Fwd: FW: Invitacion a Limahack 2011
Benjamin Solis
lince2200 en gmail.com
Jue Oct 27 22:15:46 UTC 2011
LimaHack 2011 - 05 de Noviembre
http://limahack.com/index.aspx?pagina=home.aspx
LimaHack se llevará a cabo el día 05 de Noviembre, los temas y ponentes son
los siguientes:
*Hora* *Actividad* *Aula 31337* *Aula H4X0R* *Aula Steve Jobs* 09:00 -
09:30 Recepción Auditorio Principal 09:30 - 10:00 Bienvenida Auditorio
Principal 10:10 - 10:55 Charlas 1 "Cómo ganar un CtF"
Ponente: Andrés Morales
Nivel : INTRODUCTORIO
"Wardriving and wireless penetration testing"
Ponente: Omar Palomino
Nivel : ALTO "Bypassing XSS filters"
Ponente: Camilo Galdos
Nivel : ALTO 11:00 - 11:55 Charlas 2 "Análisis de Malwares Bancarios for
Dummies"
Ponente: Ricardo Supo
Nivel : MEDIO "Bash Scripting para Pentesters"
Ponente: Rolando Anton
Nivel : MEDIO "Stuxnet: El Arma del Futuro"
Ponente: Mauricio Velazco
Nivel : ALTO 12:00 - 12:55 Charlas 3 "Routers, Contraseñas por defecto"
Ponente: Carlos Ganoza
Nivel : INTRODUCTORIO "SQL Injection para todos"
Ponente: Cesar Neira
Nivel : MEDIO "GameHacking: CodeCave in Assembly"
Ponente: Josué Rojas
Nivel : MEDIO 13:00 - 13:55 Almuerzo 14:00 - 14:55 Charlas 4 "NSE
P en st-rule: Personalizando nuestro NMAP"
Ponente: John Vargas
Nivel : MEDIO "Hackeando Cajeros Automaticos"
Ponente: Mauricio Urizar
Nivel : ALTO "Hacking VoIP"
Ponente: Juan Oliva
Nivel : ALTO 15:00 - 15:55 Charlas 5 "Arduino 101 : Hardware para gente de
Software"
Ponente: Juan Quiñe
Nivel : INTRODUCTORIO
"Reversing RFID"
Ponente: Miguel Febres
Nivel : ALTO
"WarWalking usando N900: Lima - Buenos Aires"
Ponente: Fernando Flores
Nivel : ALTO
16:00 - 16:55 Panel Auditorio Principal 17:00 - 17:15 Cierre Evento Auditorio
Principal
*Hora* *LAB LOIC * 11:00 - 15:55 Capture the Flag
NOTA: LOS NIVELES INDICAN EL GRADO DE COMPLEJIDAD TÉCNICA DE LA CHARLA
Ponente *Resumen Biográfico* *Tema* *Resumen* Josué Rojas Silva Estudiante
de la especialidad de computación e informática con conocimientos en ASM,
Java, VB.net, AS, Electrónica Analógica, GameHacking, Ingeniería Inversa.
Y miembro de CracksLatinoS. GameHacking: CodeCave in Assembly ¿Qué es
CodeCave?
Es una técnica muy usada en el GameHacking, como menciona su nombre, hace un
hueco, túnel o cueva en algún punto determinado e importante, hacia nuestro
código arbitrario, hacerlo en un lenguaje de alto nivel evita prácticamente
el proceso de hacer el "tunel o cueva" para cambiar el flujo a nuestro
código, si no, solo preocuparnos por el código arbitrario, es la diferencia
en ensamblador, donde tenemos que
resolver cada detalle del CodeCave, en el paper veremos dos formas de hacer
un CodeCave en ensamblador, la primera más tediosa (usando opcodes) que la
segunda (usando mnemónicos), porque es preferible hacer primero el trabajo
duro que te lleva a investigar más, antes que la comodidad, para que sepamos
el porque de lo que hacemos. Andrés Morales Zamudio Ingeniero de sistemas de
la Universidad Nacional de Ingeniería, es un consultor de seguridad
informática con más de cuatro (4) años de experiencia en el campo. Ha
ejecutado y dirigido pruebas de intrusión, análisis de vulnerabilidades,
análisis computacional forense y manejo de incidentes en importantes
instituciones de gobierno, empresas financieras y de comercio en la región.
Posee certificaciones en hacking ético como Offensive Security Certified
Professional (OSCP), Offensive Security Wireless Professional (OSWP),
Offensive Security Certified Expert (OSCE), éstas extendidas por la empresa
Offensive Security, reconocida mundialmente por ser los creadores de la
distribución especializada en seguridad informática BackTrack; además posee
las certificaciones Giac Certified Incident Handler (GCIH), Giac Certified
Penetration Tester (GPEN) del reconocido instituto SANS; Certified
Penetration Tester Specialist (CPTS) de Mile2 y Certified Ethical Hacker
(C|EH) de EcCouncil; es ISO 27001 Lead Auditor por TUV Rheinland, CISSP de
ISC2 y CISA de ISACA. Cómo ganar un CTF En ésta presentación se hará un
repaso a los requisitos que se necesitan para ganar un CTF, se revisarán los
diversos tipos y modalidades de CTF e inclusive se realizarán demos de
pruebas realizadas en concursos anteriores. Carlos Ganoza Plasencia Estudiante
de ing. Informática V ciclo, Desarrollador web, aficionado a la seguridad
informática y activista del software libre y open source, escribo y colaboro
en diversos blog de hacking (Todoporelvicio.com, cholohack.com) y soy
malware research en malware inteligence. Routers, Contraseñas por defecto se
intenta mostrar lo peligroso que puede ser tener contraseñas por defecto en
los routers y lo fácil que puede ser realizar un ataque a través de este
pequeño descuido que muchas veces no es visto como algo peligroso , pues los
mismos técnicos de los diversos ISP's del país cometen este error. Unos de
los distintos ataques que se verán son la obtención de datos mediante la
redirección de trafico a través de los DNS y el nateo para atacar una
maquina especifica. Miguel Febres Sun Certified Associate for the Java
Platform Delphi ExpertRating Certified Professional IITAC Certified Reverse
Code Engineering Professional IACRB Certified Reverse Engineering Analyst
Certified Ethical Hacker Reversing RFID La charla consistirá en una
introducción sobre la tecnología RFID y sus usos actuales. Se comentarán los
ataques descubiertos hasta el día de hoy, y cómo se logró descifrar el
protocolo de autenticación de ciertas tarjetas RFID (por ejm. las tarjetas
del metropolitano) usando la Ingeniería Inversa, un lector/grabador RFID y
ciertas herramientas open source. Omar Palomino Consultor en Seguridad
de la Información de la práctica de consultoría que actualmente labora en
Digiware y cuenta con más de 5 años de experiencia en el campo de las
tecnologías de información, enfocado en servicios de Análisis de
ulnerabilidades, Hacking Ético, Pentesting y Gestión de Riesgos de TI e
ISO270001. Wardriving and wireless penetration testing RESUMEN Objetivo
General La presentación tiene por objetivo mostrar las técnicas de hacking
que permitan vulnerar redes inalámbricas que se encuentran bajo el protocolo
WEP y WPA. Objetivos Específicos -Mostrar las conclusiones de la
investigación de Wardriving realizada durante el año 2011 donde se muestra
un cuadro estadístico del total de redes inalámbricas vulnerables en los
principales distritos de Lima. -Mostrar la importancia del wardriving para
el reconocimiento geo-referencial de los puntos de acceso a través un
dispositivo GPS. -Mostrar los principales métodos para penetrar redes
inalámbricas WEP y WPA. Mauricio Velazco EC Council Certified | Ethical
Hacker C|EI, Security+ Consultor especializado en hacking ético en Open-Sec
focalizado en pruebas de penetración tipo blackbox. Son repetidas las
oportunidades en que un simple servidor web le ha servido para obtener
acceso a los activos de información internos de las organizaciones
evaluadas. Comparte continuamente sus conocimientos y experiencias en
diversos foros como eventos locales y blogs sobre hacking. Es instructor
adjunto en el curso de Ethical Hacking de la Maestría de Seguridad
Informática de la ESPOL, Guayaquil, Ecuador. Stuxnet: El Arma del Futuro En
el 2010, la central nuclear Natanz de Irán, sufrió bajas de mas de 20% de
sus centrífugas forzando el cierre de todas las operaciones de
enriquecimiento de Uranio en Noviembre. Luego de el análisis de un malware
encontrado por la empresa VirusBlokAda, se descubrió que el causante de un
posible desastre nuclear fue un gusano especialmente diseñado para atacar
estas infraestructuras que fue llamado Stuxnet. Kaspersky cataloga a Stuxnet
como "un prototipo funcional y aterrador de un arma cibernética que
conducirá a la creación de una nueva carrera armamentística mundial". Más
adelante, el New York Times presentó un artículo de investigación en donde
se confirma que se trata de un troyano desarrollado y financiado por Israel
y Estados Unidos con el fin de atacar las centrales nucleares iranies. En
esta charla analizaremos el funcionamiento de Stuxent desde una perspectiva
técnica describiendo sus métodos de propagación y ejecución. Ricardo Supo
Picón CSO de Consultoría LimaSoft OWASP Member Análisis de Malwares
Bancarios for Dummies Consideraciones a tomar para analizar malwares
bancarios antes, durante y despues del análisis. Fernando Rolyn Flores
Solis OSCP,
GCIH, CPTS, OCA Ingeniero de Sistemas de la Universidad Nacional del Callao,
con 10 años de experiencia profesional y 4 de ellos dedicados a seguridad
informática. Además, se desempeña como profesor universitario. WarWalking
usando N900: Lima - Buenos Aires La movilidad y la posibilidad de conectarse
a una red de datos sin cables han hecho que tecnologia wireless tenga un
alto grado de popularidad y crecimiento en los últimos años. Hoy es muy
común encontrar empresas, casas, tiendas, bares, restaurantes o cualquier
establecimiento publico o privado contar con puntos de acceso wireless,
pero, que tan seguro es conectarse a ellos?, es segura mi red wireless?,
cuales son los cifrados mas utilizados en Lima y en Buenos Aires?, que tan
facil es romper una red wireless?. Todas estas preguntas serán contestadas
en la presentación. Juan Pablo Quiñe Juan Pablo Quiñe, CISSP, GISP, OSCP,
ISO 27001 Lead Auditor. Infosecurity Evangelist. Profesional con cerca de 10
años de experiencia en el rubro de la seguridad de TI y de la Información,
Juan Pablo, trabajó como consultor en Seguridad de la Información para Ernst
& Young y Visiontech del Perú SAC. realizando trabajos de ethical hacking,
evaluación de seguridad de procesos, gap análisis de la ISO/IEC 17799:2005
(ahora ISO/IEC 27002 o NTP ISO/IEC 17799:2007) entre otras actividades. Fué
Jefe de la Oficina de Seguridad Informática de EsSalud (Sede Central) y
Coordinador de Seguridad en IBM Business Services para el Proyecto de
PETROPERÚ; Ponente nacional e internacional en diversas conferencias; Como
investigador independiente se dedica a ver temas relacionados con la
seguridad de la información en sus diferentes estados; Miembro del grupo
Security Wari Projects de Perú (hoy conocido como PeruSEC). Actualmente
trabaja como Oficial de Seguridad de la Información para HP del Perú. Arduino
101 : Hardware para gente de Software Esta charla es una introducción al
mundo de Arduino y sus aplicaciones. La intensión es la de incentivar a
aquellas personas que por mucho tiempo han vivido frente al teclado y al
monitor, para que complementen sus capacidades entrando de alguna manera al
mundo del hardware, todo esto aprovechando las capadidades que las placas
arduino, sus muchos shields, y su interfase de desarrollo. Mauricio Urizar EC
Council Certified | Ethical Hacker Certificado en Computación Forense en el
nivel Master por Brainbench, OSEH Consultor Senior especializado en hacking
ético y evaluación de la seguridad en código fuente de las aplicaciones.
Lideró el equipo de Open-Sec en la primera Revisión de Seguridad de Código
Fuente en Perú y es experto en realizar pruebas de penetración en grandes
redes (miles de usuarios y cientos de servidores) en corto tiempo. Además,
esta especializado en forensia computacional. Hackeando Cajeros Automaticos La
inseguridad de los Cajeros Automáticos pareciera estar resumida en
incidentes de clonación o delitos que involucran acciones de personas en una
suerte de ingeniería social. Con menor frecuencia, se conocen las formas en
las cuales pueden ser vulnerados estos sistemas mediante accesos de red
autorizados o no, criptografía débil, la inseguridad en cajeros
corresponsales/kioskos/agentes express/etc., las faltas de aseguramiento a
los equipos mismos y muchas cosas más que resultan en vectores de ataque más
simples y los cuales se mantienen en caracter de reserva. John Vargas Consultor
de Seguridad con mas de 5 años de experiencia en el rubro de la seguridad de
TI y de la Información, John , trabajó como consultor en Seguridad de la
Información para diversas empresas del medio realizando trabajos de ethical
hacking, analisis de vulnerabilidades, evaluación de seguridad de procesos,
gap análisis de la ISO/IEC 27002 o NTP ISO/IEC 17799:2007 y PCI-DSS en el
pais como en el extranjero. Actualmente labora en ETEK International como
Security Consultant, es Fundador Lider del Capitulo Peruano de OWASP y
miembro del grupo Security Wari Projects de Perú (hoy conocido como
PeruSEC). "NSE P en st-rule: Personalizando nuestro NMAP" Esta charla es una
introducción al NSE (Nmap Scripting Engine). En ella se explicaran las
funcionalidades basicas del Motor de Scripting NSE, la ejecución de scripts
para la realización de diversas tareas de descubrimiento, detección,
expotación de diversas vulnerabilidades, etc. Ademas analizaremos y
revisaremos algunos scripts desarrollados en Lua, adecuandolos y/o modificar
según nuestras necesidades. Rolando Anton Especialista con sólidos
conocimientos en seguridad informática, amplia experiencia administrando e
implementando soluciones de seguridad perimetral, como Firewalls e IPS de
las principales marcas de seguridad.Ha realizando trabajos de ethical
hacking, aseguramiento y manejo de incidentes. Realiza constantes
investigaciones relacionadas a diversas áreas de la seguridad informática,
enfocadas principalmente a tecnologías de prevención, intrusión, respuesta
ante incidentes, así como temas de alineamiento a normativas y estándares
internacionales como ITIL, PCI-DSS, ISO 27001, COBIT. Actualmente trabaja
como Cordinador de Servicios para ETEK International. Bash Scripting para
Pentesters El interprete de comandos BASH viene incluido en la totalidad de
distribuciones de Linux convirtiendose en uno de los interpretes de comandos
mas difundidos. En la presente charla se hara uso de este interprete de
comandos para la ejecucion de tareas orientadas a la realizacion de pruebas
de pentest. Camilo Galdos Actualmente 18 años, Desarrollador de Aplicaciones
web en PHP, también desarrollador de python y visual basic, pentester por
aficion, escritor y creador del blog seguridadblanca, escritor de la verdad,
autodidacta y pronto estudiante de Seguridad Informática. Actualmente
Trabajo desarrollando en PHP. Bypassing XSS filters Pusiste un html tag en
una variable y como no salio simplemente lo dejaste ahi? en esta charla,
demostraré técnicas de como bypassear filtros en aplicaciones web para poder
expl0tarlas y tener un pentest positivo, además mostrar técnicas de robo de
cuentas por medio de Xss, como reparar esta inseguridad y mucho que no
conocias de este tipo de inseguridad. Cesar Neira Estudiante de Ing. de
Sistemas en la UNMSM SQL Injection para todos Las inyecciones SQL, a pesar
de no ser un tema nuevo, son un vector de intrusión aún muy frecuente en
aplicaciones web. Durante el desarrollo de esta charla se explicará, de
forma práctica, el funcionamiento y los riesgos de esta vulnerabilidad así
como también las técnicas de explotación más usuales y medidas preventivas.
Esta presentación ha sido realizada pensando en aquellas personas que no
necesariamente tienen conocimientos de SQL o programación web. Juan
Oliva Certificaciones
: EC Council Certified | Ethical Hacker, Linux Professional Certification
(LPIC-1) , Novell Certified Linux Administrator (CLA-11) Ocupación Actual :
Jefe de sistemas, Redes y Comunicaciones de Interfono, empresa
comercializadora de trafico telefónico voip Actividades : Implementación y
securización de servidores Linux y plataformas Voip. Hacking VoIP Debido al
importante amento en nuestro país de plataformas Voip como, Ip
Pbx,Callcenters,proveedores voip locales, Hackers están enfocando sus
ataques a este tipo sistemas, la charla expondrá las principales ataques y
vulnerabilidades a estos sistemas,como Foot print de servidores y
dispositivos voip, sip brute force attack,craking de contraseñas sip,
técnicas de Denegación de servicio "DOS". Asi mismo se utilizaran
herramientas como metasploit,sipvicious,inviteflood,etc.
Una cosa es conocer el camino y otra recorrerlo, únete al Limahack
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://lists.ubuntu.com/archives/ubuntu-pe/attachments/20111027/63a13bb5/attachment-0001.html>
Más información sobre la lista de distribución ubuntu-pe