Propuestas!para!votación!de! los!cfp/cft!seleccionados!

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Propuestas!para!votación!de! los!cfp/cft!seleccionados!"

Transcripción

1 Propuestasparavotaciónde loscfp/cftseleccionados CONGRESO DE SEGURIDAD INFORMATICA #nnc5ed Organización de Navaja Negra & ConectaCon Agosto de 2015

2 1.- CONGRESO DE SEGURIDAD INFORMATICA #NNC5ED OBJETIVOS #NNC5ED Realizar el Congreso de Seguridad Informática #nnc5ed aprovechando el V aniversario de NAVAJA NEGRA junto con "ConectaCON" de Jaén, donde unimos esfuerzos y objetivos comunes que celebraría su cuarta edición. Nos permitirá difundir, compartir y transmitir el conocimiento de los investigadores de seguridad o hackers a la comunidad, empresas del sector privado y público y a la propia Universidad, los avances, investigación e innovación que se han producido en el panorama español e internacional. Impulsar el espíritu de comunidad técnica de seguridad fomentando la colaboración entre el público asistente, ponentes, empresas de los sectores privados y públicos y a la propia Universidad. Consolidar y posicionar el evento dentro del panorama público nacional de Conferencias, Jornadas y Congresos de Seguridad como uno de los eventos técnicos más importantes ASOCIACIÓN SIN ÁNIMO DE LUCRO NAVAJA NEGRA PARA TRATAMIENTO FISCAL Por aprovechamiento de infraestructura y celebrarse en Albacete, lugar de origen de Navaja Negra, se empleará en adelante por acuerdo común de ambas Organizaciones la forma legal y tratamiento fiscal de Navaja Negra, que es una Organización sin ánimo de lucro, inscrita en el Registro Nacional de Asociaciones con el número de inscripción del grupo 1, sección 1ª, constituida en junio de 2013 y reconocida como tal por Resolución expresa del Ministerio del Interior el 22 de julio de 2013 con número de salida con número de CIF G y domicilio social en la Calle Pico de los Artilleros nº 30, de Madrid capital (España). Página 2 de 75

3 Fecha 19/08/2015 Versión DATOS GENERALES DE NAVAJA NEGRA 5ª EDICIÓN FECHAS DE CELEBRACIÓN Se celebrará durante los días 1, 2 y 3 de Octubre de LUGAR NAVAJA NEGRA 5ª EDICIÓN Será celebrada en Albacete (España) y en función del tipo de actividad, se emplearán diferentes localizaciones, encontrándose todas ellas en el Campus Universitario de Albacete. Los TALLERES se celebrarán en el edificio Infante D. Juan Manuel (Escuela Superior de Ingeniería Informática de Albacete ESIIAB-) de la Universidad de Castilla-La Mancha (UCLM), las ACREDITACIONES, KEYNOTES, TRA y MERCHANDISING serán en el edificio José Prat (Vicerrectorado) de la Universidad de Castilla-La Mancha (UCLM) y los en el Hotel Universidad. El catering será servido en las instalaciones del vicerrectorado y la comida y fiesta de despedida final, se celebrarán en el Hotel concertado. Página 3 de 75

4 2.3.- SITUACIÓN Y ACCESOS El Campus Universitario de Albacete encuentra su acceso más importante en la Avenida de España, s/n, estando muy cercano al Parque Científico y Tecnológico de Albacete (PCyT), al Jardín Botánico de Castilla-La Mancha y al Estadio de fútbol Carlos Belmonte. La rotonda principal de entrada está presidida por la escultura del Pórtico de la Mancha del artista almanseño José Luis Sánchez Fernández levantada en Puede llegarse con comodidad caminado a pie desde diferentes puntos de la ciudad, destacando las principales distancias hasta los principales lugares de alojamiento (Hotel Los Llanos, 15 minutos -1,2 Km.-; Pensión Victoria, 17 minutos -1,4 Km.-; Hotel San José, 18 minutos -1,4 Km.-; Hotel Altozano, 26 minutos -2,1 Km.-; etc.). En las inmediaciones del propio Campus Universitario, se encuentra una zona de ocio y restauración. También, en cuanto a la principal parte de restauración, diversión y ocio de la ciudad, conocida como La Zona, se encuentra a 1,5 Km. tardando unos 19 minutos. Si se decide desplazarse mediante transporte público, en las inmediaciones del Campus Universitario existen varias paradas de taxi. Además, mediante la red de autobuses urbanos de Albacete, queda conectado con el resto de la ciudad mediante las siguientes líneas: Línea Trayecto Frecuencia Número de parada Campus Bº Vereda 11 minutos 11 y 12 Campus Hospital Perpetuo Socorro 12 minutos 11 y AFORO DISPONIBLE Aunque el aforo disponible es muy superior a la previsión de la Organización, se establecerá en 600 plazas disponibles para el principal espacio de las keynotes en el salón de actos principal. Página 4 de 75

5 Cada taller dispondrá de un total de 120 plazas y los de un total de 450 plazas disponibles. Página 5 de 75

6 2.5.- TIPOS DE ENTRADA Y PRECIO DEL CONGRESO El coste de la asistencia al Congreso de Seguridad por participante se establece en 40 euros. Con la acreditación de tipo general, se tendrá acceso a todas las charlas, talleres y dando derecho al catering del almuerzo, merienda y cena de los días de celebración del Congreso de Seguridad. También incluye la comida de hermandad que se celebrará el último día del Congreso. Se dispondrá de un porcentaje del 80% de éste tipo de entrada. Para los estudiantes que acrediten fehacientemente su condición (mediante la presentación de una copia de la matrícula actual) y desempleados (mediante la presentación de la tarjeta de desempleo en vigor, -sin permitirse las de situación de mejora de empleo-), se dispondrá de entradas reducidas con un descuento de un 25% al precio final de 30 euros. Se dispondrá de un porcentaje del 20% de éste tipo de entrada CERTIFICADO DE ASISTENCIA Se entregará a cada participante que lo solicite y cumplimente sus datos personales completos, un Certificado de Asistencia con créditos CPE para el mantenimiento de las Certificaciones CISSP, CISA y CISM. Página 6 de 75

7 PROPUESTAS DE CHARLAS PRESENTADAS NOTA MUY IMPORTANTE: En el proceso de votación, únicamente se podrá votar con el título de la charla y por eso ofrecemos la descripción de aquellas que finalmente las Organizaciones han elegido para ser votadas. Por favor, leedlo con detenimiento para valorar lo que quieres ver en la siguiente edición de #nnc5ed Página 7 de 75

8 C01.- CHARLA (50 MINUTOS + PREGUNTAS) SQRL 1.- DESCRIPCION SQRL (https://en.wikipedia.org/wiki/sqrl) es un nuevo esquema de autenticación online que permite prescindir del sistema de usuario y clave de la inmensa mayoría de sitios web. Al contrario de otros sistemas como OAUTH2, OPenID Connect o Mozilla Persona, SQRL hace hincapié en la privacidad y el anonimato del usuario. No es posible identificar al usuario, reconocer que dos cuentas en un sitio web pertenecen al mismo usuario o relacionar cuentas en servicios diferentes. Todo ello de forma simple y ligera tanto para el usuario como para el sitio web que soporte SQRL. Además SQRL supone un sistema "second factor" de forma automática a través de una aplicación móvil, simplemente leyendo un código QR. La ponencia presenta el sistema, explica su funcionamiento y repasa preguntas frecuentes sobre su dinámica diaria y su comportamiento ante casos excepcionales. Página 8 de 75

9 C02.- CHARLA (50 MINUTOS + PREGUNTAS) Un gran hermano a golpe de clic 1.- DESCRIPCION La proliferación de herramientas destinadas a la monitorización de la actividad en internet es el resultado de la aparición de nuevas formas de utilizar la red en sociedades que se encuentran cada vez más interconectadas. Las compañías tecnológicas han identificado un mercado que demanda de forma reiterada mecanismos que faciliten tanto la detección de posibles actividades fraudulentas como ataques a activos físicos o tecnológicos que, partiendo de la necesidad de atribuir una actividad en internet a una persona, permita identificar posibles usuarios teniendo en cuenta la forma en que se organiza la red. Sin embargo, la ausencia de soluciones que satisfagan la necesidad concreta de identificar usuarios en plataformas sociales sin depender directamente de servicios de terceros, ha motivado la presentación de una herramienta de software libre que permite realizar búsquedas en más de 200 fuentes diferentes. En este sentido, la herramienta está diseñada de modo que permite a sus usuarios incorporar nuevas fuentes de forma modular en minutos. El objeto de esta ponencia será la presentación de una herramienta que, a partir de una primera identificación de usuarios de forma masiva por las características comunes de sus publicaciones y siguiendo una metodología de investigación de perfiles en la red, sea capaz de identificar otros usuarios asociados en plataformas diferentes de cara a la preparación de ataques dirigidos. En este contexto, la charla propuesta estará estructurada como sigue: - En primer lugar, se identificarán las necesidades de investigación que motivan la creación de un framework capaz de recabar - En segundo lugar, se recogerá el proceso de configuración e instalación de la herramienta. - En tercer lugar, se definirá un método de trabajo utilizando las diferentes funcionalidades de dicha herramienta. - En cuarto lugar, se recogerán propuestas concretas para la utilización de dicha información en ataques de ingeniería social y spear phishing contra los usuarios. - En quinto lugar, se definirá el proceso de integración del framework con una herramienta de investigación como Maltego. - En sexto lugar, se propondrán casos prácticos de investigación en los que se exploten las posibilidades que ofrecen las herramientas incluidas. Página 9 de 75

10 - Por último, se detallarán las conclusiones a extraer de este trabajo relativas a la utilización indiscriminada de este tipo de herramientas y a cómo la información personal que los usuarios exponemos en la red es valiosa en sí misma para la adecuación de ataques contra objetivos concretos como los propios usuarios Página 10 de 75

11 C03.- CHARLA (50 MINUTOS + PREGUNTAS) Cómo se hizo El bueno, el feo y el malo? 1.- DESCRIPCION Los dispositivos móviles están amenazados por comportamientos muy comunes del usuario ( instalas aplicaciones móviles (apps)?), la integración con la plataforma del fabricante ( tienes cuenta de Apple, Google, Microsoft...?), y por vulnerabilidades técnicas ( dispones de la última versión de SO?). Estos tres factores ponen en riego al propio dispositivo, todos los datos e información que gestiona (local y remotamente) y las credenciales del usuario. Analicemos de forma práctica y en directo los detalles técnicos de preparación y realización de un ataque sobre Android que muestra en acción este trío, manipulando el código de apps e integrándolo con Metasploit, instalando apps remotamente, y explotando otras vulnerabilidades para escalar privilegios hasta tomar control completo del dispositivo móvil víctima. Página 11 de 75

12 C04.- CHARLA (50 MINUTOS + PREGUNTAS) Seguridad y criptografía en Python 1.- DESCRIPCION La charla tendrá como objetivo introducir la criptografía y la seguridad desde el punto de vista del desarrollador, mostrando maneras de cifrar la información con scripts de Python y la información más sensible en aplicaciones web usando Django. Voy a presentar a la seguridad en Python, mostrando algunas librerías que permiten el encriptado y desencriptado de los datos como Pycrypto o Cryptography, comparando los principales sistemas de cifrado como AES, RSA, PBKDF2.Mostraré otras técnicas como la esteganografía que permiten ocultar información en archivos (imágenes, documentos, programas) con algunas librerías de Python como Stepic o Stegano. Con respecto al desarrollo seguro de aplicaciones desarrolladas con Django, podemos encontrar dentro del proyecto OWASP, un conjunto de buenas prácticas para detectar cómo Django nos puede ayudar a evitar ataques que se aprovechen de estas vulnerabilidades. Entre los puntos a tratar podríamos destacar: - Introducir los conceptos clave utilizados dentro del mundo de la criptografía. - Introducción a algunas librerías de criptografía como pycrypto o cryptography que nos permiten encriptar/desencriptar la información utilizando los algoritmos más conocidos (SHA,AES,RSA, PBKDF2). - Algoritmos de clave simétrica y asimétrica comentando las librerías que disponemos en Python para desarrollar nuestros scripts. - Firma digital y proceso de verificación con las librerías comentadas. - Mejores prácticas para utilizar correctamente las funciones criptográficas, comentando técnicas más avanzadas como Key Stretching para la generación de claves seguras para evitar ataques por diccionario o por fuerza bruta. - Desarrollo seguro y buenas prácticas en aplicaciones web con Django. - Comentar la principales vulnerabilidades que podemos encontrar en un sitio web(sql injection, XSS, CSRF) y cómo Django nos puede ayudar a evitar ataques que se aprovechen de estas vulnerabilidades. Página 12 de 75

13 C05.- CHARLA (50 MINUTOS + PREGUNTAS) MongoLOL: MongoDB Data Exposed & Responsible Disclosure 1.- DESCRIPCION La charla versará sobre la importancia de proteger los servicios de bases de datos NoSQL y no exponer contenidos sensibles de las bases de datos en Internet ya que han sido comprobados por el autor la exposición de datos confidenciales entre los que se incluyen credenciales de acceso empleadas que comprometen la seguridad. Recientemente apareció la noticia que más de 600 TB de información de MongoDB habían sido expuestos y fácilmente localizables con buscadores del tipo Shodan. Mucho antes de la aparición de la noticia, el autor de la charla totalmente ajeno a dicha noticia, reportó al Grupo de Delitos Telemáticos de la Guardia Civil que había miles de bases de datos localizadas en España que exponían información sensible, entre ellas, bases de datos de diferentes Organismos Nacionales e Internacionales, ISPs, publicaciones online, concursos de televisión, aplicaciones móviles, aplicaciones propietarias, etc. Con herramientas libres del tipo NoSQLMap, MongoHub y pequeños scripts, podemos recuperar todos los usuarios y contraseñas, entre otros datos no menos sensibles como la hora a la que se dará un premio, etc. de las bases de datos MongoDB que han sido expuestas comprometiendo gravemente la seguridad de ciertas Organizaciones. Se verán ejemplos prácticos en tiempo real de cómo se podría llevar a cabo de forma totalmente automatizada el volcado y procesado y eso no quiere decir que supuestamente alguien no lo haya hecho ya... o mientras está siendo reportado de forma responsable LOL Página 13 de 75

14 En una segunda parte de la charla, se detallará cómo reportan miles de incidencias a las Compañías afectadas y si el proceso se lleva a cabo por , correo certificado, burofax? Se contará cómo se puede realizar y cómo se le da un seguimiento adecuado, protegiendo al investigador de seguridad que ha reportado. Página 14 de 75

15 C06.- CHARLA (50 MINUTOS + PREGUNTAS) Juego de troyanos 1.- DESCRIPCION La mayoría de los principales fabricantes de sistemas de seguridad perimetral implementan técnicas de listas negras y reputación de dominios. Ejemplos de servicios de subscripción a estas listas negras los podemos encontrar en cortafuegos, así como en sistemas SIEM, como por ejemplo el servicio OTX de Alienvault. Sin embargo, los atacantes están permanentemente buscando nuevas formas de evadir sistemas de seguridad basados en las citadas listas negras, listas de reputación de direcciones IPs y dominios, filtros web, etc. Podríamos hacer que un equipo infectado con malware se salte estas listas negras para conectarse a su servidor de C&C? Veremos que en gran parte sí, mediante los conocidos como Algoritmos de Generación de Dominios o DGA, que concretamente son algoritmos que utilizan malwares como Conficker, Cryptolocker y Zeus para generar aleatoria y dinámicamente dominios donde se alojan los servidores de C&C. Esta técnica permite a un troyano generar una lista de dominios diferentes donde puede estar alojado el servidor de C&C, y a los cuales intentará conectarse el equipo infectado, de tal manera que el atacante lo único que tiene que hacer es registrar uno de esos dominios, realizar las operaciones fraudulentas que desee, y volver a des- registrar el dominio. Página 15 de 75

16 C07.- CHARLA (50 MINUTOS + PREGUNTAS) Sé lo que hicisteis el último verano (me lo dice Whatsapp Intelligence) 1.- DESCRIPCION En la charla se verá cómo desde cero se ha desarrollado una herramienta de inteligencia OSINT que explote la información que los usuarios vuelcan en Whatsapp. Para ello, se aprenderá a monitorizar el tráfico de diferentes tipos de redes inalámbricas (OPN,WEP,WPA/WPA2) en busca de paquetes que transmitan información de usuarios de Whatsapp de manera automatizada, mediante herramientas como airodump-ng o similares. A continuación se aprenderá a desarrollar diferentes scripts en Perl que obtengan la información de los números de teléfono de usuarios de Whatsapp presentes en una captura de paquetes, así como otros scripts que analicen léxicamente diferentes portales Web de anuncios donde los usuarios también exponen esta información. A continuación, se comenzará a desarrollar una herramienta OSINT utilizando las tecnologías Apache, PHP y MySQL para descargar información de perfiles de usuario de los servidores de Whatsapp a partir de los números de teléfono de usuarios obtenidos en los pasos anteriores como fuente de entrada, y procesarla de cara a obtener inteligencia. Se profundizará a nivel técnico en todos los pasos del proceso y el desarrollo de los scripts de cara a que los asistentes puedan construir su propia herramienta de inteligencia durante la sesión del taller. Se introducen conceptos relacionados con la generación de inteligencia OSINT (Open Source Intelligence), inteligencia recopilada a partir de fuentes de acceso público, junto con sus aplicaciones y algunas herramientas que se pueden utilizar para extraer información y generar conocimiento a partir de dichas fuentes. A continuación, se expone la idea de generar conocimiento e inteligencia OSINT a partir de Whatsapp, tomando para ello como muestra números de teléfono de usuarios anónimos de Whatsapp que se han ido recopilando en diferentes redes Wifi públicas con Whatsapp Discover, herramienta publicada por Deepak Daswani en 2013 que se basa en extraer dicha información a partir de un paquete que los dispositivos móviles transmiten a los servidores de Whatsapp en texto plano antes de comenzar la comunicación cifrada. Se mostrará a los asistentes todos los pasos del proceso para monitorizar correctamente diferentes tipos de redes inalámbricas de cara a obtener los paquetes donde viaja la información de los usuarios de Whatsapp, como el sistema operativo, la versión de Whatsapp, el puerto utilizado y el número de teléfono. Página 16 de 75

17 Se demostrarán algunos ejemplos de cómo se puede obtener muchísima información de personas desconocidas a partir de la información que publican en su perfil de Whatsapp, una vez obtenido su número de teléfono y analizado el resto de tráfico que generan en una red. Tras analizar el tráfico se aprenderá a desarrollar desde cero el script en Perl de Whatsapp Discover. En dicho script se introducirán las nociones para parsear paquetes de ficheros.cap recogidos en los pasos anteriores mediante el uso de expresionres regulares. Página 17 de 75

18 A partir de aquí, se iniciará una exposición de cómo desarrollar una herramienta similar a Whatsapp Intelligence, que se crea con objeto de generar inteligencia a partir de la información que los usuarios vuelcan públicamente en Whatsapp, tomando como muestra un número determinado de números de teléfono de usuarios desconocidos. Whatsapp Intelligence es un script desarrollado en PHP que utiliza la API Whatsapi-Oficial desarrollada por la comunidad para conectarse a los servidores de Whatsapp Durante la charla, se aprenderá a utilizar WhatsAPI para conectarse mediante una cuenta legítima a los servidores de Whatsapp. Es necesario conocer la manera de obtener las credenciales de acceso a una cuenta legítima de Whatsapp. Se demostrará cómo poder hacer esto en diferentes dispositivos, tanto ios como Android. Una vez que se dispongan de dichas credenciales, se puede empezar a desarrollar un script que tras conectarse a los servidores de Whatsapp, obtiene para cada usuario la foto de perfil, la información de estado y última hora en línea, para almacenarla en una estructura de directorios, así como en una BBDD MySQL de cara a procesarla posteriormente para generar conocimiento. Se configurará todo el entorno de desarrollo Apache + PHP + MySQL, y se construirá el script utilizando WhatsAPI en PHP. Posteriormente, se probará en tiempo real del uso de la herramienta, con casos prácticos, así como ejemplos de información y conocimiento que se ha obtenido de la vida de diferentes usuarios anónimos tomados como muestra en el estudio. Página 18 de 75

19 A través de los ejemplos que se exponen es posible observar cómo a través de Whatsapp Discover se puede obtener información de la vida de las personas, lugares de trabajo, nombres de familiares, fotos de hijos menores, mascotas, aficiones, lugares favoritos, así como estados de ánimo, emociones o incluso dependencia de Whatsapp. Son muchos los usuarios que vuelcan prácticamente toda su vida y emociones a través de su foto de perfil o de su estado de Whatsapp. Se demostrará también durante la charla cómo es posible utilizar otras fuentes de información para obtener números de teléfono de usuarios de Whatsapp, además de las redes Wifi públicas. Para ello, se desarrollará un script en Perl que extrae de la web de Milanuncios, números de teléfono de anunciantes que incluyen la cadena atiendo whatsapp dentro del texto de su anuncio. Para este caso, se adaptará el script Whatsapp Intelligence desarrollado previamente para recoger además de la información que ya de por sí recoge sobre Whatsapp, el texto del anuncio y el nombre del anunciante, de cara a disponer de más información aún que ayude a obtener un perfil de la persona a analizar. Página 19 de 75

20 Por último, se introducirán otros usos que se pueden dar a esta herramienta así como líneas futuras de investigación que se pueden abrir a partir del trabajo realizado hasta la fecha. Es posible obtener más información de Whatsapp Intelligence y su funcionamiento, en la serie de artículos publicados por Deepak Daswani en el blog El lado del Mal, de Chema Alonso: No obstante, algunas de las funcionalidades y scripts que se expondrán en la charla no han sido publicadas en estos artículos, como la herramienta que extrae la información del portal Milanuncios de cara a mostrar a los asistentes contenido inédito que no se haya publicado previamente. Del mismo modo, se está trabajando en la actualidad en potenciar la herramienta de cara a automatizar la generación de inteligencia a partir de los datos obtenidos, con la búsqueda inversa por imágenes de fotos de perfil de los usuarios, de cara a poder establecer una relación entre sus perfiles de Whatsapp, su número de teléfono, y posibles perfiles en redes sociales como Twitter, Linkedin, Google+ o Facebook. Esta funcionalidad en la que aún se está trabajando se presentaría por primera vez y de manera inédita en Navaja Negra Página 20 de 75

21 C08.- CHARLA (50 MINUTOS + PREGUNTAS) (in)secure booting Linux 1.- DESCRIPCION En esta charla se dará una breve introducción al proceso de arranque de Linux, qué partes lo componen y cómo podemos ejecutar código arbitrario en dicho proceso. Además veremos cómo podemos cifrar el disco sin poner en peligro el bootloader, qué peligros son esos y cómo un atacante podría hacerse con el control de la máquina (o con la clave de cifrado) si no tomamos las medidas oportunas. Descripción: 1. Presentación 2. Introducción a. Qué ocurre en un PC desde que se pulsa el botón de encendido hasta que carga el escritorio? b. BIOS/UEFI/SecureBoot c. Bootloaders. Grub. Fases 3. Cifrando el disco a. LUKS, dmcrypt b. Claves, keyfiles, slots. 4. Vulnerabilidades 5. Demo a. /boot sin cifrar b. Claves en memoria 6. Mitigando el riesgo 7. Conclusiones 8. Preguntas En la demo veremos el problema desde el punto de vista del atacante en varios escenarios, y nos las apañaremos para ver cómo ejecutar código en tiempo de arranque tras manipular el fichero initrd, antes de que se ejecute el kernel. Veremos que es posible, entre otras cosas, capturar la contraseña de cifrado de disco al ser introducida al arranque o instalar puertas traseras en el sistema. Página 21 de 75

22 C09.- CHARLA (50 MINUTOS + PREGUNTAS) A REY MUERTO, REY PUESTO. IPv6 ya está aquí 1.- DESCRIPCION En esta ponencia se presentará oficialmente el primer servicio de búsqueda de información sobre servicios expuestos a Internet en IPv6. Este servicio permite realizar búsquedas sobre información de banners, IPs, puertos, geolocalización, etc. Alguna vez te has planteado trastear con IPv6? Pues este es el momento... Los ponentes han elegido la quinta edición de Navaja Negra para la presentación oficial del primer motor de búsqueda de servicios en IPv6 dando a conocer detalles técnicos de cómo funciona el servicio y las posibilidades que ofrece. Durante la ponencia se presentarán casos prácticos de uso para que los asistentes tomen conciencia del escenario actual de servicios expuestos en IPv6 en Internet. Se realizarán búsquedas sobre la base de datos del servicio encontrando software afectado por vulnerabilidades conocidas. Además, se ofrecerán de otros ejemplos que muestran el potencial de esta fuente de información. Se intentará implicar a los asistentes para animarles a experimentar con IPv6. Para el desarrollo de este proyecto, se analizaron e implementaron diversos métodos propios para escanear y recolectar información de servicios expuestos en Internet en IPv6. Al contrario de lo que se piensa, sí es posible escanear redes IPv6 mediante métodos alternativos. Este servicio escanea de forma masiva y continua redes IPv6 recopilando información que resulta de mucha utilidad para el mundo de seguridad. Actualmente, ya es posible detectar una cantidad elevada de servicios expuestos en internet escuchando en IPv6. El motor que soporta el servicio recopila, almacena y procesa información de cada servicio descubierto. Esta información es correlada con otras fuentes para aumentar el valor final de la información ofrecida al usuario. Los prefijos /8 en IPv4 ya se han agotado en el RIR ARIN y queda poco direccionamiento IPv4 disponible (https://www.arin.net/resources/request/ipv4_countdown.html). Se espera que en los próximos meses aumente considerablemente el número de usuarios y servicios expuestos en IPv6, y por tanto, las amenazas a estos servicios. Página 22 de 75

23 Debido al momento en el que nos encontramos respecto al despliegue de redes IPv6 y por la falta de experiencia a todos los niveles con el manejo de este protocolo, los ponentes consideran que esta charla resulta de especial interés para cualquier interesado en la seguridad informática. Página 23 de 75

24 C10.- CHARLA (50 MINUTOS + PREGUNTAS) Investigación digital, espionaje e inteligencia: implicaciones y consejos para un futuro incierto 1.- DESCRIPCION Durante los últimos años, diversas entidades privadas han sacado a la luz operaciones de espionaje digital cuyos actores se presuponen forman parte de un gobierno o de un ente con suficientes recursos como para cambiar el curso normal de los acontecimientos a nivel político, económico y social. Parte de la solución adoptada por la industria para minimizar el impacto de dichas campañas ha sido la utilización de inteligencia como disciplina aplicándola a estas amenazas digitales. Pero para lograr un conocimiento profundo de estas operaciones y sus implicaciones, la inteligencia como elemento táctico quizás no sea la mejor opción. El objetivo de esta sesión será, previa exposición de las campañas de espionaje digital más relevantes, profundizar en las implicaciones de estas amenazas y especialmente en la producción de inteligencia y como ha evolucionado el rol del analista/investigador. Por último se hará un recorrido por diversas alternativas de análisis que pueden ser aplicadas durante el estudio de este fenómeno. Finalmente, se darán algunos consejos respecto a la seguridad operacional (opsec) que alguien implicado en este tipo de investigaciones debería tener. A parte de explicar diversas campañas de espionaje de primera mano, la intención es mostrar que herramientas, recursos y metodologías de análisis podemos utilizar para entender operaciones de espionaje complejas y sobretodo, para protegernos a nosotros mismos como investigadores. Página 24 de 75

25 C11.- CHARLA (50 MINUTOS + PREGUNTAS) Let s encrypt 1.- DESCRIPCION Aunque defendemos constantemente la idea del cifrado ubicuo, uno de los problemas es la obtención y la gestión de los certificados X.509 necesarios. Incluso dejando al margen su coste monetario (existen entidades de certificación que emiten certificados de forma gratuita), la gestión de más de un puñado de certificados es una tarea delicada y proclive a errores. "Let's encrypt" es una iniciativa de emisión de certificados X.509 gratuitos y su renovación automática de forma segura. Su objetivo es bajar la barrera de entrada significativamente, de forma que esa visión de cifrado ubicuo pueda ser una realidad. Explicaremos qué es el proyecto, quien está detrás y algunos detalles de sus protocolos desarrollados para lograr su objetivo. Página 25 de 75

26 C12.- CHARLA (50 MINUTOS + PREGUNTAS) Destroying router security 1.- DESCRIPCION Los routers SOHO son un elemento fundamental en millones de redes domésticas y pequeñas empresas, por lo que un fallo de seguridad en uno de estos dispositivos puede tener graves consecuencias para sus usuarios. A lo largo de esta investigación, en la que se llevó a cabo un proceso de auditoría para evaluar la seguridad de estos dispositivos, fueron descubiertas más de 60 vulnerabilidades que afectan a 22 modelos de routers domésticos diferentes, estando la mayoría de ellos muy extendidos en España. Nuevas formas de ataque fueron desarrolladas, así como herramientas de explotación, y una metodología destinada a ayudar a investigadores futuros a encontrar problemas de seguridad. El objetivo es transmitir los conocimientos y resultados obtenidos durante el proceso de investigación, que desembocó en la publicación de más de 60 vulnerabilidades que afectan a 22 modelos de routers diferentes. Mediante la explicación de los problemas de seguridad encontrados, y la realización de demostraciones en vivo, se pretende mostrar de una forma eminentemente práctica, la sencillez con la que estos dispositivos pueden ser atacados. La estructura de la ponencia se compone de: - Introducción. Pequeña explicación de los objetivos de nuestra investigación. - Problemas de seguridad comunes. Superficie de exposición elevada debido al número de servicios y uso de credenciales por defecto. - Tipos de vulnerabilidades encontradas. Explicación de las vulnerabilidades descubiertas, incluyendo las siguientes demostraciones de explotación de routers en vivo: o DNS Hijacking explotando una vulnerabilidad Cross Site Request Forgery o Infección de un navegador explotando una vulnerabilidad Unauthenticated XSS o Descarga remota del sistema de ficheros de un router (incluyendo archivos de contraseñas y configuración), sin necesidad de un proceso de autenticación, explotando una mala configuración del servicio SMB. o Denegación de servicio persistente y restauración a ajustes de fábrica de un router, sin necesidad de un proceso de autenticación. - Herramientas desarrolladas. - Soluciones. Qué podemos hacer como usuarios para protegernos? Qué medidas deben tomar los fabricantes e ISPs? - Resultados. Explicación gráfica de los resultados obtenidos. - Conclusiones. Estado de la seguridad de los routers domésticos. Página 26 de 75

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

RSA ADAPTIVE AUTHENTICATION

RSA ADAPTIVE AUTHENTICATION RSA ADAPTIVE AUTHENTICATION Una plataforma integral de detección de fraudes y autenticación RESUMEN Mide el riesgo de las actividades de inicio de sesión o las posteriores al inicio de sesión evaluando

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

Wardriving Perú: Riesgos Ocultos. Jimmy Arthur Villanueva Llerena Especialista en redes y comunicaciones de datos

Wardriving Perú: Riesgos Ocultos. Jimmy Arthur Villanueva Llerena Especialista en redes y comunicaciones de datos Wardriving Perú: Riesgos Ocultos Jimmy Arthur Villanueva Llerena Especialista en redes y comunicaciones de datos Introducción La irrupción de la nueva tecnología basada en redes inalámbricas ha proporcionado

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec Metodología. www.dsteamseguridad.com La Metodología de la charla esta guiada por el concepto de cada una de las fases de ataque, con su respectiva demostración Arquitectura de Red (Laboratorio Virtual)

Más detalles

100% Laboratorios en Vivo

100% Laboratorios en Vivo 100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de

Más detalles

VÍDEO intypedia013es LECCIÓN 13: SEGURIDAD EN DNS. AUTOR: Javier Osuna García Malo de Molina

VÍDEO intypedia013es LECCIÓN 13: SEGURIDAD EN DNS. AUTOR: Javier Osuna García Malo de Molina VÍDEO intypedia013es LECCIÓN 13: SEGURIDAD EN DNS AUTOR: Javier Osuna García Malo de Molina GMV Jefe de División de Consultoría de Seguridad y Procesos Bienvenidos a Intypedia, en esta lección vamos a

Más detalles

Hacking Ético & Seguridad Ofensiva

Hacking Ético & Seguridad Ofensiva Hacking Ético & Seguridad Ofensiva INDICE DATOS DEL CURSO OBJETIVOS DEL CURSO CONTENIDO MATERIALES Y RECURSOS DEL CURSO EVALUACION DATOS DEL CURSO Duración: 6 Jornadas (30horas), (08:00 am a 13:00 pm)

Más detalles

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación LABORATORIO INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL SonicWALL SRA 4200 Universidad de Alcalá Departamento de Ciencias de la Computación SonicWALL SRA 4200 SonicWALL

Más detalles

Router Teldat. Interfaz Web

Router Teldat. Interfaz Web Router Teldat Interfaz Web Doc. DM801 Rev. 10.80 Abril, 2011 ÍNDICE Capítulo 1 Introducción... 1 1. Accediendo a la configuración del router... 2 Capítulo 2 Interfaz Web... 5 1. Estructura... 6 2. Inicio...

Más detalles

ENDPOINT PROTECTION STANDARD. Para empresas con más de 25 equipos

ENDPOINT PROTECTION STANDARD. Para empresas con más de 25 equipos ENDPOINT PROTECTION STANDARD Para empresas con más de 25 equipos 2 ESET Endpoint Protection Standard Tanto si acabas de montar tu empresa como si está ya establecida, hay algunas cosas que deberías esperar

Más detalles

Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso

Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso Por qué han recurrido los cibercriminales a los ataques de Los ataques a sitios web se han convertido en un negocio muy rentable. Antes, los cibercriminales infectaban sitios web para llamar la atención

Más detalles

POLITICA DE PRIVACIDAD

POLITICA DE PRIVACIDAD POLITICA DE PRIVACIDAD 1. Qué regula esta Política de Privacidad? Esta Política de Privacidad tiene por objeto informar al usuario que se descarga la aplicación sobre quiénes somos, qué tipo de datos personales

Más detalles

FORMACIÓN CURSO Instalación y configuración del software de servidor Web.

FORMACIÓN CURSO Instalación y configuración del software de servidor Web. FORMACIÓN CURSO Instalación y configuración del software de servidor Web. En un mercado laboral en constante evolución, la formación continua de los profesionales debe ser una de sus prioridades. En Galejobs

Más detalles

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar

Más detalles

ASISTENCIA TÉCNICA A LA SEGURIDAD INFORMÁTICA EN PYMES MANUAL MICROSOFT SECURITY ESSENTIALS

ASISTENCIA TÉCNICA A LA SEGURIDAD INFORMÁTICA EN PYMES MANUAL MICROSOFT SECURITY ESSENTIALS ASISTENCIA TÉCNICA A LA SEGURIDAD INFORMÁTICA EN PYMES MANUAL MICROSOFT SECURITY ESSENTIALS Microsoft Security Essentials Qué es? Microsoft Security Essentials tiene la potencia del motor Antimalware de

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

ebox: Servidor de dominio Windows libre y gratuito

ebox: Servidor de dominio Windows libre y gratuito ebox: Servidor de dominio Windows libre y gratuito Guía de instalación y configuración Manuel Morán Vaquero mmv@edu.xunta.es Febrero 2010 Esta guía está basada en la versión 1.2 de ebox Índice 1 Introducción

Más detalles

Seguridad Informática

Seguridad Informática BIBLIOTECA UNIVERSITARIA Seguridad Informática Material formativo Reconocimiento NoComercial-CompartirIgual (By-ns-sa): No se permite un uso comercial de la obra original ni de las posibles obras derivadas,

Más detalles

Administración de servicios Web (MF0495_3)

Administración de servicios Web (MF0495_3) Ficha de orientación al alumno para su participación en la acción formativa Administración de servicios Web (MF0495_3) A quién está dirigido este Módulo Formativo? Trabajadores ocupados o desempleados

Más detalles

Cómo funciona Solución mwatcher Let's connect

Cómo funciona Solución mwatcher Let's connect Cómo funciona Solución mwatcher Let's connect Introducción En este documento vamos a explicar cuáles son las problemáticas que nos encontramos a la hora de realizar un telemantenimiento o acceso remoto

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

RESUMEN DE SERVICIOS

RESUMEN DE SERVICIOS RESUMEN DE SERVICIOS Confidencial Enero 2014 Tabla de contenido Análisis de vulnerabilidades... 4 Por qué contratar el servicio?... 4 Características... 4 Plataformas... 5 Por qué confiar en GAIDEN?...

Más detalles

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.es KASPERSKY FRAUD PREVENTION 1. Formas de atacar a la banca online El primer motivo del cibercrimen es hacer dinero y las sofisticadas bandas criminales

Más detalles

Instituto de Educación Secundaria. Información para las familias. Curso 2013-14 2014-15

Instituto de Educación Secundaria. Información para las familias. Curso 2013-14 2014-15 Instituto de Educación Secundaria Información para las familias Curso 2013-14 2014-15 CUADERNILLO INFORMATIVO DE EDUCACIÓN SECUNDARIA OBLIGATORIA La finalidad del cuadernillo que usted está leyendo es

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

En la actualidad la navegación web es, con diferencia, una de las actividades a las que más tiempo dedicamos en nuestro uso habitual de Internet.

En la actualidad la navegación web es, con diferencia, una de las actividades a las que más tiempo dedicamos en nuestro uso habitual de Internet. GUIAS DE SEGURIDAD 1. Introducción En la actualidad la navegación web es, con diferencia, una de las actividades a las que más tiempo dedicamos en nuestro uso habitual de Internet. Pero es segura la navegación

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

In-seguridad y malware en dispositivos móviles

In-seguridad y malware en dispositivos móviles In-seguridad y malware en dispositivos móviles Damián Muraña damian @ murana.uy @damianmurana damianmurana@joindiaspora.com www.murana.uy Para qué usamos los móviles? 03/2013 Com. por internet E-Mail Noticias

Más detalles

OWASP: Un punto de vista. aplicaciones web seguras

OWASP: Un punto de vista. aplicaciones web seguras OWASP: Un punto de vista pragmático para el desarrollo de aplicaciones web seguras Armando Carvajal (armando.carvajal@globalteksecurity.com) Gerente Arquitecto Soluciones Globaltek Security Master en seguridad

Más detalles

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal

Más detalles

Certified Ethical Hacker Training

Certified Ethical Hacker Training Pág. 1 de 6 CONTENIDO DETALLADO Certified Ethical Hacker Training Descripción del Curso El Hacker Ético es la persona que lleva a cabo intentos de intrusión en redes y/o sistemas utilizando los mismos

Más detalles

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS Instituto de Formación Profesional CBTech Estudie desde su hogar y obtenga un certificado universitario Formación a distancia de EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS 1 Temario del

Más detalles

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

Diseño de arquitectura segura para redes inalámbricas

Diseño de arquitectura segura para redes inalámbricas Diseño de arquitectura segura para redes inalámbricas Alfredo Reino [areino@forbes-sinclair.com] La tecnología de redes inalámbricas basada en el estándar IEEE 802.11 tiene unos beneficios incuestionables

Más detalles

Cifrado de la información. Guía corporativa

Cifrado de la información. Guía corporativa Cifrado de la información Guía corporativa La encriptación de datos en las empresas 1. Introducción 3 Guía corporativa de encriptación de datos 1. Introducción La información es uno de los recursos más

Más detalles

New Generation. Secure your Network. Totally Reloaded. www.hauri-la.com

New Generation. Secure your Network. Totally Reloaded. www.hauri-la.com New Generation Secure your Network Totally Reloaded www.hauri-la.com Menos Trabajo + Protección Completa Más Características Simplifica tus tareas administrativas a través del Administrador del Historial

Más detalles

Universidad Nacional de La Matanza Escuela Internacional de Informática

Universidad Nacional de La Matanza Escuela Internacional de Informática Universidad Nacional de La Matanza Escuela Internacional de Informática Curso 02 Días: de lunes 20 a viernes 24 de Octubre Horario: de 8:30 a 12:30 hs. Horas totales del curso: 20 con evaluación Cantidad

Más detalles

5 Uso seguro de la web

5 Uso seguro de la web 1. Introducción GUIAS DE SEGURIDAD UJA 5 Uso seguro de la web En la actualidad la navegación web es, con diferencia, una de las actividades a las que más tiempo dedicamos en nuestro uso habitual de Internet.

Más detalles

12º Unidad Didáctica. Microsoft Internet Security and Acceleration Server ISA SERVER 2006. Eduard Lara

12º Unidad Didáctica. Microsoft Internet Security and Acceleration Server ISA SERVER 2006. Eduard Lara 12º Unidad Didáctica Microsoft Internet Security and Acceleration Server ISA SERVER 2006 Eduard Lara 1 ISA SERVER Es un firewall de stateful packet inspection (analiza el encabezado de los paquetes IP)

Más detalles

Para empresas con más de 25 equipos

Para empresas con más de 25 equipos Para empresas con más de 25 equipos 2 Tanto si acabas de montar tu empresa como si está ya establecida, hay algunas cosas que deberías esperar del producto de seguridad que usas a diario. En ESET pensamos

Más detalles

Seguridad y optimización en servidores GLAMP

Seguridad y optimización en servidores GLAMP Rooted CON 2014: 6, 7 y 8 de Marzo de 2014 Español Seguridad y optimización en servidores GLAMP Ponente David Hernández (Dabo). Administrador de Sistemas y Pentester autodidacta además de Debianita confeso.

Más detalles

Guía de Seguridad en Redes Sociales

Guía de Seguridad en Redes Sociales Guía de Seguridad en Redes Sociales INTRODUCCIÓN Las redes sociales son parte de los hábitos cotidianos de navegación de gran cantidad de personas. Cualquier usuario de Internet hace uso de al menos una

Más detalles

Robos a través de móviles

Robos a través de móviles 1 Robos a través de móviles Android es el sistema más usado entre los usuarios de dispositivos móviles y el segundo más usado después de Windows para los creadores de virus. Los primeros programas malintencionados

Más detalles

Centro Némesys. Gestión de las incidencias por uso indebido de Internet. Gestión de las incidencias por uso indebido de Internet

Centro Némesys. Gestión de las incidencias por uso indebido de Internet. Gestión de las incidencias por uso indebido de Internet Centro Némesys Gestión de las incidencias por uso indebido de Internet Versión Septiembre 2009 Pág 1 de 9 Índice Índice...2 1. Qué es el Centro Némesys?...3 2. Qué son abusos de Internet?...3 3. Cuáles

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

Plan de Trabajo en Verano de Informática de 4º ESO. Departamento de Tecnología, curso 2012-2013

Plan de Trabajo en Verano de Informática de 4º ESO. Departamento de Tecnología, curso 2012-2013 Plan de Trabajo en Verano de Informática de 4º ESO Departamento de Tecnología, curso 2012-2013 Este dossier contiene los siguientes documentos de tu interés: Batería de actividades por unidad didáctica

Más detalles

La inscripción sólo se realiza rellenando en Internet la ficha de inscripción:

La inscripción sólo se realiza rellenando en Internet la ficha de inscripción: Nombre: Certified IT Professional: Administración de Sistemas Operativos Nº horas: 280 Nº alum.: 16 Inicio: 19/01/2015 Fin: 21/05/2015 Horario: 9-13h Lugar: ZARAGOZA La inscripción sólo se realiza rellenando

Más detalles

Protegiendo tu experiencia online

Protegiendo tu experiencia online Antivirus Antispyware Antirootkit Análisis potenciado por la nube Análisis proactivo de dispositivos extraíbles Sistema de Prevención de Intrusiones (HIPS) Modo Jugador Protegiendo tu experiencia online

Más detalles

MASTER EN HACKING ÉTICO

MASTER EN HACKING ÉTICO MASTER EN HACKING ÉTICO Máster Hacking Ético Titulación Universitaria 1. Descripción: IDO Business School (Iberoamericana de Desarrollo Organizacional), en colaboración con la Universidad Internacional

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

Sistema de comunicación móvil con cifrado de seguridad. Hermes es un SISTEMA de COMUNICACIÓN CIFRADA para MÓVILES

Sistema de comunicación móvil con cifrado de seguridad. Hermes es un SISTEMA de COMUNICACIÓN CIFRADA para MÓVILES Qué es Hermes? Hermes es un SISTEMA de COMUNICACIÓN CIFRADA para MÓVILES Para qué sirve Hermes? Hermes nos permite comunicarnos con nuestros contactos con la garantía de que nuestra privacidad no está

Más detalles

Taller Hacking for Forensics

Taller Hacking for Forensics Taller Hacking for Forensics Duración 48 horas Objetivo general: - El participante podrá adquirir habilidades para aplicar diversas técnicas analíticas y científicas en materia de Hackeo y Análisis Forense

Más detalles

Guía para proteger la red inalámbrica Wi-Fi de su empresa

Guía para proteger la red inalámbrica Wi-Fi de su empresa Guía para proteger la red inalámbrica Wi-Fi de su empresa OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN El Instituto Nacional de Tecnologías de la Comunicación (INTECO), sociedad estatal promovida por

Más detalles

Ministerio de Educación,Cultura y Deporte. Aulas en Red. Windows. Módulo 2: Servicios Básicos. Enrutamiento

Ministerio de Educación,Cultura y Deporte. Aulas en Red. Windows. Módulo 2: Servicios Básicos. Enrutamiento Ministerio de Educación,Cultura y Deporte. Aulas en Red. Windows Módulo 2: Servicios Básicos. Enrutamiento Aulas en red. Aplicaciones y servicios. Windows Enrutamiento El Servicio de Enrutamiento y Acceso

Más detalles

Tu Educación en Manos de Profesionales

Tu Educación en Manos de Profesionales La Universidad Nacional de Ingeniera (UNI) a través de la Dirección de Posgrado, tiene el agrado de invitarlos a la Segunda Convocatoria de cursos especializados de capacitación y actualización continua

Más detalles

TEMARIO. Introducción o Las evaluaciones de seguridad o El hacker ético o Metodología de ataque o Entregables o Bibliografía

TEMARIO. Introducción o Las evaluaciones de seguridad o El hacker ético o Metodología de ataque o Entregables o Bibliografía TEMARIO Introducción o Las evaluaciones de seguridad o El hacker ético o Metodología de ataque o Entregables o Bibliografía Fundamentos de seguridad de la información o Conceptos y definiciones o Fuga

Más detalles

Título: Técnicas de ataque sobre clientes Wi-Fi. Fecha: Jueves, 30 de octubre 9:30 a 20:00h. Formador: Raúl Siles

Título: Técnicas de ataque sobre clientes Wi-Fi. Fecha: Jueves, 30 de octubre 9:30 a 20:00h. Formador: Raúl Siles Título: Técnicas de ataque sobre clientes Wi-Fi Fecha: Jueves, 30 de octubre 9:30 a 20:00h Formador: Raúl Siles Raúl Siles es fundador y analista de seguridad de DinoSec. Durante más de una década ha aplicado

Más detalles

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA TEMA 3. REDES Y SEGURIDAD INFORMÁTICA REDES INFORMÁTICAS. 1. Qué ventajas tiene usar ordenadores en red, frente al trabajo aislado? 2. Explica la diferencia entre el área de alcance de una red LAN y una

Más detalles

SEGURIDAD INFORMATICA DISEÑO E IMPLEMENTACION DE UN SISTEMA DE SEGURIDAD PERIMETRAL PARA UNA EMPRESA JONATHAN ALEXANDER SANDOVAL ORTEGA

SEGURIDAD INFORMATICA DISEÑO E IMPLEMENTACION DE UN SISTEMA DE SEGURIDAD PERIMETRAL PARA UNA EMPRESA JONATHAN ALEXANDER SANDOVAL ORTEGA SEGURIDAD INFORMATICA DISEÑO E IMPLEMENTACION DE UN SISTEMA DE SEGURIDAD PERIMETRAL PARA UNA EMPRESA JONATHAN ALEXANDER SANDOVAL ORTEGA ALFREDO SANCHEZ CONTRERAS PRESENTADO A: Ing. JEAN POLO CEQUEDA UNIVERSIDAD

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

SEGURIDAD EN INTERNET. MALWARE

SEGURIDAD EN INTERNET. MALWARE 1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir;

Más detalles

Realizado por: Daniel Sánchez Álvarez

Realizado por: Daniel Sánchez Álvarez Realizado por: Daniel Sánchez Álvarez QUE SON? Es una red de equipos infectados por códigos maliciosos que son controlados por un atacante, disponiendo de sus recursos para que trabajen de forma conjunta

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

1) Proxy, Cortafuegos, que son? Pág.2. 2) Funcionamiento de un proxy Pág.3. 3) Proxy NAT / Enmascaramiento Pág.3

1) Proxy, Cortafuegos, que son? Pág.2. 2) Funcionamiento de un proxy Pág.3. 3) Proxy NAT / Enmascaramiento Pág.3 Indice 1) Proxy, Cortafuegos, que son? Pág.2 2) Funcionamiento de un proxy Pág.3 3) Proxy NAT / Enmascaramiento Pág.3 4) Servidores proxy / Servidores de Sockets Pág.4 5) Proxy de web / Proxy cache de

Más detalles

Iniciativas públicas en torno a la seguridad informática. Instituto Nacional de Tecnologías de la Comunicación

Iniciativas públicas en torno a la seguridad informática. Instituto Nacional de Tecnologías de la Comunicación Iniciativas públicas en torno a la seguridad informática Instituto Nacional de Tecnologías de la Comunicación Índice 1. Qué es INTECO? 2. Líneas estratégicas de actuación I. Motivación de INTECO-CERT 3.

Más detalles

ETHICAL HACKING. FAVA - Formación en Ambientes Virtuales de Aprendizaje. SENA - Servicio Nacional de Aprendizaje

ETHICAL HACKING. FAVA - Formación en Ambientes Virtuales de Aprendizaje. SENA - Servicio Nacional de Aprendizaje ETHICAL HACKING INTRODUCCIÓN Desde hace varias décadas han aparecido nuevas modalidades de delitos informáticos dentro de los que se encuentran los ataques por crackers o hackers capaces de comprometer

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

SERVIDOR PROXY CACHÉ. Servicios que ofrece:

SERVIDOR PROXY CACHÉ. Servicios que ofrece: SERVIDOR PROXY CACHÉ Servicios que ofrece: 1. Filtrado de contenidos web. 2. Proxy caché. 3. Cortafuegos. 4. Antivirus 5. Servidor DHCP. 6. Balanceo de carga. 7. Servidor Web para Intranets. 8. Administración

Más detalles

Monitoreo de red. Inventario de hardware y software. Monitoreo actividad del usuario. Soporte a usuarios. Protección contra fuga de datos.

Monitoreo de red. Inventario de hardware y software. Monitoreo actividad del usuario. Soporte a usuarios. Protección contra fuga de datos. nvision Es una solución modular que permite gestionar la red, llevar el control y cumplimiento de licencias inventario de hardware y software de equipos Windows, monitorear la actividad que realizan diariamente

Más detalles

Un resumen de la actividad de virus en enero del año 2015

Un resumen de la actividad de virus en enero del año 2015 Un A resumen partir del año 1992 de la actividad de virus en enero 1 Un resumen de la actividad de virus en enero 2 2 de febrero de 2015 Según los datos de los especialistas de la empresa Doctor Web, el

Más detalles

Universal Desktop Services White Paper Seguridad en plataformas VDI

Universal Desktop Services White Paper Seguridad en plataformas VDI Introducción Este documento detalla los riesgos que pueden afectar a una plataforma de escritorios virtuales y describe diferentes técnicas para asegurar plataformas de este tipo. Para asegurar escritorios

Más detalles

Administración de Servicios de Internet

Administración de Servicios de Internet TITULACIÓN DE FORMACIÓN CONTINUA BONIFICADA EXPEDIDA POR EL INSTITUTO EUROPEO DE ESTUDIOS EMPRESARIALES Administración de Servicios de Internet Duración: 590 horas Precio: 0 * Modalidad: A distancia *

Más detalles

Especificaciones Técnicas para Ethical Hacking

Especificaciones Técnicas para Ethical Hacking Especificaciones Técnicas para Ethical Hacking OBJETIVO PRINCIPAL El BANCO DEL ESTADO, requiere efectuar un estudio de Ethical Hacking sobre su infraestructura, que permita identificar y corregir las vulnerabilidades

Más detalles

Antivirus Pro 2013. Guía rápida de instalación

Antivirus Pro 2013. Guía rápida de instalación Panda Antivirus Pro 2013 Guía rápida de instalación Importante! En el exterior del sobre que contiene el CD encontrarás el código de activación con el que podrás activar el producto. Asegúrate de guardarlo

Más detalles

Instalación y Configuración de App Inventor 2

Instalación y Configuración de App Inventor 2 Instalación y Configuración de App Inventor 2 alejandroterriza@ieslosangeles.es Existen multitud de herramientas para programar y desarrollar aplicaciones para dispositivos móviles con diferentes sistemas

Más detalles

Protegiendo la seguridad de los mayores en Internet

Protegiendo la seguridad de los mayores en Internet Protegiendo la seguridad de los mayores en Internet La proliferación del uso de Internet y de las nuevas tecnologías ha hecho que el acceso a la Red esté al alcance de todos. Sin embargo, es necesario

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

Actualmente existen multitud de sistemas que permiten detectar la presencia voluntaria de un usuario en una determinada estancia o lugar.

Actualmente existen multitud de sistemas que permiten detectar la presencia voluntaria de un usuario en una determinada estancia o lugar. Propuesta para el concurso de ideas sobre aplicaciones que reutilicen datos abiertos de la Universidad de Alicante Tı tulo: UA-Presencia 1. Participante Nombre: Antonio López Blanes 2. Introducción Actualmente

Más detalles

La seguridad informática en las empresas. El reto y su solución

La seguridad informática en las empresas. El reto y su solución Sage Security Center Seguridad SaaS para todos tus PCs, portátiles y servidores: La solución ligera, segura y fácil. La seguridad informática en las empresas. El reto y su solución Los delitos informáticos,

Más detalles

MICROSOFT EXCHANGE 2007

MICROSOFT EXCHANGE 2007 MICROSOFT EXCHANGE 2007 En el momento de elaborar este documento en la URL http://technet.microsoft.com/enus/evalcenter/bb736128.aspx podíamos descargar una versión de prueba de Microsoft Exchange 2007.

Más detalles

Ministerio de Educación, Cultura y Deporte. Aulas en Red. Windows. Módulo 5: Servicio Microsoft Exchange

Ministerio de Educación, Cultura y Deporte. Aulas en Red. Windows. Módulo 5: Servicio Microsoft Exchange Ministerio de Educación, Cultura y Deporte. Aulas en Red. Windows Módulo 5: Servicio Microsoft Exchange Aulas en red. Aplicaciones y servicios. Windows Servicio Correo Electrónico En este apartado procederemos

Más detalles

Novell ZENworks Configuration Management para entornos de Microsoft * Windows *

Novell ZENworks Configuration Management para entornos de Microsoft * Windows * Guía GESTIÓN DE SISTEMAS Novell ZENworks Configuration Management para entornos de Microsoft * Windows * Novell ZENworks Configuration Management para entornos de Microsoft Windows Índice: 2..... Bienvenido

Más detalles

Cuaderno de notas del OBSERVATORIO

Cuaderno de notas del OBSERVATORIO Cuaderno de notas del OBSERVATORIO Instituto Nacional de Tecnologías de la Comunicación CORTAFUEGOS (FIREWALLS): QUÉ SON Y PARA QUÉ SIRVEN Los firewalls o cortafuegos son una de las herramientas básicas

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

Dr.Web Enterprise Security Suite Guía Rápida de Implantación (Windows)

Dr.Web Enterprise Security Suite Guía Rápida de Implantación (Windows) Dr.Web Enterprise Security Suite Guía Rápida de Implantación (Windows) Versión de Dr.Web ESS: 6.0.4 Última actualización: 28/11/2013 2013 IREO Mayorista de ITSM y Seguridad Guía de Implantación Dr.Web

Más detalles

INSTALACION VIRTUALIZADA DE UBUNTU SERVER CON SERVICIOS LAMP Y OPENSSH SOBRE VIRTUAL BOX. Nicolás Botero Botero Juan Manuel Velásquez Isaza

INSTALACION VIRTUALIZADA DE UBUNTU SERVER CON SERVICIOS LAMP Y OPENSSH SOBRE VIRTUAL BOX. Nicolás Botero Botero Juan Manuel Velásquez Isaza INSTALACION VIRTUALIZADA DE UBUNTU SERVER CON SERVICIOS LAMP Y OPENSSH SOBRE VIRTUAL BOX Nicolás Botero Botero Juan Manuel Velásquez Isaza Universidad Tecnológica de Pereira Facultad de Ingenierías Ingeniería

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

TEMA 3: SISTEMAS OPERATIVOS.

TEMA 3: SISTEMAS OPERATIVOS. TEMA 3: SISTEMAS OPERATIVOS. 1. QUÉ ES UN SISTEMA OPERATIVO? 2. SISTEMAS OPERATIVOS GRÁFICOS. 3. SISTEMAS OPERATIVOS MÓVILES. 4. EL ENTORNO DE WINDOWS PARA PC. 5. LA APLICACIÓN DEL TEMA. 6. ACTIVIDADES.

Más detalles

Escritorios Remotos 1. RDP

Escritorios Remotos 1. RDP Escritorios Remotos 1. RDP RDP (Remote Desktop Protocol = Protocolo de Acceso a un Escritorio Remoto) es un protocolo desarrollado por Microsoft que permite manipular, de manera remota, el escritorio de

Más detalles