EVENTOS


Daniela Seabra Oliveira

http://www.daniela.ece.ufl.edu/Home.html

Daniela Seabra Oliveira é docente do Instituto Warren B. Nelms da Universidade da Flórida. Seu principal interesse de pesquisa é a segurança de computadores, onde ela emprega com sucesso ideias de outros campos para tornar os sistemas de computador mais seguros. Seus interesses de pesquisa atuais incluem (i) fatores humanos em segurança (cyber decepção, phishing, pontos cegos do desenvolvedor) e (ii) segurança de sistemas / IoT, especialmente a aplicação de fluxo de informações dinâmico para impedir ataques. Ela é Diretora de Diversidade do Instituto de Segurança Cibernética da Flórida (FICS) da Universidade da Flórida, da qual participa desde 2014 como parte do Programa de Contratação de Preeminência da UF (Departamento de Engenharia Elétrica e de Computação).

Palestra: Cyber ​​Deception e Engenharia Social: Por que esses ataques serão os mais devastadores da próxima década?

O engano online e a engenharia social estão se tornando mais comuns, à medida que os indivíduos navegam cada vez mais por um mundo conectado digitalmente. Os avanços tecnológicos e as diversificações dos meios de comunicação on-line estão abrindo vários caminhos para todos os tipos de fraudes on-line, golpes e ataques. Os ataques que envolvem engenharia social e fraude tentam influenciar um usuário da Internet (corporativo ou usuário final) para realizar uma ação que contrarie os interesses dele, de sua instituição ou até mesmo do país dele. Quando influenciados, os indivíduos podem clicar em links maliciosos ou abrir anexos maliciosos que instalam malware em seus computadores ou podem visitar páginas de phishing que podem roubar suas credenciais. Nesta palestra, discutirei as estratégias de influência que os invasores utilizam nesses ataques e as graves implicações desses ataques para a segurança cibernética corporativa, o bem-estar financeiro e emocional dos indivíduos e as democracias dos Estados nacionais. Também discutirei como certos dados demográficos são mais suscetíveis ao engano e defendo uma agenda de pesquisa interdisciplinar para combater esses ataques, combinando segurança, psicologia e neurociência utilizáveis.


Natalie Silvanovich

https://github.com/natashenka

Natalie Silvanovich é pesquisadora de segurança no Google Project Zero. Seu foco atual está nos mecanismos de script, particularmente no entendimento das sutilezas das linguagens de script que eles implementam e como elas levam a vulnerabilidades. Ela é uma grande pesquisadora nessa área, relatando mais de cem vulnerabilidades no Adobe Flash no ano passado. Anteriormente, ela trabalhou em segurança móvel na Equipe de segurança do Android no Google e como líder de equipe do Grupo de Pesquisa de Segurança da BlackBerry, onde seu trabalho incluiu encontrar problemas de segurança em software para dispositivos móveis e melhorar a segurança de plataformas móveis. Fora do trabalho, Natalie gosta de aplicar suas habilidades de hacking e engenharia reversa em alvos incomuns e já falou em várias conferências sobre o tema do hacking Tamagotchi.

Palestra: A segurança dos recursos recentes do navegador

Vários novos recursos foram adicionados aos navegadores nos últimos anos, incluindo adições ao Web Assembly, WebRTC e JavaScript. Esta apresentação descreverá a análise do Project Zero desses recursos. Ela explicará nossas técnicas para encontrar bugs nesses meta-dados e fornecerá uma visão geral das vulnerabilidades encontradas.


Minicursos


MC1 - Ameaças de Segurança, Defesas e Análise de Dados em IoT baseada em Redes Definidas por Software

Autores: Nelson Prates (UFPR), Mateus Pelloso (IFC), Ricardo Tombesi Macedo (UFSM/UFPR), Michele Nogueira (UFPR)
Resumo:

As Redes Definidas por Software (SDN) solucionam diversos problemas de escalabilidade e mobilidade do modelo tradicional de redes. Isto tem potencializado o desenvolvimento de mecanismos de gerência de redes para tecnologias emergentes como a Internet das Coisas (IoT). No entanto, estas redes são suscetíveis a ameaças contra a autenticidade, confidencialidade, integridade e disponibilidade dos dados e serviços da rede. Este minicurso apresenta as principais ameaças e defesas em redes IoT baseadas em SDNs. A metodologia adotada neste minicurso segue uma perspectiva teórica e prática. A parte teórica introduz os principais conceitos, ameaças e contramedidas no contexto de redes IoT convencionais e IoT baseadas em SDN. A parte prática aborda um estudo de caso relacionado ataques de negação de serviço, envolvendo a simulação e a análise do comportamento da rede através da extração de análise de dados usando métodos de aprendizagem estatística. Através deste minicurso os alunos identificarão os principais desafios de pesquisa em aberto relacionados com a segurança da IoT e as SDNs.


MC2 - Criptografia Assimétrica para Programadores? Evitando outros maus usos da criptografia em sistemas de software

Autores: Alexandre Braga (UNICAMP), Ricardo Dahab (UNICAMP)
Resumo:

Existe um interesse crescente na academia e na indústria pelos aspectos práticos, do mundo real, relacionados aos maus usos da tecnologia criptográfica que levam a vulnerabilidades exploráveis em sistemas de software. Este minicurso buscará atender a demanda crescente por material didático voltado para a utilização correta de implementações criptográficas por programadores não especialistas em criptografia. O minicurso abordará a utilização programática de criptografia assimétrica por desenvolvedores de software com pouca experiência em segurança da informação e criptografia. Java é a linguagem de programação escolhida para este minicurso por que possui uma API padronizada e estável que vem sendo usada por desenvolvedores de software por muito tempo, tendo sido adotada também pela plataforma Android. Existem estudos e dados históricos sobre como a criptografia pode ser mal utilizada em Java, mesmo com o uso correto da API criptográfica, resultando em vulnerabilidades identificáveis diretamente no código fonte. O minicurso dará continuidade ao minicurso anterior intitulado: Introdução à criptografia para programadores (publicado no SBSeg 2015), tendo o objetivo de mostrar aos programadores de software os bons e maus usos da criptografia assimétrica, por meio de exemplos reais, contraexemplos, trechos de código e programas ilustrativos em Java.


MC3 - Análise de binários e sistemas assistida por hardware

Autores: Marcus Botacin (UFPR), Paulo de Geus (UNICAMP), André Grégio (UFPR)
Resumo:

A análise de binários é um importante instrumento para a identificação de problemas ou descoberta de comportamentos suspeitos em programas, tais como vazamento de memória e exposição de dados sensíveis. Quando estendida ao kernel, tal análise permite que se busque por problemas no nível do sistema operacional. Porém, aplicações protegidas por mecanismos anti-análise, seja para impedir a violação de propriedade intelectual ou para evitar que um programa malicioso seja investigado, requerem técnicas mais avançadas, de forma que a ferramenta de análise seja o mais privilegiada e transparente possível. Este minicurso tem o objetivo de introduzir o uso de suporte de hardware para a inspeção de binários e sistemas. O curso aborda conceitos teóricos e componentes práticas, abrangendo desde o funcionamento dos processadores modernos até a aplicação de suas instruções especiais para a análise de binários e sistemas de forma transparente, passando pelo estudo das técnicas evasivas utilizadas em mecanismos anti-análise. Com isso, os participantes serão atualizados no estado-da-arte em análise assistida por hardware voltada para sistemas modernos e programas evasivos.


MC4 - Blockchain para Segurança em Redes Elétricas Inteligentes: Aplicações, Tendências e Desafios

Autores: Diogo Mattos (UFF), Dianne Medeiros (UFF), Natalia Fernandes (UFF), Marcela Tuler (UFF), Gabriel Carrara (UFF), Arthur Soares (UFF), Luiz Claudio Magalhães (UFF), Diego Passos (UFF), Ricardo Carrano (UFF), Igor Moraes (UFF), Célio Albuquerque (UFF), Débora Muchaluat-Saade (UFF)
Resumo:

O objetivo principal deste minicurso é apresentar como a tecnologia de cadeia de blocos (blockchain) melhora a segurança, provendo a confiabilidade, a privacidade e a auditoria, em sistemas críticos, como as redes elétricas inteligentes. Este minicurso foca na aplicabilidade da tecnologia de cadeia de blocos no setor elétrico, a fim de aprimorar os processos de monitoramento e faturamento da rede de geração e transmissão de energia elétrica. A tecnologia de cadeia de blocos fornece uma estrutura de dados capaz de armazenar transações de forma ordenada e encadeada ao bloco anterior, servindo como um sistema confiável de registros distribuído. Aplicações que utilizam essa tecnologia possibilitam a implementação dos contratos inteligentes (smart contracts) que têm o objetivo de verificar e facilitar a negociação e execução de contratos entre partes, sem a necessidade de intermédio de uma autoridade central. Assim, o uso da tecnologia de cadeia de blocos e contratos inteligentes tem o potencial de prover segurança ao sistema elétrico e reduzir os erros de armazenamento e processamento das medições no sistema. Adicionalmente, essa tecnologia reduz o risco de fraudes através de uma auditoria mais confiável e da garantia de execução dos contratos inteligentes. O minicurso conta com uma abordagem teórica sobre o tema, apresentando uma visão geral sobre a tecnologia de cadeia de blocos e o uso dos contratos inteligentes, discutindo especificamente os desafios encontrados no setor elétrico para monitorar ativos e realizar o faturamento entre empresas parceiras e consumidores de forma confiável. Apresentam-se, ainda, as tendências e contribuições da tecnologia de cadeia de blocos particularmente para essa nova área de pesquisa. Compara-se o desempenho do modelo baseado na tecnologia de cadeia de blocos e dos modelos atuais utilizados para monitoramento e faturamento no sistema elétrico. O minicurso também analisa e discute os desafios em aberto para motivar os participantes a desenvolver pesquisas na área de segurança para redes elétricas. Por fim, o minicurso conta com uma demonstração prática da criação de uma cadeia de blocos privada e da implantação de contratos inteligentes para o setor elétrico sobre a plataforma Ethereum.


WGID – VIII WORKSHOP DE GESTÃO DE IDENTIDADES DIGITAIS


A Gestão de Identidade pode ser entendida como o conjunto de processos e tecnologias usados para garantir a identidade de uma entidade, a qualidade das informações de uma identidade (identificadores, credenciais e atributos) e utilizar essas garantias em procedimentos de autenticação, autorização e auditoria (AAA – Authentication, Authorization and Accounting). O VIII Workshop de Gestão de Identidades Digitais (WGID) visa ser um fórum para discussões e apresentações técnicas de trabalhos em torno do estado da arte de tecnologias relacionadas com gestão de identidades. Além disso, busca-se também identificar novos desafios de pesquisa e incentivar as discussões entre pesquisadores da área. As novidades desta edição são as "Lightning Talks" que são palestras de 5 minutos para apresentar novas idéias à comunidade e a possibilidade de indicar que qualquer uma de suas submissões como "Experiência" para apresentar resultados des projetos de inovação na área.

Tópicos de Interesse: Gestão de Identidade e Acesso na IoT, Gestão de Identidade e Acesso em tecnologias emergentes (e.g. NFV, SDN, Cloud, Fog Computing etc), Gestão de Identidade em Redes, Gestão de Identidade em Aplicações (redes sociais, TV digital, e-banking, smart grids, e-gov etc), Modelos de Controle de Acesso (ABAC, RBAC etc), Gestão de Atributos (agregação, mapeamento, certificação), Arquiteturas de Referência e Frameworks para Gestão de Identidade (IdM), Protocolos de autenticação e autorização, Novas abordagens de autenticação e autorização, Privacidade e anonimato em sistemas de IdM, Certificação digital, Ciclo de vida de identidades digitais (provisionamento e administração), Escalabilidade em sistemas de IdM, Ferramentas para gestão/monitoramento de federações, Gerenciamento de confiança (trust management) em sistema de IdM, Gestão de Identidades Federadas, Interoperabilidade entre sistemas de IdM, Níveis de garantia (Level of Assurance) em IdM, Técnicas de prevenção contra fraudes e roubo de identidade, Usabilidade em tecnologias de Gestão de Identidade, Auditoria e responsabilização na gestão de identidade e acesso.