Talks 31/01/2018

18:40“Droidstat-X, Android Applications Security Analyser Xmind Generator
Cláudio André- https://twitter.com/clviper

“Droidstat aims to be a static/dynamic analysis framework, that does more than just flag issues and allows to create a methodology and workflow to achieve consistency.
Right now, I’m releasing this standalone module as a quick win, but sometime during this year I plan to release the first version of the framework that will be web interfaced. During this talk I will cover all the features of the tool with live demos and release the tool to the public after the talk.”

19:25“Rosie, automatização de coleta de evidências
Willian Mayan

“Atualmente a coleta de evidências para produção de um relatório consome um tempo do consultor que poderia ser utilizado para outro propósito. Este processo em ambientes pequenos não chega a ser um grande transtorno, no entanto, ao lidarmos com uma topologia maior, o tempo para esta sobe exponencialmente. Tendo em conta este cenário, foi desenvolvida a Rosie: uma ferramenta que auxilia o trabalho do consultor tirando o trabalho maçante e dando-lhe tempo para produção de um conteúdo melhor ou realização de outras atividades. Keep Calm and Start Rosie !”

Talks 29/11/2017

18:40“Hacking Java
Tiago Carvalho – https://www.linkedin.com/in/tiagoalexandre/

“A dive into the anatomy of most common java implementation mistakes from race conditions, remote code execution class path manipulation.
How and where they happen.”

19:10“Automated Evil Driven Development”
Sérgio Serrano – https://www.linkedin.com/in/serranos/

We will be speaking about behavior driven development, the creation of evil user stories, definition of security baselines and how we can embed them in the CI/CD pipelines. We will present some security tools that can help us do it but we will focus mainly on BDD-Security from “Continuum Security”.

Talks 25/10/2017

18:40“Multi-path Communication for Security
Diogo Raposo

To mitigate the confidentiality and privacy concerns of transferring data over the Internet a different approach is used. Combining a multi-path protocol (https://www.multipath-tcp.org/), multi-homing and dynamic overlay networks, each stream of data is split among physically disjoint channels. Therefore adding a new layer of security assurances, where attacks require more effort to eavesdrop information.

—-

Para mitigar as preocupações de confidencialidade e privacidade ao transferir informação pela Internet, utiliza-se uma aproximação diferente. Através da combinação de um protocolo multi-caminhos (https://www.multipath-tcp.org/), multi-hominge dynamic overlay networks, cada stream de dados é dividido por vários caminhos topológicamente disjuntos. Assim adiciona-se uma nova camada de garantias de segurança, aumentando a dificuldade de espiar na informação a ser transferida.

19:10“vtTLS: A Vulnerability-Tolerant Communication Protocol
André Joaquim

There are often concerns about the strength of some of the encryption mechanisms used in SSL/TLS channels, with some regarded as insecure at some point in time. vtTLS is our solution to mitigate the problem of secure communication channels being vulnerable to attacks due to unexpected vulnerabilities in encryption mechanisms.

Talks 31/05/2017

18:40“Combater o paradigma do spam de email
António Pais

Celebram-se já, quase 40 anos desde o envio da primeira mensagem de email considerada como sendo a spam e desde então, deu-se inicio à maior ameaça de segurança electrónica que o mundo digital enfrenta atualmente. Estudos recentes indicam que para este ano será ultrapassada a fasquia de mil milhões de dólares em prejuízos devido a resgate de informação conhecido como “Ramsonware” e que tem origem na sua grande maioria no spam de email.
Mais complexa ou menos complexa, a única forma encontrada até hoje para combater o spam chama-se de filtragem, chegando a maioria delas a prometer capacidades de proteção na ordem dos 99,99%.
Que razões poderão estar por detrás de todo este esforço e mesmo assim o spam de email continua nos 65% em todo o mundo?
– Interesses corporativos?
– Incapacidade perante uma “receita” continua e sem evolução chamada de filtragem?
Pretendo demonstrar que existe uma alternativa válida e que devidamente ponderada, pode-se comprovar de forma teórica que é possível contrariar esta tendência. De outra forma, quantos mais anos vamos continuar a sofrer as consequências?

19:10“Fundamentos das blockchains
João Poupino

Têm havido talks muito boas acerca de Bitcoin e tecnologias baseadas em blockchains. Conceitos como “folha de Excel distribuída” e “imutabilidade” são usados. Embora isto seja interessante e dê asas à nossa imaginação, pode deixar-nos confusos em relação ao que é exactamente uma blockchain e como funciona internamente (o conceito de “blockchain” foi confuso para mim durante muito tempo). Nesta talk, vou tentar explicar os princípios básicos de uma blockchain, a partir de uma perspectiva técnica e de baixo-nível; começamos por discutir como funciona uma função de hashing e construímos uma blockchain a partir daí. Espero que a talk consiga dissipar algumas dúvidas e criar outras mais interessantes.

Talks 29/03/2017

Solicitamos a todos que cheguem pelas 18h30! A partir do momento em que começar a sessão, a abertura da porta poderá ser demorada.

18:30“Integrações entre aplicações podem impactar a sua empresa?
Flávio Shiga

Atualmente é muito comum aplicações corporativas possuírem integrações para que elas se comuniquem, porém será que existe risco nesta comunicação?
Como por o exemplo as lojas virtuais que comercializam produtos pela internet, onde terceirizaram o serviço de pagamento para evitar investimentos no desenvolvimento destas funcionalidades, assim como questões de conformidade e demais responsabilidade pelos pagamentos, como o chargeback.
Nesta palestra vou apresentar uma pesquisa que realizei, mostrando casos reais e os impactos no negócio que podem acontecer caso as integrações entre as aplicações não sejam seguras.

19:15“SELinux para Pessoas Normais
Carlos Rodrigues

Em 30 minutos vou tentar convencer a audiência que o SELinux, apesar de complexo, não é incompreensível nem está limitado a cenários exóticos. Pelo contrário, é perfeitamente acessível e aplicável a cenários normais com requisitos normais.

Talks 25/01/2017

Solicitamos a todos que cheguem pelas 18h30! A partir do momento em que começar a sessão, a abertura da porta poderá ser demorada.

18:30 – “Lucky Me
Luís Gomes

Uma análise a uma solução(blackBox) que gere alguns sorteios. Onde será demonstrado que devido a alguns erros seria possível aceder e controlar a informação.

19:15 – “Password Profiling
Tiago Carvalho

Uma prova de conceito/analize sobre uma das frases mais repetidas online sobre password cracking, “eficácia aumenta com o numero de sessões que se fazem”, e sugestões para optmizar o processo e reduzir o tempo.

Talks 26/10/2016

Solicitamos a todos que cheguem pelas 18h30! A partir do momento em que começar a sessão, a abertura da porta poderá ser demorada.

18:40 – “GSM: Connect. Intercept. Collect.
Miguel Mota Veiga

A quick overview about the GSM protocol, is particular weaknesses and, how can we build a Stingray for less than 800€ in order to exploit it and, intercept GSM data.

Talks 29/06/2016

Solicitamos a todos que cheguem pelas 18h30! A partir do momento em que começar a sessão, a abertura da porta poderá ser demorada.

18:40Ransomware – I own your files, now what?
David Marques

I will talk about ransomware history, common infection vectors, why it is so hard to avoid it, how to avoid it and what will the future bring!

19:10 – “Security Headers”
Herman Duarte

This talk is about security headers used in the HTTP/HTTPS protocols.

19:30 – “In Headers/Padlocks/Site Seals & CA’s we trust
Filipe Bernardo

Nowadays there are many online services that “help” in the verification of the security configuration of our servers. These include checks on HTTP security headers, verification of SSL certificates and even checking the CSR’s. This presentation briefly shows some of these online tests we can do to be sure that we have a “safe” server. At the end we will see that the important thing is to have a seal of approval of a Certification Authority.</sarcasm>

19:50 – “Resolução do desafio 0x1 Bad Luck”
Herman Duarte