09 de
Novembro
2019

Arthur Paixão a.k.a Scr34m0

Contos Eróticos de um App Vulnerável

Bio: Formado em Segurança da Informação pela UNIFG e Analise e desenvolvimento de Software pela UNIBRATEC. Atua como Offensive Security Leader no C6 Bank, nas horas vagas participa de campeonato de crossfit e brinca de fazer engenharia reversa em aplicativos mobile.

Resumo:Vocês se preocupam com a segurança dos apps mobile? Sua empresa tem um pipeline para deploy? A apresentação irá mostrar todos os riscos (de forma pratica) que um simples aplicativo mobile pode trazer para sua vida pessoal (e financeira) por não se preocupar com segurança.

Tópico geral: Mobile, Exploitation, P0rn Hacking

Bruno Oliveira a.k.a mphx2

Windows Objects Exploitation

Bio:Bruno Oliveira is MSc, computer engineer and Principal Security Consultant at Trustwave's SpiderLabs. During his career, always kept focus in offensive security, nowadays works full-time in penetration testing at Trustwave and still spends some extra (good) time on RE and exploit development. Spoken previously in many conferences around the globe as H2HC, YSTS, SHA2017, BlackHat, SOURCE, HackInTheBox, Ekoparty, THOTCON, AppSec USA, etc.

Resumo:This preso will drive the audience to know and understand some of the Windows objects that can be utilized during a kernel exploitation. Since the kernel holds every information regarding all aspects from the userspace, it is interesting to observe attack possibilities that could be done while on this privileged area using only a single "write".

Tópico geral: Windows objects, Exploitation, Kernel, Operating Systems

Ighor Augusto a.k.a. F0rb1dd3n

TBA

Bio: Independent Security Researcher

Resumo:

Ricardo Pereira a.k.a L0gan

macOS Hacking Trick

Bio:Especialista de segurança com mais de 15 anos de experiência, entusiasta em pesquisas sobre malware, pentest e engenharia reversa. Possui sólido conhecimento em segurança de redes, hardening e tunning em várias plataformas, tais como Windows, Linux, macOS e Cisco. Contribui para a comunidade Slackware Brasil (Slackshow e Slackzine) e integra o Staff dos eventos: H2HC, SlackwareShow e Bsides SP.

Resumo:Esta apresentação é baseada em uma pesquisa que publiquei em 2015 que tratava de malware do tipo mach-o, e o aumento de visibilidade do macOS como novo alvo. Nesta nova pesquisa, a ideia é mostrar algumas dicas sobre internals, kernel e principais ameaças que o macOS vem enfrentando.

Tópico Geral: macOS, Operating Systems, Internals, Kernel

Silton Santos

Windows Privilege Escalation - Abusing with Symbolic Links

Bio: Tecnólogo em Redes de Computadores com espeacilização em Segurança da Informação é analista de segurança da informação na Tempest Security

Resumo: Nesta apresentação farei um overview dos tipos de Links Simbólicos existentes no Windows e como se utilizar desse recurso para exploração e escalação de privilégios em aplicações que em tese eram para implamentar segurança.

Tópico geral: Windows, Exploitation, Symbolic Links

Willian Mayan a.k.a Pupilo

Command Control Center(C³)

Bio: Graduado em ciência da computação, atuando há mais de 10 como sysadmin, security analyst and reasearcher. Atualmente security engineer pela Blaze Information Security. Realizando atividades como pesquisas relacionadas a automação de coletas de evidencias, automação de infraestrutura para red team, testes de invasão em escopos web, mobile, infraestrutura, desenvolvimento de dispositivos para testes físicos. Co-organizador da Nullbyte Security Conference em Salvador/Bahia.

Resumo: Durante o ano de 2019 estive envolvido como operador para red team e equipes de pentest com objetivo de prover os recursos necessários para a execução dos ataques envolvendo serviços de phishing, criação de dispositivos, e ambientes de C2 entre outras atividades. A partir desta atividade, sigo o desenvolvimento de uma pesquisa de C3 (Command Control Center), com o objetivo de agregar cenários de ataques e interações entre ferramentas. Esta apresentação consiste em demonstrar todo o processo realizado na pesquisa até então: resultados, problemas e próximos passos.

Tópico geral: Red Team, Exploitation

Vinicius Moraes a.k.a d3lay

Neo4j - Cypher Injection

Bio: Graduando em Ciências da Computação pela UFPE, trabalha atualmente na Tempest Security como estagiario na área de Pentest com foco em aplicações Web.

Resumo: Nessa talk será demonstrado um tipo de code injection, com a linguagem Cypher no banco de dados Neo4j e algumas possibilidades de exploração a partir disso.

Tópico geral: Web Exploitation, Code Injection, Neo4j, Cypher