ElevenPaths Eventos en los que participa ElevenPaths en agosto ¿Pensabas que nos íbamos de vacaciones? En agosto no paramos y continuamos por diferentes eventos y conferencias en los que compartir el mejor contenido en ciberseguridad. A continuación, os...
ElevenPaths ElevenPaths Radio – 1×05 Entrevista a Gianluca D’Antonio En este nueva entrega de nuestros podcast, Gonzalo Álvarez Marañón entrevista a Gianluca D’Antonio, Socio en Deloitte España, Presidente del ISMS Fórum y Director del Máster en Ciberseguridad del...
ElevenPaths Día de la Mujer, la diversidad es cosa de tod@s Hoy es el Día Internacional de la Mujer y, desde ElevenPaths, aportamos nuestro pequeño “granito de arena” con este artículo sobre diversidad. Este día surge a finales del siglo XIX, en los...
ElevenPaths Eventos de ciberseguridad de ElevenPaths en junio que no te puedes perder Si quieres estar al día en seguridad informática no puedes faltar a las citas que hemos seleccionado para ti. Aquí tienes la lista de actividades en las que participamos...
ElevenPaths #CodeTalks4Devs – Wild Wild Wifi: tu router en Paranoid Mode En este nuevo webinar para desarrolladores, contamos con dos expertos de lujo: Pablo Gonzalez y Ioseba Palop, parte del equipo de Ideas Locas de CDO de Telefónica. Durante este #CodeTalks4Devs,...
ElevenPaths Un resumen sobre la lucha de Windows contra la ejecución de código Con la llegada de Windows 10 parecía que Microsoft apostaba definitivamente por la seguridad en su sistema, pero la realidad nos dice que las técnicas y medidas que pretenden...
ElevenPaths Gestión de incidentes (II) Habiendo visto en la primera entrega, Gestión de Incidentes (I), los conceptos básicos de la gestión de incidentes, pasaremos a ver en este artículo, tal y como lo prometimos,...
Sergio De Los Santos Fallo en WhatsApp: a grandes errores, peores conclusiones Los sucesos que ocurren (malos o buenos) nos permiten avanzar y mejorar gracias a las conclusiones, enseñanzas o experiencias que podemos extraer de ellos. Sin aprendizaje, los eventos propios...
ElevenPaths #CodeTalks4Devs – Wild Wild Wifi: tu router en Paranoid Mode En este nuevo webinar para desarrolladores, contamos con dos expertos de lujo: Pablo Gonzalez y Ioseba Palop, parte del equipo de Ideas Locas de CDO de Telefónica. Durante este #CodeTalks4Devs,...
ElevenPaths Un resumen sobre la lucha de Windows contra la ejecución de código Con la llegada de Windows 10 parecía que Microsoft apostaba definitivamente por la seguridad en su sistema, pero la realidad nos dice que las técnicas y medidas que pretenden...
ElevenPaths Telefónica y ElevenPaths integramos nuestra solución de firma digital y biométrica con Microsoft Azure Telefónica y ElevenPaths celebran su V Security Innovation Day TELEFÓNICA Y ELEVENPATHS INTEGRAMOS NUESTRA SOLUCIÓN DE FIRMA DIGITAL Y BIOMÉTRICA SEALSIGN CON MICROSOFT AZURE La integración de SealSign con Microsoft Azure...
Gonzalo Álvarez de Marañón El gran reto de la computación segura en la nube: usando datos cifrados sin descifrarlos (II) La nube plantea grandes retos de seguridad. El más importante tal vez sea garantizar la privacidad de los datos. Es de cultura general que cifrando los datos antes de...
Ejemplos de fuga de información a través de webElevenPaths 16 julio, 2014 En el proceso de desarrollo de un software (ya sea una aplicación web o un sistema de información en general), el código se suele someter a un continuo cambio que engloba despliegues en producción, reestructuraciones, actualizaciones, etcétera. Durante estas etapas de la evolución del software aumentan las posibilidades de que se produzca un error humano que pueda suponer un riesgo para la integridad y la privacidad de la información que la aplicación gestiona. La fase de recopilación de información sobre el sitio que se está auditando es clave durante el proceso de auditoría. Cuanta mayor información posea el auditor, con mayor eficacia podrá detectar fallos y errores. Las fugas de información o código suelen proporcionar los datos necesarios para culminar o continuar ataques, dando peso a la auditoría. A continuación se muestran diversos casos que ejemplifican diversos escenarios habituales de fugas simples (pero graves) de información. Caso 1: Conexiones a Base de datos en ficheros de respaldo Un ejemplo clásico de revelación de información muy sensible es dejar la cadena de conexión al servidor de base de datos en una copia de seguridad del fichero con la lógica de la aplicación. En ella suele encontrarse la contraseña, y esto permite al atacante o auditor tomar control. Conexión a base de datos MySQL Como ejemplo de lo común que podría resultar (aunque obviamente no todos los resultados se puedan contar como una fuga), usando un buscador se pueden descubrir miles de resultados de este tipo. Resultados al buscar por cadenas de conexión a servidores MySQL en archivos sql o bak Caso 2: Fugas de información generadas por el sistema operativo Es importante tener en cuenta los ficheros generados por el sistema operativo. Por ejemplo, en el caso de Linux se podría llegar a encontrar el histórico de los comandos. Resultados al buscar archivos bash_history Si profundizamos en las herramientas usadas por un sistema operativo podemos encontrar que editores de texto como VIM o EMACS, generan copias de seguridad ocultas .Sin el debido cuidado, esa información puede quedar pública. Caso 3: Errores por parte del desarrollo y el despliegue de la aplicación Es muy común encontrar fugas de información provocadas por un mal desarrollo y que como consecuencia se revele información sobre rutas internas o la propia implementación. Un ejemplo habitual son los errores mostrados por PHP. Fuga de información generada por un error en el script PHP En la imagen se observa una fuga de información que revela tanto la ruta interna del fichero afectado, como un parámetro al que se accede directamente: Resultados al buscar por la fuga de información mostrada en la imagen anterior Caso 4: Manejadores de errores También es posible que el sitio web implemente un manejador de errores como el caso de ASP.NET, elmah (Error Logging Modules and Handlers). Este muestra los errores producidos a lo largo de la vida del servidor web y si no se ha configurado correctamente estará disponible al público accediendo al “fichero” elmah.axd: Resultados al buscar por el manejador de errores elmah Existes múltiples manejadores de errores para cada plataforma. Además, dependiendo del manejador mostrará mayor o menor cantidad de información. Un ejemplo para PHP sería el framework Symfony, que contiene su propio manejador de errores y muestra una traza del error muy completa junto con la línea de código afectada: Manejador de errores Symfony Resultados al buscar manejadores de erorres Symfony Conclusión Independientemente de la plataforma o el lenguaje que se utilice para el desarrollo de la aplicación, se pueden encontrar fugas de información que pueden comprometer la seguridad de la empresa y a su imagen. Es importante configurar correctamente los entornos, almacenar las copias de seguridad en lugar privado, aprovechar herramientas de control de versiones y no mantener copias innecesarias, además de revisar periódicamente los archivos públicos del servidor. Faast, como herramienta de pentesting persistente, tiene en cuenta este tipo de fugas de información (y muchas otras) que permitirían a un posible atacante conocer en mayor profundidad la aplicación y sus componentes, detectándolas y mostrando evidencias de la fuga. Al detectarla, Faast intenta extraer el mayor volumen de datos posible, incluyendo usuarios, versiones de software, servicios, rutas internas, etcétera, relacionando la fuga de información obtenida con el servidor que la contiene. Evidencia de fuga de código mostrara en la interfaz web de Faast Oscar Sánchez oscar.sanchez@11paths.com Certificados falsos, CRLSets y sospechasLatch in Node.js… too mainstream?
ElevenPaths #CodeTalks4Devs – Wild Wild Wifi: tu router en Paranoid Mode En este nuevo webinar para desarrolladores, contamos con dos expertos de lujo: Pablo Gonzalez y Ioseba Palop, parte del equipo de Ideas Locas de CDO de Telefónica. Durante este #CodeTalks4Devs,...
ElevenPaths Un resumen sobre la lucha de Windows contra la ejecución de código Con la llegada de Windows 10 parecía que Microsoft apostaba definitivamente por la seguridad en su sistema, pero la realidad nos dice que las técnicas y medidas que pretenden...
ElevenPaths ¿Qué es el Cryptojacking? Resumen de esta nueva amenaza Seguro que has oído hablar de las criptomonedas y de la tecnología Blockchain aplicada a la seguridad de estas nuevas divisas, pero este nueva manera de realizar transacciones también...
ElevenPaths Del #11PathsTalks a Black Hat Conference Las Vegas Hoy es el día en el que deberíamos publicar el #11PathsTalks sobre CarHacking. Sin embargo, y debido a que parte del equipo de ElevenPaths se encuentra en Las Vegas...
Área de Innovación y Laboratorio de ElevenPaths Cinco herramientas de ElevenPaths muy interesantes que quizás te hayas perdido (y una sorpresa) Vamos a hacer una entrada de blog de refrito, recopilando algunas de las herramientas propias que hemos desarrollado en los últimos tiempos y que consideramos interesantes. Resumimos sus funcionalidades...
Claudio Chifa Recuperación de datos y borrado seguro En este articulo vamos a tratar dos problemáticas igual de importantes, por un lado la recuperación de datos y por otro, la destrucción de datos o borrado seguro. ¿Bajo que condiciones se...
