Hola a tod@s
Mañana y el sábado se celebraran en Barcelona uno de los
congresos más importante de seguridad informática y hacking a nivel nacional,
la NoCONname. Este evento es el más
antiguo de este país, este año será su XIV edición.
Os dejo con los horarios y las ponencias.
1 de noviembre de 2013
08:00 Apertura
Recogida de Acreditaciones
08:00 Apertura
Recogida de Acreditaciones
09:30 Inauguración X Edición
10:00 Cloud Computing, Big Data, Smart Cities... ¿y las personas?
Ruth Sala Ordoñez
Mientras que, por un lado, empresarialmente está “justificado” por un mayor conocimiento de las necesidades de la población, para proceder a un ajuste más adecuado en la venta de los productos, por otro lado, las Ciudades, justifican esa captación masiva de datos enfocada a una mejor gestión de la ciudad y de los servicios. ¿Sería una buena opción Crear entre toda la Comunidad Tecnológica y Agentes sociales un Decálogo de intenciones?. ¿Qué principios básicos podemos diseñar como buenas prácticas?,
Ruth Sala Ordoñez
Mientras que, por un lado, empresarialmente está “justificado” por un mayor conocimiento de las necesidades de la población, para proceder a un ajuste más adecuado en la venta de los productos, por otro lado, las Ciudades, justifican esa captación masiva de datos enfocada a una mejor gestión de la ciudad y de los servicios. ¿Sería una buena opción Crear entre toda la Comunidad Tecnológica y Agentes sociales un Decálogo de intenciones?. ¿Qué principios básicos podemos diseñar como buenas prácticas?,
11:05 Coffee Break
11:35 One FlAw Over the Cuckoo's
Iñaki Rodríguez/Ricardo J. Rodríguez
Se pretende enseñar el estado del arte actual en referencia a la detección de entornos virtuales y entornos controlados, como Cuckoo Sandbox, y cómo estos entornos controlados pueden ser evitados. Finalmente, se pretende avanzar en el campo de protección antimalware, proveyendo nuevas técnicas para evitar la detección de entornos controlados mediante el uso de DBI (Dynamic Binary Instrumentation). Se comentarán los pros y los contras de la combinación de estas dos tecnologías (entornos controlados y DBIs).
Iñaki Rodríguez/Ricardo J. Rodríguez
Se pretende enseñar el estado del arte actual en referencia a la detección de entornos virtuales y entornos controlados, como Cuckoo Sandbox, y cómo estos entornos controlados pueden ser evitados. Finalmente, se pretende avanzar en el campo de protección antimalware, proveyendo nuevas técnicas para evitar la detección de entornos controlados mediante el uso de DBI (Dynamic Binary Instrumentation). Se comentarán los pros y los contras de la combinación de estas dos tecnologías (entornos controlados y DBIs).
12:20 La defensa de Chewbacca
Vicente Aceituno
El uso de la clasificación alto-medio-bajo no tiene una influencia real en la planificación de IT, y se vuelve en contra del equipo de seguridad. Los oyentes podrán comunicarse más efectivamente con sistemas y desarrollo, y mejorarán el número y agilidad de corrección de vulnerabilidades. La finalidad es que los auditores abandonen el uso de la clasificación alto-medio-bajo por su escasa utilidad a nivel corporativo.
Vicente Aceituno
El uso de la clasificación alto-medio-bajo no tiene una influencia real en la planificación de IT, y se vuelve en contra del equipo de seguridad. Los oyentes podrán comunicarse más efectivamente con sistemas y desarrollo, y mejorarán el número y agilidad de corrección de vulnerabilidades. La finalidad es que los auditores abandonen el uso de la clasificación alto-medio-bajo por su escasa utilidad a nivel corporativo.
13:15 Comida
15:00 Pinout & flashing a Nokia phone
Carlos Fouz
Con este taller se pretende mostrar como se ha aprendido técnicas pinout, flashing a phone y el método de análisis necesario para analizarresultados, así como comparar los resultados con algunas herramientas comerciales como UFED cellebrite. Se pretende también mostrar que existe la posibilidad de extraer información de terminales no Smartphone solamente con acceso a la placa base y aunque tengan contraseña.
Carlos Fouz
Con este taller se pretende mostrar como se ha aprendido técnicas pinout, flashing a phone y el método de análisis necesario para analizarresultados, así como comparar los resultados con algunas herramientas comerciales como UFED cellebrite. Se pretende también mostrar que existe la posibilidad de extraer información de terminales no Smartphone solamente con acceso a la placa base y aunque tengan contraseña.
16:00 Mesa Redonda
17:00 Descanso
17:15 Securización de servicios web con OAuth
Jordi Gimenez
OAuth es un framework para el control de acceso en APIs ampliamente utilizado en Internet, popularizado por Google, Facebook y Twitter, y en creciente adopción para servicios de todo tipo. El estudio pretende conocer el protocolo, qué problemas resuelve y cuáles no, las partes implicadas en las comunicaciones y nomenclatura que cualquier persona interesada en la seguridad del sistema y en su implementación debería conocer. Se hace un repaso de las versiones OAuth 1.x y 2.x y las opciones que ofrece, con la intención de aportar la información suficiente para tomar las decisiones adecuadas a cada plataforma, teniendo en cuenta aspectos como la usabilidad y escalabilidad de la plataforma. Se incluye un listado de las vulnerabilidades más comunes en las implementaciones y la forma de mitigarlas. Se concluye con una guía de buenas prácticas a la hora de implantar OAuth en una plataforma, teniendo en cuenta aspectos como la usabilidad y Escalabilidad.
Jordi Gimenez
OAuth es un framework para el control de acceso en APIs ampliamente utilizado en Internet, popularizado por Google, Facebook y Twitter, y en creciente adopción para servicios de todo tipo. El estudio pretende conocer el protocolo, qué problemas resuelve y cuáles no, las partes implicadas en las comunicaciones y nomenclatura que cualquier persona interesada en la seguridad del sistema y en su implementación debería conocer. Se hace un repaso de las versiones OAuth 1.x y 2.x y las opciones que ofrece, con la intención de aportar la información suficiente para tomar las decisiones adecuadas a cada plataforma, teniendo en cuenta aspectos como la usabilidad y escalabilidad de la plataforma. Se incluye un listado de las vulnerabilidades más comunes en las implementaciones y la forma de mitigarlas. Se concluye con una guía de buenas prácticas a la hora de implantar OAuth en una plataforma, teniendo en cuenta aspectos como la usabilidad y Escalabilidad.
18:15 A journey into userland rootkits for Android
Sebastián Guerrero
El objetivo de la presente charla, es concienciar al usuario, organización o empresa, que decide depositar su confianza en plataformas móviles Android, de la existente posibilidad de desarrollar rootkits tanto en espacio de kernel como en espacio de usuario, que puedan transformar el terminal en un dispositivo bajo control de atacantes, poniendo en peligro la integridad y seguridad de la información sensible y de carácter personal que es almacenada en este. Como acompañamiento de la exposición teórica, se mostrarán un par de rootkits que se han desarrollado durante la investigación, que demostrarán cómo es posible tomar un control absoluto del terminal no sólo a nivel de kernel, sino también a nivel de usuario.
Sebastián Guerrero
El objetivo de la presente charla, es concienciar al usuario, organización o empresa, que decide depositar su confianza en plataformas móviles Android, de la existente posibilidad de desarrollar rootkits tanto en espacio de kernel como en espacio de usuario, que puedan transformar el terminal en un dispositivo bajo control de atacantes, poniendo en peligro la integridad y seguridad de la información sensible y de carácter personal que es almacenada en este. Como acompañamiento de la exposición teórica, se mostrarán un par de rootkits que se han desarrollado durante la investigación, que demostrarán cómo es posible tomar un control absoluto del terminal no sólo a nivel de kernel, sino también a nivel de usuario.
2 de noviembre de 2013
08:30 Apertura
Recogida de Acreditaciones
08:30 Apertura
Recogida de Acreditaciones
09:00 TU PO**A through the NFC
Ricardo J.Rodríguez
En esta charla se estudian las tarjetas inteligentes sin contacto de tecnología NFC. Concretamente, en esta charla se analizan las tarjetas MiFare Classic. Se muestra cómo funcionan, y cómo es su protocolo de seguridad... comprometido desde el año 2009. Este tipo de tarjetas son cada vez más utilizadas, tanto para usos de infraestructuras municipales (e.g. Bibliotecas municipales, piscinas, etc.), como apertura de zonas restringidas o pago de parkings públicos. En la charla se analiza un caso real de uso de esta tecnología, y su pobre protección con sus derivadas consecuencias, así como la experiencia de colaboración con las FCSE para poner en conocimiento dicha problemática, y sus resultados.
Ricardo J.Rodríguez
En esta charla se estudian las tarjetas inteligentes sin contacto de tecnología NFC. Concretamente, en esta charla se analizan las tarjetas MiFare Classic. Se muestra cómo funcionan, y cómo es su protocolo de seguridad... comprometido desde el año 2009. Este tipo de tarjetas son cada vez más utilizadas, tanto para usos de infraestructuras municipales (e.g. Bibliotecas municipales, piscinas, etc.), como apertura de zonas restringidas o pago de parkings públicos. En la charla se analiza un caso real de uso de esta tecnología, y su pobre protección con sus derivadas consecuencias, así como la experiencia de colaboración con las FCSE para poner en conocimiento dicha problemática, y sus resultados.
10:00 Ofuscación y estenografía de binarios
David Guillén
El principal objetivo de la de la ponencias es dar a conocer una investigación en la que se evaluan las técnicas de ofuscación de datos y código en ejecutables así como propuestas de nuevas técnicas o variantes. Se hace hincapié en la estenografía de código máquina y se propone un nuevo método de ofuscación consistente en la creación de código sintético falso donde ocultar datos. Dado que el objetivo de esta herramienta es evadir todo tipo de software de análisis y detección de ejecutables sospechosos, cualquier posible avance y mejora en este terreno cuestiona los sistemas y algoritmos existentes que usan estas herramientas. En este trabajo no se hacen propuestas de mejora para el software de detección, pero esto es precisamente un beneficio, ya que de alguna manera se especula sobre cómo podría evolucionar en el futuro el malware.
David Guillén
El principal objetivo de la de la ponencias es dar a conocer una investigación en la que se evaluan las técnicas de ofuscación de datos y código en ejecutables así como propuestas de nuevas técnicas o variantes. Se hace hincapié en la estenografía de código máquina y se propone un nuevo método de ofuscación consistente en la creación de código sintético falso donde ocultar datos. Dado que el objetivo de esta herramienta es evadir todo tipo de software de análisis y detección de ejecutables sospechosos, cualquier posible avance y mejora en este terreno cuestiona los sistemas y algoritmos existentes que usan estas herramientas. En este trabajo no se hacen propuestas de mejora para el software de detección, pero esto es precisamente un beneficio, ya que de alguna manera se especula sobre cómo podría evolucionar en el futuro el malware.
10:55 Coffee Break
11:35 Mesa Redonda
12:30 Client-Side password encryption the 800lb Gorilla is your sysadmin
Pedro Fortuny/Carlos Amieva
Nowadays (think HostGator & Ed. Snowden), Systems Administrators cannot be trusted by default. Password security should not depend on their ability to monitor the server traffic. We solve this problem. Problem Statement: Prevent the system administrator (or a malicious root) from accessing in-transit authentication tokens (in-the-middle access). Solution: Use an external semi-dumb asymmetric key hardware token (the Sibyl), with new modifications.
Pedro Fortuny/Carlos Amieva
Nowadays (think HostGator & Ed. Snowden), Systems Administrators cannot be trusted by default. Password security should not depend on their ability to monitor the server traffic. We solve this problem. Problem Statement: Prevent the system administrator (or a malicious root) from accessing in-transit authentication tokens (in-the-middle access). Solution: Use an external semi-dumb asymmetric key hardware token (the Sibyl), with new modifications.
13:15 Comida
15:00 /*!Bypass Web Application Firewall */
Automatizando Técnicas de inyecciones SQL con Python
Omar Palomino
La presentación tiene por objetivo identificar los diversos vectores de ataque de SQLi contra aplicaciones web protegidas por soluciones WAF (Web Application Firewall). Como objeto principal es presentar el funcionamiento de las principales soluciones WAF del mercado, realizar y comparar ataques SQLi en aplicaciones web vulnerables que cuentan con soluciones tipo WAF y las que no cuentan con la misma, identificar y crear conciencia sobre los verdaderos riesgos minimizados al adquirir una solución WAF y desmitificar que la adquisición de una solución WAF elimina el riesgo de ataques contra aplicaciones Web.
Automatizando Técnicas de inyecciones SQL con Python
Omar Palomino
La presentación tiene por objetivo identificar los diversos vectores de ataque de SQLi contra aplicaciones web protegidas por soluciones WAF (Web Application Firewall). Como objeto principal es presentar el funcionamiento de las principales soluciones WAF del mercado, realizar y comparar ataques SQLi en aplicaciones web vulnerables que cuentan con soluciones tipo WAF y las que no cuentan con la misma, identificar y crear conciencia sobre los verdaderos riesgos minimizados al adquirir una solución WAF y desmitificar que la adquisición de una solución WAF elimina el riesgo de ataques contra aplicaciones Web.
16:05 Keep your sandbox for malware analysis unnoticed
Alberto Ortega
Con la creciente cantidad de familias y muestras de malware, el análisis automatizado mediante sandboxing se ha convertido en una necesidad. El malware no se ha quedado atrás, y ha desarrollado técnicas para detectar si está siendo analizado, y en éste caso, alterar su comportamiento. Veremos las técnicas que utilizan con ayuda de la herramienta pafish, y las forzadas soluciones de las sandbox para análisis de malware respecto al tema.
Alberto Ortega
Con la creciente cantidad de familias y muestras de malware, el análisis automatizado mediante sandboxing se ha convertido en una necesidad. El malware no se ha quedado atrás, y ha desarrollado técnicas para detectar si está siendo analizado, y en éste caso, alterar su comportamiento. Veremos las técnicas que utilizan con ayuda de la herramienta pafish, y las forzadas soluciones de las sandbox para análisis de malware respecto al tema.
17:00 Descanso
17:25 Defeating WhatsApp's Lack of Privacy
Jaime Sanchez/Pablo San Emeterio
Con el escándalo de PRISM se ha empezado a plantear si no sólo Microsoft, Google, Apple o Facebook están colaborando con gobiernos para espiar los comportamientos de sus ciudadanos. ¿Será WhatsApp una de estas empresas?. ¿Almacena WhatsApp las conversaciones de sus usuarios?. El principal objetivo de la investigación es añadir una nueva capa de seguridad y privacidad que garantice que en el intercambio de información entre los integrantes de una conversación tanto la integridad como la confidencialidad no puedan verse afectados por un atacante externo. Para ello se desarrolla un sistema que permite anonimizar y cifrar las conversaciones y datos enviados mediante WhatsApp, de tal forma que cuando lleguen a los servidores no estén en “texto claro” y sólo sean legibles para los legítimos propietarios.
Jaime Sanchez/Pablo San Emeterio
Con el escándalo de PRISM se ha empezado a plantear si no sólo Microsoft, Google, Apple o Facebook están colaborando con gobiernos para espiar los comportamientos de sus ciudadanos. ¿Será WhatsApp una de estas empresas?. ¿Almacena WhatsApp las conversaciones de sus usuarios?. El principal objetivo de la investigación es añadir una nueva capa de seguridad y privacidad que garantice que en el intercambio de información entre los integrantes de una conversación tanto la integridad como la confidencialidad no puedan verse afectados por un atacante externo. Para ello se desarrolla un sistema que permite anonimizar y cifrar las conversaciones y datos enviados mediante WhatsApp, de tal forma que cuando lleguen a los servidores no estén en “texto claro” y sólo sean legibles para los legítimos propietarios.
18:30 All your content providers are belong to me
Sebastián Guerrero
El objetivo de la presente charla, es concienciar al usuario, organización o empresa, que decide desarrollar su solución en forma de producto para plataformas móviles Android, de un nuevo vector de ataque que puede poner en peligro la integridad y seguridad de la información sensible y de carácter personal que es almacenada en los proveedores de contenidos. Dichos proveedores de contenido, son uno de los cuatro pilares sobre los que se erige la jerarquía base que sustenta toda aplicación que se instala en un terminal Android. Como acompañamiento de mi exposición teórica, se mostrará diversas herramientas de explotación que he ido desarrollando, tanto para plataformas móviles como para escritorio, culminando con la demostración de una pieza de malware única, capaz de realizar un ataque dirigido sobre un usuario/aplicación, filtrando al exterior toda la información sensible Almacenada.
19:00 Ganadores CTF / CLAUSURASebastián Guerrero
El objetivo de la presente charla, es concienciar al usuario, organización o empresa, que decide desarrollar su solución en forma de producto para plataformas móviles Android, de un nuevo vector de ataque que puede poner en peligro la integridad y seguridad de la información sensible y de carácter personal que es almacenada en los proveedores de contenidos. Dichos proveedores de contenido, son uno de los cuatro pilares sobre los que se erige la jerarquía base que sustenta toda aplicación que se instala en un terminal Android. Como acompañamiento de mi exposición teórica, se mostrará diversas herramientas de explotación que he ido desarrollando, tanto para plataformas móviles como para escritorio, culminando con la demostración de una pieza de malware única, capaz de realizar un ataque dirigido sobre un usuario/aplicación, filtrando al exterior toda la información sensible Almacenada.
No seáis malos.
