Propuestas!para!votación!de! los!cfp/cft!seleccionados!

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Propuestas!para!votación!de! los!cfp/cft!seleccionados!"

Transcripción

1 Propuestasparavotaciónde loscfp/cftseleccionados CONGRESO DE SEGURIDAD INFORMATICA #nnc5ed Organización de Navaja Negra & ConectaCon Agosto de 2015

2 1.- CONGRESO DE SEGURIDAD INFORMATICA #NNC5ED OBJETIVOS #NNC5ED Realizar el Congreso de Seguridad Informática #nnc5ed aprovechando el V aniversario de NAVAJA NEGRA junto con "ConectaCON" de Jaén, donde unimos esfuerzos y objetivos comunes que celebraría su cuarta edición. Nos permitirá difundir, compartir y transmitir el conocimiento de los investigadores de seguridad o hackers a la comunidad, empresas del sector privado y público y a la propia Universidad, los avances, investigación e innovación que se han producido en el panorama español e internacional. Impulsar el espíritu de comunidad técnica de seguridad fomentando la colaboración entre el público asistente, ponentes, empresas de los sectores privados y públicos y a la propia Universidad. Consolidar y posicionar el evento dentro del panorama público nacional de Conferencias, Jornadas y Congresos de Seguridad como uno de los eventos técnicos más importantes ASOCIACIÓN SIN ÁNIMO DE LUCRO NAVAJA NEGRA PARA TRATAMIENTO FISCAL Por aprovechamiento de infraestructura y celebrarse en Albacete, lugar de origen de Navaja Negra, se empleará en adelante por acuerdo común de ambas Organizaciones la forma legal y tratamiento fiscal de Navaja Negra, que es una Organización sin ánimo de lucro, inscrita en el Registro Nacional de Asociaciones con el número de inscripción del grupo 1, sección 1ª, constituida en junio de 2013 y reconocida como tal por Resolución expresa del Ministerio del Interior el 22 de julio de 2013 con número de salida con número de CIF G y domicilio social en la Calle Pico de los Artilleros nº 30, de Madrid capital (España). Página 2 de 75

3 Fecha 19/08/2015 Versión DATOS GENERALES DE NAVAJA NEGRA 5ª EDICIÓN FECHAS DE CELEBRACIÓN Se celebrará durante los días 1, 2 y 3 de Octubre de LUGAR NAVAJA NEGRA 5ª EDICIÓN Será celebrada en Albacete (España) y en función del tipo de actividad, se emplearán diferentes localizaciones, encontrándose todas ellas en el Campus Universitario de Albacete. Los TALLERES se celebrarán en el edificio Infante D. Juan Manuel (Escuela Superior de Ingeniería Informática de Albacete ESIIAB-) de la Universidad de Castilla-La Mancha (UCLM), las ACREDITACIONES, KEYNOTES, TRA y MERCHANDISING serán en el edificio José Prat (Vicerrectorado) de la Universidad de Castilla-La Mancha (UCLM) y los en el Hotel Universidad. El catering será servido en las instalaciones del vicerrectorado y la comida y fiesta de despedida final, se celebrarán en el Hotel concertado. Página 3 de 75

4 2.3.- SITUACIÓN Y ACCESOS El Campus Universitario de Albacete encuentra su acceso más importante en la Avenida de España, s/n, estando muy cercano al Parque Científico y Tecnológico de Albacete (PCyT), al Jardín Botánico de Castilla-La Mancha y al Estadio de fútbol Carlos Belmonte. La rotonda principal de entrada está presidida por la escultura del Pórtico de la Mancha del artista almanseño José Luis Sánchez Fernández levantada en Puede llegarse con comodidad caminado a pie desde diferentes puntos de la ciudad, destacando las principales distancias hasta los principales lugares de alojamiento (Hotel Los Llanos, 15 minutos -1,2 Km.-; Pensión Victoria, 17 minutos -1,4 Km.-; Hotel San José, 18 minutos -1,4 Km.-; Hotel Altozano, 26 minutos -2,1 Km.-; etc.). En las inmediaciones del propio Campus Universitario, se encuentra una zona de ocio y restauración. También, en cuanto a la principal parte de restauración, diversión y ocio de la ciudad, conocida como La Zona, se encuentra a 1,5 Km. tardando unos 19 minutos. Si se decide desplazarse mediante transporte público, en las inmediaciones del Campus Universitario existen varias paradas de taxi. Además, mediante la red de autobuses urbanos de Albacete, queda conectado con el resto de la ciudad mediante las siguientes líneas: Línea Trayecto Frecuencia Número de parada Campus Bº Vereda 11 minutos 11 y 12 Campus Hospital Perpetuo Socorro 12 minutos 11 y AFORO DISPONIBLE Aunque el aforo disponible es muy superior a la previsión de la Organización, se establecerá en 600 plazas disponibles para el principal espacio de las keynotes en el salón de actos principal. Página 4 de 75

5 Cada taller dispondrá de un total de 120 plazas y los de un total de 450 plazas disponibles. Página 5 de 75

6 2.5.- TIPOS DE ENTRADA Y PRECIO DEL CONGRESO El coste de la asistencia al Congreso de Seguridad por participante se establece en 40 euros. Con la acreditación de tipo general, se tendrá acceso a todas las charlas, talleres y dando derecho al catering del almuerzo, merienda y cena de los días de celebración del Congreso de Seguridad. También incluye la comida de hermandad que se celebrará el último día del Congreso. Se dispondrá de un porcentaje del 80% de éste tipo de entrada. Para los estudiantes que acrediten fehacientemente su condición (mediante la presentación de una copia de la matrícula actual) y desempleados (mediante la presentación de la tarjeta de desempleo en vigor, -sin permitirse las de situación de mejora de empleo-), se dispondrá de entradas reducidas con un descuento de un 25% al precio final de 30 euros. Se dispondrá de un porcentaje del 20% de éste tipo de entrada CERTIFICADO DE ASISTENCIA Se entregará a cada participante que lo solicite y cumplimente sus datos personales completos, un Certificado de Asistencia con créditos CPE para el mantenimiento de las Certificaciones CISSP, CISA y CISM. Página 6 de 75

7 PROPUESTAS DE CHARLAS PRESENTADAS NOTA MUY IMPORTANTE: En el proceso de votación, únicamente se podrá votar con el título de la charla y por eso ofrecemos la descripción de aquellas que finalmente las Organizaciones han elegido para ser votadas. Por favor, leedlo con detenimiento para valorar lo que quieres ver en la siguiente edición de #nnc5ed Página 7 de 75

8 C01.- CHARLA (50 MINUTOS + PREGUNTAS) SQRL 1.- DESCRIPCION SQRL (https://en.wikipedia.org/wiki/sqrl) es un nuevo esquema de autenticación online que permite prescindir del sistema de usuario y clave de la inmensa mayoría de sitios web. Al contrario de otros sistemas como OAUTH2, OPenID Connect o Mozilla Persona, SQRL hace hincapié en la privacidad y el anonimato del usuario. No es posible identificar al usuario, reconocer que dos cuentas en un sitio web pertenecen al mismo usuario o relacionar cuentas en servicios diferentes. Todo ello de forma simple y ligera tanto para el usuario como para el sitio web que soporte SQRL. Además SQRL supone un sistema "second factor" de forma automática a través de una aplicación móvil, simplemente leyendo un código QR. La ponencia presenta el sistema, explica su funcionamiento y repasa preguntas frecuentes sobre su dinámica diaria y su comportamiento ante casos excepcionales. Página 8 de 75

9 C02.- CHARLA (50 MINUTOS + PREGUNTAS) Un gran hermano a golpe de clic 1.- DESCRIPCION La proliferación de herramientas destinadas a la monitorización de la actividad en internet es el resultado de la aparición de nuevas formas de utilizar la red en sociedades que se encuentran cada vez más interconectadas. Las compañías tecnológicas han identificado un mercado que demanda de forma reiterada mecanismos que faciliten tanto la detección de posibles actividades fraudulentas como ataques a activos físicos o tecnológicos que, partiendo de la necesidad de atribuir una actividad en internet a una persona, permita identificar posibles usuarios teniendo en cuenta la forma en que se organiza la red. Sin embargo, la ausencia de soluciones que satisfagan la necesidad concreta de identificar usuarios en plataformas sociales sin depender directamente de servicios de terceros, ha motivado la presentación de una herramienta de software libre que permite realizar búsquedas en más de 200 fuentes diferentes. En este sentido, la herramienta está diseñada de modo que permite a sus usuarios incorporar nuevas fuentes de forma modular en minutos. El objeto de esta ponencia será la presentación de una herramienta que, a partir de una primera identificación de usuarios de forma masiva por las características comunes de sus publicaciones y siguiendo una metodología de investigación de perfiles en la red, sea capaz de identificar otros usuarios asociados en plataformas diferentes de cara a la preparación de ataques dirigidos. En este contexto, la charla propuesta estará estructurada como sigue: - En primer lugar, se identificarán las necesidades de investigación que motivan la creación de un framework capaz de recabar - En segundo lugar, se recogerá el proceso de configuración e instalación de la herramienta. - En tercer lugar, se definirá un método de trabajo utilizando las diferentes funcionalidades de dicha herramienta. - En cuarto lugar, se recogerán propuestas concretas para la utilización de dicha información en ataques de ingeniería social y spear phishing contra los usuarios. - En quinto lugar, se definirá el proceso de integración del framework con una herramienta de investigación como Maltego. - En sexto lugar, se propondrán casos prácticos de investigación en los que se exploten las posibilidades que ofrecen las herramientas incluidas. Página 9 de 75

10 - Por último, se detallarán las conclusiones a extraer de este trabajo relativas a la utilización indiscriminada de este tipo de herramientas y a cómo la información personal que los usuarios exponemos en la red es valiosa en sí misma para la adecuación de ataques contra objetivos concretos como los propios usuarios Página 10 de 75

11 C03.- CHARLA (50 MINUTOS + PREGUNTAS) Cómo se hizo El bueno, el feo y el malo? 1.- DESCRIPCION Los dispositivos móviles están amenazados por comportamientos muy comunes del usuario ( instalas aplicaciones móviles (apps)?), la integración con la plataforma del fabricante ( tienes cuenta de Apple, Google, Microsoft...?), y por vulnerabilidades técnicas ( dispones de la última versión de SO?). Estos tres factores ponen en riego al propio dispositivo, todos los datos e información que gestiona (local y remotamente) y las credenciales del usuario. Analicemos de forma práctica y en directo los detalles técnicos de preparación y realización de un ataque sobre Android que muestra en acción este trío, manipulando el código de apps e integrándolo con Metasploit, instalando apps remotamente, y explotando otras vulnerabilidades para escalar privilegios hasta tomar control completo del dispositivo móvil víctima. Página 11 de 75

12 C04.- CHARLA (50 MINUTOS + PREGUNTAS) Seguridad y criptografía en Python 1.- DESCRIPCION La charla tendrá como objetivo introducir la criptografía y la seguridad desde el punto de vista del desarrollador, mostrando maneras de cifrar la información con scripts de Python y la información más sensible en aplicaciones web usando Django. Voy a presentar a la seguridad en Python, mostrando algunas librerías que permiten el encriptado y desencriptado de los datos como Pycrypto o Cryptography, comparando los principales sistemas de cifrado como AES, RSA, PBKDF2.Mostraré otras técnicas como la esteganografía que permiten ocultar información en archivos (imágenes, documentos, programas) con algunas librerías de Python como Stepic o Stegano. Con respecto al desarrollo seguro de aplicaciones desarrolladas con Django, podemos encontrar dentro del proyecto OWASP, un conjunto de buenas prácticas para detectar cómo Django nos puede ayudar a evitar ataques que se aprovechen de estas vulnerabilidades. Entre los puntos a tratar podríamos destacar: - Introducir los conceptos clave utilizados dentro del mundo de la criptografía. - Introducción a algunas librerías de criptografía como pycrypto o cryptography que nos permiten encriptar/desencriptar la información utilizando los algoritmos más conocidos (SHA,AES,RSA, PBKDF2). - Algoritmos de clave simétrica y asimétrica comentando las librerías que disponemos en Python para desarrollar nuestros scripts. - Firma digital y proceso de verificación con las librerías comentadas. - Mejores prácticas para utilizar correctamente las funciones criptográficas, comentando técnicas más avanzadas como Key Stretching para la generación de claves seguras para evitar ataques por diccionario o por fuerza bruta. - Desarrollo seguro y buenas prácticas en aplicaciones web con Django. - Comentar la principales vulnerabilidades que podemos encontrar en un sitio web(sql injection, XSS, CSRF) y cómo Django nos puede ayudar a evitar ataques que se aprovechen de estas vulnerabilidades. Página 12 de 75

13 C05.- CHARLA (50 MINUTOS + PREGUNTAS) MongoLOL: MongoDB Data Exposed & Responsible Disclosure 1.- DESCRIPCION La charla versará sobre la importancia de proteger los servicios de bases de datos NoSQL y no exponer contenidos sensibles de las bases de datos en Internet ya que han sido comprobados por el autor la exposición de datos confidenciales entre los que se incluyen credenciales de acceso empleadas que comprometen la seguridad. Recientemente apareció la noticia que más de 600 TB de información de MongoDB habían sido expuestos y fácilmente localizables con buscadores del tipo Shodan. Mucho antes de la aparición de la noticia, el autor de la charla totalmente ajeno a dicha noticia, reportó al Grupo de Delitos Telemáticos de la Guardia Civil que había miles de bases de datos localizadas en España que exponían información sensible, entre ellas, bases de datos de diferentes Organismos Nacionales e Internacionales, ISPs, publicaciones online, concursos de televisión, aplicaciones móviles, aplicaciones propietarias, etc. Con herramientas libres del tipo NoSQLMap, MongoHub y pequeños scripts, podemos recuperar todos los usuarios y contraseñas, entre otros datos no menos sensibles como la hora a la que se dará un premio, etc. de las bases de datos MongoDB que han sido expuestas comprometiendo gravemente la seguridad de ciertas Organizaciones. Se verán ejemplos prácticos en tiempo real de cómo se podría llevar a cabo de forma totalmente automatizada el volcado y procesado y eso no quiere decir que supuestamente alguien no lo haya hecho ya... o mientras está siendo reportado de forma responsable LOL Página 13 de 75

14 En una segunda parte de la charla, se detallará cómo reportan miles de incidencias a las Compañías afectadas y si el proceso se lleva a cabo por , correo certificado, burofax? Se contará cómo se puede realizar y cómo se le da un seguimiento adecuado, protegiendo al investigador de seguridad que ha reportado. Página 14 de 75

15 C06.- CHARLA (50 MINUTOS + PREGUNTAS) Juego de troyanos 1.- DESCRIPCION La mayoría de los principales fabricantes de sistemas de seguridad perimetral implementan técnicas de listas negras y reputación de dominios. Ejemplos de servicios de subscripción a estas listas negras los podemos encontrar en cortafuegos, así como en sistemas SIEM, como por ejemplo el servicio OTX de Alienvault. Sin embargo, los atacantes están permanentemente buscando nuevas formas de evadir sistemas de seguridad basados en las citadas listas negras, listas de reputación de direcciones IPs y dominios, filtros web, etc. Podríamos hacer que un equipo infectado con malware se salte estas listas negras para conectarse a su servidor de C&C? Veremos que en gran parte sí, mediante los conocidos como Algoritmos de Generación de Dominios o DGA, que concretamente son algoritmos que utilizan malwares como Conficker, Cryptolocker y Zeus para generar aleatoria y dinámicamente dominios donde se alojan los servidores de C&C. Esta técnica permite a un troyano generar una lista de dominios diferentes donde puede estar alojado el servidor de C&C, y a los cuales intentará conectarse el equipo infectado, de tal manera que el atacante lo único que tiene que hacer es registrar uno de esos dominios, realizar las operaciones fraudulentas que desee, y volver a des- registrar el dominio. Página 15 de 75

16 C07.- CHARLA (50 MINUTOS + PREGUNTAS) Sé lo que hicisteis el último verano (me lo dice Whatsapp Intelligence) 1.- DESCRIPCION En la charla se verá cómo desde cero se ha desarrollado una herramienta de inteligencia OSINT que explote la información que los usuarios vuelcan en Whatsapp. Para ello, se aprenderá a monitorizar el tráfico de diferentes tipos de redes inalámbricas (OPN,WEP,WPA/WPA2) en busca de paquetes que transmitan información de usuarios de Whatsapp de manera automatizada, mediante herramientas como airodump-ng o similares. A continuación se aprenderá a desarrollar diferentes scripts en Perl que obtengan la información de los números de teléfono de usuarios de Whatsapp presentes en una captura de paquetes, así como otros scripts que analicen léxicamente diferentes portales Web de anuncios donde los usuarios también exponen esta información. A continuación, se comenzará a desarrollar una herramienta OSINT utilizando las tecnologías Apache, PHP y MySQL para descargar información de perfiles de usuario de los servidores de Whatsapp a partir de los números de teléfono de usuarios obtenidos en los pasos anteriores como fuente de entrada, y procesarla de cara a obtener inteligencia. Se profundizará a nivel técnico en todos los pasos del proceso y el desarrollo de los scripts de cara a que los asistentes puedan construir su propia herramienta de inteligencia durante la sesión del taller. Se introducen conceptos relacionados con la generación de inteligencia OSINT (Open Source Intelligence), inteligencia recopilada a partir de fuentes de acceso público, junto con sus aplicaciones y algunas herramientas que se pueden utilizar para extraer información y generar conocimiento a partir de dichas fuentes. A continuación, se expone la idea de generar conocimiento e inteligencia OSINT a partir de Whatsapp, tomando para ello como muestra números de teléfono de usuarios anónimos de Whatsapp que se han ido recopilando en diferentes redes Wifi públicas con Whatsapp Discover, herramienta publicada por Deepak Daswani en 2013 que se basa en extraer dicha información a partir de un paquete que los dispositivos móviles transmiten a los servidores de Whatsapp en texto plano antes de comenzar la comunicación cifrada. Se mostrará a los asistentes todos los pasos del proceso para monitorizar correctamente diferentes tipos de redes inalámbricas de cara a obtener los paquetes donde viaja la información de los usuarios de Whatsapp, como el sistema operativo, la versión de Whatsapp, el puerto utilizado y el número de teléfono. Página 16 de 75

17 Se demostrarán algunos ejemplos de cómo se puede obtener muchísima información de personas desconocidas a partir de la información que publican en su perfil de Whatsapp, una vez obtenido su número de teléfono y analizado el resto de tráfico que generan en una red. Tras analizar el tráfico se aprenderá a desarrollar desde cero el script en Perl de Whatsapp Discover. En dicho script se introducirán las nociones para parsear paquetes de ficheros.cap recogidos en los pasos anteriores mediante el uso de expresionres regulares. Página 17 de 75

18 A partir de aquí, se iniciará una exposición de cómo desarrollar una herramienta similar a Whatsapp Intelligence, que se crea con objeto de generar inteligencia a partir de la información que los usuarios vuelcan públicamente en Whatsapp, tomando como muestra un número determinado de números de teléfono de usuarios desconocidos. Whatsapp Intelligence es un script desarrollado en PHP que utiliza la API Whatsapi-Oficial desarrollada por la comunidad para conectarse a los servidores de Whatsapp Durante la charla, se aprenderá a utilizar WhatsAPI para conectarse mediante una cuenta legítima a los servidores de Whatsapp. Es necesario conocer la manera de obtener las credenciales de acceso a una cuenta legítima de Whatsapp. Se demostrará cómo poder hacer esto en diferentes dispositivos, tanto ios como Android. Una vez que se dispongan de dichas credenciales, se puede empezar a desarrollar un script que tras conectarse a los servidores de Whatsapp, obtiene para cada usuario la foto de perfil, la información de estado y última hora en línea, para almacenarla en una estructura de directorios, así como en una BBDD MySQL de cara a procesarla posteriormente para generar conocimiento. Se configurará todo el entorno de desarrollo Apache + PHP + MySQL, y se construirá el script utilizando WhatsAPI en PHP. Posteriormente, se probará en tiempo real del uso de la herramienta, con casos prácticos, así como ejemplos de información y conocimiento que se ha obtenido de la vida de diferentes usuarios anónimos tomados como muestra en el estudio. Página 18 de 75

19 A través de los ejemplos que se exponen es posible observar cómo a través de Whatsapp Discover se puede obtener información de la vida de las personas, lugares de trabajo, nombres de familiares, fotos de hijos menores, mascotas, aficiones, lugares favoritos, así como estados de ánimo, emociones o incluso dependencia de Whatsapp. Son muchos los usuarios que vuelcan prácticamente toda su vida y emociones a través de su foto de perfil o de su estado de Whatsapp. Se demostrará también durante la charla cómo es posible utilizar otras fuentes de información para obtener números de teléfono de usuarios de Whatsapp, además de las redes Wifi públicas. Para ello, se desarrollará un script en Perl que extrae de la web de Milanuncios, números de teléfono de anunciantes que incluyen la cadena atiendo whatsapp dentro del texto de su anuncio. Para este caso, se adaptará el script Whatsapp Intelligence desarrollado previamente para recoger además de la información que ya de por sí recoge sobre Whatsapp, el texto del anuncio y el nombre del anunciante, de cara a disponer de más información aún que ayude a obtener un perfil de la persona a analizar. Página 19 de 75

20 Por último, se introducirán otros usos que se pueden dar a esta herramienta así como líneas futuras de investigación que se pueden abrir a partir del trabajo realizado hasta la fecha. Es posible obtener más información de Whatsapp Intelligence y su funcionamiento, en la serie de artículos publicados por Deepak Daswani en el blog El lado del Mal, de Chema Alonso: No obstante, algunas de las funcionalidades y scripts que se expondrán en la charla no han sido publicadas en estos artículos, como la herramienta que extrae la información del portal Milanuncios de cara a mostrar a los asistentes contenido inédito que no se haya publicado previamente. Del mismo modo, se está trabajando en la actualidad en potenciar la herramienta de cara a automatizar la generación de inteligencia a partir de los datos obtenidos, con la búsqueda inversa por imágenes de fotos de perfil de los usuarios, de cara a poder establecer una relación entre sus perfiles de Whatsapp, su número de teléfono, y posibles perfiles en redes sociales como Twitter, Linkedin, Google+ o Facebook. Esta funcionalidad en la que aún se está trabajando se presentaría por primera vez y de manera inédita en Navaja Negra Página 20 de 75

21 C08.- CHARLA (50 MINUTOS + PREGUNTAS) (in)secure booting Linux 1.- DESCRIPCION En esta charla se dará una breve introducción al proceso de arranque de Linux, qué partes lo componen y cómo podemos ejecutar código arbitrario en dicho proceso. Además veremos cómo podemos cifrar el disco sin poner en peligro el bootloader, qué peligros son esos y cómo un atacante podría hacerse con el control de la máquina (o con la clave de cifrado) si no tomamos las medidas oportunas. Descripción: 1. Presentación 2. Introducción a. Qué ocurre en un PC desde que se pulsa el botón de encendido hasta que carga el escritorio? b. BIOS/UEFI/SecureBoot c. Bootloaders. Grub. Fases 3. Cifrando el disco a. LUKS, dmcrypt b. Claves, keyfiles, slots. 4. Vulnerabilidades 5. Demo a. /boot sin cifrar b. Claves en memoria 6. Mitigando el riesgo 7. Conclusiones 8. Preguntas En la demo veremos el problema desde el punto de vista del atacante en varios escenarios, y nos las apañaremos para ver cómo ejecutar código en tiempo de arranque tras manipular el fichero initrd, antes de que se ejecute el kernel. Veremos que es posible, entre otras cosas, capturar la contraseña de cifrado de disco al ser introducida al arranque o instalar puertas traseras en el sistema. Página 21 de 75

22 C09.- CHARLA (50 MINUTOS + PREGUNTAS) A REY MUERTO, REY PUESTO. IPv6 ya está aquí 1.- DESCRIPCION En esta ponencia se presentará oficialmente el primer servicio de búsqueda de información sobre servicios expuestos a Internet en IPv6. Este servicio permite realizar búsquedas sobre información de banners, IPs, puertos, geolocalización, etc. Alguna vez te has planteado trastear con IPv6? Pues este es el momento... Los ponentes han elegido la quinta edición de Navaja Negra para la presentación oficial del primer motor de búsqueda de servicios en IPv6 dando a conocer detalles técnicos de cómo funciona el servicio y las posibilidades que ofrece. Durante la ponencia se presentarán casos prácticos de uso para que los asistentes tomen conciencia del escenario actual de servicios expuestos en IPv6 en Internet. Se realizarán búsquedas sobre la base de datos del servicio encontrando software afectado por vulnerabilidades conocidas. Además, se ofrecerán de otros ejemplos que muestran el potencial de esta fuente de información. Se intentará implicar a los asistentes para animarles a experimentar con IPv6. Para el desarrollo de este proyecto, se analizaron e implementaron diversos métodos propios para escanear y recolectar información de servicios expuestos en Internet en IPv6. Al contrario de lo que se piensa, sí es posible escanear redes IPv6 mediante métodos alternativos. Este servicio escanea de forma masiva y continua redes IPv6 recopilando información que resulta de mucha utilidad para el mundo de seguridad. Actualmente, ya es posible detectar una cantidad elevada de servicios expuestos en internet escuchando en IPv6. El motor que soporta el servicio recopila, almacena y procesa información de cada servicio descubierto. Esta información es correlada con otras fuentes para aumentar el valor final de la información ofrecida al usuario. Los prefijos /8 en IPv4 ya se han agotado en el RIR ARIN y queda poco direccionamiento IPv4 disponible (https://www.arin.net/resources/request/ipv4_countdown.html). Se espera que en los próximos meses aumente considerablemente el número de usuarios y servicios expuestos en IPv6, y por tanto, las amenazas a estos servicios. Página 22 de 75

23 Debido al momento en el que nos encontramos respecto al despliegue de redes IPv6 y por la falta de experiencia a todos los niveles con el manejo de este protocolo, los ponentes consideran que esta charla resulta de especial interés para cualquier interesado en la seguridad informática. Página 23 de 75

24 C10.- CHARLA (50 MINUTOS + PREGUNTAS) Investigación digital, espionaje e inteligencia: implicaciones y consejos para un futuro incierto 1.- DESCRIPCION Durante los últimos años, diversas entidades privadas han sacado a la luz operaciones de espionaje digital cuyos actores se presuponen forman parte de un gobierno o de un ente con suficientes recursos como para cambiar el curso normal de los acontecimientos a nivel político, económico y social. Parte de la solución adoptada por la industria para minimizar el impacto de dichas campañas ha sido la utilización de inteligencia como disciplina aplicándola a estas amenazas digitales. Pero para lograr un conocimiento profundo de estas operaciones y sus implicaciones, la inteligencia como elemento táctico quizás no sea la mejor opción. El objetivo de esta sesión será, previa exposición de las campañas de espionaje digital más relevantes, profundizar en las implicaciones de estas amenazas y especialmente en la producción de inteligencia y como ha evolucionado el rol del analista/investigador. Por último se hará un recorrido por diversas alternativas de análisis que pueden ser aplicadas durante el estudio de este fenómeno. Finalmente, se darán algunos consejos respecto a la seguridad operacional (opsec) que alguien implicado en este tipo de investigaciones debería tener. A parte de explicar diversas campañas de espionaje de primera mano, la intención es mostrar que herramientas, recursos y metodologías de análisis podemos utilizar para entender operaciones de espionaje complejas y sobretodo, para protegernos a nosotros mismos como investigadores. Página 24 de 75

25 C11.- CHARLA (50 MINUTOS + PREGUNTAS) Let s encrypt 1.- DESCRIPCION Aunque defendemos constantemente la idea del cifrado ubicuo, uno de los problemas es la obtención y la gestión de los certificados X.509 necesarios. Incluso dejando al margen su coste monetario (existen entidades de certificación que emiten certificados de forma gratuita), la gestión de más de un puñado de certificados es una tarea delicada y proclive a errores. "Let's encrypt" es una iniciativa de emisión de certificados X.509 gratuitos y su renovación automática de forma segura. Su objetivo es bajar la barrera de entrada significativamente, de forma que esa visión de cifrado ubicuo pueda ser una realidad. Explicaremos qué es el proyecto, quien está detrás y algunos detalles de sus protocolos desarrollados para lograr su objetivo. Página 25 de 75

26 C12.- CHARLA (50 MINUTOS + PREGUNTAS) Destroying router security 1.- DESCRIPCION Los routers SOHO son un elemento fundamental en millones de redes domésticas y pequeñas empresas, por lo que un fallo de seguridad en uno de estos dispositivos puede tener graves consecuencias para sus usuarios. A lo largo de esta investigación, en la que se llevó a cabo un proceso de auditoría para evaluar la seguridad de estos dispositivos, fueron descubiertas más de 60 vulnerabilidades que afectan a 22 modelos de routers domésticos diferentes, estando la mayoría de ellos muy extendidos en España. Nuevas formas de ataque fueron desarrolladas, así como herramientas de explotación, y una metodología destinada a ayudar a investigadores futuros a encontrar problemas de seguridad. El objetivo es transmitir los conocimientos y resultados obtenidos durante el proceso de investigación, que desembocó en la publicación de más de 60 vulnerabilidades que afectan a 22 modelos de routers diferentes. Mediante la explicación de los problemas de seguridad encontrados, y la realización de demostraciones en vivo, se pretende mostrar de una forma eminentemente práctica, la sencillez con la que estos dispositivos pueden ser atacados. La estructura de la ponencia se compone de: - Introducción. Pequeña explicación de los objetivos de nuestra investigación. - Problemas de seguridad comunes. Superficie de exposición elevada debido al número de servicios y uso de credenciales por defecto. - Tipos de vulnerabilidades encontradas. Explicación de las vulnerabilidades descubiertas, incluyendo las siguientes demostraciones de explotación de routers en vivo: o DNS Hijacking explotando una vulnerabilidad Cross Site Request Forgery o Infección de un navegador explotando una vulnerabilidad Unauthenticated XSS o Descarga remota del sistema de ficheros de un router (incluyendo archivos de contraseñas y configuración), sin necesidad de un proceso de autenticación, explotando una mala configuración del servicio SMB. o Denegación de servicio persistente y restauración a ajustes de fábrica de un router, sin necesidad de un proceso de autenticación. - Herramientas desarrolladas. - Soluciones. Qué podemos hacer como usuarios para protegernos? Qué medidas deben tomar los fabricantes e ISPs? - Resultados. Explicación gráfica de los resultados obtenidos. - Conclusiones. Estado de la seguridad de los routers domésticos. Página 26 de 75

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

Cómo funciona Solución mwatcher Let's connect

Cómo funciona Solución mwatcher Let's connect Cómo funciona Solución mwatcher Let's connect Introducción En este documento vamos a explicar cuáles son las problemáticas que nos encontramos a la hora de realizar un telemantenimiento o acceso remoto

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

Normat_P V.2.0 RED IP DE TELEFÓNICA DE ESPAÑA GUÍA DE USUARIO DE LA FUNCIONALIDAD DE PROXY-CACHÉ

Normat_P V.2.0 RED IP DE TELEFÓNICA DE ESPAÑA GUÍA DE USUARIO DE LA FUNCIONALIDAD DE PROXY-CACHÉ Normat_P V.2.0 RED IP DE TELEFÓNICA DE ESPAÑA GUÍA DE USUARIO DE LA FUNCIONALIDAD DE PROXY-CACHÉ RED IP DE TELEFÓNICA DE ESPAÑA: GUÍA DE USUARIO DE LA FUNCIO- NALIDAD DE PROXY-CACHÉ ÍNDICE 1. INTRODUCCIÓN...

Más detalles

100% Laboratorios en Vivo

100% Laboratorios en Vivo 100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de

Más detalles

La seguridad informática en las empresas. El reto y su solución

La seguridad informática en las empresas. El reto y su solución Sage Security Center Seguridad SaaS para todos tus PCs, portátiles y servidores: La solución ligera, segura y fácil. La seguridad informática en las empresas. El reto y su solución Los delitos informáticos,

Más detalles

Guía Rápida de Inicio

Guía Rápida de Inicio Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for Mail Servers. Para disponer de instrucciones detalladas, por favor, diríjase

Más detalles

Administración de servicios Web (MF0495_3)

Administración de servicios Web (MF0495_3) Ficha de orientación al alumno para su participación en la acción formativa Administración de servicios Web (MF0495_3) A quién está dirigido este Módulo Formativo? Trabajadores ocupados o desempleados

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

Guía Rápida de Inicio

Guía Rápida de Inicio Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for Exchange. Para disponer de instrucciones detalladas, por favor, diríjase

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar

Más detalles

Plan de Trabajo en Verano de Informática de 4º ESO. Departamento de Tecnología, curso 2012-2013

Plan de Trabajo en Verano de Informática de 4º ESO. Departamento de Tecnología, curso 2012-2013 Plan de Trabajo en Verano de Informática de 4º ESO Departamento de Tecnología, curso 2012-2013 Este dossier contiene los siguientes documentos de tu interés: Batería de actividades por unidad didáctica

Más detalles

Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso

Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso Por qué han recurrido los cibercriminales a los ataques de Los ataques a sitios web se han convertido en un negocio muy rentable. Antes, los cibercriminales infectaban sitios web para llamar la atención

Más detalles

Cuaderno de notas del OBSERVATORIO

Cuaderno de notas del OBSERVATORIO Cuaderno de notas del OBSERVATORIO Instituto Nacional de Tecnologías de la Comunicación CORTAFUEGOS (FIREWALLS): QUÉ SON Y PARA QUÉ SIRVEN Los firewalls o cortafuegos son una de las herramientas básicas

Más detalles

Router Teldat. Interfaz Web

Router Teldat. Interfaz Web Router Teldat Interfaz Web Doc. DM801 Rev. 10.80 Abril, 2011 ÍNDICE Capítulo 1 Introducción... 1 1. Accediendo a la configuración del router... 2 Capítulo 2 Interfaz Web... 5 1. Estructura... 6 2. Inicio...

Más detalles

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.es KASPERSKY FRAUD PREVENTION 1. Formas de atacar a la banca online El primer motivo del cibercrimen es hacer dinero y las sofisticadas bandas criminales

Más detalles

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec Metodología. www.dsteamseguridad.com La Metodología de la charla esta guiada por el concepto de cada una de las fases de ataque, con su respectiva demostración Arquitectura de Red (Laboratorio Virtual)

Más detalles

1. Objetivos generales del título

1. Objetivos generales del título 1. Objetivos generales del título a) Organizar los componentes físicos y lógicos que forman un sistema microinformático, interpretando su documentación técnica, para aplicar los medios y métodos adecuados

Más detalles

Un resumen de la actividad de virus en enero del año 2015

Un resumen de la actividad de virus en enero del año 2015 Un A resumen partir del año 1992 de la actividad de virus en enero 1 Un resumen de la actividad de virus en enero 2 2 de febrero de 2015 Según los datos de los especialistas de la empresa Doctor Web, el

Más detalles

Como crear una red privada virtual (VPN) en Windows XP

Como crear una red privada virtual (VPN) en Windows XP Como crear una red privada virtual (VPN) en Windows XP Introducción Cada vez es más habitual moverse en escenarios en donde se requiere el acceso a recursos remotos desde cualquier lugar, incluso recursos

Más detalles

Guía de Seguridad en Redes Inalámbricas

Guía de Seguridad en Redes Inalámbricas Guía de Seguridad en Redes Inalámbricas INTRODUCCIÓN Las conexiones inalámbricas se han popularizado fuertemente los últimos años, tanto en el ámbito hogareño como en el corporativo y en los espacios públicos.

Más detalles

Hacking Ético & Seguridad Ofensiva

Hacking Ético & Seguridad Ofensiva Hacking Ético & Seguridad Ofensiva INDICE DATOS DEL CURSO OBJETIVOS DEL CURSO CONTENIDO MATERIALES Y RECURSOS DEL CURSO EVALUACION DATOS DEL CURSO Duración: 6 Jornadas (30horas), (08:00 am a 13:00 pm)

Más detalles

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información Guía de Cifrado Preguntas y respuestas sobre el cifrado de la información personal La guía para aprender a cifrar tu información 2 Qué es lo que estamos cuidando? A través del cifrado cuidamos de fotos,

Más detalles

Ministerio de Educación,Cultura y Deporte. Aulas en Red. Windows. Módulo 2: Servicios Básicos. Enrutamiento

Ministerio de Educación,Cultura y Deporte. Aulas en Red. Windows. Módulo 2: Servicios Básicos. Enrutamiento Ministerio de Educación,Cultura y Deporte. Aulas en Red. Windows Módulo 2: Servicios Básicos. Enrutamiento Aulas en red. Aplicaciones y servicios. Windows Enrutamiento El Servicio de Enrutamiento y Acceso

Más detalles

Hay muchas aplicaciones para la creación de imágenes de respaldo en Windows como pueden ser:

Hay muchas aplicaciones para la creación de imágenes de respaldo en Windows como pueden ser: Realiza un informe sobre los diferentes programas que existen en el mercado informático que permite crear imagenes de respaldo de tu equipo y realiza una demostración práctica de uno de ellos Una imagen

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

Arquitectura de Redes y Sistemas de Telecomunicación

Arquitectura de Redes y Sistemas de Telecomunicación Práctica 0 Arquitectura de Redes y Sistemas de Telecomunicación Introducción al Wireshark Fundamentos del analizador de protocolos Wireshark. Objetivos En esta introducción se pretenden adquirir las capacidades

Más detalles

Dr.Web Enterprise Security Suite 10 Guía Rápida de Implantación (Windows)

Dr.Web Enterprise Security Suite 10 Guía Rápida de Implantación (Windows) Dr.Web Enterprise Security Suite 10 Guía Rápida de Implantación (Windows) Versión de Dr.Web ESS: 10.0 Última actualización: 24/09/2014 2014 IREO Mayorista de ITSM y Seguridad Guía de Implantación Dr.Web

Más detalles

Almacenamiento en la nube: SkyDrive, Google Drive, Dropbox. Cuál elegir?

Almacenamiento en la nube: SkyDrive, Google Drive, Dropbox. Cuál elegir? Almacenamiento en la nube: SkyDrive, Google Drive, Dropbox. Cuál elegir? Ya no caben dudas, hay que mudarse a la nube. Este es un buen momento para comparar los tres servicios más populares para almacenar

Más detalles

MANUAL DE USUARIO. Funcionalidad del Asistente Técnico de Movistar. Funcionalidad del Asistente Técnico de Movistar. Guía Básica de Manejo

MANUAL DE USUARIO. Funcionalidad del Asistente Técnico de Movistar. Funcionalidad del Asistente Técnico de Movistar. Guía Básica de Manejo MANUAL DE USUARIO Funcionalidad del Asistente Técnico de GUÍA BÁSICA DE MANEJO Asistente Técnico de Índice Índice... 2 1 Introducción al Asistente Técnico de... 3 2 Funcionalidad recogida en el Asistente

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

Monitoreo de red. Inventario de hardware y software. Monitoreo actividad del usuario. Soporte a usuarios. Protección contra fuga de datos.

Monitoreo de red. Inventario de hardware y software. Monitoreo actividad del usuario. Soporte a usuarios. Protección contra fuga de datos. nvision Es una solución modular que permite gestionar la red, llevar el control y cumplimiento de licencias inventario de hardware y software de equipos Windows, monitorear la actividad que realizan diariamente

Más detalles

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA TEMA 3. REDES Y SEGURIDAD INFORMÁTICA REDES INFORMÁTICAS. 1. Qué ventajas tiene usar ordenadores en red, frente al trabajo aislado? 2. Explica la diferencia entre el área de alcance de una red LAN y una

Más detalles

Administración de Servicios Web (Online)

Administración de Servicios Web (Online) TITULACIÓN DE FORMACIÓN CONTINUA BONIFICADA EXPEDIDA POR EL INSTITUTO EUROPEO DE ESTUDIOS EMPRESARIALES Administración de Servicios Web (Online) Duración: 180 horas Precio: 0 * Modalidad: Online * hasta

Más detalles

Actualmente existen multitud de sistemas que permiten detectar la presencia voluntaria de un usuario en una determinada estancia o lugar.

Actualmente existen multitud de sistemas que permiten detectar la presencia voluntaria de un usuario en una determinada estancia o lugar. Propuesta para el concurso de ideas sobre aplicaciones que reutilicen datos abiertos de la Universidad de Alicante Tı tulo: UA-Presencia 1. Participante Nombre: Antonio López Blanes 2. Introducción Actualmente

Más detalles

Introducción. Mensaje de los Desarrolladores

Introducción. Mensaje de los Desarrolladores Introducción En Aspec System estamos preocupados por los cabios tecnológicos de la vida cotidiana así como las integraciones de la tecnologías de la información en el llamado tele gobierno que está integrando

Más detalles

Universal Desktop Services White Paper Seguridad en plataformas VDI

Universal Desktop Services White Paper Seguridad en plataformas VDI Introducción Este documento detalla los riesgos que pueden afectar a una plataforma de escritorios virtuales y describe diferentes técnicas para asegurar plataformas de este tipo. Para asegurar escritorios

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones. Módulo Profesional: Servicios en Red. Código: 0227. Resultados de aprendizaje y criterios de evaluación. 1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

Más detalles

RSA ADAPTIVE AUTHENTICATION

RSA ADAPTIVE AUTHENTICATION RSA ADAPTIVE AUTHENTICATION Una plataforma integral de detección de fraudes y autenticación RESUMEN Mide el riesgo de las actividades de inicio de sesión o las posteriores al inicio de sesión evaluando

Más detalles

Guía de Instalación para clientes de WebAdmin

Guía de Instalación para clientes de WebAdmin Panda Managed Office Protection Guía de Instalación para clientes de WebAdmin Tabla de contenidos 1. Introducción... 4 2. Instalación de Panda Managed Office Protection a partir de una instalación de Panda

Más detalles

Guía de Seguridad en Redes Sociales

Guía de Seguridad en Redes Sociales Guía de Seguridad en Redes Sociales INTRODUCCIÓN Las redes sociales son parte de los hábitos cotidianos de navegación de gran cantidad de personas. Cualquier usuario de Internet hace uso de al menos una

Más detalles

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación. Configuración de eduroam en Windows XP Guía de Usuario

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación. Configuración de eduroam en Windows XP Guía de Usuario Vicerrectorado de Tecnologías de la Información y la Última Actualización 26 de noviembre de 2015 Tabla de contenido NOTA PREVIA IMPORTANTE... 3 1.- Verificación inicial... 3 2.- Configuración manual de

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola

Más detalles

Ethical Hacking & Countermeasures. Certified Ethical Hacker (CEH) v8

Ethical Hacking & Countermeasures. Certified Ethical Hacker (CEH) v8 Ethical Hacking & Countermeasures. Ethical Hacking & Countermeasures Descripción En un entorno tecnológico en el que la seguridad es un aspecto cada vez más importante, es necesario que las empresas sean

Más detalles

FORMACIÓN CURSO Instalación y configuración del software de servidor Web.

FORMACIÓN CURSO Instalación y configuración del software de servidor Web. FORMACIÓN CURSO Instalación y configuración del software de servidor Web. En un mercado laboral en constante evolución, la formación continua de los profesionales debe ser una de sus prioridades. En Galejobs

Más detalles

Plan de Trabajo en Verano de INFORMÁTICA CUARTO ESO. Departamento de Tecnología curso 2013-2014

Plan de Trabajo en Verano de INFORMÁTICA CUARTO ESO. Departamento de Tecnología curso 2013-2014 Plan de Trabajo en Verano de INFORMÁTICA CUARTO ESO Departamento de Tecnología curso 2013-2014 Este dossier contiene los siguientes documentos de tu interés: Batería de actividades por unidad didáctica

Más detalles

Instituto tecnológico superior de Apatzingán. Investigación documental. Redes inalámbricas (LAN) Alumno: Alondra Gómez Vaca.

Instituto tecnológico superior de Apatzingán. Investigación documental. Redes inalámbricas (LAN) Alumno: Alondra Gómez Vaca. Instituto tecnológico superior de Apatzingán Investigación documental Redes inalámbricas (LAN) Alumno: Alondra Gómez Vaca. Asignatura: Ingeniería en Informática Fundamentos de Investigación Índice Generalidades

Más detalles

Robos a través de móviles

Robos a través de móviles 1 Robos a través de móviles Android es el sistema más usado entre los usuarios de dispositivos móviles y el segundo más usado después de Windows para los creadores de virus. Los primeros programas malintencionados

Más detalles

MF1220_3 Implantación y Mantenimiento de Sistemas de Control de Accesos y Presencia y de Videovigilancia (Online)

MF1220_3 Implantación y Mantenimiento de Sistemas de Control de Accesos y Presencia y de Videovigilancia (Online) MF1220_3 Implantación y Mantenimiento de Sistemas de Control de Accesos y Presencia y de TITULACIÓN DE FORMACIÓN CONTINUA BONIFICADA EXPEDIDA POR EL INSTITUTO EUROPEO DE ESTUDIOS EMPRESARIALES MF1220_3

Más detalles

Guía de doble autenticación

Guía de doble autenticación Guía de doble autenticación Índice Guía doble autenticación 1. Introducción a la Doble Autenticación: Qué es? 4 Ataques a las contraseñas 6 Fuerza bruta 6 Malware 6 Phishing 6 Ataques a servidores 6 2.

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

Red de datos de la UAM Azcapotzalco Coordinación de Servicios de Cómputo

Red de datos de la UAM Azcapotzalco Coordinación de Servicios de Cómputo PREGUNTAS FRECUENTES 1. Qué cambio hay en la red de la Unidad Azcapotzalco? R. Para que la UAM Azcapotzalco, cuente con una red segura y eficiente, se realizaron actualizaciones internas en ésta: 1. Reorganización

Más detalles

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server SEGURIDAD EN REDES NOMBRE: Daniel Leonardo Proaño Rosero TEMA: SSH server SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve

Más detalles

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

Guía de MANEJO SERVICIO WEBSEGURA. Pymes

Guía de MANEJO SERVICIO WEBSEGURA. Pymes Guía de MANEJO SERVICIO WEBSEGURA Definición de los servicios incluidos.» SISTEMA DE FILTRADO DE CONTENIDO WEB AVANZADO. El usuario tiene la opción de bloquear la navegación web de contenido de Internet

Más detalles

I. E. S. Cristóbal de Monroy. DEPARTAMENTO: Informática. MATERIA: Aplicaciones Web. NIVEL: 2º Sistemas Microinformáticos y Redes

I. E. S. Cristóbal de Monroy. DEPARTAMENTO: Informática. MATERIA: Aplicaciones Web. NIVEL: 2º Sistemas Microinformáticos y Redes DEPARTAMENTO: Informática MATERIA: Aplicaciones Web NIVEL: 2º Sistemas Microinformáticos y Redes 1. Objetivos. Competencias Profesionales, Personales y Sociales 1.1 Objetivos del ciclo formativo Según

Más detalles

Taller Hacking for Forensics

Taller Hacking for Forensics Taller Hacking for Forensics Duración 48 horas Objetivo general: - El participante podrá adquirir habilidades para aplicar diversas técnicas analíticas y científicas en materia de Hackeo y Análisis Forense

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Política de cookies. Introducción Acerca de las cookies

Política de cookies. Introducción Acerca de las cookies Introducción Acerca de las cookies Política de cookies La mayoría de sitios web que usted visita utiliza cookies para mejorar la experiencia del usuario, permitiendo que el sitio web le recuerde, ya sea

Más detalles

Detectar y solucionar infecciones en un sitio web

Detectar y solucionar infecciones en un sitio web Detectar y solucionar infecciones en un sitio web Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Las infecciones que sufren los sitios web son uno de los principales

Más detalles

MASTER EN HACKING ÉTICO

MASTER EN HACKING ÉTICO MASTER EN HACKING ÉTICO Máster Hacking Ético Titulación Universitaria 1. Descripción: IDO Business School (Iberoamericana de Desarrollo Organizacional), en colaboración con la Universidad Internacional

Más detalles

Diplomado en Seguridad Informática

Diplomado en Seguridad Informática Diplomado en Seguridad Informática Presentación SEGURO, RA (Del lat. securus). Adj. Libre y exento de todo peligro, daño o riesgo. 2. Cierto, indubitable, y en cierta manera infalible. 3. Firme, constante,

Más detalles

SKYPE Comunícate a través de Internet.

SKYPE Comunícate a través de Internet. Comunícate a través de Internet. Curso de Skype por KZgunea se encuentra bajo licencia Creative Commons de Reconocimiento- NoComercial-CompartirIgual_3.0_ (CC-BY-NC-SA_3.0) Índice del curso 1. QUÉ ES SKYPE...

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Operación Microsoft Windows

Operación Microsoft Windows Entornos de red Concepto de red En el nivel más elemental, una red consiste en dos equipos conectados entre sí mediante un cable de forma tal que puedan compartir datos. Todas las redes, no importa lo

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Guía Rápida de Inicio

Guía Rápida de Inicio Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for SharePoint. Para disponer de instrucciones detalladas, por favor, diríjase

Más detalles

MENSAREX: SISTEMA DE MENSAJERÍA DEL MINREX Gretel García Gómez gretel@minrex.gov.cu Ministerio de Relaciones Exteriores Cuba.

MENSAREX: SISTEMA DE MENSAJERÍA DEL MINREX Gretel García Gómez gretel@minrex.gov.cu Ministerio de Relaciones Exteriores Cuba. MENSAREX: SISTEMA DE MENSAJERÍA DEL MINREX Gretel García Gómez gretel@minrex.gov.cu Ministerio de Relaciones Exteriores Cuba Resumen El presente trabajo da solución a dos de los problemas informáticos

Más detalles

Encriptación en Redes

Encriptación en Redes Encriptación en Redes Integrantes: Patricio Rodríguez. Javier Vergara. Sergio Vergara. Profesor: Agustín González. Fecha: 28 de Julio de 2014. Resumen Un tema importante actualmente en la redes de computadores,

Más detalles

POLITICA DE PRIVACIDAD

POLITICA DE PRIVACIDAD POLITICA DE PRIVACIDAD 1. Qué regula esta Política de Privacidad? Esta Política de Privacidad tiene por objeto informar al usuario que se descarga la aplicación sobre quiénes somos, qué tipo de datos personales

Más detalles

CÓMO CONECTARNOS A INTERNET

CÓMO CONECTARNOS A INTERNET CÓMO CONECTARNOS A INTERNET Podemos conectarnos a la Red partiendo de dos posibilidades: Si nuestro ordenador forma parte de una red local, es decir, está conectado a otros ordenadores por un cable y dicha

Más detalles

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0 Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. COMPONENTES

Más detalles

Ubuntu Server 12.10 HOW TO : SERVIDOR VPN. EN ESTE SE REALIZA LO SIGUIENTE: En este how to se le va a enseñar como usar vpn. Qué es una VPN?

Ubuntu Server 12.10 HOW TO : SERVIDOR VPN. EN ESTE SE REALIZA LO SIGUIENTE: En este how to se le va a enseñar como usar vpn. Qué es una VPN? Ubuntu Server 12.10 HOW TO : SERVIDOR VPN EN ESTE SE REALIZA LO SIGUIENTE: En este how to se le va a enseñar como usar vpn. Qué es una VPN? Una red privada virtual o VPN (Virtual Private Network), es una

Más detalles

Guía de instalación de certificado digital y DNIe. v 04

Guía de instalación de certificado digital y DNIe. v 04 Guía de instalación de certificado digital y DNIe v 04 14/11/2011 Índice 1 Introducción... 3 2 Requisito de acceso a la sede de Diputación de Valladolid, Cómo incluir en Windows una Entidad de confianza?...

Más detalles

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

1.1. Instalación del entorno de desarrollo

1.1. Instalación del entorno de desarrollo 1.1. Instalación del entorno de desarrollo Para el desarrollo de las aplicaciones vamos a poder utilizar un potente y moderno entorno de desarrollo. Al igual que Android, todas las herramientas están basadas

Más detalles

Presentada por: Enrique Lannes Gerente de Ventas America Latina

Presentada por: Enrique Lannes Gerente de Ventas America Latina Presentada por: Enrique Lannes Gerente de Ventas America Latina 3 4 CIBERWAR en su propia red. 1800 ataques exitosos por semana en grandes organizaciones 3 67% de la infraestructura actual no puede detener

Más detalles

Control Parental. Como vigilar y proteger el uso de Internet.

Control Parental. Como vigilar y proteger el uso de Internet. Control Parental Como vigilar y proteger el uso de Internet. www.edurobotic.es Febrero 2014 Contenido 1. Porqué esta guía/tutorial?... 2 2. Qustodio... 3 a. Que es / Que hace... 3 b. Descarga e Instalacion...

Más detalles

Guía Rápida de Inicio

Guía Rápida de Inicio Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for File Servers. Para disponer de instrucciones detalladas, por favor, diríjase

Más detalles

No.1 Business Communication

No.1 Business Communication No.1 Business Communication Solución encriptada para comunicación en móvil www.no1bc.com Reto móvil Cuando usted maneja información delicada e importante, su comunicación telefónica puede ser objeto de

Más detalles

CONFIGURACIÓN DEL SERVIDOR

CONFIGURACIÓN DEL SERVIDOR CONFIGURACIÓN DEL SERVIDOR Una vez finalizadas las configuraciones iniciales de las interfaces y direcciones IPs, desde cualquier equipo de la red abrimos el navegador e introducimos la dirección IP del

Más detalles

Respuesta al. Reto de Análisis Forense. Resumen ejecutivo. Marzo de 2006. Germán Martín Boizas

Respuesta al. Reto de Análisis Forense. Resumen ejecutivo. Marzo de 2006. Germán Martín Boizas Respuesta al Reto de Análisis Forense Resumen ejecutivo Marzo de 2006 Germán Martín Boizas Introducción Este documento es el resumen ejecutivo en respuesta al reto de análisis forense lanzado por UNAM-CERT

Más detalles

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS Instituto de Formación Profesional CBTech Estudie desde su hogar y obtenga un certificado universitario Formación a distancia de EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS 1 Temario del

Más detalles

SERVIDOR PROXY CACHÉ. Servicios que ofrece:

SERVIDOR PROXY CACHÉ. Servicios que ofrece: SERVIDOR PROXY CACHÉ Servicios que ofrece: 1. Filtrado de contenidos web. 2. Proxy caché. 3. Cortafuegos. 4. Antivirus 5. Servidor DHCP. 6. Balanceo de carga. 7. Servidor Web para Intranets. 8. Administración

Más detalles

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación. Configuración de eduroam en Windows Vista Guía de Usuario

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación. Configuración de eduroam en Windows Vista Guía de Usuario Vicerrectorado de Tecnologías de la Información y la Última Actualización 19 de noviembre de 2015 Tabla de contenido NOTA PREVIA IMPORTANTE... 3 1.- Verificación inicial... 3 2.- Configuración manual de

Más detalles

MANUAL DE USUARIO. Funcionalidad de Asistente PC de Movistar GUÍA BÁSICA DE MANEJO

MANUAL DE USUARIO. Funcionalidad de Asistente PC de Movistar GUÍA BÁSICA DE MANEJO MANUAL DE USUARIO Funcionalidad de Asistente PC de Movistar GUÍA BÁSICA DE MANEJO Índice Índice... 2 1 Introducción a Asistente PC de Movistar... 3 2 Funcionalidad recogida en Asistente PC de Movistar...

Más detalles

ebox: Servidor de dominio Windows libre y gratuito

ebox: Servidor de dominio Windows libre y gratuito ebox: Servidor de dominio Windows libre y gratuito Guía de instalación y configuración Manuel Morán Vaquero mmv@edu.xunta.es Febrero 2010 Esta guía está basada en la versión 1.2 de ebox Índice 1 Introducción

Más detalles

Centro Guadalinfo de Cenes de la Vega EL CERTIFICADO DIGITAL

Centro Guadalinfo de Cenes de la Vega EL CERTIFICADO DIGITAL EL CERTIFICADO DIGITAL 1 CERTIFICADO DIGITAL QUÉ ES EL CERTIFICADO DIGITAL? Es un documento digital certificado con las mismas funcionalidades que cualquier documento físico, sirve para identificarnos

Más detalles

Título: Técnicas de ataque sobre clientes Wi-Fi. Fecha: Jueves, 30 de octubre 9:30 a 20:00h. Formador: Raúl Siles

Título: Técnicas de ataque sobre clientes Wi-Fi. Fecha: Jueves, 30 de octubre 9:30 a 20:00h. Formador: Raúl Siles Título: Técnicas de ataque sobre clientes Wi-Fi Fecha: Jueves, 30 de octubre 9:30 a 20:00h Formador: Raúl Siles Raúl Siles es fundador y analista de seguridad de DinoSec. Durante más de una década ha aplicado

Más detalles

Analista Consultor en Seguridad Informática IT: Ethical Hacking

Analista Consultor en Seguridad Informática IT: Ethical Hacking Analista Consultor en Seguridad Informática IT: Ethical Hacking TITULACIÓN DE FORMACIÓN CONTINUA BONIFICADA EXPEDIDA POR EL INSTITUTO EUROPEO DE ESTUDIOS EMPRESARIALES Analista Consultor en Seguridad Informática

Más detalles

SOLUCIONES PARA EMPRESA

SOLUCIONES PARA EMPRESA SOLUCIONES PARA EMPRESA 2 Soluciones para empresa Tanto si acabas de montar tu empresa como si ya lleva tiempo establecida, hay algunas cosas que deberías esperar del producto de seguridad que usas a diario.

Más detalles

Wardriving Perú: Riesgos Ocultos. Jimmy Arthur Villanueva Llerena Especialista en redes y comunicaciones de datos

Wardriving Perú: Riesgos Ocultos. Jimmy Arthur Villanueva Llerena Especialista en redes y comunicaciones de datos Wardriving Perú: Riesgos Ocultos Jimmy Arthur Villanueva Llerena Especialista en redes y comunicaciones de datos Introducción La irrupción de la nueva tecnología basada en redes inalámbricas ha proporcionado

Más detalles

Servicio de Acceso Remoto. Usos y configuración.

Servicio de Acceso Remoto. Usos y configuración. Servicio de Acceso Remoto. Usos y configuración. Servicio de Acceso Remoto. Usos y configuración... 1 DESCRIPCIÓN DEL SERVICIO DE ACCESO REMOTO... 3 GESTIÓN DE LA CUENTA DE ACCESO REMOTO... 3 CONFIGURACION

Más detalles