Spain/Chapter Meeting

From OWASP
Revision as of 06:28, 22 November 2017 by Vicente.aguilera (talk | contribs)

Jump to: navigation, search

797px-Owasp banner web con.jpg

XI OWASP Spain Chapter Meeting - Barcelona, jueves 23 de noviembre de 2017

Estas conferencias, abiertas y gratuitas, reúnen desde 2006 a los profesionales del sector de la seguridad de nuestro país y se han consolidado como un evento de referencia sobre seguridad en el software.

Buttoncreate.png

Si desea conocer las opciones de patrocinio disponibles, contacte con Vicente Aguilera Díaz.

Organiza: Patrocina: Colabora:
LOGO-OWASP-SPAIN-SMALL.png Isecauditors-logo-3.jpg LA SALLE Castellano URL-logo.jpg


Barcelona, jueves 13 de diciembre de 2018
AGENDA de la jornada:

08:00h - 08:55h Registro de asistentes
Abella-80x80.png 09:00h - 09:05h Bienvenida
Jaume Abella Fuentes @JaumeAbella.
Coordinador del Máster de Ciberseguridad. La Salle Campus Barcelona.
Vicente_80x80.png 09:05h - 09:15h Introducción a la jornada
Vicente Aguilera Díaz. vicenteaguileradiaz.com - @VAguileraDiaz.
OWASP Spain Chapter Leader. Socio y Director Dpto. Auditoría en Internet Security Auditors.
20181123100130%21Marc-80x80.jpg 09:15h - 10:15h Lazarus resurface, APT group analysis
Marc Rivero López. @Seifreed.
Threat Researcher. McAfee.

Los analistas del equipo McAfee Advanced Threat Research (ATR) han descubierto una campaña agresiva de phishing para el robo de Bitcoin por parte del grupo internacional conocido como Lazarus utilizando malware sofisticado con un impacto a largo plazo. En esta nueva campaña, apodada como "HaoBao", se vuelve a utilizar correos electrónicos de phishing anteriormente utilizados por parte de Lazarus, simulando un reclutamiento de empleados, pero ahora dirigido a usuarios de Bitcoin y organizaciones financieras globales. Cuando las víctimas abren los documentos maliciosos adjuntos en los correos , el malware explora actividad de Bitcoin en el sistema y luego establece un implante para la recopilación de datos a largo plazo.Los objetivos de HaoBao y los implantes hasta ahora nunca vistos son una señal para McAfee ATR de la existencia de una campaña ambiciosa de Lazarus para establecer la ciberdelincuencia de la criptomoneda a un nivel sofisticado.
Durante la charla se desvelarán los detalles de dicha operación, analizando los implantes hasta ahora nunca vistos y no utilizados en las campañas anteriores de Lazarus desde 2017. Además, esta campaña implementa un implante de recopilación de datos que se basa en la descarga de una segunda etapa para ganar persistencia. Los implantes contienen una palabra codificada "haobao" que se usa como un interruptor cuando se ejecuta desde la macro de Visual Basic.

Jarivas_80x80.jpg 10:15h - 10:45h Beyond Web Security: OWASP IoT Project
José Alejandro Rivas Vidal.
Security Lab Manager. Applus Laboratories.

Most people, when they think on OWASP, they imagine the web security or the mobile security projects. These are the biggest initiatives till the date in OWASP. Fortunately, there are others like the OWASP IoT Project.
It started in 2014, however at that time IoT Security was not a hot topic as it is nowadays. During 2018, the project has been relaunched focus on the update of the IoT Top 10. Several people have been involved in the new Top 10. The IoT project is really important now and the goal is evolved with further IoT activities.
During the talked, I will explain what we are doing, how we ran the project, future plans and many more.

10:45h - 11:30h Coffee-break
Sauron-80x80.jpg 11:30h - 12:30h Haruka tooi tooi mukashi makare ta kubi wa
Pedro Candel. @NN2ed_s4ur0n.
Co-Founder de CS3 Group.

Versará sobre “romper cosas” en varios entornos que no han tenido en cuenta ninguna de las premisas del proyecto OWASP Top Ten 2017, un año más. Como novedad, se mostrará un fallo de un reconocido “controlador” del hogar inteligente, donde nos permitirá tomar completamente el control de todos los dispositivos del hogar conectados “y ofrecidos” por algo que comienza como “Alex…” o “Goog…” debido a sus carencias en cuanto al diseño de las APIs, controladores y servicios que emplean para poder tener un “hogar inteligente” donde simplemente seamos capaces de “encender las luces” con un mensaje de voz o con un ruido provocado por unas palmadas, “conectar la calefacción”, “encender el aire acondicionado”, “subir las persianas”, etc… pero que al usuario, simplemente le interesa la comodidad… aunque siempre hay un “ojo que lo ve y una oreja que lo escucha”…

Carlos_80x80.jpg 12:30h - 13:30h Social Network Analysis
Carlos Seisdedos. @CarloSeisdedos
Analista de Inteligencia.

El Social Network Analysis (SNA) surgió para de estudiar los procesos de comunicación que se producen entre las personas que conforman una estructura social. Esta estructura social o red social, está formada por un grupo de actores que pueden ser personas, organizaciones u otro tipo de entidades y las distintas relaciones que los vinculan.
Las redes criminales o terroristas, al igual que cualquier organización social, están formada por grupos de individuos que interactúan para desarrollar sus actividades y cumplir con sus objetivos.

Sobre estas redes también se pueden aplicar dichas técnicas.
13:30h - 15:00h Pausa
20181128111834%21Christian-80x80.jpg
Xavier-80x80.jpg
15:00h - 16:00h Full automated Security lifecycle in a modern Web Application environment
Christian Martorella @laramies and Xavi Méndez @x4vi_mendez
Security Engineering. Skyscanner.

How we achieved full security visibility in a high growth microservices and microsite environment, and the journey to achieve a full lifecycle from security detection at every layer of a service, contextualising all the data and finally how we feedback all the issues to the engineering teams.

Adelrio-80x80.jpg 16:00 - 16:30h Verificando la seguridad de firmwares Android
Alberto Del Rio. @berbus8
Analista de Ciberseguridad. jtsec.

ASCT (Android Security Configuration Tester) es un conjunto de herramientas concebidas para abarcar la mayoría de las pruebas de seguridad relacionadas con firmwares de Android, tanto a través del análisis dinámico como estático. La herramienta primero recopila toda la información que necesita de un dispositivo (ya sea emulado o conectado a través de USB) usando el Android Debugger (ADB); luego, analiza todos los datos en busca de configuraciones erróneas y agujeros de seguridad que puedan conducir a vulnerabilidades.
Tanto el proceso de recopilación de datos como el análisis de los mismos pasan por las siguientes 10 etapas: 1) Análisis de permisos; 2) Sticky bit & SETUID; 3) Address Space Layout Randomization; 4) NX/XD; 5) Kernel Flags; 6) Comprobación del sistema; 7) Procesos; 8) Puertos abiertos; 9) Seguridad mejorada en Linux; 10) Permiso de aplicación.

Lebenitez-80x80.jpg 16:30h - 17:30h Una mirada al Dark Web y la usurpación de identidades
Luis Enrique Benítez Jaspe.
Cybersecurity Strategy Projects. i2CAT Foundation.

Tendemos a pensar que si algo que no aparece en los principales buscadores es porque sencillamente no existe, sin embargo al menos un 90% del contenido en internet no es accesible a través de los buscadores. En esta ponencia se dará una introducción sobre lo que se conoce como la web oscura, la industria del Malware as a service (MaaS) y la usurpación y suplantación de identidades, así como de las distintas técnicas de las que se valen los ciberdelicuentes para obtener sus objetivos. Los Ciberataques de hoy son más sencillos de lo que crees y todos estamos expuestos.

Jcgamero_80x80.jpg 17:30h - 18:00h Cryptojacking: Detección, prevención y casos reales. Vol. 2
José Carlos García Gamero. @jcgarciagamero.
Creador de @NotMININGorg e @inspecturl.

En esta charla explicaré casos de cryptojacking reales, de interés, que hemos visto a lo largo de todo este tiempo, así como la forma de evitarlos y detectarlos. Completaré la charla con una investigación que hicimos junto a ESET en la infección masiva al gestor de contenidos Drupal, y los nuevos métodos que están usando los cibercriminales.

Vicente_80x80.png 18:00h - 18:05h Cierre de la jornada
Vicente Aguilera Díaz. vicenteaguileradiaz.com - @VAguileraDiaz.
OWASP Spain Chapter Leader. Socio y Director Dpto. Auditoría en Internet Security Auditors.



Twitter: @OWASPSpain
Hashtag de la jornada: #OWASPSpain12
Twitter-logo-icon.jpeg

LOCALIZACIÓN de la sala de conferencias:

Sala Auditori Edifici Sant Josep - La Salle Campus Barcelona
C. Sant Joan de La Salle, 42
Barcelona

Ver ubicación en Google Maps.

Salle-auditori-1.gif

Salle-auditori-3.gif

PONENTES

TBD
TBD




PATROCINADORES Y COLABORADORES

Esta sección ofrece detalles sobre cada uno de los patrocinadores y colaboradores del XII OWASP Spain Day. OWASP Spain agradece a todos ellos el esfuerzo realizado para dar soporte a nuestro evento.

Si desea conocer las opciones de patrocinio disponibles, contacte con Vicente Aguilera Diaz.

PATROCINADORES
Internet Security Auditors

Internet Security Auditors nace el año 2001 con el objetivo de ser un proveedor de seguridad independiente y que actualmente ofrece servicios globales de Seguridad TIC desde sus oficinas de Barcelona, Madrid y Bogotá. La empresa es un referente en servicios de Red Team, Hacking Ético en todo tipo de entornos y aplicaciones, revisiones de seguridad de Código Fuente y consultoría para la mejora de procesos de la Seguridad en el Ciclo de Vida del Desarrollo de Software implementando OWASP SAMM.

Internet Security Auditors es la única empresa iberoamericana homologada como QSA, PA-QSA, QSA(P2PE), 3DS Assessor y ASV por el PCI SSC para poder llevar a cabo Auditorías de Certificación del cumplimiento de PCI DSS, PA-DSS y P2PE, siendo la empresa referente en ambos lados del atlántico y desarrollando proyectos en Europa, Iberoamérica y EEUU.

Internet Security Auditors desarrolla proyectos en áreas tecnológicas punteras en Medios de Pago, aplicaciones móviles en las diferentes plataformas del mercado, ciberseguridad en entornos industriales, etc. y cuenta entre sus clientes algunas de las mayores empresas de todos los sectores de banca y seguros, industria, retail, e-commerce, etc., entre las que se encuentran un tercio de empresas del IBEX35, desarrollando proyectos en grandes compañías de Europa y América.

La Salle Campus Barcelona

En La Salle Campus Barcelona apostamos por la Innovación, la Tecnología, la Digitalización y el Emprendimiento. La Salle es una Universidad innovadora con una fuerte base tecnológica, que potencia el emprendimiento. Utilizamos una metodología diferencial, activa y flexible “learning by challenge” basada en casos reales. Nuestros profesores son profesionales en activo y académicos de prestigio.

Estudiando un máster en La Salle tendrás la posibilidad de dar un impulso a tu futuro profesional gracias a las más de 3.000 empresas de 22 sectores con las que colaboramos y a nuestra Bolsa de Trabajo que gestiona anualmente 700 convenios y 4.500 oportunidades laborales.

Somos un Campus de Excelencia Internacional con Másters reconocidos en rankings nacionales e internacionales. Te ofrecemos formatos presenciales, semipresenciales y online.


CALL FOR PAPERS

Periodo de presentación de propuestas
  • Inicio: 8 de octubre de 2018
  • Fin: 11 de noviembre de 2018


Formato de ponencias
  • Seleccione entre 30 minutos y 60 minutos.


Envío de propuestas
  • El plazo de presentación de propuestas finaliza el domingo 11 de noviembre de 2018.
  • Información a facilitar sobre su propuesta de ponencia:
    • Información del ponente
    • Información sobre la ponencia
    • Biografía del ponente
    • Recursos de soporte necesarios
    • Ciudad y pais desde el que se desplaza
  • Descargue aquí la plantilla a utilizar para comunicar su propuesta.
  • Las propuestas deberán ser enviadas a Vicente Aguilera Diaz.


Características
  • Del 12/11 al 16/11 se analizarán las propuestas recibidas.
  • El 19/11 se actualizará la agenda con las ponencias aceptadas.


Información adicional
  • Síganos en Twitter (@OWASPSpain) para conocer las novedades del evento (#OWASPSpain12).
  • Puede consultar nuestros eventos anteriores aquí.
  • Para cualquier consulta sobre el CFP o este evento, puede contactar con nosotros.





Buttoncreate.png

LOGO-OWASP-SPAIN-SMALL.png