DockerScan.- A Docker analysis & hacking tools

Desde que se anunció la RootedCON 2017 tengo ganas de ver los vídeos, así que estoy a la que salto con cualquier novedad que sale de este congreso. Hoy me he encontrado con las Slides de la charla Docker might not be your friend. Trojanizing Docker images de [Daniel Garcia (cr0hn)] la cual podéis ver en el siguiente enlace y la cual os recomiendo leer/ver antes de pasar al siguiente punto. 

• https://www.slideshare.net/cr0hn/rootedcon-2017-docker-might-not-be-your-friend-trojanizing-docker-images/1

Docker ha venido para quedarse y para ser trasteada por los expertos de seguridad, Daniel ha sabido como hacerlo y ha liberado la herramienta DorckerScan. Una tool que nos permite analizar, trastea e incluso extraer información de imágenes Dorcker tal como se nos muestra en su vídeo: 

La verdad es que tengo muchísimas ganas de ver la ponencia entera ya que con estas Slides y la herramienta ha despertado mi curiosidad respecto a Docker. Si, ya os dejo el enlace a la herramienta: 

• https://github.com/cr0hn/dockerscan

Sed Buenos ;) 

Mas Videos.- RootedCON 2016

Siento que desde hace unos días no os recomiende nada mas que vídeo pero estos son obligatorios. De la RootedCON ya lo hemos explicado todo, pero con deciros que es uno de los mejores congresos sobre seguridad informática de España ya lo hemos dicho todo. 

Así que aquí tenéis los vídeos de las ponencias del congreso. Os recomiendo coger libreta y un buen boli, porque se ha de aprender de todos estos genios y es un reciclage excelente.

• RootedPanel - Emprendimiento para Startups de Ciberseguridad
• Pedro Cabrera - All your bebop drones still belong to us: drone hijacking
• Matias Katz - Hardware Backdooring X11 with much class and no privileges
• Juan Garrido - Attack is old. Defense is Cooler
• Laura Garci­a & Ricardo J. - A Journey through iOS Malware Landscape
• Andrés Tarasco - Tracking satellite TV piracy
• RootedPanel - Ciberseguridad ofensiva civil
• Rafa Sánchez y Fran J. Gómez - Escaneando Internet en IPv6...
• Jorge Hurtado - Estupidez de las amenazas en la época ...
• Jonathan Shimonovich - CERTIFI-GATE: Has your Android device been Pwned?
• Alfonso Muñoz - Cryptography with brainwaves for fun and... profit?
• Abel Valero - Windows BootKits: Como analizar malware persistente en MBR/VBR

Más info y fuente a parte de la lista de la Rooted:

• https://www.rootedcon.com/noticias/primeros-videos-publicados-de-rootedcon-2016

Muchas gracias a Omar Benbouazza de la Rooted por compartir los vídeos en la lista. 

Sed Buenos ;) 

Video.- How I met your eWallet

Hoy buscando por youtube si ya habían colgado las ponencias de la rootedcon 2016 me he topado con uno de los vídeos de la rooted de 2015 donde Yaiza Rubio y Felix Brezo dan un repaso a bastantes vectores de ataques a todos los tipos de eWallet o "carteras" de Bitcoin. Además cuenta con Slides y vídeo así que no nos podemos quejar.

Slides: 

Vídeo:

La verdad es que es muy didáctica y como dicen Yaiza y Félix ahora y cadavez mas, los bancos le están haciendo ojitos a las criptomonedas así que en un futuro se va a necesitar darle una vuelta de tuerca a la seguridad de estos sistemas de almacenamiento.

Por cierto, si os picaba la curisidad por saber si la Rooted habia subido ya los vídeos. Os he de decir que si, pero un los mantienen en privado así que no los podremos ver hasta que los "liberen".

Sed Buenos ;)

Call For Papers - RootedCON 2016

Hoy el congreso RootedCON abre las puestas a todo aquel que quiera enviar sus propuestas de ponencias para la edición del 2016. Así que ya sabéis si tenéis algún tema que os gustaría exponer y estáis cerca de Madrid os recomiendo enviar vuestras propuestas a este congreso. 

Comienza el proceso de solicitud de ponencias (Call For Papers) para Rooted CON 2016. Al igual que en anteriores ediciones, es posible registrar una o varias ponencias a travées del formulario.

Este año como principal novedad, cambiamos de localización, y el congreso se celebra enSala 25 de los cines KINEPOLIS de Ciudad de La Imagen en Madrid.

 Aquí tenéis el formulario:

• https://www.rootedcon.com/cfp/cfp2016-es/

Sed Buenos ;) 

Slides.- RootedCON Satellite Valencia 2015

Como no iba a ser de otra manera la RootedCON Valencia no podía defraudarnos y dejarnos sin las slides que tanto pedimos los que no podemos ir a tantas "CONes" como nos gustaría. Así que ayer por la noche me encontré con la genial sorpresa de que ya estaban colgadas. ¡disfrutad!

Enlaces a las slides:

• Dorking, Pentesting & Hacking con Android Apps (Chema Alonso):
• http://www.slideshare.net/rootedcon/chema-alonso-dorking-pentesting-hacking-con-android-apps-rootedvlc2
• Atacando 3G Vol. 2 (José Pico y David Pérez); 
• http://www.slideshare.net/rootedcon/layakk-atacando-3g-vol-2-rootedvlc2
• Usando computación paralela GPU en malware y herramientas de hacking (Jose M. Mejia): 
• http://www.slideshare.net/rootedcon/jose-m-mejia-usando-computacin-paralela-gpu-en-malware-y-herramientas-de-hacking-rootedvlc2
• Botnets y troyanos: los artículos 197 y 264 CP llevados a la práctica (Jorge Bermúdez):
• http://www.slideshare.net/rootedcon/jorge-bermdez-botnets-y-troyanos-los-artculos-197-y-264-cp-llevados-a-la-prctica-rootedvlc2
• Una panorámica sobre la seguridad en entornos web (Javier Saez): 
• http://www.slideshare.net/rootedcon/javier-saez-una-panormica-sobre-la-seguridad-en-entornos-web-rootedvlc2

Más información sobre esta CON o sobre los ponentes de cada una de las carlas en la fuente:

• https://www.rootedcon.com/rootedsat2.php

Sed Buenos ;) 

Video.- Rooted CON 2014

Se que hace días que salieron pero es que ayer me quede hasta tarde viéndolos y pensé que a vosotros también os podrían gustar. Que ayer era tarde y fiesta por aquí. Así que, espero que os gusten y que aprendáis mucho.

Esta es solo la primera entrada del día ya que ayer no la hice xD

Sed Buenos ;)

Rooted Warfare.- ¡Al Arsenal Muchachos!

La RootedCon es uno de los temas que mas trato en este blog, aunque solo han sido entradas referentes al congreso en si y nunca (creo recordar) a las facetas paralelas como ahora la Rooted Warfare. Este nuevo proyecto de se trata de un arsenal propiamente hecho de herramientas de la Rooted con el mayor deseo de promocionar lo que se hace aquí en nuestro país que no es poco.

"Las premisas que mantendrán el evento serán:

– Principio de neutralidad: En Rooted Warfare pueden y podrán hablar y presentar sus ideas los miembros de la comunidad de seguridad, estudiantes, profesionales, empresas, aficionados, fuerzas del estado, hackers y, por qué no, artistas y académicos.

– Herramientas No Comerciales: Sólo serán aceptadas herramientas accesibles para los asistentes y de carácter no comercial.

– Sin Censura. Mientras se ciñan a los límites de la legalidad, los contenidos no serán nunca censurados y se presentarán con la profesionalidad y el rigor necesarios; sabemos que nuestros ponentes son profesionales serios, cuyos contenidos merecen ser tratados con todo el respeto.

– Promover el conocimiento técnico: a través de las diferentes presentaciones que realizarán los creadores de las herramientas."

Para mas información os dejo la pagina oficial: 

• http://www.rootedwarfare.com/

La verdad es que me parece una idea genial, dado que congresos como [BlackHat ya tienen sus propios arsenales] y esta demostrado que funcionan. Así que, estoy desando ver como prosigue este proyecto y espero que sea lo mejor posible. 

Sed Buenos ;) 

RootedCON 2014.- Ya Podemos Comprar Nuestra Entrada

Otro de los temas mas hablados en este blog aparte de la [NocONName] son las noticias que salen del, ya conocido por la comudidad, congreso [RootedCON] o mas cariñosamente apodado La Rooted. La verdad es que como cada año me hubiera gustado acudir o entrar como voluntario, pero dudo poder conseguir el dinero suficiente en el tiempo que se van a agotar las entradas.  Así que, [siempre me quedarán sus videos] de las ponencias. 

"Hoy 13 de Enero iniciamos el proceso de registro de asistentes para Rooted CON 2014, que se celebrará los días 6, 7 y 8 de Marzo en el Centro de Congresos Principe Felipe del Hotel Auditorium de Madrid."

Laa verdad es que son unos precios muy ajustados tanto para estudiantes como para profesionales y ademas tienen [descuento] en hoteles donde yo no me conectaría a la Wiffi del hotel por si acaso. Os dejo la pagina para que os informeis mas y os registréis/inscribáis al congreso. 

• http://www.rootedcon.es/index.php/abrimos-el-registro-de-asistentes-para-rooted-con-2014/

Me encantaría asistir algún día, aunque también tengo pendiente ir a [Navaja Negra]. No se cuando trabaje de esto espero no fallar ningún año a todos los congresos que pueda. 

Sed Buenos ;) 

RootedCON.- Empieza la ‘Call for Papers’ Para 2014

Estamos rodeados de seguridad y es que ayer hablamos del [Congreso Navaja Negra en Albacete] y justamente hoy día 1 de octubre se abre la puerta a todos papers para la famosa RootedCON en Madrid los días 6, 7 y 8 de Marzo.

A parte de que el congreso quiera traer a ponentes internacionales que me parece una idea brillante, los que queráis presentar vuestra ponencia tendréis que adecuaros a estos temas. 

"- Hacking, cracking, phreaking, virii, WiFi, VoIP, GSM...
 - Seguridad en infraestructuras críticas, entornos SCADA...
 - Hardware Hacking, Jtag, SWJ, Dap, ...
 - Hacking de consolas y de videojuegos.
 - Terminales móviles: android, iOS, Windows mobile, Firefox OS...
 - Ingeniería inversa, debugging, hooking, fuzzing, exploiting,...
 - Técnicas y herramientas innovadoras tanto en defensa como en ataque.
 - APT, botnets y malware.
 - (In)seguridad "en la nube", seguridad en entornos virtuales,...
 - Criptografía, esteganografía, canales subliminales,...
 - Forense y antiforense.
 - Comunicaciones, capa2 y capa3,...
 - Charlas (muy) originales que gusten al tipo de público que tenemos...
 - CHARLAS MUY ORIGINALES, como monólogos, espectáculos..."

Se que es una tonteria que os lo copie y os lo pegue directamente de la web que os voy a poner mas abajo. Pero es que los dos últimos puntos me han encantado. (Espero que este año alguien traiga pirotecnia por favor xD) 

Sin alargarme mas os dejo el enlace para que decidáis si teneis ganas de presentar algo o no.

• http://www.rootedcon.es/index.php/abierto-el-proceso-de-solicitud-de-ponencias-para-rooted-con-2014/

Sed Buenos ;) 

RootedCON 2013.- Presentaciones

Os he hablado asta la saciedad de todo lo bueno que podrías encontraros en la [RootedCON] y hemos visto casi todos sus vídeos del año 2011 y 2012 que tienen [colgados en Vimeo]  (A ver cuando colgamos los de este año. guiño guiño patada patada) Hoy y gracias al blog de [CyberHades] por hacer eco de la noticia, os traigo las presentaciones que se utilizaron en cada una de las charlas del congreso. Si, muchísima información de calidad para empezar a devorar. 

Seguramente que algunos locos como ya ya habréis intentado rebuscar en los blog de los ponentes para sacar algunas de estas Slides con comentarios del autor y todo bonito. Pero, ahora las podemos tener todas y en una sola cuenta de SlideShare, lo cual nos hace mucho mas fácil la lectura. No me enrollo mas,  os dejo la dirección y para los que no sabéis de que va el congreso os invito a hacer clic en todos los enlaces.

http://www.rootedcon.es/index.php/presentaciones-de-rooted-con-2013-disponibles/

Ingenieria Social.- Ser Majo Puede Tener Ventajas

Muchas veces he hecho la típica broma de: "para que voy a pensar en traspasar o bypassear un Firewall si te puedes camelar a la secretaria para que te de acceso" y si, chicos este noble arte del birlibirloque también esta considerada como una herramienta Hacker. Es mas el famoso Hacker [Kevin Mitnick] se dedica a la consultoría sobre seguridad informática desde el prisma de la ingeniería social.

véase aquí mi broma hecha esquema xD

La definición que da la Wikipedia sobre la ingeniería social enfocada al tema me parece muy buena, pero soberanamente tocha como para mencionarla en este blog. Así que, prefiero exponeros la versión de HackStory (la pagina que me dio la oportunidad de entrar en el mundo de la seguridad informática  por el gran trabajo que hicieron con este articulo. Merece mucho la pena. 

"Con el término se define el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros."

 El articulo en cuestión --> http://hackstory.net/Ingenier%C3%ADa_social 

Hasta en la [Rooted Con] del 2012 [Pedro Sanchez] hizo una ponencia muy buena sobre un caso en un hospital que se las vieron y se las desearos para sacar el trabajo adelante y al final gracias a la Ingenieria Social consiguieron dar con la clave. Os dejo el vídeo para que lo veáis con tranquilidad.

La verdad es que a muchos nos gusta cooperar y ser las mejores personas posibles delante de desconocidos así que Kevin Mitnick detallados los 4 puntos mas importantes para detectar este tipo de "ataque":

1. Todos queremos ayudar.
2. El primer movimiento siempre de confianza hacia el otro.
3. No nos gusta decir No.
4. A todos nos gusta que nos alaben.

Rooted Con.- Videos Rooted 2012 ¿Alguien Necesita Un Becario?

Hace ya tiempo que [hablamos] del congreso sobre seguridad informática los días 7, 8 y 9 de Marzo en Madrid. La verdad es que tenia muchísimas ganas de ir pero tal como está la economía últimamente es pero ahorrar y trabajar un poco mas para poder ir el siguiente.  (a no ser que alguien necesite algún "lleva-cafes"/becario. Guiño Guiño Patada Patada) 

Por suerte el equipo de la Rooted ha dejado todos sus ponencias gravadas en buena calidad para que al menos podamos ver el gran nivel que hay en cada uno de los ponentes del congreso. Os dejo la dirección y espero que los disfrutéis igual que yo hice en su día. 

http://vimeo.com/album/1943305

Congreso Rooted CON

"Rooted CON nació con el propósito de promover el intercambio de conocimiento entre los miembros de la comunidad de seguridad, en particular reivindicando la enorme capacidad de los profesionales hispanoparlantes.

Una de las primeras premisas fue mantener de forma rígida el principio de neutralidad que ha caracterizado cada una de sus ediciones. En Rooted CON pudieron, pueden y podrán hablar y presentar sus ideas los miembros de la comunidad de seguridad, estudiantes, profesionales, empresas, aficionados, fuerzas del estado, hackers y, por qué no, artistas y académicos.

Otra de las premisas es evitar la censura. Mientras se ciñan a los límites de la legalidad, los contenidos no serán nunca censurados y se presentarán con la  profesionalidad y el rigor necesarios; sabemos que nuestros ponentes son profesionales serios, cuyos contenidos merecen ser tratados con todo el respeto.

Y, por supuesto, dos premisas que en realidad son una misma: promover el conocimiento técnico y asegurarnos de que, en todo momento, haya diversión y se disfrute en un ambiente de animación e intercambio"

La verdad es que me parece una oportunidad de oro para a todos aquellos a los que nos gusta este mundo. Son 3 días enteros relacionados con todo este bello arte por este precio: 

No me parece para nada mal precio para 3 días de charlas sobre seguridad informática. Ademas el descuento a estudiantes esta genial. Ojalá el año que viene tenga los recursos necesarios para poder estar en este congreso.  Pero de momento iré ahorrando para la [No cON Name] de Barcelona. Pero para los que queráis registraros a la lista de espera (si, lista de espera xDD han sido muy rápidos) os dejo el link para que os registréis para el congreso. 

https://www.rootedcon.es/reg2013