12 AGOSTO 2022

Las Vegas, Estados Unidos.

Este año se celebran 30 años de Defcon y es una gran oportunidad para que la comunidad de LatinoAmerica se haga presente. ¡CONTAMOS CONTIGO! Inscríbete para enviarte más detalles sobre horario, lugar y agenda.

  • 18:25 | Gabriel Bergel ➭ Intro 8.8
  • 18:30 | Sebastian Garcia ➭ Slips: Free Software Machine Learning Tool for Network Intrusion Prevention System
  • 19:10 | Rodrigo Montoro ➭ Understanding, Abusing and Monitoring AWS AppStream 2.0
  • 19:50 | Eduardo Contreras ➭ Lanzamiento Bombercat
  • 20:30 | Salvador Mendoza ➭ Amini Project

CHARLAS

Sebastian Garcia

Slips: Free Software Machine Learning Tool for Network Intrusion Prevention System

Ver más...

Slips is a behavioral-based intrusion prevention system, and the first free software to use machine learning to detect attacks in the network. It is a modular system that profiles the behavior of IP addresses and performs detections in time windows.
Slips’ modules detect a range of attacks both to and from the protected devices.
Slips connects to other Slips using P2P, and exports alerts to other systems.
Slips works in several directionality modes. The user can choose to detect attacks coming *to* or going *from* these profiles. This makes it easy to protect your network but also to focus on infected computers inside your network.
Slips includes the download/management of external Threat Intelligence feeds (now working with 44 external feeds, including our own), whois/asn/geocountry/mac vendor enrichment, a LSTM neural net for malicious behavior detection, port scans, ICMP scans, long connection detection, data upload, malicious JA3/SSL certificate matching, leak detection and many more.
Ensembling algorithms are used for blocking decisions.
The P2P module connects to other Slips to share alerts.
Slips can read packets from an interface, PCAPs, Suricata, Zeek, Argus and Nfdump, and can output alerts files. Having Zeek as a base tool, Slips can correctly build a sorted timeline of flows combining all Zeek logs. Slips can send alerts using the STIX/TAXII protocol, to CESNET servers using IDEA0 format or to Slack.
The Kalipso Node.js interface allows the analysts to see the profiles’ behaviors and detections performed by Slips modules directly in the console. Kalipso displays the flows of each profile and time window and compares those connections in charts/bars. It also summarizes the whois/asn/geocountry information for each IP in your traffic. Kalipso is being migrated to a web console.
Rodrigo Montoro

Understanding, Abusing and Monitoring AWS AppStream 2.0

Ver más...

Amazon Web Services (AWS) es un ecosistema complejo con cientos de servicios diferentes. En el caso de una brecha de seguridad o credenciales comprometidas, los atacantes buscan formas de abusar de la configuración de servicios del cliente con sus credenciales comprometidas, ya que a las credenciales se les otorgan a menudo más permisos de IAM de los que normalmente se necesitan. La mayoría de las investigaciones realizadas hasta la fecha se han centrado en los servicios principales de AWS, como S3, EC2, IAM, CodeBuild, Lambda, KMS, etc. En nuestra investigación, presentamos nuestro análisis sobre una superficie de ataque anteriormente ignorada que está lista para el abuso en las manos equivocadas: un servicio de AWS llamado Amazon AppStream 2.0.
En esta charla, aprenderá cómo funciona AppStream, cómo se puede abusar de las configuraciones incorrectas y los permisos excesivos de IAM para comprometer su entorno de AWS y permitir que los atacantes controlen toda su cuenta de AWS. Cubriremos tácticas como la persistencia, el movimiento lateral, la exfiltración, la ingeniería social y la escalada de privilegios. También cubriremos los indicadores clave de compromiso de los incidentes de seguridad en AppStream y cómo prevenir estos casos de abuso, mostrando cómo los privilegios excesivos sin un gran monitoreo pueden convertirse en una pesadilla en su postura de seguridad en la nube, haciendo que los posibles atacantes controlen su cuenta de AWS.
Eduardo Contreras

Lanzamiento Bombercat

Salvador Mendoza

Amini Project

Ver más...

El dispositivo AirTag IoT es una herramienta de seguimiento desarrollada por Apple y diseñada para ayudar a las personas a encontrar objetos extraviados. Sin embargo, incluso cuando Apple afirma que la tecnología AirTag se usa únicamente para rastrear elementos, un número creciente de personas malintencionadas se aprovechan de la simplicidad para instalarlo y configurarlo para rastrear objetivos desconocidos, en otras palabras, personas.
Amini es un proyecto de hardware de código abierto especializado para escanear, detectar, falsificar y reproducir un sonido para dispositivos AirTag. Este proyecto es parte de la investigación “” Spy-wear: Misuse of Apple AirTags””, donde analizamos una preocupación de privacidad sobre el uso indebido de AirTag para las capacidades de seguimiento. Fue diseñado para implementarse con el entorno Arduino, para diseños flexibles y para usarse en cualquier dispositivo compatible con Arduino con capacidades BLE.

SPEAKERS

Director of Stratosphere

Investigador de malware y profesor de seguridad con experiencia en aprendizaje automático aplicado al tráfico de red. Fundó Stratosphere Lab, con el objetivo de realizar una investigación de seguridad impactante para ayudar a otros a usar el aprendizaje automático.
Es cofundador de Avast Lab en la Universidad CTU. Como profesor asistente e investigador, cree que el software gratuito y las herramientas de aprendizaje automático pueden ayudar a proteger mejor a los usuarios del abuso de sus derechos digitales. Investiga sobre aprendizaje automático para seguridad, honeypots, detección de tráfico de malware, detección de seguridad en redes sociales, escaneo distribuido (dnmap), dinámica de pulsaciones de teclas, noticias falsas, análisis de Bluetooth, protección de la privacidad, detección de intrusos y detección de micrófonos con SDR (Salamandra).
Enseñó en varias universidades y trabajó en pruebas de penetración tanto para corporaciones como para gobiernos. Habló en conferencias como Black Hat, Defcon Villages, Ekoparty, DeepSec, Hackitivy, Botconf, Hacklu, InBot, SecuritySessions, ECAI, CitizenLab, ArgenCon, Free Software Foundation Europe, VirusBulletin, BSides Vienna, HITB Singapore, CACIC, AAMAS, etc. Co-fundó el hackspace MatesLab en Argentina y co-fundó el Fondo Independiente para Mujeres en Tecnología.

Security Researcher – Tempest Security

Rodrigo “”Sp0oKeR” Montoro cuenta con más de 20 años de experiencia en Tecnologías de la Información y Seguridad Informática. La mayor parte de su carrera trabajó con software de seguridad de código abierto (firewalls, IDS, IPS, HIDS, gestión de registros, monitoreo de endpoints), detección y respuesta a incidentes y seguridad en la nube. Actualmente, es Ingeniero Senior de Detección de Amenazas en Tempest Security. Antes de eso, trabajó como Investigador de la Nube en Tenchi Security, Jefe de Investigación y Desarrollo en Apura Cyber Intelligence, SOC / Investigador en Clavis, Administrador Senior de Seguridad en Sucuri, Investigador en Spiderlabs. Autor de 2 tecnologías patentadas que implican innovación en el campo de la detección. Uno está relacionado con el descubrimiento de documentos digitales maliciosos. El segundo es cómo analizar el tráfico HTTP malicioso. Rodrigo ha hablado en varias conferencias de código abierto y seguridad (OWASP AppSec, SANS (DFIR, SIEM Summit y CloudSecNext), Defcon Cloud Village, Toorcon (EE. UU.), H2HC (Sπo Paulo y México), SecTor (Canadá – 5x), CNASI, SOURCE Boston & Seattle, ZonCon (Amazon Internal Conference), Blackhat Brazil, BSides (Las Vegas e São Paulo)).

Hardware Designer en Electronic Cats

Ingeniero en Electrónica, apasionado por el desarrollo tecnológico y ciencia, cofundador de la empresa Electronic Cats, que ha desarrollado diferentes productos como satélites educativos (Can-Sat’s) y sistemas embebidos ya en producción. Colaborador en The Inventor’s House, asociación dedicada a la difusión de ciencia y tecnología, con el objetivo de diseñar e implementar electrónica de impacto global.

Security Researcher y miembro del equipo ofensivo Ocelot de Metabase Q

Salvador Mendoza es Director de Investigación y Desarrollo en Metabase Q y miembro del Equipo de Seguridad Ofensiva Ocelot.
Se enfoca en procesos de tokenización, sistemas de pago y prototipos embebidos. Ha presentado sobre fallas de tokenización y métodos de pago en diferentes conferencias como Black Hat USA, DEF CON, HITB, Troopers y muchas otras. Además, Salvador diseñó diferentes herramientas para pentestear información de banda magnética y procesos de tokenización.
Autor de “Show me the (e-) money Hacking a sistemas de pagos digitales: NFC, RFID, MST y Chips EMV“. Un libro escrito en español con una colección de diferentes ataques contra los sistemas de pago.