Les presentamos Agenda provisional, la próxima semana esperamos tener la definitiva.

Puedes descargarla >> aquí <<

Sec/Admin 2018  Agenda Provisional v1.1

Día 2

ABSTRACTS

1. Josep Albors: When worlds collide: Cryptojacking meets IoT

Objetivo: Dar a conocer la amenaza real del cryptojacking para los millones de dispositivos conectados y abordar las posibles soluciones que se pueden implementar a todos los niveles.

Con miles de millones de dispositivos conectados y muchos de ellos sin ninguna medida de seguridad efectiva contra los ataques constantes, no es de extrañar que los delincuentes intenten sacar el máximo partido de sus amenazas. En los últimos meses hemos visto cómo se han propagado amenazas relacionadas con la minería no autorizada de criptomonedas en sistemas de escritorio y servidores. No obstante, la amenaza real se encuentra en todos aquellos dispositivos que están conectados y que pocas veces son revisados que los utilizan. En esta ponencia se analizaran aquellas amenazas orientadas al IoT que tienen como finalidad aprovechar sus recursos para el minado de criptodivisas, revisando sus vectores de ataque, como consiguen persistencia y otros detalles interesantes que se han venido observando en los últimos meses, junto a posibles soluciones para mitigar una amenaza que ya está causando verdaderos problemas a empresas y particulares.

Interesante por la actualidad del tema tratado y el impacto que tiene el cryptojacking en millones de dispositivos conectados de todo tipo.

 

2. Joaquín Molina: Red Team Vs Blue Team: Entrena tu dragón.

Objetivo: Mostrar técnicas usadas habitualmente en procesos de pentesting y red team y cómo podemos detectarlas/mitigarlas mediante el uso de herramientas SIEM.

Mostraremos ataques como mimikatz, dns exfiltration, pass the hash, pass the tickets, elevación de privilegios, movimientos laterales y como detectar varios tipos de ataques mediante el uso de monitorización.

Para la presentación se usará como sistema defensivo SPLUNK por su sencillez en la syntaxis de las consultas, casi pseudo-código, facilmente entendible y portable a otros SIEM.

El objetivo de la charla es que la seguridad es defensiva y ofensiva, y está muy bien un informe de pentesting y read team, pero el objetivo de los «buenos» es la seguridad, y esto implica defender.

Una conferencia de perfil hacking ofensivo de alto nivel. «Eh señores, que hay blueteam/soc/defensa».

3. Luis Jurado Cano: La industria de las Ciberarmas: el próximo paso.

Objetivo: Potenciar la industria del ciberarmamento. Tema novedoso, atractivo y generará un nuevo nicho de mercado.

La globalización permite adquirir productos del otro extremo del mundo, usualmente a un coste muy inferior al que se pagaría si fuese creado en España, ¿pero qué pasa cuando esos productos pueden alterar de forma grave el desarrollo normal de un país?

 

Hoy en día, determinados países tienen una ventaja competitiva tan grande en materia de ciberarmamento, que prácticamente el resto no tienen oportunidades de hacer frente a los mismos, es algo así como entrar participar en partida de cartas donde el único que no sabe que están marcadas eres tú.

En esta conferencia, se explicarán los distintos elementos que deben formar parte de la industria del cibearmamento que está en plena expansión a nivel mundial.

 

4. Salvador Samper: “Intervención de comunicaciones y espacio aéreo”

 

5. Avishag (Abi) Daniely: Director of Product Managment at GuardiCore, based in Israel. Over 8 years of experience in Cyber Security, both in offense and defense.

Infection Monkey: an open source Breach and Attack Simulation (BAS) tool that assesses the resiliency of private and public cloud environments to post-breach attacks and lateral movement. Presenting the tool and the various vulnerabilities it detects and how we use it to secure cloud workloads, including a demo.

 

6. Alberto del Río: Automatizando el análisis de firmware Android

Objetivo: Presentar la liberación de una herramienta para el análisis de seguridad de firmware Android. No existen herramientas similares en el mercado.

ASCT (Android Security Configuration Tester) es un conjunto de herramientas concebidas para abarcar la mayoría de las pruebas de seguridad relacionadas con firmwares de Android, tanto a través del análisis dinámico como estático. La herramienta primero recopila toda la información que necesita de un dispositivo (ya sea emulado o conectado a través de USB) usando el Android Debugger (ADB); luego, analiza todos los datos en busca de configuraciones erróneas y agujeros de seguridad que puedan conducir a vulnerabilidades.

 

7. PEDRO SANCHEZ CORDERO: The Cuckoo’s Egg

Objetivo: Proceso de Threat Hunting (caza) sobre un ataque a dispositivos industriales.

En esta conferencia se explica en detalle un suceso que tuvo durante días secuestrado un sistema de producción industrial de una empresa dedicada al desarrollo de productos de energía. Para ello comprobando sus sistemas, descubrimos una diferencia de 10 milisegundos en todas las comunicaciones en su línea de producción. Este pequeño detalle nos llevó a darnos cuenta de habían introducido un malware industrial en un dispositivo PLC al que llamamos “El huevo del Cuckoo” dándonos cuenta de que los ordenadores de su red estaban siendo atacados por piratas expertos en entornos industriales desde el extranjero, y con ello comenzó nuestra particular carrera de persecución hasta dar con ellos y la detención de un integrante del grupo írani Chafer (APT33) por parte del FBI. En la conferencia se explica las problemáticas del entorno industrial y sus grandes diferencias del mundo IT, el proceso de forense en un dispositivo industrial como es un PLC, el Threat Hunting que se inició para adquirir evidencias (desarrollamos HoneyPots Industriales), el proceso de Threat Intelligence para descubrir los actores, procesos y técnicas que emplearon. La conferencia es eminentemente práctica, didáctica y visual con muchas demos y en la que se aportarán IOCs, referencias y herramientas.

Desarrollo del proceso MITRE de Threat Hunting para convertirte en un cazador PRO. El análisis de código maligno en un dispositivo industrial como un PLC en tiempo de ejecución y sin que afecte a la producción. La creación productos para poder ‘cazar’ al atacante cómo desarrollo de honeypots industriales, La utilización de Machine Learning para la predicción de sistemas vulnerables con tráfico MODBUS, DNP3 y los mecanismos de defensa que realizamos en un mundo OT donde el fabricante casi no aporta nada en ciberdefensa.

 

8. Deepak Daswani: eHealth, Curl de bíceps y GDPR.

 

9. Javier Gerrero (Pandasecurity): Securización mediante AMSI

                El objetivo de la charla es dar a conocer AMSI y sus posibilidades en combinación con aplicaciones de terceros.

AMSI (Anti Malware Scan Interface) es una poco conocida interfaz de programación incluida en Windows 10, pensada básicamente para combatir el «fileless malware» mediante la detección de scripts maliciosos.

AMSI permite a las aplicaciones integrarse con la infraestructura antimalware instalada en la máquina y aprovechar su funcionalidad de análisis. Así, una aplicación puede pedir al producto antimalware que analice sus flujos de datos en busca de código malicioso.

En esta charla se llevará a cabo una demostración práctica del potencial de AMSI al combinarlo con una aplicación de terceros, concretamente el navegador Firefox.

Es un tema interesante y poco explorado. Además la demostración práctica ejemplifica muy bien el potencial de la tecnología.

 

10. Avishay Zawoznik: Twisting the DDoS approach – Masked reflected attacks

Object: Explain and demonstrate how DDoS mitigation can be bypassed by abusing the UPnP protocol.

Abstract: Some attacks go unchanged for years, and a great example for this is reflected DDoS attacks. The idea is simple, and they’ve been carried out for decades, but despite their large volume, the attacks are usually quite easy to mitigate. However, once you add a twist to those attacks, you augment them, and make them harder to protect against.

Description:

Reflected DDoS vectors have been used for decades as a shortcut to launch large volume attacks without a need for equally large botnet resources. For unprotected targets these attacks will always be bad news, but from a mitigation point of view these attacks resemble a diminishing threat due to bandwidth no longer being a concern to most mitigation providers, and how easily these attacks can be detected and differentiated from valid traffic.

Network protocols that are being abused as reflected DDoS vectors typically follow a specific well known pattern, making life easy for both attacker and DDoS mitigator, but DDoS attacks seen in the wild seem to challenge this perspective.

In this session, we’ll describe in detail the UPnP protocol faults and demonstrate a DDoS attack that leverages UPnP devices to evade common protection techniques. Then, we’ll recommend our approach to handle these attacks.

Interest: UPnP exploits are cool, twisting them for DDoS attacks is a fresh finding that demands new approach for protecting against it.

 

11. José Mesa Orihuela (Coordinador Investigación Ciberseguridad en Ingenia):

– Caso real: nunca confíes en los dispositivos compartidos

Dentro de una empresa el eslabón más débil en términos de seguridad son los dispositivos compartidos (portátiles o impresoras), ya que no suelen instalarse y configurarse adecuadamente, o contener información privada que puede ser utilizada para realizar un ataque de mayor efecto.

Es por ello que mostraremos un caso práctico gestionado por nuestro departamento de Red Team, donde un equipo desatendido en una sala de juntas supuso, en efecto, el acceso a toda la red corporativa de la empresa y la obtención de información confidencial de la manera más sencilla.

En la presentación, mostraremos los diferentes pasos llevados a cabo para el reconocimiento y explotación de las vulnerabilidades encontradas.

 

12. Jorge Coronado: All in one OSINT – ¿Qué sabe Internet de ti?

Objetivo: Enseñar técnicas y aplicaciones de OSINT creadas por el ponente.

Charla donde se enseñará cómo con técnicas, herramientas y diagramas de datos para encontrar información sobre particulares, empresas, etc. Se presentará el bot de Telegram llamado Dante’s Gates que se usará como medio «all in one» para saber direcciones, teléfonos, cargos en empresas, multas, emails, adjudicaciones y muchos más. Una aplicación perfecta para destapar corrupción…Se contarán casos reales de investigación.

Se expondrán diagramas para obtener información, técnicas y aplicaciones open source y gratuitas para hacer OSINT.

 

13. Salvador Gamero/Antoni Cobos: “OSINT Y DETECTIVES: La huella de navegación en el mundo de investigación”

 

14. Manuel Jesús Flores Montaño: “Profe, he descubierto una brecha en el instituto, ¿te aviso o no?”

Seguro que has visto muchas veces en Twitter o cualquier red social alguna que otra noticia acerca que se ha descubierto una vulnerabilidad en una empresa, pero en realidad, pocas veces se nombran las instituciones educativas como son colegios o universidades, pero, ¿qué pasa cuando descubres la vulnerabilidad de tu centro haciendo una práctica, y siendo estudiante?

En esta ponencia hablaremos de diversos casos reales, entidades a las que acudir y sobre todo, que hacer en caso de descubrir una vulnerabilidad, pues los caminos son muchos, pero algunas veces no sabemos cómo actuar en determinados casos.

 

15. Borja Manuel Merchán Cachinero: ¿Está tu empresa lista para recibir ataques?

Presentación de una librería Python de diseño propio, VemolWare, la cual permitirá al administrador de una red corporativa lanzar ataques controlados y preparados sobre la red con el fin de obtener informes sobre el grado de concienciación de los usuarios de dicha red.

Con todo esto se lanzarán pruebas de denegación de serivicio, mail spoofing, dns spoofing y técnicas de ingeniería social con fines meramente informativos ya que esta librería no pretende en ningún momento que el uso sea para fines delictivos e ilegales. Útil para determinar si la infraestructura de una Pyme es segura a diversos ataques Phishing.

Todo el mundo conoce cómo es de importante la seguridad de la información hoy día, verdad? Aplicamos técnicas de respaldo, compramos firewalls, antivirus actualizados… Está muy bien todo pero… siempre descuidamos al eslabón más débil el propio USUARIO.

 

16. Taller Nacho Brihuega, Álvaro Macías: “No RE, No Pwn”

(Álvaro): Mi parte de pentesting me crearé una máquina vulnerable donde correrá dos programas vulnerables para así poder conseguir tanto shell de usuario como root, pero para ello realizaremos tarea de reversing y exploiting. La parte de ingeniería inversa para poder entender el funcionamiento del programa y buscar el fallo para posteriormente crear el exploit. Y la parte de escalada de privilegios será algo parecido. Lo comento porque no será una máquina vulnerable tipo de usar exploit conocidos y usar ese exploit creado por otro o usar tools de terceros. En este caso el proceso explotación es a bajo nivel usando principalmente las tools gdb-peda y radare2.

Al final es muy parecido al estilo una máquina del examen del OSCP donde hay que realizar la importante tarea de ingeniería inversa, buscar el fallo y crear el exploit para obtener shell.

Llevaré un manual-writeup en «High level details» para que la gente pueda volver hacerlo en casa con esa máquina vulnerable que pasaré y usaré en el taller. Pero básicamente mi parte será relativa a reversing y exploiting.

 

(Taller orientado tanto a público profesional como asistentes que están iniciándose. Se promueve el desarrollo de herramientas propias como mecanismo de aprendizaje. Taller novedoso aplicando una versión profesional y diferente de realizar un pentesting desde fuera hasta dentro)

 

 

17. Taller Elías Grande: Docker y SecDevOps

Objetivo: Profundizar en la tecnología Docker y en cómo un perfil de seguridad debe intervenir dentro de los flujos de «DevOps» para añadir el «Sec».

Durante este taller profundizaremos en la tecnología docker que es la más extendida a día de hoy en el sector de IT, abordando entre otros temas, tanto buenas prácticas a la hora de construir dichas imágenes docker así como buenas prácticas de seguridad a aplicar a nivel del host, del demonio de docker y del resto de componentes que forman parte en la ejecución de dichos contenedores. Por otro lado, no puede faltar en este taller conocer cómo un perfil de seguridad debe intervenir dentro de los flujos de «DevOps» para añadir el «Sec» sin bloquear la entrega continua de software que dicha filosofía persigue.

Para profundizar más en este tema, se puede consultar mi libro de 0xWord sobre dicha temática: https://0xword.com/es/libros/103-docker-secdevops.html

A los perfiles de seguridad les resulta compleja de entender la tecnología docker y sin ese conocimiento de base no pueden enfrentarse a buscarle nuevas cosquillas o usos a dicha tecnología.

 

18. Taller Yago Hansen: Programando un escáner Wi-Fi mediante Python Scapy.

Abstract: Este taller ofrece una introducción a la programación de scripts relacionados con el hacking en entornos Wi-Fi mediante el lenguaje de programación Python y la librería Scapy. Como ejemplo realizaremos desde cero un script que funciona como un scanner Wi-Fi en modo monitor para detectar todos los puntos de acceso y clientes que se encuentrar a nuestro alrededor. Esto servirá como introducción para realizar scripts más complejos en el futuro.

Requirements: Para asistir al taller conviene tener un conocimiento básico de programación en Python 2.7. Se recomienda traer un laptop con Kali Linux en máquina virtual o física y una tarjeta Wi-Fi que permita el modo monitor, aunque dispondremos de un número reducido de ellas.

 

19. Taller Javier Espejo (Qemm): Taller de Red & Blue Team

 

20. Francisco Ramírez (innotecsystem):

-Título: Empezando a escuchar aplicaciones (El hombre que susurraba a las aplicaciones)

Después de tiempo analizando las comunicaciones en dispositivos IoT y móviles, se va a presentar un breve repaso de los avances en las comunicaciones SSL. Además de cómo estos dispositivos implementan alguna medida de protección para evitar ataques de MiTM.

La charla tendrá los siguientes puntos:

1. Introducción a comunicaciones SSL: Que es una comunicación por SSL, entre los asistentes al público puede haber un cierto número de personas que no conozcan como realmente funcionan estas comunicaciones y vulnerabilidades conocidas como Poodle, Sweet32, etc etc
2. Bypass SSL: Como podemos romper una comunicación por SSL pasando la comunicación por un proxy. Aquí también hablaremos de cómo se pueden hacer otro tipo de ataques a dispositivos IoT para romper la comunicación, podemos poner el ejemplo práctico de cómo se puede analizar el tráfico en la bombilla inteligente de xiaomi.
3. Problemáticas: En este caso existen varios controles o mecanismos para evitar el ataque de romper una comunicación de SSL, como pueden ser el SSL Pinning o bien en las nuevas versiones de android como se tiene que configurar.
4. Bypass de SSL Pinning: Primero veremos que técnicas se pueden emplear para la rotura del cifrado SSL con SSL Pinning, como puede ser el uso de frida y otras herramientas. También podemos modificar la aplicación y desactivar de algunas de las maneras este tipo de control.
5. Experiencias que he tenido durante este último año en mi vida profesional en el que incluso he tenido que crear una CA enterprises para realizar Bypass de SSL.
6. Nuevas líneas de investigación.

Creo que es un tema bastante interesante y de actualidad para todos aquellos que quieran analizar una aplicación ya sea en Android o iOS. También se puede probar con cualquier dispositivo IoT.

 

21. Steve Mitchell: Cooking with the (Cyber)Chef

An overview, followed by an interactive demonstration of some of the features of Cyberchef – https://gchq.github.io/CyberChef/

based on a CTF challenge.

I’ve dumped my full Cyberchef guide here for reference:

https://docs.google.com/document/d/e/2PACX-1vQtbKuym0dtbpQw18i2ZfqY-mrmH1fsnyhc4wvFHPBopHZx1nu2pJNE27I3QFd6dfFXfBIRKyJ8ysh5/pub

But the demo will only cover a small part of what can be done with Cyberchef.

I think it is a relatively new and very interesting tool for analysts to add to their toolbox.

 

 

22. Pedro Candel (S4ur0n): “IMSI Catcher Evolution”

Versará sobre los IMSI Catchers mediante dispositivos de bajo coste (SDR) contando con varias demostraciones que permitirán obtener la información de geolocalización remota de terminales móviles mediante consultas a las celdas y HLR/VLR del SS7 o incluso su interceptación dentro del rango de la cobertura. Se detallarán los procesos de «jamming» para celdas UMTS y LTE (3G/4G/5G) realizando demostración en tiempo real.

La charla que contará con varias demostraciones en tiempo real, tratará sobre los comprometidos IMSI Catchers que son empleados por diferentes actores y mediante dispositivos de bajo coste como un SDR (en éste caso mediante RTL2832U, HackRF, BladeRF, LimeSDR, Ettus N210) nos permitirán obtener información de geolocalización remota de terminales móviles mediante técnicas de consulta a las celdas y diferentes comprobaciones al HLR/VLR del SS7 o incluso la interceptación dentro del rango de cobertura del terminal a localizar. Esto nos permitirá controlar a grupos de ciudadanos en ciertos entornos hostiles como pueden ser manifestaciones, revueltas, etc.

Si no se realiza ningún tipo de “inyección” es una técnica pasiva quedando en una situación de “alegalidad” siendo viable perfectamente. Al realizar las técnicas de interceptación y suplantación de las celdas de los operadores que se encuentren, esto normalmente no está permitido por la Ley pero se realizará con muy poca potencia de emisión y un radio de alcance de unos 7-8 metros como máximo simplemente a efectos de una de las demostraciones.

Se demostrará como puede ser anulada la cobertura de celdas UMTS/LTE (3G/4G/5G) para trabajar en las frecuencias deseadas mediante las últimas técnicas de «jamming» en radiotelefonía.