ponencias

Modelo para la evaluación continua de las
capacidades de detección y respuesta
Ponentes: Daniel Ausin y Biel Camprubi

Viernes 4 de febrero - 15:00-15:50
El modelo define el ciclo completo de obtención de ciber inteligencia, procesado e implementación de casos de uso en el SOC alineado a las misiones y simulaciones del RedTeam tomando como referencia las tácticas, técnicas y procedimientos presentes en MITRE©, así como las obtenidas por los analistas de ciber inteligencia. Establece un modelo de madurez en los servicios de detección y respuesta a través de tres dimensiones cobertura, implementación y eficacia MAGMA© de los casos de uso tomando como referencia tanto la valoración del servicio de SOC como el resultado de las misiones o simulaciones de ataque realizadas por el RedTeam.

Code obfuscation through Mixed Boolean-Arithmetic expressions Ponentes: Arnau Gamez

Viernes 4 de febrero - 16:00-16:50
Una de las piezas fundamentales en el estado del arte de la ofuscación de código son las expresiones mixtas: aquellas que combinan operadores booleanos y aritméticos. Por una parte, a través de estas se puede aumentar arbitrariamente la complejidad del flujo de datos del código deseado. También son de vital importancia para ocultar datos sensibles que deban ser accesibles dentro del mismo programa: claves de cifrado, constantes conocidas de algoritmos que se quieran esconder, etc. El uso de estas expresiones para tareas de ofuscación de código viene motivado por el hecho de que no disponemos de propiedades (distributividad, factorización) ni teoría general para lidiar con combinaciones de operadores booleanos y aritméticos. Durante el recorrido de esta charla, indagaremos en los fundamentos de la ofuscación de código en general y del uso de expresiones mixtas en particular. A través de ejemplos, demostraciones prácticas y pruebas de concepto, exploraremos las técnicas principales de ofuscación de flujo de datos y constantes sirviéndonos de este tipo de expresiones.
You do (not) Understand Kerberos Ponente: Daniel López

Viernes 4 de febrero - 17:00-17:50
El objetivo de la charla es entender el origen y funcionamiento de uno de los protocolos de autenticación más relevantes en el mundo corporativo: Kerberos. Kerberos es el principal mecanismo de autenticación en Microsoft Active Directory, así como otras tecnologías ampliamente utilizadas en redes internas empresariales. Tanto si estas del lado ofensivo como defensivo de la seguridad, te interesa aprender Kerberos. Al ser un protocolo viejuno, algunas decisiones en su diseño resultaron en grandes debilidades (no consideradas vulnerabilidades) que, todavía a día de hoy, siguen siendo altamente aprovechadas por atacantes. La charla hará una revisión sobre las decisiones tomadas por MIT a la hora de crear Kerberos, la influencia de Microsoft y explicará en detalle los flujos y componentes principales de la tecnología.
TTPs 101 (Tongos, Trucos y Protecciones) para saltar los AVs/EDRs     Ponente: Pedro Candel

Viernes 4 de febrero - 18:20-19:10
Veremos en la charla los Tongos, Trucos y Protecciones que se emplean en la actualidad para poder saltar protecciones en AV's y EDR's comerciales cuando se realiza una prueba intrusiva. Lo veremos paso a paso con demostraciones reales sobre sistemas protegidos "adecuadamente" en los cuales (esperemos) que no piten la alertas... ¿Pero esto no eran "Técnicas, Tácticas y Procedimientos"? Depende el lugar donde se vea... Los árboles no dejan ver el bosque.
Using Deep Learning for Detecting Malware on Network   Ponente: Miroslav Stampar

Viernes 4 de febrero - 19:20-20:10
Deep learning has recently gained a lot of popularity, particularly in topics where existing machine learning algorithms have already been used with some success. Beside its high accuracy of predicting the correct output, in both classification and regression problems, one of its best qualities is the automatic feature extraction. This means that if the problem can be properly set, deep learning will most probably "automagically" find all the features and patterns inside the provided data. In this talk, methodology and results will be presented for one such research, where malware is being detected at the network level. Particularly, all practical steps will be shown to present how DGA (abbr. for Domain Generation Algorithm) and periodical C&C (abbr. for Command and Control) beacons can be detected inside the DNS network traffic by usage of deep learning.
Breaking Bad USB Speakers: Roberto Casado y Sergio Blázquez

Sábado 5 de febrero - 12:30-13:20
A lo largo de esta charla se estudiarán:
-El protocolo USB low speed, full speed y high speed a nivel general.
-La implementación de dicho protocolo a nivel de Kernel y Userspace en GNU/LINUX.
-La teoría imprecindible en electrónica y microcontroladores para entender este tipo de dispositivos, estudiando concretamente el microcontrolador attiny85.
-El prototipado de ideas en dispositivos USB empleando una raspberry pi Zero.
Hacking RF for dummies Ponentes: Oscar Alfonso y Ernesto Sanchez

Sábado 5 de febrero - 13:30-14:20
Esta charla hará de introducción al mundo del hacking de radiofrecuencia para aquellos que nunca hayan tenido contacto con ese campo.
Ernesto y Óscar nos darán nociones básicas de teoría, hablarán de diferente hardware necesario para realizar hacking, nos contarán sobre los peligros y tipos de ataque existentes. Se mostrarán vídeos de pruebas de concepto y por supuesto habrá demo en directo.

Smart || dumb-cards Ponente: Amine Taouirsa

Sábado 5 de febrero - 15:30-16:20
Las smart cards nos han estado acompañando durante varias décadas y a pesar del auge del NFC seguimos usándolas a día de hoy.
En esta charla, revisaremos brevemente los tipos de tarjetas más comunes, luego nos centraremos en cómo realizar un análisis de seguridad con material DIY. Finalmente, veremos cómo algunas tarjetas no son tan "smart" con algunos ejemplos de fallos de seguridad de máquinas de vending.
La vieja del visillo me llamó, quién será, será...
Fraude telefónico y estafas"
Ponente: Jose Luis Verdeguer

Sábado 5 de febrero - 16:30-17:20
Se abordará en la charla el funcionamiento de VoIP, su protocolo, cómo son sus vulnerabilidades, quién y cómo pueden aprovecharse y cómo se realiza una llamada falsificando su número asignado por la compañía, siempre y cuando tengamos los medios suficientes para hacerlo, que están al alcance de cualquiera...
Rise of captain hindsight: finding Log4Shell with CodeQL   
Ponente: Alvaro Muñoz

Sábado 5 de febrero - 17:50-18:40
CodeQL es un lenguaje declarativo capaz de encontrar vulnerabilidades en el código fuente. Podemos usarlo de diferentes formas. Por ejemplo, durante un análisis de variantes para encontrar vulnerabilidades específicas o integrado en el pipeline de integración continua para prevenir futuras apariciones de estos bugs. Sin embargo, CodeQL puede usarse también como un asistente interactivo durante el proceso de revisión manual de código para ayudar al auditor a familiarizarse con un nuevo código y revisarlo de una forma más eficaz.

CodeQL convierte el código fuente en una base de datos consultable lo que nos permite contestar de forma eficaz muchas de las preguntas que surgen durante una auditoría de código tales como: "cuál es la superficie de ataque de la aplicación", "que APIs son invocados con datos controlables por el usuario", "que partes del código tienen mayor densidad de bugs", etc.

En esta charla, Alvaro Muñoz del laboratorio de seguridad de GitHub, introducirá los conceptos básicos de CodeQL y durante la misma, modelaremos un CVE existente para buscar variantes en otros proyectos.
Radiojamming: la guerra del "ruido" Ponente: David Marugan

Sábado 5 de febrero - 18:50-19:40
En esta ponencia, usando un lenguaje comprensible y para todos los públicos, se expondrán diferentes casos reales de análisis de señales de radio relacionadas con las interferencias intencionadas o radiojamming, sobre todo enfocadas a la censura de comunicaciones en diferentes países del mundo. Se analizarán especialmente los casos de Cuba y China, intentando plantear diferentes hipótesis del origen de las interferencias y su intencionalidad.
El objetivo principal es tener una visión general de cómo se libran otras batallas en el espacio radioeléctrico, un bien muy preciado para los diferentes países, sobre todo en los que pueden suponer una amenaza para sus intereses y emplean las interferencias como arma de censura.
Habitualmente se tratan los casos de censura en Internet, pero muchos países del mundo todavía utilizan la radio como medio de información. Se debe comprender que censurar Internet es mucho más sencillo que la radio, por sus características técnicas y su independencia de terceros o ISPs tradicionales. Todavía algunos países, sobre todo en Àfrica y Asia, invierten un gran capital humano y técnico para tener control sobre las informaciónes que llegan a sus ciudadanos desde emisores del exterior.