Ysts 5 - Review

Quem foi que disse que não dá para melhorar o que já está excelente ? A turma da organização do YSTS mostrou que dá.

O ano passado já tinha sido ótimo, lugar legal, palestras super interessantes, mas o trio Willian Caprino, Nelson Murilo e Luiz Eduardo conseguiu se superar. O lugar foi ainda melhor, ambiente descontraído, e as palestras estavam super interessantes. Não posso deixar de destacar também o trabalho do staff, sempre disponíveis para ajudar (valeu o help, Rodolfo!).

O dia começou com uma palestra genial sobre lockpicking. Foi a primeira vez que assisti uma palestra sobre esse tema. Já tinha visto vários vídeos sobre o assunto, mas ao vivo é mais interessante e o palestrante, Deviant Allan, mandou bem. Acredito que o tema foi muito bem recebido, já que a área que foi disponibilizada para tentar as técnicas estava sempre cheia.

Segunda palestra do evento, nosso camarada brazuca Fábio Assolini trouxe algumas histórias macabras de roubo de identidade no Brasil. Como o Anchises mesmo twittou, deu medo ...

Alex Kirk veio em seguida trazendo o assunto de uso da porta 80 em canais c&c. Eu estava me preparando para a minha palestra e confesso que aproveitei pouco essa. Vou ler melhor os slides quando forem liberados.

O cheff Tony Rodrigues apresentou em seguida o projeto MUFFIN, uma técnica para se criar toolkits de resposta a incidentes que não tenham as fraquezas ou problemas que encontramos nos toolkits disponíveis atualmente. A apresentação foi muito positiva e varias pessoas já me procuraram querendo trabalhar projeto. Excelente ! Vou dedicar um post especificamente para o projeto e seus detalhes.

Seguindo a minha apresentação, tivemos Gerry Egan mostrando como a ideia de reputação pode ser usada para complementar a proteção pelos antivírus. Almoço, sobremesa, e recomeçam as palestras.

Anderson Ramos falou do histórico do projeto hackers construindo futuros e passou a bola para FerFon falar sobre riscos e como ganhar com eles. A palestra trouxe alguns questionamentos e, como o próprio Fernando comentou comigo, atingiu o objetivo de colocar a turma para pensar em algumas questões. Muito bom.

Michael Smith falou sobre ddos e suas diversas implicações, e foi bacana assistir ao assunto porque ao meu lado estava o Nelson Brito, mestre nesse tema.

Gary Golomb trouxe uma abordagem de forense baseada em rede e falou do Netwitness, um software excelente para esse fim. É tudo e mais um pouco, pena que tem custo altíssimo (há uma versão free, com capacidade reduzida).

A palestra do nosso camarada Zucco veio em seguida, mas eu já estava de partida para o aeroporto e não consegui assisti-la, bem como perdi o hilario Anchises no Infosec Arena. Tenho que vê-las em vídeo assim que ficarem disponíveis.

Fim do resumo, resultados super-positivos e mais um mega evento para a conta desse trio que está de parabéns.

Comentários ? Dê suas impressões sobre o evento !

Até o próximo post !

YSTS 5 e habilidades culinárias

O mais famoso evento etílico-hacker do planeta está chegando. Dia 16 de maio, algum bar bacana de São Paulo estará fechado e cheio de loucos falando sobre InfoSec, invasões, pentesting, forense e assuntos nessa linha.

Meu paper foi aceito e vou lançar no evento um projeto na linha de coleta de dados voláteis para resposta a incidentes.

O projeto MUFFIN surgiu a partir da observação das vantagens e desvantagens dos produtos existentes no mercado com essa finalidade: levantar os dados voláteis e o estado da máquina, coletando informações para analise. O MUFFIN tem lugar garantido nessa etapa e vai atuar exatamente onde os Live CDs e alguns outros deixam a desejar.

Um exemplo ? Quem já nao passou pela irritante situação de ter o antivirus bloqueando um utilitário legitimo de coleta, enquanto o próprio deixou passar o malware ? E quando o alvo da coleta ou triagem estava se protegendo com alguma ferramenta de anti-forense ? MUFFIN se propõe a tratar esses e outros problemas.

A turma também está preparando a Operação Aurora++. Não perca !

Quem for ao evento, dê um alô. É sempre bom falar de Forense e reencontrar amigos.

Até o próximo post ! 

Computação Forense e Virtualização

O vídeo e o PDF da minha palestra no YSTS 4th Edition, em 2010, está liberado.

O objetivo dessa palestra foi abordar como a Computação Forense se relaciona com o conceito de Virtualização. Procurei abordar o tema em 3 visões distintas: A visão de um Perito que encontra um ambiente virtualizado para periciar, a visão de um Investigador Digital que usa ambiente virtualizado a seu favor, implementando técnicas e métodos baseados em máquinas virtuais, e também a visão do atacante, que usa máquinas virtuais para ações maliciosas, esperando diminuir os vestígios das suas atividades.

Comente suas opiniões sobre a palestra !

Até o próximo post !

YSTS4 - Revendo

Descrever o YSTS não é tarefa fácil. Pense em uma combinação de boas palestras com bom público, e adicione uma organização impecável. Acabou ? Não ! O evento vai além, com um modelo inovador em um local bem escolhido, aliando networking e conhecimento técnico de ponta.

O evento começou com as palavras dos organizadores e, sem mais delongas, prosseguiu na palestra do Andrew Cushman, diretor da Microsoft. Andrew falou sobre o EMET e mitigação sobre alguns exploits usando esse toolkit. Mal a palestra dele terminou, entra em cena um tal de Tony Rodrigues, falando sobre Virtualização e Computação Forense. De olho no maldito cronometro (rs), eu falei sobre máquinas virtuais, seu crescente uso corporativo e como um perito/investigador digital pode ver essa tecnologia. Tratei de alguns aspectos em realização de Forense em máquinas virtuais, no uso de máquinas virtuais como ferramentas de trabalho, auxiliando o perito montando ambientes ou fornecendo praticidade à técnicas que já existiam, e por fim, comentei sobre como a praticidade de criação e destruição de máquinas virtuais pode ser usada por atacantes como anti-forense, além de algumas possibilidades de detecção dessas técnicas.

Nicholas Percocco, da SpiderLabs, mostrou logo em seguida o resultado do Global Security Report. Esse report seguiu a disponibilização de um paper sobre a pesquisa feita pelo grupo, após ter realizado em 2009 um considerável número de pen testes e investigações em incidentes. Foi um verdadeiro mapa de como anda a situação, nesse aspecto.

Breve intervalo para o bate papo e Alex Kirk, da SourceFire, vem falar sobre os novos avanços que a engine do Snort fez em detecção em client-side exploits, desde javascripts até os mais recentes PDFs mal formados. Logo depois, Luiz Firmino, do HSBC, fez uma das palestras que achei mais interessantes, comentando aspectos de rastreabilidade e resposta a incidentes em grandes corporações. Fiquei meditando em algo que Firmino comentou durante sua palestra, sobre ser importante que o líder do time de resposta a incidentes, que em geral é multidisciplinar e originário de várias áreas, receber a autoridade sobre a equipe no momento da crise. Já vi e também tomei conhecimento de crises que se alongaram por choques de poder entre o líder do CSIRT e o chefe de fato do membro da equipe. A bem da verdade, isso é mais um problema que aponta para a necessidade do comprometimento da alta gestão, deixando tudo devidamente apontado antes que um incidente aconteça.

Hora do almoço, open bar rolando e vamos para mais uma etapa. Chris Hoff (CISCO) falou sobre Cloud Computing, detalhando alguns aspectos ligados à segurança. Ryan Jones, também do SpiderLabs, fez uma palestra bem interessante sobre vulnerabilidades bem comuns na segurança física de datacenters. Cada coisa horripilante de ser encontrada, e com direito a fotos !

Joaquim Espinhara, pesquisador lá do Nordeste, veio com sua Pitu e seu framework sobre pen test para SAP. Mostrou algumas coisas bem interessantes, principalmente porque algumas empresas não investem tempo necessário para hardenizar adequadamente suas instalações ERP.

Antes que todos começassem a ver 3 palestrantes no palco ao mesmo tempo e falar "zuzzu bem", mais um intervalo e sobe o "mestre de cerimonias" Anchises (iDefense) para comandar o InfoSec Arena, uma inovação do YSTS4 que colocou a turma para debater temas escolhidos pelos próprios participantes, tudo com muito bom humor e algumas doses a mais de álcool :)

Fim do evento com chave de ouro promovido pela HCF (Hackers construindo futuros) e o tradicional leilão para levantar fundos.

That's it ! Se eu esqueci de algo, comentem !!

Até o próximo post !

You Shot The Sheriff 4

Um dos eventos mais comentados da comunidade de Segurança de Informações do Brasil vai ter sua nova edição. O YSTS 4 já tem data marcada e eu estarei lá para conferir. Aliás, não somente isso, porque estarei palestrando também !

O tema sobre o qual vou falar é Virtualização e Computação Forense. Minha idéia é falar sobre a reviravolta, no sentido mais positivo da palavra, que a virtualização trouxe para TI. Logicamente, onde há tecnologia, há formas de exploração e também benefícios. Vamos discutir sobre esse assunto por lá, em meio a altas concentrações etílicas e a possibilidade de virtualização da platéia também hehehe.

A agenda do evento está muito boa. Acompanhe maiores detalhes aqui. Além de Forense, vamos ter Cloud Computing, Segurança Física, Pen Test de SAP, Exploits avançados e outras coisas mais.

Vejo vocês lá, no dia 17 de maio. Quem vai ?

Até o próximo post !