JampaSec 2018

Sobre

O JampaSec é um evento de Segurança da Informação e sua 4ª edição aconteceu no dia 03 de novembro de 2018 na Faculdade IESP em João Pessoa, Paraíba. O evento contou com profissionais da área de Segurança da Informação que trataram sobre os temas e tendências na área e com uma competição Capture the Flag (CTF).

Voltado para estudantes, profissionais e interessados em Segurança da Informação, o evento foi criado pela Katana Security e atualmente é organizado por uma equipe de entusiastas e profissionais de TI da cidade com o apoio da Faculdade IESP.

Edições anteriores: [2017] [2016] [2015]

Programação

Além das palestras o evento contará com uma competição Capture The Wave (CTW) e um mini-curso de Python.

8:00

Credenciamento
8:50

Abertura
09:00

Boas Práticas. Sua rede está realmente segura?
Rafael Galdino
Consultor de Redes e Telecom.

Boas Práticas. Sua rede está realmente segura?

A palestra envolve detalhes de configurações erradas que podem afetar e praticamente parar uma operação devido a oportunidades para ataques de negação de serviço. Bem como provar que simples atos podem ajudar inclusive que ataques não sejam efetuados em sua rede.
09:45

InfoSec Career Hacking: Tips and Tricks to go international (Online)
Magno Logan
Especialista em Segurança de Aplicações. Fundador do capítulo OWASP-PB e do JampaSec.

InfoSec Career Hacking: Tips and Tricks to go international

Magno irá falar sobre dicas de como trabalhar com segurança em outro país. Afim de se mudar para o Canadá? Irlanda? Austrália? Então você não pode perder essa palestra!
10:30

Covert Channel baseado em comportamento no protocolo HTTP e em redes Ethernet
Caio Lüders
Analista de Segurança.
Jogador de CTF pelo Epic Leet Team.

Covert Channel baseado em comportamento no protocolo HTTP e em redes Ethernet

A palestra visa apresentar uma nova categoria de covert channel, onde os dados não ficam armazenados nos pacotes ou no intervalo de tempo, mas sim na forma como cada protocolo é utilizado. Sendo assim, praticamente indetectável e adaptável à qualquer infraestrutura. Serão apresentados dois Proof of Concepts: o primeiro, mais específico, utilizando um servidor HTTP e o segundo, mais generalista, imita o comportamento habitual da rede alvo para trafegar informações sob qualquer protocolo.
11:15

A little bit about command injection flaws in web applications technologies (With a 0day bonus)
Keynote - João Matos
Pesquisador e desenvolvedor independente.
Autor da ferramenta JexBoss.

A little bit about command injection flaws in web applications technologies (With a 0day bonus)

In this talk we will explain some mechanisms that result in Command Injection flaws in web applications. As a case study, we will address flaws present in important Java ecosystem frameworks that have come to the mainstream recently. It will also show a 0day that was used in one of the steps needed to exploit an OS Command Injection in PayPal (and in other important vendors). Finally, we will discuss possible mitigation measures for such vulnerabilities.
12:00-13:30

Almoço
13:30

DisSECando o DevOps
Felippe Batista
Engenheiro de Segurança em Nuvem na Trend Micro.

DisSECando o DevOps

Mais e mais organizações estão adotando o DevOps e a automação para obter benefícios comerciais, como o release de novas features mais frequentes, maior estabilidade das aplicações e a melhor utilização dos recursos. No entanto, muitas ferramentas e operações de segurança não acompanharam essa onda. Na verdade, elas geralmente representam a maior barreira remanescente à entrega contínua.

Nesta talk, vamos trocar uma ideia sobre:
- Como podemos aproveitar os princípios de DevOps à segurança;
- Superando desafios em ambientes de DevOps;
- Melhores práticas para combinar DevOps com segurança.
14:15

Hardware Hacking na Prática
Erlon Dantas
Desenvolvedor e pesquisador
na área de IoT e Segurança.

Hardware Hacking na Prática

A palestra irá abordar técnicas de ataques usando embarcados como Raspberry Pi e Arduino, teoria e prática, abordando conceitos das técnicas e como aplicá-las em um ambiente real.
15:00

Segurança em GraphQL
Jodson Santos
Analista de segurança na Tempest Security Intelligence.

Segurança em GraphQL

GraphQL é uma linguagem de consulta para APIs bastante utilizada em grandes corporações. Na palestra serão demonstradas questões de segurança que um programador deve se preocupar e o que um pentester deve procurar e como procurar.
15:45

Smashing The Memory Protections
Keynote - Maycon Vitali
Consultor de segurança sênior pela SpiderLabs e pesquisador independente pela Hack N' Roll.

Smashing The Memory Protections

Em sua palestra Maycon irá esmiuçar um challenge de corrupção de memória que deve ser explorado em um cenário onde a maioria das proteções (DEP, ASLR e PIE) estão empregados. Então preparem-se para muita baixaria!
16:30-17:00

Encerramento

LOCAL

Faculdade IESP - Bloco F

BR-230, Km 14, s/n

Uma das menores e mais antigas capitais do Nordeste, João Pessoa reúne ruas arborizadas, orla preservada pela legislação que limita a altura dos prédios, povo hospitaleiro, belas praias e badalação light.

Para maiores informações sobre a cidade: Turismo João Pessoa.

CFP/CTF

Qual o período do Call For Papers (CFP)?

De 21 de maio à 03 de outubro de 2018.

Quais as áreas de interesse para o CFP?

- Exploit development techniques;
- Fuzzing and application security test;
- Penetration testing;
- Web application security;
- SDLC;
- Mobile security;
- Reverse engineering techniques;
- Rootkits detection and development;
- Wireless Security;
- Cryptography;
- "Obscure" networks security;
- Cloud Computing security;
- Continuous Integration security;
- Social Engineering;
- Hardware security.

Como submeto minha palestra?

Submeta sua palestra de 40 minutos via formulário.

O que é o CTF?

Capture The Flag é um tipo de competição sobre segurança da informação e existem algumas modalidades. Para melhor referência, acesse https://ctftime.org/ctf-wtf/. O JampaSec realizará com apoio da comunidade Darkwaves uma forma diferente de CTF, intitulada CTW (CAPTURE THE WAVE). CTW é uma competição individual que envolve conhecimentos em segurança de redes sem fio, assim como uma diversa gama de conhecimentos variados. Apresentando vários desafios e formas de acesso, permitindo que pessoas com conhecimentos básicos, possam participar.

Como funcionará o CTF/CTW?

O CTW é individual e para participar precisa ter sua inscrição realizada durante o evento. Será instalado no evento um equipamento de rede sem fio, padrão 802.11, para realização do CTW.
OBJETIVO: Conseguir acesso privilegiado no equipamento.
QUEM GANHA? O vencedor será o primeiro a alterar o SSID da rede sem fio do CTW para seu nickname.
O QUE GANHA? O vencedor ganhará um Raspberry Pi 3 Model B+.

Como me preparo para o CTF/CTW?

Primeiramente, tenha em mente dois pontos chaves:

1. Ingressar na rede sem fio do equipamento:
a) Você irá precisar de um adaptador wireless compatível com o modo monitor (https://www.aircrack-ng.org/doku.php?id=compatible_cards).
b) Quebrar senhas criptografadas;
c) Receptor FM. Se for utilizar o celular, lembrar de utilizar fones de ouvido COM fios. Celulares utilizam os cabos do fones de ouvido como antena;
d) Saber utilizar aircrack-ng.

2. Obter acesso privilegiado no equipamento:
a) Conhecimentos Linux;
b) Explorar vulnerabilidades em serviços (Fullstack);
c) Paciência;
d) Conhecimentos teóricos sobre segurança da informação.