Rio de Janeiro recebe Roadsec, maior evento hacker da América Latina | CRYPTOID

Uma super edição com duas trilhas de conteúdo, networking e oficinas em um dia inteiro de programação no sábado (19)

Pela quinta vez consecutiva, o Roadsec, evento itinerante que viaja pelas principais cidades do país desde 2013, vai desembarcar no Rio de Janeiro.

Em 2017, pela primeira vez o evento acontecerá no Hotel Sheraton Leblon em uma mega edição que trará mais de 15 palestrantes. Com uma proposta inovadora, o roadshow oferece conhecimento, diversão e oportunidades para estudantes e profissionais da área de segurança da informação.

As conversas ao longo do dia contarão com a presença de grandes nomes da área, como Fernando Mercês, Pesquisador Sênior de Ameaças na Trend Micro; e Diego Aranha, professor da Unicamp e coordenador da primeira equipe de investigadores independentes capaz de detectar e explorar vulnerabilidades no software da urna eletrônica em testes controlados organizados pelo Tribunal Superior Eleitoral.

As palestras também abordarão temas ligados a proteções de redes wireless, Facebook, segurança em apis externas de uso mobile, data exfiltration para pentesters, cibercrime, IoT, criptografia e softwares. Além disso, outra novidade da edição carioca será um painel ministrado por mulheres que discutirão a presença feminina na área de tecnologia da informação.

No Rio de Janeiro também será disputada uma das etapas do Hackaflag, maior campeonato de hacking no estilo Capture The Flag do país e uma das principais atrações do Roadsec, em que os participantes invadem sistemas controlados e resolvem vários desafios como web, criptografia e forense. A final será disputada no gigante Roadsec São Paulo dia 11 de novembro, reunindo os vencedores de cada edição pelo Brasil. O prêmio para o campeão ainda não está definido, mas a viagem à DEF CON em Las Vegas com tudo pago, oferecida no ano passado, gera expectativas.

O evento, que já se firmou como o espaço ideal para quem procura oportunidades de carreira, também é cenário para empresas interessadas em contratar. “Uma das marcas do Roadsec é abrir portas para quem está começando e estimular talentos locais a se revelar ao mercado e até dividir as atenções com palestrantes de nível internacional”, destaca Anderson Ramos, CTO da Flipside, organizadora do evento.

Os participantes do Roadsec Rio de Janeiro ganharão um código para publicar, por três meses, um perfil premium gratuito no site roadsec.trampos.co – resultado da parceria com o Trampos, plataforma de anúncio de vagas. As empresas parceiras também ganharão um código para anunciar gratuitamente suas oportunidades.

Para quem busca aprofundar o conteúdo, é possível adquirir um dos dois cursos que serão ministrados no domingo (20).

As inscrições para o Roadsec Rio de Janeiro podem ser feitas pelo link: http://ift.tt/1jcLkqU

Em 2016, o Roadsec atraiu mais de 10 mil apaixonados por tecnologia nas 17 cidades por onde passou.

Nesta edição no Rio de Janeiro, a previsão dos organizadores é de reunir 400 participantes entre hackers, estudantes, profissionais e empresas de segurança da informação.

O post Rio de Janeiro recebe Roadsec, maior evento hacker da América Latina apareceu primeiro em CRYPTOID.

http://ift.tt/2vL2jys SOURCE FONTE … Page http://ift.tt/2aM8QhC

Anúncios

Advanced Discovery of Privileged Accounts: ACLight » CyberPunk

ACLight is a tool for discovering privileged accounts through advanced ACLs (Access Lists) analysis. It includes the discovery of Shadow Admins in the scanned network. The tool queries the…

http://ift.tt/2hHGnih SOURCE FONTE … Page http://ift.tt/2aM8QhC

Detect & Exploit XSS Vulnerabilities: XSStrike » CyberPunk

XSStrike is a python script designed to detect and exploit XSS vulnerabilities A list of features XSStrike has to offer: Fuzzes a parameter and builds a suitable payload Bruteforces paramteres…

http://ift.tt/2vBULhZ SOURCE FONTE … Page http://ift.tt/2aM8QhC

Launching Exploits Against Internal Network Hosts: sonar.js » CyberPunk

A framework for identifying and launching exploits against internal network hosts. Works via WebRTC IP enumeration, WebSocket host scanning, and external resource fingerprinting. How…

http://ift.tt/2vBNRJj SOURCE FONTE … Page http://ift.tt/2aM8QhC

A WebSocket Manipulation Proxy: WSSiP » CyberPunk

Short for “WebSocket/Socket.io Proxy”, this tool, written in Node.js, provides a user interface to capture, intercept, send custom messages and view all WebSocket and Socket.IO…

http://ift.tt/2vC8G7H SOURCE FONTE … Page http://ift.tt/2aM8QhC

Gartner alerta que organizações devem focar em novo modo de pensar a segurança para a Era Digital

Analistas apresentam o futuro da segurança na Era Digital durante a Conferência Gartner Segurança & Gestão de Risco 2017, nos dias 8 e 9 de agosto de 2017

O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, afirma que a segurança é parte integral da equação de negócios digitais quando se trata de tecnologias como serviços em Nuvem e Big Data, dispositivos móveis e de TI, DevOps ágeis e Blockchain. Segundo o Gartner, experts em segurança precisam adaptar técnicas de segurança para a Era Digital.

“A verdade é que nós tínhamos uma visão de mundo binária que não existe mais. Branco ou preto, bom ou mau, a resposta é que não temos certeza em qualquer extremo. Pode ser qualquer um dos dois. Pode ser os dois”, diz Claudio Neiva, Vice-Presidente de Pesquisas do Gartner, durante o keynote de abertura da Conferência Gartner Segurança & Gestão de Risco 2017, em São Paulo. “Ambiguidade é a nova realidade. Adotem o cinza. A realidade é que os líderes de negócios estão se movendo a toda velocidade para frente, com ou sem você”, afirma Neiva.

Um novo modo de pensar sobre segurança e risco
Em 2014, o Gartner introduziu a Arquitetura de Segurança Adaptativa – Balanceando as capacidades de bloqueio e prevenção com uma equivalente e crítica capacidade de detecção e resposta quando o inevitável acontece.
Hoje, os especialistas em segurança devem focar em aplicar uma nova abordagem: CARTA – Continuous Adaptive Risk and Trust Assessment (Análise Contínua e Adaptável de Riscos e Confiança). A chave é aplicar a filosofia em todo o negócio, do DevOps até os parceiros externos.

“Nós precisamos nos concentrar em aplicar a CARTA não apenas a produtos já implementados, mas para novos serviços e recursos conforme eles são construídos”, diz Augusto Barros, Diretor de Pesquisas do Gartner.

Executar, construir e planejar

Os analistas do Gartner dizem que organizações devem aplicar a CARTA em todas as três fases da administração de riscos e segurança da informação: Executar – proteção contra ameaças e acessos durante execução; Construir – desenvolvimento e parceiros do ecossistema; e Planejar – governança de segurança adaptativa e avaliação de novos fornecedores.

Executar a CARTA

Quando se trata da CARTA, Data Analytics precisa ser uma parte padrão do arsenal. As companhias podem, apesar das grandes expectativas envolvendo Big Data, obter real valor com o aprendizado de máquina.
“A detecção de anomalias e o aprendizado de máquinas estão nos ajudando a achar os vilões que de outra forma passariam pelos nossos sistemas de prevenção baseado em regras”, comenta Felix Gaehtgens, Diretor de Pesquisas do Gartner. “É por isso que Analytics é tão relevante para operações de segurança hoje. O processo é bom para achar os vilões nos dados que outros sistemas não acharam.”
O tempo médio para detectar uma falha nas Américas é de 99 dias e o custo médio é de US$ 4 milhões. O Analytics vai acelerar a detecção e a automação vai agilizar o tempo de resposta, atuando como uma força multiplicadora para o time sem adicionar pessoas. O Analytics e a automação asseguram que as empresas foquem seus limitados recursos em eventos com maiores riscos de forma confiante.
Para a proteção de acesso no mundo digital, as companhias devem ser monitoradas constantemente. Fazer apenas uma autenticação é fundamentalmente falho quando a ameaça passa do portão. Por exemplo, se um usuário está baixando dados confidenciais para um dispositivo, a informação deve ser encriptada com administração de direitos digitais antes de ser baixada e então o usuário deve ser monitorado. Se ele começar a fazer muitos downloads, deve se restringir o acesso ou ativar um alerta para investigação.

Construir a CARTA

No que se refere ao DevOps, a segurança precisa começar cedo no desenvolvimento e identificar questões que representem um risco à organização antes de serem enviados para produção. Aplicações modernas não são desenvolvidas, mas montadas a partir de bibliotecas e componentes. É preciso procurar nas bibliotecas por vulnerabilidades conhecidas e eliminar a maior parte do risco. Para códigos proprietários, se deve balancear a necessidade de velocidade com a necessidade de segurança.

Parceiros de ecossistema adicionam novas capacidades de negócio e novas complexidades de segurança. “A administração de riscos não é mais domínio de uma única empresa e deve ser considerada em nível de ecossistema”, diz Gaehtgens. “O sucesso do meu produto ou serviço agora está diretamente ligado a outros. Meu risco é o risco deles. O risco deles é o meu risco. Estamos todos na mesma.”

Com o modo de pensar a CARTA, as organizações devem continuamente avaliar o risco do ecossistema e se adaptar conforme necessário. Os parceiros também devem analisar a sua companhia, infraestrutura, controle e reputação digital da marca. Para ecossistemas com um provedor dominante, a única forma de uma companhia entrar no ecossistema é depois de uma avaliação de riscos e segurança. Se a sua companhia for muito insegura, a organização pode ser removida do ecossistema. O monitoramento contínuo e a avaliação de riscos e reputação de grandes parceiros digitais é essencial.

Planejar a CARTA

A mudança para o modo de pensar CARTA mudará como os fornecedores são avaliados daqui pra frente. Eles devem oferecer cinco critérios: APIs abertos, suporte para práticas modernas de TI como Nuvem e containers, suporte a políticas adaptativas como ser capaz de mudar posturas em relação à segurança baseadas em contexto, e um foco em prevenção de ameaças e sistemas de detecção que possam proteger de uma grande gama de ameaças de forma precisa e eficiente, usando métodos analíticos diversos.
“A abordagem estratégica CARTA permite que digamos sim mais frequentemente. Com uma abordagem binária de permitir/negar não temos outra escolha além de ser conservadores e dizer não”, diz Neiva. “Com a CARTA, nós podemos dizer sim, e nós monitoraremos e avaliaremos para ter certeza, nos permitindo alcançar oportunidades que antes eram consideradas muito arriscadas.”

Sobre a Conferência Gartner Segurança & Gestão de Risco 2017

A Conferência Gartner Segurança & Gestão de Risco 2017 apresenta entre os dias 8 e 9 conteúdos com foco em segurança de TI, gestão de risco, compliance e gestão de continuidade de negócios, além de analisar o papel dos profissionais de segurança da informação (CISO – Chief Information Security Officers).

O post Gartner alerta que organizações devem focar em novo modo de pensar a segurança para a Era Digital apareceu primeiro em CRYPTOID.

http://ift.tt/2umV403 SOURCE FONTE … Page http://ift.tt/2aM8QhC

ATMega328 3D!

Small OLED displays are inexpensive these days–cheap enough that pairing them with an 8-bit micro is economically feasible. But what can you do with a tiny display and not-entirely-powerful processor? If you are [ttsiodras] you can do a real time 3D rendering. You can see the results in the video below. Not bad for an 8-bit, 8 MHz processor.

The code is a “points-only” renderer. The design drives the OLED over the SPI pins and also outputs frame per second information via the serial port.

As you might expect, 3D output takes a good bit of math, and the chip in question isn’t very good at handling real numbers. [Ttsiodras] handles this using an old technique: fixed point arithmetic. The idea is simple. Normally, we think of a 16-bit word as holding unsigned values of 0 – 65535. However, if you choose, you can also use it to represent numbers from 0-50.999, for example. Mentally, you scale everything by 1,000 and then reverse the operation when you want to output. Addition and subtraction are straightforward, but multiplication and division require some extra work.

If you want to read more about fixed point math, you are in the right place. We’ve also covered a great external tutorial, too. But if you think this is the first time we’ve covered a 3D graphics engine for the ATmega parts, you’re wrong.

Filed under: Arduino Hacks http://ift.tt/2vBu78S SOURCE FONTE … Page http://ift.tt/2aM8QhC