ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 13-17 de enero Las noticias de ciberseguridad más relevantes de la semana, recopiladas por nuestros expertos. Exploit público para CVE-2020-0601 Se ha publicado un exploit para la vulnerabilidad CVE-2020-0601 (CVSSv3 8.1) de suplantación...
Gabriel Bergel ¿Preparados para un incidente de ciberseguridad? Estar preparado para un incidente de ciberseguridad es casi tan importante como la respuesta al mismo. Te lo cuenta en este post nuestro CSA Gabriel Bergel.
ElevenPaths Top 5: los posts más leídos en 2017 Hoy en día estamos expuestos a sufrir ataques cada vez más sofisticados y frecuentes que ponen en peligro nuestro negocio, reputación, privacidad y confianza de nuestros clientes. Por eso,...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityPulse: El proyecto de Google para luchar contra los ciberataques en elecciones Durante aproximadamente una hora la noche de las elecciones primarias en mayo, los residentes del condado de Knox, Tennessee, no podían saber quién había ganado. Habían dejado sin disponibilidad...
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 13-17 de enero Las noticias de ciberseguridad más relevantes de la semana, recopiladas por nuestros expertos. Exploit público para CVE-2020-0601 Se ha publicado un exploit para la vulnerabilidad CVE-2020-0601 (CVSSv3 8.1) de suplantación...
Área de Innovación y Laboratorio de ElevenPaths CyberSecurityPulse, nuestro canal de Telegram, ya tiene página web Nuestro canal de Telegram Cybersecurity Pulse ya tiene página web. Síguenos para estar al día de las noticias más relevantes en ciberseguridad.
ElevenPaths Studying the trojan apps for Android used in Hacking Team leak Between the information leaked these days about #HackingTeam, several trojan Android APK files have been found. A first approach with Tacyt shows interesting relations with legitimate apps, the ones leaked a...
ElevenPaths Cómo proteger los servicios en Linux con Latch y NFQUEUE Uno de los escenarios más habituales de Latch es el de proteger el login en una aplicación web, aunque también podamos usarlo para proteger el acceso por login a...
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 13-17 de enero Las noticias de ciberseguridad más relevantes de la semana, recopiladas por nuestros expertos. Exploit público para CVE-2020-0601 Se ha publicado un exploit para la vulnerabilidad CVE-2020-0601 (CVSSv3 8.1) de suplantación...
Gabriel Bergel ¿Preparados para un incidente de ciberseguridad? Estar preparado para un incidente de ciberseguridad es casi tan importante como la respuesta al mismo. Te lo cuenta en este post nuestro CSA Gabriel Bergel.
ElevenPaths SmartID and SealSign on Mobile World Congress 2015 In this increasingly digital world, where users’ identity and privacy are exposed to continuous threats, from Telefónica and ElevenPaths have created a secure digital ecosystem which allows users...
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 6-10 de enero Ataques a servidores Pulse Secure VPN con ransomware Sodinokibi Una vulnerabilidad en Pulse Secure VPN (CVE-2019-11510) está siendo utilizada por agentes amenaza para introducir el ransomware Sodinokibi (REvil) en las...
Latch in Node.js… too mainstream?ElevenPaths 18 julio, 2014 Hoy en día cuando comenzamos cualquier proyecto web que se precie existen unos pasos de obligado cumplimiento si queremos estar en la cresta de la ola y convertirnos en verdaderos “hipsters”. Lejos quedaron las épocas donde se usaban frameworks que eran “mainstream”, donde los hombres eran hombres (y las mujeres mujeres) y escribían sus propios drivers. Node.js? Too mainstream Actualmente estamos viviendo una carrera continua para ser más modernos: desde frameworks como Nodyn donde desarrollamos en ClojureScript que compila a JavaScript, se ejecuta en Node.js que compila a una… ¡JVM!, a infinidad de variedades de AngularJS (EmberJS, Backbone, Knockout, Ractive.js etc.), alternativas a Grunt como gulp.js, alternativas a Yeoman como FireShell, pasando por convertidores de JavaScript a CoffeeScript, o mejoras sobre el propio CoffeeScript como Six o Functional Reactive Programming como bacon.js. Básicamente, estos son los pasos principales para desarrollar cualquier proyecto web en 2014: Escribe tweets sobre él. Fotografía tu espacio de trabajo y súbelo a Instagram. Elige tu framework JS. Configura tu MongoDB y Redis. Visita Reddit, meneame, forocoches y similares. … Profit Bromas aparte, es para nosotros un placer tener ya disponible un SDK de Latch para Node.js e incluso una estrategia de autenticación para PassportJS de Latch. Para los que no lo conozcan, Node.js es un framework creado en 2009 por Ryan Dahl y su desarrollo está patrocinado por la empresa Joyent (compañía que ofrece IaaS y PaaS, y entre cuyos inversores se encuentra Telefónica). Su característica principal es que está basado en el famoso y potente motor V8 de JavaScript de Google y pretende ofrecer una forma fácil y segura de crear aplicaciones en JavaScript escalables y de altas prestaciones. De hecho una de las características que cuesta un poco al principio entender es su orientación mayoritaria a utilizar código asíncrono y basado en eventos, que puede llegar a ser más complejo que uno síncrono normal. Si se comprueba el código del SDK de Latch veremos que, realmente, es muy sencillo (el código siguiente está extraído de index.js). Primero tenemos que añadir las cabeceras HTTP que necesitan recibir nuestros servidores de Latch para saber que las peticiones son correctas: Y luego simplemente hacemos la petición HTTP a nuestros servidores de Latch con la operación escogida. Observando este último código podemos ver una parte de funcionamiento de Node.js donde se aprecia ese carácter asíncrono que se ha mencionado. La petición HTTP que realizamos (el “request”) es a su vez una función donde podemos ver varios eventos; en la respuesta tenemos el evento “data”, que significa que estamos recibiendo datos, y también el evento “end” que significa que ya hemos recibido todos los datos y pueden ser tratados si se quiere (o se podrían haber tratado según llegaban). También existe un evento “error” en la petición, en el caso de que hubiera algún problema con la petición HTTP. Así de sencillo; con unas cuantas líneas tenemos implementado todo el SDK de Latch en Node.js. También hemos puesto a disposición de todos una estrategia de autenticación de PassportJS para que sea fácil su uso: Ahí mostramos ejemplos de cómo utilizar Latch, ya sea como: …una estrategia más en este caso de autorización …una integración con cualquier otra estrategia de autenticación existente de PassportJS (se puede ver la lista de las soportadas actualmente en la página de PassportJS, aparte de la autenticación local que suele ser la más utilizada) En definitiva, el SDK de latch para Node.js se une a lista de SDK existentes como PHP, Java, Ruby, Python, C, .NET o PowerShell para que se puedan utilizar en todas las aplicaciones. David Barroso david.barroso@11paths.com @lostinsecurity Ejemplos de fuga de información a través de webMayhem: malware para *nix, “como si fuera un Windows”
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 13-17 de enero Las noticias de ciberseguridad más relevantes de la semana, recopiladas por nuestros expertos. Exploit público para CVE-2020-0601 Se ha publicado un exploit para la vulnerabilidad CVE-2020-0601 (CVSSv3 8.1) de suplantación...
Gabriel Bergel ¿Preparados para un incidente de ciberseguridad? Estar preparado para un incidente de ciberseguridad es casi tan importante como la respuesta al mismo. Te lo cuenta en este post nuestro CSA Gabriel Bergel.
Área de Innovación y Laboratorio de ElevenPaths CyberSecurityPulse, nuestro canal de Telegram, ya tiene página web Nuestro canal de Telegram Cybersecurity Pulse ya tiene página web. Síguenos para estar al día de las noticias más relevantes en ciberseguridad.
ElevenPaths ElevenPaths Radio – 1×15 Entrevista a Román Ramírez En esta nueva entrevista de nuestro podcast: ElevenPaths Radio, hablamos con Román Ramírez, fundador de RootedCON y de Be Real Talent.
Gonzalo Álvarez de Marañón RSA contra las cuerdas: 1.001 razones por las que está cayendo en desgracia (II) Aquí te traemos la segunda parte del artículo en el que hablamos de las principales vulnerabilidades del algoritmo RSA.
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 6-10 de enero Ataques a servidores Pulse Secure VPN con ransomware Sodinokibi Una vulnerabilidad en Pulse Secure VPN (CVE-2019-11510) está siendo utilizada por agentes amenaza para introducir el ransomware Sodinokibi (REvil) en las...
