Spain/Agenda Chapter Meeting

TBD.

Hoy en día se habla mucho del concepto Internet of Things (IoT) y de los riesgos en seguridad que puede conllevar la proliferación de estos dispositivos. Sin embargo no se encuentran muchos artículos relacionados con resultados de auditorías en dichos dispositivos. En el marco de esta ponencia se expondrán los resultados y las conclusiones obtenidas en un análisis de seguridad en dispositivos IoT tan común como son las Smart TV y como la metodología OWASP es perfectamente aplicable para auditar dichos dispositivos.

En la charla se expondrán los distintos recursos que hay disponibles en el proyecto Mobile Security Project de OWASP para auditar aplicaciones móviles, concretamente de tipo iOS. Desde los riesgos más importantes, así como los controles de seguridad a evaluar y finalmente un arsenal de herramientas útiles para llevar a cabo una auditoría de seguridad de una aplicación iOS.

Se explicará también las distintas fases a llevar a cabo, según la metodología que OWASP nos propone y teniendo como referencia el cheet sheat disponible en su web oficial.

Esta presentación es el resultado de examinar las vulnerabilidades que han ido apareciendo en OpenSSL y de extraer algunas conclusiones para mejorar el desarrollo de software seguro. Se describirán distintos tipos de ataques y escenarios posibles, así como recomendaciones para su eliminación o mitigación.

Se pretende dar una visión de la importancia de estos proyectos en la investigación de las fuerzas y cuerpos de seguridad del estado. La importancia de la formación en los administradores de sistema o ingenieros de seguridad, es vital para evitar daños en los equipos y para, en su caso, poder identificarles y controlarles. Un investigador formado, es casi tan vital como un administrador formado. El reporte de las intromisiones en el sistema es un tema delicado y hay que seguir una metodología. Esta presentación mostrará la experiencia adquirida en este campo.

En esta conferencia el ponente mostrará un ejemplo real de hacking del Internet de las Cosas explotando vulnerabilidades descubiertas durante un proceso de investigación sobre una serie de mesas de mezclas del fabricante Pioneer, líder indiscutible del mercado en productos profesionales para Diskjockey. Las mesas de mezclas y productos de Pioneer están presentes en prácticamente todas las discotecas y espectáculos del mundo. Durante la ponencia se realizará una demo en directo en el escenario con una mesa de mezclas Pioneer XDJ-Aero, que ha sido el modelo utilizado en esta investigación, aunque las vulnerabilidades descubiertas afectan a todos los productos dePioneer que utilizan la misma tecnología en cuestión.

La ponencia tratará de aplicar métodos/técnicas rápidos en la respuesta ante incidentes. En este tipo de prácticas, es necesario obtener resultados de la forma más rápida posible ya que tus hallazgos cambiarán la toma decisiones y futuros pasos en nuestra investigación. Análisis de logs, malware, políticas, forense son algunas de las áreas que se tratarán en la charla.

La ponencia es resultado de aplicar la metodología OWASP con el Top Ten sobre diferentes organismos públicos y privados en Castilla-La Mancha, donde se han encontrado diversas vulnerabilidades. Se verán diversos casos de ejemplo, en los que se han explotado vulnerabilidades reales. Todos los fallos de seguridad que se muestran han sido reportados y las vulnerabilidades solucionadas.

También se verá el "Top Ten Mobile" sobre una conocida aplicación que se emplea para demostrar los principales fallos de seguridad.