RootedCON 2013 .. Mi Humilde Opinión Segunda Parte

De Juan Carlos García -

Bueno pues voy a continuar con lo empezado..

 Jesús Olmos - ChromeHack, a html5/chrome webhack tool
                                   SÍ, se ve mal, lo siento, pero no tengo otra ;)

 Presentación en exclusiva para RootedCON de una extensión para el navegador Chrome que lo transformará en un navegador de ataque, consiguiendo altas velocidades de ataque sin hacer caer el web-server puesto que se adapta a el. Permite estadísticas de ataque, es multiproceso y multi thread con un bus de comunicación interno entre los componentes, muy ergonómico y sencillo de usar. 

 Fuzzea, craquea, ejecuta los eventos javascript, audit pasivo mientras navegas, IA de aprendizaje, tanteador de paramestros, logger, notificador de inicio/fin, gestor de wordlists y simbiosis con apps externas. .. Tela marinera !!!!!! pero TELA!!

 Sabéis esa sensación de cuando ves algo y dices: J O D E R, madre de Dios !!!..??

 Pues esa fue la que tuve cuando vi esta extensión de Jesús Olmos ChromeHack atacar ... y "pa dentro" en segundos, en un abrir y cerrar de ojos.. de hecho me pareció acojonante... 
(perdón por el vocabulario pero es que no tengo sinónimos para expresar este tipo de sensaciones .. como que "maravilloso" no me pega o no expresa lo que quiero decir) 

 Bueno si que tengo una palabra GENIAL de GENIO

 José Luis Verdeguer - FreePBX for fun & profit


En este caso tengo que decir que me gustó MUCHO porque he estado "demasiado" tiempo pegándome con Asterisk, OpenSer y SIP y todo su entramado ... por lo tanto ver como se la COMÍA literalmente y elevaba privilegios como si estuviera en su casa hizo que ME RIERA AÚN MÁS si es que era posible ... 

 Si algunos ex compañeros míos  de México D.F que yo me se no saben nada de esto todavía, espero que me estéis leyendo porque yo no voy a volver a México a tocaros los "Asterisk" y contaros lo que ya se ha encargado  de hacer.. (olvidaros de los Spamming Tree y fijaros más en otras cosas .. )

 Muy claro hablando, hizo que lo que podía haber sido muy técnico se convirtiera en un ponencia genial , no hacía falta saber SIP para entender lo que estaba haciendo .. dinámica, rápida y el personalmente llega muy bien al público.. Es "simpaticón" dando la ponencia, algo que se AGRADECE un montón
( por lo menos es simpaticón de "speaker" je, no le conozco personalmente ;) ) 

 PERFECTA !!
José M. Esparza y Mikel Gastesi - Sopelka VS Eurograbber: really 36 million EUR?



La botnet Sopelka empezó a gestarse en mayo de 2012 y su actividad cesó a finales del mes de septiembre del mismo año. La curiosidad de esta botnet radicaba en el uso de un único panel de control para almacenar credenciales bancarias, pese a usarse hasta tres diferentes familias de malware bancario: Citadel, Tatanga y Feodo. Su objetivo principal era Europa, afectando en gran medida a España y Alemania, pero también a Holanda, Italia y Malta. Además, se hacía uso de diferentes componentes móviles para sistemas Android, BlackBerry y Symbian. 



En diciembre de 2012 se publicó un informe sobre un "nuevo" malware bancario que había robado más de 36 millones de euros a entidades bancarias europeas.... y aquí es donde entran esta pareja de lujo indiscutible ..

 Disección "hasta la cocina" de todo el entramado para sacar conclusiones bastante diferentes a los medios y noticias .. Fue realmente esa cifra? ya sabeis la respuesta y si no haced click en el título y lo miráis ;)



Mi baremo para exponer lo que a mi me pareció más interesante es solo uno, que me sorprendieran ... y bueno a Jose Miguel Esparza le sigo desde el 2007 más o menos cuando escribía sobre Fuzzing en S21Sec y yo me servía de ellos para estudiarlos.. RootedCon no existía...

 Para mi es un grande pero de los de GRANDE por su labor en E-Crime y todo lo que conlleva.. y bueno la pedazo de investigación que con Mikel Gastezi llevaron a cabo no dejó a nadie indiferente .. de hecho TODO el mundo estaba de acuerdo en una cosa.. En dos palabras IM PREZIONANTE ( Jesulín estaba allí .. )

 GENIAL AMBOS !!!!

 Roberto Baratta - eFraude: ganar gestionando la derrota 

 EL MÁS DIDÁCTICO

 El fraude en medios electrónicos se ha sofisticado tremendamente al profesionalizarse las actividades de hacking y añadirse a los circuitos tradicionales del crimen organizado. La tecnologia defensiva avanza, incluso casi tan rápido como la ofensiva. 

 Pero sin unos procesos internos adecuados, sin procedimientos claros y actualizados y personal entrenado no solo en tecnologia o seguridad, si no en el propio negocio, la batalla está perdida. El eslabón mas debil siguen siendo las personas, y la tecnologia por si misma no puede corregir esto, los procesos y la contra-inteligencia son cada dia mas importantes. 
  Captura de pantalla para no violar los derechos de imagen de Rooted, no tengo foto sorry

 Pues que alguien te venga a contar como se gestiona todo esto dentro de un Banco, como funcionan cuando saltan sus alarmas, como colaboran entre otros bancos NO TIENE PRECIO ( para todo lo demás MASTER CARD)  .. y encima "suelto" .. y muy cercano TAL CUAL .. pienso que no habrá nadie que no le gustara esta ponencia .. En mi caso me enseño algo que desconocía completamente y lo contó de una manera entretenida .. no lo hizo de una manera estructurada en el sentido de exponernos técnicamente las cosas, sino de una manera humana. Productiva, divertida y MUY AMENA

 Queda la tercera parte y una cuarta de dedicada a los que en mi caso dejo fuera de esta exposición y los por qué?... creo que es justo porque TODOS son geniales y solo expreso lo mismo que en las encuestas, repito, pero dando mi nombre .. 
( y no, no es marketing, es tiempo y esto come mucho ;) hasta aquí el día de hoy)
Saludos

 Live Free Or Die Hacking



Entradas populares de este blog

Proteger ASP.NET de inyecciones SQL How T0? BEST PRACTICES

De Juan Carlos García -
Cómo: Proteger ASP.NET de inyecciones SQL Publicado: 21 de Diciembre de 2005 Post:eado:19 de  MARZO 2012 Motivo:   Aumento de Hacking en Aplicaciones Web de manera Brutal desde el 2005 y aumentando Este artículo se aplica a y a como securizar para evitar ser hackeado, si, o si !!! ASP.NET versión 1.1 ASP.NET versión 2.0 y para lo que habeís hecho desde el 2005, estudiarlo bien majetes porque seguís sin securizar el puto código de la parte servidor ... !!! Por dios, ya está bien de poner a los usuarios y trabajadores en peligro .. !! Es tan difícil poner un poquito de atención. Resumen: En este artículo se describen una serie de métodos que ayudan a proteger la aplicación ASP.NET de inyecciones SQL. Entre las distintas técnicas se incluyen la restricción de entradas, el uso de parámetros SQL con tipos seguros para el acceso a datos y el uso de una cuenta con menos privilegios que tenga permisos restringidos en la base de datos. La inyección SQL puede producirse cuando una apl
Leer más

CERTIFICACIONES DE SEGURIDAD

De Juan Carlos García -
Imagen
CERTIFICACIONES DE SEGURIDAD For Fun and Profit Nuevo curso, toca mirar todo lo que tenemos y más … Eso si, caro caro caro(..) Seguridad General—Nivel Basico Brainbench Basic Security Certifications : Ofrece varias certificaciones, un examen por certificación ·          Brainbench Firewall Administration Concepts ·          Brainbench Internet Security ·          Information Technology Security Fundamentals ·          ITAA Information Security Awareness ·          Brainbench Microsoft Security ·          Brainbench Network Authentication ·          Brainbench Network Security ·          Security Industry Knowledge (U.S.) Fuente: Brainbench CDRE -- Certified Disaster Recovery Engineer Conocimientos básicos de recuperación de desastres (DR) y continuidad de negocio (BC) metodologías de planificación. A CDRE reconoce los riesgos y vulnerabilidades de la vida real a una infraestructura de TI, sabe cómo proteger los activos contra las a
Leer más

HACKING MADRID_"EASY" XSS and Cross Site Tracing XST

De Juan Carlos García -
Imagen
XSS-XST COMENZANDO DESDE 0 Y..Cross Site Tracing !!!  A MI ABUELA ... DESCANSE EN PAZ .. El primer ordenador lo recibí en tu casa con 11 años, en reyes, te acuerdas ?  .. Yo jamás olvidaré nada de nada !!! GRACIAS !!!  Al referirnos al Cross-Site-Scripting podemos encontrar bastante material didáctico acerca del tema, algunos de ellos describen los modos de ataques como directos e indirectos, pero realmente creo que podemos simplificar y enfocar de una forma mas directa en dos simples componentes que son: 1. Ataque al usuario. 2. Ataque a la aplicación   Por otro lado tendríamos "persistentes" y "No persistentes" .. es decir, entre wikipedia y OWASP , madre mía la de toería que teneís .. pero lo que quiero directamente es que comenceís a buscar objetivos y a "practicar" "éticamente" . Bien, si no sabes HTML ni JavaScript directamente ya sabes lo que tienes que hacer para poder realizar estos ataques tan singulares que e
Leer más