English - Català - Castellano

Objetivos

• Ser un congreso de referencia en seguridad informática en el sur de Europa.

• Estimular una industria de la seguridad a través del intercambio y actualización del conocimiento de los profesionales y expertos en seguridad de las Tecnologías y Comunicaciones.

• Estimulación del I+D+i en materia de seguridad informática.
  
• Tratar las problemáticas más actuales y las tendencias de futuro.
  
• Llegar a los empresarios y ciudadanos en materia de concienciación de la seguridad de los medios tecnológicos.

Público Objetivo

• Responsables y Directivos de las empresas del sector privado del ámbito de la seguridad informática que quieran aprovecharse de ideas para ampliar o mejorar las posibilidades de negocio.
• Profesionales de las TC (técnicos especializados), como pueden ser administradores de sistema o administradores de red que lidian diaria y directamente con sistemas y redes, y puedan adquirir novedades en materia de seguridad.
• Profesionales de la seguridad de la información, desde el perfil más técnico hasta al más gestor.
• Fuerzas de Seguridad que quieran actualizarse en materia de seguridad informatica.
• Funcionarios y técnicos de la administración pública, especialmente responsables de seguridad y técnicos especializados que quieran intercambiar conocimientos en el panorama de la investigación de la seguridad.
• Estudiantes que están haciendo labores de investigación o quieran especializarse en seguridad informática.

Título: Seguridad en el diseño: desde el principio
Ponente: Ricardo J. Rodríguez

Descripción: La seguridad, una de las propiedades no funcionales de los sistemas, es un campo que nunca se ha tenido en cuenta durante las primeras fases de diseño de los sistemas. Esta falta de metodología ha provocado que la seguridad se lleve a las etapas finales del diseño, llegando incluso a aplicarse en el momento de la implementación. El problema que surge de este mal comportamiento es el defecto en seguridad que sufren los sitemas y que repercuten desde el buen funcionamiento del sistema (availability, o disponibilidad) hasta en el robo de datos de carácter personal (confidencialidad de los datos). UML es el estándar de facto como lenguaje para el diseño de los sistemas. UML se puede 'personalizar' para campos de dominio concreto (e.g., tiempo real o dependability) mediante una técnica conocida como profiling. En esta charla se pretende presentar SecAM, un profile para UML que trata de incorporar la seguridad en las fases tempranas del diseño de sistema. SecAM se ha construido con la base del profile MARTE (estándar OMG para tiempo real) y el profile DAM (Dependability Analysis and Modelling). Esta característica permite, por ejemplo, detectar en las fases tempranas de diseño posibles errores derivados de una incorrecta política de seguridad, lo que puede suponer un ahorro (tiempo, coste, etc.) considerable.

Conocimientos imprescindibles: Conceptos básicos de arquitectura de computadores, nociones de programación.

Biografia: Ricardo J. Rodríguez recibió su título de Ingeniero en Informática por la Universidad de Zaragoza en el 2008, y el título de Máster en Ingeniería e Informática de Sistemas en el 2010 por la misma universidad. Tras una beca de postgrado en el Instituto Tecnológico de Aragón, se incorporó al Dpto. de Informática e Ingeniería de Sistemas de la Universidad como personal investigador. Actualmente, es estudiante de doctorado en el Programa Oficial de Doctorado de la Universidad de Zaragoza. Sus campos principales de investigación son la ingeniería del software segura, seguridad teórica y rendimiento de sistemas complejos. Algunas de sus publicaciones en el campo de la seguridad son 'Modelling and Analysing Resilience as Security Issue within UML' (Int,. Workhop on Software Engineering for Resilient Systems, SERENE'10) y 'Integrating Fault-Tolerant Techniques into the Design of Critical Systems' (Int. Symposium of Architecting Critical Systems, ISARCS'10).

--

Título: Show me your Kung Fuzz
Ponente: Iñaki Rodríguez

Descripción: Introducción del proceso de fuzzing dentro de la organización como mejora de la calidad de sus servicios, tanto en el desarrollo propio como en aquellos servicios apoyados por terceros.

Conocimientos imprescindibles: Nociones sobre Auditorías de Seguridad.

Biografia: Iñaki tiene más de 10 años de experiencia en el mundo de las TI, 8 de ellos dedicados a caballo entre seguridad, desarrollo y administración de sistemas. Ha colaborado brevemente como mantenedor en Debian, publicado parches para aplicaciones opensource, analizando intrusiones. También ha realizado trabajos de hacking ético para diversas entidades y organizaciones. Actualmente trabaja como responsable de seguridad para un ISP, gestionando incidentes y mejorando la seguridad aunque también hace trabajos de hacking ético como freelance.

--

Título: Geolocalización Wi-Fi basada en API

Ponente: Yago Fernández Hansen

Descripción: En esta nueva charla-taller, se mostrará de forma práctica como funciona y cómo se puede utilizar la geolocalización de dispositivos móviles o fijos, basándose en bases de datos de dispositivos gratuitas. A través de este sistema se podrá localizar de forma bastante precisa la ubicación de un dispositivo en movimiento o parado, para lo que utilizaremos diferentes tecnologías como Wi-Fi y 3G. Como suele ser habitual en estas charlas, se hará de de una forma muy gráfica y demostrativa para que sea facilmente comprensible para cualquier asistente. Se pondrá a disposición de los asistentes algunos ejemplos de scripts en diferentes formatos para que puedan aplicarlos.

Conocimientos imprescindibles: Nociones de programación.

Biografia: Cuenta con master en ingeniería de software, además de contar con más de 8 años de experiencia en tecnologías inalámbricas. Es especialista en la implementación y auditoria de redes Wi-Fi. Cuenta con amplia experiencias en motores de datos, sistemas Microsoft, Linux y Networking. Es formador y consultor en seguridad informática y métodos de penetración en redes Wi-Fi para empresas e instituciones, entre los que se encuentran los cuerpos de seguridad del estado. Finalista en el concurso IBM Leonardo DaVinci 1995, cuenta con publicaciones y artículos de informática, además de ser colaborador directo y revisor de publicaciones técnicas de la editorial Rama. Ha impartido diferentes talleres y seminarios de hacking ético y seguridad en Wi-Fi para empresas, organizaciones públicas y universidades. Autor del libro RADIUS/AAA/802.1X . Autor del portal y comunidad de hackers diariodeunhacker.com

--

Título: Ejercicios de demostración JWID (Joint Warrior Interoperability Demostration)

Ponente: Pedro Sánchez.

Descripción: JWID son unos ejercicios de demostración que realizan anualmente Estados Unidos y la OTAN para demostrar la validez de las nuevas tecnologías. Estos están patrocinados sucesivamente por uno de los ejércitos americanos, con participación desde 1996 de países de la OTAN, entre ellos, España, con éxito destacado. En esta conferencia se aprenderán las herramientas mas novedosas pensadas para evitar la ciberguerra y/o fugas de información. Veremos los requisitos para participar y las pruebas a realizar. Todo un mundo si te interesa la seguridad informática orientada a entornos militares.

Público Objetivo: Gestores de seguridad, Responsables de seguridad y, en general, profesionales de la seguridad de la información (tanto técnicos como gestores).

Biografía: Pedro ha trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5) y diversas metodologías de seguridad. También colabora sobre seguridad y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guadia Civil y la Brigada de Investigación Tecnológica de la policia nacional. También ha participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuvo la certificación nato secret. Actualmente es miembro de la Spanish Honeynet Project y trabaja como Information Security and Forensics Consultant para dos grandes compañías como Bitdefender y Google inc.

--

Título: Terminal Hackpplications – Old and new tricks hacking Citrix and Terminal Services

Ponentes: Juan Garrido y Chema Alonso.

Descripción: En esta sesión Juan Garrido "Silverhack" y Chema Alonso, harán un recorrido a los viejos, y aún funcionales trucos, para atacar aplicaciones publicadas por Citrix o Terminal Services. Además, mostrarán un conjunto de nuevos trucos en fases de fingerprinting software, la red detrás del firewall y elevación de privilegios, para conseguir ejecutar comandos en los sistemas. Todo ello, acompañado de algún juguete extra...

Conocimientos imprescindibles: Nociones de Auditoría de seguridad.

Público Objetivo: Auditores de seguridad, Administradores de redes, Responsables de Seguridad.

Biografia: Juan Garrido trabaja como consultor de seguridad y sistemas en Informática 64 desde hace más de 2 años. Ha sido ponente en conferencias nacionales como las FIST, Microsoft Technet, Asegur@IT, entre otras. Ha publicado varios artículos en revistas técnicas, como Microsoft Technet, Windows TI Magazine y MKM, siempre sobre temas relacionados con la seguridad informática. Ha publicado su primer libro a través de Informática 64, titulado "Análisis forense digital en entornos Windows". Participa activamente en foros de seguridad como "Elhacker.net", los foros de Technet, o foros relacionados con tecnologías forense como forensic-es.org. Actualmente, escribe de forma habitual en su blog, relacionado con la seguridad informática y análisis forense, http://windowstips.wordpress.com

--

Título: Técnicas oscuras para combatir la pederastia en Internet

Ponentes: Juan Antonio Calles García y Pablo González Pérez

Descripción: Uno de los mayores problemas que caracterizan Internet es la posibilidad de conectarse de manera anónima, posibilitando así la suplantación de identidades por parte de usuarios con intenciones maliciosas, entre los que se encuentran, pederastas, pedófilos, etc. La entrada de usuarios más jóvenes con poca experiencia es una situación que llama la atención de los llamados depredadores de la red. Este tipo de usuarios utilizan técnicas de persuasión, amenazas y engaños sobre los jóvenes que se exponen a este tipo de situaciones, con la intención de obtener vídeos, imágenes, favores sexuales de menores de edad, etc. En la actualidad se pueden combatir este tipo de abusos de manera proactiva mediante el uso de técnicas de ‘Hacking Ético’. La presente ponencia analiza los resultados de varios estudios sobre los peligros de los jóvenes en Internet y en las Redes Sociales con los casos de Ciberbullying. Además, presenta una herramienta de tipo malware orientada a la recolección de evidencias que ha sido desarrollada por la Comunidad Flu Project para combatir de manera específica los casos de Ciberbullying.

Conocimientos imprescindibles: Nociones de Seguridad.

Público Objetivo: Fuerzas y cuerpos de Seguridad en general, Auditores de seguridad, Administradores de redes, Responsables de Seguridad.

Biografia: Pablo Gonzalez es Consultor de sistemas e instructor en Informática 64. Ingeniero Técnico en Informática de Sistemas y pronto Ingeniero en Informática. Certificado en LPIC-1 y Small Bussiness CISCO. FTSAI. Anteriormente ha trabajado como consultor de sistemas en SoluSoft y como técnico en la Universidad Rey Juan Carlos. Premio Extraordinario Fin de Carrera por la Universidad Rey Juan Carlos en Ingeniería Técnica en Informática de Sistemas en 2009. Premio al mejor expediente de su promoción por la Escuela Técnica Superior de Ingeniería Informática de la Universidad Rey Juan Carlos en 2009

Juan Antonio Calles es programador en Bitware, Ingeniero en Informática de Sistemas, Postgrado en Tecnologías de la Información y Sistemas Informáticos y Postgrado en Ingeniería de Sistemas de Decisión. CISA por la Isaca, Dlink Certified y FTSAI. Anteriormente ha trabajado en Informática 64, en la Universidad Rey Juan Carlos y en Kybele Consulting en temas de Seguridad y Calidad.

--

Título: Debugging (Exploit) Payloads

Ponente: Jose Selvi

Descripción: Sin duda una de los campos técnicamente más complejos dentro del mundo de la seguridad informática es el reversing de software/malware. Sin embargo, los payloads de los exploits suelen ser pequeños y simples con el fin de facilitar la explotación, y en general no se emplean las técnicas anti-análisis del malware actual. Por ello, depurar un payload de un exploit para mejorar nuestro conocimiento sobre este puede no resultar tan complicado como en principio pudiera parecer. Durante esta charla veremos, partiendo de un ejemplo práctico que a priori no funciona, como podemos depurar un payload de forma sencilla y averiguar qué está fallando, para de esta manera modificar dicho payload y hacerlo funcionar. Finalmente, debido al conocimiento extraido de esta inverstigación, se mostrará que contramedidas se propondrían al cliente.

Conocimientos imprescindibles: Nociones de ensamblador, programación y exploiting.

Público Objetivo: Auditores de seguridad, Responsables de Seguridad y desarrolladores.

Biografia: Jose Selvi (CISA, CISSP, GSEC, GCIH, GPEN) combina su trabajo como Auditor Senior en S21sec con un Doctorado en Informática y Matemática Computacional. Es Mentor en España de los cursos de Incident Handling y Penetration Testing del SANS Institute. También escribe el blog de seguridad técnica Pentester.es. Durante su trabajo diario se dedica a la realización de Tests de Intrusión externos e internos, así como auditoría de aplicaciones y otros temas relacionados con el Hacking Ético.

--

Título: (In)seguridad para jugones: apuestas, casinos y otros juegos de azar

Ponente: Rafael Rodríguez Martín

Descripción: Los juegos de azar han cambiado mucho en las últimas décadas. Entre las tragaperras mecánicas de bar tradicionales y los modernos sistemas que existen hoy en los casinos, conectados a través de la nube para ofrecer mayores premios y una experiencia de entretenimiento nunca antes percibida por el jugador, han transcurrido múltiples cambios tecnológicos cuyos riesgos inherentes amenazan a un mundo en el que se mueven cantidades astronómicas de dinero. Si a esto añadimos la proliferación de casinos “online”, en los que el control de los jugadores depende aún más de la tecnología, se presenta un panorama lleno de retos para los operadores de este tipo de negocios. No solo las tragaperras han evolucionado: el póker tradicional ha encontrado un sucesor aventajado en las mesas online, y las apuestas (como las deportivas) cuentan con un gran número de seguidores tras la explosión de páginas en este ámbito durante los últimos años. Por todo ello, la presente charla realizará un recorrido a través de los diferentes ámbitos que tienen un impacto en la seguridad de diferentes modalidades de juegos de azar, incidiendo especialmente en las últimas modalidades que cuentan con una componente tecnológica cada vez mayor.

Conocimientos imprescindibles: Nociones de seguridad.

Público Objetivo: Auditores de seguridad, Responsables de Seguridad (en concreto del ámbito).

Biografia: Tras interesarse por la seguridad informática por primera vez en la Universidad, comenzó a trabajar en la práctica de Riesgos Tecnológicos de una Big four en 2006. En 2007 pasó a formar parte del Laboratorio de Seguridad Avanzada de Deloitte, donde continúo actualmente desarrollando su actividad laboral. La motivación de esta ponencia es exponer los nuevos riesgos y las últimas tendencias en seguridad en el mundo de los juegos de azar, para el que no existe demasiada literatura debido a la reciente intromisión de las tecnologías de la información en este ámbito.

--

Título: La Sibila (The Sibyl): un elemento RSA para luchar contra las tablas 'arco iris' y los ataques de diccionario.

Ponente: Pedro Fortuny y Rafael Casado

Descripción: Uno de los problemas más serios de un sistema de información es el almacenamiento seguro de elementos secretos de autenticación (el fichero 'shadow' y la tabla de passwords de una aplicación web son los ejemplos canónicos). Las "tablas arco iris" (rainbow tables) y el acceso barato a hardware de altas prestaciones (v.gr. la nube de Amazon) han hecho que el problema sea aun más acuciante. Hoy día los ataques de diccionario requieren un tiempo virtualmente nulo (y el hecho de que los usuarios elegirán passwords "malos" los hace más peligrosos que nunca). Se presenta un enfoque novedoso para almacenar ficheros 'shadow' (y en general, cualquier colección de datos de autenticación).

Público objetivo: Auditores de Seguridad, Administradores de Sistema, Responsables de Seguridad, Arquitectos de Seguridad.

Biografía: Pedro Fortuny es profesor titular interino de matemática aplicada en la Universidad de Oviedo. Aunque de modo principal se dedica a las singularidades de ecuaciones diferenciales, su otra gran pasión es la seguridad informática. Ha trabajado como consultor autónomo en TIC y como administrador de sistemas y desarrollador. Ha publicado en revistas de matemática pura. Certificado SANS Security Essentials en 2008.

Rafael Casado Sánchez es Ingeniero Informático; tiene experiencia en diferentes empresas, tanto en desarrollo y mantenimiento de software de alta disponibilidad como en administración de sistemas (en la actualidad trabaja para Teléfonica I+D a través de una subsidiaria).

Ambos comparten los proyectos www.nomorecleartextpasswords.com www.commandliners.com y thesibyl.net.

--

Título: Reversing/Forensic Android

Ponentes: Sebastián Guerrero Selma

Descripción: Introducción a dispositivos móviles Android donde se analizará y se mostrará paso a paso cómo realizar el Reversing de un malware. Se explicarán las actuales medidas de seguridad aplicadas a nuestros datos y se enseñará como realizar un forense y obtener toda la información de un dispositivo Android. Por último se verá qué protecciones implementa Google a sus aplicaciones y cómo se puede saltar. El objetivo del taller pretende fomentar el interés por parte de empresas e investigadores independientes a introducirse de lleno en la plataforma Android. Utilizando para ello un caso práctico real donde podrán enfrentarse y poner a prueba su experiencia y habilidad. Con estas técnicas se deja al descubierto la facilidad datos de carácter privado y se tratarán posibles vectores de defensa, se concienciará al usuario de la importancia de esta nueva forma de llevar todos nuestros datos a la red.

Público Objetivo: Auditores de Seguridad, Auditores Forense, desarrolladores.
Biografía: Investigador independiente, miembro activo del grupo de seguridad Painsec, colaborador en la comunidad privada de Malware Inteligence como crimeware researcher, realizando labores de investigación y reversing para exploit kits y malware.

--

Título: Medical Device Security:State of Art.

Ponente: Shawn Merdinger

Descripción: Desde los marcapasos, a los registros médicos electrónicos, control de salud en el hogar - Se analizarán las preocupaciones sobre la seguridad de dispositivos médicos en el rostro de los ataques que los hackers están llevando a la vanguardia de hoy en día en entornos hospitalarios. Como industria, estamos en las primeras etapas de proteger adecuadamente los dispositivos médicos y nos enfrentan a un largo y difícil camino por delante. Entonces, ¿Dónde estamos hoy? ¿Y qué podemos hacer para proteger la seguridad de nuestros pacientes y en el futuro la información privada?. Esta presentación ofrece una visión general del estado actual de la seguridad de dispositivos médicos. Los temas incluyen: ¿Quiénes son los jugadores? ¿Cuáles son los retos actuales - técnicos, reglamentarios y legales? ¿Cómo son las organizaciones reduciendo el riesgo de manera práctica? ¿Cómo son los fabricantes dispositivos médicos vendedor al darnos respuesta? ¿Qué tipo de investigación de seguridad se lleva a cabo y de que manera se conllevan los riesgos a una manera realista? ¿Qué tipo de amenazas se puede esperar para ver en los próximos años? ¿Cómo pueden ustedes participar?.

Público Objetivo: Auditores de Seguridad, Desarrolladores, Responsables de Seguridad en el Entidades Hospitalarias.

Conocimientos imprescindibles: Conocimientos básicos de seguridad en aplicaciones, redes telemáticas.

Biografía: Shawn Merdinger es un researcher de seguridad independiente y analista de seguridad en la Universidad de Florida y el Hospital Shands. Ha trabajado formalmente con Cisco Systems’ STAT (Security Technologies Assessment Team), TippingPoint de consultor de seguridad. Entre sus pasiones en los campos de seguridad están VoIP, Seguridad en los dispositivos médicos, el hacking de sistemas embebidos y la inteligencia competitiva. Shawn es editor técnico para Cisco Press y Pearson Publishing y ha presentado en congresos de seguridad como DEFCON, Ph-Neutral, ShmooCon, CONfidence, NocONName, HITB, O’Reilly, IT Underground, CarolinaCon y SecurityOpus.



Título: Retorno de Inversión en la adecuación a la normativa PCI DSS.

Ponente: Javier Moreno Molinero

Descripción: PCI DSS comprende un conjunto de controles de seguridad que deben cumplir todas las empresas que traten, transmitan o almacenen datos de tarjetas de pago. Si de una norma se ha hablado los dos últimos años ha sido esta, sobre todo por los incidentes relacionados con el robo de información de pago y por la presión que las marcas de tarjetas han ejercido para obligar a su cumplimiento a los afectados.

Hacer una inversión de cualquier tipo requiere realizar un estudio previo que debe incluir el cálculo del retorno de dicha inversión (ROI). Si la inversión se refiere a seguridad de la información es habitual calcular el ROSI (return on security investment). El cálculo de este valor se basa en dos conceptos: coste de la inversión y disminución del riesgo conseguida con dicha inversión. De este modo es factible demostrar que la implantación de la normativa PCI DSS es económicamente viable ya que la disminución del riesgo conseguida es mayor, en términos económicos, que el coste de la inversión realizada.

Público Objetivo: Responsables de Seguridad, Responsables de Cumplimiento Normativo, Responsables de Medios de Pago, Directores de Sistemas, Directores Financieros, Directores Comerciales, Consultores y Auditores de Seguridad

Conocimientos imprescindibles: Nociones de seguridad informática.

Biografía: Javier Moreno es Ingeniero Superior en Informática por la Universidad Politécnica de Madrid y MBA por IEN-CEPADE. También está en posesión de las certificaciones CISSP y GSEC. Anteriormente trabajó como Jefe de Proyecto en el área de negocio de Seguridad en Telefónica y actualmente ejerce como Account Manager en Internet Security Auditors.

Iluminación de Randa

Cerrado

Concurso Multidisciplinar en el que los participantes tendran que demostrar su habilidad para dar solución a un problema de carácter real creado para la ocasión.

El concurso está abierto a participación de gente de todo el mundo.

Las soluciones tendrán que enviarse en castello en formato pdf a la direccion de correo que aparece en las bases que podran descargarse.

El jurado estará constituido por:

• Un miembro de la asociación No cON Name
• Un miembro experto en seguridad de Deloitte
• Un miembro experto en seguridad de ACKSTORM

- BASES DEL CONCURSO (Descarga)
- EVIDENCIAS DEL CONCURSO (Descarga)

WarGame

Abierto

El concurso presenta diversos retos de exploiting que deberán ser solucionados por los participantes. Los retos están catalogados por niveles (del 0 al 5), de manera que para poder realizar el reto de un nivel deben resolverse previamente los retos de niveles inferiores.

El concurso está abierto a participación de gente de todo el mundo.

Los participantes deberán demostrar que disponen de los conocimientos suficientes sobre el funcionamiento de diversos aspectos, como los procesos de un sistema o las redes de comunicaciones, para poder superarlos. Las soluciones tendrán que enviarse en castellano en formato pdf a la dirección de correo que aparece en las bases que podran descargarse.

El jurado estará constituido por:

• Un miembro de la asociación No cON Name
• Un miembro experto en seguridad de Internet Security Auditors

- BASES DEL CONCURSO (Descarga)
- MAQUINA VIRTUAL CONCURSO (Descarga)




Se ha organizado para los asistentes de esta edición una cena en una zona reservada de un restaurante cercano al CosmoCaixa Barcelona.

Si no has elegido la cena con tu inscripción al congreso o formaciones, solo tienes que contactar con un miembro de la organizacion por:

• Correo electrónico a cena.congreso_EN_noconname.org
• Teléfono: 680358349.

Total Comensales: 80

Hora: 21:30h

La cena tendrá lugar en: "El Pescadito de Balmes"

El menú constará de:

• Pica-Pica / Entrantes para compartir
  
• Segundo a Elegir
  
• Postre a elegir
  
• Bebida, Cafe e infusiones
  

La organización tiene preparado para los asistentes del congreso una fiesta en un lugar emblemático de Barcelona...