jueves, 29 de septiembre de 2011

Inauguramos Metasploit For Penetration Testers!

Durante la edición 2011 de la ekoparty, inauguramos nuestro nuevo training "Metasploit For Penetration Testers"!

La ekoparty Security Conference es la conferencia técnica de seguridad de la información más grande de Latinoamérica. Tiene una duración de una semana, siendo los dos primeros días dedicados a impartir trainings de alto nivel técnico, y los tres días restantes, dedicados a conferencias de oradores de todas partes del mundo.

En esta edición 2011 de ekoparty, "Metasploit For Penetration Testers" fue el training más vendido!


Esta edición inaugural del training, fue dictada por el Ing. Lucas Duarte Wulfert, Security Consultant de BASE4 Security, y por Kostyantyn Nayda, Director de Preventa de BASE4 Security.

Aprovechamos la oportunidad para felicitar a Federico N. quien gano el CTF del training, y se llevo una katana como premio.


Todos los asistentes al training "Metasploit For Penetration Testers" tendrán la oportunidad de tomar el examen de certificación PPT "Professional Penetration Tester" de BASE4 University.

Para solicitar información sobre las trainings de BASE4 University pueden contactarnos a capacitacion@base4sec.com

jueves, 8 de septiembre de 2011

BASE4 Security en Seminario de ADACSI

BASE4 Security participó de un seminario organizado por el capítulo Buenos Aires de ISACA, que tuvo lugar en las instalaciones de SIGEN.

Durante este seminario, nuestros especialistas presentaron las ultimas amenazas y riesgos en materia de seguridad de la información para organizaciones y empresas.

Comenzó el evento, con la presentación de Leonardo Pigñer, Director de Servicios Profesionales de BASE4 Security, titulada "Ciberguerra, Anonymous y Fuga de Información".


Luego continuo Juan Pablo Daniel Borgna, Country Manager de BASE4 Security en Colombia, con su presentación "Atacando endpoints a través de WiFi".


Para finalizar el evento, el Ing. Lucas Duarte Wulfert, Security Consultant de BASE4 Security, realizó su presentación "Atacando Smartphones".


Si desea invitar a los profesionales de BASE4 Security a disertar en su evento, puede contactarse a: info@base4sec.com

martes, 30 de agosto de 2011

BASE4 Security en SEGURINFO Colombia 2011

BASE4 Security participó como Sponsor de la edición 2011 de SEGURINFO Colombia.

SEGURINFO es el principal Congreso anual de seguridad de la información, que incluye un intensivo programa con sesiones de seguimiento y actualización y la oportunidad para reunirse con colegas y proveedores de la industria.

BASE4 Security es Sponsor de SEGURINFO Argentina desde hace varios años, y en conjunto con la apertura de las oficinas de BASE4 Security en Colombia, ha participado como Sponsor de la edición local de SEGURINGO en ese país.


En la foto se encuentra Juan Pablo Daniel Borgna, Country Manager de BASE4 Security en Colombia.

miércoles, 20 de julio de 2011

#1HackParaLosChicos - Jornada Solidaria

El próximo 26 de Julio de 2011, tendrá lugar la jornada solidaria #1HackParaLosChicos, enterate como participar!


De qué se trata?

#1HackParaLosChicos, surgió a partir de la unión de diferentes profesionales de seguridad de la información de la Argentina, cuyo espíritu solidario dio lugar a convenir en que era una gran idea realizar una jornada de seguridad en la cual se recauden Leche en Polvo y Juguetes.

Agenda del Evento

- Presentación del Evento 1HackParaLosChicos
- Seguridad en Dispositivos Móviles
- Presentación Argentina Cibersegura
- Seguridad vs Desarrolladores
- Filosofía Hacker
- Desventuras de Ser Paranoico 2.0
- Wifi @ HOME
- Técnicas de Infección de Malware
- La Familia en Internet
- Reputación Online
- Seguridad en Internet, padres e hijos

Cuándo y Dónde?

La jornada se realizará el 26 de Julio en las oficinas de Microsoft en Bouchard 710 4° piso, CABA, desde las 8.40 AM y hasta las 18 PM. (Ver Mapa)

Qué Donar ?

Dado que no se cobrará entrada, teniendo en cuenta las necesidades de quiénes recibirán las donaciones (chicos de 0 a 5 años), para asistir a la jornada hay que registrarse previamente y acercar lo siguiente:

- 1 Kilo de Leche en Polvo.
- 1 Juguete que ronde los $50 (apróx). Neutral en cuanto al género (nena o nene).

Algunos Ejemplos:
- Masas.
- Plastilinas.
- Juegos de mesa.
- Rompecabezas.
- Herramientas para dibujar.
- Juegos de encastre y estimulación temprana.

Durante la jornada, la logística de las donaciones estará a cargo de la Fundación Caminando Juntos, y el destinatario será uno de los "Centros Conin" del partido de San Martín.

Recordá, que para poder asistir es fundamental que te Registres.

Mas info en: http://1hackparaloschicos.org/

lunes, 4 de julio de 2011

BASE4 Security presente en la Campus Party Colombia

Por segundo año consecutivo, profesionales de BASE4 Security fueron invitados como ponentes a la Campus Party Colombia.

 
La Campus Party es reconocida como el mayor evento de tecnología, creatividad, ocio y cultura digital en red del mundo. En su cuarta edición en Colombia, mas de 4500 personas se reunieron durante una semana, cada uno  llevando su computadora!

En la edición 2010 del evento, se creo el área de Seguridad y Redes, en donde Leonardo Pigñer fue invitado como ponente. Este año, la Campus Party renovó la confianza en BASE4 Security, y nuevamente estuvimos presentes.

En esta edición, nuestros profesionales Jerónimo Basaldúa y Lucas Duarte Wulfert, realizaron las siguientes ponencias:

- "Atacando Infraestructuras Corporativas Wireless"
- "Atacando Smartphones"
- "Armado de Antenas Wireless y Wardriving"
- "Explotando Vulnerabilidades Web"


A continuación compartimos con ustedes el video de "Atacando Infraestructuras Corporativas Wireless" por Jerónimo Basaldúa:


Para invitar a profesionales de BASE4 Security como ponentes de un evento contactarse a info@base4sec.com


 Seguinos en Twitter! @base4sec

lunes, 13 de junio de 2011

BASE4 Security anuncia el nacimiento de BASE4 University

BASE4 Security anuncia el nacimiento de BASE4 University, la institución que será la encargada de llevar adelante las certificaciones oficiales de sus capacitaciones técnicas.



Durante los últimos años, las capacitaciones técnicas de BASE4 Security se encuentran dentro de las más populares para los profesionales de seguridad de la información en Latinoamérica. Ante la necesidad de estos cientos de profesionales, de certificar los conocimientos adquiridos, BASE4 Security anuncia la fundación de BASE4 University, quien será el ente autorizado para emitir las certificaciones oficiales.

La primer certificación oficial en ser otorgada por BASE4 University, será la del COMBAT Training, que certificará al profesional que apruebe el examen, como "Professional Penetration Tester".

BASE4 University nace como una alternativa, para todos los profesionales que tienen la necesidad de actualizar sus conocimientos técnicos, al nivel más alto del estado del arte de la seguridad de la información.

Nuestros instructores, son reconocidos profesionales que poseen una amplia experiencia de campo y que, en la actualidad, se encuentran brindando servicios a los clientes de BASE4 Security, proveedor de servicios de seguridad de la información para todo Latinoamérica.

Entre varios de los entrenamientos hoy disponibles en el mercado, se pueden destacar el COMBAT Training, una capacitación de ethical hacking avanzado de 5 días de duración, y el WiFu COMBAT Training, una capacitación de wireless hacking avanzado de 3 días de duración.

BASE4 University seguirá estando comprometida en brindar capacitaciones técnicas del más alto nivel sobre las temáticas más modernas, para que los profesionales de seguridad de la información se encuentren preparados para combatir los riesgos de seguridad que las organizaciones sufren en la actualidad.

Para más información visite www.base4university.com



Escrito por el Ing. Luis Alberto Cruz, CEO y Presidente, de BASE4 Security S.A.

lunes, 16 de mayo de 2011

Notas del COMBAT TRAINING en Buenos Aires

Hace algunos días, se realizó en Buenos Aires una nueva edición del COMBAT TRAINING, uno de los cursos de Ethical Hacking más populares de Latinoamérica.

Los participantes de esta edición del COMBAT TRAINING fueron Manuel Caballero, Ruben Roinich, Juan Pablo Molina, Carlos Vesga y Jeremy Heath. Felicitamos a Jeremy quien fue el ganador del CTF disputado el último día del training.

Volviendo del almuerzo hacia el training

Pero ¿de qué se trata el COMBAT TRAINING? a continuación les contaré algunas de los temáticas, que a lo largo de los 5 días de duración del curso, vamos practicando.

El primer tema del COMBAT se centra en la primer etapa de un pentest, llamada Information Gathering, en la cual se dan a conocer las diferentes técnicas que son usadas para obtener información de la “víctima”, tales como Google Hacking, Shodan, DNS Zone Tranfers, Metadatos, Scapy, cómo detectar balanceadores de carga o como obteber información publicada a través de la Web, entre otras cosas.

Luego continua todo el tema del Port Scanning y Bruteforce, donde estudiamos el funcionamiento de NMAP y las diferentes opciones de escaneo, se miran algunos scripts de NMAP y como mejorar su perfomance. En cuanto a bruteforce, se ven diferentes herramientas que permiten realizar este
tipo de ataques, ya sea online y offline.

Se continua con un tema muy interesante como son los Networks Attacks, aquí vemos temas como DNS Spoofing, HTTP Tunneling, HTTP Port Forwarding, entre otro tipos de ataques, que suelen ser muy interesantes para todos los participantes.

En el tercer día se comienza con Explotacion y Post-Explotacion, aquí empezamos a ver todo lo referente a Metasploit, como utilizar exploits, como ejecutarlos en una sola línea, como crear archivos ejecutables infectados, vemos cómo se puede realizar pivoting a través de una
máquina comprometida, como plantar un backdoor, entre muchas otras cosas que nos ofrece Metasploit.

No se podía dejar de a un lado los ataques al Cliente o Client Side Exploiting, aquí veremos temas como crear pdf maliciosos, insertar macros infectadas a documentos de Word, algunos ataques a navegadores web, entre otros tipos de ataques.

Daremos una breve introducción a los ataques web, se hablara de los ataques XSS y cómo combinarlos con Metasploit, también se hablaran de los ataques RFI y LFI, y para finalizar se mostrarán los ataques de SQL Injection con herramientas como Metasploit.

El ultimo día en la mañana se dará todo lo referente a ataques Wireless, donde generalmente contamos con la presencia de Juan Pablo Borgna, experto en el tema, quien nos dará una introducción a los ataques que se pueden realizar a esta tecnología. Si desean profundizar los conocimientos de Wireless Hacking, Juan Pablo es el instructor oficial del WiFu COMBAT Training, el cual se los recomiendo personalmente.

Esperamos verlos en las próximas capacitaciones, y si desean obtener mayor información contactarse a capacitacion@base4sec.com


Escrito por el Ing. Lucas Duarte Wulfert, Security Consultant de BASE4 Security, instructor oficial del COMBAT Training.

lunes, 25 de abril de 2011

Capacitación técnica sobre la solución RSA SecurID

Recientemente BASE4 Security estuvo presente en Santiago de Chile dictando una capacitación técnica sobre la solución RSA SecurID.


Para quienes no están relacionados con esta tecnología, les dejo a continuación algunas notas sobre su funcionamiento.

RSA SecurID es podría decirse, unos de los pioneros en la autenticación de doble factor, RSA es reconocida mundialmente por la robustez y calidad de sus productos, y en gran parte debido a esto  es que tienen más de 25millones de tokens vendidos.

En esta oportunidad dimos un curso sobre la última versión disponible de RSA Securid, la 7.1,  para los que no conocen la tecnología ni la terminología hago una breve introducción,  existen tres formas de autenticar a alguien:
  • Una forma es por medio del uso de una clave fija, es decir el usuario debe ingresar su contraseña al sistema que desea acceder y comúnmente se lo  describe como “algo que se sabe , la clave. 
  • Otra forma sería con “algo que se tiene”, en este caso podemos hacer un ejemplo con las tarjetas magnéticas de acceso.
  • Finalmente un tercer factor de autenticación es el biométrico, es decir “algo que somos”, por ejemplo un lector de huellas digitales.
Pero hasta aquí por separado siguen siendo cada uno un único factor de autenticación, si unimos por lo menos dos de los factores anteriores tendremos un doble factor de autenticación, un ejemplo claro de doble factor es la tarjeta del cajero automático, donde un factor es tener la tarjeta en sí “algo que se tiene”, y el segundo factor es “algo que se sabe”, es saber el PIN o clave a la hora de ingresar la tarjeta en el cajero, con este método el banco logra autenticar a sus usuarios mediante un doble factor.

La solución de RSA Securid está formada en esencia por una base de datos, el servicio de autenticación o “Authentication Manager”,  las consolas de administración “GUI” y los tokens.

La forma más popular en que RSA brinda el servicio de doble factor de autenticación es mediante el uso de tokens, el más usado es el denominados KEY FOB, básicamente es un llavero con un display que muestra un número el cual cambia cada 60 segundos. Este llavero está compuesto de 4 elementos, una CPU, un reloj sincronizado UTC, el algoritmo que es una función hash  y una semilla o clave secreta diferente en cada token y puesta desde su fabricación. Combinando esos 4 elementos el llavero es capaz de otorgar claves diferentes cada 60s. (faltó mencionar una pila pero a efectos de la autenticación en sí, no es necesario)

Del lado de servidor, básicamente se tienen los mismos 4 elementos,  todos igualmente importantes, pero el fundamental es la semilla del token, por cada token que se tiene en el sistema, también se tiene su semilla, cuando se adquieren tokens nuevos, también se adquieren las semillas o claves que le permitirán al sistema generar las mismas claves que sus tokens.

Siguiendo con los componentes de la solución podemos mencionar a la base de datos, que es donde se almacenan datos de usuarios, grupos, perfiles, políticas de autenticación (es decir, longitud de las claves, intentos fallidos etc) y las semillas de los tokens.

Otro componente es el servicio de autenticación, el servicio que permitirá manejar el proceso de autenticación en sí y donde básicamente se comparan claves, la clave ingresada por un usuario con un token asignado, con la generada internamente de la semilla del token.

Podemos decir hasta aquí que el servidor “sabe” qué token tiene asignado cada usuario, en algún momento a un usuario dado se le asigno un token en el sistema (en realidad se le asigno la semilla), por lo tanto también “sabe” el valor que espera recibir en un determinado momento para cada usuario,  un ejemplo para aclarar:

Supongamos que el usario A tiene el token TOKEN1, y a las 14:50:00s el servidor de autenticación recibe un requerimiento de autenticación de dicho usuario A, el servidor utilizará la semilla del TOKEN1 (previamente ingresada al sistema cuando se adquirió el TOKEN1 y luego asignado a A), mas el horario en que entro el requerimiento, 14:50:00s, mas el algoritmo, mas su CPU para calcular una clave, esta clave debería ser igual a la ingresada por el usuario A, de esta forma A es autenticado y tendrá acceso al sistema.

En este punto aclaro dos cosas:
  1.  El ejemplo anterior es un ejemplo de un único factor de autenticación, para tener dos factores, se utilizará además del número que muestra el token (TOKENCODE) un PIN o clave que será destinada para cada usuario. Al PIN + el TOKENCODE, RSA lo denomina PASSCODE.
  2. La segunda es que el servidor debe estar en hora, también sincronizado UTC. Sin bien tiene un margen de tolerancia de + - 2 minutos.
Por último, las consolas o GUI son también elementos que forman parte de la solución, y son las interfaces por medio de las cuales la administraremos.

Algunos comentarios para finalizar, hasta la versión 6.1 no se tenía un soporte nativo con LDAP, es decir si bien se podían tomar usuarios de un Active Directory, la forma era copiando y replicando esos usuarios en la base interna de RSA. Hoy en la versión 7 los usuarios se mantienen en el LDAP sin necesidad de duplicarlos en dos bases.

Se mejoro el proceso de autogestión de tokens y se soportan tokens sobre demanda, es decir el uso de token por SMS y MAIL.

Gran parte de la solución se reescribió completamente en java, logrando mayor portabilidad e integración. Lo malo es que se tornó muy demandante de recursos, por ejemplo, montar una maqueta standalone, requiere de por lo menos 4Gb de RAM y un procesador de cuatro núcleos para funcionar correctamente.

Escrito por el Ing. Carlos Liteplo, Director de Ingeniería de BASE4 Security, y  especialista en soluciones RSA y Check Point.


Si desea saber más sobre esta tecnología no dude en contactarnos a info@base4sec.com

lunes, 21 de marzo de 2011

BASE4 Security en Seminario de Fundación Proydesa

Por segundo año consecutivo, BASE4 Security fue invitado por Fundación Proydesa para participar de sus Seminarios Tecnológicos como expertos en seguridad de la información.

En esta oportunidad, el Ing. Lucas Duarte Wulfert dictó un workshop llamado  Atacando Smartphones, en donde explicó y realizó demostraciones prácticas, de los últimos ataques realizados contra dispositivos móviles.


El Ing. Lucas Duarte Wulfert se desempeña en la actualidad como Security Consultant en el área de Servicios Profesionales de BASE4 Security.

Si desea invitar como oradores a los profesionales de BASE4 Security puede contactarse a info@base4sec.com

jueves, 17 de marzo de 2011

BASE4 Security en SEGURINFO 2011

Nuevamente BASE4 Security estuvo presente como sponsor en la edición 2011 de SEGURINFO en Argentina.

Al igual que en la ekoparty, BASE4 Security fue responsable de armar una red wireless segura para SEGURINFO. Quienes visitaron nuestro stand, pudieron observar en tiempo real todos los ataques que se estaban desarrollando.

Para continuar con la tradición de la empresa, fuimos en el único stand que tenia una barra de cerveza incorporada!


Les dejo una foto de parte del team de BASE4 que estuvo presente en SEGURINFO:

@p4dawan, @kfs, Carlos Liteplo, @jbasaldua, Kosty Nayda, Luis Cruz, Sol Argento

Desde ya agradecemos a todos nuestros clientes y amigos que pasaron a saludar y a compartir una cerveza con nosotros!

lunes, 14 de marzo de 2011

BASE4 Security participará en SEGURINFO 2011

El próximo Martes 15 de marzo, de 8:30 a 18:30hs, BASE4 Security participará de la edición 2011 de SEGURINFO Argentina, que tendrá lugar en el Sheraton Buenos Aires Hotel & Convention Center, situado en San Martín 1225. 


SEGURINFO es una de las exposiciones más importantes de Seguridad de la Información en Sudamérica y especialmente en Argentina, siendo esta la  décimo primera edición en nuestro país.

Nuevamente en esta edición, BASE4 Security participará como sponsor oficial del evento, con un stand (el número 33) en donde podrás encontrar a nuestros profesionales realizando demostraciones técnicas, sorteos de importantes premios y varias sorpresas más!

Los profesionales de BASE4 Security tienen una gran experiencia montando redes críticas que requieren seguridad y disponibilidad, prueba de ello es que por segundo año consecutivo, SEGURINFO confía en BASE4 Security para que provea una red wireless segura para el evento.

Te esperamos por nuestro stand, en donde realizaremos demostraciones técnicas sobre la seguridad de la red wireless, en el break de las 11:00 AM y en el de las 16:00 PM.

Por último, pero no por ello menos importante, te queremos invitar a compartir una cerveza con nosotros, en la barra libre que montaremos a partir de las 16:15hs en nuestro stand.

Te esperamos!

lunes, 21 de febrero de 2011

Segundo COMBAT Training en Bogotá

BASE4 Security tuvo el placer de realizar la segunda edición del COMBAT Training en la ciudad de Bogotá, Colombia.

Felicitamos a todos los participantes, Diego Gonzalez, Andréz Lamouroux, Alejandro Vargas, Daniel Rodriguez, Andres Oliva, Jerónimo  Basaldúa y Lucas Duarte Wulfert.


Los ganadores de la competencia CTF fueron Daniel Rodriguez, Andréz Lamouroux y Alejandro Vargas, una especial felicitación para ellos!



Los instructores de esta edición del COMBAT Training fueron Lucas Duarte Wulfert y Jerónimo Basaldúa.

Para consultar sobre futuros trainings, puede contactarse a capacitacion@base4sec.com

Repercusiones de este training:
- Hotfixed.net: Combat Training 2.0 Bogotá – Nuevos ninjas en la calle

lunes, 17 de enero de 2011

Primer COMBAT Training en CHILE

BASE4 Security tuvo el placer de realizar la primer edición del COMBAT Training en Santiago de Chile.

Felicitamos a todos los alumnos, pero especialmente a Manuel Moreno, Pablo Antonio Ramirez Hoffman y Rodrigo Santa Maria, quienes lideraron el CTF del COMBAT Training.


Para consultar sobre futuros trainings, puede contactarse a capacitacion@base4sec.com

Repercusiones de este training:
- KUNGFOOSION: Primer COMBAT Training en CHILE!