CyberSecurity Week

Semana de Cibersegurança

O núcleo do IEEE Universidade do Porto SB pretende oferecer à diversa comunidade da U.Porto um evento que promove a aprendizagem de diferentes tópicos das diversas áreas da Cibersegurança.

Durante este evento os participantes poderão participar em palestras, workshops, sessões de convívio e networking, entrando em contacto direto, de forma informal, com especialistas nas diversas subáreas, quer de carácter técnico, soft skills ou curiosidade, que não são abrangidas no plano curricular nem são abordados com facilidade e tão abertamente.

Quando

11 a 15 de Março de 2019

Onde

Faculdade de Engenharia da Universidade do Porto

Reserva já o teu lugar

A participação neste evento é totalmente gratuita. De modo a participar em qualquer uma das atividades disponíveis, por favor inscreve-te nas quais pretendes assistir.

Bilhetes

Programa

14:00 - 16:30
workshop
Workshop de reverse engineering e segurança de dispositivos IoT

Neste workshop vai ser apresentado em detalhe o processo de exploração de vulnerabilidades de segurança no relógio TomTom Runner, e como foi possível tirar partido destas para obter acesso ao firmware do relógio e alterá-lo.

Será feita uma apresentação das ferramentas e metodologias utilizadas (gdb, python, IDA Pro, hexedit), e também da recente ferramenta Ghidra, disponibilizada pela NSA para reverse engineering.

O Ghidra será utilizado para fazer um patch ao firmware de forma a desbloquear funcionalidades até então escondidas no software.

Requisitos

  • Trazer computador pessoal com Linux ou Mac OS

Luís Grangeia
B113
17:00 - 19:00
talk
WebAuthn: Goodbye passwords!

Todos os anos surge novo hardware e software que prometem o fim das passwords tal como as conhecemos. Desde a Apple com leitores de impressões digitais nos iPhones, até à Microsoft com o Windows Hello que suporta reconhecimento facial e biométrico, todas estas inovações prometiam o fim das passwords.

Contudo, a realidade é que as passwords ainda não morreram… ou… será que sim? Com WebAuthn está-se muito mais perto de pôr fim às passwords!

Nesta palestra irás descobrir o que é a FIDO e como a WebAuthn já se encontra presente em todos os browsers mais populares, com a missão de combater phishing e de acabar com os métodos de autenticação com passwords na Web!

José Pedro Silva
I-105
14:30 - 16:30
workshop
Exploiting Web Vulnerabilities (OWASP Top 10)

Neste workshop poderás explorar vulnerabilidades do OWASP Top 10 2017 com uma aplicação web feita em Node.js. Por exemplo:

  • Injeção de JavaScript no lado do servidor
  • Injeção de SQL e NoSQL
  • Insecure Direct Object References

Requisitos:

Rui Silva | Jscrambler
I-105
14:00 - 16:00
talk
Connected Cars and V2X security

Com os avanços da tecnologias e o aparecimento de carros autónomos e redes inteligentes, torna-se fulcral a comunicação entre veículos e a segurança dos dados que são partilhados. Nesta talk serão abordadas as mais recentes inovações no campo dos carros autónomos nomeadamente no campo da comunicação entre veículos. Nos últimos anos a Veniam, uma das 50 mais disruptivas empresas do mundo, tem se dedicado a estes temas acelerando a mobilidade do futuro e criando sistemas e softwares para comunicação entre veículos com grande foco nos veículos autónomos.

Rui Costa | Veniam
I-105
16:00 - 16:30
coffee break
Networking Session

Ambiente relaxado onde os participantes poderão entrar em contacto, de uma forma informal e direta, com o orador Rui Costa. Poderás também desfrutar de um coffee break

I-105
13:30 - 16:30
workshop
Adversarial Machine Learning

A maior parte do que hoje se faz em aprendizagem não considera um atacante motivado, apesar de cada vez mais modelos de negócio e tarefas de segurança serem alicerçados em aprendizagem. Os modelos de ameaça conhecidos para a aprendizagem incluem a criação de amostras adversas para a inferência (evasion attacks) e a aprendizagem (poisoning attacks), o roubo dos modelos aprendidos (chamadas à API de inferência, ataques sidechannel ao hardware de inferência), e a identificação de amostras que foram utilizadas na aprendizagem.

Este workshop faz uma introdução prática ao tema da aprendizagem adversa, focada na criação de amostras adversas para a inferência, e dividida nas três partes seguintes:

  1. Do Docker ao classificador — instalação de TensorFlow et al. usando Docker; configuração de um classificador e obtenção de resultados de classificação.
  2. Evitando a deteção — abordagem prática para transformar amostras benignas em amostras malignas parecidas com as benignas, assumindo visão whitebox do classificador.
  3. Discussão sobre outras técnicas de aprendizagem adversa e outros modelos de ameaça e sobre a aplicação da aprendizagem adversa em vários aspetos da cibersegurança como a deteção de Malware e de tráfego C2C, identificação de texto malicioso, e o reconhecimento facial.

Ricardo Morla
I321
17:00 - 17:30
talk
Segurança em redes - Os primeiros passos

Tens curiosidade por redes? Gostavas de saber como podes atacar uma rede? Tens dúvidas sobre como podes dar os primeiros passos numa carreira em segurança de redes?

Nesta pequena talk vais ter oportunidade de saber mais sobre o João Cerqueira, qual foi o seu percurso, e esclarecer todas as tuas dúvidas. No final, terás oportunidade de assistir a um pequeno ataque a uma rede!

João Cerqueira
J201
15h30 - 17h00
talk
API Security - case study [Cancelado]

CANCELADO: Infelizmente, devido à falta de adesão, tivemos que cancelar o evento. Vamos tentar que seja agendado para outra data.

Nesta talk irás aprender a definição e conceitos básicos de REST (REpresentational State Ttransfer) API e recomendações de segurança em APIs com base no OWASP.

No fim será apresentado um case study de um projeto em que surgiram um conjunto de problemas de segurança reportados nos testes de penetração por uma empresa reconhecida no mercado. Serão explicados alguns dos casos mais comuns e ações tomadas para resolver ou mitigar o risco.

Paulo Noormahomed | ITSector
I-105

Workshops

Durante esta semana irás ter a opotunidade de participar em vários workshops preparados especialmente para ti!

Workshop de reverse engineering e segurança de dispositivos IoT
14:00 - 16:30
11 de Março
B113
Exploiting Web Vulnerabilities (OWASP Top 10)
14:30 - 16:30
12 de Março
I-105
Adversarial Machine Learning
13:30 - 16:30
14 de Março
I321