Ponente: Marc Rivero (@seifreed), Security Researcher en Barcelona Digital.
El objetivo principal de la charla pretende es exponer de
manera histórica el cambio de tácticas (no solamente a nivel de código
malicioso, sino de recursos, técnicas e infraestructuras) que han sido
desarrolladas tanto por medios de pago por Internet, como por los
cibercriminales. Se hará especial hincapié a las medidas de seguridad adoptadas
durante los últimos años en el sector de la banca electrónica y las técnicas
empleadas por los delincuentes para conseguir saltárselas (con ayuda de los
usuarios legítimos). Desde la autenticación simple basada en usuario y
contraseña, las tarjetas de coordenadas, los teclados virtuales, hasta los
sistemas que autentican al usuario mediante el uso de smart‐cards. Del mismo
modo, se expondrá la capacidad del código malicioso actual para conseguir, ya
no solamente la información de cuentas bancarias, sino del contexto en el que
se ejecutan (sandbox laboratorios de malware con el fin de recopilar información
que pueda ser convertida en inteligencia que servirá para
optimizar las tácticas empleadas)
optimizar las tácticas empleadas)
Los ataques XSS siguen en auge hoy en día. Si piensas que tu
web está segura, vuelve a repasarlo porque quizá sea vulnerable a los ataques
XSS. Cross Site Scripting se basa en inyectar código malicioso en un sitio
vulnerable y permitir ejecutar ese código. Si te llama la atención, estate
atento a la chala porque veremos un acercamiento a un tema de moda como son los
ataques XSS.
Ponente: Ricardo Martín (@ricardo090489), Programador en Telefónica Digital (11 Paths)
En esta charla se hablará de cómo aprovechar el autofill de
Chrome para obtener información sensible como pueden ser números de cuenta
bancaria y otros datos privados, ayudándonos de capas y propiedades que no han
tenido en cuenta los de Chrome para ocultar los campos que se auto rellenarán
con esta información tan valiosa para un atacante, consiguiendo de esta forma
auto rellenarlos sin que la víctima se dé cuenta de ello.
Ponente: Pablo Gonzalez (@pablogonzalezpe), Project Manager en Telefónica Digital (11 Paths)
Flu-AD es un troyano creado para los cuerpos policiales de
distintos países. Hoy en día los países debaten si sus cuerpos policiales
podrán utilizar este tipo de herramientas en la lucha contra la pedofilia en
Internet. La inyección de funcionalidades en ejecución mediante shellcodes
proporciona una vía para llegar a un engranaje optimizado en pocos KB de
herramienta. Por ejemplo, integración entre Flu-AD y Metasploit Framework.
