Spain/Chapter Meeting

From OWASP
Jump to: navigation, search

797px-Owasp banner web con.jpg

XI OWASP Spain Chapter Meeting - Barcelona, jueves 23 de noviembre de 2017

Estas conferencias, abiertas y gratuitas, reúnen desde 2006 a los profesionales del sector de la seguridad de nuestro país y se han consolidado como un evento de referencia sobre seguridad en el software.

Buttoncreate.png

Si desea conocer las opciones de patrocinio disponibles, contacte con Vicente Aguilera Díaz.

Organiza: Patrocina: Colabora:
LOGO-OWASP-SPAIN-SMALL.png Isecauditors-logo-3.jpg LA SALLE Castellano URL-logo.jpg


Barcelona, jueves 23 de noviembre de 2017
AGENDA de la jornada:

08:00h - 08:55h Registro de asistentes
Jabella-80.jpg 09:00h - 09:05h Bienvenida
Jaume Abella Fuentes @JaumeAbella.
Coordinador del Máster de Ciberseguridad. La Salle Campus Barcelona.
Vadpic.png 09:05h - 09:15h Introducción a la jornada
Vicente Aguilera Díaz. vicenteaguileradiaz.com - @VAguileraDiaz.
OWASP Spain Chapter Leader. Socio y Director Dpto. Auditoría en Internet Security Auditors.
Anonimo-80x80.jpg 09:15h - 10:15h Atacando aplicaciones NodeJS

Michael Hidalgo Fallas.
Director of Advanced Technologies. invinsec
NodeJS es un lenguaje de programación relativamente nuevo ya que su creación se remonta al año 2009 y se basa en el entorno de ejecución de JavaScript de Google Chrome. Desde el punto de vista de arquitectura, su diseño propone un modelo basado en la eficiencia donde se toman en consideración aspectos como JavaScript del lado del servidor (server-side), Asíncrono y basado en eventos entre otros.
NodeJS ha sido adoptado por gigantes de la tecnología 1 tales como Microsoft, IBM, PayPal, Netflix, Cisco, Uber, Capital One entre otros. A pesar de ser un lenguaje de programación que sigue un modelo diferente, malas prácticas, errores en el momento de desarrollar la aplicación y dependencia en librerías vulnerables de terceros conllevan a exponer vulnerabilidades comunes entre las que se enumeran los fallos en el manejo de sesiones, fallos en los procesos de autenticación y autorización, fuga de información, inyección de comandos entre otros.
En esta presentación se mostrará cómo se pueden explotar vulnerabilidades comunes y no tan comunes en aplicaciones desarrolladas bajo este paradigma, de forma tal que la audiencia pueda tener más visibilidad sobre los riesgos que existen y se puedan desarrollar mejores prácticas.

Miguel-80x80.png 10:15h - 10:45h Superficie de ataque en un dispositivo IoT según OWASP Internet of Things Project
Miguel Ángel Arroyo Moreno. @miguel_arroyo76

Responsable del Área de Auditoría. SVT Cloud Security Services
En la actualidad no está muy clara cuál es la metodología a adoptar para evaluar la seguridad de dispositivos IoT, y en la mayoría de los casos se basa en buscar cámaras IP en Shodan o capturar y analizar el tráfico de red generado por uno de estos dispositivos. Estas actuaciones son sólo una mínima parte de todos los escenarios posibles a la hora de “atacar” un dispositivo del Internet of Things. OWASP, al igual que lo hace con entornos de aplicaciones web o móviles, tiene su propio proyecto para Internet of Things. Esta charla tiene como objetivo acercar este proyecto a los asistentes para hacerles ver que existe un proyecto serio para la evaluación de seguridad de estos dispositivos y mostrar cuál es la superficie de ataque real de un dispositivo IoT, más allá de Shodan o la captura de tráfico.

10:45h - 11:30h Coffee-break
RobertoVelasco-80x80.jpg 11:30h - 12:30h Protection and Verification of Business Logic Flaws

Roberto Velasco Sarasola. @hdivroberto
CEO. Hdiv Security
Los problemas de seguridad a nivel aplicación podemos organizarnos en 2 tipos de problemas: security bugs o bugs de sintaxis y Business Logic Flaws, conocidos también como Design Flaws. El primer tipo de riesgo, que incluye entre otros 2 de los problemas más conocidos como Sql injection o XSS, está basado en bugs de programación que afortunadamente pueden ser detectados mediante herramientas AST (Application Security Testing) de forma automática reportando el fichero y la línea del problema. A pesar de esta ventaja, el resto de los problemas que podemos englobar dentro de la categoría de Business Logic Flaws que representan aproximadamente el otro 50% del problema, no pueden ser detectados por las soluciones AST.

Los problemas de seguridad de tipo Business Logic Flaws son problemas relacionados con el dominio de la aplicación que actualmente son detectados mediante procesos de pen-testing de forma manual y su resolución en muchos casos implica un rediseño completo de las aplicaciones. El objetivo de este charla es la presentación de un enfoque de protección de los business logic flaws integrado dentro del SDLC, junto con mecanismos para la automatización del proceso de pen-testing de este tipo de riesgos. Siguiendo un enfoque práctico, dentro de la charla haremos uso de aplicaciones de referencia dentro del ecosistema de Spring como PetClinic (Spring MVC y REST) y haremos uso de herramientas de auditoría como Burp Suite.

Selva-80x80.jpg 12:30h - 13:30h Protección de la Identidad Digital

Selva Orejón. @selvaorejon
Perito Judicial. onBRANDING
Escenarios de exposición digital: reputación y ciberseguridad Evitar problemas de seguridad física y reputación, a veces solo depende del comportamiento que adopten los usuarios con su identidad digital y privacidad. Los usuarios pueden acabar siendo los únicos responsables de su seguridad, reputación y la de su entorno dentro y fuera de la Red.

13:30h - 15:00h Pausa
Anonimo-80x80.jpg 15:00h - 16:00h Utilización de Telegram por parte de Daesh
Carlos SEISDEDOS

El objetivo de esta conferencia es dar a conocer las causas que han motivado que el programa de mensajería instantánea Telegram, se haya convertido en la actualidad en la principal plataforma de difusión de contenido de carácter yihadista.
Durante la presentación, se explicará cómo funciona Telegram, qué elementos son los que hacen que sea tan atractiva para el CiberCalifato y cómo la utilizan.

Lebenitez-80x80.png 16:00 - 16:30h Internet of Things, Smart Cities y otras vulnerabilidades

Luis Enrique Benítez. LuisBenitezJ
IT Security Analyst. Internet Security Auditors
Conceptos como Internet of Things o Smart Cities se volverán cada vez más cotidianos en nuestro lenguaje, los fabricantes de dispositivos han iniciado una carrera frenética por incorporar en el mercado productos conectados a internet. En este último par de años ha dejador de ser exótico para volverse común el disponer de un Smart TV, un Smart Watch, SmartBand, el coche conectado, poder controlar la temperatura de nuestro hogar desde el móvil, por no hablar de Neveras, lavadoras, juguetes infantiles, cepillos eléctricos, y juguetes para adultos entre otras cosas y no siempre han tomado en consideración la seguridad de sus dispositivos, sus actualizaciones o parches frente a posibles vulnerabilidades, así como la privacidad del consumidor.

En esta conferencia se darán a conocer los resultados de las auditorias efectuadas a estos dispositivos y sus plataformas, como establecer un laboratorio de pruebas cuando no es posible acceder a las configuraciones de conexión, así como las experiencias y tendencias del sector.

Beto-80x80.png 16:30h - 17:30h Experiencias en pentest de Aplicaciones móviles bancarias usando OWASP MASVS

Luis Alberto Solís.
Consultor. Infosegura
En la presente ponencia, se dará a conocer las experiencias obtenidas del trabajo y diferentes tipos de errores que comenten en el desarrollo de aplicaciones móviles bancarias. Se explicará como siguiendo la metodología OWASP Mobile Application Security Verification Standard se puede encontrar muchas vulnerabilidades en aps que manejan información altamente sensible de usuarios de la banca. Durante la presentación se mostrará ejemplos de la vida real con la respectiva reserva del caso, de aplicaciones que estaban expuestas a disitintos tipos de ataques. Así mismo, de la experiencia se indicará el uso de herramientas usadas para el pentesting y la ingeniería inversa aplicada, y como hacer hooking de apks.
Finalmente se dará a conocer las técnicas usadas para realizar forense de aplicaciones móviles mediante ELK-Stack, que facilita el análisis del código reverseado gracias a la indexación de información y se mostrará como se puede aplicar el machine learning para el aprendizaje de nuevos patrones de comportamiento y detectar anomalías en el menor tiempo posible.

Christian-80x80.jpg 17:30h - 18:00h Security Dashboard from 0 to Hero

Christian Martorella. @laramies
Product Security Engineering Lead. Skyscanner
In this presentation I will show people how they can build a vulnerability management security dashboard with metrics that will let you track the progress of your teams and share with the rest of company in order to support decision making.
The dashboard will provide visibility on areas that before people was blind and unable to provide answer to the business. The presentation will focus in using Jupyter notebooks, Pandas and Matploitlib.
The presentation will first cover how to prepare your environment to allow the automation independently of the ticketing system you use (Jira, Visual Studio Online, etc.), we are going to define a vulnerability category and sources system based on labels/tags, and agree on other areas like risk level. Once we show how to get the raw data, we will start leveraging the power of Jupyter, Pandas and Matploitlib to create metrics and start making sense of the data we have.
We are going to cover what stats and metrics are important and useful to support decision making: Average time to fix a bug, Average lifetime of a bug, Vulnerability distribution per categories, Overdue items based on SLA, Top teams with vulnerabilities, Fastest/slowest teams to fix issues, Distribution of vulns. per teams, and many more. Finally we are going to show how can you create some benchmarks against the industry.
You are going to get from 0 or limited data due the tooling you have to a hero of the dashboards and data driven decision making.

Vadpic.png 18:00h - 18:05h Cierre de la jornada
Vicente Aguilera Díaz. vicenteaguileradiaz.com - @VAguileraDiaz.
OWASP Spain Chapter Leader. Socio y Director Dpto. Auditoría en Internet Security Auditors.



Twitter: @OWASPSpain
Hashtag de la jornada: #OWASPSpain11
Twitter-logo-icon.jpeg

LOCALIZACIÓN de la sala de conferencias:

Sala Auditori Edifici Sant Josep - La Salle Campus Barcelona
C. Sant Joan de La Salle, 42
Barcelona

Ver ubicación en Google Maps.

Salle-auditori-1.gif

Salle-auditori-3.gif

PONENTES

TBD
TBD




PATROCINADORES Y COLABORADORES

Esta sección ofrece detalles sobre cada uno de los patrocinadores y colaboradores del X OWASP Spain Chapter Meeting. OWASP Spain agradece a todos ellos el esfuerzo realizado para dar soporte a nuestro evento.

Si desea conocer las opciones de patrocinio disponibles, contacte con Vicente Aguilera Diaz.

PATROCINADORES
Internet Security Auditors

Internet Security Auditors nace el año 2001 con el objetivo de ser un proveedor de seguridad independiente y que actualmente ofrece servicios globales de Seguridad TIC desde sus oficinas de Barcelona y Madrid. La empresa es un referente en áreas como el Hacking Ético y las Auditorías de Seguridad, de Código Fuente y, en general, de la integración de la Seguridad en el Ciclo de Vida del Desarrollo de Software.

Internet Security Auditors fue la primera empresa en homologarse como QSA, PA-QSA y ASV por el PCI SSC para poder llevar a cabo Auditoría de Certificación del cumplimiento de PCI DSS y PCI PA-DSS, siendo además la primera empresa española en operar con estas certificaciones en Europa, EEUU y toda Iberoamérica.

Internet Security Auditors desarrolla proyectos en áreas tecnológicas punteras como son NFC para el pago móvil, aplicaciones móviles en las diferentes plataformas del mercado, ciberseguridad en entornos industriales, etc. y cuenta entre sus clientes algunas de las mayores empresas de todos los sectores de banca y seguros, industria, retail, e-commerce, etc., entre las que se encuentran un tercio de empresas del IBEX35, desarrollando proyectos en Europa y América.


COLABORADORES
La Salle Campus Barcelonae

En La Salle Campus Barcelona apostamos por la Innovación, la Tecnología, la Digitalización y el Emprendimiento. La Salle es una Universidad innovadora con una fuerte base tecnológica, que potencia el emprendimiento. Utilizamos una metodología diferencial, activa y flexible “learning by challenge” basada en casos reales. Nuestros profesores son profesionales en activo y académicos de prestigio.

Estudiando un máster en La Salle tendrás la posibilidad de dar un impulso a tu futuro profesional gracias a las más de 3.000 empresas de 22 sectores con las que colaboramos y a nuestra Bolsa de Trabajo que gestiona anualmente 700 convenios y 4.500 oportunidades laborales.

Somos un Campus de Excelencia Internacional con Másters reconocidos en rankings nacionales e internacionales. Te ofrecemos formatos presenciales, semipresenciales y online.


CALL FOR PAPERS

Periodo de presentación de propuestas
  • Inicio: 18 de septiembre de 2017
  • Fin: 31 de octubre de 2017


Formato de ponencias
  • Seleccione entre 30 minutos y 60 minutos.


Envío de propuestas
  • El plazo de presentación de propuestas finaliza el domingo 22 de octubre de 2017.
  • Información a facilitar sobre su propuesta de ponencia:
    • Información del ponente
    • Información sobre la ponencia
    • Biografía del ponente
    • Recursos de soporte necesarios
    • Ciudad y pais desde el que se desplaza
  • Descargue aquí la plantilla a utilizar para comunicar su propuesta.
  • Las propuestas deberán ser enviadas a Vicente Aguilera Diaz.


Características
  • Del 31/10 al 03/11 se analizarán las propuestas recibidas y se comunicará a todos los candidatos el resultado de su evaluación.
  • El 6 de noviembre se actualizará la agenda con los ponentes aceptados.


Información adicional
  • Síganos en Twitter (@OWASPSpain) para conocer las novedades del evento (#OWASPSpain11).
  • Puede consultar nuestros eventos anteriores aquí.
  • Para cualquier consulta sobre el CFP o este evento, puede contactar con nosotros.





Buttoncreate.png

LOGO-OWASP-SPAIN-SMALL.png