Difference between revisions of "Spain/Agenda Chapter Meeting"

Revision as of 11:19, 9 November 2017

Barcelona, jueves 23 de noviembre de 2017
AGENDA de la jornada:

	08:00h - 08:55h	Registro de asistentes
	09:00h - 09:05h	Bienvenida Jaume Abella Fuentes @JaumeAbella. Coordinador del Máster de Ciberseguridad. La Salle Campus Barcelona.
	09:05h - 09:15h	Introducción a la jornada Vicente Aguilera Díaz. vicenteaguileradiaz.com - @VAguileraDiaz. OWASP Spain Chapter Leader. Socio y Director Dpto. Auditoría en Internet Security Auditors.
	09:15h - 10:15h	TBD TBD TBD.
	10:15h - 10:45h	Superficie de ataque en un dispositivo IoT según OWASP Internet of Things Project Miguel Ángel Arroyo Moreno. @miguel_arroyo76 Responsable del Área de Auditoría. SVT Cloud Security Services En la actualidad no está muy clara cuál es la metodología a adoptar para evaluar la seguridad de dispositivos IoT, y en la mayoría de los casos se basa en buscar cámaras IP en Shodan o capturar y analizar el tráfico de red generado por uno de estos dispositivos. Estas actuaciones son sólo una mínima parte de todos los escenarios posibles a la hora de “atacar” un dispositivo del Internet of Things. OWASP, al igual que lo hace con entornos de aplicaciones web o móviles, tiene su propio proyecto para Internet of Things. Esta charla tiene como objetivo acercar este proyecto a los asistentes para hacerles ver que existe un proyecto serio para la evaluación de seguridad de estos dispositivos y mostrar cuál es la superficie de ataque real de un dispositivo IoT, más allá de Shodan o la captura de tráfico.
	10:45h - 11:45h	CyberSecurity Operations Center Xavier Panadero Lleonart. @xpanadero Director SOC/CERT – CESICAT. CESICAT Si bien todo el mundo reconoce la palabra SOC (Security Operations Center), una gran mayoría desconoce realmente en que consiste un SOC, siendo objetivo de esta charla introducir a la audiencia como está constituido, como se organiza, como sea alinea con los objetivos tácticos y estratégicos, cuáles son sus objetivos, su modelo de relación, su servicios y procesos principales, en que herramientas y tecnologías se sustenta, entre otros.
	11:45h - 12:15h	Coffee-break
	12:15h - 13:15h	Protection and Verification of Business Logic Flaws Roberto Velasco Sarasola. @hdivroberto CEO. Hdiv Security Los problemas de seguridad a nivel aplicación podemos organizarnos en 2 tipos de problemas: security bugs o bugs de sintaxis y Business Logic Flaws, conocidos también como Design Flaws. El primer tipo de riesgo, que incluye entre otros 2 de los problemas más conocidos como Sql injection o XSS, está basado en bugs de programación que afortunadamente pueden ser detectados mediante herramientas AST (Application Security Testing) de forma automática reportando el fichero y la línea del problema. A pesar de esta ventaja, el resto de los problemas que podemos englobar dentro de la categoría de Business Logic Flaws que representan aproximadamente el otro 50% del problema, no pueden ser detectados por las soluciones AST. Los problemas de seguridad de tipo Business Logic Flaws son problemas relacionados con el dominio de la aplicación que actualmente son detectados mediante procesos de pen-testing de forma manual y su resolución en muchos casos implica un rediseño completo de las aplicaciones. El objetivo de este charla es la presentación de un enfoque de protección de los business logic flaws integrado dentro del SDLC, junto con mecanismos para la automatización del proceso de pen-testing de este tipo de riesgos. Siguiendo un enfoque práctico, dentro de la charla haremos uso de aplicaciones de referencia dentro del ecosistema de Spring como PetClinic (Spring MVC y REST) y haremos uso de herramientas de auditoría como Burp Suite.
	13:15h - 13:45h	TBD TBD TBD.
	13:45h - 15:00h	Pausa
	15:00h - 16:00h	Utilización de Telegram por parte de Daesh Carlos SEISDEDOS El objetivo de esta conferencia es dar a conocer las causas que han motivado que el programa de mensajería instantánea Telegram, se haya convertido en la actualidad en la principal plataforma de difusión de contenido de carácter yihadista. Durante la presentación, se explicará cómo funciona Telegram, qué elementos son los que hacen que sea tan atractiva para el CiberCalifato y cómo la utilizan.
	16:00 - 16:30h	TBD TBD TBD.
	16:30h - 17:30h	TBD TBD TBD.
	17:30h - 17:55h	Mesa redonda
	17:55h - 18:00h	Cierre de la jornada Vicente Aguilera Díaz. vicenteaguileradiaz.com - @VAguileraDiaz. OWASP Spain Chapter Leader. Socio y Director Dpto. Auditoría en Internet Security Auditors.

Twitter: @OWASPSpain
Hashtag de la jornada: #OWASPSpain11

@@ Line 55: / Line 55: @@
 <tr>
 <td bgcolor="#FFFFFF" valign="top" align="center"  height=30px width=80px></td>
-<td bgcolor="#FFFFFF" align="center" valign="top" width=110px>11:45h - 12:30h</td>
+<td bgcolor="#FFFFFF" align="center" valign="top" width=110px>11:45h - 12:15h</td>
 <td bgcolor="#FFFFFF" align="justify" valign="top"><i><b>Coffee-break</b></i>
 </td>
@@ Line 62: / Line 62: @@
 <tr>
 <td  bgcolor="white" valign="top" align="center"  height=75px width=80px></td>
-<td bgcolor="#d5deed" align="center" valign="top" width=110px>12:30h - 13:00h</td>
+<td bgcolor="#d5deed" align="center" valign="top" width=110px>12:15h - 13:15h</td>
-<td bgcolor="#d5deed" align="justify" valign="top"><i><b></b></i><br></td>
+<td bgcolor="#d5deed" align="justify" valign="top"><i><b>Protection and Verification of Business Logic Flaws</b></i><br>
+Roberto Velasco Sarasola. [http://www.twitter.com/hdivroberto @hdivroberto]<br>
+CEO. [https://www.hdivsecurity.com Hdiv Security]<br>
+Los problemas de seguridad a nivel aplicación podemos organizarnos en 2 tipos de problemas: security bugs o bugs de sintaxis y Business Logic Flaws, conocidos también como Design Flaws. El primer tipo de riesgo, que incluye entre otros 2 de los problemas más conocidos como Sql injection o XSS, está basado en bugs de programación que afortunadamente pueden ser detectados mediante herramientas AST (Application Security Testing) de forma automática reportando el fichero y la línea del problema. A pesar de esta ventaja, el resto de los problemas que podemos englobar dentro de la categoría de Business Logic Flaws que representan aproximadamente el otro 50% del problema, no pueden ser detectados por las soluciones AST.
+Los problemas de seguridad de tipo Business Logic Flaws son problemas relacionados con el dominio de la aplicación que actualmente son detectados mediante procesos de pen-testing de forma manual y su resolución en muchos casos implica un rediseño completo de las
+aplicaciones. El objetivo de este charla es la presentación de un enfoque de protección de los business logic flaws integrado dentro del SDLC, junto con mecanismos para la automatización del proceso de pen-testing de este tipo de riesgos. Siguiendo un enfoque práctico, dentro de la charla haremos uso de aplicaciones de referencia dentro del ecosistema de Spring como PetClinic (Spring MVC y REST) y haremos uso de herramientas de auditoría como Burp Suite.
+</td>
 </tr>
 <tr>
 <td  bgcolor="white" valign="top" align="center"  height=75px width=80px></td>
-<td bgcolor="#d5deed" align="center" valign="top" width=110px>13:00h - 13:30h</td>
+<td bgcolor="#d5deed" align="center" valign="top" width=110px>13:15h - 13:45h</td>
 <td bgcolor="#d5deed" align="justify" valign="top"><i><b>TBD</b></i><br>TBD<br>
 TBD.
@@ Line 76: / Line 83: @@
 <tr>
 <td bgcolor="#FFFFFF" valign="top" align="center"  height=30px width=80px></td>
-<td bgcolor="#FFFFFF" align="center" valign="top" width=110px>13:30h - 15:00h</td>
+<td bgcolor="#FFFFFF" align="center" valign="top" width=110px>13:45h - 15:00h</td>
 <td bgcolor="#FFFFFF" align="justify" valign="top"><i><b>Pausa</b></i>
 </td>

Difference between revisions of "Spain/Agenda Chapter Meeting"

Revision as of 11:19, 9 November 2017

Navigation menu

Personal tools

Namespaces

Variants

Views

More

Search

Navigation

Reference

Tools