Spain/Meetings

Michael Hidalgo Fallas.

Director of Advanced Technologies. invinsec

NodeJS es un lenguaje de programación relativamente nuevo ya que su creación se remonta al año 2009 y se basa en el entorno de ejecución de JavaScript de Google Chrome. Desde el punto de vista de arquitectura, su diseño propone un modelo basado en la eficiencia donde se toman en consideración aspectos como JavaScript del lado del servidor (server-side), Asíncrono y basado en eventos entre otros. 

NodeJS ha sido adoptado por gigantes de la tecnología 1 tales como Microsoft, IBM, PayPal, Netflix, Cisco, Uber, Capital One entre otros. A pesar de ser un lenguaje de programación que sigue un modelo diferente, malas prácticas, errores en el momento de desarrollar la aplicación y dependencia en librerías vulnerables de terceros conllevan a exponer vulnerabilidades comunes entre las que se enumeran los fallos en el manejo de sesiones, fallos en los procesos de autenticación y autorización, fuga de información, inyección de comandos entre otros. 

En esta presentación se mostrará cómo se pueden explotar vulnerabilidades comunes y no tan comunes en aplicaciones desarrolladas bajo este paradigma, de forma tal que la audiencia pueda tener más visibilidad sobre los riesgos que existen y se puedan desarrollar mejores prácticas.

Miguel Ángel Arroyo Moreno. @miguel_arroyo76

Responsable del Área de Auditoría. SVT Cloud Security Services

En la actualidad no está muy clara cuál es la metodología a adoptar para evaluar la seguridad de dispositivos IoT, y en la mayoría de los casos se basa en buscar cámaras IP en Shodan o capturar y analizar el tráfico de red generado por uno de estos dispositivos. Estas actuaciones son sólo una mínima parte de todos los escenarios posibles a la hora de “atacar” un dispositivo del Internet of Things. OWASP, al igual que lo hace con entornos de aplicaciones web o móviles, tiene su propio proyecto para Internet of Things. Esta charla tiene como objetivo acercar este proyecto a los asistentes para hacerles ver que existe un proyecto serio para la evaluación de seguridad de estos dispositivos y mostrar cuál es la superficie de ataque real de un dispositivo IoT, más allá de Shodan o la captura de tráfico.

Roberto Velasco Sarasola. @hdivroberto

CEO. Hdiv Security

Los problemas de seguridad a nivel aplicación podemos organizarnos en 2 tipos de problemas: security bugs o bugs de sintaxis y Business Logic Flaws, conocidos también como Design Flaws. El primer tipo de riesgo, que incluye entre otros 2 de los problemas más conocidos como Sql injection o XSS, está basado en bugs de programación que afortunadamente pueden ser detectados mediante herramientas AST (Application Security Testing) de forma automática reportando el fichero y la línea del problema. A pesar de esta ventaja, el resto de los problemas que podemos englobar dentro de la categoría de Business Logic Flaws que representan aproximadamente el otro 50% del problema, no pueden ser detectados por las soluciones AST.

Los problemas de seguridad de tipo Business Logic Flaws son problemas relacionados con el dominio de la aplicación que actualmente son detectados mediante procesos de pen-testing de forma manual y su resolución en muchos casos implica un rediseño completo de las aplicaciones. El objetivo de este charla es la presentación de un enfoque de protección de los business logic flaws integrado dentro del SDLC, junto con mecanismos para la automatización del proceso de pen-testing de este tipo de riesgos. Siguiendo un enfoque práctico, dentro de la charla haremos uso de aplicaciones de referencia dentro del ecosistema de Spring como PetClinic (Spring MVC y REST) y haremos uso de herramientas de auditoría como Burp Suite.

Selva Orejón. @selvaorejon

Perito Judicial. onBRANDING

Escenarios de exposición digital: reputación y ciberseguridad Evitar problemas de seguridad física y reputación, a veces solo depende del comportamiento que adopten los usuarios con su identidad digital y privacidad. Los usuarios pueden acabar siendo los únicos responsables de su seguridad, reputación y la de su entorno dentro y fuera de la Red.

Carlos SEISDEDOS

El objetivo de esta conferencia es dar a conocer las causas que han motivado que el programa de mensajería instantánea Telegram, se haya convertido en la actualidad en la principal plataforma de difusión de contenido de carácter yihadista.

Durante la presentación, se explicará cómo funciona Telegram, qué elementos son los que hacen que sea tan atractiva para el CiberCalifato y cómo la utilizan.

Luis Enrique Benítez. LuisBenitezJ

IT Security Analyst. Internet Security Auditors

Conceptos como Internet of Things o Smart Cities se volverán cada vez más cotidianos en nuestro lenguaje, los fabricantes de dispositivos han iniciado una carrera frenética por incorporar en el mercado productos conectados a internet. En este último par de años ha dejador de ser exótico para volverse común el disponer de un Smart TV, un Smart Watch, SmartBand, el coche conectado, poder controlar la temperatura de nuestro hogar desde el móvil, por no hablar de Neveras, lavadoras, juguetes infantiles, cepillos eléctricos, y juguetes para adultos entre otras cosas y no siempre han tomado en consideración la seguridad de sus dispositivos, sus actualizaciones o parches frente a posibles vulnerabilidades, así como la privacidad del consumidor.

En esta conferencia se darán a conocer los resultados de las auditorias efectuadas a estos dispositivos y sus plataformas, como establecer un laboratorio de pruebas cuando no es posible acceder a las configuraciones de conexión, así como las experiencias y tendencias del sector.

Luis Alberto Solís. 

Consultor. Infosegura

En la presente ponencia, se dará a conocer las experiencias obtenidas del trabajo y diferentes tipos de errores que comenten en el desarrollo de aplicaciones móviles bancarias. Se explicará como siguiendo la metodología OWASP Mobile Application Security Verification Standard se puede encontrar muchas vulnerabilidades en aps que manejan información altamente sensible de usuarios de la banca. Durante la presentación se mostrará ejemplos de la vida real con la respectiva reserva del caso, de aplicaciones que estaban expuestas a disitintos tipos de ataques. Así mismo, de la experiencia se indicará el uso de herramientas usadas para el pentesting y la ingeniería inversa aplicada, y como hacer hooking de apks. 

Finalmente se dará a conocer las técnicas usadas para realizar forense de aplicaciones móviles mediante ELK-Stack, que facilita el análisis del código reverseado gracias a la indexación de información y se mostrará como se puede aplicar el machine learning para el aprendizaje de nuevos patrones de comportamiento y detectar anomalías en el menor tiempo posible.

Christian Martorella. @laramies

Product Security Engineering Lead. Skyscanner

In this presentation I will show people how they can build a vulnerability management security dashboard with metrics that will let you track the progress of your teams and share with the rest of company in order to support decision making. 

The dashboard will provide visibility on areas that before people was blind and unable to provide answer to the business. The presentation will focus in using Jupyter notebooks, Pandas and Matploitlib. 

The presentation will first cover how to prepare your environment to allow the automation independently of the ticketing system you use (Jira, Visual Studio Online, etc.), we are going to define a vulnerability category and sources system based on labels/tags, and agree on other areas like risk level. Once we show how to get the raw data, we will start leveraging the power of Jupyter, Pandas and Matploitlib to create metrics and start making sense of the data we have. 

We are going to cover what stats and metrics are important and useful to support decision making: Average time to fix a bug, Average lifetime of a bug, Vulnerability distribution per categories, Overdue items based on SLA, Top teams with vulnerabilities, Fastest/slowest teams to fix issues, Distribution of vulns. per teams, and many more. Finally we are going to show how can you create some benchmarks against the industry. 

You are going to get from 0 or limited data due the tooling you have to a hero of the dashboards and data driven decision making.

This talk is inspired from Star Wars thriller. In this premier, we will see, XSS---the force awakens again or has never been disappeared. Is XSS a new threat on the landscape even though it was discovered sixteen years ago or the threat was there all the time. XSS is a war between the developers of the web applications and the attacker but the question is: who is winning the war so far? Can we hug developers now or should find a way for them to escape from this endless pain of war?

Smart researchers out there have already started talking about post-XSS era ("may the force be with you") but the question is are we really at this stage? Can we say "We're home"? Unfortunately not! It seems the empire of XSS has been advancing and flourishing (at least the evidence shows). "It's true. All of it. The Dark Side".

Can developers make things right and have some resistance even after sixteen years of XSS? Is there a call from light? With the help of some real fairy tales, we will shed light on developers' rudimentary knowledge about XSS protection(s). Is there a universal panacea for XSS epidemic? No one knows how the upcoming chapters of XSS will look like but the leaked teaser shows wind turbine has been XSSed.

This talk will conclude on: "There's been an awakening...The Dark and Some Light".

Hoy en día se habla mucho del concepto Internet of Things (IoT) y de los riesgos en seguridad que puede conllevar la proliferación de estos dispositivos. Sin embargo no se encuentran muchos artículos relacionados con resultados de auditorías en dichos dispositivos. En el marco de esta ponencia se expondrán los resultados y las conclusiones obtenidas en un análisis de seguridad en dispositivos IoT tan común como son las Smart TV y como la metodología OWASP es perfectamente aplicable para auditar dichos dispositivos.

En la charla se expondrán los distintos recursos que hay disponibles en el proyecto Mobile Security Project de OWASP para auditar aplicaciones móviles, concretamente de tipo iOS. Desde los riesgos más importantes, así como los controles de seguridad a evaluar y finalmente un arsenal de herramientas útiles para llevar a cabo una auditoría de seguridad de una aplicación iOS.

Se explicará también las distintas fases a llevar a cabo, según la metodología que OWASP nos propone y teniendo como referencia el cheet sheat disponible en su web oficial.

Esta presentación es el resultado de examinar las vulnerabilidades que han ido apareciendo en OpenSSL y de extraer algunas conclusiones para mejorar el desarrollo de software seguro. Se describirán distintos tipos de ataques y escenarios posibles, así como recomendaciones para su eliminación o mitigación.

Se pretende dar una visión de la importancia de estos proyectos en la investigación de las fuerzas y cuerpos de seguridad del estado. La importancia de la formación en los administradores de sistema o ingenieros de seguridad, es vital para evitar daños en los equipos y para, en su caso, poder identificarles y controlarles. Un investigador formado, es casi tan vital como un administrador formado. El reporte de las intromisiones en el sistema es un tema delicado y hay que seguir una metodología. Esta presentación mostrará la experiencia adquirida en este campo.

En esta conferencia el ponente mostrará un ejemplo real de hacking del Internet de las Cosas explotando vulnerabilidades descubiertas durante un proceso de investigación sobre una serie de mesas de mezclas del fabricante Pioneer, líder indiscutible del mercado en productos profesionales para Diskjockey. Las mesas de mezclas y productos de Pioneer están presentes en prácticamente todas las discotecas y espectáculos del mundo. Durante la ponencia se realizará una demo en directo en el escenario con una mesa de mezclas Pioneer XDJ-Aero, que ha sido el modelo utilizado en esta investigación, aunque las vulnerabilidades descubiertas afectan a todos los productos dePioneer que utilizan la misma tecnología en cuestión.

La ponencia tratará de aplicar métodos/técnicas rápidos en la respuesta ante incidentes. En este tipo de prácticas, es necesario obtener resultados de la forma más rápida posible ya que tus hallazgos cambiarán la toma decisiones y futuros pasos en nuestra investigación. Análisis de logs, malware, políticas, forense son algunas de las áreas que se tratarán en la charla.

La ponencia es resultado de aplicar la metodología OWASP con el Top Ten sobre diferentes organismos públicos y privados en Castilla-La Mancha, donde se han encontrado diversas vulnerabilidades. Se verán diversos casos de ejemplo, en los que se han explotado vulnerabilidades reales. Todos los fallos de seguridad que se muestran han sido reportados y las vulnerabilidades solucionadas.

También se verá el "Top Ten Mobile" sobre una conocida aplicación que se emplea para demostrar los principales fallos de seguridad.

In this talk, I will share a story of my encounter with Sucuri's Web Application Firewall (WAF) i.e., CloudProxy. CloudProxy is a cloud-based protection system against common web attacks like XSS, SQLi and RFI etc and at the time of writing, 8K+ websites are using it.

In this talk, I will show how I was able to bypass their XSS protection 35 times and made 8K+ websites vulnerable. All bypasses were responsibly reported to the vendor and were fixed immediately.

De forma habitual, la seguridad en el desarrollo web se delega en la pericia o conocimientos de seguridad del desarrollador, obviando la identificación de requisitos de seguridad y la ejecución de pruebas de seguridad sobre la globalidad del proyecto. Por otro lado, la figura del desarrollador a menudo no ha recibido la adecuada formación en materia de seguridad para implantarla de forma efectiva en su codificación.

La ponencia traslada la estrategia de las tres líneas de defensa, muy habitual en términos de auditoría y gestión de riesgos corporativos, a una propuesta metodológica de cómo abordar los proyectos y aplicaciones web implicando todos los stakeholders implicados en su securización y validación de esta.

Los ciclos de desarrollo cada vez mas rápidos y la falta de evaluaciones integrales de seguridad están exponiendo a las organizaciones a potenciales filtraciones de datos a través de sus propias aplicaciones. Fabio Cerullo, Director de Cycubix, nos mostrará cuales son las herramientas y procesos que ayudan a las organizaciones a construir aplicaciones seguras cumpliendo con normativas vigentes y alineándose a los requerimientos de negocio.

Las prácticas de despliegue contínuo (CD) y DevOps están revolucionando el proceso de desarrollo y de negocio. Las prácticas de seguridad y, sobre todo, las pruebas de seguridad, tendrán que adaptarse a este nuevo mundo. Durante este charla se proponen unos métodos para automatizar las pruebas de seguridad para que encajan en un proceso de despliegue contínu sin interrumpir el proceso. La presentación incluirá los siguientes aspectos:

• Introducción breve a DevOps y Despliegue Contínuo
• Los retos para automatizar pruebas de seguridad
• El marco de pruebas BDD-Security en tres pasos
• Integración con Jenkins
• Límites de automatización

Firstly this talk offers the motivations on why it is necessary a mechanism to detect possible business logic flaws.

After that, the next slides present a short story about a developer and a hacker and how the last one is able to find out vulnerabilities even when all security bugs have apparently been fixed.

Using the lessons learnt from the previous story, a summary on what we are exactly looking for is performed, introducing the abuse case concept and performing a comparison between use cases and abuse cases.

In fourth place the main point of the conference is introduced. A methodological approach to an abuse cases solution is presented as the way to properly drive the business logic vulnerabilities detection.

The subsequent slides present how to apply the explained approach to a real scenario regarding the application involved in the hackers’ story previously mentioned. A live approach to the application is performed in the first part of this section and a live hack of the business logic is shown at the end.

Finally, the most important challenges to face and the most relevant benefits of using abuse cases as a testing tool are offered.

La conferencia explicará los útimos ataques APT que han salido a la luz. Se mostrarán los detalles más significativos y las lecciones aprendidas en cada uno de ellos. Se mostrarán también patrones en común usados por los diferentes actores de los APT’s. Por último, se mostrará un ecosistema para la defensa de estos tipos de ataques a grandes corporaciones.

Cross-Site Scripting (XSS) attacks are at number one in Open Source Vulnerability Database (OSVDB) and according to a recent report by Trustwave, 82% of web applications are vulnerable to XSS flaws. PHP---Hypertext Preprocessor is by far the most popular server-side web programming language. In this paper, we perform security analysis of PHP-based XSS protection mechanisms available in the wild. The analysis includes PHP's built-in functions (11 common examples of using PHP's built-in functions in the wild), 10 popular customized solutions powering thousands of PHP files on GitHub and 8 commercially used open-source web applications' frameworks like CodeIgniter (in use on hundreds of thousands of web applications), htmLawed (its Drupal module has been downloaded more than 19000 times), HTML Purifier (integrated in a another popular PHP framework named Yii), Nette (in use on a website of the president of The Czech Republic), PHP Input Filter (more than 1500 PHP files on GitHub are using it), PEAR's HTML Safe (powering more than 100 PHP files), CakePHP (in use on more than 20K PHP files) and Laravel PHP framework (winner of best PHP framework of the year 2013) etc. This paper shows how a motivated attacker can bypass these XSS protection mechanisms. We show XSS bypasses for modern and old browsers and report other issues that we found in these protection mechanisms. The developers of CodeIgniter, htmLawed, HTML Purifier and Nette have acknowledged our findings and our suggestions have been implemented in top-notch frameworks like CodeIgniter, htmLawed and Nette.

Esta presentación mostrará como realizar ingeniería inversa de una aplicación Android, y cuales son las vulnerabilidades más comunes que se encuentran en estas apliaciones. Por otro lado, se mostrarán algunas medidas que pueden aplicar los desarrolladores para proteger y securizar sus aplicaciones.

El principal objetivo de esta presentación es el de tratar el panorama actual del Cibercrimen desde un punto de vista crítico y documentado ofreciendo a los asistentes un Timeline detallado de los eventos más relevantes del panorama, desmintiendo una serie de noticias que genera el fenómeno "hype", "cyber-%". Además de desmentir esta serie de noticias y publicaciones se aportará una visión profesional y detallada de los actores que operan el Cibercrimen desgranando toda la información contrastada y verificada de manera que los asistentes podrán conocer como desde dentro operan este tipo de bandas organizadas. Para terminar de comprender y encajar todas las partes del puzzle, se realizará una demo en la cual se mostrará uno de los ataques que ha ganado más popularidad en 2013, los ataques a sistemas PoS (Point of Sale). La demo consistirá en infectar un punto de venta y comprobar como a partir de la infección las tarjetas de crédito son reportadas a los criminales. Estas tarjetas serán duplicadas en vivo y usadas para hacer un pago como demostración.

Cuando hablamos de Big Data y la recolección de grandes volúmenes de datos, la seguridad es una capa imprescindible dentro de este marco, tal es así, que las áreas de seguridad ya se están implicando con el objetivo de proteger esta información. Pero son pocas las compañías que actualmente están aprovechando la capacidad y analítica de esta tecnología para la detección de fraude, vigilancia en internet, detección de ataques dirigidos, etc. En esta ponencia se explicará cómo realizar un propuesta tecnológica para aprovechar correctamente estos recursos y veremos casos de uso enfocados en el área de seguridad, así como buenax prácticas para la protección de clusters Hadoop.

Se abordarán los principales problemas en la automatización de auditorías de seguridad, riesgos, ciclos de re-auditoría y calidad, desde el punto de vista del auditor de seguridad. Se presentarán la solución propuesta por GoLismero y los diversos enfoques para llevar a cabo un trabajo proceso de auditoría de seguridad y cómo éste puede ser utilizado desde la perspectiva del pentester o un auditor a más alto nivel. Se realizarán ejemplos prácticos y concretos de éste proceso, así como una demo en directo.

El objetivo de la ponencia es introducir a la audiencia en que consiste un CERT; cual es el objetivo, por que son necesarios, organigrama, métricas, etc.

Nuestros sistemas informáticos están plagados de miles y miles de binarios de los que no tenemos inteligencia sobre su postura de seguridad. Mediante BinSecSweeper, herramienta de verificación, podemos obtener una visión global de cualquier binario y diseñar una estrategia de seguridad adecuada. Esta presentación cubre el uso de BinSecSweeper en una organización tanto para desarrollo como seguridad TI, para mejorar la seguridad del software en entornos corporativos.

El malware se está haciendo latente en casi todas las áreas relacionadas con la informática. Si repasamos los últimos incidentes de seguridad relacionado con grandes compañías lo más probable es que haya un malware relacionado. Para dar un ejemplo, en los equipos de respuesta ante incidentes es normal el incorporar no solo analistas forenses, sino alguien que ejerza tareas relacionadas con el "ecrime". Pero, ¿qué tareas realiza un equipo ecrime? En la presentación se podrán ver procedimientos, actuaciones y casos de uso de un equipo de ecrime. Esto servirá para ver en qué focalizan sus esfuerzos y como resuelven las campañas en las que los cibercriminales actúan para cometer fraude, clonar tarjetas, infectar clientes, etc.

Ya estamos todos conectados Online, incluso hiperconectados, hiperexpuestos con nuestros contactos. Saben qué hacemos, dónde estamos, con quién, qué compramos, qué consumimos ... pero ¿y nuestra seguridad? ¿Ya sabemos quién ve qué? ¿Nos interesa comunicar todo lo que hacemos? ¿Tener tanta visibilidad? Y como empresa ¿ya controlamos a quien lleva nuestra comunicación? ¿Y si se va de la empresa? ¿Tenemos acceso real y completo en nuestra comunidad?.

Los estandares PCI-DSS y PCI-PA DSS son bien conocidos por los profesionales de seguridad y auditoria informatica, pero como son interpretados por los equipos de desarrollo de software? Muchas veces no es claro si todos los requerimientos son necesarios y mas importante, como tienen que ser implementados. Esta charla tiene como objetivo ayudar a los desarrolladores a interpretar de manera rapida y sencilla cuales son los puntos criticos de estos estandares a tener en cuenta y poder implementarlos durante el ciclo de desarrollo de software.

Todos los días sitios webs pertenecientes a grandes empresas son vulneradas. Muchas de esas empresas pasan revisiones constantes de seguridad, y sin embargo, siguen apareciendo en las noticias las contraseñas de usuarios, los datos de los clientes o información sensible de la empresa. ¿Por qué? En esta sesión se presentarán algunas ideas al respecto sobre este tema... de forma muy maligna.

Se explicarán varias vulnerabilidades que afectan a la implementación del heap en sistemas GNU/Linux. Se realizará un repaso del estado del arte, y cómo aprovecharse de las vulnerabilidades presentes en el código encargado de gestionar la memoria dinámica en Linux y se detallará cuál ha sido la problemática al desarrollar los payloads necesarios para explotar dichas vulnerabilidades. Asimismo, se repasará a alto nivel cómo funciona la gestión de memoria dinámica en Linux para luego destripar su funcionamiento a bajo nivel.

Antes de entrar en materia y a modo de contexto histórico se expondrá la evolución del fraude en Internet en la última década. Desde las brechas de seguridad provocadas con el afán de conocimiento, hasta los ataques industrializados en los que se roban a usuario de manera masiva. Se hará especial hincapíe a las medidas de seguridad adoptadas durantes los últimos años en el sector de la banca electrónica y las técnicas empleadas por los delincuentes para conseguir saltárselas.Del mismo modo, se expondrá la capacidad del código malicioso actual para conseguir, ya no solamente la información de cuentas bancarias, sino del contexto en el que se ejecutan (sandbox laboratorios de malware con el fin de recopilar información que pueda ser convertida en inteligencia que servirá para optimizar las tácticas empleadas).

La mayoría de los ataques web "in the wild" no son ataques dirigidos. En este tipo de intentos de intrusión, el atacante no está interesado en un sistema u organización en particular. En lugar de esto, el objetivo del atacante es comprometer cuanto más servidores web sea posible de forma automatizada en el menor tiempo posible. Generalmente esto se logra mediante la explotación de bugs críticos presentes en aplicaciones web de amplia difusión. Revisaremos los resultados de la investigación procedentes de los ataques contra un servidor web sin publicar (es decir, no detectable a través de motores de búsqueda) registrados en el último año.

Los ataques de fijación de sesión, pese a ser conocidos desde el año 2002, todavía afectan hoy en día a aplicaciones web basadas en proyectos de código abierto, servidores de aplicación comerciales ampliamente utilizados, y aplicaciones de negocio críticas para muchas organizaciones a nivel mundial. En concreto, la exposición del interfaz web de las plataformas de negocio en Internet y en redes internas, hacen que esta vulnerabilidad actúe de punto de entrada para el acceso no autorizado a información confidencial y crítica, potencial objetivo de ataques dirigidos, criminales y de espionaje industrial.

Para garantizar los mecanismos de seguridad en las aplicaciones que gestionan los datos de titulares de tarjetas de pago, en los que el riesgo de fraude es muy alto y para los que existen numerosas redes ilegales que aprovechan estos datos para un uso y beneficio ilegítimo, se hace necesario homologar las aplicaciones de pago bajo el estándar PA-DSS. Esta ponencia presentará el proceso que implica una certificación en PA DSS y como metodologías como la OWASP facilitan gran parte del cumplimiento requierido por esta norma.

Nuestro sitio web, gran escaparate visitado con frecuencia por usuarios y clientes, es el reflejo de la confianza y reputación de nuestra organización en Internet. Paralelamente, los cibercriminales siguen su inexorable cruzada de robo de credenciales, información y control de nuestros sistemas. Siendo conscientes de la mejora progresiva en las medidas preventivas y de concienciación de los usuarios, los delincuentes cibernéticos han centrado sus esfuerzos en comprometer nuestras webs con la motivación de utilizarlas como punto de distribución de código malicioso. En la conferencia se comentaran las tendencias de infección web y algunas de las estrategias de respuesta a adoptar para la prevención y contención de este tipo de incidentes.

Richard Stallman hablará sobre las metas y la filosofía del movimiento del Software Libre, y el estado y la historia del sistema operativo GNU, el cual conjuntamente con el núcleo Linux actualmente es utilizado por decenas de millones de personas en todo el mundo.

Richard Mattew Stallman es un programador y activista del software libre. En 1983 anunció el proyecto para desarrollar el sistema operativo GNU, un sistema operativo tipo Unix destinado a ser totalmente libre, y es el líder del proyecto desde entonces. GNU se usa usualmente con el kernel Linux en la combinación GNU/Linux. Con ese anuncio Stallman lanzó también el movimiento del software libre. En octubre de 1985 creó la Free Software Foundation. Stallman ha recibido el premio "Grace Hopper" de la ACM (ACM Grace Hopper Award), una beca de la Fundación MacArthur, el premio "Pionero" de la Fundación Frontera Electrónica, y el Premio Takeda por Mejora Social/Económica, como así también varios doctorados Honoris Causa.

Fabio trabaja actualmente como especialista en seguridad de la informacion en el banco AIB (Dublin, Irlanda). Sus tareas comprenden realizar analisis de riesgos, evaluar la seguridad de aplicaciones web desarrolladas internamente o adquiridas a terceros, definir politicas y estandares sobre codificacion segura, como asi tambien brindar entrenamientos sobre seguridad de aplicaciones web a desarrolladores, auditores, ejecutivos y profesionales de seguridad. Antes de unirse a AIB, trabajó como Ingeniero de Seguridad en la Sede Europea de Symantec Security Response analizando codigo malicioso, amenazas combinadas, riesgos de seguridad y vulnerabilidades en diversas aplicaciones. Antes de trasladarse a Irlanda, trabajó en el desarrollo de diferentes programas y actividades de capacitación con énfasis en el desarrollo de software seguro en su natal Argentina. Como miembro de la organizacion OWASP, Fabio forma parte del Comite Global de Educacion cuya mision es brindar capacitacion y servicios educativos a empresas, instituciones gubernamentales y educativas sobre seguridad en aplicaciones, coordina conferencias a nivel internacional sobre dicha tematica, y desde inicios del 2010 ha sido nombrado presidente del Capitulo OWASP en Irlanda. Fabio es graduado en Ingenieria Informatica de la Universidad Católica Argentina y posee el certificado CISSP otorgado por (ISC)2 desde el año 2006.

OWASP (Open Web Application Security Project) ha publicado una actualización del ranking de los riesgos más importantes que afectan a las aplicaciones web. La misión de este documento es concienciar a la industria sobre los riesgos de seguridad, en el ámbito de las aplicaciones web, identificando y remarcando las diez amenazas más serias a las que se expone.
Dicho ranking nace del consenso y debate entre expertos en la materia de la seguridad en aplicaciones web. En esta edición 2010 se ha efectuado un cambio significativo en la metodología usada para la elaboración del Top 10. En vez de estimar una amenaza por su frecuencia (las más comunes) se han tenido en cuenta múltiples factores para el cálculo de cada una de ellas, dando lugar a un ranking de riesgos evaluados por su vector, predominio, detectabilidad e impacto. Asimismo, se demostrará como el Top 10 se encuentra relacionado con otros proyectos claves de OWASP tales como ESAPI & ASVS.

Se presentará la herramienta Wapiti, un escáner de vulnerabilidades de aplicaciones web que permite auditar aplicaciones web y obtener informes que faciliten a los desarrolladores la corrección de fallos. Se mostrará tanto su uso para usuarios finales como su facilidad de extensión con nuevos ataques.

Christian Martorella ha estado trabajando en el ámbito de la seguridad de la información durante los últimos 10 años, iniciando su carrera en Argentina IRS como consultor de seguridad. Ahora está liderando un equipo de Servicios de Seguridad para S21sec en España, donde lleva a cabo pruebas de intrusión, análisis de aplicaciones Web, auditorías de seguridad y análisis forense para una amplia gama de industrias, incluyendo servicios financieros, telecomunicaciones, servicios públicos y el gobierno. Es cofundador y un miembro activo del equipo de Edge-Security, donde ha investigado y desarrollado herramientas de seguridad. Ha sido ponente en What the Hack!, NoConName, Conferencias FIST, Hack.Lu, Source Conference, OWASP EU Summit 2008 y IV OWASP Spain Chapter Meeting. Christian ha contribuido con herramientas de análisis de código abierto como OWASP WebSlayer, Wfuzz y Metagoofil. Le gusta todo lo relacionado con recopilación de información y pruebas de intrusión. Christian en la actualidad ocupa el cargo de Presidente en consejo de las conferencias FIST y es miembro del consejo asesor de Source Conference. Posee certificaciones de seguridad como CISSP, CISM, CISA, OPST, OPSA y CEH.

Sintonizar la función de seguridad con el negocio
Alberto Partida. CISA, CISSP, SANS GIAC Gold GSEC, Gold GCFW, Gold GCFA, GCIA y GREM. Miembro del Consejo Asesor. SANS Institute

Necesitamos una clara sintonía, por no decir armonía, entre la funciónde seguridad en tecnologías de la información dentro de una organización y el negocio, la verdadera razón de ser de la organización. La mera idea de negocio implica asumir unos riesgos. Sin embargo, la seguridad trata de mitigar riesgos. Esta presentación propone 8 medidas, basadas en más de 10 años de experiencia profesional, para conseguir esa sintonía entre el negocio y la seguridad.

LDAP Injection & Blind LDAP Injection
José María Alonso. Microsoft MVP Windows Security. Consultor de Seguridad. Informatica64.

Las técnicas de inyección de código son conocidas ámpliamente. Esta sesión se centrará en las posibilidades de las inyecciones de código LDAP en aplicaciones web. Se verá, en un entorno de prueba, el impacto que pueden tener los ataques de inyección LDAP y la extracción de datos mediantes técnicas a ciegas.

Gestión de Incidentes de Seguridad Web en la Brigada de Investigación Tecnológica
Jorge Martín. Inspector. Jefe del Grupo de Seguridad Lógica. Cuerpo Nacional de Policia

En la primera parte de la ponencia conoceremos la estructura y funciones de la Brigada de Investigación Tecnológica y veremos algunos ejemplos de las distintas tipologias delictivas mas frecuentes, para centrarnos en la segunda parte en los incidentes de seguridad web que se denuncian habitualmente, sus consecuencias y el tratamiento que la Brigada da a cada uno de ellos, haciendo especial mención a aquellos aspectos que debe tener en cuenta un administrador para no perjudicar una posible investigación posterior.

Extensión de módulos de pruebas de seguridad de la herramienta Webgoat de OWASP
Daniel Cabezas Molina. Technology and Security Risk Services (TSRS) Manager. Ernst & Young

Se hablará sobre la modificación del código fuente del framework para realizar tests de seguridad y permitir su internacionalización, así como varios módulos para realizar pruebas que hasta el momento no existían: el uso de cifrado predecibles, como es el caso del bug aparecido en Debian el pasado año, y la explotación de desbordamientos de búfer en aplicaciones web.

Actuaciones realizadas en 2008 por el capítulo español de la OWASP
Vicente Aguilera Diaz, OWASP Spain Chapter Leader. OWASP

Esta breve presentación muestra las acciones realizadas o relacionadas directamente con nuestro capítulo a lo largo de 2008, así como la previsión de algunas de las acciones que llevaremos a cabo en 2009.

w3af: Un framework de test de intrusión web
José Ramón Palanco, CEO. Hazent Systems

El proyecto w3af no pretende ser un reemplazo de web pentest manual, sino unir bajo un mismo framework, todas las técnicas automatizables de obtención de información, evasión de ids, localización de vulnerabilidades, explotación de vulnerabilidades, etc. al estilo metasploit (framework con el que interactúa).

Análisis de Eco
Jesús Olmos González, Auditor Senior. Internet Security Auditors

Hoy día las vulnerabilidades web son "Well Known" y casi siempre nos encontraremos filtros que impedirán su explotación. Se comenzará explicando la problemática en la auditoría de caja negra: el código que no se ve se ha de deducir a través de diversas pruebas. El objetivo de dichas pruebas es deducir el código fuente a partir del análisis de los resultados ante distintas peticiones de entrada. Un atacante analizará los filtros implementados (por lo que será necesario localizar operativas de la aplicación que hagan "eco") con el objetivo de evadirlos y explotar posibles vulnerabilidades que existan en la aplicación. La presentación describirá distintos tipos de "eco" en aplicaciones web y como pueden ser detectados y aprovechados para elaborar posteriores ataques.

Microsoft Seguridad IT al descubierto
Simon Roses Femerling, ACE Security Services. Microsoft

La seguridad en Microsoft juega un papel fundamental tanto en sus productos como en sus activos de negocio y por ello desarrolla continuamente la más avanzada tecnología y mejora sus procesos para proteger a Microsoft y sus clientes. Esta ponencia pondrá al descubierto cómo Microsoft utiliza el SDL-IT para proteger sus activos de negocio.

A fresh look into Information Gathering
Christian Martorella. Responsable de Auditoría. S21sec

En esta presentación se pretende mostrar las nuevas técnicas y fuentes que se pueden utilizar a la hora de obtener información pública sobre un objetivo o entidad. Se hará especial hincapié en información que se puede obtener a través de la Web.

Amenazas e incidentes de seguridad en entornos Web: realidad o ficción
Raúl Siles, Consultor de Seguridad independiente. raulsiles.com

Los entornos Web son uno de los objetivos principales en los ataques directos a organizaciones, y también actúan como medio de ataque sobre sus visitantes. La ponencia analiza amenazas, ataques e incidentes de seguridad reales que se están llevando a cabo en la actualidad sobre entornos Web corporativos, y sobre nuevos objetivos, las aplicaciones Web de los dispositivos embebidos.

Ataques a políticas de seguridad según contexto
Iñaki López/Daniel Cabezas, Responsables del Laboratorio de Seguridad Avanzada. Ernst&Young

Se presentará una aproximación a cómo inferir información acerca de redes o websites objetivos, sus relaciones y políticas de seguridad en base a información recabada públicamente. Incluirá demostración práctica.

La seguridad multinivel en servidores web
Luis Calero, Director Técnico. Pentest Consultores

La ponencia versará sobre la aplicación práctica de la seguridad multinivel -MLS- así como de las distintas tecnologías de control de accesos existentes: -DAC, MAC, DBAC, RBAC, RSBAC- en la securización de servidores web.

Herramientas de análisis estático de seguridad del código: estado del arte
Luís Rodriguez Berzosa, Responsable del laboratorio software. Application LifeCycle Solutions

En esta ponencia se examina la situación actual de la clase de herramientas de análisis estático de seguridad, que sin ejecutar el código del software, tratan de identificar las vulnerabilidades explotables en las aplicaciones y servicios web. Se determina el estado del arte de las herramientas académicas y de código abierto, la oferta de OWASP en este dominio, los límites de esta tecnología, y se proponen algunas ideas para mejorar la difusión y la cobertura desde OWASP.

Seguridad en entornos financieros
Pedro Sánchez, Responsable de Seguridad. ATCA

Ataques DoS en aplicaciones Web
Jaime Blasco, Responsable de Seguridad. Eazel

Trust, Security and Usability
Roger Carhuatocto, NeS & DTM Product Manager. NetFocus

Programación segura: validación de entradas
Albert Puigsech, Auditor Senior. Internet Security Auditors

La OWASP Foundation y los objetivos del capítulo español
Vicente Aguilera Díaz, OWASP Spain Chapter Leader. OWASP.

El proyecto OWASP Testing
Javier Fernández-Sanguino, Consultor. Germinus

Fortificando Aplicaciones Web desde la capa de Red
Carles Fragoso i Mariscal, Técnico de Seguridad. CESCA

Web Forensics
Jess Garcia, CEO de Jessland Security Services e instructor de SANS Institute.

Capturando y explotando servidores de correo ocultos
Vicente Aguilera Díaz, OWASP Spain Chapter Leader. OWASP.