12 de
Novembro
2022

Eduardo Alves aka vvgx3267

Vitor Fernandes aka rapt00r

Play-To-Earn: Hacking blockchain games for fun (and profit :P)

Bios:

Vitor Fernandes aka rapt00r: Crypto Security Enginner

Eduardo Alves: Analista de Segurança da Informação

Resumo:Com a popularização das criptomoedas, o termo Web 3.0 vem aparecendo cada vez mais bem como os NFTs. Um Token Nao Fungivel (NFT) é um tipo de token criptografico em uma blockchain que representa um ativo exclusivo. Geralmente é composto por uma peça colecionavel ou um ativo digital em um jogo. Dentro dos jogos NFT, um modelo mais novo, conhecido como play-to-earn (jogue para ganhar) permite que os jogadores recebam recompensas em tokens e, ocasionalmente, NFTs a medida em que jogam. Normalmente quanto mais se joga, mais se ganha. Através da coleta dos tokens e NFTs dentro dos jogos, é possivel "sacar" o dinheiro, através da venda dos itens em um marketplace, corretora ou plataforma de leilao. Há uma grande variedade de jogos NFT, um dos mais populares é o Axie Infinity. A maioria desses jogos estado nas blockchains BSC e Ethereum. Resumo: A palestra visa demonstrar exemplos praticos de exploragao de vulnerabilidades no mundo dos jogos NFT. Apesar de ser uma area relativamente nova, é possivel observar a presenca de falhas classicas que podem resultar em prejuízos financeiros.

Tópico geral: NFT, Games, Axie Infinity, Blockchain, Exploitation

Lucas Carmo aka Luriel

Hacking na blockchain, como ocorrem e quando acontecem?

Bio:Lider do time de R&D e Pentest da Hakai Offensive Security. Possui 7 anos de experiência em segurança ofensiva com foco em aplicações web e mobile, durante esse período obteve dezoito CVES em pesquisa de vulnerabilidades e certificações como OSWE e GMOB.

Resumo: A blockchain é uma tecnologia extremamente fascinante, sua área de atuação é extremamente vasta, podendo atuar em diferentes ramos das industrias, como por exemplo o bancário, entretenimento, logística, alimentação, música, corretagem, entre outras. Por conta de ser um tema novo e complexo, muitos códigos são criados de forma equivocada, visando o funcionamento e não a segurança por trás dos mecanismos. Nos últimos anos, os DApps vieram com o intuito de mudar o rumo do mercado, principalmente pela sua facilidade de uso e devido a isto, a auditoria é de suma importância para a identificação dos códigos vulneráveis, pois através deste mapeamento os desenvolvedores podem se precaver e evitar os piores cenários para seu Smart Contract. Esta palestra irá abordar o funcionamento das DApps baseados em Ethereum, a tecnologia por trás deles, suas vulnerabilidades mais comuns e os ataques mais rentáveis dos último tempos.

Tópico geral: Blockchain, Exploitation

Mateus Lino aka dctoralves

Another day another vulnerability

Bio:*OS security research

Resumo:A little history about RCE in WebKit

Tópico geral: RCE, Webkit, Exploitation

Silton Santos aka spider/bas

Hunting for Low-Hanging Fruit in applications at AWS environments

Bio: Pesquisador no Red Team da Stone Co.

Resumo:Brief talk about hunting low-hanging fruits in applications stored in AWS environments: a little bit about the granularity of a security policy setting and the risks that a bad configuration may cause, some classic bugs that can help the recovery of the accesskey and secretkey, and some post-exploitation procedures based on some red team operations.

Tópico geral: Cloud, AWS, RedTeam, Exploitation

Thauan Santos aka thau0x01

Vinícius Justino aka vdgonc

P0wning enterprises with Terraform 4fun & profit

Bios:

Thauan é ex-dev, shitposter e evangelista de blackhatagem para fins de red team.

Vinicius, operador de red team, Pacu Framework Operator e praticante da Black Hat DevOps Culture

Resumo: In this presentation we will show some useful techniques that can be applied on red team engagements for powning, backdoorign and persisting enterprises cloud environments using their own infrastructure as code (IaC) projects.In our approach we’ll show how to abuse terraform modules and providers to pown, exfiltrate credentials and persist access on enterprise’s CI/CD pipelines and cloud environments.

Tópico geral: IaC, Devops, RedTeam, Terraform, Exploitation

Vinicius Vieira aka V1n1v131r4

Cryptojacking in the wild on Google Chrome

Bio:Vinícius Vieira aka. v1n1v131r4 é pesquisador e pentester com mais de 16 anos de experiência, além disso é professor nos cursos de Cibersegurança na FIAP, Especialista em Guerra Cibernética, tem alguns CVEs e exploits publicados.

Resumo: Os ataques de cryptojacking tem crescido muito, principalmente por ser um meio mais stealh de se conseguir recursos através de um ataque. E neste cenário os principais browsers, como o Google Chrome, tem melhorado seus mecanismos de detecção e políticas de segurança para proteger os usuários, principalmente banindo da sua loja extensões maliciosas que realizem mineração em background. Mas será que estas técnicas tem sido efetivas? Existem ainda formas de bypass para submeter uma extensão válida na loja do Chrome e continuar realizando ataques de cryptojacking? Nesta talk falaremos de uma técnica que manipula o Content-Security Policy, bem como os mecanismos de análise de código do Google, com o intuito de criar e submeter uma extensão maliciosa válida para loja do Chrome.

Tópico geral: Browser, Chrome, Cryptojacking, Exploitation