Difference between revisions of "Spain/Meetings"

Sintonizar la función de seguridad con el negocio
Alberto Partida. CISA, CISSP, SANS GIAC Gold GSEC, Gold GCFW, Gold GCFA, GCIA y GREM. Miembro del Consejo Asesor. SANS Institute

Necesitamos una clara sintonía, por no decir armonía, entre la funciónde seguridad en tecnologías de la información dentro de una organización y el negocio, la verdadera razón de ser de la organización. La mera idea de negocio implica asumir unos riesgos. Sin embargo, la seguridad trata de mitigar riesgos. Esta presentación propone 8 medidas, basadas en más de 10 años de experiencia profesional, para conseguir esa sintonía entre el negocio y la seguridad.

LDAP Injection & Blind LDAP Injection
José María Alonso. Microsoft MVP Windows Security. Consultor de Seguridad. Informatica64.

Las técnicas de inyección de código son conocidas ámpliamente. Esta sesión se centrará en las posibilidades de las inyecciones de código LDAP en aplicaciones web. Se verá, en un entorno de prueba, el impacto que pueden tener los ataques de inyección LDAP y la extracción de datos mediantes técnicas a ciegas.

Gestión de Incidentes de Seguridad Web en la Brigada de Investigación Tecnológica.
Jorge Martín. Inspector. Jefe del Grupo de Seguridad Lógica. Cuerpo Nacional de Policia

En la primera parte de la ponencia conoceremos la estructura y funciones de la Brigada de Investigación Tecnológica y veremos algunos ejemplos de las distintas tipologias delictivas mas frecuentes, para centrarnos en la segunda parte en los incidentes de seguridad web que se denuncian habitualmente, sus consecuencias y el tratamiento que la Brigada da a cada uno de ellos, haciendo especial mención a aquellos aspectos que debe tener en cuenta un administrador para no perjudicar una posible investigación posterior.

Extensión de módulos de pruebas de seguridad de la herramienta Webgoat de OWASP
Daniel Cabezas Molina. Technology and Security Risk Services (TSRS) Manager. Ernst & Young

Se hablará sobre la modificación del código fuente del framework para realizar tests de seguridad y permitir su internacionalización, así como varios módulos para realizar pruebas que hasta el momento no existían: el uso de cifrado predecibles, como es el caso del bug aparecido en Debian el pasado año, y la explotación de desbordamientos de búfer en aplicaciones web.

Actuaciones realizadas en 2008 por el capítulo español de la OWASP
Vicente Aguilera Diaz, OWASP Spain Chapter Leader. OWASP

Esta breve presentación muestra las acciones realizadas o relacionadas directamente con nuestro capítulo a lo largo de 2008, así como la previsión de algunas de las acciones que llevaremos a cabo en 2009.

w3af: Un framework de test de intrusión web
José Ramón Palanco, CEO. Hazent Systems

El proyecto w3af no pretende ser un reemplazo de web pentest manual, sino unir bajo un mismo framework, todas las técnicas automatizables de obtención de información, evasión de ids, localización de vulnerabilidades, explotación de vulnerabilidades, etc. al estilo metasploit (framework con el que interactúa).

Análisis de Eco
Jesús Olmos González, Auditor Senior. Internet Security Auditors

Hoy día las vulnerabilidades web son "Well Known" y casi siempre nos encontraremos filtros que impedirán su explotación. Se comenzará explicando la problemática en la auditoría de caja negra: el código que no se ve se ha de deducir a través de diversas pruebas. El objetivo de dichas pruebas es deducir el código fuente a partir del análisis de los resultados ante distintas peticiones de entrada. Un atacante analizará los filtros implementados (por lo que será necesario localizar operativas de la aplicación que hagan "eco") con el objetivo de evadirlos y explotar posibles vulnerabilidades que existan en la aplicación. La presentación describirá distintos tipos de "eco" en aplicaciones web y como pueden ser detectados y aprovechados para elaborar posteriores ataques.

Microsoft Seguridad IT al descubierto
Simon Roses Femerling, ACE Security Services. Microsoft

La seguridad en Microsoft juega un papel fundamental tanto en sus productos como en sus activos de negocio y por ello desarrolla continuamente la más avanzada tecnología y mejora sus procesos para proteger a Microsoft y sus clientes. Esta ponencia pondrá al descubierto cómo Microsoft utiliza el SDL-IT para proteger sus activos de negocio.

A fresh look into Information Gathering
Christian Martorella. Responsable de Auditoría. S21sec

En esta presentación se pretende mostrar las nuevas técnicas y fuentes que se pueden utilizar a la hora de obtener información pública sobre un objetivo o entidad. Se hará especial hincapié en información que se puede obtener a través de la Web.

Amenazas e incidentes de seguridad en entornos Web: realidad o ficción
Raúl Siles, Consultor de Seguridad independiente. raulsiles.com

Los entornos Web son uno de los objetivos principales en los ataques directos a organizaciones, y también actúan como medio de ataque sobre sus visitantes. La ponencia analiza amenazas, ataques e incidentes de seguridad reales que se están llevando a cabo en la actualidad sobre entornos Web corporativos, y sobre nuevos objetivos, las aplicaciones Web de los dispositivos embebidos.

Ataques a políticas de seguridad según contexto
Iñaki López/Daniel Cabezas, Responsables del Laboratorio de Seguridad Avanzada. Ernst&Young

Se presentará una aproximación a cómo inferir información acerca de redes o websites objetivos, sus relaciones y políticas de seguridad en base a información recabada públicamente. Incluirá demostración práctica.

La seguridad multinivel en servidores web
Luis Calero, Director Técnico. Pentest Consultores

La ponencia versará sobre la aplicación práctica de la seguridad multinivel -MLS- así como de las distintas tecnologías de control de accesos existentes: -DAC, MAC, DBAC, RBAC, RSBAC- en la securización de servidores web.

Herramientas de análisis estático de seguridad del código: estado del arte
Luís Rodriguez Berzosa, Responsable del laboratorio software. Application LifeCycle Solutions

En esta ponencia se examina la situación actual de la clase de herramientas de análisis estático de seguridad, que sin ejecutar el código del software, tratan de identificar las vulnerabilidades explotables en las aplicaciones y servicios web. Se determina el estado del arte de las herramientas académicas y de código abierto, la oferta de OWASP en este dominio, los límites de esta tecnología, y se proponen algunas ideas para mejorar la difusión y la cobertura desde OWASP.

Seguridad en entornos financieros
Pedro Sánchez, Responsable de Seguridad. ATCA

Ataques DoS en aplicaciones Web
Jaime Blasco, Responsable de Seguridad. Eazel

Trust, Security and Usability
Roger Carhuatocto, NeS & DTM Product Manager. NetFocus

Programación segura: validación de entradas
Albert Puigsech, Auditor Senior. Internet Security Auditors

La OWASP Foundation y los objetivos del capítulo español
Vicente Aguilera Díaz, OWASP Spain Chapter Leader. OWASP.

El proyecto OWASP Testing
Javier Fernández-Sanguino, Consultor. Germinus

Fortificando Aplicaciones Web desde la capa de Red
Carles Fragoso i Mariscal, Técnico de Seguridad. CESCA

Web Forensics
Jess Garcia, CEO de Jessland Security Services e instructor de SANS Institute.

Capturando y explotando servidores de correo ocultos
Vicente Aguilera Díaz, OWASP Spain Chapter Leader. OWASP.