XI edición de OWASP 2017 Spain Chapter

El pasado día 23/11/2017 tuvo lugar en Barcelona la XI edición de OWASP Spain Chapter.

Participaron ponentes de gran conocimiento en el área, entre los que destaca nuestro compañero de auditoría Luis Enrique Benítez. A lo largo de la conferencia se trataron distintos temas, entre ellos: Atacando aplicaciones NodeJS, IoT (Internet of Thing), Protección y verificación de Business Logic Flaws, Protección de la identidad digital, utilización de Telegram por parte de Daesh y pentest en aplicaciones móviles bancarias.

La primera presentación del día la realizó Michael Hidalgo, esta primera presentación estuvo titulada: Atacando aplicaciones Node.js, en ella pudimos observar como realizar pruebas de inyección en este tipo de aplicaciones, inyectar parámetros, llegando incluso a realizar una ejecución de código remoto en el servidor, si la aplicación lo permite. Se destacó que la plataforma fue creada a partir del entorno de ejecución de JavaScript de Chrome, para construir aplicaciones de red rápidas y escalables, a su vez Node.js usa V8 (máquina virtual que empodera Google Chrome) y utiliza código JavaScript del lado del servidor.

La segunda presentación del día la realizo Miguel Ángel Arroyo, con el tema: Superficie de ataque en un dispositivo IoT según OWASP Internet of Things Project. Se destacaron amenazas y vulnerabilidades presentes en los dispositivos IoT, realizando una pequeña demo, en la que con 15 dólares es posible realizar un ataque y conseguir credenciales del dispositivo, se resaltó también que una de las vulnerabilidades que afectan a los usuarios de los dispositivos IoT, es que estos equipos envían información al fabricante sin el consentimiento de usuario, invadiendo de esta manera la privacidad.

La tercera presentación del día la realizo Roberto Velazco, con el tema: Protection and Verification of Business Logic Flaws. Manipular el contrato o realizar algo inesperado que la aplicación no es capaz de validar o verificar, una forma de hacerlo es jugar con la lógica de la aplicación, modificando parámetros para modificar su correcto funcionamiento.

La cuarta presentación del día la realizó Selva Orejón, con el tema, Protección de la identidad Digital, se dio a conocer la importancia y las consecuencias de que la información personal esté pública en internet por terceros. Se demostraron técnicas para verificar nuestra información personal publicada en internet.

La quinta presentación del día la realizó Carlos Seisdedos, con el tema: Utilización de telegram por parte del Daesh, se reveló como los terroristas usan las redes sociales, deface web, dump de bases de datos para generar terror. Se dio a conocer información que publican los terroristas en los canales de Telegram como manuales de bombas, veneno, como usar tor para anonimizar su conexión y la publicación de panfletos e imágenes con contenido terrorista que son impactantes a la vista.

La sexta presentación del día la realizó Luis Alberto Solís, y trató el tema: Análisis de apps bancarias usando Owasp MASVS, la utilización de herramientas muy potentes como Frida, Drozer, Zap Proxy y metasploit.

La última presentación del día la realizó nuestro compañero de auditoría Luis Enrique Benítez, con el tema: Internet of Things, Smart Cities y otras vulnerabilidades. Se habló de la invasión de la privacidad por parte de las compañías y fabricantes de los productos IoT a los usuarios, se dieron ejemplos, destacando los televisores, las lavadoras y juguetes inteligentes que son capaces de conectarse a internet, se explico también como realizar un laboratorio de prueba para auditar y testear la seguridad de los equipos IoT.


Autor: Carlos Alejandro Capdevila
Dpto. Auditoría

Internet Security Auditors junto con BSI y en colaboración con ACDECC&BPO realizarán conferencia sobre ISO 27001 y 22301 en Bogotá

Este jueves 30 de noviembre ISEC y BSI, en colaboración con la Asociación Colombiana de Empresas de Contact Centers y BPO realizarán un ciclo de conferencias con temas enfocados en las normas ISO 27001 y 22301, seguridad de la información y continuidad de negocio en entornos CC&BPO, abordando temas como:

• Requerimientos generales de las normas ISO 27001 e ISO 22301
• Procesos de implementación de los sistemas de gestión ISO 27001 e ISO 22301
• Cuál es la problemática que pueden encontrar al implementar un sistema de gestión de seguridad de la información o continuidad del negocio en empresas de call center y BPO
• ¿Cuál es el proceso de auditoría, cómo se desarrolla, cuál es el rol del auditor? ¿Cómo de renueva la certificación?

En las conferencias participarán como ponentes Javier R. Amaya y David A. González expertos en los procesos de implementación y auditoria de estos sistemas de gestión.

Lugar: Cra. 8ª #99 – 55 HOTEL NH Collection Bogotá WTC Royal
Horario: 8:30am – 12:00pm

Entrada gratuita para asociados ACDECC & BPO
Valor no asociados: $50.000

Vicente Aguilera entrevistado en varios medios de comunicación españoles

Vicente Aguilera fue entrevistado la semana pasada en varios medios de comunicación españoles, con motivo de las supuestas injerencias de Rusia en Cataluña.

Por un lado, el día 14 de noviembre participó nuevamente en el programa de la televisión catalana 8 al dia para tratar el tema de los perfiles sociales falsos detectados en Internet, por parte de Rusia en su mayoría, estos últimos meses que lanzaban noticias falsas contra España.

El tema general del debate era ¿Han influido los rusos en la cuestión catalana a través de las redes sociales?

El día 16 de noviembre, fue entrevistado por Luis Herrero en el programa “En casa de Herrero” de esRadio, también para ofrecer su visión como experto en ciberseguridad sobre el tema anteriormente mencionado.

Por último, el pasado 17 de noviembre, con motivo del evento Qurtuba Security Congress 2017 realizado en Córdoba, donde Vicente participaba con la ponencia “Datos, información, inteligencia y otras guerras”, fue entrevistado en Radio Nacional de España para comentar el tema de la ponencia, así como la posible injerencia rusa en la cuestión catalana.

A continuación, encontraréis las entrevistas:
http://www.8tv.cat/programa/8aldia/ (a partir del minuto: 45:16)
http://esradio.libertaddigital.com/en-casa-de-herrero/

Vicente Aguilera ponente en el Black Hat Europe (London)

El próximo mes de diciembre, los días del 4-7 se celebra en Londres el evento mundialmente conocido: Black Hat Europe, en él se ofrece a los asistentes lo último en investigación, desarrollo y tendencias en seguridad de la información. Los profesionales e investigadores más brillantes de la industria se reúnen durante un total de cuatro días: dos días de Entrenamientos prácticos profundamente técnicos, seguidos por dos días de las últimas revelaciones de investigación y vulnerabilidad en los Briefings.

Vicente Aguilera participa como ponente el día 6. En su presentación hablará sobre Tinfoleak:

• Tinfoleak es una herramienta open-source catalogada en las disciplinas OSINT (Open Source Intelligence) y SOCMINT (Social Media Intelligence) que automatiza la extracción de información en Twitter y facilita el análisis posterior para la generación de inteligencia. A partir de un identificador de usuario, unas coordenadas geográficas, o palabras clave, Tinfoleak analiza el timeline de Twitter para extraer grandes volúmenes de datos y mostrar información útil y estructurada para el analista de inteligencia.

• Tinfoleak está incluida en múltiples distribuciones de Linux: CAINE, BlackArch, Buscador y Kali. Actualmente, es la herramienta open-source más completa para el análisis de inteligencia sobre la red social Twitter.

Para más información sobre el evento:
http://www.blackhat.com/eu-17/arsenal/schedule/index.html

Vicente Aguilera participará nuevamente como jurado en el Hackathon en Cybercamp 2017

INCIBE, el Instituto Nacional de Ciberseguridad de España, organiza la edición 2017 de CyberCamp, el gran evento de ciberseguridad que nació con el objetivo de reunir a los mejores talentos en materia de ciberseguridad. Este año, el evento se llevará a cabo del 1 al 3 de diciembre, este año en Santander.

Después del éxito de los años anteriores, el evento vuelve a repetir el Hackathon, donde distintos equipos participantes competirán contra otros equipos para desarrollar o mejorar herramientas, soluciones y/o aplicaciones de ciberseguridad de código abierto, nuevas o ya existentes, aportando así nuevas funcionalidades, mejoras o capacidades innovadoras al proyecto de software libre seleccionado.

Como novedad en esta edición, en el Hackathon de CyberCamp 2017 los equipos participantes tendrán la posibilidad de competir con herramientas, soluciones y/o aplicaciones de código abierto sobre las que lleven trabajando un tiempo (semanas, o incluso meses o años), y que por tanto estén más maduras y consolidadas.

Vicente Aguilera ha sido invitado otro año más a formar parte del experto jurado del Hackathon, compuesto por 6 miembros.

Más información:
https://cybercamp.es/competiciones/hackathon

Vicente Aguilera entrevistado en el periódico El Confidencial

El pasado jueves Vicente Aguilera fue entrevistado para el periódico El Confidencial, con motivo del Campeonato de Europa de Ciberseguridad celebrado en Málaga los días 31 de octubre y 1 de noviembre.

Se puede consultar el artículo completo en:
https://www.elconfidencial.com/tecnologia/2017-11-03/hackers-campeonato-europa-ciberseguridad-espana_1471555/