El congreso pretende consolidarse como uno de los encuentros principales del Sur de Europa en el mbito de la seguridad informtica.

Los prximos das 20 y 21 de Octubre tendr lugar en el CosmoCaixa Barcelona la sptima edicin del No cON Name, el congreso de seguridad informtica con ms antigedad en Espaa. Este evento anual reune tanto a nuevas promesas del sector como a expertos con experiencia, as como a profesionales en el campo de la informtica en general, redes telemticas, programacin o ingeniera de proteccin de software. El congreso tiene lugar en un momento en el que la seguridad de equipos informticos se ha convertido en la principal preocupacin para empresas y particulares.


El congreso se orienta al intercambio para la actualizacin del conocimiento con el objetivo de estimular una industria puntera en seguridad. Para ello busca la construccin de un foro libre y abierto donde converjan tanto los conocimientos tcnicos como la libre opinin.

Esta edicin del No cON Name analizar diversas reas clave de la seguridad asociadas a infraestructuras crticas como los sistemas de control de SCADA, responsables de mantener seguras las plantas de produccin energtica, como centrales elctricas, de gas, elicas o hidrulicas. Tambin profundizar en los sistemas de telefona mvil que permiten, entre otros usos, las transacciones seguras mediante mensajes sms o la seguridad en tarjetas inteligentes, que permiten, por ejemplo, la identificacin personal en los pasaportes, DNI, tarjetas de crdito o el acceso a instalaciones restringidas de alta seguridad.

El No cON Name ha organizado en esta edicin una serie de concursos novedosos que pretenden dinamizar y cohesionar el evento, como el que anima a formar equipos de varias disciplinas para dar una respuesta rpida y efectiva frente a posibles problemas de seguridad informtica en entidades especialmente sensibles como bancos o administraciones pblicas.

Cabe destacar la implicacin institucional de la Generalitat de Catalunya en el No cON Name. Josu Sallent, director del Centre de Seguretat de la Informaci de Catalunya (CESICAT) asistir a la jornada inaugural del congreso. Adems, el Secretari General de Telecomunicacions i Societat de la Informaci de la Generalitat, Jordi Bosch intervendr como ponente para abordar la seguridad informtica desde el punto de vista de las polticas llevadas a cabo por su departamento y participar en un coloquio posterior con los asistentes al congreso.

El congreso se realiza gracias al apoyo de sus patrocinadores: Internet Security Auditors, Pentest, blueliv, Ack Storm y evolium, y la colaboracin del Centre de Seguretat de la Informaci de Catalunya (CESICAT), la Generalitat de Catalunya mediante el plan TIC.cat y SecurityByDefault.


A continuacin os dejamos el listado de las ponencias que habr:

Ttulo: HTC Nand dumping for forensics purposes
Ponente: Pau Oliva Fora
Descripcin: Charla de introduccin al reversing de telfonos HTC, se explicarn vulnerabilidades en el diseo del bootloader y maneras de abusar del propio sistema operativo del terminal (Android y Windows Mobile) para facilitar la obtencin de volcados de memoria (NAND Flash Dump), que pueden ser usados para el posterior anlisis forense.
Conocimientos imprescindibles: Conceptos bsicos de arquitectura de computadores, y saber usar un telfono mvil con Android o Windows Mobile.
Biografia: Ingeniero de telecos, apasionado por los dispositivos mviles lleva investigando con PDAs desde el ao 2004. Moderador en el foro de XDA-Developers desde 2006 hasta 2010 donde ha publicado ms de 3500 comentarios, entre sus aportaciones destacan: JumpSPL (un CID-unlocker genrico para Windows Mobile), software para liberar diversos dispositivos HTC, mtodos de explotacin de fallos en varios bootloaders, HTCFlasher (un flasher open source para dispositivos HTC), y mdulos de kernel para dar soporte de Linux a HTC Shift.



Ttulo: Que vienen los Zombis. Anlisis forense en Banca Electrnica y Fugas de informacin.
Ponente: Pedro Snchez
Descripcin: La conferencia tratar de los casos prcticos que han ocurrido a clientes de diversas entidades financieras y como se han solucionado.
Pblico Objetivo: Responsables de Seguridad en general (en especial banca), consultores de seguridad, especialistas en ingeniera inversa, analistas forenses y fuerzas del orden.
Biografa: Ha trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, deteccin de intrusiones, redes trampa y pen-testing. Ha implantado normas ISO 27001, CMMI y diversas metodologas de seguridad. Tambin colabora sobre anlisis forense informtico con las fuerzas de seguridad del estado y diversas organizaciones comerciales.
Ha participado en las jornadas JWID/CWID organizadas por el Ministerio de Defensa, donde obtuvo la certificacin NATO Secret.



Ttulo: reversing for goods: fixing security vulnerabilities in binaries
Ponente: Sergi Alvarez i Capilla (pancake)
Descripcin: Introduccin a la ingenieria inversa usando radare2 con el nimo de corregir vulnerabilidades en programas compilados en disco o memoria. Durante la charla se mostraran ejemplos tipicos (buffers overflows, format string, etc..) Y casos reales, donde la ingenieria inversa ha sido usada para corregir fallas antes que la empresa publique una solucion (pdf fix de iOS y LNK vulnerability en windows).
El objetivo de la charla es el dar a conocer una faceta no muy explotada o conocida de la ingenieria inversa y ejemplificar el anlisis y parcheo mediante la api y conjunto de herramientas de radare2.
Conocimientos imprescindibles: Conceptos bsicos de arquitectura de computadores, mnimos de ensamblador, conceptos de las vulnerabilidades comunes de programacin.
Biografa: Programador autodidacta y apasionado del software libre con mas de 10 aos de experiencia en el sector. Ha trabajado como analista forense, administrador de sistemas, programador de codecs, optimizando algoritmos en ensamblador de mips, arm y x86, sistemas de proteccin de software en las plataformas GNU/Linux y Solaris.
Es el autor de diversos programas y actualmente bastante activo dentro de la comunidad suckless. Aunque ha colaborado en diversos proyectos libres como Vala, Hurd o otros.
Participante del CTF de la Defcon durante 3 aos en el grupo de los Sexy Pandas.


Ttulo: Aspectos organizativos ligados a la seguridad de la informacin.
Ponente: Joan Ayerbe Font.
Descripcin: Charla sobre la importancia de disponer de una estructura organizativa para la gestin de la seguridad de la informacin dentro de una organizacin. Se har una aproximacin prctica, aportando los principales criterios y recomendaciones a seguir en la creacin y establecimiento de una estructura organizativa de seguridad.
Pblico Objetivo: Gestores de seguridad, Responsables de seguridad y, en general, profesionales de la seguridad de la informacin (tanto tcnicos como gestores).
Biografa: Ingeniero Industrial Superior por la UPC, especialidad en Organizacin Industrial, y CISM (Certified Information Security Manager). Ha trabajado en diferentes consultoras en el sector de las tecnologas de la informacin, entre ellas S21sec, donde desarroll su actividad como Manager del rea de consultora para la zona de Catalua. En 2008 se incorpora al Centre de Telecomunicacions i Tecnologies de la Informaci (CTTI) de la Generalitat de Catalunya, en el rea de Qualitat, Seguretat i Relaci amb Provedors, donde actualmente es gestor de seguridad de la informacin.



Ttulo: IP Fragmentation Overlapping
Ponente: Jose Selvi
Descripcin: Charla en la que se ver la utilizacin de una tcnica llamada "IP Fragmentation Overlap" para evitar la deteccin de ataques por parte de los IDS. Durante la charla se explicarn los conceptos previos relacionados con la Fragmentacin IP legtima, la manera en como se explota, y de que forma podemos evitar que nuestros IDSs caigan ante esta vulnerabilidad, centrndonos en el IDS OpenSource ms ampliamente utilizado, Snort.
Conocimientos imprescindibles: Conocimientos bsicos de redes.
Pblico Objetivo: Auditores de seguridad, Administradores de redes, Responsables de Seguridad.
Biografia: Ingeniero en Informtica e Ingeniero Tcnico en Telecomunicaciones. Combina su trabajo como Auditor Senior de Hacking tico en Telefnica con un Doctorado en Informtica y Matemtica Computacional. Es Mentor en Espaa de los cursos de Incident Handling y Penetration Testing del SANS Institute, y escribe el blog Pentester.Es (http://www.pentester.es). Tambin es certificado CISA, CISSP, CNAP, GCIH y GPEN.


Ttulo: 802.1X y 802.11i La nica seguridad real en Red (Taller)
Ponente: Yago Fernndez Hansen
Descripcin: La charla tratar de manera prctica sobre la implementacin de un sistema de control de acceso NAC basado en RADIUS como nica forma segura de permitir el acceso a las redes corporativas. Se explicar todo el funcionamiento y se mostrarn las posibles vulnerabilidades y contramedidas en la configuracin del sistema. Mostrar lo bsico sobre el uso de credenciales y/o certificados como mtodos de autenticacin a la red, y el uso de autoridades certificadoras propias. Todo ello se podr ver sobre un servidor RADIUS de tipo Appliance basado en Linux y construido por l, explicando a los asistentes como construir este tipo de mini-ordenadores y sus posibles funciones.
Biografa: Cuenta con master en ingeniera de software, adems de contar con ms de 8 aos de experiencia en tecnologas inalmbricas. Es especialista en la implementacin y auditoria de redes Wi-Fi. Cuenta con amplia experiencias en motores de datos, sistemas Microsoft, Linux y Networking. Es formador y consultor en seguridad informtica y mtodos de penetracin en redes Wi-Fi para empresas e instituciones, entre los que se encuentran los cuerpos de seguridad del estado. Finalista en el concurso IBM Leonardo DaVinci 1995, cuenta con publicaciones y artculos de informtica, adems de ser colaborador directo y revisor de publicaciones tcnicas de la editorial Rama. Ha impartido diferentes talleres y seminarios de hacking tico y seguridad en Wi-Fi para empresas, organizaciones pblicas y universidades. Autor del libro RADIUS/AAA/802.1X - Ed. Ra-Ma (info. en: radiusdoc.com) Autor del portal y comunidad de hackers diariodeunhacker.com


Ttulo: Polticas llevadas a cabo en la Generalitat de Catalunya (Mesa Redonda)
Descripcin: En el marco del congreso dedicado a la seguridad informtica, el prximo 21 de octubre, a las 17hs, el secretari de Telecomunicacions i Societat de la Informaci, Jordi Bosch, dar una conferencia sobre sus tareas en la Generalitat de Catalunya sobre este terreno. Una vez acabada la conferencia, Jordi Bosch responder a las preguntas, dudas y sugerencias de los asistentes del congreso No cON Name.

En el contexto de la seguridad informtica, Jordi Bosch hablar, entre otros asuntos, de la poltica que se ha llevado a cabo desde su departamento para ayudar a las empresas a mejorar y asegurar sus sistemas telemticos, as como los proyectos para avanzar y extender en las ventajas de la Sociedad de la informacin en el conjunto de la sociedad catalana.



Ttulo: Development of security-critical embedded systems
Ponente: Anonymous
Descripcin: Durante la charla se explicar el concepto de sistemas empotrados con foco en la seguridad, sus vulnerabilidades y mtodos de explotacin ms comunes y tcnicas para el desarrollo seguro de stos.
El objetivo de la charla es dar a conocer las formas ms usadas para la explotacin de sistemas cmo serian HSMs, tarjetas inteligentes y otros dispositivos que estn fsicamente bajo el control del atacante, de manera que una vez el desarrollador est alerta de los vectores de ataque pueda desarrollar (o retrofittear) conjuntos hardware+software confiables bajo el modelo de ataque descrito.
Conocimientos imprescindibles: Se dan por supuestos los conocimientos de explotacin de aplicaciones de tipo software (bofs y similares),as cmo de criptografa (con saber cmo funcionan los algoritmos es suficiente, no es necesario el por que). Se requerirn conocimientos de arquitectura de computadores/microcontroladores y de diseo de sistemas operativos. Muy recomendable conocimientos de tcnicos de desarrollo de sistemas real time o empotrados, as cmo de anlisis o implementacin de hardware.


Ttulo:" Resolucin de concursos de la No cON Name 2010"
Ponentes: Alejandro Ramos y Francisco Alonso
Descripcin: Durante la ponencia se resolvern los concursos de la No cON Name: "Iluminacin de Randa" y el reto forense. Adems se har entrega de premios a los ganadores.
Pblico Objetivo: Auditores de Seguridad, Administradores de redes, Responsables de Seguridad. Participantes de los concursos.
Biografas: Alejandro Ramos es manager del Tiger Team de SIA, equipo responsable de realizar las auditoras de seguridad y los test de intrusin. Adems, actualmente es uno de los editores del blog de divulgacin de seguridad informtica "Security By Default".
Francisco Alonso, es un Security Researcher con ms de seis aos de experiencia en el desempeo de tareas de hardening y ethical hacking en el sector banca. Ha publicado artculos en distintos medios como cryptome.org o la revista hackin9.



Ttulo: SMSspoofing: fundamentos, vectores de ataque y salvaguardas
Ponente: Julin Vilas Daz
Descripcin: Estado del arte del SMSspoofing y sus posibles usos como medio de explotacin de vulnerabilidades en servicios actuales. En la charla se contemplarn los siguientes aspectos como: Fundamentos de SMSspoofing, abuso de aplicaciones/servicios mediante SMSspoofing, ingeniera social y ataques a usuario con SMSspoofing, posibles salvaguardas y recomendaciones.
Conocimientos imprescindibles: conocimientos bsicos de seguridad en aplicaciones y en redes telemticas.
Biografia: Ingeniero Informtico por la FIB-UPC (Facultat dInformtica de Barcelona-Universitat Politcnica de Catalunya), trabaja en TBSecurity como Responsable Tcnico del Servicio de Hacking tico. Mster en Tecnologas de Seguridad Informtica, comenz su carrera profesional en el esCERT-UPC. En los ms de 5 aos de experiencia laboral en el sector de la Seguridad Informtica, ha colaborado en revistas como SEGURITECNIA, ejercido como formador y coordinador en el Master de Seguridad de TBSecurity/esCERT-UPC y participado en mltiples proyectos en la vertiente tcnica de la seguridad (hacking tico, gestin de incidente, computer forensics, etc.).