Carlos Rodríguez Morales Blockchain y ciberseguridad: la inmutabilidad (II) ¿Por qué la inmutabilidad de Blockchain es importante en la ciberseguridad? La inmutabilidad, la capacidad para que un libro mayor de Blockchain permanezca como un historial permanente, indeleble e inalterable...
ElevenPaths ElevenPaths Radio – 1×07 Entrevista a Paloma Llaneza ¿Te preocupa la privacidad de tus datos? A Paloma Llaneza también. Nuevo capítulo de ElevenPaths Radio, la identidad digital: bajo lupa.
ElevenPaths Connect via streaming Security Innovation Day, the event of the year in cybersecurity SIGN UP TO THE live stream! Welcome to the fourth edition of our Security Innovation Day which will be celebrated on October 6 at 3:00 pm (Madrid time) at the Telefónica...
ElevenPaths Security Innovation Day 2018: Game is Never Over ¿Qué relación existe entre el mundo de los videojuegos y el mundo de la ciberseguridad? La necesidad de desarrollar una habilidad, hacer uso de la inteligencia y establecer una...
ElevenPaths #CodeTalks4Devs – Paranoid Box: la caja fuerte digital Presentamos un nuevo webinar para desarrolladores con unos invitados muy especiales, Álvaro Lancho González y Marcos Rodríguez Sánchez-Villacañas, que han desarrollado, a partir un Trabajo de Fin de Máster. Se...
Sergio De Los Santos Desencuentros en el mundo de los certificados y las CA: Google contra el mundo Ninguna industria se libra de miserias internas, peleas y desencuentros entre sus principales actores. En estos días, (o meses, o años) la industria de los certificados digitales se transforma...
ElevenPaths La expedición de certificados académicos: un caso de uso donde Blockchain sí tiene sentido ¿Eres Blockchain lover o definitivamente crees que aporta poco? Innumerables empresas tecnológicas están sacando al mercado proyectos alrededor de Blockchain, en ocasiones, explotando alguna de sus fortalezas y en...
ElevenPaths Tras el escándalo de la supuesta puerta trasera en WhatsApp, analizamos otras apps de mensajería El 13 de enero de 2017 aparecía en un medio de comunicación inglés la noticia de la existencia de una supuesta puerta trasera en WhatsApp que permitiría espiar la...
Carlos Rodríguez Morales Blockchain y ciberseguridad: la inmutabilidad (II) ¿Por qué la inmutabilidad de Blockchain es importante en la ciberseguridad? La inmutabilidad, la capacidad para que un libro mayor de Blockchain permanezca como un historial permanente, indeleble e inalterable...
Gonzalo Álvarez de Marañón Nueve de cada diez expertos en ciberseguridad recomiendan un antivirus sin azúcar: el tamaño de la muestra importa Cuando leas estudios, artículos o investigaciones de ciberseguridad, no confíes en las muestras pequeñas.
Gabriel Bergel Descubriendo el mundo del biohacking No es la primera vez que hablamos sobre biohacking en el blog de ElevenPaths, si quieres conocer su historia te invitamos a visitar este post en el que hablamos...
ElevenPaths ElevenPaths Radio – 1×05 Entrevista a Gianluca D’Antonio En este nueva entrega de nuestros podcast, Gonzalo Álvarez Marañón entrevista a Gianluca D’Antonio, Socio en Deloitte España, Presidente del ISMS Fórum y Director del Máster en Ciberseguridad del...
Errores comunes en servidores TLS/SSLElevenPaths 23 enero, 2015 TLS/SSL, como una capa de seguridad imprescindible, se va extendido en los servicios de las organizaciones tales como servidores web, de intercambio de archivos, etcétera… Aunque pensada para reforzar la seguridad, debe ser auditada para que su objetivo se cumpla correctamente. En este artículo, nos proponemos explicar brevemente algunas de las incidencias de seguridad que se pueden encontrar en los certificados X509 y servidores SSL/TLS, porque es la combinación de ambas entidades y su correcta configuración, la que puede asegurar una conexión fiable y segura. Certificado Uno de los agentes fundamentales en la comunicación SSL es el certificado. Con él, el servidor (o cliente) se identifican. Es la forma más extendida de saber que se está conectando al servidor que se pretende cuando se negocia la conexión, y no a un impostor redirigido desde una comunicación interceptada. Dados los últimos problemas con la emisión de certificados, se ha optado por casi “estandarizar” una práctica conocida como “certificate pinning”, de la que ya hemos hablado, y que se basa en recordar el certificado que debe tener un sitio, y desconfiar si ha sido modificado. Esta capa extra ayuda a evitar las conexiones con terceros que intenten suplantar al servidor. El certificado contiene información de la que se pueden extraer múltiples datos importantes, como nombres de dominios de la organización, nombres de personas físicas o direcciones… Para que un certificado sea “robusto”, la configuración y valores elegidos a la hora de crearlo son importantes. Hay que tener en cuenta factores como: El algoritmo de firma digital. La longitud de la clave. Los dominios en los que el certificado es válido. Las fechas de creación y expiración del certificado. La cadena de confianza del certificado. … Los navegadores en este sentido comienzan a rechazar certificados creados de forma poco robusta criptográficamente, sin olvidar, obviamente, la cadena de certificación que obliga a que el navegador o el sistema operativo confíe en las raíces. En caso de que el certificado no cumpla con los requisitos adecuados, el navegador del usuario mostrará una alerta de conexión no confiable. Por ejemplo esta: Conexión no confiable en Chrome Esta alerta puede ser generada por distintos motivos: certificados emitidos para otros dominios, falta de confianza, certificados caducados… En el caso de grandes compañías, mantener todos los certificados de centenares de servidores puede resultar complejo. En Faast se han tenido en cuenta estas debilidades que deben ser valoradas y tenidas en cuenta por las organizaciones, porque podrían derivar en un agujero de seguridad. Evidencia de una recomendación de Faast sobre un servidor SSL Aunque el certificado se encuentre correctamente configurado y sin problemas de seguridad, la configuración implementada en el servidor TLS/SSL puede dar lugar a que los usuarios no se encuentren correctamente protegidos. Uno de los puntos más importantes es la implementación de protocolos. Desde hace tiempo SSL2 es considerado inseguro y no se recomienda su uso. En 2014, y desde las vulnerabilidades “Poodle” en SSL3, (CVE-2014-3566/CVE-2014-8730), este se ha unido a la lista de protocolos que se recomienda deshabilitar. La recomendación hoy por hoy es utilizar los protocolos más recientes como TLS 1.2 y habilitar la extensión de TLS_FALLBACK_SCSV para evitar que los atacantes fuercen protocolos más antiguos. Quizás no todos los clientes sean compatibles, pero cada vez representan una minoría más escasa. Los cifrados implementados por el servidor también son clave. Algoritmos considerados obsoletos o con vulnerabilidades de diseño, pueden llegar a permitir que la comunicación sea descifrada. Recientemente, se han encontrado varias vulnerabilidades graves en este sentido. Finalmente, aunque se encuentre bien configurado, es necesario actualizar el servidor SSL para evitar vulnerabilidades. OpenSSL ha sufrido graves problemas en su código en los últimos tiempos: CVE-2014-0224 más comúnmente conocida como OpenSSL CCS (ChangeCiphersSpec) que afecta a múltiples versiones de OpenSSL y que permitía forzar un cambio de cifrado y permitir así un ataque de tipo Man In The Middle; o la conocida HeartBleed. Todas estas vulnerabilidades y recomendaciones de seguridad que pueden afectar a la comunicación SSL/TLS, son analizadas por Faast durante un escaneo al activar los plugins relacionados con el análisis de certificados y análisis de servidores SSL. Así, todos los dominios de la organización encontrados durante la fase de descubrimiento que posean un servicio SSL serán analizados de forma automática y se podrá tener un mejor control de los servidores que necesitan mejorar su seguridad. Oscar Sánchez oscar.sanchez@11paths.com Eventos FebreroEl negocio de las FakeApps y el malware en Google Play (X): Tráfico de Apps entre desarrolladores
Carlos Rodríguez Morales Blockchain y ciberseguridad: la inmutabilidad (II) ¿Por qué la inmutabilidad de Blockchain es importante en la ciberseguridad? La inmutabilidad, la capacidad para que un libro mayor de Blockchain permanezca como un historial permanente, indeleble e inalterable...
ElevenPaths #CodeTalks4Devs – Paranoid Box: la caja fuerte digital Presentamos un nuevo webinar para desarrolladores con unos invitados muy especiales, Álvaro Lancho González y Marcos Rodríguez Sánchez-Villacañas, que han desarrollado, a partir un Trabajo de Fin de Máster. Se...
Gonzalo Álvarez de Marañón Nueve de cada diez expertos en ciberseguridad recomiendan un antivirus sin azúcar: el tamaño de la muestra importa Cuando leas estudios, artículos o investigaciones de ciberseguridad, no confíes en las muestras pequeñas.
ElevenPaths ElevenPaths Radio – 1×07 Entrevista a Paloma Llaneza ¿Te preocupa la privacidad de tus datos? A Paloma Llaneza también. Nuevo capítulo de ElevenPaths Radio, la identidad digital: bajo lupa.
Sergio De Los Santos Desencuentros en el mundo de los certificados y las CA: Google contra el mundo Ninguna industria se libra de miserias internas, peleas y desencuentros entre sus principales actores. En estos días, (o meses, o años) la industria de los certificados digitales se transforma...
Fran Ramírez Nuevo paper publicado “Second Factor Web Browsing: detección de amenazas a través del uso de un doble canal” La utilización de un doble canal para tener una segunda vía de acceso en caso de que nuestro canal principal esté comprometido, es un factor realmente importante a tener...
Artículo necesario y muy fácil de entender. Lo único creo que hay algo mal en esta frase: "Esta alerta puede ser generada por distintos motivos: dominios emitidos para otros certificados, falta de confianza, dominios caducados…" Yo creo que lo que querías decir era esto: Esta alerta puede ser generada por distintos motivos: CERTIFICADOS emitidos para otros DOMINIOS, falta de confianza, CERTIFICADOS caducados… Un saludo! Responder
amigo tengo ese problema en mi blog asi que por favor me podrias decir la solucion es primera vez que hago uno pero me sale no seguro y el problema creo que son los protocolos por favor respondeme gracias Responder
