SCHEDULE DETAILS Information of Event Schedules

World is committed to making participation in the event a harassment free experience for everyone, regardless of level of experience, gender, gender identity and expression

Antonio Juanilla

Antonio Juanilla

Charla: CI/CD Webhooks vicious, an organization compromised

Los webhooks de CI/CD son cruciales para automatizar la entrega de software, pero los atacantes pueden explotarlos. Esta charla, analiza los peligros y brinda consejos prácticos sobre cómo proteger los webhooks para proteger una organización.

Analizaremos ejemplos del mundo real de vulnerabilidades de webhooks y brindaremos consejos prácticos sobre cómo proteger sus webhooks para proteger su organización de compromisos.

Al comprender los riesgos asociados con los webhooks e implementar las mejores prácticas para su uso, las organizaciones pueden garantizar que su proceso de entrega de software siga siendo eficiente y seguro.

Adastra

Daniel Echeverri (Adastra)

Charla: Técnicas que puedes aplicar para realizar movimientos laterales

En una campaña de Red Team o simulación de adversario, una de las actividades más habituales consiste en pivotar desde el sistema comprometido a la cualquiera de las máquinas que se encuentran en el entorno de red de la víctima. Para hacer esto, existen varias herramientas que facilitan el trabajo y, precisamente, el objetivo de esta charla consiste en enseñar el funcionamiento de algunas de ellas en directo. Es una charla práctica, en la que los asistentes podrán ver lo sencillo que puede ser pivotar en una red local o privada.

Charla: Travelling OPSEC: Viajes y seguridad operacional

En esta charla se introducirá a los asistentes a la Seguridad Operacional (OPSEC) y además se darán una serie de consejos prácticos de cara a mantener una adecuada postura en lo referente a la seguridad física, lógica y operacional, en nuestros desplazamientos a lugares conflictivos u hostiles, donde en ocasiones, por motivo de nuestra actividad o profesión, se deben afrontar adversarios y amenazas importantes en diferentes planos. Estas técnicas también podrán ser usados en la vida cotidiana y en desplazamientos habituales por motivos de trabajo o de ocio.

Antonio Juanilla

Antonio Juanilla

Taller: Securing the Cloud: A workshop on Building a Fortifield SDLC on Kubernetes with Open Source Power

Descubre los secretos para crear un ciclo de vida de desarrollo de software (SDLC) fortalecido en Kubernetes. Aprende a aprovechar el poder de las herramientas de código abierto para lograr codificación segura, protección del tiempo de ejecución y cumplimiento. Adquiere las habilidades para potenciar tus aplicaciones nativas de la nube y fortalecer su postura de seguridad en la nube utilizando código abierto en Kubernetes.
Cubriremos herramientas populares y le mostraremos cómo usarlas para hacer cumplir políticas de seguridad, buscar vulnerabilidades y auditar sus prácticas de desarrollo de software con respecto a las mejores prácticas de seguridad. A través de ejercicios prácticos y ejemplos del mundo real.

Pablo San Emeterio

Charla: IA & Social Media

El objetivo de esta charla es mostrar a los asistentes cómo la IA es una ayuda muy interesante a la hora de analizar redes sociales.

Durante una investigación en la que colaboramos nos pidieron que trabajáramos en demostrar hasta donde se podría llegar utilizando algunas técnicas de IA y los datos públicos de redes sociales como Instagram. A lo largo de esta investigación hemos ido probando distintos modelos de IA que permitan ayudar en las investigaciones OSINT.

Comenzamos empleando modelos de reconocimiento facial en imágenes. Mediante el reconocimiento facial de las fotos pudimos identificar las identidades relacionadas con un perfil de instagram y descubrir relaciones personales que no tienen porque estar reflejadas en los followers de un perfil. A raíz de esta aplicación nos sugirieron aplicaciones a la hora de identificar personas entre grandes volúmenes de imágenes.

Como un paso siguiente, hemos empezado a investigar la utilizada de modelos Zero-Shot a la hora de detectar objetos en grandes volúmenes de imágenes

Taller: Falco 101 - Detecting threats in real time

La adopción de contenedores y sistemas de orquestación de los mismos - como Kubernetes - se ha incrementado considerablemente en los últimos años. La popularidad de estas plataformas las convierte en objetivos comunes para cibercriminales. Kubernetes incluye herramientas de prevención, como los Admission Controllers, control de permisos RBAC y Pod Security Admission. Sin embargo, ésto se centra en la prevención y no proporciona gran visibilidad sobre las aplicaciones en tiempo de ejecución. ¿Cómo implementar un sistema de seguridad para detectar intrusiones en tiempo real en Linux, contenedores y/o Kubernetes? En este taller, los instructores presentarán qué es Runtime Security y explicarán cómo detectar comportamientos sospechosos e intrusiones. Este taller ofrece una introducción práctica a Falco, un proyecto de código abierto de la CNCF y la herramienta más empleada para la seguridad basada en llamadas al kernel. Se proporcionará a cada participante un sandbox (cluster de k3s) en el que aprenderán cómo instalar y configurar Falco para detectar y generar alertas de seguridad basadas en intrusiones en tiempo real. El taller cubrirá los siguientes puntos, de forma eminentemente práctica: Runtime Security y Falco - qué son y para qué sirven. Instalación y configuración. Entrada de datos para Falco - llamadas al sistema y otros plugins. Filtros - Reglas de Falco. Alertas - Canales de notificación (Syslog, Slack, etc.).

Taller: Frida & Mobile Pentest

Introducir a los asistentes el uso de Frida como una herramienta más a la hora de realizar auditorias de seguridad en dispositivos móviles.

Realizar un análisis de seguridad de una aplicación móvil es algo más complejo que auditar una aplicación web tradicional. Muchas veces nos encontramos con certificados "Pinneados" y código compilado que no facilitan la labor del Auditor. Este taller es eminentemente practico y se darán los pasos necesarios para instalar un entorno de auditoría y se realizarán ejercicios prácticos con los que ver cómo Frida puede ayudar a los auditores:

1) Creación de un entorno de pruebas.

2) Instalación de Frida.

3) ByPass Certificate Pinning.

4) Análisis de las clases y métodos de una aplicación.

5) Hooking de funciones Java.

6) Hooking de funciones C.

Lorenzo Martínez Rodríguez

Charla: Memorias de un Perito Informático Forense Vol. X

La charla versará sobre un caso de un incidente de seguridad que produjo una destrucción total en una gran empresa por parte del grupo ALPHV BlackCat. En Securízame se nos contrató para investigar el incidente e identificar el punto de entrada. En la charla contaré cómo afrontamos el caso y cómo lo resolvimos.

Rafael Páez Reyes

Charla: Historia de la criptografía a través del cine.

Desde los inicios de la humanidad hemos usado el arte y la cultura como contenedor (imperecedero) o reflejo de costumbre, actos, acciones, … La criptología, a pesar de que tradicionalmente ha estado vinculada a colectivos muy exclusivos (militares, diplomáticos, comerciantes, …) no ha sido menos. No son pocas las representaciones (e incluso usos) de esta "ahora" ciencia a través de distintas expresiones artísticas como la literatura o la pintura. El cine, una de las disciplinas artísticas más recientes (apenas tiene algo más de un siglo), dado su carácter visual con dimensión temporal, es idóneo para hacer acercar, con más o menos acierto, las distintas disciplinas englobadas en la criptología (criptografía, esteganografía, criptoanálisis, …) a todos los público. No siempre es fácil encontrar una representación de una técnica, algoritmo o artefacto criptográfico en una película basada en la misma época en la que apareció dicho ingenio, lo que comprende un viaje apasionante a través del cine de distintas épocas y géneros (no siempre ciencia ficción) donde el secreto juega un papel importante, aunque no siempre protagonista.

Javier Rodríguez Massoni

Taller: Herramientas para hackers: Desmantelando la seguridad de un sistema

Descubre el emocionante mundo del hacking hardware en nuestro taller. Exploraremos cómo manipular dispositivos electrónicos y presentaremos gadgets específicos, acompañados de consejos de seguridad para protegernos de estos ataques.

Rubber Ducky con Raspberry Pi Pico: Aprende a programar la Raspberry Pi Pico para simular un dispositivo de entrada y ejecutar comandos maliciosos. También conocerás cómo detectar y protegerte de los ataques con Rubber Duckies.

Sniffers de Red con Antenas WiFi: Utiliza antenas WiFi especializadas para capturar y analizar el tráfico de red, y descubre vulnerabilidades. Además, te enseñaremos medidas de seguridad para proteger tus redes y evitar la interceptación de datos.

Ataques Man-in-the-Middle (MITM) con Raspberry Pi: Configura una Raspberry Pi para interceptar el tráfico de red y aprende técnicas como el envenenamiento de ARP. Además, te proporcionaremos consejos para protegerte de los ataques MITM.

Flipper Zero: Exploraremos las funciones de este dispositivo multifuncional, como el análisis de frecuencias de radio, emulación de tarjetas RFID y control remoto de dispositivos. También discutiremos medidas de seguridad contra ataques con Flipper Zero.

S4ur0n

Pedro Candel (S4ur0n)

Charla: Exploiting CPU Side-Channels for real: MDS (Microarchitectural Data Sampling) tales.

Todo comenzó con los ataques descubiertos en el hardware de las CPUs de Intel del MDS (Microarchitectural Data Sampling) con la ejecución especulativa del RIDL y el Fallout en 2019, evolucionando con el TAA, L1DES, VRS, LVI, Snoop y en junio de 2020 con el CrossTalk (SRBDS), habiendo pasado por los archiconocidos Spectre y Meltdown... pero estamos en 2023 y ha habido tiempo de parchear el microcódigo de las CPUs o al menos, haber sustuido el hardware afectado (más costoso).

 

Debido a que los "deberes no se han hecho" se presentan alojamientos compartidos en importantes ISP's con VPS que nos ofrecen CPUs no parcheadas, donde hoy en día, es posible realizar su explotación mediante el Microarchitectural Fill Buffer Data Sampling (MFBDS) y el Microarchitectural Load Port Data Sampling (MLPDS) para su demostración.

 

Nos centramos en el protocolo de enlace donde se negocia un secreto compartido mediante el intercambio de claves Diffie-Hellman (ECDH) con la curva elíptica 25519 donde nuestro objetivo, será obtener la clave privada del servidor para luego poder suplantarla. El usuario no tendrá privilegio alguno salvo la ejecución de código y estará en la misma máquina de la víctima.

 

Se empleará un PoC al objeto de agilizar su resolución, para permitir su explotación en un tiempo razonable ya que con MLPDS es muy lento, en el servidor la víctima llamará en un bucle infinito a la función x25519() de la librería BoringSSL de Google y se conseguirá obtener la clave privada empleada por la curva elíptica del servidor. Con más tiempo y software estándar, podrían obtenerse las claves privadas, tokens, etc... o usar MFBDS paralelizado para ello.

Joel Serna Moreno

Charla: Evasión de restricciones USB básicas y avanzadas.

En 2019 se presentó Evil Crow Cable, un dispositivo BadUSB de bajo coste basado en el famoso microcontrolador Attiny85. Debido a las limitaciones del propio microcontrolador, estos años se ha seguido trabajando en el proyecto para conseguir un dispositivo más avanzado, que finalmente ha sido publicado hace unos pocos días.

Durante la charla se mostrará las nuevas funcionalidades del dispositivo y sus posibles configuraciones. Adicionalmente, la charla se enfocará en la evasión de restricciones USB utilizando el dispositivo.

Rafael Rivera Tablada

Charla: Hunting 0-days with AFL++

El fuzzing testing, comúnmente conocido como fuzzing, se ha convertido en una técnica predominante en la búsqueda de errores en software y dispositivos, y una de las herramientas más usadas en la detección de vulnerabilidades conocidas como 0-day.

Javier Ferrero (Gibdeon)

Taller: Creación de infraestructuras C2 y Evasión.

Este taller quiere mostrar las dos partes que componen las infraestructuras de los Atacantes. El taller constará de una primera parte que mostrará cómo implementar una infraestructura C2 y como funcionan y una segunda parte en la que mostraremos como hacer que los ataques sean efectivos enseñando como evadir la seguridad de los EDR con el fin de persistir en las infraestructuras vulneradas.

10:00 - 12:00
 Taller: Herramientas para hackers: Desmantelando la seguridad de un sistema

Javier Rodríguez Massoni

Taller: Herramientas para hackers: Desmantelando la seguridad de un sistema

10:00 - 12:00
 Taller: Securing the Cloud: A workshop on Building a Fortifield SDLC on Kubernetes with Open Source Power

Antonio Juanilla

Taller: Securing the Cloud: A workshop on Building a Fortifield SDLC on Kubernetes with Open Source Power

12:00 - 14:00
 Taller: Frida & Mobile Pentest

Pablo San Emeterio

Taller: Frida & Mobile Pentest

10:00 - 14:00
 Taller: Creación de infraestructuras C2 y Evasión.

Javier Espejo y Javier Ferrero

Taller: Creación de infraestructuras C2 y Evasión.

12:00 - 14:00
 Taller: Falco 101 - Detecting threats in real time

Miguel Hernández Boza y Vicente J. Jiménez Miras

Taller: Falco 101 - Detecting threats in real time

14:00 - 15:30
 Break

Break.

Break

15:30 - 16:15
 Charla: Técnicas que puedes aplicar para realizar movimientos laterales

Daniel Echeverri (Adastra)

Charla: Técnicas que puedes aplicar para realizar movimientos laterales

16:15 - 17:00
 Charla: IA & Social Media

Pablo San Emeterio

Charla: IA & Social Media

17:00 - 17:30
 Break

Break.

Break

17:30 - 18:15
 Charla: Travelling OPSEC: Viajes y seguridad operacional

David Marugán y Jorge Gómez Pena

Charla: Travelling OPSEC: Viajes y seguridad operacional

18:15 - 18:30
 Cierre

Entrega de Katana

Cierre

10:00 - 10:45
 Registro y acceso

Registro

Registro y acceso

10:45 - 11:15
 Apertura y reto hacking

Apertura

Apertura y reto hacking

11:15 - 12:00
 Charla: CI/CD Webhooks vicious, an organization compromised

Antonio Juanilla

Charla: CI/CD Webhooks vicious, an organization compromised

12:00 - 12:45
 Charla: Historia de la criptografía a través del cine.

Rafael Páez Reyes

Charla: Historia de la criptografía a través del cine.

12:45 - 13:30
 Charla: Hunting 0-days with AFL++

Rafael Rivera Tablada

Charla: Hunting 0-days with AFL++

13:30 - 14:00
 Sorteo libros 0xword

Sorteo Libros

Sorteo libros 0xword

14:00 - 15:30
 Break

Break.

Break

15:30 - 16:15
 Charla: Memorias de un Perito Informático Forense Vol. X

Lorenzo Martínez Rodríguez

Charla: Memorias de un Perito Informático Forense Vol. X

16:15 - 17:00
 Charla: Evasión de restricciones USB básicas y avanzadas.

Joel Serna Moreno

Charla: Evasión de restricciones USB básicas y avanzadas.

17:00 - 17:30
 Break

Break.

Break

17:30 - 18:30
 Charla: Exploiting CPU Side-Channels for real: MDS (Microarchitectural Data Sampling) tales.

Pedro Candel (S4ur0n)

Charla: Exploiting CPU Side-Channels for real: MDS (Microarchitectural Data Sampling) tales.

18:30
 CTF & Pizzas

Fin

CTF & Pizzas

HURRY UP! Book your Seat

SUBSCRIBE TO NEWSLETTER

Want Something Extra?