Posts

WordCamp Buenos Aires 2015

El pasado 30 de Mayo se llevo a cabo el WordCamp Buenos Aires 2015, el mismo tuvo lugar en el Centro General San Martín (CABA) y reunió en una jornada llena de charlas y actividades a programadores, diseñadores y personas interesadas en el mundo WordPress.

En el mismo estuvimos presentes a través de nuestro CEO Emiliano Piscitelli, quien dicto la charla (in) Seguridad Informática.

 

Desde VHGroup agradecemos a todo el equipo organizador, los cuales nos trataron realmente muy bien e hicieron una labor increíble notándose en cada detalle del evento.

P1140918

Observen la cara de la asistente al escuchar sobre una vulnerabilidad.

P1140876

Desarrollando un juego de Misdirection a ver cuan atentos estaban los asistentes.

P1140910

Dime tu password y te dire ….. No No deja ya la tengo 🙂

P1140909

Metadatos, metadatos y mas metadatos.

Grave Vulnerabilidad en SSL 3.0

Una seria vulnerabilidad en SSL 3.0  fue recientemente descubierta por Ingenieros de Google, a la cual se le asigno el CVE-2014-3566 (actualmente esta bajo analisis y no posee muchos detalles).  Poodle (Padding Oracle On Downloaded Legacy Encryption) es el ataque que explota esta vulnerabilidad, el cual basicamente permite a un atacante robar información mediante la alteración de las comunicaciones entre el cliente y el servidor SSL (también conocido como ataque Man in the Middle o MITM). Una explotación exitosa de esta vulnerabilidad puede dar lugar a que un atacante pueda exponer datos cifrados entre un cliente y un servidor compatible SSL 3.0.

Desde Rapid7 nos han informado que se espera que para el día de hoy podamos contar con los módulos necesarios para poder chequear esta vulnerabilidad con Nexpose, como así también en breve estará disponible el modulo necesarios para poder realizar una PoC desde Metasploit.

Recomendaciones: Si bien varios vendors ya se encuentran trabajando en la solución de esta vulnerabilidad, se aconseja en la medida de ser posible deshabilitar SSL 3.0 en todos los clientes y servidores (VPNs, sitios webs, servidores de correo, etc). Tambien es aconsejable activar TLS_FALLBACK_SCSV para evitar el downgrade.

 

Referencias:

https://www.openssl.org/~bodo/ssl-poodle.pdf

https://community.rapid7.com/community/infosec/blog/2014/10/14/poodle-unleashed-understanding-the-ssl-30-vulnerability

Finalizó con éxito el Training de Seguridad IT para entornos Corporativos dictado en la ciudad de Santiago de Chile

En el día de ayer finalizó con éxito el training de Seguridad IT para entornos corporativos, el mismo fue dictado en conjunto a Metacom en su Centro de Entrenamiento Tecnológico (CET)  y la duración fue de 3 días intensivos. En esta oportunidad contamos con la presencia de diferentes empresas Chilenas.

Para finalizar realizamos en conjunto el montaje de los clásicos Laboratorios “Vulnerables”, donde los alumnos aplican todo lo aprendido durante el entrenamiento para tratar de tomar control de los diferentes recursos.

1920311_878261745527036_6084663301998920128_n

 

10689614_878261822193695_7944565646467147735_n

10710694_878261938860350_3159098892298462928_n

10704049_878261972193680_9052449211906483760_n

Hacking Day 09

La Universidad del Cema, nos invitó a participar en uno de sus Seminarios de Ingeniería Informática: el Hacking Day 09

Expusimos la charla: “OpenSource Pentest Tools”, donde mostramos las aplicaciones más usadas para Penetration Test, y como utilizar alguna de ellas.

Los estudiantes, profesionales y directivos de organizaciones del sector que participaron en el Seminario, esperamos hayan disfrutado de estos White Hats al servicio de la comunidad!

 

“Para atrapar a un intruso, primero debes pensar como intruso” – #EthicalHacking