GSICKMINDS 2015

information tech conferences

NOV 20-21, 2015

A Coruña / Spain

PALEXCO

Congress and Exhibition Center of A Coruña

Buy Tickets

The conference will take place on the 20th and 21st of November from 9:30 am to 8:00 pm. There will be two main themes or tracks: Security and JavaScript.


Workshops will run in parallel with talks. We will do our best to ensure that Security workshops are scheduled during the Javascript talks and viceversa, so you can attend most of the tracks you are interested in.

Regular ticket (Free!)

Regular ticket includes:

  • Access to all talks in both tracks.
  • Access to the Hackaton (separate registration required).
  • Access to all activities organized as a part of the conference.
  • Access to all conference discounts and gifts.

Register

Workshop (50€ / 30€ student)

Details:

  • All Regular ticket benefits.
  • 4 hours of training course.
  • Your own laptop is required.
  • You will receive a certificate of completion after successfully completing the workshop.
  • You'll receive a GSICKMinds t-shirt.

Buy Ticket

Training (190€ / 80€ student)

Details:

  • All Regular ticket benefits.
  • 16 hours of training course (Wednesday and Thursday).
  • Your own laptop is required.
  • You will receive a certificate of completion after successfully completing the training.
  • You'll receive a GSICKMinds t-shirt.

Buy Ticket

** You must present a valid student card to be eligible for the discounts.

Salesforce Hackaton

  • Free registration for GSICKMinds attendees.
  • More than 6.000€ in prizes!
  • Rules and schedule coming soon.

Lightning Components Hackathon is an event produced by Salesforce that is designed for GSICKMinds attendees (technical & non-technical) to build apps/components using Salesforce technologies, and compete for prizes across different categories and most importantly: meet new people and scout for teammates to work on new or current projects.

We supply quick presentations and code samples that help to bootstrap your hacking, food to keep you going, and caffeine to keep you awake. Along with technical ninjas to assist you in building faster, smarter, and with new tools.

Our hackathon will introduce you to the latest cutting edge tools to help deploy your own web/hybrid app in Salesfoce, fully hosted in the cloud.

You can start learning and getting ready to Hack with Lightning here.

Speakers

Juan Garrido

Consulting

@triana

Apasionado de la seguridad. Consultor especializado en análisis forense y test de intrusión, lleva trabajando en proyectos de seguridad desde hace más de 9 años. Autor de varios libros técnicos,destacando entre ellos el libro 'Análisis forense digital en entornos Windows' el cual se encuentra en su tercera edición. A través de otros medios, Juan publica de manera regular artículos técnicos en prensa y blogs especializados. Juan es ponente común en muchas de las conferencias más importantes a nivel nacional y del panorama internacional, como bien pueden ser GsickMinds, RootedCon, Defcon, Troopers, BlackHat, etc… Podrás encontrarlo a través del blog SBD o en su blog personal http://windowstips.wordpress.com

:: Sim city

Las Smart City son una romántica - y cercana - visión de futuro. Medidores inteligentes o sistemas de control de tráfico son algunas de estas tecnologías, las cuales, una vez conectadas y adaptadas a cada zona de la ciudad, serán capaces de convertir a ésta en una smart city, aportando información de valor como por ejemplo el estado del tráfico, aparcamientos libres, calidad del aire, etc.. En esta presentación mostraremos el ecosistema IoT de algunas ciudades así como la electrónica utilizada. También analizaremos algunas vías de ataque, explotación y post-explotación.

Julian Shaphiro

Webflow

@shapiro

Julian Shapiro is startup founder and the creator of the Web's most popular standalone animation engine, Velocity.js. He lives in San Francisco.

:: UI Performance

How UI performance leads to flow-state, which increases user productivity and engagement.

Pedro Sánchez

ConexionInversa

@conexioninversa

He trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5), PCI-DSS y diversas metodologías de seguridad especialmente en el sector bancario durante más de diez años. También colaboro sobre seguridad, peritaje y análisis forense informático con diversas organizaciones comerciales y con las fuerzas y empresas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guardia Civil (GDT), la Brigada de Investigación Tecnológica de la policía nacional (BIT), INTECO y Ministerio de Defensa. He participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación OTAN SECRET.

Actualmente soy miembro de la Spanish Honeynet Project, fundador del blog Conexión Inversa También soy Perito Judicial Informático adscrito a la Asociación Nacional de Ciberseguridad y Pericia Tecnológica (ANCITE). Entusiasta de la empanada gallega y amante empedernido del chuletón Gallego.

:: Sorpresa!

Qingqing

Mobile Architect - Salesforce

Qingqing is a Software Architect at Salesforce where she works on the mobile apps including Salesforce1 and Salesforce Wave Analytics. When Apple launched the first iPhone in 2007, she launched her first mobile app as a side project, which is where her love for ‘all things mobile’ began! She loves to hear feedback on the apps she built, and lives by her motto, “Be the change you want to see.”

:: Re-use your Javascript Logic without Introducing WebView to your Native iOS Apps

Ángel Prado

Director Security - Salesforce

@pradoangelo

Ángel Prado es un Senior Manager de Seguridad de Producto en Salesforce.com, donde dirige un pequeño equipo de hackers éticos. Ángel ha trabajado como ingeniero de Software en Microsoft y Motorola. Con más de 8 años de experiencia en la comunidad de seguridad, Ángel ha presentado en los principales eventos internacionales de seguridad, tales como Black Hat USA, Hacker Halted, ToorCon, SecTor y GSICKMinds. Como gallego autóctono, Ángel es un apasionado del pulpo, malware, la empanada gallega, la seguridad de aplicaciones y el jamón ibérico.

:: Hackeando el mundo 6.0

Luciano Bello

PhD. Researcher - Chalmers Technical University

@microluciano

I'm a Debian Developer, a PhD student and a curious guy :)

:: What's academia doing towards a more secure JavaScript

Esta charla intentara dar una idea sobre el estado del arte e intentara ser un disparador sobre que temas le interesan a la industria y le escapan a la academia (y viceversa).

Juan Puig

Lead Engineer - Visa

@jpuigm

Juan lleva construyendo sistemas distribuidos y escalables por más de 5 años en varios ámbitos como finanzas, redes de comunicaciones, videojuegos y mensajería entre otros. Él tiene una amplia experiencia internacional en sistemas escritos en Erlang y ha intervenido en varias conferencias donde ha hablado sobre escalabilidad y rendimiento sobre aplicaciones escritas en Erlang.

:: Scalability and performance of distributed systems

Doug Chasman

Disthinguished Engineer - Salesforce

@dougchasman

Bio coming soon...

:: Lightning Components - JavaScript in the Enterprise

Lightning Components is a component technology from Salesforce, based on the Aura Framework. In this session we will discuss how this technology is used, how it works, and how it addresses the needs of the Salesforce multi-tenant enterprise cloud. Attendees who are familiar with JavaScript, HTML, CSS, and various frameworks and toolkits will learn how to use these with Lightning Components. Additionally, topics such as Salesforce packaging, monetizing components on AppExhange will be covered.

Alfonso Muñoz

Cyber Security Researcher - ElevenPaths

@mindcrypt

Senior Cyber Security Researcher en 11 Paths (Telefónica Digital - Identity & Privacy), donde trabaja en el departamento de research generando innovación radical y disruptiva en seguridad informática. Doctor de Telecomunicación por la Universidad Politécnica de Madrid en la especialidad de criptografía/esteganografía y PostDoc por la Universidad Carlos III en la temática de Advanced Switching Networks. Profesional con más de 10 años de experiencia en el campo de la seguridad informática en los cuales ha trabajado en proyectos con organismos europeos, ministerios y multinacionales en proyectos avanzados no convencionales. Ha publicado más de 40 artículos en journals y conferencias científicas de prestigio en el campo de la seguridad informática, así como es ponente habitual de conferencias de seguridad informática y hacking (DeepSec, RootedCon, No cON Name, GSICKMinds,...). Actualmente posee la certificación CISA (Certified Information Systems Auditor) y es CEHv8 (Certified Ethical Hacker). Es (Co) editor de la red temática de criptografía y seguridad de la información (CRIPTORED) donde dirige proyectos de difusión masiva (Intypedia, Thoth, DISI, TASSI, etc.) y realiza formación/asesoramiento avanzado en Ciberseguridad. En paralelo es seleccionador nacional en el programa de Telefónica Talentum Startups que busca jóvenes con talento en el territorio nacional.

:: Hacking with stegomalware. Real threat?

La esteganografía es una ciencia tan antigua como la necesidad del ser humano de proteger sus secretos. Durante muchos años, por no decir siglos, ha sido una ciencia un tanto elitista, en ciertos momentos con grados de misticismo, muy vinculada al mundo político-militar. Muchos investigadores la ven como un tipo de técnica peculiar sin gran impacto en la protección de nuestras comunicaciones en el día a día o su vinculación con la seguridad de los sistemas informáticos. En esta ponencia se hará un recorrido por las técnicas esteganográficas más interesantes que se pueden aplicar no solo para ocultar malware si no adicionalmente para ejecutarlo. Se verán ejemplos en diferentes plataformas y cómo responden diferentes soluciones antivirus.

Jose Luis Verdeguer

Responsable de sistemas - ZoonSuite

@pepeluxx

Ingeniero Técnico de Sistemas Informáticos, Máster en Desarrollo de Aplicaciones y Servicios Web. Actualmente responsable de sistemas en ZoonSuite, operador de VoIP.

:: Fraude telefónico

Análisis de las distintas técnicas para abusar de un sistema de VoIP mal configurado, desde la obtención de cuentas de usuario hasta la posibilidad de realizar llamadas sin conocer ningún usuario ni contraseña de un sistema. Detección de abusos en el sistema y trazabilidad de llamadas.

Marc Rivero López

eCrime.info - Analista de malware

@Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacional. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente en eventos nacionales (NocONName, Owasp, Navaja Negra) e internacionales (DragonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity). Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona.

:: 8 años de APT’s ¿Qué hemos aprendido?

La charla tratará de explicar 8 años de ataques APT's a corporaciones. En dichos ataques se mostrarán los detalles más significativos y las lecciones aprendidas de cada uno de ellos. Se mostrará patrones en común usados por los diferentes actores de los APT's. Además se mostrará un ecosistema para la defensa de estos tipos de ataques a grandes corporaciones.

Javier Rodriguez

Cybercrime Unit - GDT (Guardia Civil)

@Javiover

Desde marzo de 2009, forma parte del Grupo de Delitos Telemáticos de la Guardia Civil, enmarcado dentro del Área de I+D. Anteriormente desarrolló tareas de auditor/pentester en diversas empresas de seguridad. Posee varias certificaciones (Corelan win32 exploit development bootcamp, Auditoria de Seguridad/Pentesting, CEH, etc) y una experiencia profesional de 10 años en el sector de la seguridad.

:: TBD

Alberto Pastor

Software Engineer - Mozilla

@pastoret

Software Engineer en Mozilla, trabjando en el projectoFirefoxOS. Previamente he trabajado en compañias como Telefonica Digital o Skype. Open Web entusiasta y amante del Javascript.

:: El futuro de FirefoxOS

Borja Salguero

Firefox OS Engineer - Telefónica

@borjasalguero

Web technologies passionate and Vespa enthusiast, I’ve been working in FirefoxOS trying to do the same as Enrico Piaggio did with the Scooter, make the web technologies affordable to everybody.

:: Let’s keep it simple, let’s support the Web!

Pablo Gonzalez

Project Manager - ElevenPaths

@pablogonzalezpe

Ingeniero en Informática por la Universidad Rey Juan Carlos. Trabaja en 11Paths – Telefónica Digital Identity & Privacy como Project Manager. Es docente en el Máster de Seguridad de Tecnologías de la Información y de las Comunicaciones en la Universidad Europea de Madrid. Trabajó en Informatica64 durante 4 años en Formación, Consultoría y Auditoría. Tiene diversas publicaciones en el ámbito de la Seguridad de la Información: Metasploit para Pentesters, Ethical Hacking: Teoría y práctica para la realización de un pentesting, Pentesting con Kali.

:: Pentesting con PowerShell

Powershell es una de las vías que cualquier pentester tiene al alcance de su mano en los entornos Microsoft. Esta potente línea de comandos de Microsoft permite realizar numerosas acciones que ayudan al pentester para cuando éste no dispone de las herramientas clásicas. En la charla se verán usos y posibilidades que ofrece la herramienta tanto en las fases de recopilación de información, fingerprinting, explotación, post-explotación, evasión de AVs, ejecución de código y el uso de distintos frameworks con los que el pentester puede apoyarse en entornos de difícil acceso y con fuertes restricciones, ya que Powershell se encuentra en las máquinas por defecto.

Daniel Kachakil

Software Architect - ElevenPaths

@Kachakil

Ingeniero en informática y máster en ingeniería de software. Arquitecto de software y 'head of challenges' en Eleven Paths. Participante habitual en numerosos retos de hacking ético a nivel nacional e internacional, online y presenciales, de forma individual y en equipo (int3pids), habiendo ganado u obtenido puestos destacados en la mayoría de ellos. Ponente en varias conferencias y cursos relacionados con la seguridad informática.

:: Workshop: Introduction al hacking web

Diego Ferreiro Val

Principal Engineer - Salesforce

@diervo

Diego Ferreiro is a Principal UI and Web Performance engineer at Salesforce. He was previously at Yahoo!, working in the Search Platform Team migrating the architecture to use NodeJS and Mojito. Diego spend his days worrying about web performance, 60fps animations, and making the UI faster.

:: Training: 'Node: De 0 a Ninja!'

Jesus Pérez

Lead Mobile Developer - eFace2Face

@jesusprubio

Jesús Pérez es un entusiasta de Node, la seguridad y el software libre. Actualmente trabaja en tecnologías móviles y anteriormente como desarrollador Node/JavaScript en Filterly. En otras vidas fue programador VoIP, experto en seguridad e incluso administrador de sistemas. Como resultado de su trabajo como pentester (y su tiempo libre) implementó Bluebox-ng, un escáner de vulnerabilidades VoIP. Además colabora como profesor invitado en la FIC, en donde dirige algunos proyectos de fin de carrera, y en el blog Security by Default.

:: Training: 'Node: De 0 a Ninja!'

Ignacio Sorribas

Security Consultant (Pentester) - NCC Group

@NachoSorribas

Ignacio Sorribas Mollar (a.k.a. h4rds3c), Ingeniero Informático por la Universitat Jaume I de Castellón y especialista en seguridad informática con certificaciones CISSP®,OSCP®, CCNA® y CCNA Security. Actualmente Security Consultant (PenTester) en NCC Group. También he sido profesor externo del Centro de Formación Permanente (CFP) de la Universidad Politécnica de Valencia (UPV) donde he impartido el módulo de PenTesting del “Curso de Seguridad informática” así como profesor externo de la Fundació Universitat Empresa (FUE) de la Universitat Jaume I de Castellón (UJI) donde he impartido los módulos de Seguridad en Sistemas Operativos y Metasploit del 'Curso de Seguridad Avanzada: Ataque y Defensa'. Aficionado a los retos de seguridad (CTFs) soy miembro de W3b0n3s, donde en 2013 alcanzamos la final del Facebook CTF en la NoConName quedando en quinto lugar y en 2014 obtuvimos el cuarto lugar en RootedArena y el premio especial al mejor WriteUp.

:: Workshop: 'Pentesting con Metasploit... y más!!'

Oscar Tebar (Kifo/Cirin)

Auditor de seguridad - InnoTec

@infiltrandome

Conquense de nacimiento, aficionado desde pequeño a cualquier 'cacharro electrónico'. Auditor de seguridad y entusiasta de la (in)seguridad informática, participante asiduo de cualquier CTF. Ponente en varias conferencias a nivel nacional.

:: Workshop: 'Pentesting con Metasploit... y más!!'

Tyler Crim

Software Engineer - Salesforce

Tyler is currently a software engineer at Salesforce.com where he works on UI across a far-too-large range of supported devices and platforms. Mr. Crimm has found Javascript to be his tool of choice in exploring the realms of human-computer interaction with projects ranging from using a NES controller to control Pandora to visualizing the tendencies of baseball players in the MLB.

:: Workshop: Introducction to React and friends

Our Workshops

Node: De 0 a Ninja! (16h.)

El taller será eminentemente práctico, cada concepto irá acompañado de su correspondiente código ilustrativo, que el asistente ha de comprender. Se desarrollarán su propia API (Express / Hapi) integración base de datos NoSQL, que desplegaremos en Heroku, automatizando todo el proceso mediante un “build system”. Nuestro reto es poner un énfasis especial en la parte de la arquitectura, con el objetivo de transmitir una visión global de las posibilidades a la hora de afrontar el diseño de este tipo de sistemas.

  • Conociendo Node (history & arquitectura)
  • Patrones de diseño
  • Servicios web
  • Seguridad
  • Rendimiento

Diego Ferreiro Val

@diervo

Principal Engineer - Salesforce

Jesus Pérez

@jesusprubio

Lead Mobile Developer - eFace2Face

Pentesting con Metasploit... y más!! (4h.)

Se mostrará como configurar y usar Metasploit, como combinarlo con otras técnicas y herramientas de pentesting, como guardar los resultados de nuestros PenTests en base de datos, como sacar el máximo partido de Meterpreter y sus extensiones, como pivotar de un host al resto de la LAN, etc.El taller tratará de mostrar al alumno la potencia de Metasploit durante un Pentest, mostrando como utilizar no solo la consola, sino otras herramientas importantes que incorpora el Framework que se pueden combinar con distintas técnicas de hacking.

Profundizaremos bastante en el uso de 'Meterpreter', utilizando las sesiones como 'gateway' para pivotar en la red interna, utilizaremos extensiones como 'Incongnito' o 'Mimikatz' en entornos windows para escalar privilegios dentro del directorio Activo, mostraremos como funciona el ataque 'PassTheHash', como escalar privilegios en un Windows 7 con UAC activado utilizando 'BypassUAC' y como utilizar nuestra sesión activa para capturar tráfico de red entre otras cosas. Para mostrar todo lo anterior contaremos con un laboratorio formado por maquinas virtuales que simularán una completa red corporativa que los asistentes deberán atacar.

Ignacio Sorribas

@NachoSorribas

Security Consultant (Pentester) - NCC Group

Oscar Tebar (Kifo/Cirin)

@infiltrandome

Auditor de seguridad - InnoTec

Introduction al hacking web (4h.)

El mundo web sigue en constante evolución y crecimiento. Cada vez es menos frecuente encontrarse con páginas estáticas, siendo las aplicaciones web dinámicas, que ejecutan código tanto en el servidor como en el cliente, las que predominan con clara diferencia. Esta complejidad intrínseca hace que estas aplicaciones tengan una superficie de exposición mucho mayor que sus predecesoras, requiriendo por tanto de más experiencia y conocimientos para evitar dejarse alguna puerta abierta.

En este taller haremos un repaso teórico-práctico a una amplia variedad de vulnerabilidades típicas de estos entornos, abordándolas tanto desde el punto de vista defensivo (orientado a desarrolladores o personal de IT), como ofensivo (orientado a auditores de seguridad o pentesters). Si nunca hemos oído hablar de una vulnerabilidad, difícilmente vamos a poder protegernos o aprovecharnos de ella, dependiendo de nuestro rol. Por ello, sin llegar a profundizar en exceso en ninguna de ellas, trataremos de explicar y experimentar con el mayor número posible de vulnerabilidades web: inyecciones (SQL, XPath, LDAP, HTML, comandos, etc), XSS, LFI/RFI, path traversal, XXE, CSRF, peculiaridades de algunos lenguajes, mala implementación de cifrados, valores predecibles, mala configuración de aplicaciones o del entorno, CVE, etc.

Daniel Kachakil

@Kachakil

Software Architect - ElevenPaths

Our Venue

NOV 20-21, 2015

A Coruña / Spain

PALEXCO

Congress and Exhibition Center of A Coruña

Tweet this
Muelle de Transatlánticos, s/n, 15003 A Coruña | (+34) 981 22 88 88

A-9 | Autovía del Noroeste | N 634

Latitude 43º 22´ 8.3´´ North

Longitude 8º 23´ 56.9´´ West

Renfe station

Joaquín Planelles Riera s/n

P: (+34) 902 240 202

Alvedro Airport

(Just 8 km from downtown)

P: (+34) 902 404 704

About Us

GSICKMINDS is an event created by and for people like you: passionate about technology, who enjoy sharing knowledge and do not see a better way to learn than doing. Gildas Avoine, David Barroso, Chema Alonso, Rubén Santanmarta, Angel Prado, Juliano Rizzo, Alejandro Ramos, Pedro Sánchez, Juan Garrido, Alfonso Muñoz, Jose Selvi ... are some of the 'sick minds' we had to date.

New! We've decided to adopt our JSConf friends code of conduct: http://jsconf.com/codeofconduct.html

GSICKMINDS is organized by the Information Security Group of A Coruña (GSIC), born in 2009 under the sponsorship of the School of Computing of A Coruña and the University of A Coruña, in order to promote the development of secure information systems and propose solutions that protect the integrity and confidentiality of digital assets.

Ángel
Prado

@pradoangelo

Ismael
Faro

@ismaelfaro

Jose Eulogio
Cribeiro

@weros

Andrea
Slugenova

@_Andreusky

Arturo
Silvelo

@arturosilvelo

Sergio
García

@s3rgiogr

Jesús
Pérez

@jesusprubio

Ananda
Rio

@anandarionunez

David
Hermida

@Moussenger

Diego
Ferreiro

@diervo

Álvaro
Faílde

@the_avo

Daniel
Cambón

@dani_cambon

Gallery Archive Press