Publicado el nº 139 de Revista SIC, donde os hablamos sobre OMSP (Open Mobility Security Project)

Ya ha sido publicado el nº 139 de Revista SIC, donde nuestros compañeros, Juan Antonio Calles y Luis Vázquez, han tenido la oportunidad de compartir un interesante artículo acerca de nuestro proyecto OMSP (Open Mobility Security Project)


Accede al nº 139 de Revista SIC desde AQUÍ.

A partir de la página 74 encontraréis el artículo completo, donde se explica el origen del proyecto, su objetivo, el público al que va dirigido y las diferentes posibilidades para colaborar.

Así mismo, aprovechamos para recordaros que el pasado viernes 10 de abril, nuestros compañeros Juan Antonio CallesJosé HermosoLuis Vázquez y Francisco Palma, participaron en el congreso benéfico C0r0n4CON, en favor del plan responde de Cruz Roja en su lucha contra el Covid19, y al que nos sumamos desde Zerolynx, y donde presentaron el proyecto OMSP. La conferencia puede ser seguida en cualquier momento desde nuestro canal oficial de YouTube:




Para más información sobre OMSP (Open Mobility Security Project) no dudéis en visitar el proyecto oficial en nuestra cuenta de Github:

Hands on Lab – Bootcamp Tech 2020 (de abril a junio de 2020)



Desde hace varios meses, llevamos preparando desde Flu Project una serie de Hands on Labs conformados dentro de un Bootcamp tecnológico, que aglutina diferentes ramas de la ciberseguridad, la inteligencia artificial o el desarrollo, entre otras muchas destacadas. Si bien, inicialmente, nos habría encantado que estas sesiones tuviesen lugar presencialmente, la situación actual provocada por el Covid19 nos ha obligado a miles de empresas a reinventar nuestros modelos de negocio. Por ello, no hemos querido demorar este interesante Bootcamp, el cual finalmente realizaremos a través de Internet, haciendo uso de tecnologías de videopresencia.

El Bootcamp comprende 50 horas formativas, subdivididas en 10 formaciones de 5 horas, que podrán ser contratadas de forma conjunta (todo el Bootcamp), o por separado (cursos individuales).

Cada semana, dando comienzo el próximo 23 de abril de 2020, tendrá lugar una formación, la cual será impartida en 2 sesiones de 2,5 horas de duración, en horario de tarde (España), de 18:30 a 21:00h (UTC+1).

Itinerario formativo, fechas y horarios


Las sesiones que comprenderá el Bootcamp, son las siguientes:

  1. Conviértete en desarrollador fullstack (23 y 24 de abril, a las 18:30h)
  2. Machine Learning & Deep Learning: Aprende y aplica a tu entorno (29 y 30 de abril, a las 18:30h)
  3. Ethical Hacking & Pentesting. Lab I  (7 y 8 de mayo, a las 18:30h)
  4. Análisis forense digital (13 y 14 de mayo, a las 18:30h)
  5. Ethical Hacking & Pentesting. Lab II  (21 y 22 de mayo, a las 18:30h)
  6. Implementación de entornos seguros en Cloud  (28 y 29 de mayo, a las 18:30h)
  7. Threat Hunting (4 y 5 de junio, a las 18:30h)
  8. OSINT: Ciberinteligencia aplicada a la empresa (11 y 12 de junio, a las 18:30h)
  9. De DevOps a DevSecOps(18 y 19 de junio, a las 18:30h)
  10. Auditoría a sistemas de control industrial (25 y 26 de junio, a las 18:30h)

Precios y descuentos


  • El precio del Bootcamp completo es de 800 € (IVA Incluído). 
  • En el caso de contratar formaciones por separado, el coste de cada una de ellas será de 139 € (IVA Incluído).
  • Así mismo, hemos determinado una serie de descuentos a los que podréis aplicar en las siguiente situaciones.
    • En el caso de contratar una formación por separado antes del día 20 de abril a las 18:00h de España, el coste será de 129 € (IVA Incluído). Por tanto, se aplicará un descuento de 10 €. El código de descuento correspondiente es "20ABR2020".
    • En el caso de contratar una formación por separado y que el alumno sea a su vez estudiante universitario en el presente año académico, se encuentre en situación de desempleo, o pertenezca a alguna organización adscrita, el coste será de 99 € (IVA Incluído). Por tanto, se aplicará un descuento de 40 €. Los códigos de descuento son "DESEM2020" y "ESTUD2020", respectivamente. En el caso de las organizaciones adscritas, el código se lo facilitarán desde las asociaciones e instituciones con acuerdo vigente.
En el caso de particulares de fuera de la CEE, la factura no estará sujeta al impuesto sobre el valor añadido.

Método de pago


Los únicos medios de pago aceptados son:

  • Transferencia bancaria
  • Paypal

En ambos casos, será necesario el abono del curso completo antes del inicio del mismo, y el envío del justificante bancario, para que nuestro equipo de gestión formalice la inscripción al curso y remita al alumno la documentación necesaria para su realización. 

¿Cómo me registro a un curso?


Para registrarte en uno o varios cursos, tan solo tendrás que enviar un email a [email protected], indicando el siguiente asunto: 

  • [NOMBRE_CURSO o BOOTCAMP_COMPLETO] [CODIGO_DESCUENTO] [NOMBRE_ALUMNO]

Dentro del cuerpo del email, y por simplificar el proceso, requeriremos la siguiente información:

  • Datos de facturación (nombre completo, identificación/DNI/NIE y dirección postal). En el caso de que quién contrate sea una empresa, precisaremos los mismos datos de la empresa (nombre, CIF y dirección fiscal).
  • En el caso de tener Descuento, anexar el certificado que acredite la situación de desempleo o la matrícula de la Universidad.

Nuestros compañeros de gestión os remitirán la correspondiente factura, y una vez abonada por transferencia o paypal, deberéis enviarles el justificante correspondiente, para formalizar el registro.

En el caso de que no se llegue a un nº mínimo de alumnos en cada sesión, nos reservamos el derecho a cancelar la acción formativa. En ese caso, será devuelto íntegramente el dinero a los alumnos, y avisados con tiempo suficiente de la cancelación de la sesión o sesiones.

Certificado


Al finalizar cada formación, los alumnos recibirán un certificado de aprovechamiento donde se indicarán las materias aprendidas, el docente encargado y la duración de la sesión o sesiones a las que haya asistido.

Detalle de cada formación


En las siguientes fichas encontraréis mayor detalle sobre cada formación del Bootcamp:











Publicado el video de nuestra conferencia sobre Open Mobility Security Project (#OMSP)

El pasado viernes 10 de abril, nuestros compañeros Juan Antonio Calles, José Hermoso, Luis Vázquez y Francisco Palma, participaron en el congreso benéfico C0r0n4CON, en favor del plan responde de Cruz Roja en su lucha contra el Covid19, y al que nos sumamos desde Zerolynx la pasada semana.

En la conferencia, se presentó OMSP (Open Mobility Security Project), un proyecto abierto dedicado a estandarizar un marco de controles técnicos para evaluar la seguridad a nivel de hacking en todo tipo de vehículos, que lanzamos el pasado mes de marzo, y al que podéis acceder desde el siguiente enlace:

Si os perdisteis la ponencia de nuestros compañeros, podréis disfrutarla desde nuestro canal de YouTube, o desde el canal de Twitch oficial del evento.

Zerolynx se une a la lucha contra el Covid19

Nos sumamos al programa “Cruz Roja Responde”

Desde el inicio de la situación actual propiciada por el COVID-19, hemos sumado a nuestro objetivo principal de proteger a nuestros clientes, el de mantener también a salvo a todo nuestro equipo humano, para ello, hemos ido adoptando una serie de soluciones que contribuyan a la mejora de esta situación, apostando por medidas de distanciamiento social que permitan minimizar el contacto y reducir el riesgo de contagio entre nuestros trabajadores, adaptando todas nuestras tareas y actividades al teletrabajo.

Esta preocupación va más allá de mantener seguro todo nuestro entorno y el de nuestros clientes, y hemos querido trasladar este compromiso a la lucha contra el escenario de amenaza actual, mediante el apoyo a Cruz Roja y a su programa RESPONDE. A través de una donación por parte del Grupo Zerolynx, y mediante el apoyo de cientos de organizaciones y particulares, Cruz Roja dotará a casi un millón de personas de atención y acompañamiento telefónico, 25.000 familias recibirán bienes básicos, 16.000 personas serán apoyadas en materia de empleo y 3.000 personas sin hogar tendrán un lugar para dormir.

Desde Zerolynx animamos a organizaciones, y particulares, a colaborar en esta lucha conjunta para minimizar el impacto del COVID-19, ya sea mediante aportaciones económicas, o mediante la donación de material sanitario, prendas textiles, o cualquier tipo de apoyo industrial, tecnológico, logístico o incluso, psicológico, que pueda apoyar a nuestro sistema sanitario para responder y frenar la pandemia que actualmente estamos sufriendo, y a mantener nuestro tejido empresarial. 

Así mismo, nos gustaría transmitir un mensaje de agradecimiento a todos los trabajadores sanitarios, médicos, enfermeras y enfermeros, auxiliares, a todas las Fuerzas y Cuerpos de Seguridad del Estado, y en general, a todos los profesionales que día tras día aúnan esfuerzos para asegurar nuestro bienestar. De nuevo, GRACIAS

Para más información sobre el programa Cruz Roja RESPONDE: 

Publicada la presentación de nuestro taller sobre Threat Hunting en Sh3llcon 2020


Acabamos de publicar en nuestro sitio web oficial, las slides del taller que impartieron en la edición 2020 del congreso Sh3llcon, el responsable de nuestro área de Ciberdefensa, David Jiménez, y el responsable de nuestro área de Seguridad Ofensiva, Diego León.

La presentación, que lleva por nombre "Threat Hunting", trató sobre las actividades de defensa activa, basadas en la búsqueda iterativa y proactiva a través de la red, con el fin de detectar y aislar amenazas avanzadas que se encuentren evadiendo las soluciones de seguridad existentes. Este enfoque complementa las medidas de seguridad tradicionales, que de forma general requieren una investigación tras sufrir un incidente de seguridad.

Por lo general, la búsqueda de amenazas del Threat Hunting se basa en la premisa de que las organizaciones no tienen que esperar una alerta automática sobre un ataque antes de responder a una amenaza. Esto se logra mediante el análisis de diferentes fuentes de información públicas y privadas, con el fin de hacer inferencias y correlaciones sobre amenazas que hayan tenido lugar en entornos similares y que podrían haberles afectado. Esto podría conducir a la identificación de adversarios avanzados que pudiesen estar operando dentro de los sistemas de la organización y que sin esta búsqueda proactiva podrían no ser detectados.

La presentación podréis descargarla desde el siguiente enlace:

https://www.zerolynx.com/downloads/Sh3llcon_Taller_ThreatHunting_djimenez_dleon.pdf

¡Disfrutadla!

Ya puedes ver el vídeo de nuestra conferencia en #RootedCON "DevSecOps y la caída de Babilonia - Cómo olvidarse de lo básico"

Hace unos meses, desde la organización del congreso RootedCON lanzaron varios vídeos de la décima edición del congreso, en la que tuvimos el placer de participar desde Zerolynx con una conferencia en el track de DevOps. Coincidiendo con que hoy es el primer día de la edición XI, queríamos compartir la ponencia impartida en la pasada edición por Daniel González, nuestro Director de Operaciones, y por Helena Jalain, Security researcher del área de Offensive Security. 

Durante la charla, dedicada al DevSecOps, se partía desde una situación ideal donde las compañías seguían un ciclo de DevOps, tenían equipos de seguridad y estos, participaban y tenían cierto peso en todas las fases del desarrollo. Sin embargo, en la conferencia vimos que no todo estaba controlado, dado que demostramos que, aunque esto fuese así, seguían existiendo problemas de seguridad a los que no se les estaba haciendo frente. Por norma general, cuando se habla de DevSecOps, nunca se tratan las herramientas que soportan estos desarrollos y que pueden llegar a suponer una entrada camuflada para el acceso de los cibercriminales. 

A lo largo de la conferencia, presentamos los riesgos y criticidades que considerábamos claves dentro de los sistemas de desarrollo e incluso, expusimos varias experiencias dónde llegamos a hacernos administradores de dominio en algunas compañías gracias a los datos que se podían recoger a través de estas herramientas. Se hizo una demostración en la que se explotaron varias vulnerabilidades de Jenkins, y, finalmente, se presentaron algunos datos acerca del estado en el que se encontraban los Jenkins a nivel mundial respecto a las vulnerabilidades explotadas, con varios ejemplos concretos. 

A continuación, podréis disfrutar de la conferencia publicada en YouTube:


En la edición XI podréis ver la segunda parte de esta conferencia, que impartiremos el próximo sábado 7 en la Sala 19 de Kinépolis Madrid a las 16:30.

¡No faltéis!

#Zerolynx de nuevo en la 11ª edición de @RootedCON




Este 5 de marzo vuelve RootedCon y, cómo no, los linces volvemos a dejar nuestra huella. Daniel González, COO de la compañía Zerolynx, y Jesús Alcalde Alcázar, Responsable del Área de Desarrollo Seguro del grupo, presentarán una interesante charla titulada “DevSecOps: Into the unknown” en la Sala Lugus 19 el día 7 a las 16:30, en Kinépolis Madrid - Ciudad de la Imagen.

En ella explicarán cómo los entornos de desarrollo se están convirtiendo en uno de los menos controlados y, por tanto, más vulnerables de las organizaciones, especialmente en lo relativo a la implantación de la metodología DevOps. Esto es algo que ya se demostró en la anterior edición del congreso con “DevSecOps y la caída de Babilonia”, donde se enumeraron varias vulnerabilidades críticas presentes en las versiones de Jenkins de aquel momento. 

En esta ocasión, se ampliará el alcance de la investigación, al haber definido y desarrollado una suite de herramientas automáticas de reconocimiento y explotación de vulnerabilidades en entornos DevOps. Aunque ésta se publicará bajo licencia Open Source, durante la charla podréis disfrutar, en exclusiva, de una demostración en vivo de su funcionamiento. También se presentarán las nuevas vulnerabilidades detectadas durante la fase de investigación y desarrollo.

Así que, si ya tenéis vuestra entrada... ¡No lo dudéis más y pasaros a vernos!

Para más información visitad www.rootedcon.com

#Zerolynx participará en #HackOn2020 con un taller sobre #exploiting

Por si Sh3llCon y H-Con no fueron bastante, este jueves 6 de febrero de 2020, el equipo de Zerolynx estará presente en la 2ª edición de la HackOn, el evento de Ciberseguridad organizado los alumnos del Grado en Ingeniería de la Ciberseguridad de la URJC. Este evento será gratuito, sin ánimo de lucro y se celebrará en el Campus de Móstoles.


Zerolynx ha decidido apoyar de nuevo esta interesante iniciativa con un taller titulado “Exploiting añejo: La vida sin Pwntools” liderado por Jorge Escabias y Sergio Gutiérrez y que se impartirá en el Laboratorio I - Aula 003 de 17:00 a 19:00

El objetivo principal de esta actividad es introducir a los participantes en el mundo del exploiting sin herramientas automáticas, proporcionándoles los conocimientos necesarios sobre: explotación de Buffer Overflows sencillos, flujo de la pila, uso de debuggers, generación de payloads con MSFVENOM, uso de Framework Pwntools para la automatización, creación de exploits y técnicas de protección de memoria en ejecución (a través de técnicas legacy y actuales).

Así que no lo dudéis más, si queréis aprovecharla al máximo, no olvidéis echarle un vistazo a los Requisitos Mínimos recomendados por nuestro equipo. 


¡Nos vemos pronto!

Para más información: https://hackon.es/taller21.html

Publicada la presentación de nuestra conferencia Next Quic 2.0 en Sh3llcon 2020



Acabamos de publicar en nuestro sitio web oficial, las slides de la presentación que nuestro CEO, Juan Antonio Calles, y Jesús Alcalde, Responsable del Área de I+D, impartieron en la edición 2020 del congreso Sh3llcon, que tuvo lugar la pasada semana.

La presentación, que lleva por nombre "Next QUIC 2.0 Aún más rápido", podréis descargarla desde el siguiente enlace, y trata sobre la evolución de HTTP desde los años 90 hasta el día de hoy, las diferentes mejoras que han ido siendo incorporadas a lo largo de estos 30 años, y como todas ellas han repercutido en la situación actual del nuevo protocolo HTTP/3. Así mismo, en la presentación nuestros compañeros analizaron a bajo nivel el protocolo, y presentaron las diferentes medidas de seguridad que incorpora, así como las posibles vías de ataque existentes en la actualidad, mostrando además sendos ejemplos prácticos.


¡Disfrutadla!