Presentaciones

Respuestas SIC: Diseño de aplicaciones web siguiendo el concepto hack-resilient (Junio 2011)

Internet Security Auditors estuvo presente en el Respuestas SIC del mes de Junio de 2011. El título de esta sesión de conferencias, "Seguridad de Aplicaciones web, donde se cruzan los caminos" remarcaba la importancia de la seguridad en los aplicativos en los entornos corporativos.

Vicente Aguilera, director de auditoría de Internet Security Auditors y presidente del capítulo español de la OWASP, realizó una presentación destacando los aspectos más importantes del desarrollo seguro de aplicaciones. También desgranó los contenidos más relevantes del marco de ciclo de vida de desarrollo seguro de aplicaciones esponsorizado por la OWASP, OWASP ASVS (Application Security Verification Standard).

Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago (Abril 2011)

El equipo de consultoría de Internet Security Auditors, estuvo presente como ponente en el VII OWASP Spain Chapter Meeting el pasado 15 de Abril de 2011.

La presentación destacó la importancia de metodologías de desarrollo seguro, como las fomentadas por la OWASP, en el cumplimiento de los requisitos marcados por la certificación PA DSS (aplicaciones de pago).

OWASP TOP 10 en el ADWYS CON'11 (Febrero 2011)

Vicente Aguilera realizó una presentación sobre el Top 10 de Riesgos en Aplicaciones Web dentro del congreso ADWYS CON 11 organizado por la asociación ADWYS de la Universidad de Cádiz.

La presentación desarrolló las 10 amenazas más frecuentes hoy en día para la Seguridad de las Aplicaciones Web e incluyó una demostración práctica de una vulnerabilidad del sistema de autenticación de Gmail.

La importancia de la seguridad en el SDLC presentado en Expo:QA 2010 (Noviembre 2010)

Vicente Aguilera, director de auditoría de Internet Security Auditors, realizó una presentación sobre Seguridad en el Desarrollo de Software en el marco de uno de los mayores eventos sobre la calidad en el desarrollo, Expo:QA 2010.

La presentación trato temas fundamentales de la seguridad en el ciclo de vida del desarrollo de software como la distribución de la inversión que se hacer en seguridad IT, los modelos y disciplinas para crear software de forma segura y las auditorías de seguridad en aplicaciones web.

Segunda Jornada sobre Seguridad en Medios de Pago: PCI DSS y PA DSS (Noviembre 2010)

Presentación de Alexandre Bento de SafeNet sobre tecnologías para el cumplimiento de PCI DSS.

Presentación de Miguel Ángel Domínguez de Internet Security Auditors en la que se explicaron las novedades de las versiones 2.0 de las normas PCI DSS y PA DSS:

Presentación de Vicente Aguilera de Internet Security Auditors sobre los aspectos clave de la normativa PCI DSS. En esta presentación se detallaron las actuaciones y tareas que debe ser realizadas periódicamente por las entidades de cara a alcanzar y/o mantener el cumplimiento de la norma PCI DSS.

En este presentación Andrew Mulvenna, de VISA, desgranó algunos puntos básicos de las normativas PCI DSS y PA DSS como por ejemplo las novedades de las versiones 2.0, el nuevo ciclo de vida de las normas, la aproximación a PCI DSS basada en una priorización de riesgos o la importancia del cifrado y la tokenización en las nuevas arquitecturas de los medios de pago.

Raúl Reca de Indra detalló en esta presentación la experiencia de su compañia en la implantación de la normativa PA DSS tanto en sus aplicaciones de pago como en sus sistemas de venta de tickets (TVM).

En una presentación titulada "Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el cumplimiento el Cumplimiento y Certificación PCI DSS", José García González de Informática El Corte Inglés (IECI), nos mostró como el cumplimiento de PA DSS facilita, aunque no garantiza, el cumplimiento de PCI DSS.

Fermín Garde, responsable de Desarrollo de Negocio MM.PP. de Wincor Nixdorf, realizó una presentación sobre tres aspectos fundamentales del cumplimiento de la normativa PA DSS: la Guía de Implementación, la Integración de la Seguridad en el Ciclo de Vida del Software y el Laboratorio de Pruebas PCI Compliant.

En su presentación, Carlos Prieto responsable de Seguridad de Caja Rioja, señaló los requisitos y pasos que se están siguiendo dentro de su entidad para avanzar en el cumplimiento de PCI DSS. Destacó la importancia del apoyo de la dirección así como de la asignación de un responsable interno que lidere el proyecto de implantación de PCI DSS.

Jordi Serracanta, Director de Medios de Pago de Banca Privada D´Andorra, detalló el camino que están siguiendo para alcanzar la certificación en PCI DSS como entidad adquiriente. Jordi nos explicó la importancia de la definición del alcance en un proyecto de implantación de la normativa PCI DSS.

En su presentación, Jordi Sola responsable del departamento de Seguridad Lógica de Caixa Penedès, comentó el desarrollo del proyecto de cumplimiento PCI DSS que vienen desarrollando desde el año 2008. Jordi destacó la importancia que la documentación de la Política de Seguridad tiene en un proyecto de alineamiento con PCI DSS.

Pedro Pablo López, Gerente de Infraestructura Seguridad, Auditoría y Normalización de Rural Servicios Informativos (RSI), basó su presentación en un recorrido por el proyecto de implantación de PCI DSS que se está llevando a cabo en su entidad. Pedro Pablo destacó la estrategia de tokenizacion como solución a alguno de los requisitos de la normativa PCI DSS.

Julio Jesús Sánchez y Victoria Fernández, de Telefónica España Grandes Clientes, describieron como desarrollaron el proceso de Implantación de la Normativa PCI DSS para lograr en Mayo de 2010 la certificación correspondiente.

Mario Rueda, responsable de Seguridad de Abertis Autopistas, baso su presentación en explicar el desarrollo del marco normativo y del repositorio de datos realizados ambos durante la implementación de la normativa PCI DSS.

En su presentación, Antonio S. Martínez responsable del Área de Seguridad Informática de Metro de Madrid, explicó el proyecto de implantación de PCI DSS que se ha llevado a cabo en su organización y como lo han ligado a la implantación del Sistema Nacional de Cifrado de Pistas.

Presentación TOP 10 OWASP en las FIST Conferences (Febrero 2010)

Presentación ofrecida por Vicente Aguilera, el pasado 26 de Febrero de 2010. La ponencia estuvo enmarcada dentro de las FIST Conferences realizadas en Barcelona.

La ponencia se tituló "OWASP Top 10 2010: Riesgos de seguridad en las Aplicaciones Web". Durante la presentación Vicente hizo referencia a tres temas fundamentales:
  • Inversión actual en seguridad TI
  • Revisión del TOP 10 de amenazas de seguridad sobre las aplicaciones Web, recientemente publicado por la OWASP
  • Demostración práctica de la explotación de una vulnerabilidad en Gmail descubierta por el propio Vicente

Conferencias organizadas por ISACA VALENCIA (Abril 2009)

Presentación ofrecida por Vicente Aguilera, el 21 de Abril de 2009, dentro del marco del capítulo de ISACA de Valencia.

Esta conferencia, con el título "Crear software seguro como objetivo de la Dirección", mostraba las buenas prácticas recogidas en las principales iniciativas de seguridad del software existentes actualmente.

IV OWASP Spain Chapter Meeting (Noviembre 2008)

Presentación ofrecida en el marco del IV Owasp Spain Chapter Meeting (esponsorizado de nuevo por Internet Security Auditors) por que tuvo lugar en el IL3.

En esta conferencia se presentaron técnicas de análisis de aplicaciones mediante técnicas de respuestas de eco.

OWASP Europe Summit Portugal 2008 (Noviembre 2008)

Seminario ofrecido en el marco de las sesiones de formación de la OWASP Summit Portugal 2008 que tuvo lugar en Algarbe (Portugal) y que reunió a todos los mayores expertos en seguridad en desarrollo de todo el mundo.

En esta conferencia se presentó como se realiza una auditoría de seguridad de aplicaciones y los pasos que deben desarrollarse siguiendo las directrices que definen las guías de la propia OWASP.

VI Foro de Seguridad de RedIRIS (Marzo 2008)

Esta edición se celebró los días 27 y 28 de Marzo en Barcelona, y fue organizada conjuntamente por el CESCA (Centre de Supercomputació de Catalunya) y RedIRIS/Red.es. El VI Foro de Seguridad de RedIRIS se focalizó en la seguridad a nivel de aplicación. En esta ocasión, se impartió la conferencia "OWASP y su aportación a la comunidad internacional. Seguridad en las relaciones de confianza.".

Más información sobre el evento en la propia web de RedIRIS.

Jornada sobre Seguridad en Medios de Pago: PCI DSS (Noviembre 2007)

Presentación de la jornada sobre la Seguridad en Medios de Pago y la norma PCI DSS celebrada el 7 de Noviembre de 2007 en Madrid.


Presentación de Zane Ryan de Dot Force España y Bruce Mac Nab de SafeNet sobre los requerimientos de PCI DSS y las soluciones que permiten ir un paso más allá en la pura implementación de PCI DSS.


Presentación de Miguel Ángel Domínguez de Internet Security Auditors sobre cómo PCI DSS debe contemplarse como un proceso continuo y no un proyecto de seguridad dentro de un Sistema de Gestión de la Seguridad de la Información.


Presentación de Pedro Sánchez de ATCA sobre su caso de éxito en la implantación de PCI DSS dentro de su SGSI certificado sobre la norma ISO/IEC 27001:2005. En ella se tratan pros y contras en su implantación así como las dudas que se plantearon en ATCA sobre la implantación de la norma.

Presentación de Paul Baker de Mastercard Worldwide sobre el camino desarrollado por su empresa y evolución en la que están colaborando Mastercard y el PCI SSC (PCI Security Standards Council) sobre la norma PCI DSS.


Presentación de Steve Wilson de VISA sobre la visión de esta marca del porqué de contemplar la implantación de PCI DSS dentro de la empresa y los beneficios que aporta su implantación.


II OWASP Spain Chapter Meeting (Julio 2007)

Presentación ofrecida en el marco del II Meeting del Capítulo Español de OWASP que tuvo lugar en Julio de 2007.

En esta conferencia se presentó la problemática de la necesidad del filtrado de los datos que alimentan a las aplicaciones web y que son uno de los puntos de entrada de los ataques más comunes por la deficiencia de este tipo de controles.

Conferencias FIST Barcelona 2006

Presentación ofrecida en el marco de las Conferencias FIST de Barcelona que tuvo lugar en la sala de actos de la FIB en Diciembre.

En esta conferencia se presentó una nueva técnica de escalado de privilegios mediante la infección de ejecutables ELF.

No cON Name 2006

Presentación ofrecida en el Congreso No cON Name 2006 celebrado en Palma de Mallorca.

La presentación ofrecida plantea una posible vía de detección y corrección de problemas de seguridad en ejecutables en tiempo de ejecución.

1er OWASP Spain Chapter Meeting

Presentación ofrecida en el 1er Meeting OWASP en España celebrado el día 16 de Junio de 2006.

La presentación que se llevó a cabo presenta una nueva técnica de ataque sobre servidores de correo y que posiblemente será incluida en la lista de clasificación de amenazas sobre aplicaciones, tal y como lo están las técnicas de SQL Injection y Cross Site Scripting.

1er OWASP Spain Chapter Meeting

Presentación ofrecida en el 1er Meeting OWASP en España celebrado el día 16 de Junio de 2006 .

Esta presentación fué la apertura del meeting y presenta la Fundación OWASP, los proyectos que en esta se desarrollan, sus objetivos y medios de colaboración.

Internet Global Congress 2006

Presentación ofrecida en el IGC 2006 celebrado entre los días 29 de Mayo y 1 de Juni de 2006.

La presentación presenta las normas de seguridad de VISA y Mastercard PCI DSS.

No cON Name 2005

Presentación ofrecida en la quinta convocatoria del Congreso de Seguridad No cON Name celebrado entre los días 22 y 25 de Septiembre en Palma de Mayorca.

La presentación que se llevó a cabo fué sobre mod_security, y aunque muy similar a la que se llevó a cabo en What the Hack! se entró algo más en detalle sobre las funcionalidades sobre las que se está trabajando para dicho proyecto. La presentación en este caso está en castellano.

What The Hack! 2005

Presentación ofrecida en el mayor congreso europeo sobre Hacking y Seguridad en General a nivel Europeo: What The Hack! celebrado entre los dias 28 y 31 de Julio en Liempde, Holanda.

En la presentación se mostró un proyecto de firewall de aplicación opensource 100% funcional sobre el que el equipo de Internet Security Auditors está añadiendo funcionalidades que incrementan, aún más, las capacidades de Firewall de nivel 7 de este módulo para Apache llamado mod_security. El título de la presentación fué "Advanced Web Application Defense with ModSecurity" .

Internet Global Congress 2005

Presentación ofrecida en el Internet Global Congress (IGC) celebrado los dias 6 a 9 de Junio de 2005 en Barcelona.

La presentación "Seguridad en terminales móviles de consumo: Symbian, Blackberry y Windows Mobile" define los aspectos clave de seguridad en estos dispositivos móviles así como los ataques a los que pueden verse sometidos.

Internet Global Congress 2005

Presentación ofrecida en el Internet Global Congress (IGC) celebrado los dias 6 a 9 de Junio de 2005 en Barcelona.

La presentación "Auditorías de seguridad: revisión como método de prevención" expone una clasificación de los distintos tipos de auditorías y define el camino hacia la certificación UNE-71502 con la implementación de un SGSI.

Conferencias FIST

En el marco de las conferencias FIST (www.fistconference.org) celebradas el 18 de marzo de 2005 en Barcelona, ofrecimos la presentación "Inseguridad de los sistemas de autenticación en Aplicaciones Web".

Esta presentación pone al descubierto las deficiencias y ataques más habituales que sufren los sistemas de autenticación, principalmente en aplicaciones web.

Hackmeeting 2004: Hack Andalus

Presentación que ofrecimos en el Hackmeeting celebrado este añ en Sevilla. En esta ocasión uno de los temas sobre los que hicimos una presentación fue la Informática Forense.

En esta presentación se hace un repaso de su historia, metodologís existentes, herramientas disponibles, etc.

Whitehack 2004

Presentación que fuimos invitados a ofrecer en la Whitehack 2004. En esta presentación se presenta la problemática de seguridad de las redes en las que se emplea la creciente tecnología de Voz sobre IP.

Internet Global Congress 2004

Presentación ofrecida durante el Internet Global Congress entre los días 10 y 15 de Mayo en el Palau de Congressos de Barcelona. Esta fue una de las dos presentaciones escogidas por el comité y que ofrecimos en el transcurso del congreso.

La presentación trata de presentar los conceptos básicos sobre informática forense, una ciencia un tanto desconocida en el campo de las Tecnologías de la Información y con un auge cada día mayor.

Tertulia Digital

Seminario ofrecido en la sede del CIDEM en el Paseo de Gracia de Barcelona, organizado por Tertulia Digital, al que tuvimos el placer de ser invitados dada nuestra experiencia en seguridad y su implantación en pequeñas y medianas empresas.

También participaron Francisco de Quinto, de Piqué Abogados, y Román Martín, de Interbel Software. En esta presentación se comentan los aspectos más importantes a tener en cuenta en la seguridad de los sistemas de una empresa, así como las diferentes soluciones de protección con las que se debe contar para conseguir un nivel de seguridad aceptable en cada caso.

Hackmeeting 2003

Presentación ofrecida durante el Hackmeeting 2003 celebrado entre los días 24 y 26 de Octubre en el Gaztetxe de Pamplona/Iruña (Navarra). La presentación, con título "Métodos actuales de Apropiación de dominios", aporta una visión actual sobre la problemática de los nombres de dominio.

Se comentan las entidades que intervienen en el registro de dominios, las distintas técnicas de ataque que se pueden utilizar contra cada una de estas entidades y que posibilitan apropiarse de un dominio que ya tiene propietario, y las recomendaciones en cuanto a la defensa frente a este tipo de ataques.

I Jocs Fractals de la Vila de Grácia

Presentación en la que participamos junto con Pete Herzog, Director del ISECOM, durante los I Juegos Fractales de la Vila de Gràcia celebrados en el CSOA de Les Naus, como protesta ante su futuro desalojo, entre los días 19 y 21 de Septiembre.

En esta presentación se presentan aspectos sobre la nueva versión del OSSTMM (Open Source Security Testing Methodology Manual), liderada por Pete Herzog y en la que colaboran expertos en seguridad de todo el mundo, entre los que se encuentran miembros del equipo técnico de Internet Security Auditors. Además se presentó el proyecto de la Hacker High School de este año, apadrinada por La Salle y en la que colabora Internet Security Auditors en España y Mediaservice desde Italia, además de mucha otra gente que colabora de forma desinteresada.

No cON Name 2003

Presentación ofrecida durante el Congreso Nacional de Seguridad "No cON Name 2003" celebrado entre los días 24 y 27 de Julio en Palma de Mallorca. En esta presentación se presentó el proyecto de Firewall de Aplicación OpenSource, CodeSeeker, mantenido por la OWASP (Open Web Application Security Project), dentro del marco de todos los proyectos gestionados por este organismo que se ha establecido como el más importante en definición de estándares en desarrollo web seguro y la publicación de una metología tal y como el ISECOM lleva a cabo con la OSSTMM. En esta presentación se llevaron a cabo demostraciones del funcionamiento de una versión funcional de CodeSeeker en la protección de uno o más sites webs ante ataques habituales.

Colegio Oficial de Detectives

Clase impartida en el Colegio Oficial de Detectives de Cataluña dentro del Curso de Práctica Operativa de Investigación, en el Módulo "Internet, Documentación y Bases de Datos" el día 4 de Julio de 2003.

En esta clase se analizan las "Herramientas de Investigación" de las que se disponen en un ordenador para detectar intrusiones, ataques o acciones realizadas en los sistemas. También se presentan las "Herramientas de Seguridad" que provee Internet y que están disponibles para todo el mundo que sepa dónde y como emplear estas herramientas.

Internet Global Congress 5

Presentación ofrecida en el 5º Internet Global Congress celebrado en Barcelona entre los días 12-15 de Mayo de 2003. Más de 180 asistentes a nuestra ponencia pudieron ver una rápida revisión a los problemas de seguridad que conciernen a la tecnología Wi-Fi y las soluciones para mitigar sus deficiencias.

En esta presentación se hace una revisión de los conceptos básicos de los conceptos técnicos de las WLANs, sus mayores problemas de seguridad y las soluciones para éstos.

COPCA y Tertulia Digital

Presentación ofrecida en la jornada de charlas sobre seguridad organizada por el COPCA y Tertulia21 el 27 de Noviembre de 2002. Entre los que participaron, Elisabeth Lynch (Cambra de Comerç de Barcelona), Francisco de Quinto (Piqué Abogados Asociados) y Diego Fernández (Auna).

En esta presentación se analizan los aspectos principales de la seguridad de los sistemas, los puntos débiles más y menos conocidos y las consideraciones más básicas a tener en cuenta para incrementar la seguridad de nuestra red.

Hackmeeting III 2002

Presentación para el Hackmeeting III (MadHack 2002) que tuvo lugar entre los días 4 y 6 de octubre del 2002 en el Laboratorio 3 en Lavapies, Madrid. (v 1.0).
Describe los tipos de exploits más habituales, análisis de shellcodes comunes, sistemas de protección "anti-exploits", sistemas de evasión en shellcodes anti IDS y el código fuente contiene descripción detallada de su contenido.

Descarga el código fuente en .