O Departamento de Engenharia Informática (DEI) do Instituto Superior de Engenharia do Porto (ISEP), numa iniciativa conjunta com o Mestrado em Engenharia Informática (MEI), convida à participação da palestra com o tema “Dawn of the Dead - The Tale of the Resurrected Domain”, que terá lugar no dia 7 de novembro, pelas 18h, na sala B301.
Resumo
Atualmente, a nossa dependência de dependências de terceiros não tem precedentes, abrangendo tanto o próprio software como as cadeias de desenvolvimento, construção e várias outras ferramentas concebidas para melhorar a eficiência do desenvolvimento de software. Uma parte significativa destas dependências inclui scripts carregados, dinamicamente, a partir de servidores de terceiros. E se esses hosts de terceiros falharem? Normalmente, os browsers ainda tentam executar a aplicação web, o que frequentemente resulta em numerosos erros na consola que passam despercebidos aos utilizadores. Esta é uma razão provável para a manutenção de código relaxada observada em muitos websites, pois as suas aplicações parecem funcionar apesar destes problemas subjacentes.
O risco aumenta quando os hosts de scripts são encerrados permanentemente, deixando frequentemente os seus domínios disponíveis para compra. Este cenário tem sido recentemente explorado por “attackers”, que adquirem estes domínios para injetar scripts maliciosos em websites que ainda estão ligados aos URLs originais. Intercetámos um desses ataques, que injetava código malicioso em vários websites. A extensão desta ameaça era desconhecida até que a nossa investigação de ameaças levou à descoberta de mais de 1.000 websites comprometidos. Esta apresentação abordará toda a saga, desde a deteção até à neutralização, incluindo os vários desafios enfrentados e as ferramentas criadas e utilizadas.
Orador
Pedro Fortuna, CTO e Co-Founder, Jscrambler
Inicialmente, lecionou cursos de segurança e ciência da computação durante cerca de cinco anos. Porém, acabou por se apaixonar pelo mundo acelerado do empreendedorismo. Fundou a Jscrambler, onde lidera toda a pesquisa de segurança e impulsiona a inovação de produtos da empresa na área da segurança de aplicações. Tem mais de 15 anos de experiência em investigação e trabalho em segurança web. É contribuinte da OWASP e orador regular em várias conferências internacionais de segurança. Os seus principais interesses de investigação incluem Segurança de Aplicações, Segurança Web, Engenharia Reversa, Malware e Engenharia de Software. Criador de soluções que requerem reescrita de código, sandboxing ou ambos. Membro do PCI-SSC BoA. Autor de várias patentes em segurança de aplicações. Líder do capítulo da OWASP Porto.
Organização
Esta palestra é organizada pelo QTDEI em colaboração com o Mestrado em Engenharia Informática (MEI) do Instituto Superior de Engenharia do Porto (ISEP).