Categoría : Eventos de Seguridad

Inicio/Archivo por Categoría Eventos de Seguridad (Page 2)

Te Esperamos en el CELAES 2015

Este 15 y 16 de Octubre, Ethical Hacking Consultores participará como Sponsor en el CELAES 2015, donde estaremos haciendo algunas demostraciones en vivo en materia de ciber ataques a canales alternos y cajeros ATM junto con las recomendaciones y soluciones de seguridad necesarias para protegerse de los mismos.

Te invitamos a que nos visites en el Stand No. 58, recojas tu souvenir y te diviertas con nosotros aprendiendo temas nuevos en Seguridad Informática aplicada a la Banca y Entidades Financieras.

A demás estaremos entregando información detallada de todos nuestros servicios, brochures, cartera de clientes con los que trabajamos actualmente, los proyectos innovadores que estamos desarrollando y algunos obsequios geeks.

Flyer CELAES - EHC (1)

 

No olvides recoger tu souvenier en nuestro Stand N° 58.

 

Si desees agendar una reunión con nosotros durante tu estadía en el CELAES 2015, puedes contactarnos a través de los siguientes medios:

www.ehacking.com.bo | info@ehacking.com.bo | T. +507 297-4019 | M. +507 6983-6454

Nos encontramos ubicados en el Edificio Tower Bank Financial Center, Piso 35, Ofc. 26, Calle 50, Ciudad de Panamá, Panamá.

TE ESPERAMOS.

Invertiremos 20.000 $us en patrocinios hasta febrero de 2016

Como parte de nuestra política de branding y expansión a nivel internacional, la empresa ha decidido empezar con una pequeña inversión de 20.000 $us para patrocinar diferentes eventos de seguridad de acá a febrero del 2016 en los que veamos como potencial la difusión de nuestra marca y las oportunidades de clientes potenciales al poder tener presencia como firma de Seguridad Informática.

Debido a que hoy en día vivimos en un mundo globalizado donde las fronteras van desapareciendo y la competencia va en crecimiento día a día, es que estamos apostando a esta iniciativa, la cual tiene como primer objetivo patrocinar eventos de seguridad informática en toda Latinoamérica y el Caribe hasta febrero del 2016 para hacer una evaluación de las metas cumplidas y oportunidades conseguidas.

Para el 2016, de marzo en adelante, tenemos como objetivo ampliar este presupuesto de patrocinio a 50.000 $us para poder participar como patrocinadores en los eventos mas importantes de Seguridad a nivel internacional, expandiendo nuestros servicios a EEUU, Europa y Asia con quienes ya estamos iniciando algunas negociaciones actualmente.

Nuestros primeros 5.000 $us de patrocinio fueron para el CELAES 2015, uno de los eventos mas grandes a nivel internacional en seguridad bancaria que este año se realizará en Panamá y cuenta con la presencia de mas de 150 bancos internacionales, donde podrás encontrarnos en nuestro stand, para conocer a fondo toda la gama de servicios y productos de seguridad bancaria que ofrecemos. No me extiendo más en esta información porque ya hay otro artículo entero que habla sobre este evento pero los invito a que se informen un poco más en el website del congreso celaes2015.com.

Así que si eres el organizador de algún evento de Seguridad Informática o conoces de alguno que se esté organizando en tu país o ciudad durante estas fechas y creas que sería interesante que participemos como Patrocinador (sponsor), puedes contactarnos fácilmente con un correo a la dirección info@ehacking.com.bo y nuestro equipo se pondrá en contacto contigo.

Que tengas excelente semana.

Hackean sistema de seguimiento de tobilleras de arresto domiciliario

Las tobilleras de seguimiento, que algunos delincuentes se ven obligados a usar después de haber sido sentenciados, han sido hackeadas en una de las conferencias de DefCon, lo que permitiría salir de la casa a un delincuente sin que nadie se percate del hecho.

El investigador de seguridad William “Amm0nRa” Turner demostró como la tobillera, fabricada por la compañía Taiwanesea GWG International, puede ser manipulada después de conseguir una muestra a través del uso de ingeniería social contra la empresa.

Los sistemas de seguimiento más antiguos funcionan sobre líneas telefónicas y utilizan frecuencias de radio de proximidad con la tobillera. Los elementos de GWG utilizan GPS y frecuencias de radio de corto alcance para determinar la ubicación del usuario y una red celular para enviar esa información al sistema central de monitoreo.

Amm0nRa logró eludir la protección colocando la pulsera dentro de una jaula de Faraday, envolviendo la tobillera en papel aluminio (U$S 2), para bloquear la señal real y hacer que la pulsera se conectase a una red rogue, creada por él mismo. Esto le permitió captar el mensaje de advertencia que el dispositivo envía a la policía en caso de que la pulsera se abra. Luego sacó la tarjeta SIM del dispositivo, la puso en su teléfono y envió un mensaje a otro teléfono para averiguar el número asociado a la tarjeta SIM. Con esa información, fue capaz de usar un servicio online SMS Spoofin para enviar un mensaje falso, especialmente diseñado y que informa a la policía que el delincuente está todavía en su casa.

Turner estuvo probando en un dispositivo particular, pero dice que hay muchos que funcionan de manera similar y tienen probablemente la misma vulnerabilidad.

Lamentablemente Amm0nRa no informó de sus hallazgos a la empresa debido a las malas experiencias que tuvo cuando trató de reporte vulnerabilidades en el pasado. Se pueden conocer más detalles sobre su investigación en las diapositivas de su presentación.

Fuente: Segu.Info

Continuar leyendo

Las Presentaciones del Black Hat USA 2015

Ya tenemos disponible la mayoría de las presentaciones de la Black Hat USA 2015.

La lista es la siguiente:

Fuente: Segu-Info

Clonar SIMs utilizando tecnicas de Differential Power Analysis en algoritmos MILENAGE de 3G & 4G

Revisando las charlas de BlackHat USA 2015 apareció una charla que tal vez no ha tenido tanta repercusión en los medios de comunicación como el caso del bug de Stagefright en Android, el control remoto del Jeep Cherokee o la modificación del disparo de un rifle mediante una conexión remota, pero que quizá vaya a tener mucho impacto en el futuro de nuestras vidas. Se trata del trabajo de extracción de datos de la zona segura de las USIM (Universal SIMs) utilizadas hoy en día aprovechándose de la implementación de algoritmos para 3G y 4G, utilizando para ello un side-channel, lo que abre nuevos ataques a sistemas de comunicaciones móviles.

El trabajo, que ha sido titulado “Small Tweaks do Not Help: Differential Power Analysis of MILENAGE Implementations in 3G/4G USIM Cards” lo que hace es extraer de la zona seguridad de la SIM, los datos necesarios para poder clonarla, haciendo un análisis de las diferencias de energía que existen para los diferentes datos de entrada. Esta aproximación es totalmente distinta a los ataques por medio del ataque COMP128: A Birthday Suprise que se han hecho en las antiguas SIM basadas en COMP128.

Tras aumentar el nivel de seguridad de las tarjetas, las nuevas COMP128(v2), COMP128(v3) y COMP128(v4) no habían sido vulnerables a estos ataques que pudieran extraer la Master Key K, y los nuevos valores OPc (Clave de Operador) y los secretos de operación que se agregaron a las USIM. Con este nuevo enfoque, lo que se hace es aprovechar que en 3G y 4G se implementan los algoritmos MILENAGE con AES, para lograr sacar la Clave Maestra K, la Clave de Operador OPC, y las secretos de operación definidos por el operador r1,c1.. r5, c5. El proceso es introducir valores conocidos y medir el side-chanell de energía para reconocer las variaciones.

En el trabajo se explica en detalle cómo basta con un osciloscopio para poder realizar las mediciones de energía y aplicar el estudio DPA haciendo ejecutar sucesivas veces el algoritmo MILENAGE con el objeto de conseguir ir sacando los bits de las claves K, OPc inicialmente.

Fuente: Segu.Info

29 y 30 de Mayo en el Bsides 2015 de Puerto Rico

Este 29 y 30 de mayo del presente tendré la dicha de participar como speaker en el Prestigioso evento de seguridad Bsides 2015 de Puerto Rico, al cual asisto muy entusiasmado porque podré volver a ver amigos del área de seguridad que no veo hace algún tiempo y también tendré la oportunidad de conocer nuevas amistades y geeks de la seguridad informática.

centro-convenciones-puerto-rico

El Bsides se llevará acabo en el Centro de Convenciones “Pedro Roselló”, en San Juan de Puerto Rico los días 29 y 30 de mayo como mencione arriba en horarios de 08:00 am a 18:00 de la tarde, bajo una modalidad muy interesante, ya que el primer día se darán todas las conferencias y el segundo día en el mismo horario, viene acompañado de unos interesantísimos workshops que están por demás recomendados.

Para los que decidan asistir a mi charla, ya que vi que serán varias en simultaneo, les garantizo que nos vamos a divertir bastante analizando los nuevos vectores de ataque y canales alternos que se están desarrollando para atacar a las entidades financieras, redes bancarias y redes de cajeros ATMs, donde vamos a hacer algunas demos “in live” y otras “no live” que llevaré preparadas por el tema del tiempo, así que si eres responsable de la seguridad de algún banco o entidad financiera esta charla es para ti.

Recomendaciones que doy siempre a mis alumnos y amigos que asisten a este tipo de eventos por primera vez, es que no traten de aprender todo en dos días, el conocimiento llega con la práctica combinada con la experiencia. Sean cuidadosos de no conectar sus equipos a redes wifi abiertas y ni siquiera a las que te proveen la contraseña ya que muchos traviesos suelen usar estas redes para divertirse con tu información y tus datos durante el evento.

Aprendan a tomar notas y sobre todo, anotar los correos o datos de contacto de los speakers de su interés ya que la mayoría no podrán contestar todas tus dudas en el momento del evento pero con seguridad lo harán a través de algún medio informático mas adelante (correo, twitter, linkedin, etc.).

Mis agradecimientos desde ya a los organizadores del evento por permitirme ser parte de tan selecto grupo de expositores y tan prestigioso evento:

José L. Quiñones @josequinones
José A. Arroyo @talktoanit
Johana Martínez @JohanaMRPhD
Ricardo Robles @rickyreys

Nos vemos en Puerto Rico en unos días más, para compartir, divertirnos y aprender en comunidad.

Yo estaré desde el domingo 24 en San Juan llevando unos temas del trabajo pero si desean conversar o realizar preguntas previas al evento mi twitter es @aandradex.

Website del evento: Bsides Puerto Rico

Lista de Speakers: Biografías Resumen

Cronograma: Horario de las conferencias

BioHacking – Se implantó un chip NFC en la mano para hackear celulares y saltarse los escáneres

Un profesional de la seguridad llamado Seth Wahle se implantó en su mano izquierda entre el pulgar y el índice un chip con una antena NFC para poder acceder de forma inalámbrica a sistemas de seguridad y dispositivos inalámbricos de todo tipo, en especial los celulares con Android.

biohack1Entre otras cosas cosas este hacker puede ahora realizar pasar con su mano cerca de un teléfono Android, muy al estilo Jedi y hacer que se establezca una conexión remota con otro aparato que lleva encima en el que se ejecuta software como Metasploit que busca «agujeros de seguridad» por donde colarse.

Con este hack corporal, aunque te dejaran desnudo en un control de aeropuerto seguirías teniendo el poder del chip en tu interior; de hecho el aspecto de la mano es el mismo que sin chip, dado su pequeño tamaño. Estos implantes son parecidos a los de los chips que se ponen a los perritos o a las vacas con una especie de «pistola-jeringa». Eso sí la aguja es «del siete», no apta para gente a la que no le gusten los pinchazos.

Tampoco es que puedas ir a cualquier sitio a implantarte un chip de estos de lo mas normal, de hecho Wahle lo hizo con ayuda de un «aficionado sin licencia» que le cobró unos 40 dólares y probablemente se podría considerar una actividad ilegal según las leyes que hay al respecto. En Florida las llaman Leyes de modificación del cuerpo, y se refieren normalmente a tatuajes y piercings.

biohack2

Todo esto lo contaron en la HackMiami Conference 2015 HMC, haciendo una demostración de su «prueba de concepto» de lo que llaman Biohacking. Hay más información al respecto en Forbes.

Visto en: Microsiervos

Continuar leyendo