This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "Spain/Chapter Meeting"

From OWASP
Jump to: navigation, search
Line 47: Line 47:
 
'''Introducción a la Seguridad en Aplicaciones Web'''
 
'''Introducción a la Seguridad en Aplicaciones Web'''
  
[[Image:Cerullof.jpg|150px]]
 
 
El contenido está alineado al OWASP TOP 10, documento referente sobre los riesgos de seguridad de las Aplicaciones Web.
 
El contenido está alineado al OWASP TOP 10, documento referente sobre los riesgos de seguridad de las Aplicaciones Web.
  
Line 82: Line 81:
 
**Secure Software Development Lifecycle (SSDLC)
 
**Secure Software Development Lifecycle (SSDLC)
 
<br>
 
<br>
 +
 
'''Perfil del Trainer : '''
 
'''Perfil del Trainer : '''
 +
 +
[[Image:Cerullof.jpg|150px]]
  
 
'''[https://twitter.com/fcerullo Fabio Cerullo]''', más de 10 años de experiencia en el campo de seguridad de la información adquirida a través de una amplia gama de industrias. Como CEO y Fundador de Cycubix, que ayuda a los clientes de todo el mundo mediante la evaluación de la seguridad de las aplicaciones desarrolladas internamente o por terceros, la definición de políticas y normas, la implementación de iniciativas de gestión de riesgos, así como la capacitación sobre el tema para desarrolladores, auditores , ejecutivos y profesionales de la seguridad. <br>
 
'''[https://twitter.com/fcerullo Fabio Cerullo]''', más de 10 años de experiencia en el campo de seguridad de la información adquirida a través de una amplia gama de industrias. Como CEO y Fundador de Cycubix, que ayuda a los clientes de todo el mundo mediante la evaluación de la seguridad de las aplicaciones desarrolladas internamente o por terceros, la definición de políticas y normas, la implementación de iniciativas de gestión de riesgos, así como la capacitación sobre el tema para desarrolladores, auditores , ejecutivos y profesionales de la seguridad. <br>
Line 92: Line 94:
 
* '''Precio:''' U$S200 (Miembros OWASP). $250 (Público en General).
 
* '''Precio:''' U$S200 (Miembros OWASP). $250 (Público en General).
 
    
 
    
* '''Para mayor información : ''' Por favor comuníquese al correo owasp.[email protected]
+
* '''Para mayor información : ''' Por favor comuníquese al correo [email protected]owasp.org
  
 
* '''Link de Registro''':  [https://www.regonline.com/owasplatamtour15lima'''REGISTRO CERRADO!''']  '''<br> <br>
 
* '''Link de Registro''':  [https://www.regonline.com/owasplatamtour15lima'''REGISTRO CERRADO!''']  '''<br> <br>

Revision as of 07:42, 4 June 2015

IX OWASP Spain Chapter Meeting - Barcelona, 12 de junio de 2015

Estas conferencias, abiertas y gratuitas, reúnen desde 2006 a los profesionales del sector de la seguridad de nuestro país y se han consolidado como un evento de referencia sobre seguridad en el software.

Buttoncreate.png

Si desea conocer las opciones de patrocinio disponibles, contacte con Vicente Aguilera.

Patrocinador PLATINO

Logo ISEC.png

Patrocinador ORO


Patrocinador PLATA


Colabora

Logo laSalle URL institucional positiu CAT.png



Barcelona, jueves 13 de diciembre de 2018
AGENDA de la jornada:

08:00h - 08:55h Registro de asistentes
Abella-80x80.png 09:00h - 09:05h Bienvenida
Jaume Abella Fuentes @JaumeAbella.
Coordinador del Máster de Ciberseguridad. La Salle Campus Barcelona.
Vicente_80x80.png 09:05h - 09:15h Introducción a la jornada
Vicente Aguilera Díaz. vicenteaguileradiaz.com - @VAguileraDiaz.
OWASP Spain Chapter Leader. Socio y Director Dpto. Auditoría en Internet Security Auditors.
20181123100130%21Marc-80x80.jpg 09:15h - 10:15h Lazarus resurface, APT group analysis
Marc Rivero López. @Seifreed.
Threat Researcher. McAfee.

Los analistas del equipo McAfee Advanced Threat Research (ATR) han descubierto una campaña agresiva de phishing para el robo de Bitcoin por parte del grupo internacional conocido como Lazarus utilizando malware sofisticado con un impacto a largo plazo. En esta nueva campaña, apodada como "HaoBao", se vuelve a utilizar correos electrónicos de phishing anteriormente utilizados por parte de Lazarus, simulando un reclutamiento de empleados, pero ahora dirigido a usuarios de Bitcoin y organizaciones financieras globales. Cuando las víctimas abren los documentos maliciosos adjuntos en los correos , el malware explora actividad de Bitcoin en el sistema y luego establece un implante para la recopilación de datos a largo plazo.Los objetivos de HaoBao y los implantes hasta ahora nunca vistos son una señal para McAfee ATR de la existencia de una campaña ambiciosa de Lazarus para establecer la ciberdelincuencia de la criptomoneda a un nivel sofisticado.
Durante la charla se desvelarán los detalles de dicha operación, analizando los implantes hasta ahora nunca vistos y no utilizados en las campañas anteriores de Lazarus desde 2017. Además, esta campaña implementa un implante de recopilación de datos que se basa en la descarga de una segunda etapa para ganar persistencia. Los implantes contienen una palabra codificada "haobao" que se usa como un interruptor cuando se ejecuta desde la macro de Visual Basic.

Jarivas_80x80.jpg 10:15h - 10:45h Beyond Web Security: OWASP IoT Project
José Alejandro Rivas Vidal.
Security Lab Manager. Applus Laboratories.

Most people, when they think on OWASP, they imagine the web security or the mobile security projects. These are the biggest initiatives till the date in OWASP. Fortunately, there are others like the OWASP IoT Project.
It started in 2014, however at that time IoT Security was not a hot topic as it is nowadays. During 2018, the project has been relaunched focus on the update of the IoT Top 10. Several people have been involved in the new Top 10. The IoT project is really important now and the goal is evolved with further IoT activities.
During the talked, I will explain what we are doing, how we ran the project, future plans and many more.

10:45h - 11:30h Coffee-break
Sauron-80x80.jpg 11:30h - 12:30h Haruka tooi tooi mukashi makare ta kubi wa
Pedro Candel. @NN2ed_s4ur0n.
Co-Founder de CS3 Group.

Versará sobre “romper cosas” en varios entornos que no han tenido en cuenta ninguna de las premisas del proyecto OWASP Top Ten 2017, un año más. Como novedad, se mostrará un fallo de un reconocido “controlador” del hogar inteligente, donde nos permitirá tomar completamente el control de todos los dispositivos del hogar conectados “y ofrecidos” por algo que comienza como “Alex…” o “Goog…” debido a sus carencias en cuanto al diseño de las APIs, controladores y servicios que emplean para poder tener un “hogar inteligente” donde simplemente seamos capaces de “encender las luces” con un mensaje de voz o con un ruido provocado por unas palmadas, “conectar la calefacción”, “encender el aire acondicionado”, “subir las persianas”, etc… pero que al usuario, simplemente le interesa la comodidad… aunque siempre hay un “ojo que lo ve y una oreja que lo escucha”…

Carlos_80x80.jpg 12:30h - 13:30h Social Network Analysis
Carlos Seisdedos. @CarloSeisdedos
Analista de Inteligencia.

El Social Network Analysis (SNA) surgió para de estudiar los procesos de comunicación que se producen entre las personas que conforman una estructura social. Esta estructura social o red social, está formada por un grupo de actores que pueden ser personas, organizaciones u otro tipo de entidades y las distintas relaciones que los vinculan.
Las redes criminales o terroristas, al igual que cualquier organización social, están formada por grupos de individuos que interactúan para desarrollar sus actividades y cumplir con sus objetivos.

Sobre estas redes también se pueden aplicar dichas técnicas.
13:30h - 15:00h Pausa
20181128111834%21Christian-80x80.jpg
Xavier-80x80.jpg
15:00h - 16:00h Full automated Security lifecycle in a modern Web Application environment
Christian Martorella @laramies and Xavi Méndez @x4vi_mendez
Security Engineering. Skyscanner.

How we achieved full security visibility in a high growth microservices and microsite environment, and the journey to achieve a full lifecycle from security detection at every layer of a service, contextualising all the data and finally how we feedback all the issues to the engineering teams.

Adelrio-80x80.jpg 16:00 - 16:30h Verificando la seguridad de firmwares Android
Alberto Del Rio. @berbus8
Analista de Ciberseguridad. jtsec.

ASCT (Android Security Configuration Tester) es un conjunto de herramientas concebidas para abarcar la mayoría de las pruebas de seguridad relacionadas con firmwares de Android, tanto a través del análisis dinámico como estático. La herramienta primero recopila toda la información que necesita de un dispositivo (ya sea emulado o conectado a través de USB) usando el Android Debugger (ADB); luego, analiza todos los datos en busca de configuraciones erróneas y agujeros de seguridad que puedan conducir a vulnerabilidades.
Tanto el proceso de recopilación de datos como el análisis de los mismos pasan por las siguientes 10 etapas: 1) Análisis de permisos; 2) Sticky bit & SETUID; 3) Address Space Layout Randomization; 4) NX/XD; 5) Kernel Flags; 6) Comprobación del sistema; 7) Procesos; 8) Puertos abiertos; 9) Seguridad mejorada en Linux; 10) Permiso de aplicación.

Lebenitez-80x80.jpg 16:30h - 17:30h Una mirada al Dark Web y la usurpación de identidades
Luis Enrique Benítez Jaspe.
Cybersecurity Strategy Projects. i2CAT Foundation.

Tendemos a pensar que si algo que no aparece en los principales buscadores es porque sencillamente no existe, sin embargo al menos un 90% del contenido en internet no es accesible a través de los buscadores. En esta ponencia se dará una introducción sobre lo que se conoce como la web oscura, la industria del Malware as a service (MaaS) y la usurpación y suplantación de identidades, así como de las distintas técnicas de las que se valen los ciberdelicuentes para obtener sus objetivos. Los Ciberataques de hoy son más sencillos de lo que crees y todos estamos expuestos.

Jcgamero_80x80.jpg 17:30h - 18:00h Cryptojacking: Detección, prevención y casos reales. Vol. 2
José Carlos García Gamero. @jcgarciagamero.
Creador de @NotMININGorg e @inspecturl.

En esta charla explicaré casos de cryptojacking reales, de interés, que hemos visto a lo largo de todo este tiempo, así como la forma de evitarlos y detectarlos. Completaré la charla con una investigación que hicimos junto a ESET en la infección masiva al gestor de contenidos Drupal, y los nuevos métodos que están usando los cibercriminales.

Vicente_80x80.png 18:00h - 18:05h Cierre de la jornada
Vicente Aguilera Díaz. vicenteaguileradiaz.com - @VAguileraDiaz.
OWASP Spain Chapter Leader. Socio y Director Dpto. Auditoría en Internet Security Auditors.



Twitter: @OWASPSpain
Hashtag de la jornada: #OWASPSpain12
Twitter-logo-icon.jpeg

LOCALIZACIÓN de la sala de conferencias:

Sala Auditori Edifici Sant Josep - La Salle Campus Barcelona
C. Sant Joan de La Salle, 42
Barcelona

Ver ubicación en Google Maps.

Salle-auditori-1.gif

Salle-auditori-3.gif

PONENTES

TBD
TBD




Introducción a la Seguridad en Aplicaciones Web

El contenido está alineado al OWASP TOP 10, documento referente sobre los riesgos de seguridad de las Aplicaciones Web.

Formato:

El taller combina la teoría y ejercicios prácticos. Los participantes aprenderán a identificar vulnerabilidades en sitios web específicamente diseñados con vulnerabilidades y errores de código, explotándolas utilizando diferentes técnicas y herramientas libres en un entorno controlado.

Audiencia: IT Staff, Managers, System Architects, Information Security Professionals, Developers, QA Professionals.

Duración: 1 día - (8 horas)

Material a entregar:

- Material Impreso
- OWASP Live CD incluyendo las herramientas utilizadas.
- Certificado de Participación (CPE Points)

Introducción a la Seguridad de Aplicaciones Web.

Los temas a cubrir son:

  • Introducción a la Seguridad de Aplicaciones Web.
  • Tecnología usada en aplicaciones web.
  • Áreas críticas en una aplicación web.
    • Inyección
    • Cross Site Scripting (XSS).
    • Broken Authentication and Session Management.
    • Insecure Direct Object References.
    • Cross Site Request Forgery.
    • Security Misconfiguration.
    • Insecure Cryptographic Storage.
    • Failure to restrict URL Access.
    • Insufficient Transport Layer Protection.
    • Unvalidated Redirects and Forwards.
    • Secure Software Development Lifecycle (SSDLC)


Perfil del Trainer :

Cerullof.jpg

Fabio Cerullo, más de 10 años de experiencia en el campo de seguridad de la información adquirida a través de una amplia gama de industrias. Como CEO y Fundador de Cycubix, que ayuda a los clientes de todo el mundo mediante la evaluación de la seguridad de las aplicaciones desarrolladas internamente o por terceros, la definición de políticas y normas, la implementación de iniciativas de gestión de riesgos, así como la capacitación sobre el tema para desarrolladores, auditores , ejecutivos y profesionales de la seguridad.
Como miembro de la Fundación OWASP, Fabio es parte de la Comisión de Educación Global, cuya misión es proporcionar formación y servicios educativos a las empresas, los gobiernos y las instituciones educativas en la seguridad de la aplicación, y ha sido nombrado Líder del Capítulo OWASP Irlanda desde principios de 2010. Posee una Maestría en Ingeniería Informática por la UCA y se ha obtenido los certificados CISSP y CSSLP por (ISC)2.

  • Duracion: 8 horas (El taller iniciará a las 09:00 am y finaliza a las 6:00pm)
  • Precio: U$S200 (Miembros OWASP). $250 (Público en General).


PATROCINADORES

Esta sección ofrece detalles sobre cada uno de los patrocinadores del X OWASP Spain Chapter Meeting. OWASP Spain agradece a todos ellos el esfuerzo realizado para dar soporte a nuestro evento.

Si desea conocer las opciones de patrocinio disponibles, contacte con Vicente Aguilera Diaz.

Nivel PLATINO
Internet Security Auditors

Internet Security Auditors nace el año 2001 con el objetivo de ser un proveedor de seguridad independiente y que actualmente ofrece servicios globales de Seguridad TIC desde sus oficinas de Barcelona y Madrid. La empresa es un referente en áreas como el Hacking Ético y las Auditorías de Seguridad, de Código Fuente y, en general, de la integración de la Seguridad en el Ciclo de Vida del Desarrollo de Software.

Internet Security Auditors fue la primera empresa en homologarse como QSA, PA-QSA y ASV por el PCI SSC para poder llevar a cabo Auditoría de Certificación del cumplimiento de PCI DSS y PCI PA-DSS, siendo además la primera empresa española en operar con estas certificaciones en Europa, EEUU y toda Iberoamérica.

Internet Security Auditors desarrolla proyectos en áreas tecnológicas punteras como son NFC para el pago móvil, aplicaciones móviles en las diferentes plataformas del mercado, ciberseguridad en entornos industriales, etc. y cuenta entre sus clientes algunas de las mayores empresas de todos los sectores de banca y seguros, industria, retail, e-commerce, etc., entre las que se encuentran un tercio de empresas del IBEX35, desarrollando proyectos en Europa y América.


Nivel ORO


Nivel PLATA


CALL FOR PAPERS

Periodo de presentación de propuestas
  • Inicio: 8 de octubre de 2018
  • Fin: 11 de noviembre de 2018


Formato de ponencias
  • Seleccione entre 30 minutos y 60 minutos.


Envío de propuestas
  • El plazo de presentación de propuestas finaliza el domingo 11 de noviembre de 2018.
  • Información a facilitar sobre su propuesta de ponencia:
    • Información del ponente
    • Información sobre la ponencia
    • Biografía del ponente
    • Recursos de soporte necesarios
    • Ciudad y pais desde el que se desplaza
  • Descargue aquí la plantilla a utilizar para comunicar su propuesta.
  • Las propuestas deberán ser enviadas a Vicente Aguilera Diaz.


Características
  • Del 12/11 al 16/11 se analizarán las propuestas recibidas.
  • El 19/11 se actualizará la agenda con las ponencias aceptadas.


Información adicional
  • Síganos en Twitter (@OWASPSpain) para conocer las novedades del evento (#OWASPSpain12).
  • Puede consultar nuestros eventos anteriores aquí.
  • Para cualquier consulta sobre el CFP o este evento, puede contactar con nosotros.





Buttoncreate.png

Owasp-logo-250.png