Este documento presenta una introducción al Internet de las Cosas (IoT), incluyendo definiciones, ejemplos de dispositivos IoT comunes y problemas relacionados con la privacidad y la seguridad. También resume las diez principales vulnerabilidades de seguridad de IoT según OWASP y ofrece recomendaciones para fabricantes, consumidores, desarrolladores y probadores.
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Francisco Javier Barrena
Todos los días despertamos con noticias sobre ataques que sufren las empresas. Este auge de ciberdelincuencia ha convertido a Internet en el Chicago de los años 30, en el Gotham de antes de que Bruce Wayne se convirtiera en Batman En esta charla veremos qué problemas nuevos enfrentamos los equipos de seguridad, y qué nuevas estrategias y herramientas podemos implantar para hacer frente a las amenazas, más reales que nunca, a las que nos enfrentamos. Y es que prefiero morir de pie, que vivir arrodillado.
Ingenieria social, el arte de atacar al eslabón más débil #PalabradehackerYolanda Corral
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker para analizar en qué consiste la ingeniería social. En materia de seguridad siempre se dice que los humanos somos el eslabón más débil de la cadena y es que existe todo un arte desarrollado en conseguir que bajemos la guardia y aportemos un montón de información personal que puede volverse en nuestra contra tarde o temprano. La ingeniería social es el conjunto de técnicas que sirve para obtener dicha información personal y realizar así ataques más dirigidos. Más información: https://www.yolandacorral.com/ingenieria-social-ciberdebate-palabra-hacker/
Moderado por la periodista Yolanda Corral y que contó con la participación de los especialistas en seguridad Manuel Guerra, Pablo F. Iglesias y Manuel Camacho.
Codemotion 2020 - Big Data en Ciberseguridad: mejor morir de pie que vivir ar...Francisco Javier Barrena
Todos los días despertamos con noticias sobre ataques que sufren las empresas. Este auge de ciberdelincuencia ha convertido a Internet en el Chicago de los años 30, en el Gotham de antes de que Bruce Wayne se convirtiera en Batman En esta charla veremos qué problemas nuevos enfrentamos los equipos de seguridad, y qué nuevas estrategias y herramientas podemos implantar para hacer frente a las amenazas, más reales que nunca, a las que nos enfrentamos. Y es que prefiero morir de pie, que vivir arrodillado.
Ingenieria social, el arte de atacar al eslabón más débil #PalabradehackerYolanda Corral
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker para analizar en qué consiste la ingeniería social. En materia de seguridad siempre se dice que los humanos somos el eslabón más débil de la cadena y es que existe todo un arte desarrollado en conseguir que bajemos la guardia y aportemos un montón de información personal que puede volverse en nuestra contra tarde o temprano. La ingeniería social es el conjunto de técnicas que sirve para obtener dicha información personal y realizar así ataques más dirigidos. Más información: https://www.yolandacorral.com/ingenieria-social-ciberdebate-palabra-hacker/
Moderado por la periodista Yolanda Corral y que contó con la participación de los especialistas en seguridad Manuel Guerra, Pablo F. Iglesias y Manuel Camacho.
Presentación usada por Jorge Coronado (@JorgeWebsec) en la primera edición de Data Beers Sevilla sobre OSINT y su uso en investigaciones reales por la empresa QuantiKa14
Estas son las herramientas de seguridad digital básicas para que protejas la confidencialidad y la integridad de tu información durante la investigación periodística.
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónWebsec México, S.C.
En esta plática analizaremos las amenazas a las que están expuestos los usuarios de Internet y organizaciones. Se demostrarán vulnerabilidades que afectan actualmente a diversos dispositivos. Además se presentarán estadísticas nunca antes publicadas sobre el estado actual de la seguridad del ecosistema de redes inalámbricas encontradas en México.
Ponente: Paulino Calderón. Consultor de seguridad informática y desarrollador de software. Es cofundador de Websec. Con experiencia en administración de servidores, diseño de software y auditorías de seguridad de aplicaciones web e infraestructuras de TI. Forma parte del equipo oficial de Nmap como desarrollador NSE. Es el autor de una de las aplicaciones más populares en México en la historia: Mac2wepkey HHG5XX.
Video: https://www.youtube.com/watch?v=V5ofjARl--4
ElevenPaths (Telefonica): Extrayendo Social Networks Intelligence con ElasticElasticsearch
Descubre cómo usan el Elasticsearch Service en Elastic Cloud para ayudar a realizar análisis avanzados de conversaciones, medir el riesgo y el impacto de crisis y ataques reputacionales, realizar estudios de mercado e incluso identificar los influencers más interesantes para tu negocio.
Ver ahora: https://www.elastic.co/elasticon/tour/2020/barcelona/elevenpaths-telefonica-powering-social-networks-with-elastic
Ataques DDoS, una ciberextorsión al alza #PalabradehackerYolanda Corral
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker sobre los ataques ataques distribuidos de denegación de servicio o ataques DDoS que se han convertido en una ciberextorsión al alza ya que entre otras cosas pueden dañar la reputación y causar importantes perdidas económicas. Más información: http://www.yolandacorral.com/ataques-ddos-ciber-extorsion-ciberdebate-palabra-hacker
Moderado por la periodista Yolanda Corral y que contó con la participación de los especialistas en seguridad David Hernández 'Dabo', Francisco Moraga, Carlos Ayala, Diego Samuel Espitia y Francisco Juarez.
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informáticaQuantiKa14
Presentación usada por Jorge Coronado CEO de QuantiKa14 en la charla de la Fería de Prácticas en empresas en la ETSI informática sobre seguridad informática, peritaje informático, OSINT, etc
• Siempre pensamos que a nosotros "eso no nos va a pasar", que estamos a salvo, o que no tenemos nada que esconder.
• Quien no ha oído eso de "bueno, si me hackean mi correo no pasa nada, no tengo nada que esconder". Bien, en esta charla comprobaremos que realmente sí importa. Veremos un caso real de como simplemente comprometiendo un router domestico pueden llegar a obtener diversas contraseñas, acceso a discos multimedia, impresoras o incluso a cámaras vigila bebés.
• Nadie está a salvo, eres más hackeable de lo que crees.
Presentación usada por Jorge Coronado (@JorgeWebsec) en la primera edición de Data Beers Sevilla sobre OSINT y su uso en investigaciones reales por la empresa QuantiKa14
Estas son las herramientas de seguridad digital básicas para que protejas la confidencialidad y la integridad de tu información durante la investigación periodística.
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónWebsec México, S.C.
En esta plática analizaremos las amenazas a las que están expuestos los usuarios de Internet y organizaciones. Se demostrarán vulnerabilidades que afectan actualmente a diversos dispositivos. Además se presentarán estadísticas nunca antes publicadas sobre el estado actual de la seguridad del ecosistema de redes inalámbricas encontradas en México.
Ponente: Paulino Calderón. Consultor de seguridad informática y desarrollador de software. Es cofundador de Websec. Con experiencia en administración de servidores, diseño de software y auditorías de seguridad de aplicaciones web e infraestructuras de TI. Forma parte del equipo oficial de Nmap como desarrollador NSE. Es el autor de una de las aplicaciones más populares en México en la historia: Mac2wepkey HHG5XX.
Video: https://www.youtube.com/watch?v=V5ofjARl--4
ElevenPaths (Telefonica): Extrayendo Social Networks Intelligence con ElasticElasticsearch
Descubre cómo usan el Elasticsearch Service en Elastic Cloud para ayudar a realizar análisis avanzados de conversaciones, medir el riesgo y el impacto de crisis y ataques reputacionales, realizar estudios de mercado e incluso identificar los influencers más interesantes para tu negocio.
Ver ahora: https://www.elastic.co/elasticon/tour/2020/barcelona/elevenpaths-telefonica-powering-social-networks-with-elastic
Ataques DDoS, una ciberextorsión al alza #PalabradehackerYolanda Corral
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker sobre los ataques ataques distribuidos de denegación de servicio o ataques DDoS que se han convertido en una ciberextorsión al alza ya que entre otras cosas pueden dañar la reputación y causar importantes perdidas económicas. Más información: http://www.yolandacorral.com/ataques-ddos-ciber-extorsion-ciberdebate-palabra-hacker
Moderado por la periodista Yolanda Corral y que contó con la participación de los especialistas en seguridad David Hernández 'Dabo', Francisco Moraga, Carlos Ayala, Diego Samuel Espitia y Francisco Juarez.
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informáticaQuantiKa14
Presentación usada por Jorge Coronado CEO de QuantiKa14 en la charla de la Fería de Prácticas en empresas en la ETSI informática sobre seguridad informática, peritaje informático, OSINT, etc
• Siempre pensamos que a nosotros "eso no nos va a pasar", que estamos a salvo, o que no tenemos nada que esconder.
• Quien no ha oído eso de "bueno, si me hackean mi correo no pasa nada, no tengo nada que esconder". Bien, en esta charla comprobaremos que realmente sí importa. Veremos un caso real de como simplemente comprometiendo un router domestico pueden llegar a obtener diversas contraseñas, acceso a discos multimedia, impresoras o incluso a cámaras vigila bebés.
• Nadie está a salvo, eres más hackeable de lo que crees.
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
Expositor: Enrique Dutra
CONTENIDO DEL WEBINAR
Situación actual. Exposición de los servicios y datos a Internet.
De la PC al Celular.
Celulares y las aplicaciones.
Aplicaciones infectadas en 2019.
Nomofobia: miedo de perder el celular.
Desarrollos sin calidad de "seguro".
Arquitectura Android. Plataforma con mayor difusión.
Distribución de Android.
Arquitectura Android.
Android: Algunos puntos débiles.
Evaluando una aplicación móvil. Apostar a la calidad de seguro también es calidad.
Análisis aplicaciones móviles.
Análisis estático.
Análisis dinámico.
¿Cómo podemos testear?
MobSF
La ética, la #privacidad digital y la #ciberseguridad, están cobrando gran relevancia, y son una de las principales #tendenciastecnológicas de hoy y del futuro, asegurando un entorno confiable para gobiernos, empresas y personas.
Este informe trata sobre os elementos claves para la seguridad por acceso remoto,los distintos medios para establecer una conexión segura y el uso de uso de filtros y Barreras de Protección
Este informe trata sobre os elementos claves para la seguridad por acceso remoto,los distintos medios para establecer una conexión segura y el uso de uso de filtros y Barreras de Protección
Presentación del Libro "SEGURIDAD IoT EN SANIDAD ¿ESTAMOS PREPARADOS?" a cargo de Juanjo Domenech y Ramón Salado, coLeaders del capítulo de OWASP Sevilla.
El libro se puede descargar gratuitamente desde la web: https://apisa.com.es/2018/05/14/seguridad-iot-en-sanidad-estamos-preparados-libro-publicado-por-apisa/
Autores: Miguel Ángel Arroyo Moreno, Josep Bardallo Gay, Juan José Domenech Sánchez, Francisco Jesús Gómez López, Ramón Salado Lucena
Prólogo: Vicente Aguilera
Presentación del Libro "SEGURIDAD IoT EN SANIDAD ¿ESTAMOS PREPARADOS?" a cargo de Juanjo Domenech y Ramón Salado, coLeaders del capítulo de OWASP Sevilla.
El libro se puede descargar gratuitamente desde la web: https://apisa.com.es/2018/05/14/seguridad-iot-en-sanidad-estamos-preparados-libro-publicado-por-apisa/
Autores: Miguel Ángel Arroyo Moreno, Josep Bardallo Gay, Juan José Domenech Sánchez, Francisco Jesús Gómez López, Ramón Salado Lucena
Prólogo: Vicente Aguilera
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
Slides de la charla presentada por Ivan Portillo y Wiktor Nykiel en OSINTCITY 2019 en Sevilla.
Más información en:
https://ginseg.com/2019/3447/inteligencia/osintcity-el-primer-evento-en-espana-que-gira-exclusivamente-en-torno-a-osint
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...RootedCON
Muchas de las empresas y organismos gubernamentales de hoy en día tienen redes aisladas de las comunicaciones o con el flujo de datos limitado a través de diferentes redes. Estas redes de equipos se crean para situaciones especiales, ya que pueden ser muy especiales o con información crítica como, por ejemplo, sistemas de control en fábricas, entornos de alta seguridad en el procesado de cierta información o redes que cumplen con un estándar de seguridad. En la historia reciente de la Ciberseguridad se ha comprobado como un software malicioso denominado Stuxnet se infiltraba en una red totalmente aislada en una Central Nuclear. Con este hecho se puede observar como no es suficiente tener una red de equipos no conectados (aislados, air gapped) con cable Ethernet o WiFi. Cualquier tipo de conexión exterior a un equipo puede materializar una amenaza siendo las realizadas a través de USB las más comunes. En esta charla se mostrará cómo se pueden localizar, dibujar y enfocar a la protección de estos puntos en una red corporativa utilizando una herramienta diseñada específicamente para esta tarea.
Presentación que muestra como problemas de seguridad se aprovechan sitio s Web y se roban contraseñas. Se hace foco como desarrollar seguro. Como infraestructura resuelve problemas de desarrollo, como el WAF. El video de esta presentación disponible en https://www.youtube.com/watch?v=Jey0skoG0MU.
Introducción al Ransomware, tipos de ransomware y recomendaciones de como protegerse. Por otro lado se analizará la moneda que se usa para pagar las extorsiones, como el BITCOIN.
Este curso prepara al alumno a desplegar de manera segura MS Windows 10.1. A su vez indica como usar herramientas disponibles para el usuario y que son muy poco conocidas por las empresas. Este curso esta destinado aquellos administradores de red sobre todo en ambientes corporativos.
Este curso diseñado para ayudar a los desarrolladores a realizar código de software seguro, utilizando SDL y OWASP 2013. Se analizan modelos de riesgo para analizar si el código es o no seguro. Si desea recibir este curso puede contactarse en www.puntonetsoluciones.com.ar.
Contenido de Capacitación en el Evento "1 Hack Para los Chicos". Este evento sin fines de lucro, con la idea de ayudar a una organización que ayude a los niños, brinda conferencias de seguridad. Esta charla apunta a como protegerse del Ransomware. El soporte de esta charla pueden encontrarlo aqui: http://seguridadit.blogspot.com.ar/
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
4. Enrique Gustavo Dutra
✓ Socio Gerente de Punto Net Soluciones SRL
✓ MVP desde 2006, actualmente MVP Cloud and Datacenter Management
2019-2020
✓ 32 años de experiencia en Seguridad de la Información / Informática.
✓ Responsable del área de Seguridad en compañías que han tercerizado el
servicio en Punto Net Soluciones SRL.
✓ Lidera equipo que realiza unos 500 test de vulnerabilidad anuales.
✓ Miembro de IRAM Argentina, miembro del subcomité de Seguridad IT,
Evaluador Norma ISO/IEC 27005 y 27103.
✓ Instructor en CPCIPC de la ESAPI.
✓ Disertante en eventos en LATAM (ARG-UY-BRA)
✓ Lidera área Q&A de Seguridad en app moviles.
5. AGENDA
- ¿Qué es IoT?
- Amenazas a las plataformas
- Hacking básico
- Recomendaciones de OWASP 2018 IoT
7. ¿Qué es IoT? (Internet of Things)
✓ Es la red de objetos físicos que permite que
estos objetos se configuren, administren, usen,
recopilen e intercambien datos.
✓ Kevin Ashton definió en 1999 mientras trabajaba
en Auto-ID Labs con objetos de RFID.
✓ Se calcula que todo ser humano está rodeado, al
menos, por un total de aproximadamente 1000 a
5000 objetos.
10. Problemas Legales
✓ We-Vibe, transmitían información íntima como:
✓ la modalidad preferida,
✓ la duración e intensidad de su uso y
✓ la temperatura de los clientes registrados con
relación a tales juguetes sexuales.
Una verdadera BIG-DATA
11. Problemas Legales – Demandados.
✓ Case No. 1:16-cv-8655 – State
Illinois.
✓ Demandante N.P. presenta esta
demanda colectiva y demanda de
juicio por jurado contra el
Demandado Standard Innovation
(US) Corp.
12. Problemas Legales
✓ Violar la Ley de escuchas telefónicas;
✓ Estatuto de espionaje de Illinois y el negocio
fraudulento de consumidores y negocios
engañosos de Illinois
✓ Ley de Prácticas, y que constituyen Intrusión
sobre Aislamiento y Enriquecimiento Injusto;
13. Problemas Seguridad
¿Un hacker arruinando tu café?
Convirtieron la cafetera en una
máquina para minar bitcoin y usarla
como enlace para espiar a todos
los dispositivos conectados a
la misma red doméstica.
16. Ventajas y Desventajas de IoT
Ventajas
• Velocidad de análisis de datos.
• Facilidad de seguimiento.
• Ahorro de tiempo.
• Ahorro de dinero.
Desventajas
• Compatibilidad.
• Complejidad.
• Privacidad.
• Seguridad.
La realidad del IoT
17. Analizar Aspectos de Privacidad y Seguridad
(AAPS)
✓ Dispositivos integrado.
✓ Firmware, software y aplicaciones.
✓ Comunicaciones por radio.
18. Analizar Aspectos de Privacidad y Seguridad
(AAPS)
✓ Dispositivos integrado.
✓ Puertos serie expuestos.
✓ Mecanismo de autenticación inseguro utilizado en los
puertos seriales.
✓ Posibilidad de volcar el firmware sobre JTAG o
mediante chips Flash.
✓ Ataques externos basados en medios.
✓ Análisis de power y ataques secundarios.
19. Analizar Aspectos de Privacidad y Seguridad
(AAPS)
✓ Firmware, software y aplicaciones.
✓ Aplicaciones móviles.
✓ Dashboard sitios Web.
✓ Interfaces de redes inseguras.
✓ Firmware.
20. Analizar Aspectos de Privacidad y Seguridad
(AAPS)
✓ Comunicaciones por radio.
✓ Ataques de hombre en el medio (MiTM).
✓ Ataques basados en repetición.
✓ Verificación de verificación de redundancia cíclica insegura (CRC).
✓ Ataques basados en interferencias.
✓ Denegación de servicio (DoS).
✓ Falta de encriptación.
✓ Capacidad para extraer información confidencial de paquetes de
radio.
✓ Comunicación por radio en vivo intercepción y modificación.
22. Beneficios de un Intruso
DATOS RANSOMWARE
Eventos
maliciosos
Punto de Salto Investigar
23. Metodología de ataque a un IoT
✓ Phase 1: Reconocimiento
✓ Phase 2: Buscando vulnerabilidades
✓ Phase 3: Atacar
✓ Phase 4: Documentar acceso
✓ Phase 5: Mantener acceso
24. Metodología de ataque a un IoT
✓ Phase 1: Reconocimiento
✓ Shodan (https://www.shodan.io/)
✓ Ejemplo: Cámaras
✓ http://78.186.241.146:81/
✓ Ejemplo: Busybox
✓ Ejemplo: usando mapa
✓ Ejemplo: scada
✓ FING desde el celular.
25. Queres saber si tus dispositivos IoT
están en SHODAN?
https://iotscanner.bullguard.com/
26. Jugando con la red
✓ Phase 1: Reconocimiento
✓ Posicionarse en la misma red IP.
✓ Escanear IP´s.
✓ Usamos en el celular FING.
✓ Escanear Puertos.
✓ Usamos en el celular FING o Nmap y
buscamos puertos.
27. Jugando con el Chromecast
✓ Phase 2: Buscando vulnerabilidades
✓ Usamos OpenVas sobre la IP
✓ Revisamos vulnerabilidades.
✓ Phase 3: Atacar
✓ Usamos metasploit
✓ Usamos exploit que vulneran dispositivo.
✓ Killcast
28. Para esto que necesitamos?
1) Entrar a la red WIFI.
2) Tener las herramientas
para vulnerar (HW & SW)
3) Conocer de protocolos y
vulnerabilidades.
30. Analizamos una APK
1) Caso Smart Life (SmartLife.apk)
✓ Típica aplicación para administrar IoT.
✓ Analizamos el APK com MobSF.
2) Caso We-Connect (WeVibe.apk)
✓ Aplicación para uso personal íntimo.
✓ Analizamos el APK com MobSF.
32. OWASP IoT Top 10 2018
https://azure.microsoft.com/en-us/overview/internet-of-things-iot/iot-security-cybersecurity/
33. OWASP IoT Top 10 2018
1. Contraseñas débiles, predecibles o dentro del código
2. Servicios de red inseguros
3. Ecosistema de interfaces inseguros
4. Falta de mecanismos de actualización seguros
5. Uso de componentes poco seguros o anticuados
6. Insuficiente protección a la privacidad
7. Transferencia y almacenamiento de datos de manera poco seguro
8. Falta de controles de gestión
9. Configuración poco segura por defecto
10. Falta de hardening
https://www.owasp.org/index.php/IoT_Security_Guidance
Recomendaciones para:
Manufacturer IoT Security Guidance
Consumer IoT Security Guidance
Developer IoT Security Guidance
Tester IoT Security Guidance