// \\
BugCON Security Conference 4ta edición
Safety is just a myth…!
\\ //

Damas y caballeros…

El Staff de BugCON se complace en anunciar que el Call For
Papers para BugCON Security Conference ’12 está abierto.

BugCON Security Conference fue fundada en 2008, creando un
nuevo tipo de convención de seguridad, en donde los más
importantes investigadores, especialistas, consultores y
estudiantes, compartieran, en un foro abierto, sin
formalismos ni censura; sus últimas investigaciones y
desarrollos enfocados a la seguridad de la información.

[!!] ¿Dónde?, ¿cómo?, ¿cúando?…

Trainings: 2 de Febrero
Conferencias: 3 de Febrero

En la Ciudad de México, para más información, registro,
información sobre las ediciones pasadas, por favor visita
www.bugcon.org

[!!] ¿Cómo involucrarse?…

BugCON está buscando a todo aquel interesado en mostrar sus
investigaciones y desarrollos.

Los temas sugeridos (pero no exclusivos) para BugCON ’12 son:

- 0hdays
- Seguridad en software
- Seguridad en aplicaciones Web
- Seguridad en SCADA
- Seguridad en VoIP
- Seguridad en Redes inalámbricas
- Seguridad en IPv6
- Seguridad en ambientes virtualizados
- Seguridad en Bases de Datos
- Ingeniería en reversa
- Malware
- Seguridad en dispositivos móviles
- Phreaking
- Hardware hacking
- Criptografía y esteganografía
- Análisis forense
- Legislación informática
- Administración del riesgo
- Video juegos y temas geek

[!!] Tipos de participación…

Trainings: 4-8 horas
Pláticas: 50 minutos

[!!] Envió de propuestas al CFP…

Por favor envía tus propuesta con una breve descripción sobre
ella; Cualquier material, presentación o código será apreciado,
biografía de los autores, y una foto donde luzcas muy bien a
secretary [at] bugcon.org antes del 10 de Enero.

[!!] Fechas importantes…

- Dic 4 – Apertura del CFP
- Ene 10 – Cierre del CFP
- Ene 15 – Publicación de conferencias y talleres
- Feb 2 – BugCON trainings
- Feb 3 BugCON conference

[!!] Privilegios para ponentes…

Hospedaje
Fiestas (sexo, drogas y alcohol
Reconocimiento por parte del Instituto Politécnico Nacional

[!!] Prensa y medios…

BugCON está interesado en transmitir la relevancia de la
investigación en seguridad, integrar la industria con el fin de
promever la investación, apoyar la creación de nuevas asignaturas
en univesidades y promover una cultura de seguridad entre las
personas. Por ello, BugCON ofrece acceso a televisión, prensa
impresa y radio, por favor contactanos a secretary [at] bugcon.org.

[!!] Patrocinadores…

El Staff de BugCON es pobre, comemos frijoles todos los días
desde que iniciamos el proyecto. Si tú tienes la capacidad de
apoyar a BugCON por favor contactanos a charity [at] bugcon.org
estamos buscando patrocinadores, y podemos ofrecer grandes
beneficios para tú empresa.

Si estas interesado en donar a BugCON por favor contacnos a
charity [at] bugcon.org.

[!!] Universidades

Estamos muy, muy interesados en el desarrollo tecnologico mexicano,
si trabajas para una universidad y estas interesado en que tus
alumnos asistan a BugCON contactanos a secretary [at] bugcon.org
teneos cosas preparadas para facilitar su asistencia.

[!!] Contacto…

BugCON Staff – core [at] bugcon.org
CFP – secretary [at] bugcon.org
Patrocinio y donaciones – charity [at] bugcon.org
Medios de prensa – secretary [at] bugcon.org

@Tacvbo me hizo notar esta noticia publicada en Slashdot que para muchos pasó desapercibida, pero es de suma importancia, ya que la seguridad en SSL/TLS está comprometida en la mayoría de los browsers, solo se encuentra las versiones beta de Chrome seguras.

Hay que actualizar también OpenSSL, hay una actualización que corrige potenciales problemas de seguridad: Two security flaws have been fixed in OpenSSL 1.0.0e

el esquema de TLS 1.0 y SSL 2.0 son vulnerables y permiten al atacante robar cookies que deberían estar cifradas.

Por el momento es necesario usar navegadores que soporten los nuevos esquemas de SSL y TLS y esperar las actualizaciones de los browsers populares.

Pr@fEsOr X me manda la invitación al X.25 Ethical Hacking Conferences 2011 que se celebrará del 21 al 23 de octubre del 2011 en el Hotel Howard Johnson, Plaza de Las Convenciones, Xalapa, Veracruz, México,

Un saludo a toda la comunidad.

Como algunas se habrán enterado por este sitio y otros de temática similar, se tenia planeada la realización de la cuarta edición de BugCON. Una convención de seguridad informática, que a sido bien recibida por las personas y cuenta con el reconocimiento tanto nacional a internacional por el tipo de conferencias y talleres que se ofrecen.

Este año recibimos un gran número de propuestas, la mayoría de estas provenientes del extranjero, de países como Estados Unidos, Argentina, Alemania, Inglaterra, Francia, Uruguay, entre otros.

Por una parte, a las personas que organizamos el evento nos hace sentir contentos el saber que el evento que hace unos años comenzó en un fin de semana bastante sencillo, con donitas donadas como único alimento y tortas, hoy se ha convertido en una convención tan importante como para que investigadores de distintas partes del mundo tengan a BugCON muy presente en sus agendas de eventos en los que desean participar y asistir.

Por otra parte, esto nos causo problemas este año. En México nos hemos encontrado con muchos problemas para conseguir patrocinadores interesados en apoyar al evento, obvio esto es una imagen de la situación entorno a los temas de seguridad informática que existe en el país, lo cual para las personas que nos desarrollamos profesionalmente en el área, no es novedad…

Desde el año pasado empezamos a recibir apoyo por parte de patrocinadores extranjeros, en especifico Intel y este año estaba contemplado ESET, empresas que tiene una visión de innovación a gran escala y están interesados en apoyar este tipo de iniciativas sin importar fronteras.

Así mismo no podemos descartar a los patrocinadores locales como Sandino Networks, Software Guru, blueMammut, CipherStorm, Nvidia, Microsoft, SmartDsing, quienes con pequeñas aportaciones han apoyado desde hace ya mucho la realización de este evento. Y así mismo al Instituto Politécnico Nacional, quien a pesar de sus limitantes, ofrece lo que esta a su alcance para abrir las puertas de sus instalaciones a BugCON.

A pesar de este apoyo, el costo de hospedaje, alimentación, papelería, elementos de organización y en algunos casos transportación de los ponentes, dejaron la realización de BugCON 2011 fuera de nuestro alcance.

Simplemente era impensable la idea de realizar el evento con la cantidad recaudada por los patrocinadores.

Por otra parte, BugCON se ha considerado por los asistentes como el evento de “más alto nivel técnico de México”, y por ello no planeamos, ni siquiera hemos tenido en mente cambiar el tipo de contenidos con el fin de conseguir el apoyo de empresas que desean dar conferencias que más que aportar algo a los asistentes, tienen por objetivo vender productos. Jamás verán eso en BugCON.

Por tales motivos, hemos tomado la decisión de cancelar BugCON 2011 y preparar BugCON 2012 con fecha posible del mes de Febrero. Nos ha parecido la mejor opción, con el fin de conseguir más apoyo, y cumplir las expectativas de asistentes y ponentes.

Enviamos una disculpa a todos aquellos que tenían contemplada su asistencia y un agradecimiento a las personas que continúan apoyando el evento.

Si desean ponerse en contacto con el comité organizador, conocen personas interesadas en patrocinar el evento o desean participar, pueden escribirnos a secretary@bugcon.org

Gracias.

Hola a todos los cofrades, nosotros somos CualliSyS, una empresa dedicada a la difusión del software libre y difusión de este en varias de sus vertientes, hoy estamos realizando la convocatoria inicial para nuestro 2do Curso de “Seguridad y Hacking Práctico I”  2011, el cual se llevará a cabo los días:

10, 17 y 24 de Septiembre  del 2011, de  9:00 am – 2:00 pm con sede en la ciudad de México.

Ofrecemos una línea conformada por 4 diferentes cursos orientados a la seguridad en el siguiente enlace se puede leer la presentación del programa:

http://www.cuallisys.com/Cuallisys/Presentacion_Linea_Seguridad.pdf

El curso Seguridad y Hacking Práctico I” va dirigido a estudiantes y profesionales del TI, que no solo sientan interés por los temas relacionados con la seguridad informática, sino también deseen conocer como piensa y actúa un intruso…

Existen variadas formas de enfrentar los problemas de seguridad actuales. Ciertamente se ha demostrado que la más acertada es conocer la mentalidad del hacker, o en otras palabras, conocer detalladamente como piensa un hacker, como actúa, así como las técnicas y metodologías utiliza para tomar ventaja de las vulnerabilidades actuales y con esto alcanzar sus objetivos. Pensando en esto, el curso de “Seguridad y Hacking Práctico” fue creado para los profesionales de IT, analistas de seguridad y administradores de sistemas y/o red que desean comprender, entender y analizar qué es lo que realmente sucede cuando se realiza un ataque, qué vulnerabilidades son explotadas y cuales son los objetivos claros de un ataque.

El curso de “Seguridad y Hacking Practico” se encuentra dividido en 2 partes, en su conjunto, brinda una perspectiva efectiva y completa sobre los problemas de seguridad lógica mediante un acercamiento de pensamiento lateral a la seguridad de sistemas, combinando los fundamentos del hacking ético con un análisis en profundidad de las áreas más críticas.

Este curso está orientado a profesionales de IT que desean aprender las distintas técnicas ofensivas para vulnerar sistemas utilizadas por los hackers para comprometer la infraestructura lógica y aplicativa de una organización. El curso está diseñado tanto para aquellos que ya han adquirido las bases sobre hacking y seguridad como para aquellos que recién están acercándose a este tema por primera vez, y desean adquirir una base de conocimientos comprensiva y solidas habilidades practicas.

El contenido de la primera parte de este curso es el siguiente:

0. Introducción general
1. Conceptos imprescindibles

• Organización de Internet
• Protocolos a nivel de Red
• Protocolos a nivel de Transporte
• Protocolos a nivel de Aplicación
• Arquitectura DMZ
• Anatomía de un ataque

2. Rastreo

• Determinando el objetivo: Determinar el alcance de actividades, búsqueda abierta de fuentes
• Enumeración de Red: Consulta de registros, empresa y dominio (whois), consulta POC
• Instrumentos basados en la Web: Google, Netcraft, Visualroute.
• Análisis DNS: Transferencias de zona
• Reconocimiento de Red: Trazado de ruta

3. Exploración

• Determinación del S.O.:Barridos de Ping de la red, consultas icmp (fping,nmap)
• Determinación de servicios en ejecución: strobe, udp_scan, netcat, nmap
• Detección Activa y Pasiva: Rastreo de pilas activo, Rastreo de pilas pasivo (nmap, telnet)
• Herramientas automáticas de descubrimiento: zenmap, nessus

4. Enumeración

• Captura Básica de titulares: Telnet, netcat
• Enumeración de Servicios Comunes de Red: SMTP,transferencias de zona, Finger TCP/UDP, enumeración NFS,HTTP,TFTP.
• Contramedidas para la enumeración.

5. Tecnicas de Spoofing

• Arp-spoof: Ettercap
• ip-spoof: Hping3

6. Rootkits (teoría y funcionamiento)
7. Troyanos

• Ejemplos Troyanos nativos Windows (BackOrifice, Netbus, SubSeven)
• Troyanos a la medida: Conceptos y ejemplos
• Contramedidas de puertas traseras

8. Exploits (teoría)

• Exploit the stack: Explicación Básica
• Debugging Básico Windows: WinDBG, OllyDBG
• Debugging Básico Linux: GDB

El curso tiene una duración de 15 hrs divididas en 3 días, los detalles del curso, tiempos, temario y costos se encuentran disponibles aquí:

http://www.cuallisys.com/Cuallisys/temario_Seg_detallado_I.pdf

El curso se imparte a grupos reducidos con un maximo de 10 participantes, incluye, manual conceptual, manual de prácticas, el equipo necesario para llevar a cabo los ejercicios propuestos y diploma de participación. El costo de recuperación para este curso es de $3160.00 M.N.

Si estas interesado a continuación se presentan nuestros datos de contacto:

Teléfono de oficina: (01 55) 5533-2192
Móvil: 044 55 5252-9305
E-mail: soporte@cuallisys.com
Página Web: www.cuallisys.com (.mx)

A continuación presentamos los temarios completos:

• Administración Linux 1 —- http://www.cuallisys.com/Cuallisys/temario_linux_adm1.pdf
• Seguridad y hacking Practico I — http://www.cuallisys.com/Cuallisys/temario_Seg_detallado_I.pdf
• Seguridad y hacking Practico II — http://www.cuallisys.com/Cuallisys/temario_Seg_detallado_II.pdf
• Escribiendo Exploits —- http://www.cuallisys.com/Cuallisys/temario_escribiendo_exploits.pdf

Muchas gracias por el tiempo y esperamos vernos pronto.

En el marco de la conferencia de seguridad Black Hat 2011 (que se realiza en las Vegas, Nevada), se entregan los Pwnies Award a lo mas destacado en cuanto a seguridad.

Como menciona la nota de Digital Trends, no hay sorpresas en el rubro a el peór fallo de seguridad del año: No surprise: Sony wins Pwnie Award for Most Epic Fail.

Para integrarse a proyecto de Seguridad Informática en multinacional de TI proporcionando servicios a entidad financiera con presencia global, se requiere desarrollador con enfoque a seguridad lógica con el siguiente perfil:

Escolaridad y certificaciones requeridas

Relacionadas con TI, (informática, sistemas, telecomunicaciones, etc.) o conocimientos afines.

Conocimientos imprescindibles

• Conocimientos técnicos (nivel medio) en plataformas Unix (AIX, HP-UX, Solaris) y Linux tales como: ejecución de comandos de administración básica y media;
• Conocimiento de Windows a nivel administración y;
• Conocimientos avanzados de desarrollo de aplicaciones (análisis, modelado y desarrollo).

Conocimientos deseables

• Metodologías y estándares de seguridad y relacionados tales como: COBIT, ITIL, ISO/IEC 17799, serie ISO/IEC 27000;
• Conocimientos de normativa SOX, SAS70 y conocimientos generales de metodologías de auditoría informática;
• Programación en C, Visual Basic, C# serán evaluados como diferenciador.

Características personales del candidato: iniciativa, creatividad, responsabilidad, autodidacta, trabajo en equipo, negociación y actitud de servicio. Interés en desarrollarse en áreas afines a su área de especialización.

Responsabilidades:

• Análisis de requerimientos para diseño y desarrollo de aplicaciones basadas en Java;
• Desarrollo de aplicaciones sobre ambientes operativos Unix y Windows (indistintamente);
• Atención de solicitudes específicas del área para la solución de problemas operativos que requieran la sistematización de procedimientos internos.

Experiencia: dos años en desarrollo de aplicaciones.

Interesados enviar correo electrónico a: [edgarhz@gmail.com] con el título de la nota, disponibilidad y pretensiones económicas.

Nuestro amigo Pedro Joaquín nos ofrece un proceso de auditoría de seguridad para proyectos de software libre, esto de manera gratuita.

Manden sus propuestas en esta liga.

Hola a todos los cofrades, nosotros somos CualliSyS, una empresa dedicada a la difusión del software libre y difusión de este en varias de sus vertientes, hoy estamos realizando la convocatoria inicial para nuestro 1er Curso “Seguridad y Hacking Práctico”  2011, el cual se llevará a cabo los días:

16, 23 y 30 de Julio del 2011, de  9am – 4pm con cede en la ciudad de México.

Este curso va dirigido a estudiantes y profesionales del TI, que no solo sientan interés por los temas relacionados con la seguridad informática, sino también deseen conocer como piensa y actúa un intruso…

Existen variadas formas de enfrentar los problemas de seguridad actuales. Ciertamente se ha demostrado que la más acertada es conocer la mentalidad del hacker, o en otras palabras, conocer detalladamente como piensa un hacker, como actúa, así como las técnicas y metodologías utiliza para tomar ventaja de las vulnerabilidades actuales y con esto alcanzar sus objetivos. Pensando en esto, el curso de “Seguridad y Hacking Práctico” fue creado para los profesionales de IT, analistas de seguridad y administradores de sistemas y/o red que desean comprender, entender y analizar qué es lo que realmente sucede cuando se realiza un ataque, qué vulnerabilidades son explotadas y cuales son los objetivos claros de un ataque.

El curso de “Seguridad y Hacking Practico” brinda una perspectiva efectiva y completa sobre los problemas de seguridad lógica mediante un acercamiento de pensamiento lateral a la seguridad de sistemas, combinando los fundamentos del hacking ético con un análisis en profundidad de las áreas más críticas.

Este curso está orientado a profesionales de IT que desean aprender las distintas técnicas ofensivas para vulnerar sistemas utilizadas por los hackers para comprometer la infraestructura lógica y aplicativa de una organización. El curso está diseñado tanto para aquellos que ya han adquirido las bases sobre hacking y seguridad como para aquellos que recién están acercándose a este tema por primera vez, y desean adquirir una base de conocimientos comprensiva y solidas habilidades practicas.

El contenido resumido del curso es el siguiente:

1. Introducción General
2. Conceptos imprescindibles
3. Rastreo
4. Exploración
5. Enumeración
6. Técnicas de Spoofing
7. Rootkits (teoría y funcionamiento)
8. Troyanos
9. Exploits (teoría)
10. Hacking Windows
11. Hacking Linux
12. Hacking WEB
13. Ataques de Denegación de servicio (DoS)
14. Técnicas avanzadas
15. Taller de hacking: Capture the flag

El curso tiene una duración de 18 hrs divididas en 3 días, los detalles del curso, tiempos, temario y costos se encuentran disponibles aquí:

http://www.cuallisys.com/Cuallisys/temario_Seg.pdf

O en los siguientes datos de contacto:

Teléfono de oficina: (01 55) 5533-2192
Móvil: 044 55 5252-9305
E-mail: soporte@cuallisys.com
Página Web: www.cuallisys.com (.mx)

Muchas gracias por el tiempo y esperamos vernos pronto.

Nos encontarmos en estos momentos en el evento de OpenDataMX que se realiza el 17 y 18 de junio del 2011 en el TelmexHub.

bajo el slogan “Abriendo el gobierno un bit a la vez” busca que los desarrolladores de software puedan crear herramientas de transparencia de la información gubernamental a la sociedad civil.

El stream de video de este evento se encuentra aquí