algumas restrições do Same Origin Policiy (SOP). | | style="width:80%;padding:10px" valign="middle" bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Building Client-Side Attacks with HTML5 Features'''<br>'''TIAGO FERREIRA'''<br><br>A palestra tem como objetivo mostrar os conceitos e funcionamento de algumas funcionalidades que foram adicionadas ao HTML5, levando em consideração os aspectos de segurança do client-side. Para as funcionalidades destacadas, foram criados cenários de ataques visando ilustrar a obtenção de informações sensíves armazenadas no browser ou até mesmo usar o browser da vítima para lançar ataques contra outros sistemas. Através da exploração das funcionalidades existentes no HTML5, técnicas de exploração como XSS e CSRF, tornam-se mais poderosas e eficientes, sendo possível em alguns casos contornar algumas restrições do Same Origin Policiy (SOP). | ||
|- | |- | ||
| − | | style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | Rodrigo | + | | style="width:20%" valign="middle" bgcolor="#CCCCEE" align="center" colspan="0" | [[File:Foto Rodrigo.jpg | 232px]] |
| style="width:80%;padding:10px" valign="middle" bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Scoring PDF structure to detect Malicious Files'''<br>'''RODRIGO MONTORO'''<br><br>O PDF hoje é um dos grandes vetores de ataque para malwares. Antivírus/Proteções Client-side estão lutando para detectar PDFs maliciosos, e isso representa um sério problema de segurança. Encoding, Javascript ofuscation, Compression e filtros tais como: ASCIIHexDecode, ASCII85Decode, e CCITTFaxDecode todos contribuem para a possibilidade de um atacante ocultar conteúdo malicioso. Nesta palestra será discutido a estrutura do PDF, comparações entre amostras de PDFs maliciosos com conteúdos não maliciosos, e demostração de como analisar a estrutura do arquivo utilizando um sistema de pontuação que pode auxiliar muito na determinação se o arquivo é malicioso ou não. | | style="width:80%;padding:10px" valign="middle" bgcolor="#CCCCEE" align="justify" colspan="0" | '''Palestra: Scoring PDF structure to detect Malicious Files'''<br>'''RODRIGO MONTORO'''<br><br>O PDF hoje é um dos grandes vetores de ataque para malwares. Antivírus/Proteções Client-side estão lutando para detectar PDFs maliciosos, e isso representa um sério problema de segurança. Encoding, Javascript ofuscation, Compression e filtros tais como: ASCIIHexDecode, ASCII85Decode, e CCITTFaxDecode todos contribuem para a possibilidade de um atacante ocultar conteúdo malicioso. Nesta palestra será discutido a estrutura do PDF, comparações entre amostras de PDFs maliciosos com conteúdos não maliciosos, e demostração de como analisar a estrutura do arquivo utilizando um sistema de pontuação que pode auxiliar muito na determinação se o arquivo é malicioso ou não. | ||
|- | |- | ||
Revision as of 22:18, 16 August 2012
Inscrições
Estão abertas as inscrições para o OWASP Floripa Day, são 03 modalidades de ingressos:
- Individual: Nesta modalidade de inscrição, deverão inscrever-se todas PESSOAS FISICAS;
- Estudante/Associados ACATE: Válido somente mediante apresentação de comprovante de matrícula fornecido/autenticado por instituição regular de ensino reconhecida pelo MEC por ocasião da chegada do participante ao evento. Para associados ACATE, válido somente mediante comprovante emitido pela ACATE via e-mail ou em papel.
- Caravanas/Grupos: Modalidade exclusiva para caravanas e grupos, válido somente para a aquisição de 10 ingressos na mesma compra.
Os valores dos ingressos modificarão conforme a proximidade do evento. Portanto aproveite esta oportunidade e aquira já o seu ingresso. Garanta sua participação!
Sympla (somente cartões de crédito)
PagSeguro (opção de boleto bancário)
| Modalidades/Prazos | até 12/07 | até 14/08 | até 14/09 |
| Individual/Profissional | R$ 110,00 | R$ 121,00 | R$ 132,00
|
| Estudante/Associados ACATE | R$ 88,00 | R$ 99,00 | R$ 110,00
|
| Caravanas/Grupos (10 ingressos) |
R$ 88,00 | R$ 99,00 | R$ 110,00
|
O Evento
A primeira edição do OWASP Floripa Day será realizada entre os dias 15 e 16 de setembro de 2012, em Florianópolis, Santa Catarina. Serão dois dias de palestras específicas na área de segurança de aplicações ministrados por profissionais do Brasil e exterior, com palestras focadas nas mais avançadas técnicas e nos assuntos mais atuais discutidos pela comunidade de segurança. Será o primeiro evento em Florianópolis totalmente focado em segurança de aplicações.
Evento no Facebook: OWASP FLORIPA DAY 2012 FACEBOOK EVENT
O OWASP FLORIPA DAY será realizado no HOTEL SESC Cacupé, ele possui um moderno Centro Multiuso, com espaço multifuncional para eventos. Abaixo seguem algumas fotos da infraestrutura do local:
Centro Multiuso
Entrada do Centro Multiuso
Video do HOTEL SESC Cacupé
A Cidade
Uma ilha repleta de belezas por todos os lados. Assim é Florianópolis, uma das capitais mais bonitas do Brasil, repleta de belas praias, lagoas, mata atlântica, deliciosa gastronomia e rica cultura.
Nas últimas décadas, Florianópolis registrou uma renovação do seu perfil econômico. Sem grandes indústrias, a Capital catarinense encontrou no setor de tecnologia da informação e comunicação uma atividade econômica que se identificou com o perfil da cidade, respeitou os elementos naturais da Ilha e se tornou um importante componente para o desenvolvimento local.
Atualmente, as empresas de base tecnológica formam o segundo grupo de atividade organizada que mais fatura e mais paga Imposto Sobre Serviços (ISS) no município. O setor de tecnologia impulsiona também o crescimento de outros setores da economia, entre eles o da construção civil - para a instalação de novas empresas, o de turismo - atraindo eventos de negócios, e o setor de serviços - diante da necessidade por assessorias e consultorias em diferentes áreas.
Além das incubadoras e parques tecnológicos, Florianópolis conta com três universidades públicas e uma privada, o que contribui decisivamente para a formação de profissionais altamente qualificados.
No ano de 2006, Florianópolis foi eleita uma das “10 cidades mais dinâmicas do mundo”, título conferido pela revista internacional Newsweek.
Em 2009, foi criada a Secretaria Municipal de Ciência, Tecnologia e Desenvolvimento Econômico Sustentável da Prefeitura de Florianópolis (SMCTDES), com o objetivo de consolidar e ampliar o papel da administração municipal no crescimento econômico do município. Em março de 2010 foi lançada a logomarca Capital da Inovação, representando a identidade de Florianópolis como celeiro de iniciativas inovadoras.No mesmo ano, foi regulamentada a Lei Catarinense de Inovação, ferramenta para impulsionar ainda mais o setor tecnológico de Florianópolis e de todo o Estado.
Em março de 2010 foi lançada a logomarca Capital da Inovação, representando a identidade de Florianópolis como celeiro de iniciativas inovadoras.
Fonte: Secretaria Municipal de Ciência, Tecnologia, e Desenvolvimento Econômico Sustentável
International Press:
Florianopolis may be the city of superlatives within Brazil.
It’s a laid-back beach town. It’s a vibrant university town. It’s a rapidly-growing technology hub. It has the highest reported quality of life in Brazil, among the highest in the world. It was even named ‘the best place to live in Brazil.’
And with good reason. Florianopolis is gorgeous. The weather is excellent. Cost of living is much lower than in nearby Rio de Janeiro or Sao Paulo. It’s safe. It’s connected, with nonstop flights to major cities in Brazil, as well as the region– Buenos Aires, Santiago, Montevideo.
The biggest reason to come here, though, is that Florianopolis represents Brazil’s future, probably more than any other city. This is saying a lot given that Brazil itself represents the future of the west.
It’s a young, intensely energetic place. Smart, creative, productive people from around the world, and especially from Brazil, are flocking here to create the next big thing, from energy to nanotech. Plus, some of the region’s best incubators are here to help advance new ideas.
The local culture is open to rapid change, growth, and diversity in a way that’s unusually refreshing given Brazil’s highly bureaucratic, populist leanings. I’ve also found English proficiency in Florianopolis to be much better than in many other parts of the country.
Read more: Business Insider
Palestras Aprovadas
|
Palestra: Return-Oriented Programming na Unha VICTOR RAMOS MELO Descreverá uma técnica moderna de exploração de buffer overflows conhecida como Return-Oriented Programming, esta técnica é muito interessante por passar por proteções a nível de sistema operacional como Executable Space Protection (NX, DEP, W^X) assim como Address Space Layout Randomization (ASLR). Irá demonstrar como desenvolver um exploit básico para um código vulnerável sem utilizar-se de ferramentas automatizadoras. |
|
Palestra: Análise Forense de ataques através de Aplicações WEB LUIZ VIEIRA A apresentação abordará como é possível, através de aplicações web, atacantes realizarem comprometimentos do tipo client side, e como é possível, através da investigação forense, realizar a análise dos dados coletados e remontar o cenário do que aconteceu. Será explicado, também, quais rastros determinados tipos de ataques, realizados através de navegadores, deixam na aplicação e na máquina da vítima, e como é possível coletá-los e análisá-los. |
|
Palestra: OWASP Software Security Assurance Process Project MATEO MARTÍNEZ A apresentação abordará como implementar a segurança como um processo dentro do seu ciclo de desenvolvimento de software. Apresentação do OWASP SSAP Project. |
|
Palestra: Desenvolvimento de Malwares TIAGO NATEL DE MOURA Será apresentado o "State of the Art" do desenvolvimento de Malwares para ambientes unix like, passando desde uma introdução ao formato de binário ELF, explicação do funcionamento de alguns virus conhecidos para linux, até técnicas de infecção, reprodução e propagação. Explicará como usar ferramentas GNU para análise e criação de virus/malwares e apresentará o Malelficus, uma ferramenta GPL que desenvolveu para dissecar e infectar binários ELF. Irá apresentar também técnicas de post-infection para escalada de privilégios subvertendo a shell do usuário com scripts no bashrc e fraquezas em ambientes gráficos como Gnome e KDE que facilitam a execução de arquivos maliciosos, escalada de privilégios e roubo de informações. |
|
Palestra: Principais Ameaças à Aplicações Web - OWASP Top 10 RAFAEL SOARES FERREIRA A palestra visa apresentar as principais técnicas para auditorias de segurança em aplicações Web, abordando conceitos fundamentais da área, detalhando as principais vulnerabilidades, formas de exploração e métodos de mitigação destas falhas. Serão apresentadas metodologias e ferramentas, assim como cenários para demonstrações de ataques à aplicações web. A apresentação terá com base o projeto Top 10 da OWASP que identifica e lista as 10 principais ameaças a aplicações web e trata maneiras de explorá-las, assim como medidas de proteção contra elas. |
|
Palestra: Mobile Malware em Android OSCAR MARQUES A palestra mostrará como andam atualmente as novas pragas digitais que estão atacando o Android. Veremos algumas formas de ataques usados pelos malwares e como proceder para criar um laboratório para analisar esses malwares. A palestra foi apresentada na AndroidConf Brasil, a primeira conferência única sobre Android no Brasil. |
|
Palestra: "Web Spiders" - Automação para Web Hacking ANTONIO COSTA Apresentação abordará Automação para Hacking na WEB, bem como entender o funcionamento de crawlers para o hacking, entender o funcionamento de autenticação e como fazer força bruta, burlar captcha, usar OAUTH, construir parsers, passar certificados de SSL, fazer spoofing de user agent, usar proxys, uso de APIs para desenvolvimento, automação do web browser (imacros e selenium), idéias para fuzzers e scanners, GSM+GPS. Exposição de casos do underground em spam e adsense. |
|
Palestra: Building Client-Side Attacks with HTML5 Features TIAGO FERREIRA A palestra tem como objetivo mostrar os conceitos e funcionamento de algumas funcionalidades que foram adicionadas ao HTML5, levando em consideração os aspectos de segurança do client-side. Para as funcionalidades destacadas, foram criados cenários de ataques visando ilustrar a obtenção de informações sensíves armazenadas no browser ou até mesmo usar o browser da vítima para lançar ataques contra outros sistemas. Através da exploração das funcionalidades existentes no HTML5, técnicas de exploração como XSS e CSRF, tornam-se mais poderosas e eficientes, sendo possível em alguns casos contornar algumas restrições do Same Origin Policiy (SOP). |
|
Palestra: Scoring PDF structure to detect Malicious Files RODRIGO MONTORO O PDF hoje é um dos grandes vetores de ataque para malwares. Antivírus/Proteções Client-side estão lutando para detectar PDFs maliciosos, e isso representa um sério problema de segurança. Encoding, Javascript ofuscation, Compression e filtros tais como: ASCIIHexDecode, ASCII85Decode, e CCITTFaxDecode todos contribuem para a possibilidade de um atacante ocultar conteúdo malicioso. Nesta palestra será discutido a estrutura do PDF, comparações entre amostras de PDFs maliciosos com conteúdos não maliciosos, e demostração de como analisar a estrutura do arquivo utilizando um sistema de pontuação que pode auxiliar muito na determinação se o arquivo é malicioso ou não. |
|
Palestra: A História da InSegurança de Software GUSTAVO BARBATO Os mesmos problemas de segurança de software vêm se repetindo, causando enormes impactos financeiros a empresas, além de situações constrangedoras a usuários quando seus dados pessoais são comprometidos. Soluções de software são disponibilizadas sem o menor cuidado com segurança, fazendo com que os usuários sejam vítimas de produtos concebidos sem qualidade. Portanto, nesta apresentação serão discutidas algumas questões importantes históricas que não vêm sendo consideradas apropriadamente e vem se repetindo constantemente até os dias de hoje. |
|
Palestra: Egg Hunter: Pisando em Ovos para Explorar Buffer Overflows MATEUS FELIPE TYMBURIBÁ Egg Hunter é uma técnica amplamente utilizada atualmente para desenvolver exploits capazes de executar shellcodes em sistemas com restrições de espaço na memória. O método denominado Egg Hunter surgiu como a principal técnica de desenvolvimento de exploits para execução de shellcodes em 2 estágios, superando o desafio imposto pela limitação de espaço. Nessa palestra serão apresentados diversos tipos de Egg Hunters e os cenários aos quais eles se adequam. Serão descritos em detalhes todos os passos para a construção de um exploit baseado nesse método e será demonstrada a sua aplicação na exploração de uma vulnerabilidade real recentemente divulgada. |
| Leandro Oliveira | Palestra: Linux Runtime Process Infection LEANDRO OLIVEIRA A palestra pretende mostrar maneiras de manipular um processo em execução, objetivando a criação de uma backdoor que deixe o minimo de resquícios possíveis em disco. A palestra iniciará mostrando uma syscall (ptrace), abordando algumas maneiras interessantes de usa-lá de formas maliciosas. Em seguida, demonstrará como inserir um shellcode dentro de um processo remoto, executar e tomar o controle de volta. Com as possibilidade que serão apresentadas, será discutido como injetar uma Lib remotamente no processo da vitima, para que o hook se torne mais amigável para os que não tem familiaridade com assembly. |
| Wagner Elias | Palestra: Você Escreve Código e Quem Valida? WAGNER ELIAS Programadores desenvolvem código como se não houvesse amanhã e pouco se investe na validação de segurança de código. A palestra irá abordar práticas de revisão de segurança de código e como deve ser adotado a prática em um processo de desenvolvimento de software. Além das técnicas será disponibilizado a primeira versão do CodeFight um projeto open source para suporte a revisão de segurança de código fonte. |
|
Palestra: Mixando "Application Runtime Analisys" && SIEMs LUIZ ZANARDO SIEM (Security Information and Event Management) agregam informação de sistemas e registros estruturados de muitas fontes, incluindo roteadores, gateways e outros dispositivos de rede; firewalls, IDS/IPS e outras soluções de segurança, banco de dados, servidores e logs de sistemas, sistemas de gerenciamento de identidade entre muitos outros++. O objetivo desta palestra é mostrar como é possível e quais os valores de extrair informação diretamente dos servidores de aplicação, envia-las a um SIEM, mixar os contextos e extrair desde ataques e manipulações de dados simples até complexas situações de fraudes transacionais. |
Patrocínios
Estamos atualmente buscado patrocinadores para a primeira edição do OWASP Floripa Day 2012. Veja mais detalhes sobre as OPORTUNIDADES DE PATROCÍNIO.
Material de divulgação sobre o que é o OWASP: Press Release
Se estiver interessado em patrocinar o OWASP Floripa Day 2012, por favor entre em contato com a equipe organizadora da conferência pelos emails abaixo.
Patrocinadores
Patrocinadores Diamond |
|
Patrocinadores Platinum |
Patrocinadores Gold |
|
Patrocinadores Silver |
Apoio/Divulgação |
|
|
|
|
|
|
|
Estamos a procura de patrocinadores. Deseja fazer parte e colaborar com este grande evento? Entre em contato!
Organização
| Tiago Natel de Moura |
Organizador Geral | [email protected] |
| Gabriella de Bem |
Organizador Geral | [email protected] |
| Capítulo OWASP Florianópolis |
Capítulo Organizador | OWASP Florianópolis Chapter |
