Roadsec 2016

Prólogo

O Roadsec é um evento itinerante que percorre diversos estados brasileiros levando uma mistura única de palestras, atividades e campeonatos, integrando estudantes, profissionais e comunidades em torno da celebração da cultura hacker em todas as suas vertentes: segurança, desenvolvimento, makers e ativistas. Esse giro acaba em São Paulo num dos maiores festivais do gênero no planeta, misturando conhecimento, atividades, cultura, gastronomia, música e muito networking com a nata do hacking brasileiro! E pra fechar a festa com chave de ouro, todos os olhos voltados pra grande final brasileira do Hackaflag, o maior Capture The Flag do continente, valendo viagem pra Las Vegas!

O Roadsec é um evento sobre segurança da informação cujo o objetivo é mostrar que ser “hacker” vai além de invadir sistemas de maneira criminosa.

Através de oficinas, palestras e atividades diversas eles apresentam um mundo novo para quem não é da “área” e muitas novas dimensões para quem já brinca com tecnologias de desenvolvimento e programação.

 

Palestras

Além de Hacking e Segurança, agora o Roadsec abriu a trilha Tecnologia, cobrindo programação, infra, software livre e o que mais der na telha, foram convidadas diversas comunidades sobre tecnologia e segurança da informação para ministrarem palestras no evento, das quais nos interessamos mais pelas palestras do Marc Rogers, Jeff Moss, Pedro Markun, Jodson Santos, por falarem mais da parte de segurança, que tem mais a ver com o que fomos ver.

 


A imagem pode conter: uma ou mais pessoas, pessoas no palco e show

 

Atividades

As atividades ficaram concentradas em um galpão, onde estavam divididos em pequenos blocos, cada um para uma comunidade mostrar o que trouxe para nós.

Dentre as principais atividades que nós visitamos tinha a oficina de lock picking, impressão 3D, corrida de autoramas, batalha de robôs, desenvolvimento de nano robôs com lego (Lego Mindstorms) e a construção de imagens 8-bit através dos (pearler beads).


A imagem pode conter: uma ou mais pessoas, pessoas sentadas e área internaFliperama com jogos clássicos feito com um raspberry pi – Roadsec 2016 (Facebook)

Food trucks

Muito além da comida de rua, o Roadsec reuniu alguns dos melhores food trucks da cidade, reunindo alimentação pra todos os gostos, um pouco caro, mas na hora que a fome bateu lá estávamos nós comendo um pedaço de pizza a 10 reais.


A imagem pode conter: 4 pessoas, pessoas em pé, pessoas sentadas, pizza e comidaFood Trucks – Pizza por pedaço – Roadsec 2016 (Facebook)

 

Campeonato HACKAFLAG

O maior campeonato de hacking estilo da América Latina teve sua grande final no Roadsec São Paulo, valendo viagem pra Defcon em Las Vegas num formato inédito. Enquanto estávamos nas palestras os campeões estaduais estavam na área vip da Áudio Club disputando o campeonato e em monitores espalhados pelo evento podíamos ver a pontuação e colocação de cada candidato.

 

Lego Mindstorms

Lego Mindstorms EV3 vem com um conjunto de peças que inclui motores, sensor de cor, de movimento e infrared, bloco de inteligência EV3, e quase 600 peças de Lego! Com o guia do construtor (também é possível baixar um app de construção 3D chamado 3D Builder), o participante pode escolher entre os robôs tradicionais ou dar asas à imaginação. É possível controlá-los por tablet ou celular através do aplicativo Robot Commander, disponível na App Store e Google Play (iOS e Android).

A imagem pode conter: 3 pessoas, pessoas sentadasRoadie do Roadsec demonstrando o funcionamento do robô de Lego – Roadsec 2016 (Facebook)

 

LogRhythm

LogRhythm é um aplicativo de classe empresarial que combina perfeitamente Gerenciamento de Log & Eventos, Monitoramento de integridade de arquivos e Monitoramento e controle de Endpoint em uma única solução integrada. É altamente confiável, de baixo custo e facilmente escalável em qualquer tamanho de empresa. Com LogRhythm, você pode investir em uma solução única para atender às necessidades e desafios em toda sua empresa, sejam elas relacionadas a conformidade, segurança e operações TI.

Há uma riqueza de informações que podem ser derivados de dados de log,  se origina em aplicações, bases de dados, servidores, dispositivos de rede ou de sistemas de endpoint.

Ao automatizar a coleta, organização, análise, arquivamento e elaboração de relatórios de todos os dados de log, LogRhythm permite que as organizações encontrem facilmente requerimentos específicos, seja motivado por melhores práticas internas ou um dos vários regulamentos de conformidade. LogRhythm oferece valiosos, oportunos e acionáveis conhecimentos de segurança, disponibilidade, desempenho e auditoria de problemas em tempo real.

Da mesma forma, se um funcionário estava tentando mover dados altamente confidenciais do seu computador portátil a um dispositivo de mídia removível, LogRhythm iria fazer a atividade em tempo quase real, relatá-lo e se o evento mapeado para uma regra de alarme pré-definida, o sistema poderá enviar automaticamente um alerta para o pessoal específico responsável pela resolução de potenciais incidentes de vazamento de informação. Algumas organizações podem até escolher a alavanca do LogRhythm’s Endpoint  Monitoring & Control para completamente bloquear o movimento de dados para uma mídia removível.

Solução abrangente LogRhythm’s capacita os clientes a centralizar, simplificar e reforçar sua conformidade, segurança e postura de operações de TI.

LogRhythm oferece uma construção de blocos de abordagem para a implantação. Se você está olhando para cumprir os mandatos de um regulamento específico ou requisitos da empresa como um todo, sua implantação do LogRhythm pode crescer gradativamente simplesmente adicionando equipamentos LogRhythm como sua expansão necessitar evoluir. LogRhythm é rápida e fácil de instalar, e oferece um valor de tempo rápido.
Representante da LogRhythm – Roadsec 2016 (Facebook)

CyberARK

CyberArk é uma empresa de segurança da informação oferecendo privilegiada segurança da conta. A tecnologia da empresa é utilizado principalmente nos mercados de serviços financeiros, energia, varejo e saúde. Em novembro de 2016, CyberArk tinha cerca de 2.500 clientes, incluindo mais de 50 empresas Fortune 100 e cerca de 15% do global de 2000. [1] A empresa tem escritórios em os EUA, Israel, Reino Unido, França, Alemanha, Holanda e Singapura, com presença local de vendas em mais de 20 países.

Representantes das CYBERARK – Roadsec 2016 (Facebook)

DESEC (Cursos de Segurança e Pentest)

A DESEC é uma empresa Brasileira que tem em seu DNA o desenvolvimento de metodologias para o desempenho de treinamentos especialistas e consultoria em Testes de Invasão.

Com vários projetos entregues e contando com alta taxa de sucesso, empregamos as mais refinadas e conceituadas metodologias de mercado para entregar resultados além da expectativa durante nossos processos de Teste de Invasão.

Garantindo assim à nossos clientes resultados que expõe o cenário real de sua exposição em ambiente digital.

O mesmo preciosismo é utilizado em nosso treinamento PENTEST PROFISSIONAL

O aluno adquire conhecimento através de um portal exclusivo, explorando ambientes digitais realísticos fazendo com que a experiência de aprendizagem torne-se além de assertiva, empolgante e lúdica.

Representante da DESEC – Roadsec 2016 (Facebook)

 

3D Cloner (Impressão 3D)

Vimos como funciona uma impressora 3D, como ela funciona e como são feitas as bases para as minis esculturas através de softwares de multi-dimensões, um brinquedo um pouco caro, 3 mil reais a menor impressora, que imprimia objetos de até 20 centímetros, mas valeu a pena sonhar um pouco.

Objetos impressos em 3D

Link do vídeo: Objetos impressos em 3D – Roadsec Fortaleza 2016

Atuando no mercado desde 2001, a Indústria Schumacher vem desenvolvendo peças e produtos nas áreas pneumáticas e hidráulicas. Alinha conhecimento técnico e agilidade para atender as necessidades dos clientes tanto em reparos quanto no desenvolvimento de peças adequadas para cada projeto.

Profissionais especializados, maquinário moderno e principalmente matéria-prima da melhor procedência; tudo isto, somado à dedicação e ao profissionalismo da Indústria Schumacher, tem como resultado o padrão de qualidade que é reconhecida pelas líderes de mercado no setor de ônibus rodoviário.

Investimento em novos conceitos é ação frequente nesta indústria que desenvolve tecnologia a favor da qualidade de vida. Por isso, a Schumacher possui o que há de mais moderno em equipamentos e em tecnologia para o desenvolvimento de projetos e peças. Venha ser um parceiro da Indústria Schumacher. Conheça mais sobre nossa empresa e nossos projetos.

Uma das voluntárias traduzindo em linguagem de sinais para um deficiente auditivo a explicação como a impressora funciona – Roadsec 2016 (Facebook)

 

Jodson Santos – Web Service – Security in Mobile Applications

Foi desenvolvedor na rede social edulify.com e trabalha atualmente como Pentester na Tempest Security Intelligence. No qual, participou de análises de segurança em aplicações Web e Mobile. E também, realiza treinamentos de desenvolvimento seguro.

WS-Security é um a extensão de uma arquitetura de web services onde seu foco é na confiabilidade e na integridade dos dados.

Jadson contou a história de um serviço prestado a uma empresa onde seu objetivo era executar um penteste (Penetration Test – Teste de penetração) em uma aplicação mobile que se comunicava com uma web service. Jadson consegue invadir, quebrar 3 níveis de segurança e capturar o token da aplicação, com isto, ele foi capaz de alterar as informações enviadas para o ws. O intuito desta palestra foi demonstrar, que, é sim muito importante para a segurança aplicar o ws-securty, porém isto não evita que seus dados sejam alterados, apenas garante que eles cheguem no intactos ao seu destino e que o remetente seja mesmo quem diz que é.

A imagem pode conter: 1 pessoa, no palco, em pé e barbaJodson Santos – Web Service – Security in Mobile Applications – Roadsec 2016 (Facebook)

 

Lock Pick

Quando se ouve o termo hackear muitas pessoas pensam em uma sala escura com computadores, monitores e um ser movido a café virando a noite tentando invadir algum tipo de sistema.

Mas fazer um “hack” vai muito além, na oficina de lock pick aprendemos como abrir cadeados de maneira sucinta, explorando justamente as suas partes que deveriam dar segurança.

A ferramenta em formato L (torque) é usada para simular o giro da chave, enquanto você força o giro, usa a pinça (pick) para empurrar os pinos de segurança da fechadura. (Como na imagem abaixo)

O que é lockpicking? É o estudo de como funcionam as fechaduras normalmente utilizadas em portas e cadeados, incluindo como utilizar diversas ferramentas para abrir e testar a real segurança das mesmas.

Por que Lockpicking é interessante para o hacker? Lockpicking pode ser considerado um hobby em que aplicamos nossos conhecimentos de segurança e de hacking no mundo físico, através do estudo do funcionamento de fechaduras. Profissionalmente, as técnicas de lockpicking podem ser utilizadas em projetos de teste de invasão (Pen Test) que incluam análise de segurança física do ambiente. Além do mais, o profissional de TI pode utilizar um kit de lockpickig em situações emergenciais, como, por exemplo, para acessar um rack dentro do datacenter.

Nós (Gean e Willian) à direita, na oficina de Lock Pick – Roadsec 2016 (Facebook)

 

Luta de robôs

No evento ao fazer o cadastro era possível se inscrever para participar alguns eventos, assim como as lutas de robôs (desafio robótico) onde os robôs eram divididos em duas categorias, leves e pesados e vence quem destruir ou imobilizar o robô adversário.

Desafio de robôs, amplamente conhecido como Guerra de robôs, é um hobby/esporte no qual duas ou mais máquinas rádio-controladas (ou as vezes autônomas) usam métodos variados para destruir ou imobilizar o robô adversário.

As equipes que constroem esses robôs são, em sua maioria, compostas de universitários. Tais máquinas podem ser pequenas e leves, ou grandes e sofisticadas, dependendo da categoria de combate para a qual ela foi construída.

Após vários meses de construção e testes, a equipe põe à prova suas tecnologias em competições exclusivas. Os campeonatos são compostos por inúmeros rounds entre as equipes rivais, rounds estes que duram no máximo três minutos. A disputa acaba se um dos competidores desiste ou é destruído. No Roadsec o evento foi organizado pela RoboCore e patrocinado pela Radix.

Troféu da batalha de robôs com a equipe “Minerva” – Roadsec 2016 (Facebook)

 

 

Rômulo Rocha – Engenharia Social

Especialista em Segurança da Informação no Comitê Organizador dos Jogos Olímpicos e Paralímpicos Rio 2016™. Especialista em Segurança da Informação com experiência em operações, projetos de consultoria, auditoria dos ambientes de TI, os controles / identificação de riscos e remediação. Grande conhecimento em Operações de Segurança processos, PCI (Payment Card Industry), ISO 27000 e padrões COBIT Framework. Segurança dos jogos Olímpicos 2016.

Segundo Rômulo a engenharia social foi sem dúvida muito importante para que tudo ocorresse bem nos jogos olímpicos. Há anos, o Brasil está entre o topo do ranking de países que mais sofrem ataques cibernéticos. Com cada vez mais conexão e banda larga em plena expansão, preocupou a vinda de milhares de turistas para os jogos olímpicos do Rio de Janeiro.

O governo federal estimou que ao menos 350 mil turistas chegassem ao Rio de Janeiro em agosto, mês em que aconteceu a Olimpíada. O aumento no tráfego de dados preocupou especialistas em ataques cibernéticos.

Rômulo Rocha foi o responsável pela segurança de TI dos jogos olímpicos e desde de 2010 ele e sua equipe começou a planejar, projetar e testar os sistemas que iriam compor os jogos. Para os jogos no Rio de Janeiro, foram realizados 200 mil horas em testes de comunicação, mídia, esportes e tecnologia de segurança.

Rômulo afirma que foram feitos testes em 500 possíveis situações como inundações, desconexão de rede, falhas de energia, alterações no cronograma da competição e ataques de segurança.

“Nossa equipe estava focada na contenção de danos, seja em problemas físicos ou ataques virtuais. A nossa principal atenção não foi a causa, mas o efeito. É claro que há um risco com todos os projetos, mas temos o papel de minimizar essa possibilidade. Se algo acontecesse (e aconteceu), tínhamos de estar prontos para garantir que não afetasse a competição”.

Para monitorar a segurança dos jogos foi criado um Centro de Operações Tecnológicas (TOC, na sigla em inglês) no Rio de Janeiro. No local, centenas de técnicos trabalharam 24 horas por dia em sete dias por semana. As ações contaram ainda com apoio remoto de um centro tecnológico localizado na Espanha.

Computação em nuvem

O uso de nuvem em larga escala é novidade para os jogos no Brasil. Para o executivo, a escolha pela ferramenta se deu devido à concepção de que é necessária uma transformação digital, ou seja, “usar todo o poder da nuvem, big data e mobilidade para transformar o negócio”.

Todas as aplicações usadas para realizar os jogos, incluindo o portal de voluntários e os sistemas de gerenciamento das competições, foram executadas em nuvem.

Apesar do aparente temor de especialistas quanto à possibilidade de grandes ataques cibernéticos durante os jogos, Romulo afirmou que o País estava preparado para garantir a segurança física e de informação.

“Nós estávamos prontos para desempenhar o nosso papel nos jogos e para enfrentar situações que surgiram durante o evento. Nós entregamos o melhor resultado, que representou impacto zero nos jogos”, conclui.

Rômulo Rocha Segurança dos Jogos Olímpicos Rio 2016 – Roadsec 2016 (Facebook)

 

Hackeando a política

(Como usar dados abertos e programação para compreender e hackear a política)

Hacker não é apenas invadir, é pensar fora da caixa, transformar e revolucionar. Esta palestra expandiu nossa mente, nos fez ponderar o como pensamos dentro da caixa, um exemplo de aplicação da tecnologia e de criatividade. Como podemos aplicar a tecnologia dentro da política?

Ideia foram citadas, como uma machine lerning para antecipar as escolhas dos deputados, prevendo as chances de uma lei ser aceita ou não. Utilizar Git no código legislativo, isto possibilitaria o uso do git blame, ferramenta que te aponta quem foi o autor daquele código, da mesma forma, com um simples click, poderíamos saber quem foi o autor de tal lei.

Pedro Markun – Política hacker – Roadsec 2016 (Facebook)

Pedro Markun, trabalha com transparência e participação há mais de 10 anos, fundou em 2009 a Transparência Hacker, movimento com mais de 1800 pessoas no Brasil todo. É um dos criadores do Ônibus Hacker, um laboratório sobre rodas que leva cultura e educação política por todo Brasil. Além disso, já desenvolveu inúmeros aplicativos e projetos de transparência como verdinhas e o Jogo da Política.

Política Hacker: Como usar dados abertos e programação para compreender e hackear a política

Como usar as tecnologias e ferramentas digitais para construir uma democracia mais direta e participativa. Vivemos em uma sociedade hiperconectada e não existe mais justificativa para que a política e as regras da sociedade sejam decididas por umas poucas cabeças e nossa interação limitadas a um voto de quatro em quatro anos. Além disso essas mesmas tecnologias e o aumento do poder computacional nos dá novas ferramentas para desenhar melhores políticas públicas, analisar os dados e criar soluções mais inteligentes para o bem comum. Nessa fala vou contar um pouco da história da Política Hacker um movimento que busca trazer para política os princípios de ‘fuçação’, colaboração e compartilhamento de conhecimento que norteiam a cultura hacker.

 

Fragmentação

Fragmentar o sistema é uma boa forma para conter invasões. É baseado na teoria dos cascos dos navios, onde ele é fragmentado e caso haja uma inundação, o seguimento é trancado e apenas aquele fragmento será inundado.

Marc Rogers (Mr. Robot)

Uma das palestras mais aguardada foi a do britânico Marc Rogers, mais conhecido como “CJ” ou “Cyberjunky”. Chefe de Segurança da Informação da empresa norte-americana Cloudfare, além de um dos criadores da conferência internacional Def Con, Rogers é também um dos consultores contratados da série “Mr. Robot”.

O programa, que acompanha um grupo de hackers buscando eliminar a desigualdade social com o que pode ser o maior ataque hacker de todos os tempos, ganhou destaque mundial especialmente por suas sequências de hacking extremamente precisas. Ao contrário do que outras séries costumam fazer, “Mr. Robot” presa pelo realismo, citando scripts e linhas de comando reais, com referências visuais e verbais e vulnerabilidades que existem fora da ficção.

Marc Rogers é um dos consultores responsáveis por fazer “Mr. Robot” parecer tão real quanto possível. Em entrevista ao Olhar Digital, o hacker discute os bastidores da série, o cenário da cultura hacker pelo mundo e os perigos que rondam o universo da cibersegurança. Entrevista completa no link abaixo da imagem:

Link: Conheça o hacker que faz a série ‘Mr. Robot’ parecer real

Conhecido como hacker de Hollywood ele é um “White hat” hacker que denuncia falhas em sistemas usados mundialmente, ficou bastante conhecido quando foi o primeiro hacker a conseguir invadir o sistema de um dos carros da Tesla, recentemente seu nome voltou a ser mencionado nos jornais e TV’s ao aceitar ser o consultor da série de televisão Mr. Robot, uma serie que conta a vida de Elliot, um hacker com problemas psiquiátricos. Entre todo o enredo da série chama a atenção as cenas em os personagens utilizam tecnologias e fazem os hacks, pois eram sempre muito reais, dava detalhes sobre os códigos utilizados, equipamentos e etc. E isso chamou a atenção de outros hackers e curiosos.

Marc Rogers, o hacker de HollyWood – Roadsec 2016 (Facebook)

– Trecho de uma reportagem com o hack da Tesla

Hackers have found a way to take over a Tesla Model S and turn the car off while it was driving.

Luckily, these were “white hat” hackers who were testing Tesla’s system for vulnerabilities, Financial Times reports. Once the two experts—Kevin Mahaffey, chief technology officer of Lookout, and Marc Rogers, principal security researcher at Cloudflare—physically connected to the car via an ethernet cable, they were able to take control of its screen.

“We shut the car down when it was driving initially at a low speed of five miles per hour. All the screens go black, the music turns off and the handbrake comes on, lurching it to a stop,” Rogers told the FT. He and Mahaffey could also change the speed on the speedometer, raise and lower the windows and lock and unlock the car.

Tesla is making a fix for these security flaws that drivers can download

Marc Rogers falando sobre o equipamento femtocell – Roadsec 2016 (Facebook)

  

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *