ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-15 de enero Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds,...
ElevenPaths ElevenPaths Radio #12 – Simulación de Adversarios / MITRE ATT&CK Con el incremento exponencial de los ciberataques que se ha producido en los últimos años, cada vez es más necesario conocer y tener las capacidades de simular a los...
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 27-31 de enero Conoce aquí las noticias de ciberseguridad más importantes de esta semana, recopiladas en este informe de nuestros expertos del Security Cyberoperations Center.
Gabriel Bergel Lazarus, levántate y camina… Haciendo alusión a la frase celebre que le dice Jesús a Lázaro cuando lo resucita quiero partir este post, pero en este caso el protagonista no es el personaje bíblico,...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-15 de enero Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds,...
Carlos Ávila Gestión de datos de laboratorios (LIMS) y sus aplicaciones móviles Para los científicos e investigadores la optimización del tiempo en un laboratorio en la actualidad juega un papel fundamental para procesar y emitir resultados. Existen aplicaciones que tienen capacidades...
ElevenPaths Seguridad criptográfica en IoT (II) La proliferación de dispositivos y plataformas de servicios IoT está siendo mucho más rápida que la adopción de medidas de seguridad en su ámbito. Ante la apremiante necesidad de...
Área de Innovación y Laboratorio de ElevenPaths Innovación y laboratorio de ElevenPaths y los C&C persistentes en la “Geek Street” de Infosecurity Europe 2018 Infosecurity Europe (Infosec) es uno de los eventos de seguridad más grandes de Londres. Se trata de una feria donde se reúnen casi 20.000 profesionales alrededor de unos 400 stands de fabricantes,...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-15 de enero Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds,...
ElevenPaths ElevenPaths Radio #12 – Simulación de Adversarios / MITRE ATT&CK Con el incremento exponencial de los ciberataques que se ha producido en los últimos años, cada vez es más necesario conocer y tener las capacidades de simular a los...
CSAs de ElevenPaths 10 tips para un teletrabajo seguro en tu empresa Te contamos diez medidas que debes llevar a cabo para que el teletrabajo sea seguro tanto para tu empresa como para tus empleados y clientes.
ElevenPaths Historias de #MujeresHacker: Paula López, Data Scientist en la 4ª Plataforma de Telefónica Esta semana os presentamos a Paula López, experta en Data Science que disfruta el día a día diseñando y desarrollando modelos analíticos y algoritmos basados en Machine Learning e...
El XSS universal: Un desastre contra la privacidad de AndroidElevenPaths 18 septiembre, 2014 “No podía creerlo, pero después de varias pruebas, parece que es verdad: en el navegador de Android es posible cargar JavaScript arbitrario en cualquier página”. Con esta introducción de Joe Vennix, del equipo de Metasploit, se presenta el último “desastre de privacidad” en Android (ha habido varios, al menos clasificados como desastres, y Joe ha desarrollado exploit para algunos…). Pero este es un poco especial, por su sencillez y alcance. Rafay Baloch lo descubrió a principios de septiembre. Un fallo en el navegador por defecto de Android que permite eludir la política de SOP (Same Origin Policy) en las páginas. A efectos prácticos, significa que si se visita una web de un atacante con el navegador por defecto, el atacante podría tener acceso a toda la información de cualquier página. No solo la información explícita sino obviamente a las cookies (si no están protegidas) y por tanto, pueden robar las sesiones de las webs. ¿SOP? La política del mismo origen en los navegadores es el fundamento de su seguridad. Básicamente (excepto objetos con “src”, y el “location”) significa que el JavaScript de una página no puede mezclarse con otra. Está restringido a la web que lo lanza y no puede salir de ahí. Si lo hiciera, tendría acceso prácticamente al control total de cualquier otra web. El “truco” en este caso, estaba en introducir un carácter nulo al principio de la declaración del javaScript. Por ejemplo así: Ocurre que muchas páginas impiden en su propio código que sean llamadas por un iframe, y abortan su ejecución si se saben que son llamadas así. Sin embargo, se solucionó rápido. Usando “sandbox” u opciones x-frame es posible eludir esto. Es más, ya lo han sacado en un módulo de mestasploit que hace el XSS completamente universal. ¿Es tan grave? Otros problemas previos (que también fueron muy graves), también fueron sencillos de explotar, pero este es grave por lo sencillo de entender y explotar. Afecta a cualquier versión menos la 4.4, lo que viene siendo un 75% de los Android actualmente en activo. También es grave que exista ya un sencillo módulo de metasploit, y que sea tan fácil de configurar. El atacante solo debe “obligar” a la víctima a visitar una web. Y debe hacerlo con el navegador por defecto… que es el que la mayoría usará. De hecho, parece que se usa tanto como Chrome para móviles. Fuente: www.netmarketshare.com En cualquier caso, si la web utiliza la protección “HTTPonly” para la cookie, en principio no podría ser robada por JavaScript, pero sí se podría acceder al contenido de una web (aunque estuviera cerrada la pestaña, basta con que la sesión se encontrase activa). Esto implicaría, que si se tiene la sesión abierta, y se visita una web del atacante, este podría leer correos si se consultó el webmail hace poco, datos bancarios si la sesión del banco aún está abierta, etc. Obviamente, el usuario debe utilizar otro navegador para protegerse ahora mismo, o esperar un parche… cosa que, como de costumbre en los móviles, es complicado que ocurra a corto plazo. Los comandos en metasploit para que un atacante prepare una página para robar el contenido de una web, serían tan sencillos como estos: Otros desastres en Android Este es el enésimo fallo en Android que “afecta a la inmensa mayoría de dispositivos Android”. En realidad, siempre que se encuentre un fallo en cualquier plataforma, afectará a una inmensa mayoría de esos dispositivos… pero es cierto que con Android se es más propenso a utilizar estos titulares, con porcentajes o números incluidos. Recordemos brevemente algunos de ellos: En marzo, con HeartBleed, se anunció que 50 millones de sistemas Android también se veían afectados. En junio, se anunciaba que un desbordamiento de pila (que permitía la ejecución de código) en el KeyStore de Android afectaba al 86% de los dispositivos Android. En julio, los Android desde 2010 estaban en riesgo, porque el Fake ID permitía suplantar el certificado de cualquier app. Esto era el 82% de los dispositivos. La vulnerabilidad “Master key” en el verano de 2013, también afectaba al 99% de los Android, y permitía modificar el apk sin romper la firma criptográfica. Aun así, parece que todavía no se ha detectado que estos fallos hayan sido explotados de forma masiva por atacantes. Sergio de los Santos ssantos@11paths.com @ssantosv Faast: La importancia de un buen mapa de activosNews: Nuevo plugin de latch para sistemas basados en Unix, Linux y Mac
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-15 de enero Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds,...
Carlos Ávila Gestión de datos de laboratorios (LIMS) y sus aplicaciones móviles Para los científicos e investigadores la optimización del tiempo en un laboratorio en la actualidad juega un papel fundamental para procesar y emitir resultados. Existen aplicaciones que tienen capacidades...
ElevenPaths ElevenPaths Radio #12 – Simulación de Adversarios / MITRE ATT&CK Con el incremento exponencial de los ciberataques que se ha producido en los últimos años, cada vez es más necesario conocer y tener las capacidades de simular a los...
Gonzalo Álvarez Marañón El cifrado plausiblemente negable o cómo revelar una clave sin revelarla Cuando la policía secreta detuvo a Andrea en el control del aeropuerto, ella pensó que era un mero trámite reservado a todos los ciudadanos extranjeros. Cuando registraron su equipaje...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 2-8 de enero Actualización sobre SolarWinds Para cerrar el año, Microsoft emitió una actualización de sus investigaciones sobre el impacto en sus sistemas del compromiso de SolarWinds. Recalcan en este comunicado que tanto...
Carlos Ávila Actualización de términos y condiciones de WhatsApp: ¿una jugada atrevida? Seguramente a estas alturas muchos ya han aceptado los nuevos términos y políticas de privacidad sin saber en realidad de qué se trataba o el impacto en la privacidad...
