Laboratório de Botnets e Workshop de segurança
Resumo das atividades:
Nesta parte do curso mostrará como tratar incidentes com a ferramenta Snort. Principalmente como o CAIS utiliza dados proveninentes do IDS Snort para identificar incidentes de segurança e tratá-los, incluindo a automatização do processo através de scripts e a detecção de falsos positivos, através de análise das regras e pacotes associados. Serão usados exemplos reais de incidentes tratados pelo CAIS.
O Laboratório de Botnets irá mostrar o funcionamento real de uma botnet, o processo de infecção das máquinas, a realização do controle destas em um canal IRC, a identificação de máquinas comprometidas e as ações de combate.
Neste laboratório serão vistas técnicas e ferramentas para realizar análise reversa de binários suspeitos, utilizando um conhecimento apenas mínimo sobre linguagem assembler. Diversos exercícios serão realizados envolvendo análise de binarios estáticos e dinâmicos, obfuscação de código e outras técnicas de evasão. Serão vistas ainda técnicas para análise de máquinas comprometidas "ao vivo" utilizando ferramentas disponíveis na própria máquina em questão.
14:00 - 14:40
14:40 - 15:20
15:20 - 16:00
Curso
CAIS 2005-2006
16:00 - 16:30
Intervalo
16:30 - 18:00
Reunião informal do Workshop de segurança
O trabalho descreve uma ferramenta desenvolvida com o objetivo de monitorar o comportamento de ataques de forca bruta contra o servico SSH (Secure Shell). Estes ataques estao sendo largamente disseminados na Internet. A ferramenta foi desenvolvida de modo a ser utilizada como um servidor isolado, ou fazendo parte de um honeypot (honeyd). A ferramenta e capaz de obter informacoes sobre conexes, usuarios, senhas, versao do protocolo SSH e comandos utilizados apos um ataque bem-sucedido.
Esta ferramenta foi utilizada para coleta de dados em um perodo de tempo utilizando honeypots, e algumas estatsticas e tendencias sao apresentadas no trabalho. Finalmente, algumas ferramentas de ataque de forca bruta SSH sao analisadas e algumas recomendacoes sao feitas para melhorar a seguranca deste tipo de serviço.
Os anos de 2004/2005 veem se firmando com o ano dos malwares. Nesta palestra iremos traçar um paralelo entre o desenvolvimento de alguns malwares para entendermos os motivos que levaram a essa situação. Veremos também como o SANS Internet Storm Center, uma organização do The SANS Institute, auxilia numa rápida detecção desses Vírus, Worms, Bots e BotNets, e como ele pode servir de fonte pública de auxílio em casos de incidentes de segurança e análises dessas pragas virtuais. Ainda, teremos a oportunidade de conhecer e entender as últimas ameaças presentes na Internet.
Qual o padrão hacker, ataques internet e como, porque e onde foi criado o GRA, evolução, equipe, processos.
As atividades desenvolvidas na administracao de redes computadores, em especial aquelas vinculadas a seguranca das informacoes, devem ser vistas sob outros angulos que nao apenas os tecnicos, pois envolvem obrigacoes e responsabilidades nao apenas dos administradores, mas tambem das organizacoes as quais estao vinculados. A palestra pretende apresentar conceitos que auxiliam a compreender e resolver os problemas destes ambientes de trabalho.
As atividades desenvolvidas na administracao de redes computadores, em especial aquelas vinculadas a seguranca das informacoes, devem ser vistas sob outros angulos que nao apenas os tecnicos, pois envolvem obrigacoes e responsabilidades nao apenas dos administradores, mas tambem das organizacoes as quais estao vinculados. A palestra pretende apresentar conceitos que auxiliam a compreender e resolver os problemas destes ambientes de trabalho.
São apontadas na apresentação os fatos que tem levado o Brasil a ser considerada a capital mundial dos hackers. Sao abordados tambem fatos relacionados com a geracao de recusos por parte da couinidade hackers, termo conhecido como economina underground. Serão mostrados depoimentos de membros de grupos hackers brasileiros especializados em ataques de trocas de páginas.
Apresentadores
![[BR]](../../../../_icons/paises/br.gif){kind=icon}
Perito Criminal Federal, Mestre em Ciencias da Computacao pela Universidade de Brasilia, atualmente exercendo a funcao de Coordenador do Centro de Tratamento de Incidentes em Redes do Governo Federal - CTIR Gov, no Gabinete de Seguranca Institucional da Presidencia da Republica.
Formado em Análise de Sistema em 1985, pela Universidade Federal do Paraná. Trabalha no SERPRO desde 1979, quando atuou na área de produção na Regional Curitiba. Após participou do grupo de DataWareHouse em Brasília. Atua na área de tratamento de incidentes desde 1999, a qual
participou na criação do grupo no SERPRO aonde trabalha até hoje. Em 2004 obteve certificação em Analise Forense e na BS7799.
Guilherme Vênere é formado em Ciências da Computação pela Universidade Federal de São Carlos. Tem 11 anos de experiência na área de administração de redes e segurança, sendo que nos últimos 3 anos trabalha como analista de segurança no CAIS/RNP (Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa). É membro do FIRST (http://www.first.org) e instrutor de cursos de análise forense pelo CAIS/RNP, tendo ministrado diversos cursos no Brasil e em eventos no exterior. Possui certificações GCFA e Auditor BS-7799-2. Atualmente trabalha com sistemas de detecção de ataques no backbone da RNP.
é Bacharel em Ciência da Computação, especialista em Sistemas Distribuídos e mestrando em Mecatrônica pela UFBA. Microsoft Certified Professional em Windows 2000 Server. Atua como Analista de Segurança Sênior junto ao Cais/RNP. Possui 11 anos de experiência na área de Redes de Computadores e 9 anos de experiência especificamente na área de Segurança da Informação, tendo desenvolvido diversos projetos nesta área no Brasil.
Jacomo Dimmit Boca Piccolini formado em Engenharia pela UFSCar, com pós-graduaçoes no Instituto de Computação e Instituto de Economia da UNICAMP. GCIA, GIAC Certified Intrusion Analyst e GCFA, GIAC Certified Forensics Analyst, e atua como Analista de Segurança Sênior junto ao CAIS (Centro de Atendimento a Incidentes de Segurança) da Rede Nacional de Ensino e Pesquisa (http://www.rnp.br/cais/). Possui mais de 8 anos de experiência na área de segurança, com enfoque atualmente na área de analise forense e análise de malware, além de atuar como coordenador das atividades de hands-on do FIRST.
Pedro Bueno foi o coordenador do CSIRT de uma das maiores empresas telefônicas do Brasil e atualmente é um engenheiro de pesquisas em Anti Virus para o AvertLabs da McAfee. Ele é um dos handlers do Internet Storm Center do SANS Institute, onde trata diariamente das mais novas ocorrências de segurança na Internet, e foi o autor de uma série de Questionários de Análise de Artefatos Maliciosos. Ele também é membro do SANS Top 20 Internet Security Vulnerabilities Team por 5 anos já.