Sec-Track

Llevaba más de 6 meses con este post en “el tintero”. Esto debido a lo complejidad y a todas las variables involucradas en el mismo. En un inicio pretendía tan solo medir la eficacia que podían tener algunos delincuentes informáticos en su actuar. Luego fuí involucrando productos, sistemas de explotación de vulnerabilidades, tiempos, etc… Finalmente terminé con tantos datos y tantas ideas que se me ocurrió tan solo hacer una reflexión y un pequeño estudio estadístico si pudiese llamarlo así… Luego este se convirtió en una desconferencia que presenté en el BarCampSE en Medellín.

Lo genial de la experiencia es que seguí la dinámica de desconferencia. En la cual el contenido de la presentación se fue modificando con la participación de los asistentes.

Read the rest of this entry »

El siguiente video corresponde a la conferencia realizada por los investigadores y profesionales en Seguridad de la Información Fernando Quintero y Camilo Zapata. Dos expertos a quienes siempre tengo como referencia en mi país y que hace solo unos días casi ganan uno de los reconocidos challenges del HoneyNet Project.

La presentación parte desde la definición general del concepto Auditoría: “Evaluar las debilidades de un sistema” y nos propone no limitar el alcance de la misma… “No solo explotar el sistema”…

Nos invita a “repensar” o reflexionar sobre el estado de la seguridad de la información… Pero no desde el lado empresarial, sino desde el lado de los actores involucrados (Investigadores, Pentesters, Ethical Hackers, Consultores). Pues existe la mala práctica de muchos “profesionales” que solo limitan sus actividades de Pentesting a la ejecución de herramientas automatizadas y la explotación del mismo, para presentar un reporte de que si pudieron vulnerar el sistema… Es justo allí donde se plantea la reflexión del trabajo que realizamos los investigadores… ¿Qué es lo que quremos hacer?

Extiendo una vez más la invitación a participar en este genial evento que se realiza año tras año en nuestra ciudad y de manera simultanea en muchas otras del país y latinoamerica.

Este año el evento está repleto de conferencias, talleres y demostraciones… Todas ellas enfocadas al uso, configuración y puesta en marcha de soluciones dirigidas al software libre y a el compartir conocimiento.

El listado de conferencias es el siguiente:

Los talleres corren por cuenta de:

Y las demostraciones por:

Este año además se incluirá un espacio de MiniBarCamp, el cual estará destinado a la presentación de DesConferencias por cualquier persona que esté dispuesta a compartir conocimiento.

Aunque este año no participaré como conferencista, si asistiré como espectador de varias conferencias, demostraciones y talleres…

Quién sabe… Hasta me animo y hago una desconferencia… Finalmente el objetivo es compartir, saludar a l@s amig@s, conocer proyectos y personas que tienen intereses y gustos similares.

Para más información sobre el evento (registro, hora, lugar y contacto) pueden visitar el website oficial del evento >>

Recuerden entonces que la cita es este próximo sábado 9 de abril… Allá nos vemos

Dentro de pocos días se llevará a cabo en diferentes ciudades de Colombia un magnífico evento y nuevo en su género completamente enfocado a la Seguridad de la Información.

Muy posiblemente estaré realizando una Desconferencia a nombre del proyecto Anti-Depredadores.com , bajo el título “Cazando a un Pedófilo en Internet“. Aunque los cupos son limitados, lo más probable es que se realicen transmisiones vía streaming para toda la comunidad en internet.

Las Desconferencias registradas hasta el momento son las siguientes:

Extiendo la invitación realizada por lor organizadores.

En el país se han realizado  BarCamps con temáticas diversas y dentro del marco de estos eventos se presentan desconferencias en seguridad, sin embargo aún no se ha consolidado un BarCamp con una temática especifica como el tema de la Seguridad Informática. Por esto, hemos creado la iniciativa a la que se han unido las ciudades de Medellín, Pereira y Bogotá con el fin de crear un evento abierto y participativo organizado por personas que trabajan en el área y apoyado por todos aquellos que quieren compartir conocimientos y experiencias en un espacio común.

El deseo es que este evento se pueda realizar una o varias veces al año, generando así espacios apropiados para el manejo de estas temáticas.

Los temas de interés cubren básicamente todo lo relacionado con la seguridad informática analizada desde todos sus puntos de vista, las propuestas para la 1ra edición del BarCampSE son:

• Seguridad física
• Hardening de Equipos
• Explotación de vulnerabilidades
• Zero Days
• Seguridad en Redes Sociales
• Penetration Testing
• Legislación en Seguridad
• Seguridad en sistemas Operativos
• Seguridad en Redes
• Hacking, Cracking, Phreaking, Reversing, *Ing.
• Malware en general

Para más información y registros >>

Allá no vemos

La información como bien protegido, en el delito de transferencia no consentida de activos. art 269 J. Código Penal Colombiano.
Alexander Días García.

Según investigación del periodista de la revista Enter Lui Iregue, afirma que de acuerdo con el más reciente estudio realizado por The Economist Intelligence Unit para Kroll – una empresa de inteligencia empresarial -, titulado Global Fraud Report, Colombia ocupa el segundo puesto en los países más victimizados por el fraude, sólo detrás de China y por delante de Brasil. Afirma el columnista que ele studio de Kroll establece que el fraude y el hurto de información por primera vez en la historia han superado los otros tipos de fraude en el mundo, y el dice que el “el 94% de los negocios colombianos sufrió algún fraude en el último año, en comparación con el 88% global”. El 21% está en la categoría de fraudes electrónicos, que incluyen hurto de información y ciberataques (a sitios web e infraestructura de las empresas), y el porcentaje podría crecer en los próximos años.

Continúa leyendo desde Slideshare >>

Por medio de este post extiendo la invitación a participar en el WarGame desarrollado por el equipo de LowNoise para el 3er Congreso Nacional de Hacking Etico (3CNHE) a realizarse el próximo sábado 6 de noviembre.

Dejo a continuación el comunicado oficial de LowNoise:

LOWNOISE WARGAME (LNWG)

Para el 3er. Congreso Nacional de Hacking Ético (3CNHE), organizado por la Universidad Minuto de Dios, el LowNoise Hacking Group ha desarrollado un wargame (concurso de hacking) basado en retos, en ocho (8) dominios o categorías, así: Redes Inalámbricas (WiFi), Criptografía, Seguridad Web, Ingeniería Inversa, Redes TCP/IP, Exploiting, Esteganografía y Evasión.

En cada dominio, el participante deberá utilizar INGENIOSAMENTE sus conocimientos, para resolver retos específicos, que le permitan tener acceso al TOKEN respuesta, para obtener puntos. En cada reto, el participante podrá solicitar pistas, a cambio de puntos, si necesita una ayuda. En cada dominio se encontrarán retos de diferente dificultad, por lo que cualquier persona puede participar. Los participantes con mayores puntajes al final de evento, recibirán premios por parte de la organización del Congreso.

¿Qué necesito para participar?

Ganas, mucho ingenio, portátil con interfaces Ethernet cableada y WiFi, cable de red, herramientas a su gusto, etc. (NOTA: Para los que deseen, en el evento LNHG tendrá a la venta DVDs de videos de hacking de niveles Básico y Avanzado, con una carpeta de Herramientas – relevantes al LN WarGame).

Continúa desde el sitio oficial del WarGame, con toda la información y los formularios de registro >> #LNWG

El siguiente listado no trata de organizar en modo de mayor importancia o sobre cual sea mejor que otra (por eso las organicé alfabéticamente).  Tan solo pone a disposición un completo compendio de eventos que no debemos pasar por alto, no solo por los papers que se liberan, sino por todos los demás materiales que quedan luego de este tipo de eventos (CTF, PPTS, Audios, Videos, Tools, Fotografías, etc). Y ni que decir de la posibilidad de conocer y reunir toda esa calidad humana que trabaja en estas áreas.

Por ahora comienzo con estos, sé que me faltan muchos más, por ello si conoces de otros eventos que estén relacionados con la seguridad de la información, no dudes en enviarlos por medio de los comentarios, para ir sumando a la lista!!

• Blackhat www.blackhat.com
• bruCON www.brucon.org
• BugCon www.bugcon.org
• DEFCON www.defcon.org
• CanSecWest cansecwest.com
• Chaos Communication Congress events.ccc.de/congress
• ChicagoCon www.chicagocon.com
• ConFidence www.confidence.org.pl
• Congreso Hacking Etico en Colombia http://congresohackingetico.com
  
• Dnscon www.dnscon.org
• EISI eisi.umanizales.edu.co
• ekoparty www.ekoparty.org
• H2HC www.h2hc.org.br
• HackerHalted www.hackerhalted.com
• Hacking At Random www.har2009.org
• Hackinthebox http://conference.hackinthebox.org
• HOPE www.thenexthope.org
• Notacon www.notacon.org
• Nullcon www.nullcon.net
• Phreaknic www.phreaknic.info
• /Rooted CON www.rootedcon.es
• SeCurInF securinf.com
• RSA Conference www.rsaconference.com
• SEC-T www.sec-t.org
• Shakacon www.shakacon.org
• ShmooCon www.shmoocon.org
• Summercon www.summercon.org
• thotcon www.thotcon.org
• Toorcon www.toorcon.org
• Virus Bulletin Conference www.virusbtn.com
• x25sec http://x25sec.ccat.edu.mx
• You Sh0t the Sheriff http://ysts.org

El siguiente video corresponde a la presentación de Christian Martorella en la sexta edición de la reunión del capítulo español de OWASP. La presentación hablará sobre cómo los ataques de fuerza bruta siguen siendo útiles contra las aplicaciones Web y se presentará la última versión de Webslayer, un proyecto OWASP orientado a cubrir todas las necesidades de las pruebas de fuerza bruta contra las aplicaciones Web.

El video ha sido publicado por el equipo PoisonClub.com.ar

El siguiente video corresponde a la presentación de Fabio Cerullo en la sexta edición de la reunión del capítulo español de OWASP. En ella nos habla acerca de OWASP Top Ten Project.

El video ha sido publicado por el equipo PoisonClub.com.ar