Este documento presenta una discusión sobre seguridad física que incluye varios videos y conceptos. Se cubren temas como controles de seguridad comunes como cerraduras, cámaras de vigilancia y controles de acceso, así como técnicas de evaluación como ingeniería social, lockpicking y acceso a redes y sistemas con contraseñas predeterminadas. También se discuten conceptos inusuales como puertas anti-bombas y exploración urbana.
Presentación realizada en el apartado "Empleo y Talento", donde se expuso el trabajo realizado por un "hacker ético", así como las claves para convertirse en uno y hacer de tu hobby una profesión.
Técnicas de búsqueda y análisis de fuentes abiertasemilianox
Técnicas de búsqueda y análisis de fuentes abiertas dictado en el 2do Entrenamiento de Cibercrimen.
Emiliano Piscitelli y Carlos Loyo (Especialistas e Ingeniería Social y Análisis de fuentes abiertas)
Brain Waves Surfing - (In)security in EEG (Electroencephalography) TechnologiesAlejandro Hernández
Electroencephalography (EEG) is a non-invasive method for the recording and the study of electrical activity of the brain taken from the scalp. The source of these brain signals is mostly the synapic activity between brain cells (neurons). EEG activity is represented by different waveforms per second (frequencies) that can be used to diagnose or monitor different health conditions such as epilepsy, sleeping disorders, seizures, Alzheimer disease, among other clinical uses. On the other hand, brain signals are used for many other research and entertainment purposes, such as neurofeedback, arts and neurogaming. Nowadays, this technology is being adopted more and more in different industries.
A brief introduction of BCIs (Brain-Computer Interfaces) and EEG will be given in order to understand the risks involved in our brain signals processing, storage and transmission.
Live demos include the visualization of live brain activity, the sniffing of brain signals over TCP/IP as well as flaws in well-known EEG applications when dealing with some corrupted samples of the most widely used EEG file formats (e.g. EDF). These demos are a first approach to demonstrate that many EEG technologies are prone to common network and application attacks.
Finally, best practices and regulatory compliance on digital EEG will be discussed.
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]Websec México, S.C.
www.guadalajaracon.org/conferencias/seguridad-fisica-mira-mama-como-jason-bourne/
Durante la presentación se responderá la pregunta fundamental: ¿qué proteger físicamente?, en la cual se describirán los diferentes tipos de activos a proteger y evidentemente a las personas que operan o resguardan dichos activos. Posteriormente se explicarán diferentes controles de seguridad física ya existentes como los incluidos en el estándar ISO27001.
Por otro lado, el presentador compartirá experiencias de evaluaciones de seguridad física que ha tenido previamente, por ejemplo, la creación de badges falsos, seguir a personas a través de elevadores (Piggybacking), control total de cámaras de seguridad (CCTV), incluso algunas fallas que ha visto en plantas industriales en las que ha trabajado.
A lo largo de la presentación se irán mostrando diversos videos grabados por el presentador, donde se muestran diversas formas de evaluación y/o evasión de mecanismos de seguridad física.
Finalmente, se presentarán algunos conceptos inusuales y poco vistos sobre seguridad física, con los que el autor se ha encontrado en diversas evaluaciones, por ejemplo, Urban Exploration.
Presentación realizada en el congreso itSMF Vision15 donde se ve la seguridad existente en los dispositivos personales, el Internet de las cosas, y por ultimo la seguridad física dentro del entorno corporativo.
Presentación de la charla de Antonio Villalón en las conferencias de AVADISE, la Asociación Valenciana de Directores de Seguridad, en relación con la Protección de Infraestructuras Críticas.
Presentación realizada en el apartado "Empleo y Talento", donde se expuso el trabajo realizado por un "hacker ético", así como las claves para convertirse en uno y hacer de tu hobby una profesión.
Técnicas de búsqueda y análisis de fuentes abiertasemilianox
Técnicas de búsqueda y análisis de fuentes abiertas dictado en el 2do Entrenamiento de Cibercrimen.
Emiliano Piscitelli y Carlos Loyo (Especialistas e Ingeniería Social y Análisis de fuentes abiertas)
Brain Waves Surfing - (In)security in EEG (Electroencephalography) TechnologiesAlejandro Hernández
Electroencephalography (EEG) is a non-invasive method for the recording and the study of electrical activity of the brain taken from the scalp. The source of these brain signals is mostly the synapic activity between brain cells (neurons). EEG activity is represented by different waveforms per second (frequencies) that can be used to diagnose or monitor different health conditions such as epilepsy, sleeping disorders, seizures, Alzheimer disease, among other clinical uses. On the other hand, brain signals are used for many other research and entertainment purposes, such as neurofeedback, arts and neurogaming. Nowadays, this technology is being adopted more and more in different industries.
A brief introduction of BCIs (Brain-Computer Interfaces) and EEG will be given in order to understand the risks involved in our brain signals processing, storage and transmission.
Live demos include the visualization of live brain activity, the sniffing of brain signals over TCP/IP as well as flaws in well-known EEG applications when dealing with some corrupted samples of the most widely used EEG file formats (e.g. EDF). These demos are a first approach to demonstrate that many EEG technologies are prone to common network and application attacks.
Finally, best practices and regulatory compliance on digital EEG will be discussed.
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]Websec México, S.C.
www.guadalajaracon.org/conferencias/seguridad-fisica-mira-mama-como-jason-bourne/
Durante la presentación se responderá la pregunta fundamental: ¿qué proteger físicamente?, en la cual se describirán los diferentes tipos de activos a proteger y evidentemente a las personas que operan o resguardan dichos activos. Posteriormente se explicarán diferentes controles de seguridad física ya existentes como los incluidos en el estándar ISO27001.
Por otro lado, el presentador compartirá experiencias de evaluaciones de seguridad física que ha tenido previamente, por ejemplo, la creación de badges falsos, seguir a personas a través de elevadores (Piggybacking), control total de cámaras de seguridad (CCTV), incluso algunas fallas que ha visto en plantas industriales en las que ha trabajado.
A lo largo de la presentación se irán mostrando diversos videos grabados por el presentador, donde se muestran diversas formas de evaluación y/o evasión de mecanismos de seguridad física.
Finalmente, se presentarán algunos conceptos inusuales y poco vistos sobre seguridad física, con los que el autor se ha encontrado en diversas evaluaciones, por ejemplo, Urban Exploration.
Presentación realizada en el congreso itSMF Vision15 donde se ve la seguridad existente en los dispositivos personales, el Internet de las cosas, y por ultimo la seguridad física dentro del entorno corporativo.
Presentación de la charla de Antonio Villalón en las conferencias de AVADISE, la Asociación Valenciana de Directores de Seguridad, en relación con la Protección de Infraestructuras Críticas.
Presentación expuesta en el Congreso de Seguridad Informática CONPilar, en su edición 2017, (#CONPilar17), por haber sido ganador del CFP, (Call for Papers), para Rookies.
Certified Information Security Professional (CISP)vjgarciaq
El curso para la certificación CISP tiene como objetivo enseñarnos como proteger a nuestra organización de ataques
externos o internos a nuestros sistemas. Mediante una metodología de estudio práctica, aprenderemos las técnicas y
herramientas de última generación que utilizan los hackers para vulnerar la seguridad de los sistemas de información,
comprenderemos el cómo y el por qué de los diferentes tipos de ataques y, lo más importante, como crear una estructura
de defensa eficiente y proactiva.
Presentación del CLCERT y datos de seguridad informática para el hogar como parte del Primer Festival de Ingeniería y Ciencias de la Facultad de Ciencias Físicas y Matemáticas de la Universidad de Chile.
Conferencia Impartida en la Universidad Montrer Campus Ciudad Hidalgo, donde se hizo una introducción a lo que es la cultura hacker, diferenciar entre los distintos tipos de hackers y hacer conciencia de las consecuencias de la mala administración de la información.
Una pequeña recopilación de ejemplos de hackeos vistas en casos en Sucuri en entornos WordPress. Se plantean también algunas medidas reactivas (qué hacer una vez has sido hackeado) y proactivas (las que se deben hacer antes de que ocurra).
En esta hora expondremos las principales características de un ataque de Ingeniería Social y como analizar al eslabón más débil en la cadena, el factor humano. Una serie de tácticas, ejemplos prácticos, conceptos y definiciones que permitirán al asistente detectar y prevenir ataques a su infraestructura física y digital, analizando algunos casos históricos y recientes. Ponente: Claudio Caracciolo.
En esta hora expondremos las principales características de un ataque de Ingeniería Social y como analizar al eslabón más débil en la cadena, el factor humano. Una serie de tácticas, ejemplos prácticos, conceptos y definiciones que permitirán al asistente detectar y prevenir ataques a su infraestructura física y digital, analizando algunos casos históricos y recientes. Ponente: Claudio Caracciolo.
En esta hora expondremos las principales características de un ataque de Ingeniería Social y como analizar al eslabón más débil en la cadena, el factor humano. Una serie de tácticas, ejemplos prácticos, conceptos y definiciones que permitirán al asistente detectar y prevenir ataques a su infraestructura física y digital, analizando algunos casos históricos y recientes. Ponente: Claudio Caracciolo.
OSINT y hacking con buscadores #PalabradehackerYolanda Corral
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker para descubrir qué es OSINT o la inteligencia de fuentes abiertas, cuál es el proceso de búsqueda y análisis de información así como las herramientas para llevarlo a cabo haciendo especial hincapié en el hacking con buscadores y las técnicas que se aplican. Más información: http://www.yolandacorral.com/osint-hacking-buscadores-ciberdebate-palabra-hacker
Moderado por la periodista Yolanda Corral y que contó con la participación de los especialistas en seguridad Enrique Rando, Vicente Aguilera, Jhon Jairo Hernández, Miguel Cotanilla y Rafael Otal.
Presentación expuesta en el curso de verano, "Ciberdelincuencia y la seguridad de la información en la empresa del siglo XXI", de la UPV, en su edición de 2017, (#UPV2017).
In the lands of corrupted elves - Breaking ELF software with Melkor fuzzerAlejandro Hernández
(This presentation was shown as a support while giving some demos at BlackHat Arsenal 2014 in Las Vegas https://www.blackhat.com/us-14/arsenal.html#Hernandez)
Melkor is a hybrid fuzzer (mutation-based and generation-based). It mutates the existing data in an ELF sample given to create orcs (malformed ELFs), however, it doesn't change values randomly (dumb fuzzing), instead, it fuzzes certain metadata with semi-valid values through the use of fuzzing rules (knowledge base). Written in C, Melkor is a very intuitive and easy-to-use fuzzer to find functional (and security) bugs in ELF parsers.
Más contenido relacionado
Similar a Seguridad Física - Mira Mamá, como Jason Bourne - BugCON 2013
Presentación expuesta en el Congreso de Seguridad Informática CONPilar, en su edición 2017, (#CONPilar17), por haber sido ganador del CFP, (Call for Papers), para Rookies.
Certified Information Security Professional (CISP)vjgarciaq
El curso para la certificación CISP tiene como objetivo enseñarnos como proteger a nuestra organización de ataques
externos o internos a nuestros sistemas. Mediante una metodología de estudio práctica, aprenderemos las técnicas y
herramientas de última generación que utilizan los hackers para vulnerar la seguridad de los sistemas de información,
comprenderemos el cómo y el por qué de los diferentes tipos de ataques y, lo más importante, como crear una estructura
de defensa eficiente y proactiva.
Presentación del CLCERT y datos de seguridad informática para el hogar como parte del Primer Festival de Ingeniería y Ciencias de la Facultad de Ciencias Físicas y Matemáticas de la Universidad de Chile.
Conferencia Impartida en la Universidad Montrer Campus Ciudad Hidalgo, donde se hizo una introducción a lo que es la cultura hacker, diferenciar entre los distintos tipos de hackers y hacer conciencia de las consecuencias de la mala administración de la información.
Una pequeña recopilación de ejemplos de hackeos vistas en casos en Sucuri en entornos WordPress. Se plantean también algunas medidas reactivas (qué hacer una vez has sido hackeado) y proactivas (las que se deben hacer antes de que ocurra).
En esta hora expondremos las principales características de un ataque de Ingeniería Social y como analizar al eslabón más débil en la cadena, el factor humano. Una serie de tácticas, ejemplos prácticos, conceptos y definiciones que permitirán al asistente detectar y prevenir ataques a su infraestructura física y digital, analizando algunos casos históricos y recientes. Ponente: Claudio Caracciolo.
En esta hora expondremos las principales características de un ataque de Ingeniería Social y como analizar al eslabón más débil en la cadena, el factor humano. Una serie de tácticas, ejemplos prácticos, conceptos y definiciones que permitirán al asistente detectar y prevenir ataques a su infraestructura física y digital, analizando algunos casos históricos y recientes. Ponente: Claudio Caracciolo.
En esta hora expondremos las principales características de un ataque de Ingeniería Social y como analizar al eslabón más débil en la cadena, el factor humano. Una serie de tácticas, ejemplos prácticos, conceptos y definiciones que permitirán al asistente detectar y prevenir ataques a su infraestructura física y digital, analizando algunos casos históricos y recientes. Ponente: Claudio Caracciolo.
OSINT y hacking con buscadores #PalabradehackerYolanda Corral
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker para descubrir qué es OSINT o la inteligencia de fuentes abiertas, cuál es el proceso de búsqueda y análisis de información así como las herramientas para llevarlo a cabo haciendo especial hincapié en el hacking con buscadores y las técnicas que se aplican. Más información: http://www.yolandacorral.com/osint-hacking-buscadores-ciberdebate-palabra-hacker
Moderado por la periodista Yolanda Corral y que contó con la participación de los especialistas en seguridad Enrique Rando, Vicente Aguilera, Jhon Jairo Hernández, Miguel Cotanilla y Rafael Otal.
Presentación expuesta en el curso de verano, "Ciberdelincuencia y la seguridad de la información en la empresa del siglo XXI", de la UPV, en su edición de 2017, (#UPV2017).
In the lands of corrupted elves - Breaking ELF software with Melkor fuzzerAlejandro Hernández
(This presentation was shown as a support while giving some demos at BlackHat Arsenal 2014 in Las Vegas https://www.blackhat.com/us-14/arsenal.html#Hernandez)
Melkor is a hybrid fuzzer (mutation-based and generation-based). It mutates the existing data in an ELF sample given to create orcs (malformed ELFs), however, it doesn't change values randomly (dumb fuzzing), instead, it fuzzes certain metadata with semi-valid values through the use of fuzzing rules (knowledge base). Written in C, Melkor is a very intuitive and easy-to-use fuzzer to find functional (and security) bugs in ELF parsers.
Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party C...Alejandro Hernández
En esta charla compartirá con el público interesado tips que le han funcionado personalmente sobre cómo comenzar una carrera, qué estudiar, qué hacer y qué no hacer como consultor en la industria de la seguridad informática.
Por otro lado, compartirá experiencias (buenas, graciosas, raras y malas) que ha vivido a lo largo de sus últimos cinco años de carrera profesional en la industria, mostrando los pros y contras de trabajar como consultor en esta industria.
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...espinozaernesto427
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta intensidad son un tipo de lámpara eléctrica de descarga de gas que produce luz por medio de un arco eléctrico entre electrodos de tungsteno alojados dentro de un tubo de alúmina o cuarzo moldeado translúcido o transparente.
lámparas más eficientes del mercado, debido a su menor consumo y por la cantidad de luz que emiten. Adquieren una vida útil de hasta 50.000 horas y no generan calor alguna. Si quieres cambiar la iluminación de tu hogar para hacerla mucho más eficiente, ¡esta es tu mejor opción!
Las nuevas lámparas de descarga de alta intensidad producen más luz visible por unidad de energía eléctrica consumida que las lámparas fluorescentes e incandescentes, ya que una mayor proporción de su radiación es luz visible, en contraste con la infrarroja. Sin embargo, la salida de lúmenes de la iluminación HID puede deteriorarse hasta en un 70% durante 10,000 horas de funcionamiento.
Muchos vehículos modernos usan bombillas HID para los principales sistemas de iluminación, aunque algunas aplicaciones ahora están pasando de bombillas HID a tecnología LED y láser.1 Modelos de lámparas van desde las típicas lámparas de 35 a 100 W de los autos, a las de más de 15 kW que se utilizan en los proyectores de cines IMAX.
Esta tecnología HID no es nueva y fue demostrada por primera vez por Francis Hauksbee en 1705. Lámpara de Nernst.
Lámpara incandescente.
Lámpara de descarga. Lámpara fluorescente. Lámpara fluorescente compacta. Lámpara de haluro metálico. Lámpara de vapor de sodio. Lámpara de vapor de mercurio. Lámpara de neón. Lámpara de deuterio. Lámpara xenón.
Lámpara LED.
Lámpara de plasma.
Flash (fotografía) Las lámparas de descarga de alta intensidad (HID) son un tipo de lámparas de descarga de gas muy utilizadas en la industria de la iluminación. Estas lámparas producen luz creando un arco eléctrico entre dos electrodos a través de un gas ionizado. Las lámparas HID son conocidas por su gran eficacia a la hora de convertir la electricidad en luz y por su larga vida útil.
A diferencia de las luces fluorescentes, que necesitan un recubrimiento de fósforo para emitir luz visible, las lámparas HID no necesitan ningún recubrimiento en el interior de sus tubos. El propio arco eléctrico emite luz visible. Sin embargo, algunas lámparas de halogenuros metálicos y muchas lámparas de vapor de mercurio tienen un recubrimiento de fósforo en el interior de la bombilla para mejorar el espectro luminoso y reproducción cromática. Las lámparas HID están disponibles en varias potencias, que van desde los 25 vatios de las lámparas de halogenuros metálicos autobalastradas y los 35 vatios de las lámparas de vapor de sodio de alta intensidad hasta los 1.000 vatios de las lámparas de vapor de mercurio y vapor de sodio de alta intensidad, e incluso hasta los 1.500 vatios de las lámparas de halogenuros metálicos.
Las lámparas HID requieren un equipo de control especial llamado balasto para funcionar
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
Diagrama de flujo - ingenieria de sistemas 5to semestre
Seguridad Física - Mira Mamá, como Jason Bourne - BugCON 2013
1. - SEGURIDAD FISICA -
MIRA MAMA, COMO
JASON BOURNE
Alejandro Hernández H. CISSP, GPEN
http://twitter.com/nitr0usmx
http://www.ioactive.com
http://chatsubo-labs.blogspot.com
http://www.brainoverflow.org
1
2. Sobre mí…
Consultor de Seguridad Senior de IOActive
10 años involucrado en Seguridad
Rompo cosas
Ah! Y soy CISSP…
2
4. Tabla de Contenidos
Esta presentación será un collage de
conceptos, experiencias propias y
clips de video
¿Qué proteger físicamente?
Controles de seguridad física
comúnmente utilizados
Mientras tanto en México…
Técnicas de evaluación de seguridad
física (infiltración, ingeniería social
cara-a-cara, etc.)
Conceptos interesantes e inusuales
4
6. ¿Qué proteger físicamente?
Personas
Terremotos
Ingeniería Social
Etc.
Datos e información
Documentos impresos (contratos, facturas, etc.)
Post-its
Etc.
Infraestructura tecnológica
Centro de datos
Robots en plantas industriales
6
Etc.
10. Mientras tanto en México…
Acceso de equipo de cómputo a edificios
Bitácora en papel con hora de entrada/salida?
Revisión de guardias de seguridad?
Acceso físico
“Estampita” de visitante
Acceso por estacionamientos?
GENTE AMABLE (“Permítame ! Le abro la puerta”)
Guardias con sobrepeso o somnolientos
Seguridad de Infraestructura
Contraseñas por default (CCTV, puertas de “Alta Seguridad”)
Matriz de control de acceso deficiente
Puertas de madera…
Etc. Etc. Etc.
10
12. VIDEO CLIP
Jason Bourne - Evacuation Plan
Cierta información puede ser utilizada en tu contra
12
13. Técnicas de Evaluación
Infiltración e Ingeniería Social
Creación de gafetes falsos
Banners y colores corporativos en el sitio Web
Nombres/No de empleados (Open Source
Intelligence)
Mica de papelería = $10.00 pesos
Impresión de hoja de “autorización”
Lo mismo de arriba, pero con firma de „CEO‟ ;-D
Seguridad personal al estar frente al guardia de
seguridad (Ingeniería Social y DETERMINACIÓN)
13
16. Técnicas de Evaluación
Piggybacking
Cuando una persona se
„pega‟ a otra para pasar
ciertos puntos de
seguridad, p.e. una puerta
sin pasar una tarjeta de
acceso
16
17. Técnicas de Evaluación
Lock Picking
El arte de abrir manipular
los elementos mecánicos
de una cerradura para
realizar su apertura sin
llave
17
19. VIDEO CLIP
Lock Picking 101
Puertas y cajas fuertes también vulnerables
19
20. VIDEO CLIP
Vina F in Gringo Warrior
Lock Picking y diversión en DEFCON (Gringo Warrior Game)
20
21. Técnicas de Evaluación
Contraseñas por
default
A veces se requiere del
software del fabricante
(Demo?) para hablar el
mismo lenguaje
(protocolo)
21
22. VIDEO CLIP
Spaceballs super password XD
Dispositivos de seguridad física también tienen contraseñas
por default
22
23. VIDEO CLIP
Control de 48 cámaras de Seguridad de un edificio de México DF
DVRs y Cámaras CCTV también tiene contraseñas por
default
23
24. VIDEO CLIP
Acceso a un Centro de Datos de “Alta Seguridad” en México DF
utilizando el panel de administración (sin contraseña) del
dispositivo biométrico
La mayoría de dispositivos biométricos están bien diseñados y
desarrollados… Pero son mal configurados/implementados.
24
25. Técnicas de Evaluación
Plantas Industriales
Separación ‘física’ de redes de datos e industriales
Puertos USB (des)habilitados
25
27. DoD Looking to „Jump the
Jan 15th, 2013
Gap‟ Into Adversaries‟ Closed Networks
Iranian President Mahmoud Ahmadinejad visits the Natanz
uranium enrichment facilities, where a “closed”
computer network was infected by malware
introduced via a small flash drive.
http://www.defensenews.com/article/20130115/C4ISR01/301150010/DoD-Looking-8216-
Jump-Gap-8217-Into-Adversaries-8217-Closed-Networks
27
29. Conceptos interesantes e
inusuales cerca de Toluca…
En algún lugar
Puertas Antibombas
Grandes montículos de arena alrededor (para qué?)
29
30. Conceptos interesantes e
inusuales
Urban Exploration
Evaluación Ninja
Often shortened as urbex or UE. It may also be
referred to as Infiltration, Building Hacking,
draining (when exploring drains), urban rock climbing
Exploration of man-made structures, usually
abandoned ruins or not usually seen components of
the man-made environment
30