Spain/Agenda Chapter Meeting

TBD.

Responsable del Área de Auditoría. SVT Cloud Security Services
En la actualidad no está muy clara cuál es la metodología a adoptar para evaluar la seguridad de dispositivos IoT, y en la mayoría de los casos se basa en buscar cámaras IP en Shodan o capturar y analizar el tráfico de red generado por uno de estos dispositivos. Estas actuaciones son sólo una mínima parte de todos los escenarios posibles a la hora de “atacar” un dispositivo del Internet of Things. OWASP, al igual que lo hace con entornos de aplicaciones web o móviles, tiene su propio proyecto para Internet of Things. Esta charla tiene como objetivo acercar este proyecto a los asistentes para hacerles ver que existe un proyecto serio para la evaluación de seguridad de estos dispositivos y mostrar cuál es la superficie de ataque real de un dispositivo IoT, más allá de Shodan o la captura de tráfico.

Xavier Panadero Lleonart. @xpanadero
Director SOC/CERT – CESICAT. CESICAT

Roberto Velasco Sarasola. @hdivroberto
CEO. Hdiv Security
Los problemas de seguridad a nivel aplicación podemos organizarnos en 2 tipos de problemas: security bugs o bugs de sintaxis y Business Logic Flaws, conocidos también como Design Flaws. El primer tipo de riesgo, que incluye entre otros 2 de los problemas más conocidos como Sql injection o XSS, está basado en bugs de programación que afortunadamente pueden ser detectados mediante herramientas AST (Application Security Testing) de forma automática reportando el fichero y la línea del problema. A pesar de esta ventaja, el resto de los problemas que podemos englobar dentro de la categoría de Business Logic Flaws que representan aproximadamente el otro 50% del problema, no pueden ser detectados por las soluciones AST.

Los problemas de seguridad de tipo Business Logic Flaws son problemas relacionados con el dominio de la aplicación que actualmente son detectados mediante procesos de pen-testing de forma manual y su resolución en muchos casos implica un rediseño completo de las aplicaciones. El objetivo de este charla es la presentación de un enfoque de protección de los business logic flaws integrado dentro del SDLC, junto con mecanismos para la automatización del proceso de pen-testing de este tipo de riesgos. Siguiendo un enfoque práctico, dentro de la charla haremos uso de aplicaciones de referencia dentro del ecosistema de Spring como PetClinic (Spring MVC y REST) y haremos uso de herramientas de auditoría como Burp Suite.

TBD.

El objetivo de esta conferencia es dar a conocer las causas que han motivado que el programa de mensajería instantánea Telegram, se haya convertido en la actualidad en la principal plataforma de difusión de contenido de carácter yihadista.
Durante la presentación, se explicará cómo funciona Telegram, qué elementos son los que hacen que sea tan atractiva para el CiberCalifato y cómo la utilizan.

TBD.

TBD.