Sec-Track

Llevaba más de 6 meses con este post en “el tintero”. Esto debido a lo complejidad y a todas las variables involucradas en el mismo. En un inicio pretendía tan solo medir la eficacia que podían tener algunos delincuentes informáticos en su actuar. Luego fuí involucrando productos, sistemas de explotación de vulnerabilidades, tiempos, etc… Finalmente terminé con tantos datos y tantas ideas que se me ocurrió tan solo hacer una reflexión y un pequeño estudio estadístico si pudiese llamarlo así… Luego este se convirtió en una desconferencia que presenté en el BarCampSE en Medellín.

Lo genial de la experiencia es que seguí la dinámica de desconferencia. En la cual el contenido de la presentación se fue modificando con la participación de los asistentes.

Read the rest of this entry »

El siguiente video corresponde a la conferencia realizada por los investigadores y profesionales en Seguridad de la Información Fernando Quintero y Camilo Zapata. Dos expertos a quienes siempre tengo como referencia en mi país y que hace solo unos días casi ganan uno de los reconocidos challenges del HoneyNet Project.

La presentación parte desde la definición general del concepto Auditoría: “Evaluar las debilidades de un sistema” y nos propone no limitar el alcance de la misma… “No solo explotar el sistema”…

Nos invita a “repensar” o reflexionar sobre el estado de la seguridad de la información… Pero no desde el lado empresarial, sino desde el lado de los actores involucrados (Investigadores, Pentesters, Ethical Hackers, Consultores). Pues existe la mala práctica de muchos “profesionales” que solo limitan sus actividades de Pentesting a la ejecución de herramientas automatizadas y la explotación del mismo, para presentar un reporte de que si pudieron vulnerar el sistema… Es justo allí donde se plantea la reflexión del trabajo que realizamos los investigadores… ¿Qué es lo que quremos hacer?

El siguiente listado no trata de organizar en modo de mayor importancia o sobre cual sea mejor que otra (por eso las organicé alfabéticamente).  Tan solo pone a disposición un completo compendio de eventos que no debemos pasar por alto, no solo por los papers que se liberan, sino por todos los demás materiales que quedan luego de este tipo de eventos (CTF, PPTS, Audios, Videos, Tools, Fotografías, etc). Y ni que decir de la posibilidad de conocer y reunir toda esa calidad humana que trabaja en estas áreas.

Por ahora comienzo con estos, sé que me faltan muchos más, por ello si conoces de otros eventos que estén relacionados con la seguridad de la información, no dudes en enviarlos por medio de los comentarios, para ir sumando a la lista!!

• Blackhat www.blackhat.com
• bruCON www.brucon.org
• BugCon www.bugcon.org
• DEFCON www.defcon.org
• CanSecWest cansecwest.com
• Chaos Communication Congress events.ccc.de/congress
• ChicagoCon www.chicagocon.com
• ConFidence www.confidence.org.pl
• Congreso Hacking Etico en Colombia http://congresohackingetico.com
  
• Dnscon www.dnscon.org
• EISI eisi.umanizales.edu.co
• ekoparty www.ekoparty.org
• H2HC www.h2hc.org.br
• HackerHalted www.hackerhalted.com
• Hacking At Random www.har2009.org
• Hackinthebox http://conference.hackinthebox.org
• HOPE www.thenexthope.org
• Notacon www.notacon.org
• Nullcon www.nullcon.net
• Phreaknic www.phreaknic.info
• /Rooted CON www.rootedcon.es
• SeCurInF securinf.com
• RSA Conference www.rsaconference.com
• SEC-T www.sec-t.org
• Shakacon www.shakacon.org
• ShmooCon www.shmoocon.org
• Summercon www.summercon.org
• thotcon www.thotcon.org
• Toorcon www.toorcon.org
• Virus Bulletin Conference www.virusbtn.com
• x25sec http://x25sec.ccat.edu.mx
• You Sh0t the Sheriff http://ysts.org

El siguiente video corresponde a la presentación de Fabio Cerullo en la sexta edición de la reunión del capítulo español de OWASP. En ella nos habla acerca de OWASP Top Ten Project.

El video ha sido publicado por el equipo PoisonClub.com.ar

El pasado 24 de abril tuve el placer de asistir como conferencista al Festival Internacional de Instalación de Software Libre desarrollado en Medellín.

La conferencia que presenté trató sobre la implementación de Laboratorios de Entrenamiento en Seguridad Informática, y de como el Proyecto Sec-Track puede ser una magnífica herramienta para cumplir con ese objetivo.

El contenido temático de dicha conferencia, es el siguiente:

• Descripción del Proyecto Sec-Track
• Por qué implementar laboratorios de entrenamiento?
  • Facil inicio para aprendices
  • Diferentes niveles de complejidad
  • Portables
  • Simulación de entornos reales
  • Implicaciones legales
  • Problemas de conexión
  • Tiempo de desarrollo de escenarios
  • Costos
  • Tu lo construyes… Tu sabes como resolverlo
  • Posibilidad de crear comunidad
• Implementación de Hardware
  • Computadores (Dispositivos)
  • Herramientas de Red
  • Cables
  • Hubs
  • Switches
  • Routers
  • Dispositivos de almacenamiento
  • Firewalls
  • Acces Points
  • Reguladores eléctricos
• Implementación de Software
  • Virtualización
  • VirtualBox
  • XEN
  • QEMU
  • Virtual PC
  • VMWare
  • Diferentes S.O
  • Tools
• Laboratorios de Test de Penetración
  • Evaluación activa de las medidas de seguridad de la información
  • Metodologías
  • ISSAF
  • NIST SP 800-42
  • EC-Council (CEH)
  • De-Ice PenTest LiveCDs
  • PwnOS
  • DVL
  • WebGOAT
  • Damn Vulnerable Web App
  • Sauron 1.0
  • FoundStone
  • BadStore
  • TurnKey Linux
  • Libros Recomendados
• Laboratorios de Hardening
  • Honeywall CD-Rom
  • Labs Hardening Windows-GNU/Linux
  • Libros Recomendados
• Laboratorios de Análisis Forense Digital
  • Retos Forenses UNAM
  • Reto Forense Comunidad DragonJAR
  • HoneyNet Project Challenges
  • Libros Recomendados
• Laboratorios de Análisis de Malware
  • Windows-GNU/Linux
  • Libros Recomendados
• Muchos otros Entornos/Ideas/Posibilidades
  • CTF
  • Campus Party
  • Criptogramas
  • Crackmes
  • Hackme
  • WarGames

En el transcurso de algunos días estaré publicando en detalle cada uno de estos (y mucho más) entornos de entrenamiento, como objetivos de aprendizaje colaborativo en el Proyecto Sec-Track.