Agenda Bitup 2019
Puedes sacar tu entrada de forma gratuita o con posibilidad de donativo para ayudarnos a sufragar gastos y hacer hucha para #Bitup2020
https://entradas-bitup-alicante-3a-ed.eventbrite.es
Puedes inscribirte de forma gratuita a los talleres en el siguiente enlace:
https://forms.gle/UkpxM2HzTeXdJqbQ9
Salón de Actos
Inauguración Bitup 2019
Inauguración a cargo del Director de la EPS y del Director del Máster de Ciberseguridad de la UA.
09:00-09:15 || Andrés Montoyo, Francisco José Mora y Virginia Tovar
Distrito Digital
Presentación Distrito Digital a cargo de la directora de comunicación.
09:15-09:30 || Mayte Vañó
Hacking IoT Startups (and some big ones)
Actualmente estamos en plena explosión del campo del Internet de las cosas.
Gracias a proyectos como Arduino, el desarrollo de sistemas embebidos se ha acercado al público en general.
Sin embargo, se suelen pasar por alto las deficiencias de seguridad del hardware elegido, dejándolo expuesto a nuevos vectores de ataque.
Hablaré de cómo los chips más comunes en el mundo del desarrollo de productos IoT no pueden ser tomados en serio por alguien preocupado por la seguridad.
La charla girará en torno a cómo la memoria no está suficientemente protegida.
Tengo PoCs de extracción de credenciales y otros secretos de Chips Atmel, Esp8266, ESP32, Nordic 5x y muchos routers, android tvs, y raspberry pis.
Se abordarán puntos como los siguientes:
¿Por qué nos deberíamos preocupar por un atacante físico?
- PoC de extracción de memoria en micros no seguros
- PoC de extracción de firmware de memorias externas
¿Cómo podemos protegernos? ¿Por qué esto no pasa en PC convencional?
- Protección de memoria
- Arranque seguro
*Extra: PoC de bypass de protección de memoria en chips "seguros" (A.K.A Esp32 y NRF5x)
09:30-10:10 || Julio Sánchez
Desenmascarando acosadores en RRSS
Tenemos un perfil falso en Instagram que ha suplantado la identidad de otro individuo y está contactando con menores de edad, de las cuales ya tiene sus teléfonos y gran cantidad de fotografías.
Nuestro objetivo es obtener la máxima de información posible mediante técnicas OSINT e incluso usando ingeniería social conjugada con otras técnicas como balizas digitales para obtener la dirección IP, tipo de dispositivo móvil o geolocalización del perfil falso.
Mostraremos cómo podemos obtener información de perfiles falsos para llegar a obtener la identidad real de los mismos y poder desenmascararlos.
Además mostraremos la utilidad de las balizas digitales (balizasdigitales.es) para obtener información de usuarios mediante enlaces acortados que se pasan a través de las RRSS haciendo uso de la Ingeniería Social.
10:10-10:50 || Selva Orejón
Bienvenido a la República Independiente de mi casa Vol.2
Cómo proteger nuestra seguridad y privacidad en el hogar con el uso de maltrail, ntop-ng e iptables, empleando para ello una Rasberry Pi, y la inteligencia artificial aplicada a la ciberseguridad.
¿Realmente podemos fiarnos de los smartphone y smartTV cuando los dejamos en manos de los más pequeños?
Bienvenidos a la república independiente de mi casa, y en mi casa, ¡mando yo!
10:50-11:30 || José Luis Navarro
Dark Web y suplantación de identidad
Tendemos a pensar que si algo que no aparece en los principales buscadores es porque sencillamente no existe, pero al menos un 90% del contenido en Internet no esta indexado.
En esta ponencia se hablará sobre Deep Web, Dark Web, Surface Web, así como de las distintas técnicas de las que se valen los ciberdelincuentes para obtener sus objetivos.
Los Ciberataques de hoy son más sencillos de lo que crees y todos estamos expuestos.
11:30-12:10 || Luis Enrique Benítez
Memorias de la madre de un hacker
Ésta charla pretende ser un homenaje y servir de motivación para todas las madres, que siempre han tenido y tendrán un papel muy importante, aunque a veces pase desapercibido,
se ofrecerá punto de vista en primera persona de la madre de un hacker de "la vieja escuela" de clase media, exponer tanto de los miedos (lógicos) que tuvo como de los apoyos que dio a su hijo en todo momento (y sigue dándole).
Su hijo hacker empezó a finales de los 90 en mundo de la informática y ciberseguridad con los pocos medios que existían en ese momento, incluso sin tener internet en casa apoyándose en revistas, libros, cibercafés y grupos locales.
12:10-12:50 || Elena Pano
Mesa redonda
- Yolanda Corral (Ponente y Moderadora): "Ciberseguridad ¿Estás preparado?"
- Ivette Bolívar (Ponente): "Proyecto Ética Hacker"
- Iván Vázquez (Ponente): "Mi móvil vs mi hij@"
- Antonio J. Caba (Ponente): "Tú tienes la llave."
13:30-15:10 || Yolanda, Ivette, Iván y Antonio
Análisis forense de correos de Scam
Qué son los correos electrónicos de tipo Scam y cómo analizar sus distintas partes para responder a las preguntas: qué, quién, cómo, cuándo y desde dónde nos los están enviando.
Se realizarán pruebas de concepto sobre correos de Scam reales.
15:10-15:50 || José Arquillo
Hardware Hacking y uso de la herramienta obtenida para el bien (Blue Team) y el mal (Red Team)
En ésta charla se hará una introducción al hardware hacking de una videoconsola sencilla de
hardware abierto, enfocándose como si fuese hardware cerrado para que los asistentes puedan
entender mejor el desarrollo y comprender los resultados de forma inmediata, así como realizar
pequeñas mejoras a nivel de hardware e identificar los componentes electrónicos de la misma.
También se explicará como utilizar dicho hardware con firmwares propios para aplicaciones
prácticas de ciberseguridad, tanto de Blue Team (creando un gestor seguro de contraseñas
mediante hardware) y Red Team (usando el dispositivo como un BadUSB dinámico y configurable
mediante un sistema de menús, de forma que un atacante puede elegir y configurar el payload, llevando en el bolsillo toda una “navaja suiza” de ataques BadUSB
automatizados y listos para usar)
15:50-16:30 || Joel Serna y Ernesto Sánchez
Machine Learning y Ciberseguridad. Detección de anomalías
Explicar el algoritmo de Isolation Forest para la detección de anomalías en el tráfico de red.
16:30-16:50 || Antonio Campos
SecDevOps containers
Pretendo demostrar que con la moda de desarrollo denominado “DevOps” no se consideran los elementos de seguridad esenciales y necesarios para que cualquier aplicación se despliegue en “modo seguro”. Además de las llamadas buenas prácticas, el desarrollo de código eficiente, legible, escalable y seguro necesita de las herramientas adecuadas para su garantía.
16:50-17:30 || Antonio Juanilla (specter)
¿Justicia divina? ¿Cárcel? ¡Si solo estaba jugando!
Ciberseguridad, rastreos y herramientas informáticas forenses.
17:30-17:50 || Francisco J. Folgado
Ofuscación de Ficheros con Esteganografía
Con la esteganografía sabemos que existen técnicas con las que podemos inyectar texto en imágenes.
Si al fin y al cabo lo que ofuscamos en las imágenes son cadenas, bits, ceros o unos, y todo lo que hay dentro de un ordenador se compone de ceros y unos, ¿por qué no inyectar archivos dentro de las imágenes?
El proyecto consiste en inyectar distintos tipos de ficheros, tales como PDF, MP4, etc., en imágenes con diferentes técnicas de esteganografía.
Con estos algoritmos que hemos desarrollado, obtenemos una nueva forma de poder cifrar ficheros.
17:50-18:10 || Gonzalo López y Diego Silveira
La Cibercultura
Los usos de las TIC de los jóvenes adolescentes y la problemática del ciberbullying.
18:10-18:50 || Daniel Oñate González
Historia de una vulnerabilidad en UACloud
Breve charla en la que se explicará desde cero el descubrimiento de una vulnerabilidad en el campus virtual de la Universidad de Alicante (UACloud) que, en el caso teórico de un atacante malicioso, permitía tomar control permanente de una cuenta.
La vulnerabilidad se encuentra parcheada y se comentará la importancia de descubrir estas brechas antes (o incluso después) de que un ciberdelincuente las aproveche.
No se requieren conocimientos previos y los conceptos teóricos se explicarán con ejemplos reales.
18:50-19:10 || Ernesto Martínez
Clausura y entrega de premios CTF
Despedida, entrega de premios y cierre de Bitup 2019
19:10-19:30 || Staff Bitup
Salón grados 1
Hack like a pro with custom VPS
Continuamos con la saga Hack like a Pro que en la edición anterior dio tanto que hablar.
En el taller de este año, se abordará el desarrollo de un custom VPS (Servidor Virtual Privado gratuito) en los principales proveedores de servicio como Google, Amazon y Azure para disponer de un equipo con diferentes servicios y protocolos instalados desde 0, que nos ayudaran a proteger nuestra privacidad, asegurar la integridad de los datos así como disponer de un equipo accesible desde cualquier lugar para realizar pruebas de concepto puntuales.
A lo largo del taller se mostrarán los diferentes problemas que esta solución mitiga y se desarrollará la instalación de:
- Creación de diversas cuentas en los principales proveedores.
- Bastionado de la maquina VPS on Cloud
- Instalación del servicio OpenVPN
- Instalación del bloqueador DNS Pi Hole
- Otras tools para investigación y pruebas de seguridad
El taller partirá desde 0 por lo que no se requieren conocimientos previos a su asistencia. Se desarrollará de forma secuencial y fácil de seguir por lo que los asistentes podrán replicarlo de una manera sencilla gracias a los scripts que serán utilizados en el taller y compartidos posteriormente.
10:30-12:30 || Javier García y Alejando Quesada
Osint + Python: Extrayendo información de la red ToR y la Darkweb
El taller comenzará a explicar cómo el proyecto Tor puede ayudarnos a investigar y desarrollar herramientas para el anonimato y la privacidad de los usuarios mientras navega por Internet, al establecer circuitos virtuales entre los diferentes nodos que conforman la red Tor.
Posteriormente, revisaremos las herramientas principales para descubrir servicios ocultos en la red con herramientas osint.
Finalmente, usaremos python para extraer información de la red tor con módulos específicos como stem https://stem.torproject.org/
1. Introducción a Tor (15 m)
- Protocolo Tor (objetivos de Tor y concepto de circuitos)
- Red Tor (tipos de nodos y estado de la red)
2. Acceso a la red Tor (20 m)
- Tor browser (el acceso "todo en uno" que no impide un uso más avanzado)
- Software Tor (el acceso genérico)
- Configuración
3. Servicios onion (15 m)
- Características (v2 y v3, no sólo HTTP, etc)
- Ofreciendo un servicio onion (poner en marcha un servicio replicando una web cualquiera)
4. Gestión y Control de Tor (25 m)
- A mano (uso del puerto de control y acceso a la información con herramientas genéricas)
- Stem (automatizando mediante scripts el control de Tor)
5. Descubriendo servicios ocultos (20 m)
- A mano (acceso y extracción de datos con herramientas genéricas)
- Herramientas osint. En la parte de osint se mostraran herramientas orientadas a extraer información mediante técnicas de crawling.
6. Extrayendo información de la red Tor (25 m)
- Utilizando Stem.
- Respecto a la extracción de información con stem,podemos obtener información relacionada como circuitos, descriptores,relays,introduction points para una determinada dirección onion
15:30-17:30 || Migue Macías & José Manuel Ortega
Salón de grados 2
La llamada de la muerte
Vamos a ver cómo hackear el sistema informático de una empresa e interactuar con sus infraestructuras domóticas con algo tan simple como una llamada de teléfono convencional, nada de ordenadores ni complicados comandos, con tan solo llamar por teléfono y decirle al sistema lo que tiene que hacer.
Las antiguas tecnologías analógicas como el teléfono todavía tienen algo que decir en la era de Internet.
El zapatófono del Superagente86 podría iniciar el próximo ataque DDoS...
10:30-12:30 || Jesús Pacheco y Jorge Brocal
¡Escudos arriba! Introducción al Hardening en Linux
El taller pretende ser un acercamiento cubriendo varios puntos básicos de protección de sistemas en Linux.
Algunas cosas que cubre son protección de usuarios, control físico, cifrado y gestión de política de contraseñas.
Aunque en seguridad atacar es imprescindible, mejor prevenir que curar ¡así que empecemos por proteger bien nuestros sistemas!
13:30-15:30 || Paula
¡Explota explotame expló con Empire!
Dar a conocer y aprender cómo usar un framework de exploiting distinto a Metasploit. El guión que se seguirá en este taller/workshop es el siguiente:
1. Windows Evil Files - Generando Backdoors.
1.1. Empire.
1.2. Generando listeners en Empire.
1.3. Creando un Backdoor en Empire.
1.4. Probando nuestro Backdoor.
2. Windows Evil Files - Generando archivos espía.
2.1. Keyloggers.
2.2. Password recovery.
3. Windows Evil Files - Generando malware.
3.1. Introducción
3.2. Creando un Backdoor en condiciones
4. Post Exploitation.
4.1. Introducción.
4.2. Basics of Empire Agents
4.3. File system commands.
4.4. Upload & Execute Shell commands.
4.5. Injecting Backdoor process in system processes.
Para el buen seguimiento de este taller se facilitarán un manual con todos los pasos para realizar cada uno de los apartados así como de máquinas virtuales necesarias (Kali Linux y Windows 10).
15:30-17:30 || Borja Manuel
Sala de Estudio
CTF Challenge
¿Qué es un CTF?
Un Capture The Flag (CTF) es un conjunto de retos relacionados con la Seguridad Informática donde se ponen a prueba
las habilidades de los participantes. El objetivo de cada prueba es conseguir la "Flag" o Bandera, que por lo general será una frase con el formato:
bitup19{palabra_secreta}.
¿Tengo que llevar algo?
Si, te recomendamos que traigas tu portátil preparado con una máquina virtual con Kali Linux o Parrot ya que son dos distribuciones que
ya llevan instaladas la mayoría de herramientas necesarias para resolver los retos.
¿Y dónde podemos encontrar la flag para ganar cada reto?
Pues ira a correlación con el tipo de reto que sea, por ejemplo, en uno de Hacking Web, la flag podría ser un archivo en el
directorio raíz del Servidor, o un texto en un panel de administración o similar.
¿Qué sistema de puntuación hay?
En cada categoría del CTF nos encontramos con una serie de pruebas, dichas pruebas tiene asignadas una puntuación en base a su
dificultad. Por lo general, cada categoría del CTF tiene adjudicadas un total de 500 puntos repartidos entre sus pruebas.
¿Y qué sucede si no conseguimos pasar un reto?
En cada reto, hay una pista asociada a la prueba.
El responsable del CTF, si ve que la gente demora mucho tiempo en alguna prueba o que resulta compleja, dará alguna pista adicional.
¿Hay algún sitio en concreto para realizar el CTF?
El CTF se puede realizar desde donde uno quiera, no se trata de un taller. Pero si que hemos reservado un espacio en la Sala de Estudio de la Politécnica
donde habrá mesas, regletas y mucha marcha! El ambiente perfecto para un clima de auténtico CTF.
09:30-19:10 || Secury
WiFi
WiFi eduroam
¿Cómo puedo conectarme a la red WiFi eduroam?
Si eres estudiante de cualquier otra Universidad seguramente se te conecte automáticamente a la red eduroam.
Si no eres estudiante de universidad y no tienes usuario de eduroam, podemos facilitarte un usuario y una clave, para ello busca a Verdejo para pedirselo o
preguntale por Telegram (@Verdej0), necesitarás darle tu nombre y tu DNI con el único fin de que tú seas responsable de lo que haces en internet mientras estas usando
este usuario y nada más.
Verdej0
Hall Of Fame
