Keynote Speakers
David "h1kari" Hulton
David Hulton está envolvido em hacking de wireless e dispositivos diversos nos últimos 5 anos e ativamente envolvido no mercado de segurança há 10 anos.
Depois de ajudar a fundar os encontros da famosa conferencia ToorCon no final da década de 90, ele mudou o seu foco e tornou-se conhecido por desenvolver ferramentas de código-livre como bsd-airtools, fazendo pesquisas extensivas em Wireless, Smart-Cards e ultimamente GSM, utilizando FPGAs para quebrar a criptografia utilizada por essas tecnologias.
Emmanuel Gosdstein
Emmanuel é o editor e um dos fundadores da revista 2600, a qual vem sido publicada desde 1984. Suas raízes de hacker residem na sua época de faculdade na State University of New York em Stony Brook no final dos anos 70. Na verdade, ele acabou sendo foco de uma invasao do FBI no campus em 1983. Ele também é o organizador principal da conferencia Hackers On Planet Earth, a qual acontece na cidade de Nova Iorque de 1994, levando milhares de hackers do mundo todo, onde compartilham suas histórias e habilidades técnicas.
Emmanuel comanda o único programa de rádio hacker nos Estados Unidos, na estaçao WBAI 99.5 FM da cidade de Nova Iorque, todas as quartas-feiras a noite. O programa também se tornou muito popular na internet. Além disso, ele dirigiu e produziu o filme da história de Kevin Mitnick entitulado Freedom Downtime. Até hoje Emmanuel se diverte com telefones, telefonistas e atendentes de serviço a clientes ao redor do mundo. Suas paixoes incluem exploraçao urbana, exploraçao da mente e exploraçao do espaço.
Speakers e Palestras
Adriano Cansian
A. Cansian, livre-docente em Redes de Computadores, atualmente é professor adjunto da UNESP - Universidade Estadual Paulista, campus de Sao José do Rio Preto, SP. É revisor da revista "Computers & Security" (Elsevier) e do "The International Journal of Forensic Computer Science - IJoFCS". É coordenador do Laboratório ACME! de Pesquisa em Segurança. Atua principalmente em segurança da informaçao, redes de computadores e perfil dos criminosos eletrônicos. Em 2005 recebeu Diploma de Reconhecimento Público do Comite Gestor da Internet no Brasil (CGI.Br) pelos dez anos de serviços prestados ao desenvolvimento da Internet Brasileira. Em 2006 foi premiado como um dos 50 profissionais mais influentes na segurança da informaçao no Brasil e também recebeu o premio "SecMaster 2006" oferecido pela ISSA - Information Systems Security Association pela melhor contribuiçao ao setor público. Em 2008 recebeu o premio ISSA Brasil Awards, pela melhor contribuiçao a sociedade no Brasil durante o de 2007. É coordenador do GTS - Grupo de Trabalho em segurança do Comite Gestor da Internet Brasileira (http://gts.nic.br), e membro voluntário em diversas entidades de política de uso da Internet.
"Uma Breve Folksonomia(*) dos Hackers"
Esta apresentaçao faz uma revisao de todas as classificaçoes taxonômicas que já foram utilizadas para definir os hackers e suas comunidades no cyberspaço. As classificaçoes apresentadas seguem dados e nomenclaturas que foram sendo alteradas ao longo dos anos, mostrando detalhadamente suas perfilizaçoes. Estas nomenclaturas e suas definiçoes sao baseadas em observaçoes desenvolvidas por vários pesquisadores. Mas, além disso e principalmente, também seguem concepçoes e percepçoes lapidadas constantemente pelas próprias comunidades da populaçao da Internet, por intermédio de uma "folksonomia"(*). É feita uma revisao histórica da evoluçao classificatória do termo "hacker", com um forte enfoque psicológico, avaliando desde os primeiros cyber-ativistas até os cyber-criminosos profissionais. A apresentaçao faz um compendio e traz olhar crítico sobre todos os tipos de taxonomias que existem sobre o tema, desde os anos 80 até a atualidade. O objetivo desta apresentaçao é principalmente provocar a discusao acerca da eventual possibilidade, ou nao, de se classificar um hacker.
(*) Folksonomia (folksonomy): junçao de duas palavras "folk" (povo, gente) e "taxonomia". A origem desta palavra é atribuida a um arquiteto da informaçao chamado Thomas Vander Wal, atual membro do Web Standards Project. O resultado final é algo do tipo "classificaçao do povo", e nao deve ser associada com a classificaçao de pessoas em si, e sim com classificaçao feita *por* pessoas.
Anderson Ramos
Sócio-fundador da FLIPSIDE Smart Content Provider, Senior Lead Instructor do (ISC)2 desde 2001, Associate Editor do (ISC)2 Journal, organizador e co-autor dos livros Security Officer - Guia Oficial para Formaçao de Gestores em Segurança da Informaçao - Volumes 1 e 2, ganhador do SecMaster 2006 pela Comissao Julgadora na categoria melhor contribuiçao editorial, co-autor do Information Security Management Handbook 6th Edition. Atua na área há de tecnologia há 18 anos, 12 destes dedicados a segurança da informaçao, tendo começado a trabalhar com tecnologia precocemente aos 12 anos. Participou de dezenas de projetos nas maiores empresas do Brasil. Já treinou cerca de 2000 profissionais em mais de 15 países, ministrando aulas em portugues, ingles e espanhol. Possui mais de 20 certificaçoes profissionais, incluindo o CISSP, o CISA e o SSCP. É aluno do curso de Bacharelado em Information Systems and Management da London School of Economics and Political Science.
Segurança da Informaçao X Economia
Falar que a Segurança da Informaçao está intimamente ligada a aspectos humanos é chover no molhado, mas muito pouco se conhece sobre os mecanismos latentes do funcionamento dessa ligaçao. Embora pesquisas feitas no campo comportamental venham trazendo resultados interessantes, é possível entender grande parte dos desafios enfrentados pela área quando usamos a teoria econômica como referencia. O estudo da Segurança da Informaçao através da Economia é uma área promissora, que já conta até mesmo com conferencias internacionais dedicadas ao tema. Conheça algumas das principais implicaçoes e campos de estudo nessa palestra.
Bruno Goncalves de Oliveira
Bruno tem 23 anos, formado recentemente em engenharia da computacao. Com muitos trabalhos nas areas de infraestrutura, redes e seguranca. Atualmente trabalha em uma compania privada de consultoria em Londrina/PR - Altatech, promovendo analises, projetos e implementacoes em seguranca e pesquisas em seu tempo livre (tempo livre sem cerveja). Palestrante na ToorCon X (San Diego), H2HC IV e com palestras aceita em outras conferencias.
Sharing my Mic with a (pop)Star and a Little Bit More of Cold Boot Attacks
So, in July of this year I was accepted for speaking in ToorCon, until that all fine, when David contacts me, asking if I wanna talk with Jacob Appelbaum, one of the researches responsible of my studied paper, for sure, I can't deny! I really didn't know how he's well known in the hacking spaces and me? Just a hookie. The presentation we can say that was unless different, I was trying to say some technical stuffs and he was telling stories, in the final was good. This presentation has a goal to show how it was that, a new one with a known person and what I felt, etc. and for sure explains interesting things about the attack (HOW DOES IT WORK?) and finishes that subject!
Francisco Milagres
Francisco Milagres é Mestre em Ciencias da Computaçao pela USP, CISSP e entusiasta na área de segurança da informaçao. Já atuou como pesquisador, professor em cursos de pós-graduaçao, especialista em segurança de redes e na prevençao e combate a fraudes no sistema financeiro. Atualmente é Gerente em uma das Big Four, responsável por projetos de gestao de riscos e auditoria de sistemas em empresas na regiao sul do Brasil. É também Professor Visitante do Estaçao Business School/IBMEC em Curitiba e mantém o site Milagres.com.
"Auditores vs. Auditados: Os erros mais comuns (de ambos os lados) em auditorias na Tecnologia da Informaçao"
Se voce é um profissional de TI e nao é um auditor, voce já foi auditado ou em breve será. A legislaçao e órgaos reguladores nos trazem cada dia novas siglas e números como SOX, CVM, SEC, seçao 404, SPED e lei 11638, e exigem que as empresas tenham sempre bons controles, de preferencia, automatizados. E é aí que entra o papel do profissional de TI e de segurança da informaçao, que muitas vezes só pensa em firewalls, regras de anti-spam e backups. Nesta apresentaçao voce verá exemplos (que nao devem ser seguidos, mas evitados) de erros comuns dos auditores e dos auditados, especialmente em trabalhos que nao tem como foco a auditoria visando identificar riscos de TI, mas sim riscos financeiros suportados por controles de TI, especificamente para empresas de capital aberto e do segmento financeiro. Conheça o papel do profissional de TI e de segurança da informaçao no aspecto de empresas que devem seguir as regras de mercados regulados por legislaçoes brasileiras e estrangeiras e como voce deve se preparar para adotar bons controles ou demonstrar que eles funcionam.
Nelson Murilo
Nelson Murilo e´ analista de seguranca desde 1992. Autor de 2 livros
na area de seguranca de redes e contribui regularmente com grupos
de resposta a incidentes no Brasil.
E´ autor de algumas ferramentas de seguranca em codigo aberto, tais como:
* chkrootkit - busca por sinais da presenca de rootkits
* beholder - um IDS para redes sem fio.
E' palestrante regular em eventos de seguranca no Brasil e conferencias
internacionais como Auscert, Defcon e Ekoparty.
"Iphone Phorensics"
Atualmente existem mais de 10 milhoes de iphones vendidos no mundo. Se voce
atua em forense computacional, provavelmente vai precisar analisar um.
Existem varios metodos conhecidos para obter informacoes do iphone, porem
os metodos classicos podem ser suficientes, e pior, podem nao garantir a
integridade das informacoes.
Essa palestra visa demonstrar a real dificuldade de colher informacoes,
de acordo com os metodos tradicionais de analise forense eletronica e
alguns conceitos e ferramentas que podem auxiliar nesta tarefa.
Nicholas J. Percoco
Nicholas tem mais de 12 anos de experiencia em consultoria, desenho e implementaçao no mundo da segurança da informaçao. Essa experiencia foi obtiva tanto no campo educacional como em ambientes comerciais, desde desenhar e implementar um dos primeiros cursos on-line para uma universidade em 1993, até ter arquitetado um programa de segurança empresarial para uma multinacional na lista top 100.
Dentre as experiencias no mundo da segurança, Nicholas já foi conselheiro de segurança e arquiteto de network security do piso de uma importante bolsa de valores, arquiteto técnico de uma operadora de segurança para sistemas de recuperaçao de disastres, e no desenvolvimento de procedimentos internos de auditoria de segurança para uma multinacional. Além disso, Nicholas gerenciou uma equipe de consultores de segurança no mundo de avaliaçoes de vulnerabilidades e pentesting em 20 unidades de negócios dentro de uma instituiçao financeira. Enquanto trabalhava em uma empresa multinacional de consultoria como arquiteto de rede interna, Nicholas coordenou mais de 50 departamentos de TI na implementaçao de um ambiente de acesso remoto gerenciado internamente.
Na Trustwave, ele lidera o SpiderLabs, a equipe que desenvolveu mais de 350 investigaçoes de forense cibernética ao redor do mundo, milhares de testes de segurança em aplicaçoes utilizando hacking ético. Percoco atua como o conselheiro líder em segurança de vários clientes premium da Trustwave, ajudando-os em decisoes estratégicas de vários regimes de conformidade em segurança. Em 2004, Percoco contribuiu com a segurança do mercado de pagamentos, idealizando a versao inicial de um framework de avaliaçao da segurança de aplicaçoes de pagamentos.
Esse documento se tornou a base do Visa Payment Application Best Practices (2005) e PCI Payment Application Data Security Standard (2008).
Como palestrante, já falou de detalhes de brechas de segurança e tendencias para audiencias públicas e eventos fechados através da América do Note, Europa e Ásia.
Antes da Trustwave, Percoco liderou o práticas de segurança tanto na< VeriSign como na Internet Security Systems. Experiencia e Educaçao Bacharel em Ciencia da Computaçao, Illinois State University
15 anos trabalhando em TI
12 anos específicos em Segurança da Informaçao
5 anos focados no mercado de pagamentos
"Point of Sales Hacking"
The presentation will cover with the basics of payment processing as a primer to the more advanced topics being covered. From there, we will take a look at potential attack vectors and the most resent vectors being used to compromise Point of Sale systems today. We will look at the gaps being exploited and conclude with a walk through of two case studies from real-world compromises.
Wendel Guglielmetti Henrique
Wendel Guglielmetti Henrique trabalha com Tecnologia da Informacao desde 1997 e durante os ultimos 7 anos vem se dedicando ao campo da seguranca de computadores. Descobriu vulnerabilidades em varios programs tais como webmails, Access Points, Citrix Metaframe, etc. Escreveu ferramentas que foram mencionadas em revistas como PCWorld Brazil e internacionais como Hakin9. Durante os ultimos 3 anos vem atuando como PenTester. Foi palestrante em conferencias importantes no Brasil e exterior, tais como H2HC, Code Breakers, Defcon e convidado para it1tk1 - Mexico e IT Underground - Italia.
"Most people knows about pen-test strategy, but miss tactical."
Discuss why many pen-testers fails: most people know about strategy, but they miss tactical. The presentation also describe some real world techniques to help in gain access in local and remote pen-tests, focusing in attacks not so common. Sometimes, you don't need a 0day to own a network with a great patch management policy.