Agenda Bitup 2019



Puedes inscribirte de forma gratuita a los talleres en el siguiente enlace:
https://forms.gle/UkpxM2HzTeXdJqbQ9

Salón de Actos

Bitup Logo

Registro

Acreditaciones, entrega del Welcome Pack y café de Bienvenida.

08:30-09:00 || Staff Bitup


Bitup Logo

Inauguración Bitup 2019

Inauguración a cargo del Director de la EPS y del Coordinador del Máster de Ciberseguridad de la UA.

09:00-09:15 || Andrés Montoyo, Francisco José Mora y Virginia Tovar


Distrito Digital Logo

Distrito Digital

Presentación Distrito Digital a cargo de la directora de comunicación.

09:15-09:30 || Mayte Va√Ī√≥


Bitup Logo

Hacking IoT Startups (and some big ones)

Actualmente estamos en plena explosi√≥n del campo del Internet de las cosas. Gracias a proyectos como Arduino, el desarrollo de sistemas embebidos se ha acercado al p√ļblico en general. Sin embargo, se suelen pasar por alto las deficiencias de seguridad del hardware elegido, dej√°ndolo expuesto a nuevos vectores de ataque.

Hablaré de cómo los chips más comunes en el mundo del desarrollo de productos IoT no pueden ser tomados en serio por alguien preocupado por la seguridad. La charla girará en torno a cómo la memoria no está suficientemente protegida. Tengo PoCs de extracción de credenciales y otros secretos de Chips Atmel, Esp8266, ESP32, Nordic 5x y muchos routers, android tvs, y raspberry pis. Se abordarán puntos como los siguientes:

¬ŅPor qu√© nos deber√≠amos preocupar por un atacante f√≠sico?

- PoC de extracción de memoria en micros no seguros
- PoC de extracción de firmware de memorias externas

¬ŅC√≥mo podemos protegernos? ¬ŅPor qu√© esto no pasa en PC convencional?

- Protección de memoria
- Arranque seguro

*Extra: PoC de bypass de protección de memoria en chips "seguros" (A.K.A Esp32 y NRF5x)

09:30-10:10 || Julio S√°nchez


Bitup Logo

Desenmascarando acosadores en RRSS

Tenemos un perfil falso en Instagram que ha suplantado la identidad de otro individuo y está contactando con menores de edad, de las cuales ya tiene sus teléfonos y gran cantidad de fotografías.

Nuestro objetivo es obtener la máxima de información posible mediante técnicas OSINT e incluso usando ingeniería social conjugada con otras técnicas como balizas digitales para obtener la dirección IP, tipo de dispositivo móvil o geolocalización del perfil falso.

Mostraremos cómo podemos obtener información de perfiles falsos para llegar a obtener la identidad real de los mismos y poder desenmascararlos.

Además mostraremos la utilidad de las balizas digitales (balizasdigitales.es) para obtener información de usuarios mediante enlaces acortados que se pasan a través de las RRSS haciendo uso de la Ingeniería Social.

10:10-10:50 || Selva Orejón


Bitup Logo

Bienvenido a la Rep√ļblica Independiente de mi casa Vol.2

Cómo proteger nuestra seguridad y privacidad en el hogar con el uso de maltrail, ntop-ng e iptables, empleando para ello una Rasberry Pi, y la inteligencia artificial aplicada a la ciberseguridad.

¬ŅRealmente podemos fiarnos de los smartphone y smartTV cuando los dejamos en manos de los m√°s peque√Īos?

Bienvenidos a la rep√ļblica independiente de mi casa, y en mi casa, ¬°mando yo!

10:50-11:30 || José Luis Navarro


Bitup Logo

Dark Web y suplantación de identidad

Tendemos a pensar que si algo que no aparece en los principales buscadores es porque sencillamente no existe, pero al menos un 90% del contenido en Internet no esta indexado.

En esta ponencia se hablará sobre Deep Web, Dark Web, Surface Web, así como de las distintas técnicas de las que se valen los ciberdelincuentes para obtener sus objetivos.

Los Ciberataques de hoy son m√°s sencillos de lo que crees y todos estamos expuestos.

11:30-12:10 || Luis Enrique Benítez


Bitup Logo

Memorias de la madre de un hacker

√Čsta charla pretende ser un homenaje y servir de motivaci√≥n para todas las madres, que siempre han tenido y tendr√°n un papel muy importante, aunque a veces pase desapercibido, se ofrecer√° punto de vista en primera persona de la madre de un hacker de "la vieja escuela" de clase media, exponer tanto de los miedos (l√≥gicos) que tuvo como de los apoyos que dio a su hijo en todo momento (y sigue d√°ndole).

Su hijo hacker empezó a finales de los 90 en mundo de la informática y ciberseguridad con los pocos medios que existían en ese momento, incluso sin tener internet en casa apoyándose en revistas, libros, cibercafés y grupos locales.

12:10-12:50 || Elena Pano


Bitup Logo

¬°A comer!

Descanso para comer algo en el hall.

12:50-13:30 || Staff Bitup


Mesa Redonda Logo

Mesa redonda

- Yolanda Corral (Ponente y Moderadora): "Ciberseguridad ¬ŅEst√°s preparado?"
- Ivette Bol√≠var (Ponente): "Proyecto √Čtica Hacker"
- Iv√°n V√°zquez (Ponente): "Mi m√≥vil vs mi [email protected]"
- Antonio J. Caba (Ponente): "T√ļ tienes la llave."

13:30-15:10 || Yolanda, Ivette, Iv√°n y Antonio


Bitup Logo

An√°lisis forense de correos de Scam

Qué son los correos electrónicos de tipo Scam y cómo analizar sus distintas partes para responder a las preguntas: qué, quién, cómo, cuándo y desde dónde nos los están enviando.

Se realizar√°n pruebas de concepto sobre correos de Scam reales.

15:10-15:50 || José Arquillo


Bitup Logo

Hardware Hacking y uso de la herramienta obtenida para el bien (Blue Team) y el mal (Red Team)

En √©sta charla se har√° una introducci√≥n al hardware hacking de una videoconsola sencilla de hardware abierto, enfoc√°ndose como si fuese hardware cerrado para que los asistentes puedan entender mejor el desarrollo y comprender los resultados de forma inmediata, as√≠ como realizar peque√Īas mejoras a nivel de hardware e identificar los componentes electr√≥nicos de la misma.

Tambi√©n se explicar√° como utilizar dicho hardware con firmwares propios para aplicaciones pr√°cticas de ciberseguridad, tanto de Blue Team (creando un gestor seguro de contrase√Īas mediante hardware) y Red Team (usando el dispositivo como un BadUSB din√°mico y configurable mediante un sistema de men√ļs, de forma que un atacante puede elegir y configurar el payload, llevando en el bolsillo toda una ‚Äúnavaja suiza‚ÄĚ de ataques BadUSB automatizados y listos para usar)

15:50-16:30 || Joel Serna y Ernesto S√°nchez


Bitup Logo

Machine Learning y Ciberseguridad. Detección de anomalías

Explicar el algoritmo de Isolation Forest para la detección de anomalías en el tráfico de red.

16:30-16:50 || Antonio Campos


Antonio Juanilla

SecDevOps containers

Pretendo demostrar que con la moda de desarrollo denominado ‚ÄúDevOps‚ÄĚ no se consideran los elementos de seguridad esenciales y necesarios para que cualquier aplicaci√≥n se despliegue en ‚Äúmodo seguro‚ÄĚ. Adem√°s de las llamadas buenas pr√°cticas, el desarrollo de c√≥digo eficiente, legible, escalable y seguro necesita de las herramientas adecuadas para su garant√≠a.

16:50-17:30 || Antonio Juanilla (specter)


Bitup Logo

¬ŅJusticia divina? ¬ŅC√°rcel ? ¬°Si solo estaba jugando!

Ciberseguridad, rastreos y herramientas inform√°ticas forenses.

17:30-17:50 || Francisco J. Folgado


Bitup Logo

Ofuscación de Ficheros con Esteganografía

Con la esteganografía sabemos que existen técnicas con las que podemos inyectar texto en imágenes.

Si al fin y al cabo lo que ofuscamos en las im√°genes son cadenas, bits, ceros o unos, y todo lo que hay dentro de un ordenador se compone de ceros y unos, ¬Ņpor qu√© no inyectar archivos dentro de las im√°genes?

El proyecto consiste en inyectar distintos tipos de ficheros, tales como PDF, MP4, etc., en imágenes con diferentes técnicas de esteganografía.

Con estos algoritmos que hemos desarrollado, obtenemos una nueva forma de poder cifrar ficheros.

17:50-18:10 || Gonzalo López y Diego Silveira


Bitup Logo

La Cibercultura

Los usos de las TIC de los jóvenes adolescentes y la problemática del ciberbullying.

18:10-18:50 || Daniel O√Īate Gonz√°lez


Bitup Logo

Historia de una vulnerabilidad en UACloud

Breve charla en la que se explicará desde cero el descubrimiento de una vulnerabilidad en el campus virtual de la Universidad de Alicante (UACloud) que permitía tomar control permanente de una cuenta.

No se requieren conocimientos previos y los conceptos teóricos se explicarán con ejemplos reales.

18:50-19:10 || Ernesto Martínez


Bitup Logo

Clausura y entrega de premios CTF

Despedida, entrega de premios y cierre de Bitup 2019

19:10-19:30 || Staff Bitup


Bitup Logo

¬°Merienda y Networking!

Toma algo en el hall para despedirte de Bitup 2019

19:30-FIN || Staff Bitup

Salón grados 1

Hack like a pro with custom VPS

Continuamos con la saga Hack like a Pro que en la edición anterior dio tanto que hablar.

En el taller de este a√Īo, se abordar√° el desarrollo de un custom VPS (Servidor Virtual Privado gratuito) en los principales proveedores de servicio como Google, Amazon y Azure para disponer de un equipo con diferentes servicios y protocolos instalados desde 0, que nos ayudaran a proteger nuestra privacidad, asegurar la integridad de los datos as√≠ como disponer de un equipo accesible desde cualquier lugar para realizar pruebas de concepto puntuales.

A lo largo del taller se mostrarán los diferentes problemas que esta solución mitiga y se desarrollará la instalación de:

- Creación de diversas cuentas en los principales proveedores.
- Bastionado de la maquina VPS on Cloud
- Instalación del servicio OpenVPN
- Instalación del bloqueador DNS Pi Hole
- Otras tools para investigación y pruebas de seguridad

El taller partir√° desde 0 por lo que no se requieren conocimientos previos a su asistencia. Se desarrollar√° de forma secuencial y f√°cil de seguir por lo que los asistentes podr√°n replicarlo de una manera sencilla gracias a los scripts que ser√°n utilizados en el taller y compartidos posteriormente.

10:30-12:30 || Javier García y Alejando Quesada


Osint + Python: Extrayendo información de la red ToR y la Darkweb

El taller comenzará a explicar cómo el proyecto Tor puede ayudarnos a investigar y desarrollar herramientas para el anonimato y la privacidad de los usuarios mientras navega por Internet, al establecer circuitos virtuales entre los diferentes nodos que conforman la red Tor.

Posteriormente, revisaremos las herramientas principales para descubrir servicios ocultos en la red con herramientas osint.

Finalmente, usaremos python para extraer información de la red tor con módulos específicos como stem https://stem.torproject.org/

1. Introducción a Tor (15 m)

- Protocolo Tor (objetivos de Tor y concepto de circuitos)
- Red Tor (tipos de nodos y estado de la red)

2. Acceso a la red Tor (20 m)

- Tor browser (el acceso "todo en uno" que no impide un uso m√°s avanzado)
- Software Tor (el acceso genérico)
- Configuración

3. Servicios onion (15 m)

- Características (v2 y v3, no sólo HTTP, etc)
- Ofreciendo un servicio onion (poner en marcha un servicio replicando una web cualquiera)

4. Gestión y Control de Tor (25 m)

- A mano (uso del puerto de control y acceso a la información con herramientas genéricas)
- Stem (automatizando mediante scripts el control de Tor)

5. Descubriendo servicios ocultos (20 m)

- A mano (acceso y extracción de datos con herramientas genéricas)
- Herramientas osint. En la parte de osint se mostraran herramientas orientadas a extraer información mediante técnicas de crawling.

6. Extrayendo información de la red Tor (25 m)

- Utilizando Stem.
- Respecto a la extracción de información con stem,podemos obtener información relacionada como circuitos, descriptores,relays,introduction points para una determinada dirección onion

15:30-17:30 || Migue Macías & José Manuel Ortega

Salón de grados 2

La llamada de la muerte

Vamos a ver cómo hackear el sistema informático de una empresa e interactuar con sus infraestructuras domóticas con algo tan simple como una llamada de teléfono convencional, nada de ordenadores ni complicados comandos, con tan solo llamar por teléfono y decirle al sistema lo que tiene que hacer.

Las antiguas tecnologías analógicas como el teléfono todavía tienen algo que decir en la era de Internet.

El zapatófono del Superagente86 podría iniciar el próximo ataque DDoS...

10:30-12:30 || Jes√ļs Pacheco y Jorge Brocal


¡Escudos arriba! Introducción al Hardening en Linux

El taller pretende ser un acercamiento cubriendo varios puntos básicos de protección de sistemas en Linux.
Algunas cosas que cubre son protecci√≥n de usuarios, control f√≠sico, cifrado y gesti√≥n de pol√≠tica de contrase√Īas.
Aunque en seguridad atacar es imprescindible, mejor prevenir que curar ¡así que empecemos por proteger bien nuestros sistemas!

13:30-15:30 || Paula


¡Explota explotame expló con Empire!

Dar a conocer y aprender cómo usar un framework de exploiting distinto a Metasploit. El guión que se seguirá en este taller/workshop es el siguiente:

1. Windows Evil Files - Generando Backdoors.
1.1. Empire.
1.2. Generando listeners en Empire.
1.3. Creando un Backdoor en Empire.
1.4. Probando nuestro Backdoor.

2. Windows Evil Files - Generando archivos espía.
2.1. Keyloggers.
2.2. Password recovery.

3. Windows Evil Files - Generando malware.
3.1. Introducción
3.2. Creando un Backdoor en condiciones

4. Post Exploitation.
4.1. Introducción.
4.2. Basics of Empire Agents
4.3. File system commands.
4.4. Upload & Execute Shell commands.
4.5. Injecting Backdoor process in system processes.

Para el buen seguimiento de este taller se facilitarán un manual con todos los pasos para realizar cada uno de los apartados así como de máquinas virtuales necesarias (Kali Linux y Windows 10).

15:30-17:30 || Borja Manuel

Sala de Estudio

CTF Challenge


¬ŅQu√© es un CTF?

Un Capture The Flag (CTF) es un conjunto de retos relacionados con la Seguridad Inform√°tica donde se ponen a prueba las habilidades de los participantes. El objetivo de cada prueba es conseguir la "Flag" o Bandera, que por lo general ser√° una frase con el formato: bitup19{palabra_secreta}.

¬ŅTengo que llevar algo?

Si, te recomendamos que traigas tu portátil preparado con una máquina virtual con Kali Linux o Parrot ya que son dos distribuciones que ya llevan instaladas la mayoría de herramientas necesarias para resolver los retos.

¬ŅY d√≥nde podemos encontrar la flag para ganar cada reto?

Pues ira a correlación con el tipo de reto que sea, por ejemplo, en uno de Hacking Web, la flag podría ser un archivo en el directorio raíz del Servidor, o un texto en un panel de administración o similar.

¬ŅQu√© sistema de puntuaci√≥n hay?

En cada categoría del CTF nos encontramos con una serie de pruebas, dichas pruebas tiene asignadas una puntuación en base a su dificultad. Por lo general, cada categoría del CTF tiene adjudicadas un total de 500 puntos repartidos entre sus pruebas.

¬ŅY qu√© sucede si no conseguimos pasar un reto?

En cada reto, hay una pista asociada a la prueba. El responsable del CTF, si ve que la gente demora mucho tiempo en alguna prueba o que resulta compleja, dar√° alguna pista adicional.

¬ŅHay alg√ļn sitio en concreto para realizar el CTF?

El CTF se puede realizar desde donde uno quiera, no se trata de un taller. Pero si que hemos reservado un espacio en la Sala de Estudio de la Politécnica donde habrá mesas, regletas y mucha marcha! El ambiente perfecto para un clima de auténtico CTF.

09:30-19:10 || Secury



WiFi

WiFi eduroam

¬ŅC√≥mo puedo conectarme a la red WiFi eduroam?

Si eres estudiante de cualquier otra Universidad seguramente se te conecte autom√°ticamente a la red eduroam.

Si no eres estudiante de universidad y no tienes usuario de eduroam, podemos facilitarte un usuario y una clave, para ello busca a Verdejo para pedirselo o preguntale por Telegram (@Verdej0), necesitar√°s darle tu nombre y tu DNI con el √ļnico fin de que t√ļ seas responsable de lo que haces en internet mientras estas usando este usuario y nada m√°s.

Verdej0