Sábado 26 de Octubre, Escuela Politécnica Superior 1, Universidad de Alicante.


Colaboradores

Bitup 2019

Agenda Bitup 2019


Puedes sacar tu entrada de forma gratuita o con posibilidad de donativo para ayudarnos a sufragar gastos y hacer hucha para #Bitup2020

https://entradas-bitup-alicante-3a-ed.eventbrite.es

Puedes inscribirte de forma gratuita a los talleres en el siguiente enlace:

https://forms.gle/UkpxM2HzTeXdJqbQ9


Salón de Actos

Bitup Logo

Registro

Acreditaciones, entrega del Welcome Pack y café de Bienvenida.

08:30-09:00 || Staff Bitup


Bitup Logo

Inauguración Bitup 2019

Inauguración a cargo del Director de la EPS y del Director del Máster de Ciberseguridad de la UA.

09:00-09:15 || Andrés Montoyo, Francisco José Mora y Virginia Tovar


Distrito Digital Logo

Distrito Digital

Presentación Distrito Digital a cargo de la directora de comunicación.

09:15-09:30 || Mayte Vañó


Julio Sanchez

Hacking IoT Startups (and some big ones)

Actualmente estamos en plena explosión del campo del Internet de las cosas. Gracias a proyectos como Arduino, el desarrollo de sistemas embebidos se ha acercado al público en general. Sin embargo, se suelen pasar por alto las deficiencias de seguridad del hardware elegido, dejándolo expuesto a nuevos vectores de ataque.

Hablaré de cómo los chips más comunes en el mundo del desarrollo de productos IoT no pueden ser tomados en serio por alguien preocupado por la seguridad. La charla girará en torno a cómo la memoria no está suficientemente protegida. Tengo PoCs de extracción de credenciales y otros secretos de Chips Atmel, Esp8266, ESP32, Nordic 5x y muchos routers, android tvs, y raspberry pis. Se abordarán puntos como los siguientes:

¿Por qué nos deberíamos preocupar por un atacante físico?

- PoC de extracción de memoria en micros no seguros
- PoC de extracción de firmware de memorias externas

¿Cómo podemos protegernos? ¿Por qué esto no pasa en PC convencional?

- Protección de memoria
- Arranque seguro

*Extra: PoC de bypass de protección de memoria en chips "seguros" (A.K.A Esp32 y NRF5x)

09:30-10:10 || Julio Sánchez


Bitup Logo

Desenmascarando acosadores en RRSS

Tenemos un perfil falso en Instagram que ha suplantado la identidad de otro individuo y está contactando con menores de edad, de las cuales ya tiene sus teléfonos y gran cantidad de fotografías.

Nuestro objetivo es obtener la máxima de información posible mediante técnicas OSINT e incluso usando ingeniería social conjugada con otras técnicas como balizas digitales para obtener la dirección IP, tipo de dispositivo móvil o geolocalización del perfil falso.

Mostraremos cómo podemos obtener información de perfiles falsos para llegar a obtener la identidad real de los mismos y poder desenmascararlos.

Además mostraremos la utilidad de las balizas digitales (balizasdigitales.es) para obtener información de usuarios mediante enlaces acortados que se pasan a través de las RRSS haciendo uso de la Ingeniería Social.

10:10-10:50 || Selva Orejón


Jose Luis Navarro

Bienvenido a la República Independiente de mi casa Vol.2

Cómo proteger nuestra seguridad y privacidad en el hogar con el uso de maltrail, ntop-ng e iptables, empleando para ello una Rasberry Pi, y la inteligencia artificial aplicada a la ciberseguridad.

¿Realmente podemos fiarnos de los smartphone y smartTV cuando los dejamos en manos de los más pequeños?

Bienvenidos a la república independiente de mi casa, y en mi casa, ¡mando yo!

10:50-11:30 || José Luis Navarro


Luis Benitez

Dark Web y suplantación de identidad

Tendemos a pensar que si algo que no aparece en los principales buscadores es porque sencillamente no existe, pero al menos un 90% del contenido en Internet no esta indexado.

En esta ponencia se hablará sobre Deep Web, Dark Web, Surface Web, así como de las distintas técnicas de las que se valen los ciberdelincuentes para obtener sus objetivos.

Los Ciberataques de hoy son más sencillos de lo que crees y todos estamos expuestos.

11:30-12:10 || Luis Enrique Benítez


Elena Pano

Memorias de la madre de un hacker

Ésta charla pretende ser un homenaje y servir de motivación para todas las madres, que siempre han tenido y tendrán un papel muy importante, aunque a veces pase desapercibido, se ofrecerá punto de vista en primera persona de la madre de un hacker de "la vieja escuela" de clase media, exponer tanto de los miedos (lógicos) que tuvo como de los apoyos que dio a su hijo en todo momento (y sigue dándole).

Su hijo hacker empezó a finales de los 90 en mundo de la informática y ciberseguridad con los pocos medios que existían en ese momento, incluso sin tener internet en casa apoyándose en revistas, libros, cibercafés y grupos locales.

12:10-12:50 || Elena Pano


Bitup Logo

¡A comer!

Descanso para comer algo en el hall.

12:50-13:30 || Staff Bitup


Mesa Redonda Logo

Mesa redonda

- Yolanda Corral (Ponente y Moderadora): "Ciberseguridad ¿Estás preparado?"
- Ivette Bolívar (Ponente): "Proyecto Ética Hacker"
- Iván Vázquez (Ponente): "Mi móvil vs mi hij@"
- Antonio J. Caba (Ponente): "Tú tienes la llave."

13:30-15:10 || Yolanda, Ivette, Iván y Antonio


Bitup Logo

Análisis forense de correos de Scam

Qué son los correos electrónicos de tipo Scam y cómo analizar sus distintas partes para responder a las preguntas: qué, quién, cómo, cuándo y desde dónde nos los están enviando.

Se realizarán pruebas de concepto sobre correos de Scam reales.

15:10-15:50 || José Arquillo


Joel y Ernesto

Hardware Hacking y uso de la herramienta obtenida para el bien (Blue Team) y el mal (Red Team)

En ésta charla se hará una introducción al hardware hacking de una videoconsola sencilla de hardware abierto, enfocándose como si fuese hardware cerrado para que los asistentes puedan entender mejor el desarrollo y comprender los resultados de forma inmediata, así como realizar pequeñas mejoras a nivel de hardware e identificar los componentes electrónicos de la misma.

También se explicará como utilizar dicho hardware con firmwares propios para aplicaciones prácticas de ciberseguridad, tanto de Blue Team (creando un gestor seguro de contraseñas mediante hardware) y Red Team (usando el dispositivo como un BadUSB dinámico y configurable mediante un sistema de menús, de forma que un atacante puede elegir y configurar el payload, llevando en el bolsillo toda una “navaja suiza” de ataques BadUSB automatizados y listos para usar)

15:50-16:30 || Joel Serna y Ernesto Sánchez


Antonio Campos

Machine Learning y Ciberseguridad. Detección de anomalías

Explicar el algoritmo de Isolation Forest para la detección de anomalías en el tráfico de red.

16:30-16:50 || Antonio Campos


Antonio Juanilla

SecDevOps containers

Pretendo demostrar que con la moda de desarrollo denominado “DevOps” no se consideran los elementos de seguridad esenciales y necesarios para que cualquier aplicación se despliegue en “modo seguro”. Además de las llamadas buenas prácticas, el desarrollo de código eficiente, legible, escalable y seguro necesita de las herramientas adecuadas para su garantía.

16:50-17:30 || Antonio Juanilla (specter)


Bitup Logo

¿Justicia divina? ¿Cárcel? ¡Si solo estaba jugando!

Ciberseguridad, rastreos y herramientas informáticas forenses.

17:30-17:50 || Francisco J. Folgado


Bitup Logo

Ofuscación de Ficheros con Esteganografía

Con la esteganografía sabemos que existen técnicas con las que podemos inyectar texto en imágenes.

Si al fin y al cabo lo que ofuscamos en las imágenes son cadenas, bits, ceros o unos, y todo lo que hay dentro de un ordenador se compone de ceros y unos, ¿por qué no inyectar archivos dentro de las imágenes?

El proyecto consiste en inyectar distintos tipos de ficheros, tales como PDF, MP4, etc., en imágenes con diferentes técnicas de esteganografía.

Con estos algoritmos que hemos desarrollado, obtenemos una nueva forma de poder cifrar ficheros.

17:50-18:10 || Gonzalo López y Diego Silveira


Bitup Logo

La Cibercultura

Los usos de las TIC de los jóvenes adolescentes y la problemática del ciberbullying.

18:10-18:50 || Daniel Oñate González


Bitup Logo

Historia de una vulnerabilidad en UACloud

Breve charla en la que se explicará desde cero el descubrimiento de una vulnerabilidad en el campus virtual de la Universidad de Alicante (UACloud) que, en el caso teórico de un atacante malicioso, permitía tomar control permanente de una cuenta.

La vulnerabilidad se encuentra parcheada y se comentará la importancia de descubrir estas brechas antes (o incluso después) de que un ciberdelincuente las aproveche.

No se requieren conocimientos previos y los conceptos teóricos se explicarán con ejemplos reales.

18:50-19:10 || Ernesto Martínez


Bitup Logo

Clausura y entrega de premios CTF

Despedida, entrega de premios y cierre de Bitup 2019

19:10-19:30 || Staff Bitup


Bitup Logo

¡Merienda y Networking!

Toma algo en el hall para despedirte de Bitup 2019

19:30-FIN || Staff Bitup

Salón grados 1

Hack like a pro with custom VPS

Continuamos con la saga Hack like a Pro que en la edición anterior dio tanto que hablar.

En el taller de este año, se abordará el desarrollo de un custom VPS (Servidor Virtual Privado gratuito) en los principales proveedores de servicio como Google, Amazon y Azure para disponer de un equipo con diferentes servicios y protocolos instalados desde 0, que nos ayudaran a proteger nuestra privacidad, asegurar la integridad de los datos así como disponer de un equipo accesible desde cualquier lugar para realizar pruebas de concepto puntuales.

A lo largo del taller se mostrarán los diferentes problemas que esta solución mitiga y se desarrollará la instalación de:

- Creación de diversas cuentas en los principales proveedores.
- Bastionado de la maquina VPS on Cloud
- Instalación del servicio OpenVPN
- Instalación del bloqueador DNS Pi Hole
- Otras tools para investigación y pruebas de seguridad

El taller partirá desde 0 por lo que no se requieren conocimientos previos a su asistencia. Se desarrollará de forma secuencial y fácil de seguir por lo que los asistentes podrán replicarlo de una manera sencilla gracias a los scripts que serán utilizados en el taller y compartidos posteriormente.

10:30-12:30 || Javier García y Alejando Quesada


Osint + Python: Extrayendo información de la red ToR y la Darkweb

El taller comenzará a explicar cómo el proyecto Tor puede ayudarnos a investigar y desarrollar herramientas para el anonimato y la privacidad de los usuarios mientras navega por Internet, al establecer circuitos virtuales entre los diferentes nodos que conforman la red Tor.

Posteriormente, revisaremos las herramientas principales para descubrir servicios ocultos en la red con herramientas osint.

Finalmente, usaremos python para extraer información de la red tor con módulos específicos como stem https://stem.torproject.org/

1. Introducción a Tor (15 m)

- Protocolo Tor (objetivos de Tor y concepto de circuitos)
- Red Tor (tipos de nodos y estado de la red)

2. Acceso a la red Tor (20 m)

- Tor browser (el acceso "todo en uno" que no impide un uso más avanzado)
- Software Tor (el acceso genérico)
- Configuración

3. Servicios onion (15 m)

- Características (v2 y v3, no sólo HTTP, etc)
- Ofreciendo un servicio onion (poner en marcha un servicio replicando una web cualquiera)

4. Gestión y Control de Tor (25 m)

- A mano (uso del puerto de control y acceso a la información con herramientas genéricas)
- Stem (automatizando mediante scripts el control de Tor)

5. Descubriendo servicios ocultos (20 m)

- A mano (acceso y extracción de datos con herramientas genéricas)
- Herramientas osint. En la parte de osint se mostraran herramientas orientadas a extraer información mediante técnicas de crawling.

6. Extrayendo información de la red Tor (25 m)

- Utilizando Stem.
- Respecto a la extracción de información con stem,podemos obtener información relacionada como circuitos, descriptores,relays,introduction points para una determinada dirección onion

15:30-17:30 || Migue Macías & José Manuel Ortega

Salón de grados 2

La llamada de la muerte

Vamos a ver cómo hackear el sistema informático de una empresa e interactuar con sus infraestructuras domóticas con algo tan simple como una llamada de teléfono convencional, nada de ordenadores ni complicados comandos, con tan solo llamar por teléfono y decirle al sistema lo que tiene que hacer.

Las antiguas tecnologías analógicas como el teléfono todavía tienen algo que decir en la era de Internet.

El zapatófono del Superagente86 podría iniciar el próximo ataque DDoS...

10:30-12:30 || Jesús Pacheco y Jorge Brocal


¡Escudos arriba! Introducción al Hardening en Linux

El taller pretende ser un acercamiento cubriendo varios puntos básicos de protección de sistemas en Linux.
Algunas cosas que cubre son protección de usuarios, control físico, cifrado y gestión de política de contraseñas.
Aunque en seguridad atacar es imprescindible, mejor prevenir que curar ¡así que empecemos por proteger bien nuestros sistemas!

13:30-15:30 || Paula


¡Explota explotame expló con Empire!

Dar a conocer y aprender cómo usar un framework de exploiting distinto a Metasploit. El guión que se seguirá en este taller/workshop es el siguiente:

1. Windows Evil Files - Generando Backdoors.
1.1. Empire.
1.2. Generando listeners en Empire.
1.3. Creando un Backdoor en Empire.
1.4. Probando nuestro Backdoor.

2. Windows Evil Files - Generando archivos espía.
2.1. Keyloggers.
2.2. Password recovery.

3. Windows Evil Files - Generando malware.
3.1. Introducción
3.2. Creando un Backdoor en condiciones

4. Post Exploitation.
4.1. Introducción.
4.2. Basics of Empire Agents
4.3. File system commands.
4.4. Upload & Execute Shell commands.
4.5. Injecting Backdoor process in system processes.

Para el buen seguimiento de este taller se facilitarán un manual con todos los pasos para realizar cada uno de los apartados así como de máquinas virtuales necesarias (Kali Linux y Windows 10).

15:30-17:30 || Borja Manuel

Sala de Estudio

CTF Challenge


¿Qué es un CTF?

Un Capture The Flag (CTF) es un conjunto de retos relacionados con la Seguridad Informática donde se ponen a prueba las habilidades de los participantes. El objetivo de cada prueba es conseguir la "Flag" o Bandera, que por lo general será una frase con el formato: bitup19{palabra_secreta}.

¿Tengo que llevar algo?

Si, te recomendamos que traigas tu portátil preparado con una máquina virtual con Kali Linux o Parrot ya que son dos distribuciones que ya llevan instaladas la mayoría de herramientas necesarias para resolver los retos.

¿Y dónde podemos encontrar la flag para ganar cada reto?

Pues ira a correlación con el tipo de reto que sea, por ejemplo, en uno de Hacking Web, la flag podría ser un archivo en el directorio raíz del Servidor, o un texto en un panel de administración o similar.

¿Qué sistema de puntuación hay?

En cada categoría del CTF nos encontramos con una serie de pruebas, dichas pruebas tiene asignadas una puntuación en base a su dificultad. Por lo general, cada categoría del CTF tiene adjudicadas un total de 500 puntos repartidos entre sus pruebas.

¿Y qué sucede si no conseguimos pasar un reto?

En cada reto, hay una pista asociada a la prueba. El responsable del CTF, si ve que la gente demora mucho tiempo en alguna prueba o que resulta compleja, dará alguna pista adicional.

¿Hay algún sitio en concreto para realizar el CTF?

El CTF se puede realizar desde donde uno quiera, no se trata de un taller. Pero si que hemos reservado un espacio en la Sala de Estudio de la Politécnica donde habrá mesas, regletas y mucha marcha! El ambiente perfecto para un clima de auténtico CTF.

09:30-19:10 || Secury



WiFi

Wifi Logo

WiFi eduroam


¿Cómo puedo conectarme a la red WiFi eduroam?

Si eres estudiante de cualquier otra Universidad seguramente se te conecte automáticamente a la red eduroam.

Si no eres estudiante de universidad y no tienes usuario de eduroam, podemos facilitarte un usuario y una clave, para ello busca a Verdejo para pedirselo o preguntale por Telegram (@Verdej0), necesitarás darle tu nombre y tu DNI con el único fin de que tú seas responsable de lo que haces en internet mientras estas usando este usuario y nada más.

Verdej0



Hall Of Fame

HallOfFame Logo

Reconocimientos


Desde la organización queremos daros nuestro más sincero agradecimiento por querer apoyar la iniciativa y que podamos seguir aportando nuestro granito de arena en el mundo de la Ciberseguridad.

Evoblackshark    Antonio Juanilla(Specter)    HackGraphic    Max    VK_b1tcor3    dorianDraper