sexta-feira, 13 de abril de 2018

Curso: Security Weekend

Pessoal,

Eu vou ministrar um novo curso presencial em Fortaleza. O nome do curso é "Security Weekend" e vai ser realizado durante os dias 02, 03, 16 e 17 de Junho. O curso tem como objetivo apresentar os temas de Pentest e Pericia Forense.

Maiores informações no link abaixo:

https://www.sympla.com.br/curso-security-weekend-turma-01__272834

terça-feira, 17 de outubro de 2017

Palestra - H2HC University 2017

Pessoal,

Neste sábado (21/Out) eu vou palestrar no H2HC University em São Paulo !

O título da palestra é "Hacking Ultrasound Machine for Fun and Profit". Esta palestra tem como objetivo apresentar os resultados da minha pesquisa sobre a segurança de equipamentos médicos e tecnologias frequentemente utilizadas em ambientes hospitalares (DICOM e PACS).

Para maiores informações: https://www.h2hc.com.br/h2hc/pt/


quarta-feira, 26 de abril de 2017

Palestra - SECOMP UECE (2017)

Pessoal,

Esta semana eu vou apresentar mais uma palestra na SECOMP (Semana da computação) da UECE sobre o tema de segurança em IoT (Internet das Coisas). A palestra será realizada no auditório central da universidade.

Para maiores informações: http://www.secomp.uece.br/palestras-2017/

Observação: A palestra foi antecipada para esta quinta-feira no horário da manhã! 



quinta-feira, 30 de março de 2017

Palestra - Hacking The IoT: MQTT Protocol (Roadsec Fortaleza)

Pessoal, 

Eu vou palestrar mais uma vez no Roadsec Fortaleza! 

O nome da palestra é: "Hacking the IoT: MQTT Protocol". 

Nesta palestra serão apresentados os fundamentos do protocolo MQTT, um dos principais protocolos M2M (Machine-to-Machine) para a Internet das Coisas, e pontos importantes sobre sua segurança. 

O evento vai ser novamente na faculdade Farias Brito durante o dia 08/04. 

Para maiores informações: http://roadsec.com.br/fortaleza2017/


sexta-feira, 24 de fevereiro de 2017

Engenharia reversa de sinais de RF com SDR

Pessoal,

Nesta postagem eu vou apresentar um resumo de algumas palestras minhas, sobre o tema de SDR (Software Defined Radio), realizadas no ano passado (BSides SP e Roadsec). O vídeo abaixo demonstra um processo de engenharia reversa em sinais de RF (Rádio-Frequência) utilizando SDR.

terça-feira, 10 de janeiro de 2017

iFood + Python + Gephi == Food Stalker

Pessoal,

Nesta postagem eu vou estar falando um pouco sobre uma pequena ideia que eu tive durante o final de semana: analisar as avaliações de restaurantes/lanchonetes presentes no aplicativo do iFood para retirar informações de preferências de usuários sobre uma determinada região (latitude e longitude). A abordagem apresentada pode ser utilizada como um vetor de pesquisas durante uma atividade de levantamento de informações (OSINT).

Ambiente de Teste

O ambiente de testes foi composto por 3 elementos:
  1. iPhone 5S com aplicativo instalado
  2. VM Android (Genymotion) com aplicativo instalado. 
  3. Kali Linux com Burp Proxy (interceptação e análise das requisições HTTP).
Requisições HTTP

O aplicativo realiza 3 requisições importantes para a pesquisa de locais.
  • /ifood-ws-v3/address/locationsByLatLon: define a localização do usuário a partir de suas coordenadas (latitude e longitude). Este método do Web Service retorna uma variável "locationId" que será utilizada nas demais requisições (demonstrado na figura 01).
Figura 01: Obtendo a localização do usuário
  • /ifood-ws-v3/restaurant/list: utiliza o parâmetro "locationId" para obter uma lista dos restaurantes/lanchonetes próximos ao usuário. Cada restaurante identificado na região do usuário apresenta um identificador único: "restaurantId" (demonstrado na figura 02).
Figura 02: Obtendo lista de restaurantes
  • /ifood-ws-v3/restaurant/evaluations: retorna uma lista com as avaliações realizadas pelos usuários da aplicação para um determinado restaurante/lanchonete (demonstrado na figura 03).
Figura 03: Obtendo lista de avaliações

Prova de conceito (PoC)

Eu criei um script em Python para gerar as requisições HTTP e obter as avaliações de usuários sobre os restaurantes próximos a uma determinada localização (latitude e longitude). Estou utilizando a biblioteca NetworkX para gerar um grafo direcionado com todas as relações entre usuários e locais. A ferramenta Gephi esta sendo utilizada para visualizar o grafo gerado pelo script. O vídeo abaixo demonstra a execução do script.



sexta-feira, 25 de novembro de 2016

Palestra + Workshop: E-FASE 2016

Pessoal,

Nesta segunda-feira (28/11), eu estarei no evento "E-FASE 2016" em Aracaju (Sergipe). Eu vou ministrar um workshop sobre "Introdução a Pentest" e também vou realizar uma palestra sobre o tema de SDR (Software Defined Radio). 

As inscrições podem ser realizadas pelo link: E-FASE 2016