Sergio De Los Santos Ciberseguros y cibercrimen ante “la devastadora epidemia global de ransomware”. Se eliminan coberturas AXA Francia elimina de su cobertura de ciberseguro el pago de rescate por ransomware. Descubre qué significa para el futuro de este tipo de cibercrimen.
ElevenPaths Boletín semanal de ciberseguridad 1-7 de mayo Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad....
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
ElevenPaths Telefónica, Gradiant y el Incibe mejoran la ciberseguridad de las empresas El acuerdo impulsa la transferencia de conocimiento hacia el sector privadoTEGRA continúa la senda para consolidar la posición de Galicia como actor de relevancia en el ámbito europeo de...
ElevenPaths Boletín semanal de ciberseguridad 1-7 de mayo Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad....
Diego Samuel Espitia Fileless malware: ataques en crecimiento pero controlables Los ataques de fileless malware han aumentado un 900% desde 20219, descubre cómo protegerte.
Fran Ramírez Fallo ¿crítico? en PGP y S/MIME permite revelar mensajes cifrados PGP y S/MIME son dos de los métodos más conocidos para cifrar emails por todo Internet. PGP (Pretty Good Privacy) fue desarrollado por Phil Zimmermann el cual utiliza la criptografía de clave pública para cifrar la...
ElevenPaths Eventos en los que participa ElevenPaths en el mes de julio ¿Quieres saber qué conferencias, eventos y congresos visitaremos este mes de julio? En este post enumeramos las fechas más importantes en las que nuestros expertos estarán compartiendo contenido con...
Sergio De Los Santos Ciberseguros y cibercrimen ante “la devastadora epidemia global de ransomware”. Se eliminan coberturas AXA Francia elimina de su cobertura de ciberseguro el pago de rescate por ransomware. Descubre qué significa para el futuro de este tipo de cibercrimen.
ElevenPaths Boletín semanal de ciberseguridad 1-7 de mayo Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad....
ElevenPaths SASE: El futuro de las redes y la seguridad ya está aquí Desde que en agosto de 2019, Gartner publicara su informe “The Future of Security Networks is in the Cloud” en el que señalaba el concepto SASE como la clave...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 12-18 de diciembre Compromiso en la cadena de suministro: SolarWinds Orion Investigadores de FireEye daban a conocer el domingo 13 de diciembre una importante operación global de espionaje y robo de información que...
ElevenPaths crea un addon para que Firefox sea compatible con Certificate Transparency (porque Firefox sigue sin hacerlo)Área de Innovación y Laboratorio de ElevenPaths 18 febrero, 2019 Certificate Transparency es ya obligatorio en Chrome para los nuevos certificados creados desde finales de 2017. Esto significa que se mostrará una alerta en las páginas protegidas por certificados que no estén presentes en los logs que Chrome comprueba para esa fecha. Ningún otro navegador soporta Certificate Transparency todavía. Firefox lleva años intentándolo, pero no ha podido conseguirlo por problemas de rendimiento que no ha solucionado. Veamos qué hemos hecho y por qué. Hemos realizado nuestro propio comprobador a través de una extensión Visto que en Mozilla no tiene fecha aún para activar esta funcionalidad, hemos vuelto a crear una extensión propia para el navegador para saber si el sitio cumple con Certificate Transparency, o al menos saber si tiene los SCT correctos. Un certificado se considera dado de alta en los logs si cuenta con un SCT (Signed Certificate Timestamp). Este SCT se le otorga al dueño del certificado original cuando se introduce en el log y el navegador debe verificar si es real y está al día, esto es lo que Chrome viene realizando durante ya hace un tiempo. El SCT puede ofrecerse al usuario de tres maneras diferentes: Incrustado en el certificado. A través de una extensión TLS. Aprovechando OCSP. No es sencillo desde la perspectiva técnica de un plugin en Firefox llegar a la capa de TLS o OCSP y comprobar el SCT. Por eso nuestro plugin por ahora solo comprueba el SCT incrustado en los propios certificados. Aunque no es la solución ideal, es el escenario mayoritario y la vía por la que se distribuyen la mayoría de los SCT. Aquí puedes descargarte la extensión directamente desde el repositorio oficial de Firefox, programada por nuestro compañero en Buenos Aires, Tomás Coiro. ¿Por qué no usar la fórmula que se supone ya existe en Mozilla? Mozilla incluyó hace un tiempo una API para extensiones que permitía calcular el valor de Certificate Transparency, básicamente, si el lugar había hecho sus deberes con el certificado. Pero no hemos podido usarla porque, por defecto, no funciona. Encontraron problemas de rendimiento en la API, y decidieron hace dos años, desactivarlo por defecto. Aun así, es muy sencillo volverlo a activar desde la configuración del navegador. Aunque no servirá de mucho. No serás capaz de ver nada, a no ser que muestres por consola un log. Sin la opción activa aparecía un “not applicable“. Con ella un “compliant” o “not_enough_scts” según el caso. Podríamos haber activado la opción por defecto en la extensión y monitorizar su salida, pero no lo hemos considerado lo más adecuado dado el impacto en el rendimiento y, además, por otras razones que detallamos a continuación. Ahondando un poco más en el funcionamiento (por ahora, “en pausa”) de Certificate Transparency en Firefox… ¿Cuántos SCT son suficientes para Firefox? Pues no lo tenemos claro, porque realizan unas cuentas algo extrañas. En cualquier caso (además del problema de rendimiento que reconocen), hemos comprobado que la mayoría de las veces, no son suficientes los SCT para satisfacer la política. Nos aparece constantemente “not_enough_sct, cuando Chrome sí que lo da por válido. En resumen, Firefox está trabajando para aportar la tecnología Certificate Transparency a su navegador, pero parece que existen otras prioridades y tras un primer intento, el trabajo ha quedado algo atascado. En todo caso, mientras lo solucionan, podéis utilizar nuestra extensión Certificate Transparency como ayuda. RSA Conference 2019Si quieres cambiar los hábitos de seguridad de tus empleados no apeles a su voluntad, cambia su entorno
Sergio De Los Santos Ciberseguros y cibercrimen ante “la devastadora epidemia global de ransomware”. Se eliminan coberturas AXA Francia elimina de su cobertura de ciberseguro el pago de rescate por ransomware. Descubre qué significa para el futuro de este tipo de cibercrimen.
ElevenPaths Boletín semanal de ciberseguridad 1-7 de mayo Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad....
Diego Samuel Espitia Fileless malware: ataques en crecimiento pero controlables Los ataques de fileless malware han aumentado un 900% desde 20219, descubre cómo protegerte.
Gonzalo Álvarez Marañón El futuro de las credenciales universitarias apunta hacia Blockchain y Open Badges Descubre cómo el Blockchain y las OpenBadges van a evolucionar las credenciales tradicionales para eliminar el fraude.
ElevenPaths ElevenPaths Radio 3×13 – Entrevista a Marta García Aller Hablamos sobre algoritmos, privacidad y tecnología con Marta García Aller, periodista de El Confidencial y escritora de "Lo imprevisible".
ElevenPaths Boletín semanal de ciberseguridad 24-30 de abril BadAlloc – Vulnerabilidades críticas en dispositivos IoT y OT de uso industrial Investigadores de seguridad de Microsoft han descubierto 25 vulnerabilidades críticas de ejecución remota de código (RCE), a las...
