Este documento ofrece consejos prácticos para crear aplicaciones seguras. Explica que los errores de seguridad pueden ser muy costosos y que factores como la validación de datos, el uso de criptografía, el análisis de código y las pruebas son importantes. También destaca la necesidad de procesos de seguridad integrales en todo el ciclo de vida del desarrollo de software.
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínWebsec México, S.C.
Los métodos para escanear redes han evolucionado, y podemos encontrar millones de dispositivos de interconexión vulnerables que ponen en riesgo la información de sus propietarios y facilitan ataques a mayor escala. Mostraremos las técnicas que actualmente se utilizan para realizar escaneos de todo Internet y algunas vulnerabilidades predominantes.
Ponente: Pedro Joaquín. Director de Seguridad Corporativa de Websec México. En su blog Hakim.ws publica sus investigaciones referentes a dispositivos embebidos. Ha encontrado y publicado más de 15 vulnerabilidades de dispositivos utilizados en México. Es creador de Routerpwn y de la Comunidad Underground de México. Realiza auditorías y pruebas de penetración a infraestructura SCADA, SAP, servidores WebLogic, servidores iPlanet, routers Cisco, Solaris, Checkpoint FW, Citrix y Active Directory por nombrar algunas.
Video: https://www.youtube.com/watch?v=aqOQfjX8fD0
Dumpeando hashes del controlador de dominio por @_hkm
Una plática rápida sobre una de las técnicas más redituables durante una prueba de penetración. Utilizando una cuenta con permisos de administrador de dominio mostraremos como dumpear todos los hashes en formato NTLM almacenados en el controlador de dominio del directorio activo.
Plática sobre utilizar diferentes técnicas para detener a scanners de seguridad y a la gente que los usa sin pensarlo.
Impartida en CISI 2018, DragonJARCON 2018, 8.8 Bolivia, 8.8 Perú y 8.8 México.
Grabación en video:
https://www.youtube.com/watch?v=NtQpzjgitao&t=1s
A veces la diferencia entre poder acceder a un sistema remoto con éxito o fallar puede ser el conocimiento de una herramienta, una línea de comando o incluso una técnica de evasión de AV/Firewall. Esta plática brindará consejos y trucos para poder hackear "like a Boss", que le dará una ventaja durante la auditoría de un sistema
Ponente: Roberto Salgado. Director técnico y co-fundador de Websec México. Roberto ha participado y contribuido en proyectos importantes como ModSecurity, PHPIDS, sqlmap y el libro “Web Application Obfuscation“. Creó la base de conocimientos de inyección SQL, una de las referencias más completas disponibles en la web y Panoptic, un buscador de rutas de archivos comunes con vulnerabilidades tipo LFI. También desarrollo el método más rápido para extraer información de bases de datos vulnerables a inyección a ciegas.
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Websec México, S.C.
http://www.guadalajaracon.org/talleres/busqueda-de-vulnerabilidades-en-aplicaciones-moviles-android/
Con el incremento desmesurado de dispositivos móviles también crece nuestra preocupación por la seguridad de los usuarios que confiadamente usan aplicaciones de terceros sin ninguna precaución.
En este taller los asistentes aprenderán a usar las herramientas necesarias para identificar las vulnerabilidades más comunes en aplicaciones Android.
El taller abarcará desde la ingeniería inversa de las aplicaciones hasta el análisis de tráfico para la evaluación de servicios web involucrados.
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínWebsec México, S.C.
Los métodos para escanear redes han evolucionado, y podemos encontrar millones de dispositivos de interconexión vulnerables que ponen en riesgo la información de sus propietarios y facilitan ataques a mayor escala. Mostraremos las técnicas que actualmente se utilizan para realizar escaneos de todo Internet y algunas vulnerabilidades predominantes.
Ponente: Pedro Joaquín. Director de Seguridad Corporativa de Websec México. En su blog Hakim.ws publica sus investigaciones referentes a dispositivos embebidos. Ha encontrado y publicado más de 15 vulnerabilidades de dispositivos utilizados en México. Es creador de Routerpwn y de la Comunidad Underground de México. Realiza auditorías y pruebas de penetración a infraestructura SCADA, SAP, servidores WebLogic, servidores iPlanet, routers Cisco, Solaris, Checkpoint FW, Citrix y Active Directory por nombrar algunas.
Video: https://www.youtube.com/watch?v=aqOQfjX8fD0
Dumpeando hashes del controlador de dominio por @_hkm
Una plática rápida sobre una de las técnicas más redituables durante una prueba de penetración. Utilizando una cuenta con permisos de administrador de dominio mostraremos como dumpear todos los hashes en formato NTLM almacenados en el controlador de dominio del directorio activo.
Plática sobre utilizar diferentes técnicas para detener a scanners de seguridad y a la gente que los usa sin pensarlo.
Impartida en CISI 2018, DragonJARCON 2018, 8.8 Bolivia, 8.8 Perú y 8.8 México.
Grabación en video:
https://www.youtube.com/watch?v=NtQpzjgitao&t=1s
A veces la diferencia entre poder acceder a un sistema remoto con éxito o fallar puede ser el conocimiento de una herramienta, una línea de comando o incluso una técnica de evasión de AV/Firewall. Esta plática brindará consejos y trucos para poder hackear "like a Boss", que le dará una ventaja durante la auditoría de un sistema
Ponente: Roberto Salgado. Director técnico y co-fundador de Websec México. Roberto ha participado y contribuido en proyectos importantes como ModSecurity, PHPIDS, sqlmap y el libro “Web Application Obfuscation“. Creó la base de conocimientos de inyección SQL, una de las referencias más completas disponibles en la web y Panoptic, un buscador de rutas de archivos comunes con vulnerabilidades tipo LFI. También desarrollo el método más rápido para extraer información de bases de datos vulnerables a inyección a ciegas.
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Websec México, S.C.
http://www.guadalajaracon.org/talleres/busqueda-de-vulnerabilidades-en-aplicaciones-moviles-android/
Con el incremento desmesurado de dispositivos móviles también crece nuestra preocupación por la seguridad de los usuarios que confiadamente usan aplicaciones de terceros sin ninguna precaución.
En este taller los asistentes aprenderán a usar las herramientas necesarias para identificar las vulnerabilidades más comunes en aplicaciones Android.
El taller abarcará desde la ingeniería inversa de las aplicaciones hasta el análisis de tráfico para la evaluación de servicios web involucrados.
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Websec México, S.C.
Información sobre vulnerabilidades recientes y cómo explotarlas. EternalBlue en Windows 7, EternalRomance en Windows 2016, LNK CVE-2017-8464 y SMBLoris en Windows 10. Presentación para alumnos de la UANL Universidad Autónoma de Nuevo León impartida durante el Congreso Internacional de Seguridad de la Información CISI en agosto del 2017.
Introducción al escaneo masivo
Herramientas: Nmap, Dnmap, Zmap, Masscan
Escaneo con Botnet de ruteadores
Escaneos diarios de todo Internet por un año
Estadísticas de dispositivos de México
Puertas traseras de dispositivos populares de México
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]Websec México, S.C.
http://www.guadalajaracon.org/talleres/desarrollando-para-nmap-scripting-engine-nse/
Hace 5 años Nmap dió luz a su propio motor de scripts que facilita a administradores de sistema y pentesters ha realizar una variedad impresionante de tareas como recolección de información, detección de servicios y hasta explotación de vulnerabilidades.
Su flexibilidad y poder lo han convertido en una herramienta indispensable, no solo para escaneo de puertos, sino durante todas las etapas de una prueba de penetración.
En este taller los asistentes se familiarizarán con el motor de scripts de Nmap, aprenderán casos de uso avanzado y crearán sus propios scripts. Los participantes desarrollarán módulos para diversos fines incluyendo escaneo, análisis de tráfico y explotación web y de otros dispositivos.
Taller: Exploración de redes con Nmap.
Exploración de redes.
○ Conceptos.
○ Fundamentos básicos de Nmap
○ Técnicas de descubrimiento de hosts
○ Identificación de sistemas operativos
Descubrimiento de servicios.
○ Técnicas de escaneo de puertos
○ Identificación de servicios
Detección de vulnerabilidades.
○ Recolección de información
○ Ataques de fuerza bruta
○ Detectando vulnerabilidades en servidores web
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
El objetivo del taller es realizar una revisión de la seguridad de una aplicación iOS; tanto para la empresa que la ofrece como para los usuarios que la consumen.En el taller veremos las vulnerabilidades más comunes a nivel teórico, se explicarán los métodos para la obtención y reversing de binarios (con varias herramientas) y luego realizaremos una práctica al final para ver lo explicado en apps reales.
Escribiendo firmas para el sistema de detección de versiones de NmapWebsec México, S.C.
En esta presentación aprendemos como funciona el sistema de detección de versiones de Nmap y como podemos escribir nuestras propias firmas para reconocer nuevos servicios en nuestra red.
4 dispositivos útiles durante auditorías de seguridad. La piña wifi con un firmware que permite simular redes confiables y realizar diferentes ataques a los clientes que se conectan. Un software y cable que pueden ser utilizados para desbloquear celulares y acceder automáticamente a la información del mismo con un app desde otro celular. Una tarjeta para romper passwords, que utiliza procesadores gráficos de bajo costo, la cual permite alcanzar velocidades de hasta 500 millones de intentos de passwords por segundo.
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Diplomado Diseño y Administración de Bases de Datos
Módulo 6. Seguridad de Bases de Datos
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
Se trata de un taller para adquirir los conocimientos básicos y así poder analizar malware tanto en Windows como en Android. Se explicarán conceptos básicos y una metodología a seguir para poder llevar a cabo un análisis con éxito e identificar las acciones que realiza el malware sobre la máquina infectada. No es necesario ningún conocimiento sobre Windows ni Android. Se trata de un nivel de iniciación donde podremos comprobar que con el uso de algunas herramientas de carácter público se pueden obtener grandes resultados.
Actualmente, las compañías más innovadoras, tienen despliegues de software medido en términos de días, en vez de meses. Esta agilidad es permitida gracias al uso de Continuous Delivery, habilitando la automatización de procesos de Built, Test y Entrega de cambios de códigos, usando DevOps. Estas automatizaciones ayudan a identificar bugs mucho antes en el proceso, para así incrementar la productividad de los desarrolladores.
En este webinar, vamos a compartirles el proceso que los ingenieros de Amazon usan para la práctica de DevOps, también discutiremos cómo usted puede traer estos procesos a su compañía usando un nuevo grupo de herramientas disponibles en AWS (AWS CodeCommit, AWS CodePipeline and AWS CodeDeploy). Estos servicios fueron inspirados por las mismas herramientas internas y cultura de DevOps en Amazon.
Objetivo de aprendizaje:
- Aprender qué es Continuous Delivery, sus beneficios y cómo implementarlos.
- Aprender cómo aumentar la frecuencia y confiabilidad de las actualizaciones de su aplicación.
- Aprender a crear un flujo de despliegue de software automatizado en AWS.
- Entender los aspectos básicos de AWS CodePipeline y AWS CodeDeploy
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Websec México, S.C.
Información sobre vulnerabilidades recientes y cómo explotarlas. EternalBlue en Windows 7, EternalRomance en Windows 2016, LNK CVE-2017-8464 y SMBLoris en Windows 10. Presentación para alumnos de la UANL Universidad Autónoma de Nuevo León impartida durante el Congreso Internacional de Seguridad de la Información CISI en agosto del 2017.
Introducción al escaneo masivo
Herramientas: Nmap, Dnmap, Zmap, Masscan
Escaneo con Botnet de ruteadores
Escaneos diarios de todo Internet por un año
Estadísticas de dispositivos de México
Puertas traseras de dispositivos populares de México
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]Websec México, S.C.
http://www.guadalajaracon.org/talleres/desarrollando-para-nmap-scripting-engine-nse/
Hace 5 años Nmap dió luz a su propio motor de scripts que facilita a administradores de sistema y pentesters ha realizar una variedad impresionante de tareas como recolección de información, detección de servicios y hasta explotación de vulnerabilidades.
Su flexibilidad y poder lo han convertido en una herramienta indispensable, no solo para escaneo de puertos, sino durante todas las etapas de una prueba de penetración.
En este taller los asistentes se familiarizarán con el motor de scripts de Nmap, aprenderán casos de uso avanzado y crearán sus propios scripts. Los participantes desarrollarán módulos para diversos fines incluyendo escaneo, análisis de tráfico y explotación web y de otros dispositivos.
Taller: Exploración de redes con Nmap.
Exploración de redes.
○ Conceptos.
○ Fundamentos básicos de Nmap
○ Técnicas de descubrimiento de hosts
○ Identificación de sistemas operativos
Descubrimiento de servicios.
○ Técnicas de escaneo de puertos
○ Identificación de servicios
Detección de vulnerabilidades.
○ Recolección de información
○ Ataques de fuerza bruta
○ Detectando vulnerabilidades en servidores web
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
El objetivo del taller es realizar una revisión de la seguridad de una aplicación iOS; tanto para la empresa que la ofrece como para los usuarios que la consumen.En el taller veremos las vulnerabilidades más comunes a nivel teórico, se explicarán los métodos para la obtención y reversing de binarios (con varias herramientas) y luego realizaremos una práctica al final para ver lo explicado en apps reales.
Escribiendo firmas para el sistema de detección de versiones de NmapWebsec México, S.C.
En esta presentación aprendemos como funciona el sistema de detección de versiones de Nmap y como podemos escribir nuestras propias firmas para reconocer nuevos servicios en nuestra red.
4 dispositivos útiles durante auditorías de seguridad. La piña wifi con un firmware que permite simular redes confiables y realizar diferentes ataques a los clientes que se conectan. Un software y cable que pueden ser utilizados para desbloquear celulares y acceder automáticamente a la información del mismo con un app desde otro celular. Una tarjeta para romper passwords, que utiliza procesadores gráficos de bajo costo, la cual permite alcanzar velocidades de hasta 500 millones de intentos de passwords por segundo.
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Diplomado Diseño y Administración de Bases de Datos
Módulo 6. Seguridad de Bases de Datos
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
Se trata de un taller para adquirir los conocimientos básicos y así poder analizar malware tanto en Windows como en Android. Se explicarán conceptos básicos y una metodología a seguir para poder llevar a cabo un análisis con éxito e identificar las acciones que realiza el malware sobre la máquina infectada. No es necesario ningún conocimiento sobre Windows ni Android. Se trata de un nivel de iniciación donde podremos comprobar que con el uso de algunas herramientas de carácter público se pueden obtener grandes resultados.
Actualmente, las compañías más innovadoras, tienen despliegues de software medido en términos de días, en vez de meses. Esta agilidad es permitida gracias al uso de Continuous Delivery, habilitando la automatización de procesos de Built, Test y Entrega de cambios de códigos, usando DevOps. Estas automatizaciones ayudan a identificar bugs mucho antes en el proceso, para así incrementar la productividad de los desarrolladores.
En este webinar, vamos a compartirles el proceso que los ingenieros de Amazon usan para la práctica de DevOps, también discutiremos cómo usted puede traer estos procesos a su compañía usando un nuevo grupo de herramientas disponibles en AWS (AWS CodeCommit, AWS CodePipeline and AWS CodeDeploy). Estos servicios fueron inspirados por las mismas herramientas internas y cultura de DevOps en Amazon.
Objetivo de aprendizaje:
- Aprender qué es Continuous Delivery, sus beneficios y cómo implementarlos.
- Aprender cómo aumentar la frecuencia y confiabilidad de las actualizaciones de su aplicación.
- Aprender a crear un flujo de despliegue de software automatizado en AWS.
- Entender los aspectos básicos de AWS CodePipeline y AWS CodeDeploy
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
En esta presentación se muestra una Ontología orientada a la seguridad informática, diseñada para ayudar en las labores de securización de los sistemas tras un proceso de audtoría de aplicaciones web y de caja negra
Muchas vulnerabilidades en software provienen de la ignorancia de los desarrolladores en conceptos de seguridad. En esta presentación revisamos los principales indicadores de esta ignorancia y cómo afectan al software y sus usuarios.
Presentación para B-Sides Chile 2015.
Habla de la seguridad olvidada de las aplicaciones web desde el punto de vista del programador. Se revisan ataques de inyección SQL, XSS, Spam, Exposición de recursos, Base de Datos, etc.
¿Cómo poner software de calidad en manos del usuario de forma rápida?Micael Gallego
Ciclo de vida del software, repositorios de código, análisis estático de código, pruebas software, integración continua, entrega continua, despliegue continuo, DevOps.
El Estado de la Seguridad de IBM i en 2020HelpSystems
Durante 17 años, el Estudio de Seguridad de IBM i ha proporcionado información útil acerca de cómo organizaciones en todo el mundo protegen sus sistemas Power (IBM i, AS/400, iSeries, etc.). En este webinar grabado presentamos en exclusiva los resultados del estudio y analizamos qué se espera del futuro de la Seguridad de esta plataforma. Además, damos tips útiles para identificar y priorizar las vulnerabilidades y errores más frecuentes, para evitar una filtración de datos.
Vea este webinar grabado y obtenga información sobre:
Comandos y controles de acceso a la red
Controles de Seguridad a nivel de servidor
Usuarios que pueden acceder a su información privilegiada
Perfiles y Seguridad de contraseñas
Protección anti-virus y malware
Estrategias para auditorías de sistema
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
Expositor: Enrique Dutra
CONTENIDO DEL WEBINAR
Situación actual. Exposición de los servicios y datos a Internet.
De la PC al Celular.
Celulares y las aplicaciones.
Aplicaciones infectadas en 2019.
Nomofobia: miedo de perder el celular.
Desarrollos sin calidad de "seguro".
Arquitectura Android. Plataforma con mayor difusión.
Distribución de Android.
Arquitectura Android.
Android: Algunos puntos débiles.
Evaluando una aplicación móvil. Apostar a la calidad de seguro también es calidad.
Análisis aplicaciones móviles.
Análisis estático.
Análisis dinámico.
¿Cómo podemos testear?
MobSF
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
Descripción:
Se explicarán las cuatro fases del proceso de pruebas de penetración contra aplicaciones web. Se inicia examinando la perspectiva mental del atacante. Las partes de una Prueba de Penetración y definición de su alcance. La primeras fases del reconocimiento y mapeo del proceso proporcionan los fundamenteos necesarios para controlar la aplicación. En la fase de descubrimiento se exponen diversas debilidades dentro de las aplicaciones. Además de mapear los vectores de ataque a utilizar contra la aplicación. El descubrimiento también se enfoca en los componentes del lado del cliente. En la fase final de explotación se lanzan los ataques planificados y creados durante las tres fases previas.
Objetivo:
El objetivo de este Taller Virtual es proporcionar al participante una introducción a las Pruebas de Penetración contra Aplicaciones Web. Para este propósito se expondrá la teoría con ayuda de ejercicios y ejemplos prácticos utilizando máquinas virtuales y las diferentes herramientas incluidas en Samurai WTF.
Similar a Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon Pale (20)
Estadisticas de redes 802.11 en Mexico (2013) por Paulino CalderonWebsec México, S.C.
Investigación sobre el estado de fabricantes y de mecanismos de seguridad utilizados en redes inalámbricas 802.11 en México por Paulino Calderon. (2013)
El porqué está fallando tu programa de seguridad informática por Paulino Cald...Websec México, S.C.
Plática sobre las razones por las cuales fallan los programas de seguridad informática en las empresas actualmente. Experiencias personales que me han ocurrido a lo largo de mi carrera.
Esta charla trata sobre las vulnerabilidades más peligrosas que afectan a redes caseras y de trabajo actualmente. Se demostrarán técnicas reales que funcionan incluso en ambientes corporativos protegidos y que pueden ser utilizadas para comprometer redes enteras en menos de un día.
OSINT vs cibercrimen por @nickops
Conoce técnicas y herramientas de Inteligencia de Fuentes Abiertas (OSINT) que te ayudarán a reaccionar ante delitos de fraudes y extorsiones cibernéticas. Analizaremos un caso donde la Policía Cibernética de la Ciudad de México descubrió, investigó y capturó a una banda de extorsionadores por Internet.
Fraudes y extorsión cibernética.
Técnicas y herramientas de la Policía cibernética.
Técnicas y herramientas de OSINT.
- OSINT con Apps de Mensajería Instantánea.
- OSINT con entidades privadas y de Gobierno.
- OSINT con Facebook Graph Search.
Acerca del ponente @nickops:
Ingeniero en Telemática, egresado del Instituto Politécnico Nacional (UPIITA). Laboró en el GSC Ericsson México participando en proyectos de telefonía IP, móvil y fija. Es aficionado a la Seguridad Informática y se especializa en investigaciones cibernéticas con fuentes abiertas (Open Source Intelligence). Colaboró con la Unidad de Investigación Cibernética de la Procuraduría General de Justicia del Distrito Federal (PGJDF) en la búsqueda de una banda de extorsionadores por Internet. Es miembro de la Comunidad G3eckArmy y cuenta con publicaciones en blogs sobre Tecnología, Seguridad Informática y Protección de Datos Personales.
Recuperación de defaces y modificación de bases de datos con versionador git por @Alevsk
El objetivo es añadir una capa de seguridad extra a nuestros sitios o blog personales (y a proyectos mas grandes ¿Por que no?) para evitar y recuperarnos de los hackeos, con ayuda de algunos scripts en bash corriendo en background y Git podemos detectar cambios en los archivos de nuestro servidor y regresar al estado "trusted" que tiene el repositorio de Git, de igual manera revisando los checksums de las tablas en nuestra base de datos podemos saber si se ha insertado, eliminado o modificado algún registro o tabla (en el caso de sql injection y xss en la base de datos) y restaurarla rápidamente usando una copia. :)
Seguridad de Bitcoin por Luis Daniel Beltrán
- Descripción breve de como funciona el protocolo y la cadena de bloques.
- Mitos sobre el protocolo.
- Puntos fuertes del protocolo.
- Puntos débiles del protocolo.
- Descripción de como se han dado los robos mas representativos de Bitcoins.
- Explicación del reto que tenemos como profesionales en seguridad con este nuevo paradigma en el manejo de activos digitales.
Acerca del ponente Luis Daniel Beltrán
Desde muy temprana edad y de manera autodidacta se introdujo en el mundo de la tecnología llevándolo con los años a ser uno de los primeros usuarios de Internet en México. En la actualidad se especializa en montar y administrar infraestructura de seguridad para aplicaciones y sitios web de alto tráfico. Desde el año 2012 dedica parte de su tiempo libre al estudio de las criptomonedas.
CPMX5 - Las nuevas generaciones de redes por Luis ColungaWebsec México, S.C.
¿Te frustras cuando la comunicación inalámbrica falla cuando más la necesitas? ¿Sabías que es posible recibir señales de aviones, barcos o satélites de una manera fácil y económica? Software Defined Radio nos da herramientas para solucionar los problemas en las redes inalámbricas actuales y realizar cosas que antes eran imposibles.
Ponente: Luis Colunga. Investigador de Seguridad Informática con Websec. Desde los 11 años ha estado involucrado en las telecomunicaciones. Una de sus pasiones es propiciar la generación de soluciones a través de las telecomunicaciones, le preocupa que estos sistemas sean "seguros"
Video: https://www.youtube.com/watch?v=yuvLT0ALAoE
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónWebsec México, S.C.
En esta plática analizaremos las amenazas a las que están expuestos los usuarios de Internet y organizaciones. Se demostrarán vulnerabilidades que afectan actualmente a diversos dispositivos. Además se presentarán estadísticas nunca antes publicadas sobre el estado actual de la seguridad del ecosistema de redes inalámbricas encontradas en México.
Ponente: Paulino Calderón. Consultor de seguridad informática y desarrollador de software. Es cofundador de Websec. Con experiencia en administración de servidores, diseño de software y auditorías de seguridad de aplicaciones web e infraestructuras de TI. Forma parte del equipo oficial de Nmap como desarrollador NSE. Es el autor de una de las aplicaciones más populares en México en la historia: Mac2wepkey HHG5XX.
Video: https://www.youtube.com/watch?v=V5ofjARl--4
Descripción de un ataque a un ruteador 2Wire que muestra como es posible desde un ataque al ruteador, obtener los datos de sesión de sitios importantes. El ataque que se realiza es pharming pero de una manera especial, ya que no se redirigen las páginas para montar un scam o página falsa, si no que se redirigen subdominios de los dominios originales y se intenta, en ese momento, realizar las peticiones con el cliente a los sitios para obtener las cookies de los dominios originales.
Código completo y video en:
http://www.websec.mx/blog/ver/Robo_de_cookies_por_router_vulnerable_caso_2Wire
Mac2WepKey
Es posible generar la WEP/WPA default de los módems Huawei modelos HG520 y HG530. El propósito de este post es explicar la forma en la que desarrollamos un generador para estos dispositivos. Los módems Huawei modelos HG520b y HG520c cuentan con un software para generar su contraseña WEP y SSID predeterminados a partir de su dirección MAC. El nombre de este software es mac2wepkey y se encuentra disponible en su interfaz de TELNET. Es posible cambiar la dirección MAC de nuestro módem para generar la WEP prederterminada de otro módem del cual conozcamos su dirección MAC.
Más información:
http://www.websec.mx/blog/ver/mac2wepkey_huawei
El dispositivo Teensy es un pequeño microcontrolador HID programable con interfaz USB. Permite emular un teclado y mouse para enviar comandos a cualquier sistema operativo. Sus puertos digitales y análogos facilitan la integración de fotoceldas y otros componentes que pueden servir para condicionar la ejecución de acuerdo a la cantidad de luz, temperatura, movimiento, etc. El Teensy es una buena herramienta para pentesting. Con este dispositivo regresa el problema del Autorun USB, pero ahora para cualquier sistema operativo. Se mostrarán ejemplos de personas que han estado trabajando en él y como se puede utilizar en pruebas de penetración. También se mostrarán ejemplos de su uso en situaciones que no tienen que ver con seguridad.
Material:
http://www.hakim.ws/teensy/
En este taller práctico aprenderemos a desarrollar módulos de Kernel que funcionen como rootkits. Al final del taller el participante podrá mostrar un pequeño rootkit que funcione como keylogger. Entenderá y desarrollara técnicas para ocultarse y métodos anti-forenses.
Objetivo Principal:
Aprender las técnicas de desarrollo de Rootkits
Objetivos Secundarios:
Conocer las características del Kernel.
Aprender a generar módulos de Kernel
Conociendo algunas téncias (VFS Hijacking, Syscall Hijacking, StructTask Hijack, Infecting LKM’s)
Temario
Introducción a los Rootkits
Introducción a los Módulos de Kernel
Consideraciones de Programación
Parámetros de Módulos
Estructuras del Kernel
Hijacking
Prácticas
El módulo “Hello World”
Manejando Parámetros en el módulo.
Trabajando con la task_struct
Escondiendo módulos
Hijacking de /proc
Hijacking de syscall
Creando de un keylogger
Requisitos:
Conocimientos medios en C
Manejo básico/medio de linux
Una PC/Laptop con VirtualBox (Se entregará a cada participante una imágen con Debian 64Bits para que comiencen a desarrollar).
Vulnerabilidades en tecnologías NFC y RFID [GuadalajaraCON 2013]Websec México, S.C.
http://www.guadalajaracon.org/conferencias/vulnerabilidades-en-tecnologia-nfc-y-rfid/
Actualmente las nuevas tecnologías se incorporan a nuestra vida cotidiana de manera casí instantanea, pero no estamos concientes de todo lo que implica adoptar una nueva tecnología.
El ejemplo más reciente es la adopción, en los últimos años, de la tecnología contactless que actualmente encontramos en dispositivos móviles, formas de pago y tarjetas de acceso. Pero, ¿realmente la implementación esta hecha de forma segura? ¿podemos hacer pagos sin que sea “secuestrada” nuestra información?.
Vulnerabilidades de NFC fueron presentadas el año pasado en BlackHat Las Vegas, en una conferencia de vectores de ataques enfocada a smartphones y NFC. La conferencia de GuadalajaraCON va enfocada a tarjetas de acceso de oficinas y transporte.
Se expondrá el uso de la RFID/NFC en la actualidad.
Se realizará una demostración en vivo de clonacion de NFC.
Desarrollo de exploit para infraestructura crítica [GuadalajaraCON 2013]Websec México, S.C.
http://www.guadalajaracon.org/conferencias/desarrollo-de-exploit-para-infraestructura-critica/
En la actualidad la mayoría de los sistemas en los que dependemos están casi en su totalidad automatizados y muchos otros se encuentran a punto de serlo. En los últimos años se ha demostrado como ciberdelincuentes comprometen esta infraestructura crítica, pasando del malware Stuxnet a el secuestro de drones.
La ponencia se enfoca en la importancia de proteger infraestructura sensible y como dichos sistemas pueden ser comprometidos, haciendo énfasis en el descubrimiento y desarrollo de un exploit funcional para infraestructura crítica.
Si bien los hospitales conjuntan a profesionales de salud que atienden a la población, existe un equipo de organización, coordinación y administración que permite que los cuidados clínicos se otorguen de manera constante y sin obstáculos.
Mario García Baltazar, director del área de Tecnología (TI) del Hospital Victoria La Salle, relató la manera en la que el departamento que él lidera, apoyado en Cirrus y Estela, brinda servicio a los clientes internos de la institución e impulsa una experiencia positiva en el paciente.
Conoce el Hospital Victoria La Salle
Ubicado en Ciudad Victoria, Tamaulipas, México
Inició operaciones en el 2016
Forma parte del Consorcio Mexicanos de Hospitales
Hospital de segundo nivel
21 habitaciones para estancia
31 camas censables
13 camillas
2 quirófanos
+174 integrantes en su plantilla
+120 equipos médicos de alta tecnología
+900 pacientes atendidos
Servicios de +20 especialidades
Módulos utilizados de Cirrus
HIS
EHR
ERP
Estela - Business Intelligence
Escaneo y eliminación de malware en el equiponicromante2000
El malware tiene muchas caras, y es que los programas maliciosos se reproducen en los ordenadores de diferentes formas. Ya se trate de virus, de programas espía o de troyanos, la presencia de software malicioso en los sistemas informáticos siempre debería evitarse. Aquí te muestro como trabaja un anti malware a la hora de analizar tu equipo
3. Seguridad en software
Los errores en software pueden llegar a ser muy costosos:
¿Qué tal los errores de seguridad?
Bug en software de
sistema antibloqueo de
frenos le costó a Toyota
un aproximadamente 3
billones de dólares
americanos. (2009).
Bug en software de
trading le costó a
Knight Capital Group
Inc. cerca de 400
millones de dólares
americanos.(2012).
4. Costo de un bug de
seguridad en software
En etapa de diseño:
En etapa de pruebas (QA):
En producción:
+
$10000 USD
para arriba
$1500 USD
Impacto al negocio
$100 USD
5. • Es más rápido.
• Es más barato.
• No realizo ejercicios de revisión de
código.
• Porque afecta la experiencia de
usuario.
• No conozco de esos temas.
• Tengo appliances de seguridad que
me protegen.
• No tengo procesos que involucren
la seguridad.
• Es más difícil …
¿Por qué
hacemos
aplicaciones
inseguras?
6. El factor humano
“Think about how
stupid the average
person is, and
then realize that
half of them are
stupider than that”
7. El factor humano
Hecho: Somos humanos, nos
equivocamos... frecuentemente.
NASA olvida convertir
unidades y ocasiona que el
Climate Orbiter se pierda en
el espacio. (1998)
Recordemos brevemente eventos del pasado:
El error del doble gotofail
de Apple que permite
realizar ataques de MiTM a
millones de usuarios.
(2014)
10. ¿Qué tanto
importa
el lenguaje?
Existen mecanismos de
seguridad implementados en
lenguajes que deben
considerarse en base a los
requerimientos de cada
proyecto:
● Type-safe object oriented
programming
● Safe memory management
● Safe object construction
● Smart pointers/Safe
pointers
● Entre otros...
11. ¿Es culpa del lenguaje?
Revisemos estadísticas de
vulnerabilidades existentes
en diferentes lenguajes de
programación.
¿Qué nos dicen estos números?
12. PHP: 406 vulnerabilidades entre 2000-2015
http://www.cvedetails.com/product/128/PHP-PHP.html?vendor_id=74
13. Ruby: 44 vulnerabilidades entre 2007-2014
http://www.cvedetails.com/product/12215/Ruby-lang-Ruby.html?vendor_id=7252
14. ASP.NET: 10 vulnerabilidades entre 2003-
2010
http://www.cvedetails.com/product/3091/Microsoft-Asp.net.html?vendor_id=26
18. 1. Muchos productos son una
combinación de lenguajes
y tecnologías.
2. Bases de datos como CVE
no tienen registro de todas
las vulnerabilidades.
3. A veces también los
frameworks de desarrollo
tienen vulnerabilidades.
4. Existen muchas más
vulnerabilidades en
implementaciones (no
lenguaje).
Los números no necesariamente
reflejan la realidad:
000101010111011100000011111101010
101000001010101010101010101010100
000001010101110111000000111111010
101010000010101010101010101010101
000000010101011101110000001111110
101010100000101010101010101000010
101011101110000001111110101010100
000101010101010101010101010000000
101010111011100000011111101010101
¿Importa el
lenguaje de
programación?
000101010111011100000011111101010
101000001010101010101010101010100
000001010101110111000000111111010
101010000010101010101010101010101
000000010101011101110000001111110
101010100000101010101010101010101
010000000101010111011100000011111
19. Seguridad en software web y movil
Existen controles de seguridad que hacen más
robustas a nuestras aplicaciones:
• Autenticación
• Autorización
• Manejo de sesiones
• Validación de datos
• Auditoría y bitácoras
• Criptografía
• Ambiente de desarrollo
• Canales de comunicación
• Almacenamiento seguro
¿En qué nos estamos equivocando?
23. No confíes en extraños
(*) http://www.websec.mx/blog/ver/inseguridad-datos-sesion-codeigniter
● Malos consejos de
seguridad hasta
en sitios oficiales
de proyectos.
● Un ejemplo, el popular
framework Codeigniter
distribuye la siguiente
configuración por
default. >>
24.
25.
26.
27. Buenas prácticas
Siempre revisen
lo que instalan.
No confien en
configuraciones
default.
Hashes de verificación de integridad
de archivos críticos de la aplicación.
Algún HIDS, solución casera en Bash,
tripwire, etc.
No sigan guías sin
cuestionar las
prácticas de
seguridad.
31. Utilizar frameworks
no garantiza
seguridad
Existen muchas
implementaciones inseguras. De
nuevo no es el framework, es la
implementación.
● oAuth es un
framework de
autorización.
● OpenID es un
framework de
autenticación.
33. ¿Como
es una buena
implementación?
Una buena implementación de
autenticación y autorización:
● Registra todas las actividades de
los usuarios sin revelar
información privada.
● Verifica el origen, validez y
expiración de sesiones.
● Genera alertas en caso de
actividad sospechosa (Cuenta
bloqueada por superar intentos
de inicio de sesión, etc.).
● Tiene mecanismo de protección
contra ataques de fuerza bruta.
● 2 factor auth (Si es requerida).
● Autoriza el acceso a cada
recurso solicitado.
36. Todos sabemos que debemos
validar datos y sin embargo las
mismas vulnerabilidades siguen
existiendo.
Validación de datos
La regla es muy simple:
NO CONFIEN EN NINGÚN DATO DE
ENTRADA MANIPULABLE
37. ● No usen listas negras.
● Usen los mecanismos de validación
disponibles en los frameworks pero no
dependan de ellos completamente.
● Prueben sus expresiones regulares.
● Monitoreen todos los puntos de entrada
Buenas prácticas
38.
39. [20/01/2015 01:00:05] Fallo
de inicio de sesion con usuario
‘admin’ y password
‘Administrad0r20’
[20/01/2015 01:00:09] Fallo
de inicio de sesion con usuario
‘admin’ y password
‘Administrad0r201’
[20/01/2015 01:00:15] Inicio
de sesion exitosa de usuario
‘admin’
Guardamos
información
de más
+
40. O no
guardamos
nada
[20/01/2015 04:00:05] La
aplicación tuvo un error.
Origen de conexión: 127.0.0.1
[20/01/2015 04:00:09] La
aplicación tuvo un error.
Origen de conexión: 127.0.0.1
[20/01/2015 04:00:15] La
aplicación tuvo un error.
Origen de conexión: 127.0.0.1
41. (IN)seguridad en bitácoras
Muchas veces los desarrolladores
no piensan en los riesgos:
● Cualquier aplicación puede
acceder a las bitácoras del
sistema Logcat (Android).
● Bitácoras comprometidas a
través de vulnerabilidades en
aplicaciones web.
Aplicaciones móviles y web
revelan información sensible en
bitácoras:
● URLs de servicios,
endpoints, APIs, etc.
● Credenciales de acceso a
servicio.
● Nombres de variables de
datos de entrada.
● Datos de usuario.
● Trazas de error.
42. • Almacenar las bitácoras en otro dispositivo
diferente de donde se corre la aplicación.
• Almacenar la información mínima necesaria para
diagnosticar un problema. Incluir funcionalidad
para generar trazas más completas.
• Comprobar que las bitácoras están siendo
registradas correctamente.
• Desarrollar agente que envíe la información al
corelacionador de bitácoras de la empresa (Si lo
tienen).
Buenas prácticas
43. Crypto
La criptografía es difícil.
Si no han estudiado el tema,
¡No escriban sus propias
funciones criptográficas!
Dejen ese trabajo a los
EXPERTOS.
48. Lo que sí debe saber un desarrollador
sobre criptografía como mínimo
● Diferencia entre criptografía asimetrica y
simetrica.
● Diferencia entre métodos de cifrado.
● Uso de políticas seguras para contraseñas y
passphrases.
● Estándares modernos de criptografía.
www.keylength.com
● Conocer las librerías robustas de criptografía
disponibles para su ambiente de desarrollo.
49. Hecho: La mayoría de aplicaciones inseguras
no realizaron ejercicios de revisión de
código fuente.
50. Software Testing
Tenemos hasta un día
internacional dedicado
al debugging...
Literalmente encontraron un
bicho pegado a la hoja de un
programa.
Premio: ¿Qué fecha es el día
internacional de debugging?
52. Programas donde se ofrecen recompensas por encontrar bugs de seguridad.
Algunas empresas que han implementado este programa exitosamente:
● Google
● Facebook
● Microsoft
● Otros muy interesantes como Internet Bug Bounty
(https://internetbugbounty.org) dan recompensa por encontrar bugs en
productos como Apache, Ruby, Python, PHP, entre otros).
Programas bug bounty
¿Podrían implementarlo en su
empresa o lugar de trabajo?
53. Software testing
Unit testing aunque sea muy
tedioso es una herramienta
invaluable para construir
software seguro.
Necesitamos integrar a
nuestro SDLC ejercicios de
análisis estático y dinámico
54. Integration testing
Si automatizamos los procesos de ‘integration testing’
lograremos detectar muchos problemas.
Por ejemplo Jenkins puede ser utilizado en proyectos hechos
en Java, ASP.NET, Perl y Python.
55. Software
fuzzing
Automatizar pruebas al software
con datos de entrada aleatorios y
mal formados. El objetivo es
analizar el comportamiento de la
aplicación bajo diferentes datos de
entrada mal formados.
Algunos fuzzers públicos:
● spike
● antiparser
● Afl
● Sulley
● Melkor
!Para mejores resultados
construyan los suyos!
57. Clang
Analizador estático de código para
C/C++/Obj-C
● Encontrando heartbleed con Clang:
http://blog.trailofbits.com/2014/04/27/usi
ng-static-analysis-and-clang-to-find-
heartbleed/
Otros proyectos interesantes basados en
Clang:
● Xsecurity
https://github.com/XSecurity/Xsecurity
Integración con Xcode para detectar
vulnerabilidades en aplicaciones iOS.
● Infer
https://github.com/facebook/infer
Analizador estatico de código para
aplicaciones mobiles Android e iOS.
58.
59. Infer
Analizador estático de código
desarrollado por Facebook para
Java, C y Obj-C.
Descarga:
https://github.com/facebook/infer
62. Grep para
analizar
código
Grep es nuestro amigo. Por ejemplo podríamos
utilizar algo como:
$grep –R –n –A3 –B3 –i
’$_GET|$_POST’ .
En ambientes Windows: File
Locator Lite
63. Análisis de
código gratis
Websec tiene una base de datos con listas de nombres
de funciones ‘peligrosas’ divididas por lenguaje de
programación (JAVA, RUBY, PHP, Python)
InsecureProgrammingDB
https://github.com/cldrn/InsecureProgrammingDB
65. Otras herramientas
● Navegadores de código fuente.
● Seguridad de binarios
Ya hablamos de herramientas, pero ¿qué tal los
procesos?
66. ¿Por qué
hacemos
aplicaciones
inseguras?
La ausencia de procesos
de negocio que
respalden la seguridad
siempre llevará a la
creación de código
inseguro.
La seguridad debe ser
planeada desde el principio
e integrada en la
arquitectura de la
aplicación.
67. Thread
modeling
Método para analizar la
seguridad de una aplicación que
permite identificar, evaluar y
mitigar los riesgos relacionados
con la aplicación.
68. Retos
al realizar
thread
modeling
● No se conocen a fondo los
procesos involucrados.
● No se conocen los riesgos.
● Difícil asignar importancia si
se desconoce el nivel de
explotación requerido.
69. Thread modeling en tu organización
1. Entiende tu aplicación.
2. Identifica las amenazas.
3. Desarrolla las medidas de
protección y mitigaciones.
70. Seguridad en el ciclo de vida
de desarrollo de software
● Evaluar el riesgo de nuevas aplicaciones.
● Investigar requerimientos necesarios para tratar la
información según su sensibilidad.
● Elaborar una guía de buenas prácticas a las que
todos deben apegarse.
● Periódicamente evalúa y actualiza esa guía de
buenas prácticas.
● Entrena a los programadores a tomar talleres
técnicos de programación segura en el entorno de
trabajo.
● Incluye aspectos de seguridad en evaluaciones de
QA.
71. Seguridad en el ciclo de vida
de desarrollo de software
Herramientas pueden ayudar pero
necesitan a una persona con
conocimientos en seguridad informática
en el equipo para validación.
Es importante no usar solo una
herramienta.
72. REQUERIMIENTOS:
Documentar/Identificar los requerimientos de seguridad del proyecto.
Análisis de riesgo.
DISEÑO:
Thread modeling.
DESARROLLO:
Implementar mejores prácticas.
Análisis estático de código.
TESTING:
Análisis dinámico de la aplicación.
Fuzzing.
Análisis de vulnerabilidades.
DEPLOYMENT:
Revisión de configuración de seguridad de aplicación y servidor.
73. Seguridad
en el
entorno de
desarrollo
La seguridad comienza desde nuestras
casas. Es decir, nuestros ambientes de
desarrollo.
Auditando las llaves públicas de todos
los usuarios de Github:
https://blog.benjojo.co.uk/post/auditing
-github-users-keys
74. ¿Qué aprendimos hoy?
Si quieren crear aplicaciones seguras deben:
● No confien en extraños.
● No confien en ningún dato de entrada manipulable.
● No confien en frameworks ciegamente.
● No implementen sus propias funciones de criptografía (A menos que sean
expertos en crypto).
● Inviertan en entrenamiento sobre programación segura.
● Almacenen sus bitácoras de forma segura.
● Verifiquen su sistema de autenticación y autorización.
● Realicen ejercicios de auditoría de código.
● Consideren a la seguridad en su ciclo de desarrollo de software.
● Consideren implementar un programa de recompensa por reportar bugs.
● No usen una sola herramienta.