Agenda Domingo 28 de Mayo

10:15-11:00

Ponencia

Jacinto José Cruz

“From scratch to: heaven or hell?”

Docker es una herramienta empleada dentro del marco de trabajo DevOps. El “core” de la charla va a ser contar mi experiencia con Docker: primeros pasos, dificultades, pensamientos, aprendizajes. Partiendo de una idea de proyecto, iré contando todos los pasos que he ido siguiendo para llegar a conseguir esa idea que os presentaré, la intención es tratar de tocar las siguientes tecnologías/herramientas mediante el uso de Docker: NodeJS, Redis, ZeroMQ, PostsgreSQL.
¿Qué habré conseguido dentro de la idea de proyecto? ¿Habrá sido el Paraíso o el Infierno? Acompañadme en esta aventura y lo descubriremos juntos 🙂

11:00-12:00

Ponencia

Julio César Fernández

“Desarrollo Swift seguro”

Desarrollo seguro para iOS”, donde daría las buenas prácticas e implementaciones para hacer tus desarrollos seguros siguiendo las directrices de Apple, como todo lo que tiene que ver con red, cifrado de ficheros, cifrado de datos, reglas para evitar trazados, etc… todo en Swift 3.1.

12:00-13:00

Ponencia

Ignacio Brihuega Rodríguez

“Todo sobre mi objetivo”

Consiste en la realización de un “scan” de visibilidad de un target orientado a la hora de llevar a cabo un test de intrusión externo. Se basa en el listado de todos los recursos (orientado a dominios, subdominios e IP’s)  empleando diferentes herramientas locales o servicios online de manera pasiva, es decir, anonimizando el descubrimiento de dichos dominios/subdominios. Además, de los resultados obtenidos se demostrarán herramientas propias para automatizar el conocimiento del estado de dichos recursos.

Análogamente, la charla se orienta al peligro de la información indexada en los buscadores. Para ello, se demostrará tanto manualmente como a través de herramientas de desarrollo propio como se puede automatizar la búsqueda de documentos indexados (pdf, doc, docx, xls, ppt, …), permitir su descarga y obtención de metadatos, que podrían emplear tanto para una auditoria interna o de licencias, como ser empleado en un test de intrusión.

Finalmente, se demostrará de manera proactiva la detección de dominios sospechosos de cometer fraude a través de phishing  y abuso de marca, a través de técnicas de typosquating y cybersquating.

13:00-14:00

Ponencia

Ernesto Sánchez

“Perpetuando los ataques mediante BadUSB: Uso como APT”

En esta charla se analizará el uso de las técnicas derivadas del BadUSB como ataque persistente avanzado, mas allá de su uso habitual como mero vector de ataque inicial. También se explicará como prevenirnos de éste tipo de ataques y limitar su eficacia.

14:00-15:00 COMIDA

15:00-16:00

Ponencia

Maria José Montes

“Las principales vulnerabilidades web”

Explicar el entorno de web y sus principales vulnerabilidades:

  • Ataques de Cross-Site Scripting
  • Ataques de Cross-Site Request Forgery
  • Peticiones HTTP falsificadas
  • Exposición de Credenciales de Acceso
  • SQL Injection
  • Exposición de datos
  • Páginas privadas y los sistemas de autenticación
  • Ataques de fuerza bruta
  • Password Sniffing
  • Cookies o variables de sesión persistentes

16:00-17:00

Ponencia

Alvaro Fidalgo Morán

“TDD más allá del Green -> Red -> Refactor”

Cuando como desarrolladores comenzamos a desarrollar utilizando TDD nos cuesta mucho deshacernos de los “malos hábitos” que se realizan en otras técnicas de diseño. Muchas veces cuando enfocamos la resolución de un problema con TDD únicamente  pensamos en hacer un ciclo Red -> Green -> Refactor sin pensar en que estamos utilizando un técnica de diseño mucho más compleja.
En esta charla veremos cuales son los errores más típicos cuando practicamos TDD como por ejemplo no diseñar una estrategia de tests, no utilizar los tests como guias para el diseño , no utilizar Baby-Steps , omitir fases RED , etc …

17:00-18:00

Ponencia

Daniel Echeverri

“Hacking NodeJS applications for fun and profit”

Se trata de una charla en la que se explican algunos de los problemas más comunes en aplicaciones NodeJS y cómo utilizando herramientas de uso frecuente es posible explotar dichas vulnerabilidades. Por otro lado, también se podrá apreciar cómo algunas de dichas vulnerabilidades no se encuentran incluidas en el OWASP Top 10 y es importante tener en cuenta ciertas practicas de diseño y desarrollo para no caer en errores que impliquen incidentes de seguridad.

18:00-19:00

Ponencia

Jose Luis Carnerero y Yeray Fernandez

“Motor de detección de fraude temprano (Heimdal)”

Descripción del motor de detección de fraude temprano basado en el análisis de nuevos dominios registrados.
Basado en la detección de marcas que actúan como disparadores para la ejecución de motores de análisis específicos permiten al motor adaptarse en función al dominio al que esta analizando, esto permite aumentar la tasa de detección en portales de phishing, campañas y paneles de malware, detección de portales de apoyo a actividades delictivas tales como portales de spaming, hacking, APTs etc…
Al tratarse de un sistema de detección proactivo en lugar de las aproximaciones reactivas permiten detectar estas infraestructuras antes incluso de que sean 100% operativas.

19:00-20:00

Clausura y cierre

10:15-12:00

Taller

Eloy Villa

“Yo quiero tener un millón de wifis”

Cómo funciona la red, cómo viaja la información, dispositivos conectados, peligros en wifis abiertas, prueba de concepto de ataque MiTM, securización de nuestro router doméstico, securización de nuestra conexión móvil…

A QUIÉN VA DIRIGIDO: Este taller está orientado a todos los públicos.

QUÉ NECESITO: Trae tu móvil o táblet a este taller para todas las edades y para todos los niveles, y podrás ver en directo como puede ser hackeado y que medidas de seguridad has de poner en marcha para evitarlo.

12:00-14:00

Ponencia

César Diez, Javier González y Raúl Morales

Ciberseguridad: la responsabilidad de todos

A lo largo de este taller nos concienciaremos de como las deficiencias de seguridad responsabilidad de diferentes áreas (información publicada en internet, falta de tests de seguridad en los desarrollos in-house, servicios no actualizados, vulnerabilidades en los sistemas operativos, etc.) pueden encadenarse para permitir tomar el control de la red corporativa.

A QUIÉN VA DIRIGIDO: A perfiles que no se dediquen a la auditoría de seguridad pero si estén relacionados con la seguridad en diferentes ámbitos (responsables de información, desarrolladores, administradores)

QUÉ NECESITO: 4 gb ram, (recomendado 8) y unos 40 gb de hdd libre.

14:00-15:00 COMIDA

15:30-16:00

Ponencia

Adolfo Solero

“Los clubes de programación para niños y jóvenes, un movimiento universal. El ejemplo de Coderdojo”

Se hablará de la situación que se está viviendo a nivel global con la aparición de movimientos de voluntariado que promueven la realización de talleres de programación orientados a que los niños y jóvenes aprendan y realicen proyectos relacionados con la tecnología en general y la programación en particular. Se hablará de las distintas iniciativas existentes, de las tecnologías con las que se trabaja, las particularidades de trabajar con los milenials y presentare el caso particular de Coder dojo (quizás la iniciativa de más éxito) tanto a nivel internacional como a nivel nacional.

16:00-17:00

Taller

Fernando Cillero

“Desarrollo de APIs con Flask”

El objetivo del taller será la creación de una interfaz web con Flask para conectar de forma segura con una serie de endpoints.

A QUIÉN VA DIRIGIDO: Personas con un mínimo de conocimientos técnicos en el ámbito del desarrollo.

QUÉ NECESITO: Un editor de texto o IDE para programar y tener instalado Python y Vagrant.

17:00-19:00

Taller

Adolfo Solero y Jacinto José Cruz

“Cocinando con Docker: A hands-on lab training”

Taller para iniciarse en el mundo Docker. Como en un libro de cocina, comenzaremos comentando el ecosistema Docker y los comandos/herramientas para empezar a interactuar con este entorno y hacer nuestras primeras “recetas”.
Poco a poco iremos añadiendo más ingredientes a nuestras recetas de Docker, observando cómo podemos combinarlos con cosas que ya tendremos previamente realizadas y así probar nuevas experiencias dentro de este mundo; mientras nos divertimos ideando, construyendo y probando. Lo pasaremos bien 😉 Os esperamos

A QUIÉN VA DIRIGIDO: Personas con un mínimo de conocimientos técnicos en el ámbito del desarrollo.

QUÉ NECESITO: Como mínimo deberás traer instalado en tu equipo Docker.

19:00-20:00

Clausura y cierre

Esto no hubiera sido posible sin nuestros patrocinadores: