Páginas
Categorias
-
No public Twitter messages.
Diversos
Apoiadores
Autor: StaySafe
- 26/04/13
48ª Edição – Thiago Bordini, Jordan Bonagura, Anchises de Paula, Lau Oliveira e Henrique Lima – 04/2013
Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.
Assuntos tratados:
Informações sobre a edição comemorativa de numero 50.
O que é um hackerspace?
Desde quando existe este conceito?
No Brasil quantos existem? Quem começou e porque?
Quais são as atividades realizadas em um Hackerspace?
Como ajudar?
Exemplos de Projetos já construídos dentro dos Hackerspaces Brasileiros.
Isto ajuda a acabar com o preconceito contra o termo Hacker?
A Lei Carolina Dieckman pode prejudicar o desenvolvimento de novos projetos?
Como se associar?
Porque criar um na sua cidade?
Próximos eventos – Bsides, YSTS, BHACK, lightning talk ITA.
Contatos
Sites:
SJC Hacker Clube
Garoa Hacker Clube
Créditos musicais:
Julio Auto
Para baixar o podcast e ouvir offline:
Autor: StaySafe
- 11/04/13
47ª Edição – Thiago Bordini, Ewerson Guimarães e Jan Seidl – 04/2013
Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.
Assuntos tratados:
Apresentação dos convidados
# O que são infraestruturas críticas.
São sistemas de infraestrutura para os quais a continuidade é tão importante que a perda, interrupção significativa ou degradação dos serviços poderia ter graves consequências sociais ou à segurança nacional. (Geração e distribuição de eletricidade; Telecomunicações; Fornecimento de água; Produção de alimentos e distribuição; Aquecimento (gas natural, óleo combustível); Saúde Pública; Sistemas de Transportes; Serviços financeiros; Serviços de Segurança (polícia, exército)
# O que é SCADA?
Ele é..
- Um sistema que controla e coleta dados de um processo
- Encaminha dados para outros dispositivos
- Usado industrialmente para controlar, dentre outras coisas, máquinas
– AKA Controlling cool stuff (Daniel Grzelak)
Ele não é..
- Um dispositivo
- Encriptado
- Controlador de dispositivos
Um sistema SCADA é composto por: Instrumentação de campo. Autômatos Programáveis. Rede de comunicações. Sistemas Supervisórios
Autômatos programáveis: RTU – Remote Terminal Units (Remotas), PLC / CLP (Programmable Logic Controller / Controlador Lógico Programável), IED – Mais usados na indústria elétrica
Protocolos Fieldbus: DeviceNet, Modbus, DNP3, Profibus
Supervisão e Controle: IHM (Interface Homem Máquina, para supervisão e controle distribuído), Sistemas Supervisórios: para supervisão e controle centralizado.
# Principais fraquezas dos sistemas SCADA
Falta de autenticação
Falta de criptografia
Falta de security by design
# Impacto e dificuldades em redes e sistemas SCADA
Sistemas SCADA devem primar pela velocidade da aquisição dos dados. Cada segundo de delay pode ser crítico.
Impossibilidade de se ter soluções que “custem” I/O como antivírus e HIDS.
Impossibilidade de uso de equipamento de rede que gere latência na rede.
Protocolos industriais são muito ruidosos e “gastam” todo o throughput da rede
Foco em disponibilidade: “Segurança CUSTA Dinheiro, Funcionalidade e facilidade GERAM dinheiro, Segurança gera perda de funcionalidade e facilidade”
Mitos: Redes SCADA estão em um mundo diferente, quanto a segurança, do mundo de TI, Sistemas SCADA não possuem vulnerabilidades com as vulnerabilidades de TI, Hackers não atacam sistemas SCADA, Possuo um sistema e protocolos personalizados, portanto não estou vulnerável
Infinite {Fun (for hackers), Damage (for crackers), Headaches, fear, and pain (for controllers)}
# Porque tem poucos profissionais pesquisando este segmento?
Necessidade de um testbed, Documentação as vezes falta, Muitas vezes é criptica
# Como comecar a estudar / analisar segurança SCADA
Ter um testbed; procurar a documentação online; estudar; praticar; goto estudar;
# Documentação disponível online sobre SCADA
Bastante coisa disponivel em ingles
Praticamente nada em portugues
Crescimento de videos educacionais sobre equipamentos e protocolos industriais no youtube (inclusive de fabricantes)
# Pesquisas realizadas e em progresso
DcLabs: Fuzzing de modbus, Fuzzing de http, Traffic analisys, data manipulation, data replay
Mundo: Diversas pesquisas desde 2008 (que eu tenho registro, pode haver recursos mais antigos)
# Pesquisas futuras planejadas
Oportunidade de trabalhar com outras marcas de equipamentos
Mais fuzzying
Contatos
Créditos musicais:
Julio Auto
Sites relacionados:
Blog: http://wroot.org
Apresentação CeBIT Hannover sobre SCADA: http://www.slideshare.net/tisafe/cebit-2013-workshop-presentation
RISI – Repository of Industrial Security Incidents: http://www.securityincidents.org/
Twitters:
Jan – @jseidl
Crash – @crashbrz
Bordini – @tbordini
Para baixar o podcast e ouvir offline:
Autor: StaySafe
- 18/03/13
46ª Edição – Thiago Bordini, Ewerson Guimarães, Rener Alberto, Marcelo Lopes e Raphael Bastos – 03/2013
Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.
Assuntos tratados:
Apresentação dos convidados
Comentários sobre:
- BHack 2a edição
- Slack show – 2a edição
- OWASP – Uai Day
Porque o cenário de SI de MG é tão diferente de SP e do RJ?
Com relação aos novos profissionais de segurança da informação, quais são as fontes de informação recomendadas pelos convidados:
- Listas
- Foruns
- Blogs
- Sites
- Principais eventos
- Twitter
- IRC
Pesquisas em sistemas SCADA, health security, sistemas embarcados não são comumente vistas no Brasil por quais razões?
Próximos eventos com Call For Papers (CFP) abertos.
BSides – CFP
YSTS – CFP
H2HC – CFP
Contatos
Créditos musicais: Charlie Brown Jr (Homenagem póstuma)
Sites relacionados:
OWASP
Owasp Capítulo BH
Owasp Tutorial Videos
Hacking Lab
BR-Linux
HackStore
Viva O Linux
Chema Alonso
Chema Alonso
Malware don’t need coffee
Security Focus
BHack
Metasploit
Kali
Offsec
BHack Facebook
Twitters:
Owasp BH – @owaspbh
Crash – @crashbrz
Gr1nch – @Gr1nchDC
Bordini – @tbordini
Teamcymru – @teamcymru
IRC’s
Servidor IRC:
irc.freenode.net
Canais IRC:
#dclabs
#slackware-br
#gentoo-br
#gentoo-releng
#linux-br
#sourceforge
Para baixar o podcast e ouvir offline:
Autor: StaySafe
- 07/01/13
45ª Edição – Thiago Bordini e Alvaro Rios – 01/2013
Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.
Assuntos tratados:
Quem é Alvaro Rios?
Como adentrar ao mercado de SI?
Qual a formação necessária, no que isso ajudou?
Especialização (Pos) contribui para a entrada no mercado de trabalho?
Como foi o procedimento para entrar na área?
Participação em eventos, congressos, submissão de papers e participação na comunidade ajuda?
Conhecimentos básicos para quem está iniciando.
Dos eventos de 2012 o que mais marcou?
Defcon XX (Documentário) / SegInfo / Eko Party / BSides / H2HC / Silver Bullet
Contatos
Créditos musicais – Julio Auto – Borderline
Sites relacionados:
Defcon Documentary Preview
Alvaro Blog
Curso sobre introdução a ciência da computação
Curso sobre introdução a ciência da computação
Para baixar o podcast e ouvir offline:
Autor: StaySafe
- 27/01/12
44ª Edição – Thiago Bordini, Luiz Vieira e Magno Logan – 01/2012
Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.
Assuntos tratados:
Quem é Luiz Vieira e Magno Logan?
Projeto OWASP
OWASP Paraíba Day
Abertura do capítulo OWASP no RJ
Como está a área de treinamentos de SI no Brasil
Como é o trabalho de um Pentester
Como é a atuação de um Perito Forense Computacional
Segurança da Informação com Software Livre
Participação no evento HackingDay
Contatos
Sites relacionados:
Capítulo OWASP Paraíba
https://www.owasp.org
Evento OWASP Paraíba Day 2012
Perfil OWASP Magno Logan
http://hackproofing.blogspot.com/
OYS
CLASP
OpenSAMM
WebScarab
WebGoat
OWASP Top 10 – 2010
OWASP ZAP
OWASP Testing Guide
OWASP Developer’s Guide
GoatDroid (WebGoat para Android)
iGoat (WebGoat para iOS)
Audio do intervalo
Twitter:
Magno Logan – @magnologan e @owasppb
Luiz Vieira- @HackProofing
Para baixar o podcast e ouvir offline:
Autor: StaySafe
- 02/12/11
43ª Edição – Thiago Bordini e Rodrigo Jorge – 11/2011
Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.
Assuntos tratados:
Quem é Rodrigo Jorge?
1. Eventos (Silver Bullet, H2HC e Security Leaders)
2. O ciclo do Software Inseguro
Qual foi o motivador desta apresentação?
Pesquisa Informal realizada quais os principais indicadores?
Porque estes índices?
Quais as principais constatações?
Existe soluções?
Contatos
Sites relacionados:
http://security.amazon-jobs.com
https://www.owasp.org
http://www.qualitek.com.br
http://www.securityleaders.com.br
http://www.h2hc.com.br
http://www.sbconference.com.br
Para baixar o podcast e ouvir offline:
Autor: StaySafe
- 02/11/11
42ª Edição – Thiago Bordini e Gustavo Roberto – 11/2011
Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.
Assuntos tratados:
Quem é Gustavo Roberto Rodrigues Gonçalves
Sobre o Jboss
===========
1) O que me levou a pesquisar sobre o Jboss ?
2) Como chegou ate falha ?
3) Qual o método de exploração da falha ?
4) O que acontece quando se explora essa falha ?
5) Qual a mitigação para esta falha ?
Sobre o Muffin
==============
1) O que é MUFFIN ?
2) Porque esse nome ?
3) Qual a idéia do Muffin exatamente ?
4) Como ele funciona ?
5) Chamada de colaboradores
Demais projetos
T50 e PEV
Chamadas de trabalho para SilverBullet
Contatos @gustavorobertux
Sites relacionados:
http://www.h2hc.com.br
http://www.sbconference.com.br
Sobre o Jboss :
============
Para melhorar a segurança do JBoss:
http://community.jboss.org/wiki/SecureTheJmxConsole?
Exploração do Jboss
http://packetstorm.igor.onlinedirect.bg/papers/attack/JBossWhitepaper.pdf
Projeto Muffin :
============
http://forcomp.blogspot.com/2011/07/o-que-e-o-projeto-muffin-afinal.html
Para baixar o podcast e ouvir offline:
Autor: StaySafe
- 22/09/11
41ª Edição – Jordan Bonagura e Thiago Bordini – 09/2011
Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.
Assuntos tratados:
Comentários sobre o evento SegInfo
Comentários sobre o evento ValeSecConf
Chamadas de trabalho para H2HC / SilverBullet / GTS
Sites relacionados:
http://www.h2hc.com.br
http://www.sbconference.com.br
http://gts.nic.br
http://www.youtube.com/watch?v=78qEBIKXJqQ
Para baixar o podcast e ouvir offline:
Autor: StaySafe
- 25/08/11
40ª Edição – Jordan Bonagura, Thiago Bordini, Dr. Higor Jorge e Dr. Mariano – 08/2011
Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.
Assuntos tratados:
Quem são Dr. Higor Jorge e Dr. Mariano?
Como tem sido o trabalho da polícia nos casos de crimes eletrônicos?
Em estatísticas quais os principais crimes eletrônicos cometidos no Brasil?
Quais as dificuldades atualmente? Técnicas? Pessoal? Legislação?
Atualmente a Polícia pode utilizar de mão de obra terceirizada em uma investigação? Um perito por exemplo?
Atualmente os crimes eletrônicos conseguem ser tipificados dentro da legislação existente?
O que os outros paises tem de diferente na investigação de crimes eletronicos alem da legislação? Tecnologia? Pessoal? Processo?
O que seria necessário ser alterado para melhorar?
Vocês enxergam uma provável ligação entre crime organizado e grupos Crackers?
Como a polícia hoje enxerga o termo hacker?
Algumas cidades já contam com delegacias especializadas, se alguém foi vítima de um crime eletrônico fora destas cidades qual o procedimento correto a ser tomado?
Contatos.
Merchã.
Sites relacionados:
Blogs:
http://www.higorjorge.com.br/
http://mariano.delegadodepolicia.com/
Twitter:
@HigorJorge
@Digital_Crimes
Para baixar o podcast e ouvir offline:
Autor: StaySafe
- 16/08/11
39ª Edição – Jordan Bonagura, Thiago Bordini e Erasmo Guimarães – 08/2011
Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.
Assuntos tratados:
Quem é Erasmo Guimarães?
Como é o trabalho de um engenheiro social?
Como as empresas veem este tipo de prática (método)?
Ainda existe mercado?
Qual o perfil deste profissional?
Instituto Coaliza e HCF
A engenharia social pode ser utilizada em uma investigação a fim de obter informações sobre autoria de um fato?
Contatos
Sites relacionados:
Blogs:
http://paper.li/broadcastlabs
Site recomendado:
http://www.social-engineer.org
Twitter:
@ErasmoGuimaraes
@socialEnginner
Facebook:
http://www.facebook.com/profile.php?id=1836470596
Para baixar o podcast e ouvir offline: