HighSecCon II
Buenos días Dragonautas e internet en general.
En España se celebra hoy la segunda edición de la HighSecCon. Es la segunda edición de estas jornadas que se celebran en Madrid (España) en la Universidad Autónoma.
En esta edición hay ponentes que seguro que harán disfrutar a toda la gente que ha venido a ver las charlas. A mi, me toca abrir el evento hablando como no, de temas de malware.
¿Qué ponencias van ha haber hoy?
La tarde se divide en dos sesiones de las cuales disfrutaremos de las siguientes charlas:
Mama, estoy infectado por un malware
El objetivo principal de la charla pretende es exponer de manera histórica el cambio de tácticas (no solamente a nivel de código malicioso, sino de recursos, técnicas e infraestructuras) que han sido desarrolladas tanto por medios de pago por internet, como por los cibercriminales. Se hará especial hincapié a las medidas de seguridad adoptadas durante los últimos años en el sector de la banca electrónica y las técnicas empleadas por los delincuentes para conseguir saltárselas (con ayuda de los usuarios legítimos). Desde la autenticación simple basada en usuario y contraseña, las tarjetas de coordenadas, los teclados virtuales, hasta los sistemas que autentican al usuario mediante el uso de smart‐cards. Del mismo modo, se expondrá la capacidad del código malicioso actual para conseguir, ya no solamente la información de cuentas bancarias, sino del contexto en el que se ejecutan (sandbox laboratorios de malware con el fin de recopilar información que pueda ser convertida en inteligencia que servirá para optimizar las tácticas empleadas)
Ponente: Marc Rivero (@seifreed), Security Researcher en Barcelona Digital.
Iniciación al XSS
Los ataques XSS siguen en auge hoy en día. Si piensas que tu web está segura, vuelve a repasarlo porque quizá sea vulnerable a los ataques XSS. Cross Site Scripting se basa en inyectar código malicioso en un sitio vulnerable y permitir ejecutar ese código. Si te llama la atención, estate atento a la chala porque veremos un acercamiento a un tema de moda como son los ataques XSS.
Ponente: Roberto García (@1GbDeInfo).
Eso en cuanto a la primera sesión. La segunda sesión tenemos:
Como aprovechar el autofill de Chrome para obtener información sensible
En esta charla se hablará de cómo aprovechar el autofill de Chrome para obtener información sensible como pueden ser números de cuenta bancaria y otros datos privados, ayudándonos de capas y propiedades que no han tenido en cuenta los de Chrome para ocultar los campos que se auto rellenarán con esta información tan valiosa para un atacante, consiguiendo de esta forma auto rellenarlos sin que la víctima se dé cuenta de ello.
Ponente: Ricardo Martín (@ricardo090489), Programador en Telefónica Digital (11 Paths).
A la caza del pedófilo. Flu-AD y su integración con Metasploit & Any Shellcode!
Flu-AD es un troyano creado para los cuerpos policiales de distintos países. Hoy en día los países debaten si sus cuerpos policiales podrán utilizar este tipo de herramientas en la lucha contra la pedofilia en Internet. La inyección de funcionalidades en ejecución mediante shellcodes proporciona una vía para llegar a un engranaje optimizado en pocos KB de herramienta. Por ejemplo, integración entre Flu-AD y Metasploit Framework.
Ponente: Pablo Gonzalez (@pablogonzalezpe), Project Manager en Telefónica Digital (11 Paths).
Os dejo con el cartel de las jornadas:
Para quien no pueda venir, las charlas se colgarán en Youtube 😀