ROADSEC 2015 - Hacking, Segurança e Tecnologia em São Paulo

Por Adriano Ponte | 13 de Novembro de 2015 às 20h26
photo_camera Adriano Ponte

Ontem (12) foi realizada a ROADSEC São Paulo 2015, com a final do seu campeonato de "Hackaflag", oficinas e palestras sobre segurança da informação e hacking. E por falar em oficinas, dentre elas o evento contou com as de Anki Drive, Lock Picking, Lego Mindstorms, Pixel Beads e Littlebits.

ROADSEC 2015

Vista do Palco "Stage" da ROADSEC 2015

A ROADSEC também reuniu estandes de empresas de segurança em TI com suas soluções para bancos de dados e servidores, além de serviços voltados ao mercado empresarial.

ROADSEC 2015

Parte do estande da Symantec, mostrando locais de ataques em tempo real

Completando o circuito realizado pela ROADSEC ao longo desse ano, foi realizada a fase final da competição de "capture a bandeira" digital (onde os finalistas das fases passadas mantiveram seus esforços para pontuar durante todo o evento, cada um em seu computador). Ao final do dia de eventos, a competição chegou ao final e premiou o competidor "Saulo", de Fortaleza como campeão brasileiro do HACK-A-FLAG ROADSEC.

ROADSEC 2015

Troféu da Symantec para o campeonato de "hack-a-flag"

Hey, Android, show me your nudes

Com título provocativo, a palestra trazida por Leocadio Tine mostrou um exemplo prático de abuso possível por aplicativos mal intencionados no Android. Aproveitando a cópia de uso interno mantida pelo WhatsApp sem conhecimento do usuário, Leocadio conseguiu reaver as fotos compartilhadas pelo aplicativo, mesmo após apagá-las de todos os locais possíveis para o usuário.

ROADSEC 2015

Leocadio Tine, desenvolvedor de aplicações para Android e iOS

Foi demonstrado como as permissões básicas de sistema podem conferir grandes poderes para desenvolvedores mal intencionados. Tomando por exemplo o acesso à internet e ao cartão de memória do usuário (dentro de um app para download de papéis de parede), é possível transmitir toda mídia ali disponível para terceiros, sem consentimento do proprietário.

O Facebook (app que pede praticamente todas as permissões de uso e controle do Android) pode ser um trabalho bem intencionado e legítimo, mas acaba tendo acesso demais ao sistema. Uma brecha de segurança abre a porta de todos os acessos garantidos não somente para o Facebook, mas também para o atacante que descobriu a vulnerabilidade.

As permissões de sistema na versão 6.0 do Android tendem apenas a oferecer mais profundidade para os apps, garantindo com as "normal permissions" (acesso nativo, mesmo sem autorização do usuário às funções) mais capacidade de ação, sendo algumas delas:

  • Escanear redes Wi-Fi próximas (para localização aproximada)
  • Acesso à internet (para transmitir dados a qualquer momento)
  • Iniciar com o aparelho e manter o processador ativo (para execução das tarefas acima)

Diante do que foi mostrado no evento, vamos ficar de olho para ver como isso vai ser utilizado (ou não) pela nova geração de apps que deve vir com a popularização do Android Marshmallow.

Ameaças avançadas e persistentes

Conduzida por Bruno Zani (da Intel Security), a palestra discutiu os principais pontos da segurança digital com o usuário final. Não basta ter um cliente capacitado, é necessário tornar os pontos de segurança fáceis de ser atingidos. Um exemplo prático é o Touch ID, apresentado pela Apple, que exige de forma fácil um grau de segurança muito alto.

ROADSEC 2015

Bruno Zani, da Intel Security

Instituições bancárias são tradicionalmente focadas em segurança, mas sites menores e consumidores finais não. O trabalho dos profissionais de TI é o foco em garantir apps tão seguros quanto os servidores das instituições, deixando menos elos vulneráveis na corrente.

Soluções em hardware (como os processadores Skylake, da Intel) são algumas das ferramentas possíveis para dificultar ataques, mantendo criptografia física de dados críticos.

Finalizando, concorrentes das atuais soluções financeiras (vulgo "bancos") são de fato serviços como o PayPal, Apple Pay e Amazon (todos esses fazendo de forma segura a gestão do dinheiro online, e de forma simples para o usuário final). Fica a previsão de que as instituições bancárias têm tempo de vida limitado se não migrarem para tal tipo de solução.

A ROADSEC deve voltar ano que vem a São Paulo, trazendo sua edição de 2016 com mais novidades sobre segurança e tecnologia.

Fique ligado aqui no Canaltech para mais notícias e eventos como este!

Inscreva-se em nosso canal do YouTube!

Análises, dicas, cobertura de eventos e muito mais. Todo dia tem vídeo novo para você.