segunda-feira, 24 de junho de 2019

16ª BSides #BSidesSP

Alguns dos brindes que ganhei na BSides, adesivos, cordão personalizado, copo, sacola e folhetos

programação estava bem diversificada, com algumas villages como a de Biohacking e a de Forense. O evento novamente foi realizado no campus da Consolação da PUC, reuni aqui os links que consegui com as apresentações para facilitar em uma futura consulta.
No sábado das 15h as 18h, foi quando foram realizados os treinamentos, e as foram 5 opções, escolhi a primeira.

1 - Open Source Intelligence - Buscando informações sobre infraestruturas com Júlio César Ferreira Rodrigues, esta palestra me ajudou inclusive em um trabalho da faculdade.
O material pode ser encontrado no github do JC Greenmind.Os outros treinamentos não presenciei, porém no grupo da BSides do Telegram foram compartilhados alguns conteúdos que estão linkados.

Julio Cesar explicando algumas opções do Open Source Intelligence - OSINT


2 - Criando uma inteligência artificial para segurança da informação com Pedro Bezerra   
Já tinha assistido na 15ª BSides e tem uma apresentação similar na Campus Party 2019, ele também compartilhou uma video aula sobre a palestra

3 - Introdução prática ao MISP com Carlos Borges
O treinamento também disponibilizou os slides.

4 - Buffer Overflow em 5 etapas! com Rafael Santos
Os slides estão disponíveis em Buffer Overflow em 5 etapas!

5 - Trojan banker: reverse code operation com Alexandre Borges
A única que não consegui o link do material para compartilhar.

No domingo tivemos muita coisa interessante, assisti pouquíssimas palestras, cheguei apenas no período da tarde, reencontrei diversos amigos e colegas.

Jefferson Macedo explicando honeypots, como fazer e a experiencia adquirida

Honeypotting para a Aquisição de Feeds de Inteligência -  Jefferson Macedo
Você sabe o que é Honeypot, ou mesmo Honeytoken e seus benefícios para a indústria de Segurança da Informação, pesquisas e mais especificamente para a aquisição de Inteligência contra ameaças? E quanto a Threat Intelligence? Seria essa apenas mais uma buzzword do momento? Nessa apresentação, o objetivo é mostrar mais sobre as ferramentas de Honeypot, como elas podem ser úteis ajudando na redução dos tempos de resposta a incidentes e por fim, como toda a informação coletada beneficiará e poderá justificar a importância do investimento de recursos em um programa de Threat Intelligence. Além disso, o tema visa destacar que você pode ter a oportunidade de estar a frente dos atacantes interessados nos dados, informações e ativos do seu negócio. Além das experiências e análises técnicas utilizando ambientes de diversos níveis de interação desenvolvidos pela comunidade, serão apresentados também os aspectos jurídicos que mais vem à tona durante a criação de ambientes e programas como esses. (descrição retirada do site oficial da BSides)

Daniele Guimarães explicando como usar Inteligencia Artificial na detecção de phishing

A ideia central da palestra é que com técnicas de Redes Neurais, algoritmo TensorFlow especificamente, seja possível automatizar a distinção que deveriam ser feitas pelo usuário final de e-mails phishing e e-mails reais, Data Analytics das palavras mais usadas nesse tipo de e-mail e apresentação de Assurance do Algoritmo utilizado. (descrição retirada do site oficial da BSides)

Alguns outros palestrantes também compartilharam o material, segue uma breve descrição da atividade, retirada do site oficial do evento, apenas para facilitar a identificação do assunto que o material aborda, e para que eu possa relembrar no futuro.

Subdomain Takeover - Ricardo Iramar
Subdomain takeover is a process of registering a non-existing domain name to gain control over another domain. In this talk I’ll cover basic concepts, the real problem, some scenarios and how to mitigate the issue. (descrição retirada do site oficial da BSides e sim a descrição estava em inglês, assim como os slides)
A utilização de inteligência artificial (IA) treinada para monitoração e resposta a incidentes de segurança, física e lógica, é revolucionário, mas e se soubermos o “viés” desta IA, ou o índice de acurácia, ou até mesmo o perfil ideológico do responsável pela IA? Poderemos criar formas de ofuscação?  (descrição retirada do site oficial da BSides)

Burning Containers: Ataques em Ambientes Docker, Victor Pasknel
Containers estão cada vez mais presentes em ambientes corporativos, entretanto, estes elementos podem apresentar falhas de segurança que podem resultar no comprometimento da rede. Dado ao crescimento e importância do tema, esta palestra tem como objetivo apresentar diferentes técnicas para exploração e pós-exploração de containers em ambientes Docker. Além disso, irei disponibilizar material para criação de um ambiente de testes com containers vulneráveis.(descrição retirada do site oficial da BSides)

Speeding up Red Team engagements with carnivorall, Toronto Garcez a.k.a torontux
One of the most time consuming tasks as a red teamer is diving into filesystems and shares, attempting to identify any potentially sensitive information. Genneraly users store credentials and other sensitive information in local filesystems and this talk has the purpose of explaining how to use the carnivorall as a means to speed up the task of searching important files using several vectors. I will present some proof of concepts, comparisons between tools and my recent success cases in red teaming engagements.”(descrição retirada do site oficial da BSides)
Esta apresentação esta disponível nos arquivos do grupo da BSidesSP no Telegram, com o nome de bsides.pdf (1,2MB).


quarta-feira, 19 de junho de 2019

CryptoRave 2019 - 6ª edição - parte 2


Panorâmica de uma das salas da Biblioteca Mário de Andrarde


Continuando o post anterior da #CR2019, aqui vão mais alguns materiais que consegui para compartilhar sobre outras palestras, e tem até uma completa gravada em vídeo, gostaria de ter assistido todas, mas concentro aqui os links que encontrei sobre os assuntos para ir pesquisando e me lembrar do que preciso aprender.

03/05 21h00 Tecnologias de controle, democracia e estado de exceção - Henrique Parra
                      Pimentalab                Lasintec - Unifesp               Lavits
Infelizmente cheguei atrasado para esta apresentação, e o único relato que consegui foi este resumo do PImentalab.



03/05 23h05 Surveillance Safari - Dave Maass da EFF (Eletronic Frontier Foundation)
Gostaria de ter visto, porem foi mais uma que perdi.

Não assisti, porém tinham alguns links na descrição da palestra como o Dark Patterns e um Artigo em espanhol no TEDIC que foram bem interessantes.

Foram demonstrações do Spot the surveillance VR de 10 minutos.


03/05 22h10 Onion Services não é Dark web e nem Deep web - Gus
Não consegui assistir, porém o próprio Blog do Gus que trabalha no Tor deixou alguns links na descrição de sua palestra como o Onion Service Protocol e  Configuring Onion Services for Tor

03/05 22h10 Leaks and Scoops - Andre Meister

Durante a madrugada tiveram workshops sobre Lineage OS, um android sem os aplicativos do Google, e ainda outro sobre o pi-hole que pode ser usado como um DNS com bloqueador de propagandas nativo, evitando a instalação de plugins nos navegadores, uma alternativa aos ad-blocks.

Print retirado do vídeo da apresentação do Sérgio Amadeu na CryptoRave 2019


04/05 13h50 Terra em Transe: O que ocorreu com a internet? - Sérgio Amadeu
Uma das poucas apresentações, caso não seja a única, disponível em vídeo no Facebook, ou fora da plataforma do Zuck.
Alguns sites usados ou citados na apresentação que eu não conhecia:
Statista - site com diversas estatísticas, dos mais variados temas, ainda tem algumas gratuitas.
CyberDB - fornece dados premium, notícias, pesquisas e análises sobre fornecedores e soluções da indústria de Cyber em todo o mundo.
Google Patents e ainda tem o Google - Pesquisa avançada de patentes
Darpa - XAI - Explainable Artificail Intelligence


04/05 18h30 Montem seu Roteador Caseiro - Douglas Esteves
Como estava muito cheia a sala, e não tinham cadeiras sobrando, compartilho aqui apenas a apresentação dos slides que o Douglas compartilhou. 



segunda-feira, 10 de junho de 2019

Fatecnologia - Forense Computacional

Reprodução do banner do evento

Entre os dias 7 e 9 de maio, ocorreu a Fatecnologia, evento anual da Fatec Sao Caetano do Sul e a programação foi bem diversificada, incluindo assuntos relacionados aos temas dos cursos que esta unidade oferece, que são Gestão Empresarial (EAD)Análise e Desenvolvimento de Sistemas, Comércio Exterior, Jogos Digitais e Segurança da Informação.
A única palestra que consegui assistir foi a de Forense Computacional, ministrada pelo Yuri Ojevan Presto, que tem mais de 16 anos de atividade na área forense e professor em disciplinas que envolvem forense computacional e aquisição de dados, na ACADEPOL.


Print screen de uma tela do software forense EnCase, que é pago

Começou com um  exemplo bem diferente da parte técnica que foi o caso de hipnose forense, pode ser utilizada para auxiliar a pessoa a lembrar de algo que possa estar guardado no subconsciente e ajudar em determinados casos.
Depois foi contada a história da evolução da internet, que na minha opinião deveria ter sido pulado, pois estavamos em uma faculdade de tecnologia e esse assunto, mesmo os alunos ingressantes aprendem na primeira semana de aula, mas depois fiquei sabendo que esta mesma apresentação é feita para quem ingressa na ACADEPOL, e neste caso a maioria do público é leigo no assunto, fazendo com que ele precise iniciar do básico em suas outras apresentações.

Algumas telas de programas usados para verificar dados em pericia forense

Depois dessa parte começou a explicar superficialmente o funcionamento de redes e protocolos, para adentrar em assuntos um pouco mais complexos e citando alguns casos de exemplo. Alguns softwares citados foram:


Na esquerda palavras e siglas  associadas com pedofilia e a direita alguns símbolos associados com pedofilia
Um dos exemplos destes símbolos que foi citado são sites pornográficos "gratuitos normais" que colocam o simbolo, sinalizando que se for assinante deste site terá acesso a imagens de pedofilia, como a última imagem no canto inferior direito. Ao encontrar esses sites denuncie também, podem ser denunciados outros tipos de crime como racismo, xenofobia, neonazismo e maus tratos contra animais, entre vários outros.

Yuri Presto mostra apenas alguns artigos da lei que podem ser enquadrados quem pratica pedofilia 

Ele mostrou alguns exemplos de casos em que trabalhou, com prints de algumas telas para nos mostrar onde foram encontrados os indicios dos crimes, e que assim conseguiu resolver, desde metadados de uma foto, ate quantidades extremamente altas de armazenamento de material de pedofilia (packs de arquivos de 10 Gb no Shareaza por exemplo, que eu nem sabia que ainda funcionava).

Outros eventos que estive em 2019:
CryptoRave 2019
Open Street Map - Aula na UFABC SBC
Arduino Day São Paulo  2019
Arduino Day Mauá 2019
Campus Party 2019 #cpbr12
Dia da Internet Segura 2019 #SID2019

quarta-feira, 5 de junho de 2019

CryptoRave 2019 - 6ª edição

Banner reprodução do site oficial

Um evento gratuito que recomendo muito, especialmente para as pessoas que gostam de segurança e privacidade, de entrada gratuita, porem financiado coletivamente e este ano foi arrecadação recorde na campanha feita pelo Catarse, e o local desta vez foi a Biblioteca Mario de Andrade, e também a Hemeroteca da Biblioteca Mário de Andrade, bem no centro de São Paulo, entre as estações República e Anhangabaú. Tem até um aplicativo na Play Store.
A programação estava cheia de atividades, e consegui participar de algumas destas:


Algumas partes da apresentação da Laudelina na CryptoRave 2019

04/05 09h10 A classificação da população brasileira - Laudelina LP


 Apesar do horário, no sábado de manhã, a sala estava cheia, Laudelina mostrou e explicou algumas ferramentas de segmentação como o Mosaic do Serasa Experian, que classifica as pessoas com mais de 400 variáveis, entre elas aspectos financeiros, demográficos, histórico de consumo, estilo de vida,  quantidade de amigos em redes sociais, entre muitos outros dados.
Depois de contar a história da Experian e da Mosaic , mostrou que em 2010 foi o lançamento da versão brasileira do Mosaic e explicou algumas funcionalidades básicas, devido o pouco tempo disponível .
Um fato curioso que eu não sabia é que é possível consultar o seu score no Serasa e no Cadastro Positivo, claro que depois de fazer um registro, pois suas informações são de onde eles obtêm o lucro.
Essa apresentação é baseada na monografia que ela defendeu na USP, no final de 2018, que em breve estará disponível na biblioteca para consulta, e assim que eu receber o link atualizo aqui.


Montagem com alguns slides da apresentação da Joyce na CryptoRave 2019

04/05 11h30 O mercado de Dados Pessoais e a área de Saúde - Joyce Souza

Essa apresentação foi na Hemeroteca da Biblioteca Mário de Andrade, que fica a poucos metros da Biblioteca, algumas das apresentações do sábado foram feitas lá.
Nesta palestra foi mostrada a coleta de dados em excesso pelo sistema de saúde, com foco na cidade de São Caetano do Sul, que foi onde foram concentradas as pesquisas.
Foram divulgados muitos dados como exemplo, pouco tempo para conseguir explicar toda uma pesquisa que resultou um texto com mais de 130 paginas.
A dissertação em que esta apresentação foi baseada esta disponível na Biblioteca da Universidade Federal do ABC.


Debate com André Ramiro, Jamila Venturini, Joana Varon, Dave Maass e a tradutora, além do óculos anti vigilância

04/05 13h50 Lecture: In your face- debate mediado por Jamila Venturini


Estavam presentes no debate André Ramiro do IP RecJamila Venturini, Joana Varon do Coding RightsDave Maass da EFF (Eletronic Frontier Foundation), além da voluntária que fez a tradução para o Dave.
Um dos tópicos interessantes foi que o Dave Maass trouxe um óculos anti infravermelho, que inibe inclusive o reconhecimento facial.
Também comentaram sobre a equipe de segurança da cantora Taylor Swift usar reconhecimento facial para encontrar stalkers nos shows. Maquiagem assimétrica  também foi abordada superficialmente, e comentaram o caso que a Oi foi multada por invasão de privacidade pelo Velox.


Essas foram algumas das muitas atividades que participei, e é possível encontrar bastante material compartilhado na rede, tenho mais algum material das outras atividades e posso pensar em fazer uma parte 2 deste post,     :^p


Posts semelhantes:
CryptoRave 2015
Malte Spitz no Brasil

Outros eventos que estive em 2019:
Open Street Map - Aula na UFABC SBC
Arduino Day São Paulo  2019
Arduino Day Mauá 2019
Campus Party 2019 #cpbr12
Dia da Internet Segura 2019 #SID2019


domingo, 2 de junho de 2019

Filmes e Séries - Maio 2019

Em Maio se encerraram diversas temporadas de séries que eu acompanho, inclusive duas tiveram sua temporada final, The Big Bang Theory e a febre maior de todas Game of Thrones.

Seriados Nacionais

Comédia bem divertida com apenas 8 episódios, do canal Comedy Central, criação de Fabio Porchat com produção do Porta dos Fundos. Gostei muito da forma como mostram as conversas no grupo do Whats App, que tem diversas situações que todos que já participaram de um grupo estão acostumados. Mas o mais original foi o personagem do Rafael Portugal, que não vou falar quem ele interpreta para não estragar a surpresa.










Seriados



American Gods S02

Somente 8 episódios nesta temporada, baseada no livro de Neil Gaiman, que depois se tornou quadrinho pela Dark Horse. Depois de descobrir a verdadeira identidade do Sr Wednesday, Shadow Moon continua como seu guarda costas, e ainda tenta agrupar os deuses antigos para Junhoa guerra, além de termos a "reformulação" de algumas divindades, como a Midia.  Se gosta de mitologia em geral recomendo muito.










Grey's Anatomy S15

A série mais longeva que acompanho, as vezes com um pouco de "guilty pleasure", esta temporada foram 25 episódios. Me livrei de assistir novelas da globo, mas esta eu ainda continuo. Mesmo sabendo que toda temporada sempre tem uma grande tragédia que normalmente aproveitam para renovar o elenco.













The Big Bang Theory S12


Última temporada deste seriado que contou com 280 episódios em 12 temporadas, sendo esta última com 24. O último episódio foi duplo, e teve algumas participações especiais. Para os que vão ficar com saudade, recomendo o spin off Young Sheldon.
















Young Sheldon S02

Segunda temporada teve 22 episódios, spin-off de The Big Bang Theory, que conta a infância de Sheldon Cooper, inclusive sendo narrada pelo Jim Parsons, uma excelente opção para os "órfãos" de TBBT, e para os saudosistas da década de 80. Embora não me recorde muito da irmã do Sheldon em TBBT, Raegan Revord, a menina que a interpreta nesta série é fenomenal. E na season finale tem uma bela homenagem aos personagens principais de TBBT.








Lucifer S04    

                                                                                                  Série que a Netflix "ressuscitou" após o cancelamento do canal original. Foram 10 episódios, seguindo a fórmula de um crime por episódio com a investigação e algumas pequenas tramas maiores para entrelaçar a temporada. É uma série para assistir sem esperar muita coisa, divertida e cumpre seu papel de entreter. As personagens mais divertidas são a Ella Lopez (Aimee Garcia) e a Eva (Inbar Lavi). Serie que é baseada em quadrinho da DC Comics.






Doom Patrol S01


Primeira temporada com 15 episódios. Não é uma serie normal, assim como o grupo Patrulha do Destino, baseado no quadrinho original da DC Comics, foge e muito dos padrões convencionais. Heróis bem diferentes com poderes bem estranhos. Pra se ter uma ideia a Crazy Jane (Diane Guerreiro) tem 64 personalidades diferentes, e cada uma com um poder. Recomendo para os que gostam de algo surreal e fora do convencional. 








Game of Thrones S08


Temporada final com apenas 6 episódios. Creio que muitas pessoas não entenderam sobre o que trata o enredo da serie, pois reclamaram muito do final. Se quiserem final feliz assistam novelas ou filmes de comédia romântica. Desde o inicio GoT nunca entregou o que o espectador queria, com raras exceções, e é isto que fez dele o sucesso que foi, com reviravoltas inesperadas. A trama final deu a melhor mensagem de todas, de que não vale a pena a guerra pelo poder.








Killing Eve S02

Segunda temporada novamente com apenas 8 episódios. Que a Sandra Oh é uma excelente atriz todos sabem, mas o carisma da Jodie Cormer como a assassina "mimada" e infantil é o que chamou a atenção nesta série. Recomendo muito, especialmente se gosta de assassinas cativantes.












Filmes


 

Game of Thrones: The Last Watch



Documentário de 2 horas, que foi focado na oitava e última temporada do seriado Game of Thrones, da HBO. A maior produção da televisão de todos os tempos, e mostra algumas partes do processo do backstage, como maquiagem, cabelereiros, figurantes, até o responsável pela neve, entre muitos outros que aparecem sendo entrevistados. Quando você entende todo o processo fica fácil de ver os motivos de tanto tempo para  filmar e finalizar com os efeitos especiais.









Caso queira saber o que mais eu assisti:
Janeiro
Fevereiro,
Março
Abril