Pela segundo ano consecutivo tive a honra de palestrar nesse que é um dos maiores eventos de Segurança de Informação do mundo. Dessa vez, aqueci as turbinas um pouco mais cedo, pois também ministrei um treinamento especial de dois dias sobre Advanced Disk Forensics, onde entupi a turma com clusters, tabelas de diretórios, milhares de atributos e inodes.
Como fiz no relato sobre o OWASP AppSec, não vou comentar sobre todas as palestras porque ando muito indisciplinado e não anotei os detalhes. Repito também que provavelmente farei injustiça a alguns, podendo deixar de comentar alguma coisa que com certeza foi bacana, mas como dizia um antigo chefe, quando reclamávamos de algo: "Quem foi que disse que a vida é justa ????"
Primeiro dia, Luiz Eduardo começou impressionando por levar um assunto bastante maduro. Comentou uma série de pontos que estão ocupando recorrentemente as listas de discussão brasileiras. Logo também pela manhã, recebi a missão de falar após o break. Precisei dar alguns golpes no datashow, que não se entendia de jeito nenhum com meu notebook, mas no fim, mostrei quem mandava ali: ele. Tive de trocar para o cabo HDMI e ficamos em paz. Minha palestra teve por base uma frase muito comum e bem conhecida por muitos peritos e investigadores em Computação Forense: "Sinto muito, não temos nenhum log disso aqui". Meu foco foi mostrar vários vestígios comuns, seja ao Sistema Operacional, ao sistema de arquivos ou mesmo a aplicações, que podem nos orientar e até mesmo servir como logs do que aconteceu na máquina. Acontece que me empolguei quando estava criando os slides e ao invés de uma apresentação, ao final eu estava quase que com um livro em PPT. Temendo que todos dormissem copiosamente durante a palestra, usei toda a psicologia aprendida na caserna e me apresentei como um irado Capitão do Bope, pronto para ensacar quem cochilasse (a manipulação da foto que fiz estava tão tosca que fiquei feliz por não ter de ganhar a vida com o Photoshop). No fim, acho que deu certo e fiquei com uma platéia de corujas. :D
Quem me sucedeu foi meu camarada Anchises, que fez a palestra mais divertida do evento, sobre SCADA, FUD e o vulcão cujo nome ninguém soube pronunciar. Nem mesmo o próprio Anchises, que acabou se esparramando ao chão quando tentou.
Também no primeiro dia tivemos a presença do meu camarada multimídia Nelson Brito. Mantendo o padrão das músicas maneiras e da apresentação do ano passado, Nelson mostrou os resultados de sua nova pesquisa (como é que esse cara consegue ser bom de design e bom de assembler ao mesmo tempo ??? :O). Nelson apresentou como conseguiu otimizar absurdamente a performance de algumas operações simples a tal ponto de dar uma nova cara ao que já estava batido Denial of Service. Quem não viu, perdeu.
Almoço, restaurantes no entorno completamente lotados e lá estou eu retornando muito atrasado para o auditório, descobrindo que perdi a palestra do Fernando Fonseca, que muito me interessava, e a do Anderson, que sempre dá show e conduz muito bem suas palestras (há quem diga que ele começou a palestrar na maternidade :D).
Segundo dia começou bem, Wagner Elias falando sobre o HTML5, Spooker sobre PDFs maliciosos, Matthieu Suiche sobre as ferramentas da MoonSols (que ele criou) para captura de RAM (incluindo formatos de dump do BSOD e mesmo arquivos de hibernação), Jeremy Brown mostrou alguns detalhes muito interessantes sobre SCADA e um dos franceses mais carioca que eu já vi, Jonathan Brossard, mostrou uns truques sujos atacando a memória.
No fim das contas, o evento arrebentou, a organização dos meus amigos Balestra e BSDaemon contou bastante para o sucesso dessa edição, que tirando eu, só tinha gente fera. Como sempre acontece, saio do evento achando que cada vez preciso estudar mais para entender onde estão os vestígios dessas técnicas. O que é bom, claro.
Alguém gostaria de acrescentar algo, ou mesmo comentar as palestras que eu perdi ?
Até o próximo post !
segunda-feira, 29 de novembro de 2010
sábado, 20 de novembro de 2010
OWASP AppSec Brazil 2010
A conferencia mais importante sobre Segurança de Aplicações Web chega na sua segunda edição no Brasil. Dessa vez, Campinas foi o palco para grandes feras do assunto falarem sobre vulnerabilidades, ataques, defesas e investigações no mundo de aplicações Web.
Não vou colocar detalhes de cada palestra, até porque não consegui estar presente em todas elas. Ainda assim, correndo o risco de cometer injustiças e deixar de comentar alguma, vou falar das que pude estar presente e foram bem marcantes.
Robert "RSnake" Hansen falou sobre cookies e como esses pequenos e aparentemente ingênuos arquivos podem ser usados como vetor de ataque. Chris Hofmann falou sobre browsers e o que pode ser feito (ou, de certa forma, já está sendo feito) para torná-los mais seguros. Mano Paul fechou a primeira parte da tarde com uma excelente palestra sobre o mundo virtual e o mundo animal, com várias analogias muito interessantes entre o nosso dia a dia em InfoSec e outra parte onde ele é também especializado. Não, não tem nada a ver com tecnologia, o cara saca tudo de tubarões ...
Findo o break, este quem vos "fala", Tony "LTigre" Rodrigues falou sobre Computação Forense. Sim, de acordo com o Mano Paul, palestrante de InfoSec tem que ter um nome cool como o RSnake. Ele cunhou para si o Manu Shark Paul e eu vou na onda do Tony "LTigre" Rodrigues, esperando que a Kellogs não me processe ;)
Meu ponto de vista para a palestra foi o seguinte: Temos uma compilação dos maiores riscos para a segurança de aplicações Web, que é o OWASP Top Ten. Minha proposta foi comentar sobre os dez maiores vestígios normalmente localizados e procurados em casos de Forense de Aplicações. Criei o Tony's Computer Forensics Top Ten Artifacts.
O segundo dia foi bem interessante, e gostaria de destacar a excelente e divertida palestra do Samy Kamkar. Dotado de um enorme bom humor, Samy conseguiu juntar conhecimento técnico avançado em boas e divertidas doses na sua forma de apresentar. O conteúdo todo é uma grande mostra de como e onde se consegue chegar hoje em dia, explorando o client-side, cookies e companhia.
Para quem quiser acompanhar, os slides que usei na palestra estão disponíveis no meu SlideShare.
Alguém esteve por lá e gostaria de comentar ?
Até o próximo post !
Não vou colocar detalhes de cada palestra, até porque não consegui estar presente em todas elas. Ainda assim, correndo o risco de cometer injustiças e deixar de comentar alguma, vou falar das que pude estar presente e foram bem marcantes.
Robert "RSnake" Hansen falou sobre cookies e como esses pequenos e aparentemente ingênuos arquivos podem ser usados como vetor de ataque. Chris Hofmann falou sobre browsers e o que pode ser feito (ou, de certa forma, já está sendo feito) para torná-los mais seguros. Mano Paul fechou a primeira parte da tarde com uma excelente palestra sobre o mundo virtual e o mundo animal, com várias analogias muito interessantes entre o nosso dia a dia em InfoSec e outra parte onde ele é também especializado. Não, não tem nada a ver com tecnologia, o cara saca tudo de tubarões ...
Findo o break, este quem vos "fala", Tony "LTigre" Rodrigues falou sobre Computação Forense. Sim, de acordo com o Mano Paul, palestrante de InfoSec tem que ter um nome cool como o RSnake. Ele cunhou para si o Manu Shark Paul e eu vou na onda do Tony "LTigre" Rodrigues, esperando que a Kellogs não me processe ;)
Meu ponto de vista para a palestra foi o seguinte: Temos uma compilação dos maiores riscos para a segurança de aplicações Web, que é o OWASP Top Ten. Minha proposta foi comentar sobre os dez maiores vestígios normalmente localizados e procurados em casos de Forense de Aplicações. Criei o Tony's Computer Forensics Top Ten Artifacts.
O segundo dia foi bem interessante, e gostaria de destacar a excelente e divertida palestra do Samy Kamkar. Dotado de um enorme bom humor, Samy conseguiu juntar conhecimento técnico avançado em boas e divertidas doses na sua forma de apresentar. O conteúdo todo é uma grande mostra de como e onde se consegue chegar hoje em dia, explorando o client-side, cookies e companhia.
Para quem quiser acompanhar, os slides que usei na palestra estão disponíveis no meu SlideShare.
Alguém esteve por lá e gostaria de comentar ?
Até o próximo post !
quinta-feira, 4 de novembro de 2010
Computação Forense e Virtualização
O vídeo e o PDF da minha palestra no YSTS 4th Edition, em 2010, está liberado.
O objetivo dessa palestra foi abordar como a Computação Forense se relaciona com o conceito de Virtualização. Procurei abordar o tema em 3 visões distintas: A visão de um Perito que encontra um ambiente virtualizado para periciar, a visão de um Investigador Digital que usa ambiente virtualizado a seu favor, implementando técnicas e métodos baseados em máquinas virtuais, e também a visão do atacante, que usa máquinas virtuais para ações maliciosas, esperando diminuir os vestígios das suas atividades.
Comente suas opiniões sobre a palestra !
Até o próximo post !
sexta-feira, 15 de outubro de 2010
Anti Anti Forensics
O vídeo e o PDF da minha palestra no H2HC 6th Edition, em 2009, está liberado.
O objetivo dessa palestra foi abordar os principais conceitos e técnicas ligados à Anti-Forense, além de mostrar os vestígios que essas técnicas deixam. Outro ponto importante da palestra foi abordar que Anti-Forense não produz um crime perfeito, ao passo que Peritos também não possuem técnicas perfeitas. Essa "guerra" produz crescimento e amadurecimento das técnicas, no fim das contas.
Até o próximo post !
quinta-feira, 7 de outubro de 2010
Palestra confirmada no H2HC
Estarei presente no próximo H2HC, em Novembro. Além de ministrar um treinamento sobre Advanced Disk Forensics, vou palestrar sobre uma situação bastante comum no dia a dia dos "Forensicators", como temos sido chamado nos EUA e Europa. Será uma grande satisfação palestrar no mesmo evento que uma turma da pesada, assim como foi na edição do evento do ano passado.
A ideia da palestra é mostrar onde olhar e procurar por vestígios naquelas situações desesperadoras onde quem demandou a investigação digital te olha e diz: "Sinto muito mas não temos nada". Além de sentar e chorar, há algumas coisas que podemos fazer nesses casos e, em muitas vezes, podemos chegar plenamente a uma conclusão satisfatória.
Happy hours são bem-vindos !
Até o próximo post !
A ideia da palestra é mostrar onde olhar e procurar por vestígios naquelas situações desesperadoras onde quem demandou a investigação digital te olha e diz: "Sinto muito mas não temos nada". Além de sentar e chorar, há algumas coisas que podemos fazer nesses casos e, em muitas vezes, podemos chegar plenamente a uma conclusão satisfatória.
Happy hours são bem-vindos !
Até o próximo post !
quarta-feira, 6 de outubro de 2010
Curso no H2HC confirmado !
No final do ano teremos novamente a já tradicional conferência hacker H2HC, considerada por muitos a melhor conferencia hacker brasileira, junto com a YSTS. Ainda no ano passado, após a minha palestra, recebi um convite do meu amigo Felipe Balestra para pensar em um treinamento no estilo do H2HC, voltado para Computação Forense, logicamente.
Muito bem, as ideias foram chegando e finalmente chegamos em algo bem bacana. O curso foi confirmado, e vamos tratar sobre Análise Avançada de Discos e Sistemas de Arquivos.
Minha abordagem será em torno do Sleuth Kit, partindo desde seu uso mais elementar até chegar a alguns truques bem interessantes. Vamos ter uma parte teórica baseada nas estruturas de alguns FSs mais conhecidos e utilizados, e vou ensinar a automatizar o trabalho usando Perl, a linguagem-mãe para todos os peritos e investigadores. O objetivo não é ensinar a programar perl para uso genérico, sites web, etc, mas voltar seu uso para scripts uteis em Forense Computacional, principalmente a criação de parsers.
Haverá uma série de benefícios em atender a esse treinamento/seminário:
- Vai ser intensivo, com 16h/aula.
- Vai ser baseado em software livre
- Vai ter um custo bastante acessível
- Vai ser nos dois dias que antecedem a H2HC.
O último bullet é uma vantagem a mais. Para quem ainda não sabe, um dos Mega-Master-Plus-Super-Feras da Memory Forensics, Matthieu Suiche, simplesmente o cara que criou o Win32dd, o SandMan e outros, estará palestrando no evento e ministrará um treinamento sobre o assunto nos dois dias depois do evento. Ou seja, meu treinamento não passará por essa concorrência desleal ... ;D
E eu te aconselho a se inscrever nesse treinamento também.
Agora pode parar de ler o post e ir lá no site do evento fazer sua matrícula.
Até o próximo post !
Muito bem, as ideias foram chegando e finalmente chegamos em algo bem bacana. O curso foi confirmado, e vamos tratar sobre Análise Avançada de Discos e Sistemas de Arquivos.
Minha abordagem será em torno do Sleuth Kit, partindo desde seu uso mais elementar até chegar a alguns truques bem interessantes. Vamos ter uma parte teórica baseada nas estruturas de alguns FSs mais conhecidos e utilizados, e vou ensinar a automatizar o trabalho usando Perl, a linguagem-mãe para todos os peritos e investigadores. O objetivo não é ensinar a programar perl para uso genérico, sites web, etc, mas voltar seu uso para scripts uteis em Forense Computacional, principalmente a criação de parsers.
Haverá uma série de benefícios em atender a esse treinamento/seminário:
- Vai ser intensivo, com 16h/aula.
- Vai ser baseado em software livre
- Vai ter um custo bastante acessível
- Vai ser nos dois dias que antecedem a H2HC.
O último bullet é uma vantagem a mais. Para quem ainda não sabe, um dos Mega-Master-Plus-Super-Feras da Memory Forensics, Matthieu Suiche, simplesmente o cara que criou o Win32dd, o SandMan e outros, estará palestrando no evento e ministrará um treinamento sobre o assunto nos dois dias depois do evento. Ou seja, meu treinamento não passará por essa concorrência desleal ... ;D
E eu te aconselho a se inscrever nesse treinamento também.
Agora pode parar de ler o post e ir lá no site do evento fazer sua matrícula.
Até o próximo post !
terça-feira, 28 de setembro de 2010
Computação Forense no AppSec Brazil 2010
O que segurança de aplicações e Computação Forense tem em comum ?
Muitas coisas, e em novembro próximo haverá mais uma: Este investigador que vos escreve teve a felicidade de ver seu trabalho como um dos selecionados para serem expostos no OWASP AppSec Brazil 2010.
O OWASP dispensa apresentações. Ouviu Segurança em Aplicações, ouviu OWASP. Quase sinônimos hoje em dia. Pois bem, essa organização promove uma conferência anual de nível internacional em alguns países cujo capítulo da OWASP já esteja bem estruturado e atuante. No nosso caso, a conferência já vai para sua segunda edição, capitaneada pelo meu camarada Wagner Elias e outros pesos-pesados desse que é um dos principais domínios da Segurança de Informações.
Está dado o recado. Dias 18 e 19 de novembro, estarei por lá aprendendo muito e aproveitando a oportunidade para apresentar um estudo sobre Computação Forense e Segurança de Aplicações, dando uma abordagem bem no estilo do famoso OWASP Top 10 aos vestígios mais importantes em investigações envolvendo aplicações.
Deixe um comentário se você for aparecer por lá. Quem sabe não conseguimos juntar uma turma para um bom bate papo sobre Forense durante o almoço ?
Até o próximo post !
Muitas coisas, e em novembro próximo haverá mais uma: Este investigador que vos escreve teve a felicidade de ver seu trabalho como um dos selecionados para serem expostos no OWASP AppSec Brazil 2010.
O OWASP dispensa apresentações. Ouviu Segurança em Aplicações, ouviu OWASP. Quase sinônimos hoje em dia. Pois bem, essa organização promove uma conferência anual de nível internacional em alguns países cujo capítulo da OWASP já esteja bem estruturado e atuante. No nosso caso, a conferência já vai para sua segunda edição, capitaneada pelo meu camarada Wagner Elias e outros pesos-pesados desse que é um dos principais domínios da Segurança de Informações.
Está dado o recado. Dias 18 e 19 de novembro, estarei por lá aprendendo muito e aproveitando a oportunidade para apresentar um estudo sobre Computação Forense e Segurança de Aplicações, dando uma abordagem bem no estilo do famoso OWASP Top 10 aos vestígios mais importantes em investigações envolvendo aplicações.
Deixe um comentário se você for aparecer por lá. Quem sabe não conseguimos juntar uma turma para um bom bate papo sobre Forense durante o almoço ?
Até o próximo post !
Assinar:
Postagens (Atom)