El congreso pretende consolidarse como uno de los encuentros principales del Sur de Europa en el ámbito de la seguridad informática.

Los próximos días 20 y 21 de Octubre tendrá lugar en el CosmoCaixa Barcelona la séptima edición del “No cON Name”, el congreso de seguridad informática con más antigüedad en España. Este evento anual reune tanto a nuevas promesas del sector como a expertos con experiencia, así como a profesionales en el campo de la informática en general, redes telemáticas, programación o ingeniería de protección de software. El congreso tiene lugar en un momento en el que la seguridad de equipos informáticos se ha convertido en la principal preocupación para empresas y particulares.


El congreso se orienta al intercambio para la actualización del conocimiento con el objetivo de estimular una industria puntera en seguridad. Para ello busca la construcción de un foro libre y abierto donde converjan tanto los conocimientos técnicos como la libre opinión.

Esta edición del “No cON Name” analizará diversas áreas clave de la seguridad asociadas a infraestructuras críticas como los sistemas de control de SCADA, responsables de mantener seguras las plantas de producción energética, como centrales eléctricas, de gas, eólicas o hidráulicas. También profundizará en los sistemas de telefonía móvil que permiten, entre otros usos, las transacciones seguras mediante mensajes sms o la seguridad en tarjetas inteligentes, que permiten, por ejemplo, la identificación personal en los pasaportes, DNI, tarjetas de crédito o el acceso a instalaciones restringidas de alta seguridad.

El “No cON Name” ha organizado en esta edición una serie de concursos novedosos que pretenden dinamizar y cohesionar el evento, como el que anima a formar equipos de varias disciplinas para dar una respuesta rápida y efectiva frente a posibles problemas de seguridad informática en entidades especialmente sensibles como bancos o administraciones públicas.

Cabe destacar la implicación institucional de la Generalitat de Catalunya en el “No cON Name”. Josuè Sallent, director del Centre de Seguretat de la Informació de Catalunya (CESICAT) asistirá a la jornada inaugural del congreso. Además, el Secretari General de Telecomunicacions i Societat de la Informació de la Generalitat, Jordi Bosch intervendrá como ponente para abordar la seguridad informática desde el punto de vista de las políticas llevadas a cabo por su departamento y participará en un coloquio posterior con los asistentes al congreso.

El congreso se realiza gracias al apoyo de sus patrocinadores: Internet Security Auditors, Pentest, blueliv, Ack Storm y evolium, y la colaboración del Centre de Seguretat de la Informació de Catalunya (CESICAT), la Generalitat de Catalunya mediante el plan TIC.cat y SecurityByDefault.


A continuación os dejamos el listado de las ponencias que habrá:

Título: HTC Nand dumping for forensics purposes
Ponente: Pau Oliva Fora
Descripción: Charla de introducción al reversing de teléfonos HTC, se explicarán vulnerabilidades en el diseño del bootloader y maneras de abusar del propio sistema operativo del terminal (Android y Windows Mobile) para facilitar la obtención de volcados de memoria (NAND Flash Dump), que pueden ser usados para el posterior análisis forense.
Conocimientos imprescindibles: Conceptos básicos de arquitectura de computadores, y saber usar un teléfono móvil con Android o Windows Mobile.
Biografia: Ingeniero de telecos, apasionado por los dispositivos móviles lleva investigando con PDAs desde el año 2004. Moderador en el foro de XDA-Developers desde 2006 hasta 2010 donde ha publicado más de 3500 comentarios, entre sus aportaciones destacan: JumpSPL (un CID-unlocker genérico para Windows Mobile), software para liberar diversos dispositivos HTC, métodos de explotación de fallos en varios bootloaders, HTCFlasher (un flasher open source para dispositivos HTC), y módulos de kernel para dar soporte de Linux a HTC Shift.



Título: “Que vienen los Zombis”. Análisis forense en Banca Electrónica y Fugas de información.
Ponente: Pedro Sánchez
Descripción: La conferencia tratará de los casos prácticos que han ocurrido a clientes de diversas entidades financieras y como se han solucionado.
Público Objetivo: Responsables de Seguridad en general (en especial banca), consultores de seguridad, especialistas en ingeniería inversa, analistas forenses y fuerzas del orden.
Biografía: Ha trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. Ha implantado normas ISO 27001, CMMI y diversas metodologías de seguridad. También colabora sobre análisis forense informático con las fuerzas de seguridad del estado y diversas organizaciones comerciales.
Ha participado en las jornadas JWID/CWID organizadas por el Ministerio de Defensa, donde obtuvo la certificación NATO Secret.



Título: reversing for goods: fixing security vulnerabilities in binaries
Ponente: Sergi Alvarez i Capilla (pancake)
Descripción: Introducción a la ingenieria inversa usando radare2 con el ánimo de corregir vulnerabilidades en programas compilados en disco o memoria. Durante la charla se mostraran ejemplos tipicos (buffers overflows, format string, etc..) Y casos reales, donde la ingenieria inversa ha sido usada para corregir fallas antes que la empresa publique una solucion (pdf fix de iOS y LNK vulnerability en windows).
El objetivo de la charla es el dar a conocer una faceta no muy explotada o conocida de la ingenieria inversa y ejemplificar el análisis y parcheo mediante la api y conjunto de herramientas de radare2.
Conocimientos imprescindibles: Conceptos básicos de arquitectura de computadores, mínimos de ensamblador, conceptos de las vulnerabilidades comunes de programación.
Biografía: Programador autodidacta y apasionado del software libre con mas de 10 años de experiencia en el sector. Ha trabajado como analista forense, administrador de sistemas, programador de codecs, optimizando algoritmos en ensamblador de mips, arm y x86, sistemas de protección de software en las plataformas GNU/Linux y Solaris.
Es el autor de diversos programas y actualmente bastante activo dentro de la comunidad suckless. Aunque ha colaborado en diversos proyectos libres como Vala, Hurd o otros.
Participante del CTF de la Defcon durante 3 años en el grupo de los Sexy Pandas.


Título: Aspectos organizativos ligados a la seguridad de la información.
Ponente: Joan Ayerbe Font.
Descripción: Charla sobre la importancia de disponer de una estructura organizativa para la gestión de la seguridad de la información dentro de una organización. Se hará una aproximación práctica, aportando los principales criterios y recomendaciones a seguir en la creación y establecimiento de una estructura organizativa de seguridad.
Público Objetivo: Gestores de seguridad, Responsables de seguridad y, en general, profesionales de la seguridad de la información (tanto técnicos como gestores).
Biografía: Ingeniero Industrial Superior por la UPC, especialidad en Organización Industrial, y CISM (Certified Information Security Manager). Ha trabajado en diferentes consultoras en el sector de las tecnologías de la información, entre ellas S21sec, donde desarrolló su actividad como Manager del área de consultoría para la zona de Cataluña. En 2008 se incorpora al Centre de Telecomunicacions i Tecnologies de la Informació (CTTI) de la Generalitat de Catalunya, en el área de Qualitat, Seguretat i Relació amb Proveïdors, donde actualmente es gestor de seguridad de la información.



Título: IP Fragmentation Overlapping
Ponente: Jose Selvi
Descripción: Charla en la que se verá la utilización de una técnica llamada "IP Fragmentation Overlap" para evitar la detección de ataques por parte de los IDS. Durante la charla se explicarán los conceptos previos relacionados con la Fragmentación IP legítima, la manera en como se explota, y de que forma podemos evitar que nuestros IDSs caigan ante esta vulnerabilidad, centrándonos en el IDS OpenSource más ampliamente utilizado, Snort.
Conocimientos imprescindibles: Conocimientos básicos de redes.
Público Objetivo: Auditores de seguridad, Administradores de redes, Responsables de Seguridad.
Biografia: Ingeniero en Informática e Ingeniero Técnico en Telecomunicaciones. Combina su trabajo como Auditor Senior de Hacking Ético en Telefónica con un Doctorado en Informática y Matemática Computacional. Es Mentor en España de los cursos de Incident Handling y Penetration Testing del SANS Institute, y escribe el blog Pentester.Es (http://www.pentester.es). También es certificado CISA, CISSP, CNAP, GCIH y GPEN.


Título: 802.1X y 802.11i – La única seguridad real en Red (Taller)
Ponente: Yago Fernández Hansen
Descripción: La charla tratará de manera práctica sobre la implementación de un sistema de control de acceso NAC basado en RADIUS como única forma segura de permitir el acceso a las redes corporativas. Se explicará todo el funcionamiento y se mostrarán las posibles vulnerabilidades y contramedidas en la configuración del sistema. Mostraré lo básico sobre el uso de credenciales y/o certificados como métodos de autenticación a la red, y el uso de autoridades certificadoras propias. Todo ello se podrá ver sobre un servidor RADIUS de tipo Appliance basado en Linux y construido por él, explicando a los asistentes como construir este tipo de mini-ordenadores y sus posibles funciones.
Biografía: Cuenta con master en ingeniería de software, además de contar con más de 8 años de experiencia en tecnologías inalámbricas. Es especialista en la implementación y auditoria de redes Wi-Fi. Cuenta con amplia experiencias en motores de datos, sistemas Microsoft, Linux y Networking. Es formador y consultor en seguridad informática y métodos de penetración en redes Wi-Fi para empresas e instituciones, entre los que se encuentran los cuerpos de seguridad del estado. Finalista en el concurso IBM Leonardo DaVinci 1995, cuenta con publicaciones y artículos de informática, además de ser colaborador directo y revisor de publicaciones técnicas de la editorial Rama. Ha impartido diferentes talleres y seminarios de hacking ético y seguridad en Wi-Fi para empresas, organizaciones públicas y universidades. Autor del libro RADIUS/AAA/802.1X - Ed. Ra-Ma (info. en: radiusdoc.com) Autor del portal y comunidad de hackers diariodeunhacker.com


Título: Políticas llevadas a cabo en la Generalitat de Catalunya (Mesa Redonda)
Descripción: En el marco del congreso dedicado a la seguridad informática, el próximo 21 de octubre, a las 17hs, el secretari de Telecomunicacions i Societat de la Informació, Jordi Bosch, dará una conferencia sobre sus tareas en la Generalitat de Catalunya sobre este terreno. Una vez acabada la conferencia, Jordi Bosch responderá a las preguntas, dudas y sugerencias de los asistentes del congreso No cON Name.

En el contexto de la seguridad informática, Jordi Bosch hablará, entre otros asuntos, de la política que se ha llevado a cabo desde su departamento para ayudar a las empresas a mejorar y asegurar sus sistemas telemáticos, así como los proyectos para avanzar y extender en las ventajas de la Sociedad de la información en el conjunto de la sociedad catalana.



Título: Development of security-critical embedded systems
Ponente: Anonymous
Descripción: Durante la charla se explicará el concepto de sistemas empotrados con foco en la seguridad, sus vulnerabilidades y métodos de explotación más comunes y técnicas para el desarrollo seguro de éstos.
El objetivo de la charla es dar a conocer las formas más usadas para la explotación de sistemas cómo serian HSMs, tarjetas inteligentes y otros dispositivos que están físicamente bajo el control del atacante, de manera que una vez el desarrollador esté alerta de los vectores de ataque pueda desarrollar (o retrofittear) conjuntos hardware+software confiables bajo el modelo de ataque descrito.
Conocimientos imprescindibles: Se dan por supuestos los conocimientos de explotación de aplicaciones de tipo software (bofs y similares),así cómo de criptografía (con saber cómo funcionan los algoritmos es suficiente, no es necesario el por que). Se requerirán conocimientos de arquitectura de computadores/microcontroladores y de diseño de sistemas operativos. Muy recomendable conocimientos de técnicos de desarrollo de sistemas real time o empotrados, así cómo de análisis o implementación de hardware.


Título:" Resolución de concursos de la No cON Name 2010"
Ponentes: Alejandro Ramos y Francisco Alonso
Descripción: Durante la ponencia se resolverán los concursos de la No cON Name: "Iluminación de Randa" y el reto forense. Además se hará entrega de premios a los ganadores.
Público Objetivo: Auditores de Seguridad, Administradores de redes, Responsables de Seguridad. Participantes de los concursos.
Biografías: Alejandro Ramos es manager del Tiger Team de SIA, equipo responsable de realizar las auditorías de seguridad y los test de intrusión. Además, actualmente es uno de los editores del blog de divulgación de seguridad informática "Security By Default".
Francisco Alonso, es un Security Researcher con más de seis años de experiencia en el desempeño de tareas de hardening y ethical hacking en el sector banca. Ha publicado artículos en distintos medios como cryptome.org o la revista hackin9.



Título: “SMSspoofing: fundamentos, vectores de ataque y salvaguardas”
Ponente: Julián Vilas Díaz
Descripción: Estado del arte del SMSspoofing y sus posibles usos como medio de explotación de vulnerabilidades en servicios actuales. En la charla se contemplarán los siguientes aspectos como: Fundamentos de SMSspoofing, abuso de aplicaciones/servicios mediante SMSspoofing, ingeniería social y ataques a usuario con SMSspoofing, posibles salvaguardas y recomendaciones.
Conocimientos imprescindibles: conocimientos básicos de seguridad en aplicaciones y en redes telemáticas.
Biografia: Ingeniero Informático por la FIB-UPC (Facultat d’Informàtica de Barcelona-Universitat Politècnica de Catalunya), trabaja en TB·Security como Responsable Técnico del Servicio de Hacking Ético. Máster en Tecnologías de Seguridad Informática, comenzó su carrera profesional en el esCERT-UPC. En los más de 5 años de experiencia laboral en el sector de la Seguridad Informática, ha colaborado en revistas como SEGURITECNIA, ejercido como formador y coordinador en el Master de Seguridad de TB·Security/esCERT-UPC y participado en múltiples proyectos en la vertiente técnica de la seguridad (hacking ético, gestión de incidente, computer forensics, etc.).