A palestra abordará desde a introdução ao Frida e algumas vulnerabilidades conhecidas em aplicativos Android até uma demonstração prática de como utilizar ferramentas e scripts para subverter códigos de aplicações.

Será abordado um estudo de caso real detalhando Técnicas, Táticas e Procedimentos contra "Low Hang Fruits" e más práticas que, encadeados, permitiram o comprometimento de sistemas de emissão de comandas em uma série de restaurantes e bares de uma pequena cidade. A palestra tem como finalidade mostrar que pensar simples e pequenos erros podem levar a grandes impactos, mesmo contra pequenos estabelecimentos. Segurança Cibernética não deve ser preocupação apenas de empresas de grande porte, deve ser de todos.

A palestra será sobre como iniciar em pentest iOS. Vou abordar a estrutura do sistema operacional, a organização dos arquivos IPA, as ferramentas recomendadas e exemplos práticos de vulnerabilidades.

Serão apresentadas técnicas para contornar (bypass) mecanismos de segurança em aplicativos móveis (RASP), utilizando engenharia reversa, ferramentas e scripts customizados utilizando dispositivos físicos (Android/iOS) em demonstrações na prática e ao vivo voltados totalmente ao pentest em aplicativos móveis.

Nesta palestra, exploraremos como a combinação de técnicas simples de desenvolvimento e ofuscação de malware pode efetivamente contornar os AVs e EDRs mais amplamente utilizados no mercado. A apresentação demonstrará, na prática, que estratégias conhecidas de bypass, quando combinadas de maneira eficiente, podem alcançar uma taxa de sucesso próxima de 100%.

A motivação para este conteúdo surgiu de uma campanha de Red Team bem-sucedida, na qual enfrentamos o desafio de lidar com defesas desconhecidas e imprevisíveis. O objetivo é proporcionar insights valiosos para profissionais de segurança ofensiva e defensiva, ajudando-os a compreender melhor as vulnerabilidades nos sistemas de proteção atuais.

Ferramentas amplamente utilizadas por profissionais de segurança ofensiva podem gerar falsos positivos e negativos ao analisar templates de certificados no ADCS em busca de oportunidades de escalação de privilégio. Nesta apresentação será demonstrado como interpretar corretamente os templates e seus security descriptors, evitando armadilhas e assegurando uma enumeração mais precisa da vulnerabilidade ESC1.

Nesta talk, vamos explorar casos de má implementação de tokens JWT em APIs e como encadear essas falhas com outras vulnerabilidades para aumentar o impacto. A apresentação incluirá estudos de caso reais destacando a importância de uma abordagem ofensiva.

Nesta palestra, serão apresentadas diversas técnicas utilizadas por atacantes para obter acesso privilegiado em quiosques e totens, dispositivos amplamente encontrados em aeroportos, shoppings, bancos e outros locais de grande circulação. Focando na prática de invasão e na identificação de configurações inadequadas, o conteúdo abrangerá desde a análise de permissões  até estratégias para contornar restrições de segurança impostas pelo sistema operacional.