ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 20-24 de enero Las noticias de ciberseguridad más destacadas de la última semana reunidas en este informe realizado por nuestros expertos del Security Cyberoperations Center.
Andrés Naranjo Un resumen de Melilla SecureTIC 2020 Nuestro CSE Andrés Naranjo cuenta en este completo resumen cómo fue el evento sobre ciberseguridad Melilla SecureTIC 2020.
Pablo Alarcón Padellano Palo Alto Networks premia a Telefónica Soluciones Palo Alto Networks es líder mundial en ciberseguridad, y con su Programa de Socios NextWave, ha creado un ecosistema de socios innovadores de seguridad, expertos en mejorar su plataforma...
ElevenPaths ElevenPaths en la RootedCON Valencia El congreso RootedValencia 2017 celebra su cuarta edición durante los días 15 y 16 de septiembre de 2017 en la Fundación Universidad-Empresa de la Universitat de València (ADEIT). ...
Gonzalo Álvarez de Marañón SHA-1 no celebrará más cumpleaños, ha muerto En este post te contámos por qué el algoritmo SHA-1 ha acabado por considerarse completamente inseguro.
ElevenPaths ¡Nuevo podcast! Actualidad con nuestros expertos en #ElevenPathsRadio Presentamos un nuevo programa de ElevenPaths Radio. La actualidad en ciberseguridad más destacada analizada por nuestros Chief Security Ambassadors.
ElevenPaths Eleven Paths Talks: The ISF Standard of Good Practice for Information Security ¡Regístrate aquí! El próximo Jueves 19 de Mayo nuestro compañero Sebastian impartirá una charla sobre The ISF Standard of Good Practice for Information Security. Las buenas prácticas a través de estándares son algo...
ElevenPaths Un recorrido por el “metasploit” de la NSA y sus exploits para Windows En estos días, una de las noticias que ha generado mucho movimiento en la comunidad de seguridad ha sido la nueva publicación de TheShadowBrokers relacionada con el hackeo que...
Andrés Naranjo Un resumen de Melilla SecureTIC 2020 Nuestro CSE Andrés Naranjo cuenta en este completo resumen cómo fue el evento sobre ciberseguridad Melilla SecureTIC 2020.
ElevenPaths ¡Nuevo podcast! Actualidad con nuestros expertos en #ElevenPathsRadio Presentamos un nuevo programa de ElevenPaths Radio. La actualidad en ciberseguridad más destacada analizada por nuestros Chief Security Ambassadors.
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 2-6 de diciembre Segunda edición de nuestro boletín semana del noticias sobre ciberseguridad. Los ataques y vulnerabilidades más relevantes, analizadas por nuestros expertos del SCC: Strandhogg: vulnerabilidad en Android que permite obtener credenciales...
Andrés Naranjo Un resumen de Melilla SecureTIC 2020 Nuestro CSE Andrés Naranjo cuenta en este completo resumen cómo fue el evento sobre ciberseguridad Melilla SecureTIC 2020.
Ejemplos de fuga de información a través de webElevenPaths 16 julio, 2014 En el proceso de desarrollo de un software (ya sea una aplicación web o un sistema de información en general), el código se suele someter a un continuo cambio que engloba despliegues en producción, reestructuraciones, actualizaciones, etcétera. Durante estas etapas de la evolución del software aumentan las posibilidades de que se produzca un error humano que pueda suponer un riesgo para la integridad y la privacidad de la información que la aplicación gestiona. La fase de recopilación de información sobre el sitio que se está auditando es clave durante el proceso de auditoría. Cuanta mayor información posea el auditor, con mayor eficacia podrá detectar fallos y errores. Las fugas de información o código suelen proporcionar los datos necesarios para culminar o continuar ataques, dando peso a la auditoría. A continuación se muestran diversos casos que ejemplifican diversos escenarios habituales de fugas simples (pero graves) de información. Caso 1: Conexiones a Base de datos en ficheros de respaldo Un ejemplo clásico de revelación de información muy sensible es dejar la cadena de conexión al servidor de base de datos en una copia de seguridad del fichero con la lógica de la aplicación. En ella suele encontrarse la contraseña, y esto permite al atacante o auditor tomar control. Conexión a base de datos MySQL Como ejemplo de lo común que podría resultar (aunque obviamente no todos los resultados se puedan contar como una fuga), usando un buscador se pueden descubrir miles de resultados de este tipo. Resultados al buscar por cadenas de conexión a servidores MySQL en archivos sql o bak Caso 2: Fugas de información generadas por el sistema operativo Es importante tener en cuenta los ficheros generados por el sistema operativo. Por ejemplo, en el caso de Linux se podría llegar a encontrar el histórico de los comandos. Resultados al buscar archivos bash_history Si profundizamos en las herramientas usadas por un sistema operativo podemos encontrar que editores de texto como VIM o EMACS, generan copias de seguridad ocultas .Sin el debido cuidado, esa información puede quedar pública. Caso 3: Errores por parte del desarrollo y el despliegue de la aplicación Es muy común encontrar fugas de información provocadas por un mal desarrollo y que como consecuencia se revele información sobre rutas internas o la propia implementación. Un ejemplo habitual son los errores mostrados por PHP. Fuga de información generada por un error en el script PHP En la imagen se observa una fuga de información que revela tanto la ruta interna del fichero afectado, como un parámetro al que se accede directamente: Resultados al buscar por la fuga de información mostrada en la imagen anterior Caso 4: Manejadores de errores También es posible que el sitio web implemente un manejador de errores como el caso de ASP.NET, elmah (Error Logging Modules and Handlers). Este muestra los errores producidos a lo largo de la vida del servidor web y si no se ha configurado correctamente estará disponible al público accediendo al “fichero” elmah.axd: Resultados al buscar por el manejador de errores elmah Existes múltiples manejadores de errores para cada plataforma. Además, dependiendo del manejador mostrará mayor o menor cantidad de información. Un ejemplo para PHP sería el framework Symfony, que contiene su propio manejador de errores y muestra una traza del error muy completa junto con la línea de código afectada: Manejador de errores Symfony Resultados al buscar manejadores de erorres Symfony Conclusión Independientemente de la plataforma o el lenguaje que se utilice para el desarrollo de la aplicación, se pueden encontrar fugas de información que pueden comprometer la seguridad de la empresa y a su imagen. Es importante configurar correctamente los entornos, almacenar las copias de seguridad en lugar privado, aprovechar herramientas de control de versiones y no mantener copias innecesarias, además de revisar periódicamente los archivos públicos del servidor. Faast, como herramienta de pentesting persistente, tiene en cuenta este tipo de fugas de información (y muchas otras) que permitirían a un posible atacante conocer en mayor profundidad la aplicación y sus componentes, detectándolas y mostrando evidencias de la fuga. Al detectarla, Faast intenta extraer el mayor volumen de datos posible, incluyendo usuarios, versiones de software, servicios, rutas internas, etcétera, relacionando la fuga de información obtenida con el servidor que la contiene. Evidencia de fuga de código mostrara en la interfaz web de Faast Oscar Sánchez oscar.sanchez@11paths.com Certificados falsos, CRLSets y sospechasLatch in Node.js… too mainstream?
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 20-24 de enero Las noticias de ciberseguridad más destacadas de la última semana reunidas en este informe realizado por nuestros expertos del Security Cyberoperations Center.
Andrés Naranjo Un resumen de Melilla SecureTIC 2020 Nuestro CSE Andrés Naranjo cuenta en este completo resumen cómo fue el evento sobre ciberseguridad Melilla SecureTIC 2020.
Gonzalo Álvarez de Marañón SHA-1 no celebrará más cumpleaños, ha muerto En este post te contámos por qué el algoritmo SHA-1 ha acabado por considerarse completamente inseguro.
ElevenPaths ¡Nuevo podcast! Actualidad con nuestros expertos en #ElevenPathsRadio Presentamos un nuevo programa de ElevenPaths Radio. La actualidad en ciberseguridad más destacada analizada por nuestros Chief Security Ambassadors.
Gonzalo Álvarez de Marañón Fiat Cryptography, el sistema del MIT para generar código criptográfico optimizado para todo tipo de hardware Analizamos el sistema desarrollado por investigadores del MIT para generar algoritmos criptográficos optimizados en todas las plataformas de hardware.
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 13-17 de enero Las noticias de ciberseguridad más relevantes de la semana, recopiladas por nuestros expertos. Exploit público para CVE-2020-0601 Se ha publicado un exploit para la vulnerabilidad CVE-2020-0601 (CVSSv3 8.1) de suplantación...
