you sh0t the sheriff V
Agenda
Brazilian beaches, Brazi1ian breaches - How data leaking are feeding the local (cyber)crime - Fabio Assolini
Using Reputation to secure the endpoint - Gerry Egan
Rolling the Dice - Como ganhar com o risco - Fernando Fonseca
Getting Past the Obvious Stuff in Targeted and Zero-Day Malware Hunting - Gary Golomb
C&C Traffic Over HTTP - Alex Kirk
Fast Fundamentals of Lockpicking - Deviant Ollam
Projeto MUFFIN de Resposta a Incidentes. Uma receita para causar indigestão nos malwares - Tony Rodrigues
Distributed Denial of Service: War Stories from the Cloud Front - Michael Smith
AYDABU - All Your Directory Are Belong to Us - Jerônimo Zucco
Infosec Arena - Você e Anchises Moraes Guimarães de Paula
Brazilian beaches, Brazi1ian breaches - How data leaking are feeding the local (cyber)crime
_marcos aguarda a esposa dentro do seu carro - um porshe ultimo modelo. Enquanto isso nao percebe o cidadao na rua anotando num pedaco de papel o numero da sua placa. 2 dias depois marcos tem sua casa invadida, carro e 10 mil dolares roubados.
_marta recebe um email do seu banco. A mensagem bem escrita traz seu nome completo, numero do cpf, nome da mae, e pede que efetue um recadastramento da conta. Ela clica. Depois de 3 horas 2 mil reais sao roubados da sua conta corrente.
_moacir sempre pedia nota fiscal nas suas compras. Depois de tanto junta-las, vai ate o site do governo para cadastrar-se e receber alguns poucos reais do programa de incentivo. Depois de preencher os dados necessarios recebe um aviso do sistema que ja ha um cadastro com seu nome. Um desvio de 53 mil reais.
O que essas historias tem em comum? Todos foram vitimas de incidentes envolvendo vazamento de dados pessoais. Esses vazamentos ocorridos em empresas e ate mesmo no governo tem alimentado o crime e o cibercrime no Brasil de uma maneira nunca vista.
Fabio Assolini Malware researcher at kaspersky lab and linhadefensiva.org
Using Reputation to secure the endpoint
Today the average piece of new malware only infects twenty machines before it mutates. Because of the incredible growth in the amount of malware now being produced, signature based protection has reached a tipping point. Signatures alone are not enough. Firewalls, intrusion protection and behavior blocking all play critical roles in stopping malware, but they need help too. Reputation can be used to identifies and stop unknown threats as well as provide a new weapon against false positives. This talk will cover the genesis of Reputation technology and how Symantec is starting to use it to fight the spread of highly polymorphic malware.
Gerry Egan is a director of product management for the Security Technology and Response (STAR) Group at Symantec. Egan's team supports a worldwide group of security engineers, threat analysts and researchers that provide the underlying functionality, content and support for Symantec's corporate and consumer security products. Egan manages and orchestrates the delivery of industry-leading solutions that help individuals and enterprises secure and protect their information.
Prior to joining the STAR group, Egan was a member of the Research Labs - Advanced Concepts team at Symantec where his primary role was to identify, develop and test market new technologies. Egan is known for being hands-on and collaborative with engineering teams to ensure project requirements are in place, deliverables are met and the customer base has the security software they require. Before Egan joined Symantec in December 2004, he was Co-Founder and President of Lumos Technologies Inc, a Santa Monica based firm, which was acquired by Micromuse, Inc., and is now part of IBM. Egan earned a B.A. in mathematics and a B.E. in computer engineering from the University of Dublin, Trinity College.
Rolling the Dice - Como ganhar com o risco
Jogando dados com um casal de amigos americanos (Alice e Bob), fui questionado porque eu ganhava absolutamente todas as partidas, sendo que acabara de conhecer as regras. Eu naturalmente media todos os riscos e oportunidades antes e continuar jogando, e as planilhas guardadas demonstram claramente que Bob assumia riscos demais (perdendo tudo várias vezes), e Alice de menos (ganhando pouco a cada rodada).
Fazer FUD para profissionais de segurança seria uma tarefa banal, pois todos são (por natureza ou hábito) avessos ao risco, e quase desconhecem a palavra oportunidade (risco positivo). O objetivo da palestra é demonstrar de forma divertida porque não podemos ficar no caminho quando a empresa precisa assumir riscos para atingir seus objetivos de negócio, e como devemos manter esse risco em um nível que maximize seus ganhos.
Fernando Fonseca, Vice-presidente do ISSA Brasil Chapter,Consultor de segurança da informação certificado CISSP-ISSAP, ISMAS, ISFS, Security +, MCSO, MCT e MCSE Security. Diretor de comunicação do capítulo ISSA Brasil entre 2006 e 2010, tendo atuado como gerente de conteúdo da Módulo Security, coordenador de treinamentos na Techbiz forense digital, e consultor de segurança na Microsoft, onde foi responsável pelo conteúdo dos programas Academia de Segurança da Informação, Technet Security Experience e do Fast Start Security da Microsoft.
Getting Past the Obvious Stuff in Targeted and Zero-Day Malware Hunting
The hallowed ground of kick--‐ass, targeted and zero--‐day malware hunting previously has been reserved for the few security researchers who either were lucky enough to stumble upon something truly unique, or those who spend their time collecting and reversing large amounts of samples from lots of fed up public and private enterprises whose useless anti--‐ malware solutions had completely failed. In a world where incident response team members responsible for finding bad juju on enterprise networks are fighting a seriously uphill battle, we can’t spend anywhere from 2 to 4 hours analyzing each piece of suspect malware. Real--‐time / runtime analysis on suspect binaries on the host is challenging due to injection, hooking, and other adversarial subversion techniques. Static analysis on the host is equally a pain because static traits of packed and obfuscated malware too closely matches those of legitimate binaries. Looking up all kinds of information across the global security community is valuable – but what really matters in this mess of data? And what about sandboxing? – What are the pros and cons and where does sandboxing fall on its face? This technical session will show YSTS attendees how to improve their malware hunting game and dramatically shrink the time required to identify and prioritize zero--‐day and targeted malware using the correct combination of four automated techniques: file (static) analysis, network forensics, community reputation and sandboxing.
Gary Golomb is a Principal Security Researcher at NetWitness Corporation, and served as founder and CEO of Proventsure, director of R&D and Competitive Intelligence at Enterasys Networks, and lead IT Forensics Investigator for the George Washington University (GWU). At GWU, Gary led projects analyzing thousands of the university's computers for Personally Identifiable Information, security configuration, and policy compliance, and network detection of malware and policy and regulation violations. Academically, Gary worked in the field of bioinformatics, proteomics, and pharmacogenomics at GWU, and created innovative algorithms for protein identification used in synthetic biomaterials and genome mapping. Gary served in the U.S. Marine Corps as a Recon Marine in a direct action platoon in the 2nd Force Recon Company and deployed internationally as part of the Special Operations team of the 24th Marine Expeditionary Unit. Gary has developed numerous groundbreaking techniques for detecting various types of data and activity in data in motion and data at rest.
C&C Traffic Over HTTP
After Sourcefire's acquisition of the ClamAV project in 2007, the Sourcefire Vulnerability Research Team (VRT) gained access to the ClamAV malware submission database, which currently takes in tens of thousands of unique malware samples per day. Consistent with the VRT's primary focus on network traffic, I created a setup to automate collection of that traffic from boxes infected by samples from the ClamAV database (see http://vrt-blog.snort.org/2011/02/blacklistrules-clamav-and-data-mining.html for details), which has generated over a terabyte of malicious traffic to date.
One of the more interesting pieces of data in this sample set is command and control traffic for various botnets. This presentation will explore a pair of methods for generically detecting C&C traffic sent over HTTP (a common vector for modern malware, as almost all firewalls allow outbound connections on port 80), and show their relative success after testing them with this sample data, and later standard corporate network traffic. The first method involves examining non-HTTP traffic on TCP port 80; the second method involves HTTP POST requests and responses, regardless of port, where the data sent to or from the server is mismatched with its declared type. Real-world samples will be used to demonstrate throughout.
In addition, the presentation will be sprinkled throughout with humorous and ridiculous behavior observed during the course of this investigation.
Alex Kirk is a senior researcher with the Sourcefire Vulnerability Research Team (VRT), and the head of that group's Awareness, Education, Guidance, and Intelligence Sharing (AEGIS) program, which is designed to increase direct collaboration between Sourcefire customers, the Snort user community, and the VRT in the interests of improved detection and coverage. In his 7 years with the VRT, Alex has become one of the world's leading experts on Snort rules, and has honed skills in reverse engineering, network traffic analysis, and systems security. He recently contributed a pair of Snort-related chapters to "Practical Intrusion Analysis: Prevention and Detection for the Twenty-First Century," and is a regular contributor to the widely-read VRT blog (http://vrt-sourcefire.blogspot.com/). His current major technical project at Sourcefire involves automated collection of network data generated by malicious binaries, and analysis of that data for detection purposes.
Fast Fundamentals of Lockpicking
Deviant Ollam - TOOOL
Projeto MUFFIN de Resposta a Incidentes. Uma receita para causar indigestão nos malwares.
Uma Resposta a Incidentes eficiente depende de atenção na preparação do kit de ferramentas que serão usadas e da equipe. Vamos discutir sobre as principais ferramentas e kits de IR Open Source, suas potencialidades e pontos fracos. Tony Rodrigues, o Perito-Aprendiz de Cozinheiro vai ensinar como assar o MUFFIN, uma receita de um kit de Incident Response para causar indigestão nos malwares que estão rondando por aí.
Tony Rodrigues é um profissional certificado CISSP, CFCP, Security+, ACFCP e MCSD com mais de 20 anos de experiência em TI e 8 anos em Gestão de Segurança de Informações, tendo liderado várias investigações, perícias e pesquisas sobre Computação Forense. Tony é consultor em Segurança de Informações, membro da Comissão de Crimes de Alta Tecnologia da OAB-SP e já palestrou em importantes conferencias internacionais (YSTS, H2HC, OWASP, CNASI). Criou o primeiro treinamento em Computação Forense do Rio de Janeiro, formando peritos em várias organizações incluindo Polícia e Ministério Público. Tony é autor/criador do blog forcomp.blogspot.com, sobre Resposta a Incidentes e Forense Computacional, e também colabora com artigos no blog de Computer Forensics da SANS.
Distributed Denial of Service: War Stories from the Cloud Front
Due to the rise of large-scale botnets and the proliferation of tools, Distributed Denial of Service (DDoS) is making a resurgence, both in attacker capabilities and the impact on target organizations. This presentation is an overview of DDoS attacker capabilities and techniques, defenses against attacks, and lessons learned from responding to numerous DDoS attacks.
The session will cover a very brief description of the Akamai distributed network and a discussion of the history of Akamai's involvement with DDoS mitigation. The session will then dive into the following areas: threat capabilities, tactics, and tools; failure patterns during a DDoS attack; preparation prior to an attack; a case study on the July 4th, 2009 DDoS attack against US networks; a case study on the Anonymous DDoS attacks against the RIAA and MPAA in September and October 2010; and an active defense to an ongoing, targeted DDoS attack. The focus will be on lessons learned that organizations can reproduce in their own environment.
Michael Smith, CISSP-ISSEP, Security Evangelist - Akamai Technologies
AYDABU - All Your Directory Are Belong to Us
O OpenLDAP (http://www.openldap.org) é uma implementação livre e de código aberto do Lightweight Directory Access Protocol (LDAP), distribuído por uma licença equivalente ao BSD, e que funciona em múltiplas plataformas, além de possuir diversos programas clientes ompatíveis que utilizam as informações disponibilizadas no diretório para os mais diversos fins, como consulta à catálogo de endereços, autenticação, validação de grupos, etc. Muitas distribuições Linux e *BSD incluem o software OpenLDAP inclusos. Esses fatores tornaram o OpenLDAP um modelo popular de diretório, além de sua capacidade de expansão de funcionalidades e sua performance além de suporte à replicação.
Essa apresentação irá demonstrar que a popularização do OpenLDAP está expondo empresas à novos problemas de seguranças, devido a diversos fatores, como:
- Implementação com configurações padrões, tanto do software vanilla quanto o disponibilizado através das distribuições Linux e *BSD, que em sua configuração default não leva em consideração uma série de fatores críticos para a segurança;
- Não utilização de criptografia para uso de dados sensíveis, como por exemplo autenticação;
- Utilização de criptografia de forma errônea, usando certificados não validados pelo cliente, expondo ao risco de não confirmação da autenticidade do servidor de diretório;
- Consulta à dados sem limites através de conexões usando credenciais anônimas ou uso de credencias que não teriam necessidade de acesso a grande quantidades de dados, muitas vezes expondo a base de diretório inteira para consulta;
- Ausência ou má configuração de ACLs (Access Control List), já que por padrão em muitas distribuições elas não vêm explícitas e ficando totalmente dependente da experiência e grau de conhecimento do implementador do diretório para sua configuração correta;
- Armazenamento da base de dados do diretório com permissões incorretas no sistema operacional;
- Excesso de permissões à usuários anônimos ou sistemas;
- Não utilização de timeouts de conexão, podendo levar à ataques de negação de serviço e esgotamento de conexões;
Jerônimo Zucco, Certificado CISSP, graduado em Ciência da Computação pela UCS e pós-graduado em Gerência e Segurança de Redes de Computadores também pela UCS. Experiência com sistema operacional Linux desde 1998 e administrador de sistemas Unix desde 1994. À 10 anos envolvido com a área de segurança, desde firewalls até hardening de sistemas e serviços de rede, configuração de servidores web e resposta à incidentes de segurança. Membro do OWASP à um ano e voluntário na organização do OWASP Latin América 2011 que irá ocorrer em Porto Alegre em outubro desse ano. Operador do canal #securityguys no Freenode e ex-moderador da extinta lista Jobs. Hoje atua como Analista de Suporte e Professor na Universidade de Caxias do Sul, além de ser pesquisador independente na área de segurança e lecionar cursos relacionados à área para diversas empresas.
Infosec Arena
Anchises Moraes Guimarães de Paula, CISSP, works as Global Threat Intelligence Analyst at iDefense, a VeriSign company. He has almost 15 years of strong experience in Computer Security, and he had been worked as Security Officer in Brazilian telecom companies (Americel and Vivo) and also Security Consultant on local resellers and consulting firms. He has a Computer Science Bachelor degree from Universidade de Sao Paulo (USP) and a master degree in Marketing from ESPM and is CISSP, GIAC (Cutting Edge Hacking Techniques) and ITIL Foundations certified.