[FaceCat: Covert Channels over Social Networks]
José Selvi (Senior Auditor at S21sec)

En esta charla, revisaremos algunas formas de encapsular comunicaciones mediante caneles cubiertos a través de las redes sociales, y como esto puede afectar a la seguridad personal y corporativa. Como prueba de concepto, se ha desarrollado una herramienta llamada "FaceCat" (FaceBook NetCat). Con esta herramienta podemos redirigir un puerto usando un muro de facebook como tubería, con lo que sería posible obtener una conexión a través de proxies y otras protecciones de red.

BIO: José Selvi, actualmente Pentester en S21sec y escritor del blog http://www.pentester.es, lleva dedicándose a la seguridad durante los últimos 8 años, en los cuales se ha dedicado a la realización de test de intrusión, gestiones de incidentes y detección de intrusiones. Es también Mentor del SANS Institute y ponente habitual en las conferencias españolas. José es Ingeniero en Informática e Ingeniero Técnico en Telecomunicaciones, y ostenta las certificaciones CISA, CISSP, CNAP, GSEC, GCIH, GCIA y GPEN. Actualmente se encuentra preparando su Tesis Doctoral.

[Playing the piano]
Chema Alonso (Consultor de seguridad en Informatica64, Microsoft MVP)

Las aplicaciones basadas en Terminal Services & Citrix ofrecen un entorno de producción que extiende los escritorios más allá de la frontera del equipo donde está corriendo la aplicación, ayudando a empresas a ahorrar costes y a desplegar aplicaciones a través de redes o Internet. Sin embargo, las implicaciones de seguridad de estas arquitecturas, en entornos cada vez más complejos de trabajo, hacen que la fortificación de las mismas sea igual de complejo. En esta charla Chema Alonso mostrará algunas de las técnicas de ataque más comunes que pueden ser utilizadas en estos entornos.

BIO: Chema es Ingeniero de Informática por la Universidad Rey Juan Carlos. En los últimos años ha trabajado para Informática 64, centrando su atención en distintos aspectos de la seguridad como puedan ser implantaciones, auditorias, formación y técnicas de hacking ético, sobre todo aplicadas a la web.

[Hackeando el mundo 4.0]
Ángel Prado (Senior Product Security Engineer at Salesforce.com)

En esta trepidante y cuarta version de Hackeando el mundo, veremos con ejemplos prácticos y hacking en tiempo real, interesantes y nuevas vulnerabilidades que el mundo 2.0 nos ofrece: Cloud computing, HTML5, IPv6... Un nuevo mundo de posibilidades que por supuesto traen consigo un lado oscuro que trataremos de explorar minuciosamente.

BIO: Estudió en la universidad de Comillas hasta cuarto, luego se trasladó a la universidad de Illinois (Chicago). Poco después pasó a formar parte del gremio de Microsoft, donde trabajo durante unos años. Actualmente como Ingeniero de Seguridad en salesforce.com.

[Voip (In)security]
José Luis Verdeguer (System Administrator at ZoonSuite)
Jesús Pérez Rubio (VoIP Engineer at Quobis)

Tras una breve introducción a la VoIP, veremos los ataques y contramedidas existentes desde dos puntos de vista diferentes: instalaciones locales en empresas y operadores de VoIP. Mostraremos también cómo localizar y atacar tanto a servidores SIP, como a dispositivos y otros servicios involucrados. Para ello, realizaremos un estudio de las herramientas más conocidas, incluyendo algún módulo propio para Metasploit.

BIO: José Luis Verdeguer,Ingeniero Técnico de Sistemas Informáticos, Master en Desarrollo de Aplicaciones y Servicios Web. Jesús Pérez Rubio, estudia Ingeniería Informática en la FIC y, tras más de un año como consultor de sistemas, acaba de incorporarse como Ingeniero VoIP en Quobis.

[El dilema del erizo, una visión alternativa]
Alberto Partida (Information Security professional)

El ser humano es un ser social. Los profesionales de la seguridad son seres humanos. Entonces, los profesionales de la seguridad son seres sociales que, generalmente, desarrollan su pasion, o su trabajo, dentro de un equipo, dentro de una organizacion o para varias organizaciones clientes. Realmente el exito del equipo de seguridad en sistemas de la información va a depender mas de la sintonia que tenga con el negocio y de la armonia que reine entre sus miembros, que de los "plugin para OllyDBG" mas recientes, que ciertamente tambien son importantes. Este presentacion presenta un metodo, unos indicadores, unos filtros logicos y unos modelos de gestion personal y profesional que pueden ayudarnos a que el equipo de seguridad logica encuentre la armonia con la empresa. Propone acciones sencillas, pero potentes, para crear y crecer un grupo apasionado de profesionales, curiosamente, con perfiles técnicos y no tan técnicos. Los asistentes a esta conferencia podran aplicar muchas de las propuestas desde el primer dia de regreso a su puesto de trabajo.

BIO: Es un apasionado profesional de la seguridad de la informacion, con experiencia en seguridad operativa y gestion de riesgos tanto en la empresa privada como en instituciones supranacionales. Es autor del libro "it securiteers", de una columna en la revista de seguridad SIC y del blog securityandrisk en blogspot.com.

[Malware in Android]
Sebastián Guerrero (Crimeware Researcher en MalwareInt)

Introducción a la seguridad en dispositivos móviles Android dónde se analizará y se mostrará paso a paso cómo realizar el Reversing de un malware. Se explicarán las actuales medidas de seguridad aplicadas a nuestros datos y se enseñará cómo realizar un forense y obtener toda la información de un dispositivo Android. Por último se verá qué protecciones implementa Google en sus aplicaciones y cómo eludirlas. El objetivo de la charla es fomentar el interés en empresas e investigadores independientes por introducirse de lleno en la plataforma Android, pero también concienciar al usuario de cómo esta plataforma expone sus datos de carácter privado en la red.

BIO: Ingeniero Informático por la Universidad de Cádiz. Investigador independiente, participa como Malware Researcher con Malware Intelligence, donde realizar tareas de ingeniería inversa a los últimos exploit kits y malwares. Miembro activo del grupo de seguridad PainSec donde ha participado en CTFS como DefCON, ruCTF o Codegate, colabora asiduamente con artículos sobre seguridad en Android con Security By Default.

[Spaniards: Yes, we can!]
Diego Ferreiro (Software Engineer at Yahoo!)

Dejaremos de un lado lo técnico para dar una charla motivacional: Google, Yahoo!, Amazon, Microsoft, Apple... Son algunos de los ejemplos de empresas punteras, a menudo consideradas inalcanzables de cara al mundo laboral. Miles de ingenieros trabajan para estas compañias, Son TODOS eminencias técnicas y auténticas máquinas de programar? Nada más lejos de la realidad! En esta charla el ponente nos hablará de experiencias personales, aspectos clave y sobre todo, cuales son las posibilidades reales y aptitudes necesarias para poder llegar a trabajar en estas empresas.

BIO: Originario de Galicia, cursó sus estudios de ingeniería informática entre los años 2005 y 2010. En ese periodo realizó diversos cursos y se especializó en el diseño de programas webs y aplicaciones para empresas. Estudió un Master en Network & Security en la prestigiosa Universidad de Lovaina (Bélgica). Pese a su corta edad ya ha impartido numerosas charlas y talleres sobre seguridad. Actualmente trabaja en Yahoo! como Software Engineering y es Presidente del grupo de seguridad de la información de A Coruña (GSIC).

[Controlando al maquinista. Forensics en entornos Virtualizados.]
Pedro Sánchez (Information Security And Forensics Consultant at BitDefender & Google Inc.)

¿Te han robado tu CPD y tienen acceso a tus sistemas Scada?, en este caso veremos como se resolvió una apasionante intrusión en un entorno virtualizado y sus consecuencias, así como la investigación y obtención de pruebas para el análisis.

BIO: Ha trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. Ha implantado normas ISO 27001, CMMI (nivel 5) y diversas metodologías de seguridad. También colaboro sobre seguridad y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guadia Civil y la Brigada de Investigación Tecnológica de la policia nacional. Actualmente soy miembro de la Spanish Honeynet Project y trabajo como Information Security and Forensics Consultant para dos grandes compañías como Bitdefender y Google inc

[Infecciones web: [SQL|FTP|Cache] Injection.]
David Barroso (Senior Security expert at Telefónica)

Existen muchos métodos de infectar una web y comentaremos los más habituales, aunque nos centraremos en un método nuevo que hasta ahora no se ha visto 'in-the-wild': cache injection. Además, revisaremos el ciclo completo de infección y veremos ejemplos en tiempo real de cómo funcionan estas infecciones y de lo que podría suponer la infección de una cache.

BIO: No disponible

[Web mashups, widgets y addons. El futuro de Internet es inseguro por naturaleza.]
Caridy Patiño (Senior Front End Engineer at Yahoo!)

La era de los mashups está aquí, todos quieren integrar vuestros sitios a las redes sociales y otros servicios, queriendo capitalizar con el tráfico que esas redes pueden generar. A su vez, las grandes compañias están tratando de capitalizar con vuestro tráfico y vuestros usuarios, y para hacerlo proveen widgets y addons que son muy fáciles de usar para expandir las capacidades de cualquier sitio y conectarlos a estas redes. Por otra parte, los desarrolladores no quieren re-inventar la rueda, y para ello se apoyan en código y librerías creadas por terceros que facilitan esta integración, y de esta manera que quedamos al descubierto. Hay dos aristas de este problema: La primera tiene que ver con los desarrolladores de addons y widgets, y como hacerlo sin perturbar o comprometer la seguridad de esas paginas que van a utilizarlos. Y la segunda tiene que ver con aquellos que usan esos widgets y addons y como los usan. En esta presentación queremos cubrir parte de la lógica básica para los mashups, y discutir alguna de las practicas más comunes.

BIO: No disponible.

[Tecnologías de seguridad en Switches]
Francisco Novoa (FIC Teacher & Cisco Network Instructor)
Miguel Valencia (Cisco Network Instructor)

En esta charla se intentará mostrar cuales son los riesgos más habituales que existen en las redes de área local debido a las vulnerabilidades inherentes en la funcionalidad de IP y Ethernet, que normalmente pasan desaperecibidos. Se hará una demostración de los ataques típicos y se verá el efecto en un conjunto de dispositivos sin la configuración adecuada. Finalmente se mostrarán cuáles son las contramedidas que ayudan a prevenir este tipo de ataques, proporcionando una recomendación de configuración de seguridad en switches. La demostración se llevará a cabo con equipos Cisco Catalyst 2960 y 3560, para ilustrar las ideas que se vayan desarrollando.

BIO: Miguel Valencia es instructor de Grupo Academia Postal dentro del programa Cisco Networking Academy, con una dilatada experiencia en formación en tecnología Cisco y posee múltiples certificaciones en este ámbito como CCNA, CCDA, CCNP o LPIC. Francisco Javier Novoa es Doctor en Informática, profesor del Departamento TIC de la UDC desde el año 2007 e instructor del programa Cisco Networking Academy en Grupo Academia Postal desde el año 2000.