OWASP Latam Tour 2017 – Capítulo Manizales
Mar14

OWASP Latam Tour 2017 – Capítulo Manizales

El Capítulo OWASP Manizales se complace en anunciar que inicia actividades participando del OWASP Latam Tour de 2017 este lunes 3 de Abril. Si no estás familiariz@ con el OWASP Latam Tour, es una gira por Latino América organizada por OWASP (Open Web Application Security Project) que pretende promover la seguridad de aplicaciones móviles y web en universidades, organismos gubernamentales, empresas de TI, entidades financieras y el público en general. Este proyecto lleva ya algunos años realizándose en nuestro continente con mucho éxito y pone a disposición de los interesados en temas de seguridad informática, charlas de gran nivel y totalmente gratuitas con muchos de los profesionales de seguridad más reconocidos de la región. Ya está confirmada nuestra programación, te esperamos este Lunes 3 de Abril desde las 9:00 AM en La Universidad de Manizales, auditorio 323. 9:00 am – 10:00 am Jaime Restrepo (Manizales) – Introducción al capítulo OWASP Manizales 10:00 am – 11:00 am Santiago Bernal (Pereira) – Sorpresas de la seguridad informática 11:00 am – 11:30 am Break 11:30 am – 12:30 pm Jose Pino (Neiva) – QEA: Quorum Encrypted Advanced 12:30 pm – 2:00 pm Almuerzo Libre 2:00 pm – 3:00 pm Diego Gonzales (Manizales) – Seguridad en redes Smartgrid 3:00 pm – 4:00 pm Jacobo Tibaquira (Manizales) – Nsearch, lo que le faltaba a nmap 4:00 pm – 4:30 pm Break 4:30 pm – 5:30 pm Juan Castro (Barranquilla) – Hackeando APIs REST 5:30 pm – 6:30 pm John Vargas (Lima, Perú) – Web Application Security Testing the OWASP Style Registrate para participar del evento pre-inscribete en este enlace, tenemos un cupo limitado para 100 personas y no querrás perderte este excelente evento...

Leer Más
Curso Gratuito ONLINE, de Introducción a Metasploit
Mar08

Curso Gratuito ONLINE, de Introducción a Metasploit

Como lo prometimos en la introducción a pentesting, iniciaremos una serie de webinarios gratuitos online, de diferentes herramientas muy usadas por los profesionales de la seguridad informática.   En esta oportunidad te invitamos al webinario que tendremos el próximo martes 7 de marzo 8 de Marzo a las 7:30 hora Colombia (GMT -5) 2017 de Introducción a Metasploit, en el podremos ver desde cómo está compuesto el framework, conceptos fundamentales para el uso adecuado de la herramienta, demostraciones de los diferentes usos que le podemos dar más allá del típico lanzamiento de exploits. Si te perdiste la transmisión en vivo ya esta disponible la grabación: Si te ha gustado lo que compartimos gratis contigo, no te alcanzas a imaginar lo que tenemos preparado para ti en nuestro Diplomado de Seguridad Informática Ofensiva....

Leer Más
Auditando la seguridad de los juguetes inteligentes
Mar02

Auditando la seguridad de los juguetes inteligentes

Cómo algunos podrán saber, hace ya 2 años soy padre de una hermosa niña, una de las causantes (junto con la creación de la empresa) que cada vez escriba menos en el blog, pero una gran alegría en mi vida, que a su vez hace que me fije en cosas a las que no les ponía tanto cuidado antes de su nacimiento, como a la seguridad de los monitores de bebés (antes de comprar uno) o de los juguetes interactivos, de lo que les quiero hablar hoy. Todo empieza cuando estábamos de vacaciones y decidí entrar a una juguetería con mi esposa y mi hija, estábamos viendo los productos, cuando pasó lo inevitable… la pequeña se enamoró de una muñeca; A simple vista la muñeca parecía normal, me puse a mirar la caja para cuestionarme la compra y me llamó la atención una etiqueta que decía, “I’ll call you, Just download the APP” algo así como “Te llamaré, Solo descarga la APP”, la muñeca era la Gabby Chatsters Interactive Doll y en ese momento no se la compramos porque era para niñas de más de 5 años y sus frases estaban todas en inglés, pero tomé nota de la aplicación para examinarla después. Cuando empezaron a salir las noticias por todos lados (hasta medios nacionales se hicieron eco) sobre los juguetes que ponían en riesgo la privacidad de los niños, recordé la muñeca y busqué la aplicación (para iOS y Android), la bajé y empecé a analizarla de forma estática (basado en el código fuente) y dinámica (analizando la aplicación en ejecución), aunque la aplicación solicitaba una gran cantidad de permisos en el teléfono (cámara, internet, micrófono, alarmas, entre otros) solo revisando el código fuente y detallando el anuncio del juguete me di cuenta de su verdadero funcionamiento. Lo primero que me pareció raro es que pedía permisos de Internet, pero no hacia conexiones a servidores propios, lo que me causo curiosidad, me puse a revisar un poco más y me di cuenta que el permiso de Internet se usaba para el modulo de publicidad (admob) y de estadísticas del framework de desarrollo (unity), lo que me generó la pregunta ¿qué hacen con los datos recolectados por estos sistemas?, encontraría la respuesta literalmente en la palma de mi mano, presionando el botón “privacy policy” de la misma aplicación, donde a grandes rasgos nos dicen que van a recolectar información de nuestros hijos de diferentes formas, la podrán compartir con terceros dentro y fuera de los estados unidos y que podrán cambiar las políticas de privacidad cuando les dé la gana quieran. Luego de ver que el Internet se usaba...

Leer Más
Call for Papers abierto para el DragonJAR Security Conference 2017
Feb16

Call for Papers abierto para el DragonJAR Security Conference 2017

DragonJAR Security Conference, es la conferencia de seguridad informática que nace de La Comunidad DragonJAR y en los últimos años ha sabido ganarse un espacio en Latinoamérica como uno de los mejores eventos de seguridad informática, HOY queremos anunciar el lanzamiento de nuestro Call for Papers para la 4ta edición del evento que se realizará el 16 y 17 de Septiembre en la Ciudad de Bogotá, Colombia. Si eres investigador/a en seguridad y quieres mostrar tu trabajo ante una gran audiencia, el DragonJAR Security Conference es la plataforma que necesitabas para hacerlo. Para enviar tu paper al DragonJAR Security Conference necesitas: Pre-inscribirse en el sitio general de inscripción (Cumpliendo todos los requisitos expuestos en él) Plazo Máximo para recepción de conferencias: 8 de Mayo de 2017 Fecha en la que anunciamos los papers aceptados 12 de Mayo de 2017 EL correo de contacto académico al cual enviara sus dudas es [email protected] Cualquier inquietud igualmente no dude en contactarnos. En caso que su ponencia sea aceptada el comité académico se pondrá en contacto con Usted y le indicara los pasos a seguir, puede existir un grupo de conferencias que al no ser seleccionadas pueden pasar a ser pre-seleccionadas, dado el caso que algunas de las ponencias seleccionadas presenten algún inconveniente un mes antes del evento estas tomaran el lugar. Animamos a la comunidad de la Seguridad Informática a enviar sus valiosos aportes y participar en el DragonJAR Security Conference, el Evento Internacional más importante del...

Leer Más
DEFT (Digital Evidence & Forensic Toolkit)
Feb14

DEFT (Digital Evidence & Forensic Toolkit)

DEFT (Digital Evidence & Forensic Toolkit) es una distribución Live CD (booteable desde el CD) basada en Lubuntu, muy fácil de usar, con un grandísimo listado de herramientas forenses y con una excelente detección del hardware. DEFT es una de las distribuciones de análisis forense que más han avanzado en estos últimos años (personalmente me parece muy superior a CAINE), no solo han añadido una gran cantidad de herramientas forenses a su lista, sino que se han sabido adaptarse a su entorno y emular las características de otras distribuciones similares CAINE de donde se han inspirados para sacar el DART. DEFT (Digital Evidence & Forensic Toolkit) está dividida en dos, su entorno y herramientas booteables que recogen lo mejor del software libre para el análisis forense y DART, una recopilación de herramientas para el análisis y la extracción de evidencia en entornos Windows, bastante organizadas y totalmente portables.   En DEFT podemos extraer evidencia de todo tipo de equipos de cómputo, ya que soporta tanto UEFI como Secure Boot, también tiene un modo tipo texto que permite correrlo en equipos con pocos recursos, pero también incluye un modo de carga total en la RAM para poder usar la unidad de DVD del equipo. Al ser un proyecto pensado inicialmente para enseñar análisis forense en la Universidad di Bologna, DEFT esta muy bien documentado, el único problema de esta documentación es que está totalmente en italiano, pero con muchas gráficas y fácilmente entendible (DEFT Zero – Quick Guide [ENG] – IT – manuale completo – IT – manuale senza le appendici) Si te dedicas al analisis forense digital, DEFT es esa distribucion Live CD que no puede faltar en tu caja de herramientas.. Descargar la última versión de DEFT Más Información: Pagina oficial de DEFT (Digital Evidence & Forensic...

Leer Más
Metasploitable 3, Instalación en GNU/Linux, Windows y Mac OS
Ene31

Metasploitable 3, Instalación en GNU/Linux, Windows y Mac OS

Metasploitable es un proyecto patrocinado por rapid7 (encargados de mantener el Metasploit) y que nace de la necesidad de tener un equipo vulnerable en un entorno controlado con el cual realizar pruebas de seguridad, a lo largo de los años metasploitable ha tenido diferentes versiones, (Metasploitable 1, Metasploitable 2) y hace unos meses salió la versión 3 de Metasploitable que es la que nos interesa puntualmente en esta entrada. Metasploitable en sus primeras versiones se caracterizaba por ser una distribución GNU/Linux especialmente modificada para ser vulnerable por defecto, el problema es que no siempre en los entornos reales vamos a encontrar solo GNU/Linux, la mayoría de las redes empresariales se basan en sistemas Microsoft, por este motivo Metasploitable 3 toma como base Microsoft Windows Server 2008 R2, pero por cuestiones de licenciamiento no nos pueden proporcionar una maquina ya lista, sino que debemos generar nosotros esta máquina siguiendo los pasos que comentamos a continuación: En el video se genera el metasploitable 3 desde Mac OS X ya que los pasos son muy similares al proceso de instalación en entornos GNU/Linux y se añade dentro del video los pasos adicionales que son puntualmente para Windows, logrando explicar en un solo video como generar el Metasploitable en los 3 sistemas operativos de escritorio más populares. Los enlaces del video son: Packer: https://www.packer.io/docs/installation.html Vagrant: https://www.vagrantup.com/ VirtualBox: https://www.virtualbox.org/wiki/Downloads Metasploitable3: https://github.com/rapid7/metasploitable3 Curso Anual Gratuito Metasploit Esperamos que te guste esta pequeña guía, generes tu metasploitable 3 y pongas en práctica tus conocimientos en un entorno controlado, si quieres sacarle el máximo jugo a esta nueva versión de metasploitable no te pierdas nuestro webinario anual gratuito sobre metasploit haciendo click...

Leer Más