Spain/Agenda Chapter Meeting

Michael Hidalgo Fallas.
Director of Advanced Technologies. invinsec
NodeJS es un lenguaje de programación relativamente nuevo ya que su creación se remonta al año 2009 y se basa en el entorno de ejecución de JavaScript de Google Chrome. Desde el punto de vista de arquitectura, su diseño propone un modelo basado en la eficiencia donde se toman en consideración aspectos como JavaScript del lado del servidor (server-side), Asíncrono y basado en eventos entre otros.
NodeJS ha sido adoptado por gigantes de la tecnología 1 tales como Microsoft, IBM, PayPal, Netflix, Cisco, Uber, Capital One entre otros. A pesar de ser un lenguaje de programación que sigue un modelo diferente, malas prácticas, errores en el momento de desarrollar la aplicación y dependencia en librerías vulnerables de terceros conllevan a exponer vulnerabilidades comunes entre las que se enumeran los fallos en el manejo de sesiones, fallos en los procesos de autenticación y autorización, fuga de información, inyección de comandos entre otros.
En esta presentación se mostrará cómo se pueden explotar vulnerabilidades comunes y no tan comunes en aplicaciones desarrolladas bajo este paradigma, de forma tal que la audiencia pueda tener más visibilidad sobre los riesgos que existen y se puedan desarrollar mejores prácticas.

Responsable del Área de Auditoría. SVT Cloud Security Services
En la actualidad no está muy clara cuál es la metodología a adoptar para evaluar la seguridad de dispositivos IoT, y en la mayoría de los casos se basa en buscar cámaras IP en Shodan o capturar y analizar el tráfico de red generado por uno de estos dispositivos. Estas actuaciones son sólo una mínima parte de todos los escenarios posibles a la hora de “atacar” un dispositivo del Internet of Things. OWASP, al igual que lo hace con entornos de aplicaciones web o móviles, tiene su propio proyecto para Internet of Things. Esta charla tiene como objetivo acercar este proyecto a los asistentes para hacerles ver que existe un proyecto serio para la evaluación de seguridad de estos dispositivos y mostrar cuál es la superficie de ataque real de un dispositivo IoT, más allá de Shodan o la captura de tráfico.

Xavier Panadero Lleonart. @xpanadero
Director SOC/CERT – CESICAT. CESICAT

Roberto Velasco Sarasola. @hdivroberto
CEO. Hdiv Security
Los problemas de seguridad a nivel aplicación podemos organizarnos en 2 tipos de problemas: security bugs o bugs de sintaxis y Business Logic Flaws, conocidos también como Design Flaws. El primer tipo de riesgo, que incluye entre otros 2 de los problemas más conocidos como Sql injection o XSS, está basado en bugs de programación que afortunadamente pueden ser detectados mediante herramientas AST (Application Security Testing) de forma automática reportando el fichero y la línea del problema. A pesar de esta ventaja, el resto de los problemas que podemos englobar dentro de la categoría de Business Logic Flaws que representan aproximadamente el otro 50% del problema, no pueden ser detectados por las soluciones AST.

Los problemas de seguridad de tipo Business Logic Flaws son problemas relacionados con el dominio de la aplicación que actualmente son detectados mediante procesos de pen-testing de forma manual y su resolución en muchos casos implica un rediseño completo de las aplicaciones. El objetivo de este charla es la presentación de un enfoque de protección de los business logic flaws integrado dentro del SDLC, junto con mecanismos para la automatización del proceso de pen-testing de este tipo de riesgos. Siguiendo un enfoque práctico, dentro de la charla haremos uso de aplicaciones de referencia dentro del ecosistema de Spring como PetClinic (Spring MVC y REST) y haremos uso de herramientas de auditoría como Burp Suite.

TBD.

El objetivo de esta conferencia es dar a conocer las causas que han motivado que el programa de mensajería instantánea Telegram, se haya convertido en la actualidad en la principal plataforma de difusión de contenido de carácter yihadista.
Durante la presentación, se explicará cómo funciona Telegram, qué elementos son los que hacen que sea tan atractiva para el CiberCalifato y cómo la utilizan.

TBD.

Luis Alberto Solís.
Consultor. Infosegura
En la presente ponencia, se dará a conocer las experiencias obtenidas del trabajo y diferentes tipos de errores que comenten en el desarrollo de aplicaciones móviles bancarias. Se explicará como siguiendo la metodología OWASP Mobile Application Security Verification Standard se puede encontrar muchas vulnerabilidades en aps que manejan información altamente sensible de usuarios de la banca. Durante la presentación se mostrará ejemplos de la vida real con la respectiva reserva del caso, de aplicaciones que estaban expuestas a disitintos tipos de ataques. Así mismo, de la experiencia se indicará el uso de herramientas usadas para el pentesting y la ingeniería inversa aplicada, y como hacer hooking de apks.
Finalmente se dará a conocer las técnicas usadas para realizar forense de aplicaciones móviles mediante ELK-Stack, que facilita el análisis del código reverseado gracias a la indexación de información y se mostrará como se puede aplicar el machine learning para el aprendizaje de nuevos patrones de comportamiento y detectar anomalías en el menor tiempo posible.