quarta-feira, 26 de abril de 2017

Palestra - SECOMP UECE (2017)

Pessoal,

Esta semana eu vou apresentar mais uma palestra na SECOMP (Semana da computação) da UECE sobre o tema de segurança em IoT (Internet das Coisas). A palestra será realizada no auditório central da universidade.

Para maiores informações: http://www.secomp.uece.br/palestras-2017/

Observação: A palestra foi antecipada para esta quinta-feira no horário da manhã! 



quinta-feira, 30 de março de 2017

Palestra - Hacking The IoT: MQTT Protocol (Roadsec Fortaleza)

Pessoal, 

Eu vou palestrar mais uma vez no Roadsec Fortaleza! 

O nome da palestra é: "Hacking the IoT: MQTT Protocol". 

Nesta palestra serão apresentados os fundamentos do protocolo MQTT, um dos principais protocolos M2M (Machine-to-Machine) para a Internet das Coisas, e pontos importantes sobre sua segurança. 

O evento vai ser novamente na faculdade Farias Brito durante o dia 08/04. 

Para maiores informações: http://roadsec.com.br/fortaleza2017/


sexta-feira, 24 de fevereiro de 2017

Engenharia reversa de sinais de RF com SDR

Pessoal,

Nesta postagem eu vou apresentar um resumo de algumas palestras minhas, sobre o tema de SDR (Software Defined Radio), realizadas no ano passado (BSides SP e Roadsec). O vídeo abaixo demonstra um processo de engenharia reversa em sinais de RF (Rádio-Frequência) utilizando SDR.

terça-feira, 10 de janeiro de 2017

iFood + Python + Gephi == Food Stalker

Pessoal,

Nesta postagem eu vou estar falando um pouco sobre uma pequena ideia que eu tive durante o final de semana: analisar as avaliações de restaurantes/lanchonetes presentes no aplicativo do iFood para retirar informações de preferências de usuários sobre uma determinada região (latitude e longitude). A abordagem apresentada pode ser utilizada como um vetor de pesquisas durante uma atividade de levantamento de informações (OSINT).

Ambiente de Teste

O ambiente de testes foi composto por 3 elementos:
  1. iPhone 5S com aplicativo instalado
  2. VM Android (Genymotion) com aplicativo instalado. 
  3. Kali Linux com Burp Proxy (interceptação e análise das requisições HTTP).
Requisições HTTP

O aplicativo realiza 3 requisições importantes para a pesquisa de locais.
  • /ifood-ws-v3/address/locationsByLatLon: define a localização do usuário a partir de suas coordenadas (latitude e longitude). Este método do Web Service retorna uma variável "locationId" que será utilizada nas demais requisições (demonstrado na figura 01).
Figura 01: Obtendo a localização do usuário
  • /ifood-ws-v3/restaurant/list: utiliza o parâmetro "locationId" para obter uma lista dos restaurantes/lanchonetes próximos ao usuário. Cada restaurante identificado na região do usuário apresenta um identificador único: "restaurantId" (demonstrado na figura 02).
Figura 02: Obtendo lista de restaurantes
  • /ifood-ws-v3/restaurant/evaluations: retorna uma lista com as avaliações realizadas pelos usuários da aplicação para um determinado restaurante/lanchonete (demonstrado na figura 03).
Figura 03: Obtendo lista de avaliações

Prova de conceito (PoC)

Eu criei um script em Python para gerar as requisições HTTP e obter as avaliações de usuários sobre os restaurantes próximos a uma determinada localização (latitude e longitude). Estou utilizando a biblioteca NetworkX para gerar um grafo direcionado com todas as relações entre usuários e locais. A ferramenta Gephi esta sendo utilizada para visualizar o grafo gerado pelo script. O vídeo abaixo demonstra a execução do script.



sexta-feira, 25 de novembro de 2016

Palestra + Workshop: E-FASE 2016

Pessoal,

Nesta segunda-feira (28/11), eu estarei no evento "E-FASE 2016" em Aracaju (Sergipe). Eu vou ministrar um workshop sobre "Introdução a Pentest" e também vou realizar uma palestra sobre o tema de SDR (Software Defined Radio). 

As inscrições podem ser realizadas pelo link: E-FASE 2016





terça-feira, 25 de outubro de 2016

MorphusLabs: Domain Hijacking (Parte 01)

Pessoal,

Compartilhando um artigo escrito com o Renato Marinho no Morphus Labs.

Domain Hijacking (Versão: Inglês)
Domain Hijacking (Versão: Português)

Por favor escrevam suas sugestões e comentários !

Obrigado :)

Keep Hacking !


terça-feira, 18 de outubro de 2016

Treinamento: Reversing RF Signals with SDR 101 (BSides SP)

Pessoal,

Eu estarei ministrando o treinamento "Reversing RF Signals with SDR 101" na BSides São Paulo. Neste treinamento eu vou apresentar uma introdução ao tópico de SDR e demonstrar uma metodologia para engenharia reversa de sinais de rádio frequência. A conferência vai ocorrer nos dias 19 e 20 de Novembro na PUC-SP. 

Para maiores informações: http://sp13.securitybsides.com.br