sábado, janeiro 15, 2011

Security Lounge

Não é novidade que desde 2006, eu, o Luiz Eduardo e o Nelson Murilo fazemos um podcast de segurança da informação chamado I sh0t the Sheriff. Graças a esta primeira iniciativa, partimos para a criação de um evento inovador que em maio de 2011 terá a sua quinta edição, o You sh0t the Sheriff. De nossa amizade, surgiu a STS Produções.

No meio de 2010 em um bate papo casual entre uma cerveja e outra com meu primo Mario Jun, da produtora de TV Imagens do Japão, começamos a pensar em um programa de televisão para ser transmitido via Internet. O tal do "videocast".

Após muitos e-mails e conversas com o Luiz e Nelson, além do Mario Jun, fomos aos poucos chegando a um formato que nos pareceu ideal. Convidamos o amigo e sempre parceiro em nossas iniciativas, André Trindade para participar desta primeira edição. Dois parceiros acreditaram na iniciativa e investiram: A Conviso IT security e a Tabacaria Nacional. E contamos é claro, com a produção, edição e direção do Mario Jun e sua equipe do Imagens do Japão, que desde o começo acreditaram e investiram nesta iniciativa.

Temos um piloto do videocast Security Lounge. Espero que gostem. :)

terça-feira, novembro 02, 2010

YSTS V Call for Papers



YSTS 5a. Edicao

Sao Paulo, Brasil

16 de Maio de 2011

INTRODUCAO

Com o grande sucesso das edicoes anteiores, a 5a. edicao do you Sh0t the Sheriff ocorrera em 16 de maio de 2011 em Sao Paulo, Brasil.
Esta pode ser uma excelente oportunidade para falar sobre alguma pesquisa ou projeto interessante que voce esteja trabalhando.



SOBRE A CONFERENCIA

you Sh0t the Sheriff e uma conferencia unica, com duracao de um dia apenas, focada em palestras sobre temas recentes e interessantes, com os principais profissionais da comunidade de seguranca no Brasil.

O foco da conferencia e trazer o que ha de mais atual sobre seguranca da informacao, combinando profissionais e topicos das mais variadas areas existentes dentro deste mercado

yStS e um evento exclusivo, composto em sua maior parte por um publico convidado. Uma vez que uma palestra seja aceita, o palestrante nao somente participa do evento, mas apos ter apresentado, recebe tambem
uma moeda exclusiva que sera seu passaporte para entrar em qualquer outra edicao do evento, enquanto ele existir.

Tendo em vista o avassalador sucesso das edicoes dos anos anteriores, sim, nos mantivemos o mesmo e consagrado formato:

* yStS 5 acontecera em um local secreto, somente revelado semanas antes da realizacao do evento.

* O local sera um bar ou algo similar.

* Ambiente descontraido apropriado para aumentar a rede de relacionamentos com pessoas ligadas a seguranca da informacao no brasil e no fora.

* Sendo uma conferencia de apenas um dia, com varias palestras excelentes, teremos cafe, almoco e open-bar no periodo da tarde.


FORMATO DA CONFERENCIA

Qualquer tema relacionado com seguranca da informacao e' relevante para a conferencia, porem nao serao aceitas palestras comerciais ou de produtos.

Alguns temas relacionados com seguranca da informacao que certamente temos interesse sao:

* Sistemas operacionais
* Topicos sobre Gerencia/Gestao e Carreira
* Dispositivos moveis e sistemas embarcados
* Auditoria e controle
* Topicos sobre Redes sociais e mecanismos de busca
* Politicas de seguranca da informacao
* Privacidade
* Problemas com protocolos de rede
* Seguranca do nivel 1 ao 7
* Temas relacionado com redes 802.11 e e Radio Frequencia
* Autenticacao
* Criptografia
* Reposta a incidentes e temas relacionados
* Guerra cibernetica
* Malware
* Botnets
* Programacao segura
* Hacker spaces
* Fuzzing em protocolos ou aplicacoes
* Seguranca fisica
* Virtualizacao
* Seguranca em aplicacoes WEB
* Seguranca em bancos de dados
* Computacao nas nuvens
* Fragilidades em sistemas
* Sistemas criticos e de infrastrutura
* Engenharia social
* Engenharia reversa
* E qualquer outra coisa relacionada com seguranca da informacao que possa interessar aos participantes do evento.


Nos gostamos de palestras curtas, entao, por favor ao submeter tenha em mente que tera 30 minutos e nao mais que isso para passar sua mensagem. Ou se deseja falar rapidamente sobre um projeto recem iniciado ou algo
semelhante pode optar por fazer uma apresentacao de 15 minutos.

you Sh0t the Sheriff e a conferencia perfeita para lancar seus novos projetos, acredite, muitas pessoas ja mostraram grandes novidades aqui antes de apresentar em outras grandes conferencias.

E sim, nos preferimos topicos novos e interessantes e certamente palestrantes iniciantes sao mais que bem-vindos.

Se voce tem um excelente tema para falar, e' tudo que precisa.


PRIVILEGIOS AOS PALESTRANTES
(somente para palestras de 30 minutos)

* RS$ 700,00 para ajuda na cobertura de despesas de viagens a partir do territorio nacional e fora da grande Sao Paulo.

* Cafe da manha, almoco e jantar durante a conferencia

* Festas oficiais de Pre-e-pos-conferencia (e outras nao-oficiais tambem)

* Auditoria de produtos em tradicionais churrascarias.

* Acesso a todas as futuras edicoes da conferencia yStS (sim, se voce foi palestrante em alguma edicao anterior, sua entrada gratuita esta garantida, so nos pague uma cerveja por isso... esqueca, a bebida no evento e'
de graca.)


INFORMACOES SOBRE SUBMISSAO DE ARTIGOS

Cada submissao devera incluir as seguintes informacoes

* Nome, titulo, endereco, email e telefone de contato
* Resumo biografico e qualificacoes
* Experiencia como palestrante
* Sumario e abstrato da apresentacao
* Palestra de 30 ou 15 minutos?
* Outros recursos alem de um projetor
* Outras publicacoes ou conferencias onde esse material foi ou sera publicado/apresentado/submetido.


DATAS IMPORTANTES

Final para submissao - 28 de fevereiro de 2011
Notificacao aos autores - 20 de marco de 2011
Envio do material a ser apresentado - 5 maio de 2011

Todas as submissoes devem ser envidadas, em formato txt para:
cfp/at/ysts.org

INFORMACOES PARA CONTATO

Submissao de artigos: cfp/at/ysts.org
informaoes gerais: b0ard/at/ysts.org
informacoes sobre patrocinio: sponsors/at/ysts.org


INFORMACOES ADICIONAIS

website www.ysts.org
canal de video http://ysts.blip.tv/
twitter @ystscon
twitter hashtag oficial #ysts

Nos vemos por la!

segunda-feira, abril 12, 2010

YSTS 4 - Ta chegando




Ok, blog meio morto. Mas de vez em quando, estamos ai...

Vem ai o YSTS 4. Confira a grade:

Cloudifornication: Indiscriminate Information Intercourse Involving Internet Infrastructure

Where and how our data is created, processed, accessed, stored, backed up and destroyed in what are sure to become massively overlaid cloud-based services - and by whom and using whose infrastructure - yields significant concerns related to security, privacy, compliance, and survivability. This presentation discusses how staggering interdependencies and the reliance on both aging technology approaches as well as cloud-on-cloud infrastructure and services exposes flawed assumptions and untested theories as they relate to security, privacy, and confidentiality in the cloud.
Most importantly we will discuss what we should do to prepare for moving to Cloud-based services securely.

Christofer Hoff, CISSP, CISM, CISA, Director, Cloud & Virtualization Solutions, Cisco Systems

Chris is Director of Cloud & Virtualization Solutions at Cisco Systems where he focuses on virtualization and cloud computing security spending most of his time interacting with global enterprises and service providers, governments, and the defense and intelligence communities. Previously, he was Unisys Corporation’s Chief Security Architect, served as Crossbeam Systems' chief security strategist, was the CISO and director of enterprise security at WesCorp, a $25 billion financial services company and was founder/CTO of a national security consultancy. Chris specializes in emerging and disruptive innovation and what it means to security, and is technical advisor to the Cloud Security Alliance. Chris blogs at http://www.rationalsurvivability.com/blog



----------------------------------------

Virtualização e Computação Forense

Virtualização chegou para ficar. Ao passo que cada vez mais empresas aderem à tecnologia, novas perguntas surgem em como seria a relação dos ambientes virtuais e a Computação Forense. Estaríamos criando o ambiente ideal para o crime perfeito ?

Tony Rodrigues é um profissional certificado CISSP, CFCP e Security+, com 20 anos de experiência em TI e 7 anos em Gestão de Segurança de Informações, tendo liderado várias investigações e perícias. Tony é consultor independente em Segurança de Informações e autor/criador do blog forcomp.blogspot.com, sobre Resposta a Incidentes e Forense Computacional.



----------------------------------------

Traceability < Ability to trace

The vision of this presentation is to show best-practices for traceability, crisis management, streamlined incident handling process, procedures and reporting the vulnerable assets.
The attacks perpetrated nowadays are targeted and sophisticated attacks carried out by organized groups against specific information assets over long periods of time. This kind of environment calls for effective traceability to better detect intrusions, and for detailed logging of information that will be relevant in the case of an information technology security breach.

Luiz Firmino, 22 years of information technology and information security experience. 10 years at "Serpro - Serviço Federal de Processamento de Dados" Federal Data Processing Service), the largest public information technology service provider in Brazil. The agency works for the Brazilian federal government maintaining computer systems that manage its budget, help it integrate states accounting, track Brazilian imports and exports, and process electronic income tax returns. 7 years at Roche as the Chief of Telecommunication for Brazil and Security Head for Latin America. Roche is an international leading healthcare company. 2 years at Sara Lee as the Chief of Information Security Officer for Sara Lee Brazil and Regional Security Coordinator for Americas. Sara Lee is a global manufacturer and marketer of high-quality, brand-name products for consumers throughout the world. Currently I am working as the Information Security Manager for HSBC Brazil. HSBC is one of the largest banking and financial services organisations in the world.



----------------------------------------

Top 5 physical ways into a data center
This speech would go over the top 5 most common ways to breach the physical security of a data center. This information has been gathered by the speaker over the course of his career as a physical penetration tester/red teamer. Topics covered will include social engineering, lock picking, and common construction flaws. Example of how these vulnerabilities were and can be used to attack a data center physically as well as solutions to these issues will also be covered.

Ryan Jones, Sr. Security Consultant. Ryan has worked in the information security field for over 14 years. His main focus has been on network, application, and physical security assessments and he has worked in these capacities with over 1000+ clients for a variety of business sectors with the primary the emphasis being on the government, banking, and medical industries. His work included testing web applications, network penetration testing, physical penetration testing, physical security assessments and planning, social engineering testing as well as designing information security remediation programs for these clients. He has spoken at at various events and conferences, including the Defcon Skybox talks. He was a cast member and technical producer of the 2007 TV show "Tiger Team" and is also currently the co-host of the security podcast "Exotic Liability." He is currently a Senior Security Consultant on the Application Security Team of Trustwave's Spiderlabs.



----------------------------------------

SAP and Caipirinha with Pitú

Falar de SAP dispensa introduções, nesta apresentação abordarei as fases de realização de um Pen Test em ambiente SAP em produção utilizando um framework publico e OpenSource: Sapyto.
Hoje em dia se tem pouco conhecimento da realização de Pen Tests em Business Applications. Testes de segurança em ambiente SAP são necessários tendo em vista que implementações do SAP estão contempladas em projetos longos e complexos onde se tem muito capital da empresa envolvido. Dados de 2008 do FBI afirmam que fraudes financeira causadas por incidentes de segurança resultaram em um prejuízo de aproximadamente U$ 470.000 para empresas americanas e para agravar a situação dados da empresa de consultoria em segurança da informação ONAPSIS, mais de 95% dos ambientes SAP avaliados pela empresas estavam propensos a fraudes financeiras causadas por vulnerabilidades técnicas de segurança da informação e que muitas dessas implementações foram qualificadas com SOX/PCI DSS/ISO por quatro grandes empresas de auditoria.

A partir de agora fazendo a saborosa caipirinha Sergipana com Pitú conheceremos as fases de um Pen Test em SAP. O Pen Test aqui abordado segue como “metodologia” fases do Sapyto, framework opensource Free) de realização de Pen Test em ambientes SAP. Temos então 4 fases, sendo elas:

1 – Discovery
2 – Exploration
3 – Vulnerability Assessment
4 – Exploitation

Joaquim Espinhara, Pesquisador Independente de segurança da informação atua como consultor da SecureInfo Security Solutions. Palestrante em alguns eventos internacionais e em diversos regionais. Palestrante na ultima H2HC 6th Edition) com a apresentação de Sniffing de redes remotas.


----------------------------------------

Client-Side Detection Advances
File format and JavaScript-based attacks have become the primary focus of the security landscape over the last several years. These attacks can be sophisticated and difficult to detect at wire speeds by an IPS or IDS. Exploit frameworks, such as Metasploit, Immunity's CANVAS and Core Impact provide simple mechanisms to achieve this complexity. Complicating this already difficult detection is the desire for many IPS users to have low-latency analysis at wire speed. The processing necessary to address ASCII hex encoding, JavaScript obfuscation, PDF object compression and the myriad of other techniques available to attackers means that normalizing a document to the point where it can be analyzed for malicious data is simply unfeasible in an inline deployment for Snort or any other system.

The Snort engine is the most flexible and powerful Network Intrusion Detection System available today. By leveraging the extensibility of the engine, end users can build advanced, customized detection that precisely targets the needs of their environment. Alex Kirk will demonstrate the power and flexibility of the engine by unveiling a new multi-faceted, scalable detection methodology targeted at addressing the most difficult detection problems facing security professionals today.



Alex Kirk, AEGIS (Awareness, Education, Guidance, and Intelligence Sharing) Program Lead. Alex Kirk is a senior researcher with the Sourcefire Vulnerability Research Team (VRT), and the head of that group's Awareness, Education, Guidance, and Intelligence Sharing (AEGIS) program, which is designed to increase direct collaboration between Sourcefire customers, the Snort user community, and the VRT in the interests of improved detection and coverage. In his 6 years with the VRT, Alex has become one of the world's leading experts on Snort rules, and has honed skills in reverse engineering, network traffic analysis, and systems security. He recently contributed a pair of Snort-related chapters to "Practical Intrusion Analysis: Prevention and Detection for the Twenty-First Century," and is a regular contributor to the widely-read VRT blog (http://vrt-sourcefire.blogspot.com/). Outside of Sourcefire, Alex has contributed to the open source community through efforts such as scrubbing entries for OSVDB and writing documentation for running the NetBSD operating system on the Sega Dreamcast.



----------------------------------------

Global Security Report 2010

From January 1, 2009 to December 31, 2009, we performed approximately 2000* penetration tests (network, application, wireless, and physical) for organizations ranging from the largest companies on the planet to nimble start-ups. In addition, we also performed around 200* security incident and compromise investigations for organizations located in nearly 20 different countries around the world.

The data we have gathered from these engagements is substantial and comprehensive. This presentation will be the first viewing of the results of the analysis of the data gathered during 2009. The results will be presented both technical and business impact analysis with an emphasis on technical for the Black Hat audience.

This presentation will coincide with the release of the paper with the same title. The paper will be released after the conclusion of the talk.



Nicholas J. Percoco is Senior Vice President of SpiderLabs at Trustwave. He has more than 14 years of information security experience. In his role at Trustwave, he leads SpiderLabs, the team that has performed more than 500 computer incident response and forensic investigations globally, as well as thousands of penetration and application security tests for clients. Nicholas acts as the lead security adviser to many of Trustwave’s premier clients by assisting them in making strategic decisions around various security compliance regimes. As a speaker, he has provided unique insight around security breaches and trends to public (YSTS, DEFCON, SecTor, etc.) and private audiences throughout North America, South America, Europe, and Asia. Prior to Trustwave, Nicholas ran security consulting practices at both VeriSign and Internet Security Systems. Nicholas hold a Bachelor of Science in Computer Science from Illinois State University.



----------------------------------------

Exploits and Mitigations - EMET (enhanced mitigation evaluation toolkit)

Andrew Cushman, Senior Director, TwC Security - Microsoft Corp. As Sr. Director of Strategy in the Trustworthy Computing Group at Microsoft Corp. Cushman's primary focus is on End to End Trust - Microsoft's initiative for a safer, more trusted Internet, which aims to bring the trustworthiness of the physical world to the cyber world. Cushman is responsible for End to End Trust Outreach and works with teams across Microsoft and the broader security ecosystem.
Cushman previously managed the Microsoft Security Response Center (MSRC). The MSRC leads emergency response to security threats, defines and enforces response policies, and monitors monthly update quality and timeliness. Cushman expanded the MSRC's outreach programs to cover security researchers as well as mainstream security organizations, companies and computer emergency response teams.
Cushman joined the TwC Security team in 2004 as a member of the Security Engineering Group executive leadership team that made security processes an integral part of Microsoft’s engineering culture. Since then he has been a driving force behind the company’s security researcher outreach strategy and execution efforts, formulating the Responsible Disclosure Initiative strategy and initiating the BlueHat security conference franchise.
Since joining Microsoft in January 1990, Cushman has held positions on the Microsoft International Product Group, the Microsoft Money team and the Internet Information Services (IIS) team. He led the IIS product team during the development of IIS 6.0 in Windows Server® 2003. IIS 6.0 was one of the first Microsoft products to fully adopt the security engineering processes that are today embodied in the SDL and remains a “poster child” of Microsoft’s commitment to security engineering and Trustworthy Computing.
Cushman earned a bachelor’s degree in international studies from the University of Washington and a master of international business degree from Seattle University. Away from work, he is an avid skier.

----------------------------------------

Infosec Arena

Anchises Moraes Guimarães de Paula, CISSP, works as Global Threat Intelligence Analyst at iDefense, a VeriSign company. He has almost 15 years of strong experience in Computer Security, and he had been worked as Security Officer in Brazilian telecom companies (Americel and Vivo) and also Security Consultant on local resellers and consulting firms. He has a Computer Science Bachelor degree from Universidade de Sao Paulo (USP) and a master degree in Marketing from ESPM and is CISSP, GIAC (Cutting Edge Hacking Techniques) and ITIL Foundations certified.



----------------------------------------

sexta-feira, dezembro 04, 2009

Defcon para leigos


Ok, você já sabe o que é a Defcon, cansou de ler mensagens em listas e ouvir relatos de brasileiros que já foram para lá e voltaram falando que é uma experiência bacana. Chegou a sua vez. Este artigo irá ajudá-lo com dicas da conferência e da cidade que a hospeda, Las Vegas.

Planejando sua viagem.


A Defcon ocorre todos os anos em um fim de semana próximo ao final de julho e início de agosto. Desde 2009, ela se inicia na quinta (anteriormente era na sexta) e termina no domingo. Procure chegar no dia anterior, para ter algum tempo para descansar da viagem e se aclimatar com a agradável temperatura de Las Vegas no verão. Algo entre 27 graus (de madrugada) a 45 graus (na maior parte do dia). Sim, é quente pacas. E seco. Traga seu rinossoro.

Existem várias opções de vôos do Brasil para Las Vegas. Partindo de São Paulo, há opções da American Airlines, United, Continental, Delta e outras. Os vôos sempre têm uma conexão, que é onde efetivamente você entra nos Estados Unidos, faz a imigração, pega suas bagagens que eventualmente são vistoriadas para em seguida despachá-las novamente ao destino (Vegas). Somente na entrada isso é necessário. Na volta as malas vão direto de Las Vegas ao seu destino final. Falando em malas, quando você compra um vôo internacional, tem direito a despachar duas malas com até 32 kg cada. Se passar disso, paga uma taxa adicional, por volta de US$ 100,00.

Há conexões em Miami, Chicago, Dallas, Nova York e outras. Em média, um vôo São Paulo – Miami dura cerca de 8 horas, e o vôo Miami-Las Vegas, cerca de 4 horas e meia. Compre um vôo em que você tenha um intervalo razoável entre chegar no seu ponto de entrada (nesse caso, Miami) e sair para o destino final. Como eu citei no parágrafo anterior, você terá que fazer a imigração, pegar sua mala, despachá-la. Há também o risco do vôo atrasar. Vale a pena ter um intervalo maior e passear um pouco em Miami (se não quiser ficar esperando no aeroporto) do que perder o voo de conexão.

Comprando suas passagens com antecedência, é possível encontrar valores próximos a US$ 650,00, ida e volta São Paulo – Las Vegas. Consulte seu agente de viagens, ou sites como www.decolar.com.br para encontrar as melhores tarifas. Lembre-se: quanto antes comprar, mais barato fica e mais opções de escolha.

A mesma regra vale para a reserva de hoteis. Consulte os sites www.hotels.com e www.vegas.com para encontrar as melhores tarifas para hoteis em Las Vegas.


Ok, mas Las Vegas tem centenas de hoteis. Onde eu devo ficar ?

Antes de responder, vamos conhecer brevemente Las Vegas em alguns parágrafos. Eu já disse que lá é quente ? Não se esqueça disso. É quente mesmo. E seco.

Há uma rua lá chamada “Las Vegas Boulevard”, conhecida também como “The Strip”. É isso que você vê na maioria dos filmes que se passam em Las Vegas. Tem aquele monte de Cassinos gigantes, luzes e mais luzes. De fato, é a principal avenida de Las Vegas e você pode passar vários dias nela, assitindo shows, indo a parques de diversões dentro dos hoteis (todos os cassinos lá são hoteis) , vendo atrações, fazendo compras e é claro, jogando. Basta você ter muito dinheiro. Caso você seja pobre como eu, tem bastante coisa grátis, como as fontes do Bellagio, o vulcão do Treasure Island, os tigres brancos do Mirage, Leões do MGM, etc. Prepare sua máquina fotográfica, tem muita coisa legal para registrar.

Saindo da Strip, há a região central, chamada Freemont, onde há cassinos mais antigos e um gigantesco painel luminoso que cobre a rua. Vale a visita.

Nas ruas paralelas ou transversais a Strip também há bastante comércio, cassinos e opções de hotéis. Use o Google Earth ou maps para uma vista geral de Las Vegas.
Mas voltando aos hoteis, sua decisão de onde ficar depende de sua decisão relacionada a locomoção.

Pessoalmente, recomendaria que você alugasse um carro. As tarifas de Las Vegas são em geral menores que outros lugares, como Miami, por exemplo. Um carro medio (que nos Estados Unidos equivale a algo grande por aqui) custa cerca de US$ 110,00 por dia, incluindo todos os seguros e GPS. Sim, faça o seguro total. Não é uma boa ideia não ter seguro se alguma coisa acontecer nos EUA. Ah, tem estacionamento em todos os lugares, sem custos. Lembre-se que voe pode estacionar e levar a chave ou deixar em um serviço de vallet. Basta dar um Tip ao manobrista depois. Consulte www.carrentals.com para descobrir qual locadora de veículos tem o melhor preço. Faça sua reserva com antecedência. Dica: A reserva não inclui os custos do seguro e outros opcionais como GPS. Considere uns US$ 60 a mais na sua diária para estes extras. Após reservar, verifique periodicamente se não há taxas melhores ou promoções para upgrade do veículo. Os preços variam diariamente.

Optando por ter um carro, suas opções de hotel não se limitam a proximidade do Riviera, onde a Defcon ocorre. E mesmo que você escolha um hotel próximo, como o Circus Circus, que fica em frente ao Riviera, não significa que você não terá que andar. Na prática, se você ficar no Circus Circus, que é o hotel mais próximo, terá que andar, do seu quarto até o Riviera, uns 300 a 500 metros. Lembra que é quente, né ? O Circus Circus custa cerca de US$ 40,00 por dia.

Já com o carro, é possível escolher hotéis um pouco mais afastados, com preços que variam de US$ 15,00 a US$ 40,00 por dia. Este é o preço do quarto, para até duas pessoas.

Com um pouco mais de dinheiro (e o carro), opções como o Stratosphere (US$ 45,00), Luxor (US$ 75,00), Hilton (US$ 82,00), são interessantes. Estes preços são aproximados, lembre-se de reservar com alguma antecedência para melhores taxas. E é claro, você pode ficar no próprio Riviera, porém, lembre-se que ele lota rápido.

Vegas e proximidades

Ok, você já tem sua passagem, seu carro e seu hotel. O que mais falta ? Bem, além da Defcon, há algumas coisas interessantes para se fazer em Vegas e pode ser uma boa ideia, se seu tempo e orçamento permitir, chegar alguns dias antes ou ir embora alguns dias depois. Como eu já citei, se é sua primeira vez, andar (a pé e a noite) pela Strip e visitar os cassinos é sempre interessante. Uma ou duas noites é suficiente para uma exploração do local. Uma noite na Freemont também é uma boa ideia.

Há diversos shows, como Cirque du Soleil, Blue Man Group, Mágicos, Comediantes, etc. Mais uma vez, procure adquirir seus ingressos com antecendencia. O site www.vegas.com pode lhe ajudar.

Nas proximidades de Vegas, a cerca de 30 milhas está o Hoover Dan, que é aquela represa e usina hidra-elétrica no rio Colorado. Dá para pagar por uma visita que inclui as instalações ou só passar por cima e tirar fotos de concreto e um lago. Sim, é legal, mas só um pouco. Seguindo por essa mesma estrada (93/95), mais umas 50 milhas e você chega em Kingman, de onde pode pegar a Route 66. Este é um passeio muito interessante, histórico e cheio de referências nostálgicas, como motéis, lojas e lanchonetes que parecem ter parado no tempo. A estrada é boa e feita para andar devagar (55 milhas por hora), curtindo a viagem. De Kingman, siga para Hackberry e pare em um antigo posto de gasolina, do lado esquerdo. Paraiso para fotografos. Continue em frente até Peach Springs e depois Seligman onde você pode comer um hambuger na simpática lanchonete chamada “Cheeseburger with cheese”. Aproveite para visitar as lojinhas de souvenirs e tirar fotos dos carros e construções por lá. Converse com os locais, eles adoram os poucos turistas que ainda passam por lá.

Em Seligman você pode continuar na 66, continuar mais 100 milhas até o Grand Canyon, ou voltar, pela própria 66 ou pela I-40, até Kingman e de lá pela 95 até Las Vegas. A paisagem de deserto desse trecho da 66 é difícil de descrever. Muito bonita e hipnotizante. Inicio da manhã e fim de tarde fazem contrastes mais acentuados com as montanhas ao fundo.

Tenha o cuidado de ver antes no Google Maps ou semelhante onde estão os postos de gasolina que ainda funcionam. Lembre-se, é deserto e passa pouca gente por ai. Celular não pega longe das cidades. Leve água e respeite o limite de velocidade se não quiser ser perseguido pela polícia local.

De volta a Las Vegas, é hora daquela cervejinha. Custa por volta de US$ 5,00, em média. Tem dois bares que recomendo: O bar central do cassino Hard Rock, sempre cheio de gente jovem e bonita e um local chamado Carnival, que fica ao lado do Cassino Imperial, na Strip (quase em frente ao Caesar Palace). Se você for à próxima Defcon e estas dicas lhe foram úteis, aproveite para pagar uma cerveja pra mim em um desses locais.

Agora, se você quer economizar e dar uma calibrada antes de sair, passe em um Wal-Mart e compre um pack, já gelado de 30 Buds por cerca de US$ 15,00. Não beba dentro do carro, mesmo se voce for passageiro. A polícia de lá para e prende todo mundo. Alguns hoteis possuem frigobar.

Falando em Wal-Mart, como um velho amigo meu diz, é o local ideal para você comprar aquele pack de 2000 cotonetes que está em oferta. Normalmente você entra para comprar algo que precisa (a cerveja, por exemplo) e acaba saindo de lá com um monte de coisa legal que aqui no Brasil custa caro. Coisas do American Way of life. Batatas Pringles (US$ 1,50), catchup Heinz (US$ 2,00) e outros cacarecos. Só não é mais divertido do que ir à Frys Electronics, o paraíso dos nerds, e na Best Buy.

Perto da Frys (que é perto do Aeroporto) tem também o Las Vegas Outlet, onde você encontra marcas famosas com preços de fato baratos. Tênis, roupas, relógios, perfumes e souvenirs a preços excelentes. Mais uma razão para alugar aquele carro...

E a Defcon ?

Bom, depois de todo esse turismo e compras, vamos ao que te trouxe a Las Vegas.

A primeira coisa é ir buscar seu crachá. O Crachá da Defcon sempre é bacana e faz alguma coisa especial (o desse ano, por exemplo, tinha um led que reagia a sons). Já é tradicional nos ultimos anos que os crachás cheguem e se esgotem rapidamente. Se isso ocorrer, você fica com um provisório e depois troca pelo definitivo, mas isso significa que você terá que enfrentar duas filas. Procure pegar o seu crachá na quinta o quanto antes. Além do crachá você ganha uns adesivos, um CD com os materiais e a programação do evento.

Aproveite e pegue outra fila para comprar seus souvenirs da Defcon, como a camiseta oficial, canecas, copinhos, etc. As coisas legais acabam cedo também.

De uma lida na programação para saber dos diversos eventos que ocorrem na Defcon. As palestras são apenas uma parte do que rola lá. Por exemplo, há um concurso para ver quem gela a cerveja no menor tempo. Nitrogenio líquido e outras geringonças participam. Coffe Wars é um concurso para eleger o melhor café. Mistery Chalenge, como o nome diz, é um desafio misterioso. Capture the Flag é um torneio para equipes pré qualificadas, onde os participantes tentam atacar e defender diversos servidores disponibilizados pela organização. Cuidado, não circule perto da area do capture de flag com a câmera fotográfica ligada. Alias, cuidado ao tirar fotos na Defcon, algumas pessoas não gostam de ser fotografadas e um Goon poderá lhe pedir que apague alguma foto.

Goon ? Eles são as pessoas, voluntárias, que organizam as coisas durante o evento. Um misto de segurança com faz tudo. Os Goons têm autoridade na Defcon, siga suas instruções para não ter problemas. Alguns parecem normais e inofensivos, outros se parecem com sargentos do exército. Você irá reconhecê-los, não se preocupe.

Na área do hotel onde ocorre a Defcon há umas escadas que dão acesso aos Skyboxes. Lá você Irá encontrar coisas interessantes como o Hardware Hacking Village, onde pessoas podem aprender e compartilhar técnicas de modificação de hardware. O seu crachá pode ser customizado aqui.

Outra sala nos Skyboxes é o Lockpicking Village, onde há palestras e hands-on sobre abertura de cadeados, fechaduras e tudo o mais que se possa imaginar. Há uma “lojinha” que vende as ferramentas também.

De volta ao piso inferior, não deixe de visitar a Vendor Area, onde se pode adquirir livros, hardware novo ou usado (de placas WI-Fi até como estações Sun ou Silicon Graphics antigas, passando por roteadores, switches, notebooks, tablets, palms Macs antigos e por ai vai). Há também stands da EFF, Hackers for Charities, DJ’s, roupas, acessórios e algumas outras coisas bizarras difíceis de descrever. Leve dinheiro.

Finalmente, não deixe de ver algumas palestras. Há normalmente 4 ou 5 tracks e vale a pena dar uma lida no descritivo de cada palestra antes de escolher aonde vai, pois muitas delas tem títulos não muito óbvios. Veja qual é a sala que sua palestra será e posicione-se na fila do lado de fora, se houver. Caso não haja, você pode entrar no fim da palestra anterior e esperar na sala, mas observe que quando a palestra seguinte é muito Hype, os Goons pedem que todos saiam da sala, priorizando quem está do lado de fora, aguardando na fila. Respeite essa organização, mesmo sendo meio chata. E não seja um espertoman. Nada de furar fila ou tentar entrar por alguma porta alternativa.

Na Defcon não tem horário de almoço, coffe break, etc. Procure uma sala que vende comida. É um serviço oferecido pelo hotel e você poderá apreciar quitutes como finger tips, hamburgers e aquela salada americana. Pegue sua guloseima favorita, pague e encha de molhos. Sim, você sobrevive a alguns dias comendo assim. E é barato, menos de 10 dolares te alimentam. Sobra mais para a cerveja. Aliás, das 5PM a 7PM, a cerveja fica mais barata na Defcon. Aproveite !

Finalmente, há diversas festas que rolam nos dias anteriores, posteriores e durante a Defcon. Algumas são fáceis de ir, como a Freakshow. Outras dependem de você ser convidado, normalmente com antecedência. As festas normalmente são patrocinadas por algum fabricante de produtos de segurança. Ter algum deles em sua rede de relacionamento pode garantir um convite. A vantagem das festas é que aquela cerveja de US$ 5,00 é grátis, além de outras bebidas. Algumas festas ocorrem em casas noturnas bacanas de Las Vegas e também é uma oportunidade para conhecê-las sem custo. Fique atento aos horários, as festas começam e terminam exatamente no horário do convite.
Bem, essas foram as dicas básicas para quem nunca foi a Defcon. A cada ano, novos brasileiros passam a integrar a trupe que vai lá. E voltam no ano seguinte. Deve significar alguma coisa. Nos vemos em Vegas !


(*) Artigo escrito originalmente para a Antebellum


quinta-feira, dezembro 03, 2009

YSTS 4 - CFP

A chamada de artigos para a conferencia yStS (you Sh0t the Sheriff) está aberta!

A quarta edição irá acontecer novamente em São Paulo, Brasil, no dia
17 de Maio de 2010.

INTRODUCAO

O you sh0t the Sheriff é um evento único, dedicado a mostrar os temas
mais interessantes e atuais relacionados à segurança da informação,
trazendo uma combinação de palestras de alta qualidade com
palestrantes renomados de diversas partes do planeta e cobrindo
diversos tópicos sobre o tema.

Nosso objetivo principal é permitir que os participantes tenham uma
visão do estado atual da segurança no mundo, combinando diferentes
segmentos da área.
O evento é basicamente para convidados, assim sendo, submeter uma
apresentação é certamente uma boa maneira de tentar participar,
principalmente se você reside no Brasil

Em função do sucesso das edições passadas, nós mantivemos o evento no
mesmo formato:

- Ambiente descontraído
- O YSTS 4 vai acontecer em um local secreto (anunciado somente aos
participantes algumas semanas antes do dia da conferencia)
- Novamente o este local secreto será em um aprazível bar ou pub
- E sim, teremos (alguma) comida e (bastante) bebida

TÓPICOS

O foco do YSTS 4 são assuntos relacionados com segurança da
informação, incluindo (mas não limitado a):

* Sistemas operacionais
* Tópicos sobre Gestão e Carreira
* Dispositivos móveis/sistemas embarcados
* Auditoria e controle
* Redes sociais
* Políticas de segurança
* Problemas com protocolos
* Redes/Telecomunicações
* Redes sem fio e Radiofreqüência em geral
* Resposta a incidentes
* Information Warfare
* Guerra de informação
* Código malicioso / BotNets
* Falhas dirigidas a usuários
* Programação segura
* Hacker Spaces / Comunidades hacker
* Fuzzing
* Segurança física
* Virtualização
* Segurança em aplicações WEB
* Computação nas nuvens
* Criptografia / Ofuscação
* Infra-estrutura e sistemas críticos
* Bafômetro hacks
* E qualquer outra coisa relacionada com segurança que você imagine
que seja interessante ser apresentada na conferência

Nós gostamos de palestras curtas, então, por favor, lembre-se que sua
palestra deve caber em no máximo 30 minutos.

Como novidade, este ano nós também aceitaremos palestras de 15 minutos.

Algumas pessoas não precisam de 30 minutos para passa sua mensagem ou
gostariam de falar sobre um projeto recém iniciado. Para estes casos
15 minutos será suficiente.

You sh0t the Sheriff é certamente a conferencia perfeita para lançar
seus projetos novos, confie em nós 
E sim, nós preferimos coisas novas e novos palestrantes são mais que
bem-vindos. Se você tem uma algo bacana para falar, isso é o que
importa.

PRIVILÉGIOS PARA OS PALESTRANTES
(Somente para palestras de 30 minutos)

* R$ 700 para auxilio nas despesas de deslocamento para palestrastes
que residam fora da cidade de São Paulo;
* Café da manha, almoço e jantar durante a conferencia;
* Festa oficial pós-conferencia (e não oficiais também);
* Auditoria de produtos em churrascarias tradicionais;
* Entrada vitalícia para todas as futuras edições da conferencia (Sim,
se você já falou em alguma edição passada do yStS você tem entrada
grátis garantida, pode nos pagar uma cerveja por isso... hmm esqueça,
as bebidas no evento são grátis).

SUBMISSÃO

Cada submissão de palestra deve incluir as seguintes informações:
* Nome, titulo, endereço, email e telefone para contato
* Biografia resumida e qualificações
* Experiência em apresentações
* Sumario ou abstrato da apresentação
* Esta e uma palestra de 15 ou 30 minutos?
* Recursos necessários (Alem do projetor)
* Outras publicações ou conferencias onde este material foi ou será
publicado/submetido

Nos aceitamos submissões em Ingles, Português ou Espanhol

DATAS IMPORTANTES

Data Final para submissão - 28 de Fevereiro 2010 (23:59 - Horário de Brasília)
Notificação das palestras aceitas - 20 de Março 2010
Data Final para envio do material aceito: 5 de Maio 2010

Por favor, envie sua submissão para cfp/at/ysts.org

CONTATOS

Submissão de artigos: cfp/at/ysts.org
Perguntas em gerais: b0ard/at/ysts.org
Questões sobre patrocínio: sponsors/at/ysts.org

COISAS RELACIONADAS

Arquivos de palestras anteriores, incluindo os vídeos

Esperamos vê-lo(a) lá!

OBS: Para quem não conhece, veja como foi a edição 3


Luiz Eduardo & Nelson Murilo & Willian Caprino
http://ysts.org

quinta-feira, novembro 19, 2009

Globo News


Em um breve momento de fama, fui entrevistado no programa Espaço Aberto - Ciência e Tecnologia, na Globo News. :)

sexta-feira, outubro 16, 2009

Videos do YSTS 3

Noticia meio velha, mas os videos do YSTS 3 já estão no ar. Abaixo, o clipe geral.

ysts 3.0 from leduardo on Vimeo.

Behold

Behold é um search engine para o Flickr, que permite encontrar imagens boas, com a tag que você indicar, livres para uso.
A novidade é a opçao "that look like a picture of (a)" que aparece após o primeiro search. Segundo o site, esta feature permite que o Behold identifique elementos visuais nas fotos e apresente os resultados baseados nesta escolha. Experimente para entender melhor :)