ElevenPaths Security Innovation Day 2019: Guards for Digital Lives Vuelve el evento de innovación en ciberseguridad: Security Innovation 2019 bajo el lema Guards for Digital Lives. El próximo 13 de noviembre, ¡regístrate!
Área de Innovación y Laboratorio de ElevenPaths Google reporta el 17% de las vulnerabilidades en Microsoft. Microsoft y Qihoo, el 10% Nuevo informe en el que analizamos cuántos fallos encuentra Microsoft en su propio códigoy cuántos fallos son encontrados por terceros como Google o Qihoo.
ElevenPaths ElevenPaths Talks: A la pesca de las víctimas ¡Conéctate aquí! Hoy en día el principal vector de ataque de los ciberdelincuentes sigue siendo (y cada vez más) el factor humano, el eslabón más débil de la seguridad. En...
ElevenPaths #DiHolaAMovistarHome, el dispositivo que reinventa tu hogar El pasado Mobile World Congress fue el pistoletazo de salida para Aura, el nuevo proyecto estratégico de Telefónica, liderado por nuestro Chief Data Office, Chema Alonso. Ahí se anunció el...
ElevenPaths Security Innovation Day 2019: Guards for Digital Lives Vuelve el evento de innovación en ciberseguridad: Security Innovation 2019 bajo el lema Guards for Digital Lives. El próximo 13 de noviembre, ¡regístrate!
Área de Innovación y Laboratorio de ElevenPaths Google reporta el 17% de las vulnerabilidades en Microsoft. Microsoft y Qihoo, el 10% Nuevo informe en el que analizamos cuántos fallos encuentra Microsoft en su propio códigoy cuántos fallos son encontrados por terceros como Google o Qihoo.
ElevenPaths Sinfonier Meetup: Encuentro para analistas de seguridad Tras el éxito de convocatoria del primer Sinfonier Meet up celebrado en Diciembre, en el que se mostraron casos de uso de la tecnología centrados en las necesidades de...
ElevenPaths Gestión de Incidentes (I) De acuerdo con ITIL (Information Technology Infrastructure Library por sus siglas en inglés), “…la Gestión de Incidentes tiene como objetivo resolver cualquier incidente que cause una interrupción en el...
ElevenPaths Security Innovation Day 2019: Guards for Digital Lives Vuelve el evento de innovación en ciberseguridad: Security Innovation 2019 bajo el lema Guards for Digital Lives. El próximo 13 de noviembre, ¡regístrate!
Área de Innovación y Laboratorio de ElevenPaths Google reporta el 17% de las vulnerabilidades en Microsoft. Microsoft y Qihoo, el 10% Nuevo informe en el que analizamos cuántos fallos encuentra Microsoft en su propio códigoy cuántos fallos son encontrados por terceros como Google o Qihoo.
ElevenPaths ElevenPaths Radio – 1×03 Entrevista a Miguel Rego Ya disponible un nuevo capítulo de ElevenPaths Radio, nuestra serie de podcast en el que, a través de entrevistas a los actores más relevantes de la ciberseguridad, damos una...
Pablo Gómez Guerrero Biometría: cómo funciona el reconocimiento facial y qué aplicaciones tiene ¿Qué es una biometría? Una biometría es una prueba basada en patrones físicos de las personas, permiten diferenciar unas personas de otras y establecer un perfil: edad, sexo y estado...
IIS Short File/Folder Name Disclosure: A vueltas con la enumeración de ficherosElevenPaths 30 enero, 2015 Llevamos más de año y medio investigando y trabajando en Faast y, sorprendentemente, observamos que día a día surgen vulnerabilidades que parecían cosa del pasado. Analizando diferentes técnicas de pentesting, hemos encontrado, en este caso, otras formas de explotar el fallo conocido como IIS Short Name (de 2012). Este problema permite enumerar mediante fuerza bruta los archivos, en función del código de respuesta. Sucede a consecuencia de una implementación de la compatibilidad que ofrece Windows con versiones de MS-DOS. Por lo tanto, un atacante podría enumerar el contenido de directorios y ficheros que un servidor IIS tiene alojados. Microsoft lleva años oyendo hablar de este fallo, que podría considerarse vulnerabilidad, pero no reconoce como tal. El problema de IIS Short Name solía ser explotado mediante las peticiones por el método GET. En agosto de 2014 se descubrió que utilizando el método OPTIONS, se podía realizar una enumeración similar. En la imagen se puede ver una pequeña prueba de concepto realizada durante la creación del plugin para Faast El comportamiento es sencillo: cuando se realiza la petición mediante el método OPTIONS se debe tener en cuenta el código de respuesta que se obtiene. Por ejemplo, si realizamos una petición válida y conseguimos un código de respuesta X, cuando realizamos la petición no válida obtendremos un código de respuesta Y. Con esta pequeña pista del servidor, se puede ir comprobando si existen o no ciertos recursos. En la siguiente imagen, obtenida de la evidencia que Faast proporciona al usuario cuando encuentra esta debilidad en los servidores corporativos que se están escaneando, se puede visualizar la respuesta positiva: es decir, que un fichero que existe y que ha podido ser obtenido por fuerza bruta. Evidencia en Faast de que un fichero existe Por el contrario, cuando un archivo no existe el código de respuesta que se obtiene es distinto. En la imagen se puede ver en redirect (302) que se obtiene cuando un archivo no existe utilizando el método OPTIONS. Evidencia en Faast de que un fichero no existe Teniendo en cuenta otro tipo de herramientas similares, hemos comprobado que Faast es la primera y única por ahora, que tiene en cuenta este “truco” para aprovechar el problema durante la fase de pentesting. Cómo corregirlo Microsoft no solucionará el problema, tan solo recomienda deshabilitar la compatibilidad hacia atrás y evitar el “soporte” para nombres cortos de ocho caracteres. Esto se consigue en el servidor, modificando el valor de la rama del registro… HKLMSYSTEMCurrentControlSetControlFileSystemNtfsDisable8dot3NameCreation … y estableciéndolo a 1. También puede ser recomendable deshabilitar todos los métodos que no se usen, como podría ser OPTIONS. El negocio de las FakeApps y el malware en Google Play (X): Tráfico de Apps entre desarrolladoresDetected some “clickers” in Google Play simulating apps and games
ElevenPaths Security Innovation Day 2019: Guards for Digital Lives Vuelve el evento de innovación en ciberseguridad: Security Innovation 2019 bajo el lema Guards for Digital Lives. El próximo 13 de noviembre, ¡regístrate!
Área de Innovación y Laboratorio de ElevenPaths Google reporta el 17% de las vulnerabilidades en Microsoft. Microsoft y Qihoo, el 10% Nuevo informe en el que analizamos cuántos fallos encuentra Microsoft en su propio códigoy cuántos fallos son encontrados por terceros como Google o Qihoo.
Sergio De Los Santos El fin de Enigmail descubre realidades del software que… ¿podrían matar a Thunderbird? La nueva arquitectura de APIs de las extensiones en Mozilla va a dejar fuera de combate a Enigmail. Analizamos el software que podría matar a Thunderbird.
Gonzalo Álvarez de Marañón Cómo el marmitako de bonito te ayudará a interpretar los resultados de pruebas, tests y evaluaciones El 15 de agosto se celebra en España la fiesta de la Asunción. Ese día, en la villa costera de Castro Urdiales se convoca un concurso de marmitako de...
Sergio De Los Santos No, no logran “acceder a las comunicaciones web cifradas” y otras dudas sobre Reductor Recientemente se publicaba una nota de prensa llamativa a varios niveles. Por un lado, se hacía eco del comportamiento de un malware complejo y no demasiado popular, por otro,...
ElevenPaths ElevenPaths Radio – 1×09 Entrevista a Alfonso Muñoz En el capítulo de esta semana, en #ElevenPathsRadio entrevistamos a Alfonso Múñoz, investigador y profesional de ciberseguridad que ostenta el cargo de Global Technical Cybersecurity Lead and Head...
