FIRST Technical Colloquium 18th of September 2017 – Montevideo, Uruguay

Sala Renoir –Piso 4 - Radisson Montevideo Victoria Plaza Hotel

AGENDA

HOUR TITLE–SPEAKER-ORGANIZATION9:00a9:30 OpeningremarksandIntroduction

9:30a10:15 CiberInteligenciaparaAplicacionesWeb-GustavoBetarteyRodrigoMartinez–CSIRTTILSOR

10:15a11:00 TLP:RED-CaseBankingStudy–JacomoPiccolini–TeamCymru

11:00a11:30 CoffeeBreak11:30a12:30 InformationSecurityStrategiesforAcademicCSIRTs:theExperiencesand

ResultsofCAIS/RNPandETIR-UFBApartnership.–YuriAlexandroeItaloValcy

12:30a13:00 HSTS:videoclubvssistemascomplejos–CarlosPantelides–Especialistaenprevencióndefraudeinformático

13:00a14:00 LunchBreak14:00a14:45 Construyendouncentrodeoperacionesdeciberseguridad–JoséCallero-

AGESIC14:45a15:15 HowIPv6mayaffectIoTSecurity–FernandoGont-SI6Networks

15:15a16:00 MalwareForensics-MauricioCampiglia-KravMagaHacking

16:00a16:30 CoffeeBreak16:30a17:00 DDoSdesdelastrincheras–DaríoGómez–LacnicWARP

17:00a17:30 TeamUpdates-Closingremarks

Speakersbiographies&talksdetails

1. Title:CiberInteligenciaparaAplicacionesWeb

Speakers:GustavoBetarteandRodrigoMartinez–CSIRTTILSORAbstractandBiography:seedocumentsattached

2. Title:TeamCymruCaseBankingStudy

Speaker:JacomoPiccolini–OutreachTeamfromTeamCymruAbstract:TLR:RED-CasestudywhereTeamCymruassistedontheinvestigationprocess.AlsowillshowtwonewCommunityServicespageswearereleasingonthenextweeks

3. Title:InformationSecurityStrategiesforAcademicCSIRTs:theExperiencesandResultsofCAIS/RNPandETIR-UFBApartnership.Speakers:YuriAlexandroandItaloValcyAbstract:InformationSecurityhasacquiredsignificantattentionoverlastyears,mainlybecauseoftheawarenessabouttheincreasedinformationvaluetopeopleandorganizations.Informationloss,theft,unavailability,modificationorunauthorizedaccessmayresultinnegativeeffects,impactsinoperationsandmorepreciselyinorganization'sreputationorpeople'sdailylives.Inthisway,asetofactionsisnecessarytoestablishanInformationSecurityOrganizationalPlanandprovideinformationandcommunicationprotectionintoorganization.Whenitcomestoresearchandeducationorganizations,thenetworkcontextisheterogeneous,usuallyhasadecentralizedadministrationanddifferenttypesofusersandaccessprofiles.Thisenvironmentleadstoaraisedchallengeinbalancingsecurityprotectionsandtheheterogeneityandflexibilityneededforeducation,researchandextensionactivities.Thesechallengescanbeaddressedthroughcombinedactionsinthreeinformationsecuritydimensions:processes,technologyandpeople.ThispaperpresentsthejointworkexperienceofETIR-UFBAandCAIS/RNPaboutthedefinitionandadoptionofcyber-securitystrategiesforresearchandeducationorganizationsandusers,focusingonaforementioneddimensions.Firstly,fromprocessespointofview,wedevelopedacompleteguidetohelptheestablishmentofincidentresponseteams(CSIRTs)andAcceptableUsePolicy(AUP),consideringtheinternationalstandards,bestcurrentpractices,BrazilianlawsandR&Eenvironmentandchallenges.WewillpresenttheresultsofapplyingthisguidetoestablishandimproveCSIRTs,aswellastodefinesecuritypolicies.We’llalsodiscussthecreationandadoptionofoperationalplans,suchas"IncidentHandling"and"EmergencyCommunication".Secondly,consideringthetechnologydimension,wewillshowanoverviewofaninfrastructuretoprovidemaliciousactivitydetectionandsupportincidenthandlingprocessesusingopensourcetools.Oneimportantcomponentforsecurityincidentresponseisrastreability,whichmaybecomeachallengeconsideringBYOD,distributedandheterogeneousR&EnetworksandtheuseofDHCP,NATorIPv6SLAAC(verycommoninBrazilianinstitutions).Wewillpresentasetoftoolsdevelopedtoovercomethischallenges,namely:TRAIRA(AutomaticNetworkIncidentHandling);L2M(Layer2Manager);PF/PFSenseandNetfilter/IPTablesNATtracking.Intermsofmaliciousactivitymonitoring,wewilldemonstratethehoneypotdeploymentintheinternalnetworksandtheuseofdistributed,coordinatedintrusiondetectionsystems(IDS)acrossRNPbackbone.Finally,wewilldiscussthedisseminationoftheinformationsecuritycultureamongdifferentusers’profiles.Wewillshowsomeoftheinitiativesaimedtoencouragegoodpracticesandsafetechnologyusageforbothendusersandsystemadministrators.Wewillalsodemonstratethatacombineduseofcommunicationstrategies,suchasworkshops,talks,shortcoursesandsecurityawarenesscampaignscaneffectivelyhelptoreducesecurityincidents.Biography:ItaloValcySBrito-FederalUniversityofBahia(UFBA)-italovalcy@ufba.brMScinComputerScience,istheChiefSecurityOfficerattheFederalUniversityofBahia/Brazil(UFBA)responsiblefortheCSIRToperations,auditingandsecuritypoliciesdefinition.Heisco-founder/collaboratorofCERT.Bahia(CSIRTforBahia/BRAcademicNetwork-RNP)andheisinvolvedinprojectsrelatedtoForensicAnalysis,WebPentest,SecureInfrastructureandRouting,PhishingandMaliciousActivityDetectionandSoftware-DefinedNetworking.YuriAlexandro-BrazilianEducationalandResearchNetwork(RNP)/CAIS-SecurityIncidentResponseCenterofRNP-Brazil-yuri.ferreira@rnp.brInfoSecManagementSpecialist,hasworkedwithITsince2002andfor9yearswithinformatonsecurity,havingexperienceinnetworksecuritymanagementandITacademicnetwork'sinfrastructureandenvironment.HewasmemberofInfoSecteamsatUNEB(UniversityofBahia)andUFBA(FederalUniversityofBahia),andcollaboratingmemberofCERT.Bahia(SecurityIncidentResponseTeamofBahiaStateAcademicNetwork).Todayworkswithincidentmanagement,CSIRTdevelopmentandsecurityawarenessatCAIS/RNP

4. Title:HSTS:videoclubvssistemascomplejos

Speaker:CarlosFedericoPantelidesAbstract:ExposicióndelmecanismoHSTScomomedioparamostrartantoelestadodeseguridadaniveldeTLSenbancosargentinosyelimpactorealdesufalta,comparandoelesfuerzodelasoluciónenuncasosencillocomopuedeserunvideoclub.¿Cuáleselproblema?,¿QuéycómosolucionaHSTS?,¿Cómopuedeserenelcasodeunvideoclub?,¿Cómopuedeserenelcasodeunacompañiagrande?EstadoactualBiography:“EspecialistaenFraude"enbancoprivado.AnalistadeSeguridaddelaInformaciónyFraudeInformático,conunpasado

comodesarrolladoryadministradoropensourceconconocimientosampliosyhetereogéneosdesoftware,hardwareyprocesos.Altointerésenagile,hackingycoaching.ColaboradordelproyectoCIAA.Expositor,docente,organizadorocolaboradorendiversoseventosdetecnologíayseguridadcomoSASE2016-2017,FLISOL2012-2017,ÁngelesyDemonios2013-2014,Ekoparty2013,OWASP2013-2014,AgileOpenSeguridadBsAS2010-2015,AgileOpenEducación2012-2014yotros.ColaboradoradhonoremdevariasmateriasdeprogramaciónyalumnointermitentedelaLicenciaturaenAnálisisdeSistemas(FacultaddeIngeniería-UniversidaddeBuenosAires)EstudiandoactualmenteDiplomaturadeSeguridadBancariayTecnologíaAplicada(FacultaddeDerechoUniversidadNacionaldeLomasdeZamora)yCursosAbiertosdeProgramacióndeSistemasEmbebidos(CAPSEACSE/CADIEEL)

5. Title:ConstruyendouncentrodeoperacionesdeciberseguridadSpeaker:Ing.JoséCallero Abstract: Enestacharlaseexpondránlosprincipalesdesafíosasortearenlacreacióndeuncentrodeoperacionesciberseguridadqueopere7x24,comoevoluciónnaturaldelosserviciosdeunCERT/CSIRT.Setocarantemasrelacionadosconrecursoshumanos,herramientas,definicióndeprocesosyobjetivos.Veremoscomolaagregacióndesensores,laoperacióndeequipamientodeseguridadyelmonitoreocontinuonosayudaráneneldesafíodebajareltiempoderespuestaaminutos.HaremosespecialhincapiéenlaimportanciadelusodeunSIEMycomoestepuedeaportarunanuevadimensiónenladeteccióndeincidentesdeciberseguridad Biography:AGESICAreaSeguridaddelaInformaciónCentrodeOperacionesdeCiberseguridad

6. Title:HSTS:HowIPv6mayaffectIoTSecuritySpeaker:FernandoGontAbstract:IPv6isthenextgenerationinternetprotocolthatprovidesanincreasedaddressspace,abletoaccommodatethepresentandfuturegrowthoftheInternet.ItisusuallyseenasakeyenablertechnologyfortheInternetofThings,asitisableprovideuniqueIPaddressestotheimmensenumberofnewlyconnecteddevices.However,thesecurityimpactofIPv6onIoTdevicesisusuallyoverlooked.ThispresentationwillexplorepossibleconsequencesofIPv6deploymentonIoTsecurity,anddiscusssomepossibleapproachestomitigatethem.Biography:FernandoGontspecializesinthefieldofcommunicationsprotocolssecurity,workingforprivateandgovernmentalorganizationsfromaroundtheworld.MoreinformationaboutFernandoGontisavailableathispersonalwebsite:<https://www.gont.com.ar>.

7. Title:MalwareForensics

Speaker:MauricioCampigliaAbstract:SepresentarántécnicasmodernasdeanálisisforensesobrepiezasdeMalware.EspecialmenteanalizandopiezascomoStuxnet,WanaCryyPetya.Biography:EspecialistaenSeguridaddelaInformaciónconmaśde10añosdeexperienciaenlamateria.SociofundadordeKravMagaHacking,empresadedicadaalaconsultoríayentrenamientoenseguridadofensivayrespuestaaincidentes.DocenteenUniversidadORTentemasdeseguridaddelainformacióndesdehace10años.CertificadoCISA(ISACA)ymuyrecientementePCI-P(PCISSC),anteriormentemantuvocertificacionesespecíficasenproductosdeseguridadcomoporej.CCNPSecurity.Conferencistarecurrenteeneventoslocalesydelaregión.

8. Title:DDoSdesdelastrincherasSpeaker:DaríoGómezFrassinetti-WARPLACNICAbstract:Sepresentaránuestraexperienciaylasleccionesaprendidasluegoderecibiruntan“indeseado”ataquedeDDoSenalgunosserviciosdeLACNIC.Mostraremoscuálfueeltimelinedelataque,lasdiferentesetapasylaevolucióndelmismo.Porúltimoharemosunarecopilacióndelasmedidastomadasparasumitigaciónyalgunasrecomendacionesaconsiderar.Biography:DaríoGómezsegraduóenelaño2012comoAnalistaenTecnologíasdelaInformación(especializaciónenSeguridaddelaInformación)enuniversidadORTdeUruguayyen2016finalizósusestudiosdepostgradorecibiendoeltítulodeMasterenDirecciónyGestióndeEmpresasInternacionalesenlaUniversidadAutónomadeBarcelona.ActualmentetrabajacomoAnalistadeSeguridadInformáticaenelWARPdelRegistrodeDireccionesdeInternetparaAméricaLatinayCaribe-LACNIC.Anteriormentesedesempeñódurante5añoscomoAnalistadeSoftwareenlamismaorganización,siendounadesusprincipalestareas,eldesarrollodelsistemadecertificaciónderecursosdelaorganización