Trilha Segurança

Porque código bom é seguro.

Com a crescente evolução da tecnologia da informação em campos como o Cloud Computing, dispositivos móveis, internet das coisas, infotainment além da própria reinvenção da computação pessoal com estas plataformas cada vez mais interoperáveis e uma vida digital cada vez mais integrada e conectada, os dados dos usuários tem se tornado cada vez mais valiosos e dependente da segurança das aplicações. A quantidade e os tipos de dados disponíveis para coleta, análise e disseminação assim como os incidentes provocados pela aquisição destes dados, como o comprometimento de grandes infra-estruturas a partir de simples sistemas entre outros fatores, têm aumentado a importância de se reduzir o risco associado. E com a crescente evolução de incidentes de segurança associado ao ciber-crime, com cadeias de ameaças combinadas, desenvolver código seguro não é mais um diferencial mas sim uma necessidade, uma missão. Frente a isso a Trilha AppSec tem o objetivo de oferecer conteúdo para ajudar você, e sua empresa, cumprir esta missão.

Horário Palestra
08:00 às 09:00 Credenciamento e recepção dos participantes com café da manhã simples
09:00 às 10:00 Abertura
10:10 às 11:00 (In)Segurança de Aplicativos Android
(In)Segurança de Aplicativos Android
Rodrigo Chiossi
"Nesta palestra será apresentado os 3 principais mecanismos de comunicação entre processos: Intents / Broadcast Receivers, Content Providers e Services. Raramente encontramos aplicações que não empregam pelo menos um tipo destes três tipos de mecanismo e mais de 50% dos problemas de segurança na plataforma Android é diretamente causado pelo seu mau uso. Assim como existem padrões de código que geram aplicativos vulnerável, existem padrões de ataque que podem ser empregados para atacar estes aplicativos. Nesta apresentação serão apresentados alguns destes padrões de ataque que podem ajudar no processo de teste de segurança de um aplicativo alvo além.Por fim, será descrito em detalhes os mecanismos de segurança que podem proteger a comunicação entre processos, "

Rodrigo Chiossi
11:10 às 12:00 Teste de segurança em Web Applications (OWASP ZAP)
Teste de segurança em Web Applications (OWASP ZAP)
Luis Asensio Alves Garcia
"Será apresentado a ferramenta OWASP ZAP que é um proxy que analisa o comportamento da aplicação e mostra as vulnerabilidades que possam existir. Dentro do ciclo de desenvolvimento e principalmente no momento dos testes é uma ferramenta que pode ajudar na qualidade da aplicação. Agenda: - O que é o OWASP - Apresentação da ferramente OWASP ZAP - Instalação e configuração básica - Testes funcionais e relatório de vulnerabilidades."

Luis Asensio Alves Garcia
12:00 às 13:00 Intervalo para almoço*
13:10 às 14:00 Mercury: framework para análise de aplicações Android
Mercury: framework para análise de aplicações Android
Glauco Junquera / Luander Michel Ribeiro
"Mercury é um framework utilizado para análise de aplicações e dispositivos Android. Ele utiliza técnicas de análise estática e dinâmica para identificar possíveis vulnerabilidades, além de permitir a execução de exploits já conhecidos. O foco da palestra é apresentar a ferramenta, sua utilização e as contribuições e desafios dos palestrantes no processo de desenvolvimento deste framework." "Conteúdos abordados serão: * Segurança nas aplicações Android; * Como analizar a segurança de uma aplicação Android; * Overview do Mercury framework; * Fazendo uso do Mercury na análise de uma aplicação; * Contribuições para o Mercury open source;"

Glauco Junquera / Luander Michel Ribeiro
14:10 às 15:00
Kernel Insecurity Vectors
Kernel Insecurity Vectors
Alan Silva / Carlos Carvalho
O estudo das falhas de segurança pode ser tão geral quanto um overflow em qualquer programa ou tao específico quanto defeitos na implementação do modulo X na versão Y da máquina virtual Z do fabricante W. Neste trabalho serão demonstradas algumas falhas de segurança e métodos de exploração de kernel usando como base o linux, onde será feita uma apresentação da arquitetura, revisando algumas técnicas já conhecidas, e com isso tentar encontrar um caminho que resulte em novos métodos para explorar essas falhas, que são denominadas vetores de exploração.

Alan Silva / Carlos Carvalho
15:00 às 15:30 Coffee-break & networking
15:40 às 16:30 Codificação segura em C para sistemas embarcados
Codificação segura em C para sistemas embarcados
Henrique Persico Rossi
Linguagem C? Por que usá-la? Bem...a mesma está em grande uso, tanto que ocupa a primeira posição no índice TIOBE de Junho/2013, e vem se destacando desde a década de 1970, época de sua criação! A área de sistemas embarcados abraçou essa causa e ?de vez em quando? nos deparamos com alguns ?bugs? em equipamentos eletrônicos. Como corrigí-los e prevení-los, agregando segurança ao sistema, é o que veremos nessa palestra. Escovação de bits numa linguagem bem clara! Alguns dos tópicos que abordaremos: Erros comuns em uso de ponteiros; Alocação estática ou dinâmica? Para sistemas embarcados é diferente?; Sistemas bare-metal e baseados em sistemas operacionais; Usando o heap e stack com moderação; Alguns padrões de codificação existentes (MISRA-C, CERT-C e Netrino); Testes unitários; Conhecendo bem o seu compilador; Uso de ferramentas de análise estática (splint) e dinâmica (valgrind e DUMA).

Henrique Persico Rossi
16:40 às 17:30 (S+ALM) + (S+SDLC): Alguns puzzles holísticos de AppSec, sem racha-cuca, ou não? (STADIUM)
(S+ALM) + (S+SDLC): Alguns puzzles holísticos de AppSec, sem racha-cuca, ou não? (STADIUM)
Alberto Fabiano
O cenário de ameaças de segurança mudou drasticamente, sendo-se que a preocupação em evitá-las deve ser parte essencial do Application Lifecycle Management e do Software Development Life Cycle, que com security mindset devem tornar-se S-ALM e S-SDLC. Porém a inclusão de uma palavra no acrônimo, pode parecer que segurança é mais uma etapa isolada dentro do processo, sendo uma armadilha cognitiva que acaba sendo um grande vetor de falhas. Visando oferecer uma solução holística, o S-SDLC (Secure Software Development Life Cycle) e o S-ALM (Secure Application Lifecycle Management) devem ser mais que um conjunto de procedimentos, mas uma mudança cultural e comportamental dentro de um time de desenvolvimento e de uma empresa. Mantendo foco no que tange ao time de desenvolvimento, nesta palestra apresentaremos suas etapas, acima de tudo tendo foco na redução da superfície de ataque e dos riscos gerados em tempo de desenvolvimento.

Alberto Fabiano
17:40 às 18:30 Q & A: Hulk Smash & Um Pica-pau também - E agora, quem poderá nos salvar?
Q & A: Hulk Smash & Um Pica-pau também - E agora, quem poderá nos salvar?
Alberto Fabiano / Alan Silva
Slot altamente interativo, para você não sair da trilha com aquele ponto de interrogação cavalar, a pretensão é atender aquelas tuas perguntas pertinentes sobre AppSec que ainda ficaram sem respostas. Seja de código nativo, gerenciado ou imaginário, independente da arquitetura, plataforma ou camada de aplicação. E se você for um bem aventurado que tenha uma resposta para uma pergunta não realizada, abrimos este espaço para você compartilhar com todos!

Alberto Fabiano / Alan Silva
18:40 às 19:00 Encerramento e sorteios

* Todos os participantes receberão um sanduíche na hora do almoço

Obs.: Grade sujeita a alteração

Alberto Fabiano

Alberto Fabiano


Na estrada de TI há mais de 20 anos, é especialista em desenvolvimento e segurança da informação, atuou no desenvolvimento de várias sistemas, esteve envolvido com telematics security e sistemas de localização, security intelligence, embedded system, tendo participado da definiação de arquitetura e desenvolvimento de sistemas de segurança nacional. Técnico em Eletrônica e Bacharel em Ciência da Computação, realizou especializações em Segurança da Informação. Também atuou no campo de análise de malwares, ameaças digitais e ataques direcionados, tem focado sua atuação no campo de application security e sistemas embarcados.


Alan Silva

Alan Silva


MiniCV: Alan Silva é Solutions Architect na Cloudera atuando na pesquisa e desenvolvimento para criação de novas soluções usando Hadoop. É pós-graduado em Criptografia e Segurança de Redes pela UFF e Mestre em Ciência da Computação pela UFSCar. Possui experiência em integração de sistemas, criptografia, protocolos de rede, sistemas distribuídos, segurança de aplicações e desenvolvimento de software seguro. Recentemente, Alan criou a startup Brainboss, empresa especializada em Data Science, Segurança da Informação e com foco em serviços de consultoria e desenvolvimento de soluções inovadoras.



Luander Michel Ribeiro

Luander Michel Ribeiro


"Luander é engenheiro na Samsung SIDI em Campinas. Onde faz parte do time de desenvolvimento e pesquisa na área de segurança da plataforma Android. Contribuiu com o projeto open source Mercury, além de participar na análise da segurança de várias aplicações dos smartphones Samsung."


Alberto Fabiano

Alberto Fabiano


Na estrada de TI há mais de 20 anos, é especialista em desenvolvimento e segurança da informação, atuou no desenvolvimento de várias sistemas, esteve envolvido com telematics security e sistemas de localização, security intelligence, embedded system, tendo participado da definiação de arquitetura e desenvolvimento de sistemas de segurança nacional. Técnico em Eletrônica e Bacharel em Ciência da Computação, realizou especializações em Segurança da Informação. Também atuou no campo de análise de malwares, ameaças digitais e ataques direcionados, tem focado sua atuação no campo de application security e sistemas embarcados.


Glauco Junquera

Glauco Junquera


"Glauco Junquera é um engenheiro de software na Samsung SIDI, onde trabalha com análise de segurança para as plataformas Android e Tizen. Também já trabalhou com desenvolvimento de aplicações e de soluções MDM para dispositivos móveis."


Luis Asensio Alves Garcia

Luis Asensio Alves Garcia


Analista e desenvolvedor de sistemas que trabalha com desenvolvimento a mais de 14 anos. Conhecedor nas linguagens: Clipper, Delphi, .Net (asp,c# e vb.net) e Java. Certificações em SCJP 1.4 (Java), MCPD em ASP.NET Developer 3.5 (Microsoft) e CISSP Candidate. Atualmente se dedica a desenvolvimento seguro, onde atua como analista de segurança em uma grande empresa de mídia na área da segurança da informação. Nas horas vagas dedica-se a duas paixões: video-game e mixagem.


Carlos Carvalho

Carlos Carvalho


"Programador C e C++, usuário Linux desde 2000. Programador low level e hoje trabalha exclusivamente para a MIT em Cambridge-MA com o projeto CryptDB, que permite SQL queries em dados criptografados."


Henrique Persico Rossi

Henrique Persico Rossi


Engenheiro Eletrônico (2005) e pós-graduado em Engenharia de Software (2012). Possuo mais de 11 anos de experiência em desenvolvimento de firmware (linguagens C, C++ e Assembly) para sistemas embarcados. Atualmente sou um dos administradores do portal Embarcados e atuo como consultor/desenvolvedor na área de sistemas embarcados.


Alan Silva

Alan Silva


MiniCV: Alan Silva é Solutions Architect na Cloudera atuando na pesquisa e desenvolvimento para criação de novas soluções usando Hadoop. É pós-graduado em Criptografia e Segurança de Redes pela UFF e Mestre em Ciência da Computação pela UFSCar. Possui experiência em integração de sistemas, criptografia, protocolos de rede, sistemas distribuídos, segurança de aplicações e desenvolvimento de software seguro. Recentemente, Alan criou a startup Brainboss, empresa especializada em Data Science, Segurança da Informação e com foco em serviços de consultoria e desenvolvimento de soluções inovadoras.



Rodrigo Chiossi

Rodrigo Chiossi


Rodrigo é engenheiro de segurança no Instituto de pesquisa da Samsung em Campinas, onde trabalha a 3 anos com segurança em dispositivos Android. Fundador do projeto AndroidXRef, membro ativo das comunidades de segurança SmashTheStack e OverTheWire e membro do hackerspace de Campinas (LHC). Custuma participar de CTFs de segurança pelo time Binary Bandits.




Público Alvo

- Desenvolvedores de Sistemas e Softwares Aplicativos. - Testadores de Softwares e de Qualidade - Gerentes de Projetos, Desenvolvimento, Qualidade e todos profissionais de TI Interessados em Aprofundar seus Conhecimentos em Segurança de Aplicação


Atenção

Não haverá devolução do valor pago após realização da inscrição.



Fotos do Dia

Confira abaixo, as fotos que foram registradas no dia desta trilha.

Picasa | Link Direto

Facebook | Álbum

Página com todos os Álbuns


Data e Local

Sexta-feira, 12 de Julho de 2013

Das 8:00 às 19:00 h

Universidade Anhembi Morumbi

Rua Casa do Ator, 275
Itaim Bibi, São Paulo - SP

Mais informações


Patrocinadores TDC 2013 São Paulo Grupo de Software da Intel Oracle Technology Network Microsoft IBM DevMedia InfoQ Brasil Amazon Web Services Google Resource Solutions JetBrains UOLHOST Websolute Triangulum Soluções Webgoal Firefox OS TQTVD Octo Technology Unity Wildtech Farnell Newark Globalcode Anhembi Morumbi