Este documento describe varios aspectos relacionados con la seguridad en dispositivos móviles. Explica el modelo de permisos en Android e iOS, cómo funciona la seguridad en aplicaciones móviles y cómo prevenir y detectar malware. También cubre temas como el phishing en aplicaciones, los principales riesgos, las buenas prácticas de desarrollo seguro y la seguridad en entornos corporativos mediante BYOD y MDM. El documento proporciona una visión general completa de la seguridad en dispositivos móviles
Charla impartida por Carlos Alberto Escolá, del Centro de Innovación en Movilidad de Microsot, en el Curso de Seguidad Informatica de la Universidad de Salamana 2009.
Esta presentación la hice en Marzo del 2009 (aprox) para algunas universidades del Capítulo IEEE de Colombia. Inicialmente la llamé "Cuando los aparatos ATACAN", pero le cambié el nombre por algo mas formal. Trata sobre aquellos dispositivos móviles como en el tiempo se han vuelto una amenaza latente...
Charla impartida por Carlos Alberto Escolá, del Centro de Innovación en Movilidad de Microsot, en el Curso de Seguidad Informatica de la Universidad de Salamana 2009.
Esta presentación la hice en Marzo del 2009 (aprox) para algunas universidades del Capítulo IEEE de Colombia. Inicialmente la llamé "Cuando los aparatos ATACAN", pero le cambié el nombre por algo mas formal. Trata sobre aquellos dispositivos móviles como en el tiempo se han vuelto una amenaza latente...
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
The OWASP Foundation (Open Web Application Security Project) is a global non-profit organization that seeks to create an open community dedicated to the development and maintenance of reliable and secure applications.
One of OWASP's most well-known assets is the “OWASP Top 10”, a best practice guide developed with broad consensus with companies specializing in application security and containing the 10 most common flaws in web application security.
During the presentation, the 10 vulnerabilities included in the latest version of the 2017 guide are introduced, as well as techniques to detect and prevent them.
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
Expositor: Enrique Dutra
CONTENIDO DEL WEBINAR
Situación actual. Exposición de los servicios y datos a Internet.
De la PC al Celular.
Celulares y las aplicaciones.
Aplicaciones infectadas en 2019.
Nomofobia: miedo de perder el celular.
Desarrollos sin calidad de "seguro".
Arquitectura Android. Plataforma con mayor difusión.
Distribución de Android.
Arquitectura Android.
Android: Algunos puntos débiles.
Evaluando una aplicación móvil. Apostar a la calidad de seguro también es calidad.
Análisis aplicaciones móviles.
Análisis estático.
Análisis dinámico.
¿Cómo podemos testear?
MobSF
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSCristian Garcia G.
La seguridad empresarial se enfoca en salvaguardar su información para evitar que los hackers penetren la red y accedan a los datos.
Aunque este es un buen comienzo, las organizaciones a menudo de manera ingenua pasan por alto los peligros de robo de datos iniciado por un empleado interno.
En la presentación mostrara las fallas comunes de seguridad internas y mostrara como mitigar y prevenir los riesgos de acceso a los datos de su compañía.
Según curso de Seguridad Informática, dispositivos que detectado como JS_JITON, este JavaScript se puede descargar si los usuarios están accediendo a sitios web comprometidos a través de sus ordenadores o dispositivos móviles.
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
Analizando la seguridad en aplicaciones móviles por Enrique Dutra
Sobre la charla:
Dado la cantidad de aplicaciones que se generan día a día y que por cuestiones de negocio o marketing, las mismas deben ser publicadas a Internet, les explicaremos a la audiencia, como usando las buenas prácticas de OWASP puede evaluarse una aplicación Web o móvil, para luego tener los elementos para asegurar las aplicaciones. Muy pocas personas conocen este lado de OWASP y desconocen que hay aplicaciones gratuitas que permiten trabajar en entornos seguros de las aplicaciones móviles.
Sobre Enrique:
Posee en sociedad una consultora que brinda soporte y consultoría en Seguridad Informática, Consultoría en ISO/IEC 27001, Soporte/Proyectos en plataforma Microsoft /Vmware y de Seguridad Informática ,de la Información y Ciberseguridad.
Ha realizado implementaciones de productos Microsoft en empresas pequeñas, medianas y grandes (más de 2000 Pc). También ha participado en proyectos de gran envergadura de productos Ms Exchange 2003 a 2016, ISA Server y Forefront TMG 2010, Terminal Server y migraciones de MS Windows 2003 a 2016; System Center Operation Manager y Sharepoint.
Llevó a cabo implementaciones exitosas de firewall Fortigate / Checkpoint de manera separada o en cluster. Brinda servicio de Soporte y Seguridad Administrada en plataforma de Seguridad.
Brinda asesoramiento sobre seguridad y normalización en estándares COBIT, SOX,PCI, ISO 20000 y 27001 e ITIL. Más de 30 años realizando Test de Vulnerabilidad, Test de Penetración en redes LAN, DMZ y WAN.
Consultado como Perito Informático en juicios laborales.
Migración de plataformas a Cloud.
Miembro de Criptored, INETA, Internet Security e ISACA.
Disertante en eventos de Microsoft & IBM.
Premiado como MVP Windows Security año 2006, 2007 y 2008.
Premiado como MVP Enterprise Security 2009, 2010, 2011, 2012, 2013 y 2014.
Premiado como MVP Cloud and Datacenter Management 2015, 2016 ,2017/2018 y 2018/2019.
Certificó como Auditor Lider ISO/IEC 27001 by BSI.
MCT dell 1999 al 2013.
Autor de carreras de Seguridad, MSIO y Forefront para el MVA de Microsoft.
Capacitaciones a medida de COBIT 5.0, ISO/IEC 27001 e ITIL o ISO 20000:2005.
Consultor certificado en Security IBM, MCafee y Checkpoint.
Invitado regularmente por programas de TV para analizar cuestiones de seguridad en Internet.
Experto en análisis e implementación de mitigaciones para malware Ransomware.
Experiencia en manejo de casos de grooming y sexting.
Premiado 2018 CYBERSECURITY PROFESSIONAL AWARDS LATAM
Charla: Análisis Forense de Dispositivos Android, impartida por Antonio Díaz de Informática 64 para el curso de Especialización en Dispositivos Móviles que tuvo lugar en la Facultad de Informática de la Universidad de A Coruña del 20 al 22 de Junio de 2012. Diapositivas 1/3.
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
The OWASP Foundation (Open Web Application Security Project) is a global non-profit organization that seeks to create an open community dedicated to the development and maintenance of reliable and secure applications.
One of OWASP's most well-known assets is the “OWASP Top 10”, a best practice guide developed with broad consensus with companies specializing in application security and containing the 10 most common flaws in web application security.
During the presentation, the 10 vulnerabilities included in the latest version of the 2017 guide are introduced, as well as techniques to detect and prevent them.
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
Expositor: Enrique Dutra
CONTENIDO DEL WEBINAR
Situación actual. Exposición de los servicios y datos a Internet.
De la PC al Celular.
Celulares y las aplicaciones.
Aplicaciones infectadas en 2019.
Nomofobia: miedo de perder el celular.
Desarrollos sin calidad de "seguro".
Arquitectura Android. Plataforma con mayor difusión.
Distribución de Android.
Arquitectura Android.
Android: Algunos puntos débiles.
Evaluando una aplicación móvil. Apostar a la calidad de seguro también es calidad.
Análisis aplicaciones móviles.
Análisis estático.
Análisis dinámico.
¿Cómo podemos testear?
MobSF
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSCristian Garcia G.
La seguridad empresarial se enfoca en salvaguardar su información para evitar que los hackers penetren la red y accedan a los datos.
Aunque este es un buen comienzo, las organizaciones a menudo de manera ingenua pasan por alto los peligros de robo de datos iniciado por un empleado interno.
En la presentación mostrara las fallas comunes de seguridad internas y mostrara como mitigar y prevenir los riesgos de acceso a los datos de su compañía.
Según curso de Seguridad Informática, dispositivos que detectado como JS_JITON, este JavaScript se puede descargar si los usuarios están accediendo a sitios web comprometidos a través de sus ordenadores o dispositivos móviles.
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
Analizando la seguridad en aplicaciones móviles por Enrique Dutra
Sobre la charla:
Dado la cantidad de aplicaciones que se generan día a día y que por cuestiones de negocio o marketing, las mismas deben ser publicadas a Internet, les explicaremos a la audiencia, como usando las buenas prácticas de OWASP puede evaluarse una aplicación Web o móvil, para luego tener los elementos para asegurar las aplicaciones. Muy pocas personas conocen este lado de OWASP y desconocen que hay aplicaciones gratuitas que permiten trabajar en entornos seguros de las aplicaciones móviles.
Sobre Enrique:
Posee en sociedad una consultora que brinda soporte y consultoría en Seguridad Informática, Consultoría en ISO/IEC 27001, Soporte/Proyectos en plataforma Microsoft /Vmware y de Seguridad Informática ,de la Información y Ciberseguridad.
Ha realizado implementaciones de productos Microsoft en empresas pequeñas, medianas y grandes (más de 2000 Pc). También ha participado en proyectos de gran envergadura de productos Ms Exchange 2003 a 2016, ISA Server y Forefront TMG 2010, Terminal Server y migraciones de MS Windows 2003 a 2016; System Center Operation Manager y Sharepoint.
Llevó a cabo implementaciones exitosas de firewall Fortigate / Checkpoint de manera separada o en cluster. Brinda servicio de Soporte y Seguridad Administrada en plataforma de Seguridad.
Brinda asesoramiento sobre seguridad y normalización en estándares COBIT, SOX,PCI, ISO 20000 y 27001 e ITIL. Más de 30 años realizando Test de Vulnerabilidad, Test de Penetración en redes LAN, DMZ y WAN.
Consultado como Perito Informático en juicios laborales.
Migración de plataformas a Cloud.
Miembro de Criptored, INETA, Internet Security e ISACA.
Disertante en eventos de Microsoft & IBM.
Premiado como MVP Windows Security año 2006, 2007 y 2008.
Premiado como MVP Enterprise Security 2009, 2010, 2011, 2012, 2013 y 2014.
Premiado como MVP Cloud and Datacenter Management 2015, 2016 ,2017/2018 y 2018/2019.
Certificó como Auditor Lider ISO/IEC 27001 by BSI.
MCT dell 1999 al 2013.
Autor de carreras de Seguridad, MSIO y Forefront para el MVA de Microsoft.
Capacitaciones a medida de COBIT 5.0, ISO/IEC 27001 e ITIL o ISO 20000:2005.
Consultor certificado en Security IBM, MCafee y Checkpoint.
Invitado regularmente por programas de TV para analizar cuestiones de seguridad en Internet.
Experto en análisis e implementación de mitigaciones para malware Ransomware.
Experiencia en manejo de casos de grooming y sexting.
Premiado 2018 CYBERSECURITY PROFESSIONAL AWARDS LATAM
Charla: Análisis Forense de Dispositivos Android, impartida por Antonio Díaz de Informática 64 para el curso de Especialización en Dispositivos Móviles que tuvo lugar en la Facultad de Informática de la Universidad de A Coruña del 20 al 22 de Junio de 2012. Diapositivas 1/3.
Charla: Lo que las Apps esconden, impartida por Simón Roses de Vulnex para el curso de Especialización en Dispositivos Móviles que tuvo lugar en la Facultad de Informática de la Universidad de A Coruña del 20 al 22 de Junio de 2012.
***Proyecto PAPIIT IN102210***
UNAM. Facultad de Ingeniería.
Integrantes:
JUAN JOSE CARREON
J. ULISES GONZALEZ MEDINA
ANA LAURA GARCÍA ACOSTA
OMAR SIBAJA BAUTISTA
ROBERTO SOSA HIGAREDA
Se describe el avance del Phishing como amenaza Internacional en computadoras y móviles. Se explica el Protocolo de Segu-Info para luchar contra el Phishing.
Herramientas de benchmarks para evaluar el rendimiento en máquinas y aplicaci...Jose Manuel Ortega Candel
Los benchmarks son programas que permiten evaluar el rendimiento de un sistema, componente o proceso en comparación con otros sistemas similares. Son herramientas esenciales para medir y comparar el rendimiento de hardware, software y sistemas en diferentes áreas. El objetivo es dar a conocer las principales herramientas de benchmark que disponemos hoy en día para medir el rendimiento.
Entre los puntos a tratar podemos destacar:
-Introducción a Benchmarks: Definición y propósito de los benchmarks en la medición del rendimiento
-Tipos de Benchmarks: Benchmarks sintéticos vs. Benchmarks del mundo real.Benchmarks específicos para CPU, memoria, almacenamiento, y gráficos
-Selección de Benchmarks: Consideraciones al elegir benchmarks según el tipo de aplicación y los objetivos de evaluación
En el mundo actual, las APIs juegan un papel importante en la creación de aplicaciones y servicios robustos y flexibles. Sin embargo, con la expansión de las APIs, también surge la necesidad de abordar los desafíos de seguridad asociados.
En esta charla, exploraremos en detalle el OWASP Top 10 de Seguridad en APIs, una lista de las principales vulnerabilidades que los desarrolladores y equipos de seguridad deben tener en cuenta al diseñar, desarrollar y asegurar sus APIs. Por último, comentaremos las mejores prácticas para mitigar los riesgos y garantizar la seguridad de tus APIs. Entre los puntos a tratar podemos destacar:
1.Introducir el concepto de seguridad en las APIs
2.OWASP Top 10 y su importancia para la seguridad en APIs
3.Actualización del OWASP Top 10 security en 2023
4.Herramientas para evaluar y mejorar la seguridad de tus APIs.
5.Estrategias y mejores prácticas para garantizar la seguridad de tus APIs.
La seguridad en aplicaciones web es un aspecto fundamental para garantizar la protección de los datos y la confidencialidad de los usuarios. Si nuestro objetivo es aprender como Django gestiona la seguridad, PyGoat es una aplicación desarrollada con Django vulnerable de forma intencionada que puede ser utilizada para aprender a asegurar nuestras aplicaciones Django.
En esta charla, analizamos como Django gestiona la seguridad utilizando la aplicación vulnerable Pygoat, identificando los problemas de seguridad subyacentes. Aprenderemos sobre vulnerabilidades de seguridad comunes como las que aparecen en el OWASP Top 10 en aplicaciones Django y cómo solucionarlas para que podamos mantener nuestras aplicaciones a salvo de atacantes.
Entre los puntos a tratar podemos destacar:
Introducción a la seguridad en aplicaciones Django
Pygoat como ejemplo de aplicación vulnerable
Vulnerabilidades OWASP top 10 y mitigación
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...Jose Manuel Ortega Candel
En la actualidad, la tecnología blockchain y los smart contracts están revolucionando la forma en que interactuamos con la información y realizamos transacciones. Sin embargo, esta innovación no está exenta de desafíos en cuanto a la ciberseguridad se refiere. En esta charla, exploraremos los desafíos desde el punto de vista de la ciberseguridad en blockchain y smart contracts, así como las soluciones y enfoques para mitigar los riesgos asociados. A medida que continuamos adoptando estas tecnologías disruptivas, es fundamental comprender y abordar adecuadamente los aspectos de seguridad para minimizar los posibles riesgos. Entre los puntos a tratar podemos destacar:
1. Fundamentos de Blockchain y Smart Contracts 2. Desafíos de Seguridad en Blockchain 3. Seguridad en Smart Contracts 4. Auditorías y Pruebas de Seguridad en smart contracts
In the latest versions of K8s there has been an evolution regarding the definition of security strategies at the level of access policies to the cluster by users and developers. The security contexts (securityContext) allow you to define the configurations at the level of access control and privileges for a pod or container in a simple way using keywords in the configuration files.
To facilitate the implementation of these security strategies throughout the cluster, new strategies have emerged such as the Pod Security Policy (PSP) where the cluster administrator is in charge of defining these policies at the cluster level with the aim that developers can follow these policies.
Other interesting projects include Open Policy Agent (OPA) as the main cloud-native authorization policy agent for creating policies and managing user permissions for access to applications.
The objective of this talk is to present the evolution that has occurred in security strategies and how we could use them together, as well as analyze their behavior in accessing resources. Among the points to be discussed we can highlight:
-Introduction to security strategies in K8s environments
-Pod Security Admission(PSA) vs Open Policy Agent (OPA)
-Combination of different security strategies together
-Access to resources in privileged and non-privileged mode
In the latest versions of K8s there has been an evolution regarding the definition of security strategies at the level of access policies to the cluster by users and developers. The security contexts (securityContext) allow you to define the configurations at the level of access control and privileges for a pod or container in a simple way using keywords in the configuration files.
To facilitate the implementation of these security strategies throughout the cluster, new strategies have emerged such as the Pod Security Policy (PSP) where the cluster administrator is in charge of defining these policies at the cluster level with the aim that developers can follow these policies.
Other interesting projects include Open Policy Agent (OPA) as the main cloud-native authorization policy agent for creating policies and managing user permissions for access to applications.
The objective of this talk is to present the evolution that has occurred in security strategies and how we could use them together, as well as analyze their behavior in accessing resources. Among the points to be discussed we can highlight:
*Introduction to security strategies in K8s environments
*Pod Security Admission(PSA) vs Open Policy Agent (OPA)
*Combination of different security strategies together
*Access to resources in privileged and non-privileged mode
No production system is complete without a way to monitor it. In software, we define observability as the ability to understand how our system is performing. This talk dives into capabilities and tools that are recommended for implementing observability when running K8s in production as the main platform today for deploying and maintaining containers with cloud-native solutions.
We start by introducing the concept of observability in the context of distributed systems such as K8s and the difference with monitoring. We continue by reviewing the observability stack in K8s and the main functionalities. Finally, we will review the tools K8s provides for monitoring and logging, and get metrics from applications and infrastructure.
Between the points to be discussed we can highlight:
-Introducing the concept of observability
-Observability stack in K8s
-Tools and apps for implementing Kubernetes observability
-Integrating Prometheus with OpenMetrics
La computación distribuída es un nuevo modelo de computación que surgió con el objetivo de resolver problemas de computación masiva donde diferentes máquinas trabajan en paralelo formando un clúster de computación.
En los últimos años han surgido diferentes frameworks como Apache Hadoop, Apache Spark y Apache Flink que permiten resolver este tipo de problemas donde tenemos datos masivos desde diferentes fuentes de datos.
Dentro del ecosistema de Python podemos destacar las librerías de Pyspark y Dask de código abierto que permiten la ejecución de tareas de forma paralela y distribuida en Python.
Entre los puntos a tratar podemos destacar:
Introducción a la computación distribuida
Comparando tecnologías de computación distribuida
Frameworks y módulos en Python para computación distribuida
Casos de uso en proyectos Big Data
En los últimos años, las arquitecturas cloud han evolucionado a un modelo serverless que trae como principales ventajas la posibilidad de ejecutar código sin aprovisionar ni administrar servidores. Este tipo de arquitecturas permite ejecutar el código en una infraestructura con alta disponibilidad y escalado automático, así como capacidades de monitorización de forma automática. Sin embargo, estos tipos de arquitecturas introducen un conjunto completamente nuevo de implicaciones de seguridad que deben tenerse en cuenta al crear sus aplicaciones.
El OWASP Serverless Top 10 es una excelente referencia para conocer los posibles riesgos de seguridad y las consecuencias de implementar una arquitectura serverless, así como también cómo mitigarlos.
En esta charla se analizará el estado actual de la seguridad en arquitecturas serverless, los principales riesgos y cómo podríamos mitigarlos de una forma sencilla. Entre los puntos a tratar podemos destacar:
-Introducción a las arquitecturas serverless
-Seguridad en arquitecturas serverless y OWASP Serverless Top 10
-Pentesting sobre aplicaciones serverless
-Mejoras prácticas de seguridad al trabajar en entornos cloud
La adopción de arquitecturas basadas en microservicios ha crecido de manera exponencial en los últimos años. Cuando se trata de obtener la máxima seguridad utilizamos lo que se denomina arquitecturas de “confianza cero” (zero trust architecture). Las arquitecturas de este tipo establecen mecanismos de autenticación y autorización entre nuestros propios microservicios, aumentando de esta manera la seguridad en entornos altamente regulados.
El objetivo de esta charla es dar a conocer los principios básicos para construir aplicaciones utilizando arquitecturas zero trust y algunas herramientas para realizar auditorías de seguridad en entornos cloud. Entre los puntos a tratar podemos destacar:
Introducción a DevSecOps y modelado de amenazas
Modelo de confianza cero(zero trust) en la nube
Mejoras prácticas a nivel de permisos y estrategias de seguridad al trabajar en entornos cloud
Herramientas de análisis orientadas al pentesting en entornos cloud
Python has become the most widely used language for machine learning and data science projects due to its simplicity and versatility.
Furthermore, developers get to put all their effort into solving an Machine Learning or data science problem instead of focusing on the technical aspects of the language.
For this purpose, Python provides access to great libraries and frameworks for AI and machine learning (ML), flexibility and platform independence
In this talk I will try to get a selection of libraries and frameworks that can help us introduce in the Machine Learning world and answer the question that all people is doing, What makes Python the best programming language for machine learning?
In this talk I will show how to save secret keys in Docker containers and K8s in production and best practices for saving and securing distribution of secrets. With Docker and k8s secrets we can manage information related to keys that are needed at runtime but cannot be exposed in the Docker image or source code repository. These could be the main talking points:
1.Challenges of security and secret keys in containers
2.Best practices for saving and securing distribution of secrets in Docker Containers
3.Managing secrets in Kubernetes using volumes and sealed-secrets
4.Other tools for distributing secrets in containers like Hashicorp Vault and KeyWhiz
One of the best practices from a security point of view is to introduce the management of the certificates that we are going to use to support protocols such as SSL / TLS. In this talk we will explain cert-manager and his implementation in K8s as a native Kubernetes certificate management controller that allows us to manage connection certificates and secure communications through SSL/TLS protocols. Later I will explain the main functionalities and advantages that cert-manager provides, for example it allows us to validate that the certificates we are using in different environments are correct. Finally, some use cases are studied in which to use cert-manager and the integration with other services such as Let's Encrypt or HashiCorp Vault.
Python se ha convertido en el lenguaje más usado para desarrollar herramientas dentro del ámbito de la seguridad. Esta charla se centrará en las diferentes formas en que un analista puede aprovechar el lenguaje de programación Python tanto desde el punto de vista defensivo como ofensivo.
Desde el punto de vista defensivo Python es una de las mejores opciones como herramienta de pentesting por la gran cantidad de módulos que nos pueden ayudar a desarrollar nuestras propias herramientas con el objetivo de realizar un análisis de nuestro objetivo.
Desde el punto de vista ofensivo podemos utilizar Python para recolección de información de nuestro objetivo de forma pasiva y activa. El objetivo final es obtener el máximo conocimiento posible en el contexto que estamos auditando. Entre los principales puntos a tratar podemos destacar:
1.Introducción a Python para proyectos de ciberseguridad(5 min)
2.Herramientas de pentesting(10 min)
3.Herramientas Python desde el punto de vista defensivo(10 min)
4.Herramientas Python desde el punto de vista ofensivo(10 min)
Python se ha convertido en el lenguaje más usado para desarrollar herramientas dentro del ámbito de la seguridad. Esta charla se centrará en las diferentes formas en que un analista puede aprovechar el lenguaje de programación Python tanto desde el punto de vista defensivo como ofensivo.
Desde el punto de vista defensivo Python es una de las mejores opciones como herramienta de pentesting por la gran cantidad de módulos que nos pueden ayudar a desarrollar nuestras propias herramientas con el objetivo de realizar un análisis de nuestro objetivo.
Desde el punto de vista ofensivo podemos utilizar Python para recolección de información de nuestro objetivo de forma pasiva y activa. El objetivo final es obtener el máximo conocimiento posible en el contexto que estamos auditando. Entre los principales puntos a tratar podemos destacar:
1.Introducción a Python para proyectos de ciberseguridad(5 min)
2.Herramientas de pentesting(10 min)
3.Herramientas Python desde el punto de vista defensivo(10 min)
4.Herramientas Python desde el punto de vista ofensivo(10 min)
Shodan es una de las plataformas de hacking más utilizadas en todo el mundo que nos brinda un completo motor de búsqueda avanzado desde el que podemos encontrar cualquier dispositivo conectado a la red junto con sus servicios activos, puertos abiertos y posibles vulnerabilidades.
En esta charla mostraremos las principales herramientas que podemos utilizar para maximizar nuestras búsquedas en Shodan, así como desarrollar nuestros propios scripts con python para automatizar las búsquedas.
Entre los puntos a tratar podemos destacar:
-Filtros y búsquedas personalizadas en Shodan
-Detectando vulnerabilidades con Shodan
-Buscar bases de datos abiertas en Shodan
-Shodan desde lineas de comandos con ShodanCLI
La charla trataría sobre cómo usar el stack Elasticsearch, Logstash y Kibana (ELK) para respuestas ante incidentes, monitorización de logs y otras tareas relacionadas con los equipos blue team. Por ejemplo, podríamos analizar los registros basados en autenticación y eventos del sistema operativo.
Entre los puntos a tratar podemos destacar:
-Introducción al estándar ELK y cómo nos puede ayudar para crear nuestro laboratorio de análisis.
-Comentar las diferentes fuentes de datos que podríamos usar (eventos del sistema operativo, capturas de red).
-Indexación y búsqueda de datos en ElasticSearch.
-Recopilación y manipulación de datos con LogStash.
-Creación de dashboards con Kibana.
-Ejemplo de aplicación para alertar sobre eventos basados en la autenticación en el sistema operativo.
The world is advancing towards accelerated deployments using DevOps and cloud native technologies. In architectures based on microservices, container monitoring and management become even more important as we need to scale our application.
In this talk, I will show how to monitor and manage docker containers to manage the status of your applications. We will review how to monitor for security events using open source solutions to build an actionable monitoring system for Docker and Kubernetes.
Through a web interface, tools such as cadvisor, portainer and rancher give us a global overview of the containers you are running as well as facilitate their management.
These could be the main points to discuss:
Challenges in containers and architectures distributed from the point of view of monitoring and administration
Most important metrics that we can use to measure container performance.
Tools for monitoring and management of containers such as cadvisor, sysdig and portainer
Rancher as a platform for the administration of Kubernetes
In this talk I will try explain the memory internals of Python and discover how it handles memory management and object creation.
The idea is explain how objects are created and deleted in Python and how garbage collector(gc) functions to automatically release memory when the object taking the space is no longer in use.
I will review the main mechanims for memory allocation and how the garbage collector works in conjunction with the memory manager for reference counting of the python objects.
Finally, I will comment the best practices for memory managment such as writing efficient code in python scripts.
In this talk I will speak about main tips for integrating Security into DevOps. I will share my knowledge and experience and help people learn to focus more on DevOps Security. In addition to the so-called best practices, the development of efficient, readable, scalable and secure code, requires the right tools for security development.
These could be the main talking points:
-How to integrate security into iteration and pipeline application development with containers.
-How to secure development environments.
-DevOps security best practices
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
7. Agenda
• Modelo de permisos en Android e iOS
• Seguridad en aplicaciones
• Prevención y detección de malware
• Phishing en aplicaciones móviles
• Riesgos en aplicaciones móviles
• Buenas prácticas de desarrollo seguro
• Seguridad en la empresa mediante BYOD y MDM
• Conclusiones
8. Modelo de permisos
iOS Android
Requerido cuando primero sea
necesario
Se solicitan al instalar
Denegar permisos en cualquier
momento
No se pueden denegar permisos
(de forma oficial)
Sí a través de aplicaciones de terceros
9. Permisos en Android
Normal De bajo Riesgo para el usuario
ACCESS_NETWORK_STATE
Dangerous De mayor riesgo para el usuario,pudiendo incluso
acceder a información privada
CAMERA,CONTACTS
Signature Si dos aplicaciones están firmadas con el mismo
certificado, se les concede el acceso a los datos
de la otra
SignatureOrSystem Uso especial cuando varias aplicaciones
necesitan compartir características específicas
11. Permisos dangerous
50% de los usuarios de Android tienen una aplicación con los
siguientes permisos:
android.permission.ACCESS_FINE_LOCATION
android.permission.INTERNET
android.permission.READ_SMS
android.permission.RECORD_AUDIO
android.permission.CAMERA
android.permission.READ_CALL_LOG
android.permission.RECEIVE_BOOT_COMPLETED
17. Agenda
• Modelo de permisos en Android e iOS
• Seguridad en aplicaciones
• Prevención y detección de malware
• Phishing en aplicaciones móviles
• Riesgos en aplicaciones móviles
• Buenas prácticas de desarrollo seguro
• Seguridad en la empresa mediante BYOD y MDM
• Conclusiones
18. SandBox
• Cada aplicación se ejecuta en su propio contexto de
ejecución
• El objetivo es proteger las aplicaciones unas de otras
a nivel de acceso a datos y permisos
• Por defecto las aplicaciones no pueden interactuar
entre sí y poseen un acceso limitado al sistema
operativo.
• Si una aplicación trata de invadir el espacio asignado
a otra aplicación el sistema operativo se encarga de
evitarlo.
21. Seguridad en Android
• Las aplicaciones son firmadas con certificados
autofirmados por desarrolladores.
• Permisos personalizadosRiesgo para la
privacidad
• Controles de seguridad de Google play
(“Bouncer”) deberían ser más exhaustivos para
la detección de malware
25. JailBreak en iOS
Cydia
JailbreakME(versiones antiguas hasta la 5)
Evasion(iOS version>=6)
http://evasi0n.com
Pangu(Windows,Mac)
http://en.pangu.io
Redsnow, SnowBreeze(reinstala iOS)
26. Android Rooting
• Permite obtener control de superusuario en el
subsistema
• El proceso consiste en explotar alguna vulnerabilidad
en el firmware del dispositivo y copiar el binario de
superusuario
27. Android Rooting
• ¿Qué cosas se pueden hacer cuando eres root?
Instalar ROMS
Eliminar las aplicaciones que vienen por defecto instaladas
Acceso a bajo nivel al hardware
Acceder a apps instaladas
Instalar aplicaciones en la SDCARD
• Riesgos
Pérdida de garantía
Nos exponemos a ataques de malware
Brick
30. Agenda
• Modelo de permisos en Android e iOS
• Seguridad en aplicaciones
• Prevención y detección de malware
• Phishing en aplicaciones móviles
• Riesgos en aplicaciones móviles
• Buenas prácticas de desarrollo seguro
• Seguridad en la empresa mediante BYOD y MDM
• Conclusiones
33. Malware en Android
• 99% del malware para plataformas
móviles está orientado a Android
• Controles de seguridad en Google
play no son sufucientes
• Aplicaciones que no son del market
oficial suponen un riesgo para el
usuario
35. Recomendaciones
Instalar de orígenes conocidos
Comprobar los permisos antes de
instalar/actualizar
Revisar comentarios de los usuarios
Deshabilitar conexión automática a redes Wifi y
evitar conectarnos a redes Free.
38. Recomendaciones
Evitar aplicaciones que no sean de markets
oficiales
No aceptar mensajes o archivos vía Bluetooth por parte
de desconocidos.
No instalar aplicaciones sin haber verificado su
procedencia, especialmente si no están firmadas.
En caso de hacer jailbreak a tu iPhone, cambia la
contraseña de superusuario.
Si tienes un Android rooteado, instala Superuser
para que toda aplicación solicite permiso.
Instala programas antivirus /antimalware móvil para tu
plataforma.
39. Aplicaciones maliciosas
Suscripción a SMS
premium
Seguimiento de
ubicaciones del
dispositivo
Robo de
información
personal
Grabación de
audio/video
Simulaciones de
aplicaciones:FakeAV
55. Análisis en la nube
http://tracedroid.few.vu.nl
• Análisis online de peticiones
de red,llamadas,sms
• También realiza un análisis
estático y de cobertura de
código
• Está orientada a detección de
malware
56. Agenda
• Modelo de permisos en Android e iOS
• Seguridad en aplicaciones
• Prevención y detección de malware
• Phishing en aplicaciones móviles
• Riesgos en aplicaciones móviles
• Buenas prácticas de desarrollo seguro
• Seguridad en la empresa mediante BYOD y MDM
• Conclusiones
57. Ataques de ingeniería social
• Phising
Estafa que mediante ingeniería social pretende obtener
información de una victima de forma fraudulenta.
El estafador envía un email a la victima haciéndose pasar por
una organización legitima.
En este email se insta a la victima a acceder a un enlace
adjunto e introducir sus datos con el fin de confirmar su
cuenta, recibir dinero, haber ganado un concurso.
El enlace dirige a una aplicación web controlada por el
estafador y similar a la de la organización suplantada.
La victima accede a la aplicación web del enlace e introduce
en ella los datos solicitados.
La aplicación web envía los datos introducidos al estafador.
59. Ataques de ingeniería social
Particularidades del navegador en el dispositivo:
Aprovechan las características del navegador de los dispositivos móviles
para realizar Phishing
UrlSpoofingAtack:
Aprovechan que solo se muestra el inicio de la url en el navegador
Phising con nombres de subdominio legítimos
UISpoofingSafari:
Ciertas versiones de Safari ocultan la pestaña de navegación tras cargar una
página.
Aprovechando lo anterior mediante la inserción de una imagen,se puede
hacer creer al usuario que se encuentra en un dominio legitimo.
60. Agenda
• Modelo de permisos en Android e iOS
• Seguridad en aplicaciones
• Prevención y detección de malware
• Phishing en aplicaciones móviles
• Riesgos en aplicaciones móviles
• Buenas prácticas de desarrollo seguro
• Seguridad en la empresa mediante BYOD y MDM
• Conclusiones
63. OWASP Mobile Project
• OWASP inició en 2010 un proyecto de seguridad móvil
• Objetivo: Proporcionar a desarrolladores y profesionales de
seguridad recursos para asegurar aplicaciones móviles
• Hitos:
OWASP Top 10 riesgos móviles
Guías de desarrollo y pruebas de seguridad
Proyecto OWASP GoatDroid
https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
65. OWASP Mobile Top 10 Risks
1-
Almacenamient
o de datos
inseguro
2- Controles
débiles en el
lado del
servidor
3- Protección
insuficiente en la
capa de
transporte
4- Inyección en
el lado del
cliente
5- Sistema
pobre de
autenticación y
autorización
6- Gestión
inadecuada de
la sesión
7- Decisiones de
seguridad a
partir de
entradas
inseguras
8- Canal lateral
de fuga de datos
9- Rotura de la
criptografía
10- Divulgación
de información
confidencial
66. Riesgos
• Tienda de aplicaciones(appstore)
• Permisos de las aplicaciones
• Malware móvil
• App sandboxingJailBreaking /Rooting
• Cifrado de dispositivo y aplicaciones
• Actualizaciones del sistema y aplicaciones
• Problemas de privacidad(Geolocalización)
• Seguridad de las comunicaciones
• Robo del dispositivo
67. JailBreak/Root Risks
• Las aplicaciones pueden acceder a la capas más bajas
del sistema
• Se podría acceder a datos sensibles de aplicaciones que
tengas instaladas(gmail,evernote)
68. Factores de riesgo
• Permisos en androidManifest.xml
• Verificar la firma de la aplicación
• Origen de la aplicación
• Dispositivo rooteado
• Depuración habilitada en androidManifest
• Ayuda a un atacante a aprender el
funcionamiento de la App
70. Permisos
• Usuario: Aplicar sentido común
• Desarrollador: No abusar de la solicitud
de permisos (overprivileged)
• Principio de mínimo privilegio
71. Permisos
Minimizar el número de permisos que se piden
33% aplicaciones piden más permisos de los necesarios
¿Es necesario android.permission.CAMERA?
73. Almacenamiento en Android
• Ficheros
o Almacenamiento interno
o Almacenamiento externo(SDCARD)
• Base de datos SQLite
• Preferencias de usuario(Shared Preferences)
• Web Cache
75. Ficheros SQLite
• Caché y consultas offline por parte de las aplicaciones
• Gmail almacena la información de emails para acceder
cuando el usuario no tiene conexión
• BD muy rápida que no requiere config
• No soporta encriptación
77. Vectores de ataque
• Manipulación de datos:
Modificación por otra aplicación
JailBreak /root del dispositivo
• Pérdida de datos:
Pérdida del dispositivo
Intento de acceder de forma física
• Malware:
Virus y rootkits
78. Amenazas
Amenazas basadas en aplicaciones
• Malware /• Spyware
• Amenazas de privacidad
• Vulnerabilidades en aplicaciones
Amenazas basadas en la web
• Phishing
• Drive-by-downloads
• Exploits en navegadores
Amenazas basadas en las redes
• Exploits para protocolos de red
• Wi-fi sniffing
Amenazas físicas
• Pérdida o robo del dispositivo
88. Connan Mobile para Android
https://play.google.com/store/apps/details?id=es.inteco.conanmobile
Configuración segura del dispositivo
Permisos de aplicaciones
Servicios proactivos de seguridad
Desarrollada por el INCIBE(Instituto Nacional de
Ciberseguridad)
https://www.osi.es/es/conan-mobile
92. X-Ray
• Aplicación que realiza un escaneo
del dispositivo para determinar si hay
vulnerabilidades o falta de parches
en el sistema
• Presenta una lista de vulnerabilidades
que permiten identificar y revisar la
presencia de cada vulnerabildiad
en el dispositivo
94. Agenda
• Modelo de permisos en Android e iOS
• Seguridad en aplicaciones
• Prevención y detección de malware
• Phishing en aplicaciones móviles
• Riesgos en aplicaciones móviles
• Buenas prácticas de desarrollo seguro
• Seguridad en la empresa mediante BYOD y MDM
• Conclusiones
95.
96. Buenas prácticas de desarrollo
• Análisis estático
• Análisis dinámico
• Encriptación de datos
• Ofuscación
• Anti-debug
• Anti-patching
106. Análisis de código fuente
• Siempre es buen punto de inicio listar todas las llamadas a funciones que podrían ser
usadas de forma insegura como:
• putString
• setJavaScriptEnabled(true)
• getExternalStorageDirectory()
• getBundleExtra()
• sharedPreferences
108. Análisis dinámico apps
Cobertura de código
Hashes para los paquetes analizados
Datos de red mediante herramientas como wireShark
para analizar los paquetes de red
Información de debug
Operaciones de lectura/escritura en ficheros
Operaciones de criptografía utilizando la API de
Android
Envío de SMS y llamadas de teléfono
113. Almacenamiento ficheros
WORLD_READABLE / WORLD_WRITABLE
Otras apps podrían leer el fichero si conocen la ruta
Los ficheros deberían crearse en MODE_PRIVATE
FileOutputStream fos = openFileOutput(“MyFile",
Context.MODE_PRIVATE);
fos.write(“contenido”.getBytes());
fos.close();
122. Ofuscar el código
Proguard
• Clase gratuita que optimiza, ofusca el código. Detectando y eliminando las
clases no utilizadas, campos, métodos y atributos. Se optimiza el código en
bytes y elimina las instrucciones que no estén siendo utilizadas. Se cambia el
nombre de las clases restantes, campos, métodos por nombres cortos sin
sentido aparente.
• Por defecto al instalar el SDK de Android viene incluido.
• Sólo debemos de activarlo modificando el fichero project.properties y activar
el flag proguard.config=proguard.cfg
• Todas las opciones que queramos incluir las escribiremos en el fichero
proguard.cfg
• Cuando exportemos la aplicación automáticamente nos generara el fichero
APK con el código de la misma ofuscado
124. Testear seguridad aplicaciones
Análisis estático
Código fuente • Code Review
Binario • Ingeniería inversa
Análisis dinámico • Debug en tiempo de ejecución
• Capturar logs y tráfico que generan
• Llamadas a servicios remotos
• Peticiones de red
Análisis forense • Permisos en ficheros
• Análisis del contenido de ficheros
127. Patrón de Bloqueo en Android
adb shell
cd /data/data/com.android.providers.settings/databases
sqlite3 settings.db
update system set value=0 where
name='lock_pattern_autolock';
update system set value=0 where
name='lockscreen.lockedoutpermanently';
adb shell rm /data/system/gesture.key
130. Agenda
• Modelo de permisos en Android e iOS
• Seguridad en aplicaciones
• Prevención y detección de malware
• Phishing en aplicaciones móviles
• Riesgos en aplicaciones móviles
• Buenas prácticas de desarrollo seguro
• Seguridad en la empresa mediante BYOD y MDM
• Conclusiones
131. Retos actuales en movilidad
• Información sin cifrar(store+ request)
• Diversidad de dispositivos (BYOD)
• Internet of things(IoT)
• Seguridad en la nube
• Sistemas de pago seguro
132. Riesgos de seguridad en la empresa
Riesgo Posible solución
Sin control sobre los dispositivos
(robo o pérdida)
Encriptar
Dispositivos externos
(BYOD / Bring Your Own Device)
MDM
Conexión a redes no confiables VPN
Aplicaciones no conables en
dispositivos de empresa
Concienciar y formar a los usuarios
Contenido de origen desconocido
(QR con página maliciosa)
Antivirus / Antimalware y estar en alerta
Rastreo por GPS Desconexión de GPS cuando sea posible
133. BYOD
• Bring Your Own Device
• Política que permite a los empleados llevar sus dispositivos al trabajo
• Espías y hackers podrían captar esta información si no se
implantan los sistemas de seguridad adecuados para
impedirlo.
• Controlar las aplicaciones que se instala el usuario. Tanto
aplicaciones pasa uso personal como aplicaciones que se
usan para incrementar la productividad en el trabajo.
134. 1
• Protección del acceso
password, reconocimiento dactilar o facial
2
• Control de la conectividad
WiFi , GPS o Bluetooth
3
• Controlar el acceso y permisos de la aplicaciones
debemos considerarlo durante la instalación
4
• Mantener el firmware y S.O. actualizado
considerar las actualizaciones del fabricante
5
• Mantener copia de los datos
sobre los datos críticos, personales y de la empresa
6
• Borrar datos si el dispositivo se pierde
algunos servicios permiten el borrado de datos de forma remota
7
• No almacene información privada
datos como tarjetas de crédito y passwords
8
• Cuidado con las aplicaciones gratuitas
pueden haber sido alteradas o contener spyware
9
• Use antivirus y herramientas de escaneo
tenerlos actualizados
10
• Use software MDM
configuran y monitorizan el acceso
135. Medidas para empresas
• Definir estándares de seguridad independientemente de
la plataforma.
• Utilizar los sistemas de administración centralizada
(Mobile Device Manager) para las plataformas
implementadas:
Habilitar borrado remoto
Habilitar bloqueo remoto
Geolocalización del equipo
Aplicación de Políticas (OTA)
136. MDM
• MDM ayuda a implementar directivas en toda la empresa para
reducir costos de soporte,discontinuidad del negocio y riesgos
de seguridad.
• Ayuda a los administradores de sistema a implementar y
administrar aplicaciones de software por todos los dispositivos
de la empresa para asegurar y monitorizar dispositivos
móviles(smartphones,tablets)
• Puede ser utilizado para administrar dispositivos de la
organización y personales
• Permite al personal de TI realizar de forma remota acciones de
registro y rastreo de los dispositivos
137. Políticas de seguridad MDM
• Autenticar el accesos a los datos para usuarios y
dispositivos.
• Proporcionar seguridad en la conexiones.
• Formar a los usuarios.
• Instalación de herramientas para la detección de
malware.
• Centralizar la seguridad de los dispositivos móviles.
139. Administrar MDM
Se instala un agente en cada terminal y permite la gestión desde un
servidor centralizado.
Complejidad de las contraseñas
Tiempos de bloqueo de pantalla
VPNs
Desinstalar funciones específicas
Instalar,actualizar y desinstalar aplicaciones
Localizar dispositivos con GPS
Borrar información de forma remota
142. Aplicaciones
Checkear el estado de la red
Fing(NetWork Discovery,TCP SCan,Ping,traceroute)
Wireless Network Watcher(NetWork Discovery)
Aplicaciones para obtener información sobre paquetes
capturados
WireShark / tcpdump
NetWorkMiner
144. DroidWall
• Funciona como un firewall
para las aplicaciones a la hora
de acceder a la red(wifi,3G)
ROOT
145. Protocolos WIFI
• WEPVulnerable.En pocos minutos se
puede sacar una password
• WPATambién vulnerable frente ataques
por fuerza fruta mediante diccionario
• WPA2+PSKCifrado AES de 256
bits.Actualmente el método más robusto
• Uso de contraseñas seguras para evitar
ataques por diccionario
146. Comunicaciones seguras
• Confidencialidad, integridad, autenticación, no
repudio
• Establecer canales seguros en medios inseguros
• HTTPS
• VPN
• WiFi cifrada con WPA2
• Bluetooth no descubrible
• Uso de PKI
148. Analizando el tráfico de red
• Es importante analizar el tráfico de red que fluye entre
el cliente / servidor en una aplicación.
• Busque credenciales, tokens de autenticación, las claves
API que se transmiten a través de canales http no
seguro.
• El tráfico puede ser analizada utilizando una herramienta
de proxy como BurpSuite
149. Analizando el tráfico de red
• Configurar Burp Proxy para empezar a escuchar el
tráfico.