ElevenPaths Noticias de Ciberseguridad: Boletín semanal 17-23 de octubre Nuevo troyano bancario denominado Vizom El equipo de investigadores de IBM Security Trusteer ha publicado un informe en el que analiza el nuevo troyano bancario de la “familia brasileña” denominado...
ElevenPaths Innovación y nuevas herramientas de ciberseguridad: Security Innovation Days 2020 (Día 3) Hasta aquí la VIII edición del Security Innovation Days 2020. Tres intensas jornadas en las que la innovación en ciberseguridad y la transformación digital han sido las protagonistas. Para esta última reservamos el plato fuerte y la seña de identidad de este evento: la presentación...
Área de Innovación y Laboratorio de ElevenPaths KORDO, nuestra tecnología para solucionar el registro de jornada (apoyada en Latch) Desde el pasado 12 de mayo, las empresas deben registrar diariamente la jornada de sus trabajadores, tras la aprobación por el Gobierno del Real Decreto-ley de medidas urgentes de...
Sergio De Los Santos Dime qué datos solicitas a Apple y te diré qué tipo de gobierno eres En ocasiones, los gobiernos necesitan apoyarse en las grandes corporaciones para poder llevar a cabo su trabajo. Cuando una amenaza pasa por conocer la identidad o tener acceso a...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 17-23 de octubre Nuevo troyano bancario denominado Vizom El equipo de investigadores de IBM Security Trusteer ha publicado un informe en el que analiza el nuevo troyano bancario de la “familia brasileña” denominado...
ElevenPaths Innovación y nuevas herramientas de ciberseguridad: Security Innovation Days 2020 (Día 3) Hasta aquí la VIII edición del Security Innovation Days 2020. Tres intensas jornadas en las que la innovación en ciberseguridad y la transformación digital han sido las protagonistas. Para esta última reservamos el plato fuerte y la seña de identidad de este evento: la presentación...
ElevenPaths Social engineering is more active than ever The fact that Social Engineering has been the easiest method used by the scammers is not new. What we are going to describe in this blog today has been...
ElevenPaths Nueva convocatoria del programa ElevenPaths CSE Si eres una persona apasionada por la ciberseguridad y referente en el sector, apúntate al programa ElevenPaths CSE y disfruta de todos sus beneficios.
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 17-23 de octubre Nuevo troyano bancario denominado Vizom El equipo de investigadores de IBM Security Trusteer ha publicado un informe en el que analiza el nuevo troyano bancario de la “familia brasileña” denominado...
ElevenPaths Innovación y nuevas herramientas de ciberseguridad: Security Innovation Days 2020 (Día 3) Hasta aquí la VIII edición del Security Innovation Days 2020. Tres intensas jornadas en las que la innovación en ciberseguridad y la transformación digital han sido las protagonistas. Para esta última reservamos el plato fuerte y la seña de identidad de este evento: la presentación...
ElevenPaths ElevenPaths Radio – 1×02 Entrevista a Pedro Pablo Pérez Segundo capítulo de nuestra serie de podcast: ElevenPaths Radio. En esta edición, contamos con la intervención del CEO de ElevenPaths Pedro Pablo Pérez. Una interesante charla en la que...
ElevenPaths ¿Qué es el Cryptojacking? Resumen de esta nueva amenaza Seguro que has oído hablar de las criptomonedas y de la tecnología Blockchain aplicada a la seguridad de estas nuevas divisas, pero este nueva manera de realizar transacciones también...
Un repaso a las mejores técnicas de hacking web que nos dejó el 2018 (II)David García 18 marzo, 2019 La semana pasada publicamos la primera parte del ranking de mejores técnicas de 2018, y hoy os traemos la segunda. Recordemos, se trata de una clasificación ajena al OWASP Top 10, más enfocada a resaltar aquellas técnicas asociadas a las aplicaciones web que se publicaron a lo largo de 2018. La seguridad web es un campo en continuo movimiento y agitación. Cada día, salen a la luz nuevos fallos en frameworks, bibliotecas o aplicaciones conocidas y muy usadas; si bien muchas de ellas ni tan siquiera llegan al rango de obtención de un CVE, un grupo de ellas tiene el privilegio de descubrir una nueva técnica o mejorar ostensiblemente alguna de las existentes. 5.- Attacking ‘Modern’ Web Technologies El investigador Fran Rosen, presentó una charla dentro de las conferencias AppSec Europe, organizadas por la OWASP, en las que dio un repaso a las técnicas de explotación de las nuevas capacidades de lo que llamamos Modern Web; basadas sobre todo en las nuevas APIs de persistencia, websockets. Una charla que no te dejará indiferente, sobre todo porque te hace entender que estamos entrando en una nueva era donde las inyecciones clásicas o las inclusiones de archivos locales han quedado anticuadas (aunque por supuesto, no erradicadas). 4.- Prototype pollution attacks in NodeJS applications En este caso, Olivier Arteau, encuentra una interesantísima forma de ejecutar código arbitrario en aplicaciones NodeJS, lo cual nos lleva a lado del servidor, a través del abuso de la propiedad __proto__ del objeto predefinido ‘Object’ del lenguaje JavaScript; algo que hasta ahora solo se había considerado en el lado del cliente. 3.- Beyond XSS: Edge Side Include Injection En esta investigación, Louis Dion-Marcil, nos muestra la explotabilidad de ESI (Edge Side Include), un lenguaje basado en XML que permite indicar a los proxy caché qué partes de una página debe y no debe cachear. Un escenario que permitió al investigador abusar de esa funcionalidad para ejecutar ataques de SSRF (Server Side Requests Forgery) y evadir la protección HTMLOnly que impide la manipulación de las cookies con JavaScript. 2.- Practical Web Cache Poisoning: Redefining ‘Unexploitable La técnica número dos viene de James Kettle, empleado de PortSwigger, y aunque en un primer momento él mismo se autodescartó, la comunidad decidió que su calidad era merecedora de romper las reglas de la propia clasificación (que impiden que los empleados de PortSwigger compitan en el ranking con sus investigaciones). En este caso, James, muestra cómo explotar la caché web (exacto, la misma caché que la entrada anterior) para envenenarla y causar la inyección de contenido arbitrario en terceros. Interesante técnica e investigación con un gran impacto en la seguridad de las arquitecturas web actuales. 1.- Breaking Parser Logic: Take Your Path Normalization off and Pop 0days Out! El ganador de la edición de este año, presentado en la DEF CON pasada por Orange Tsai (presentación en slides disponible aquí). Una nueva técnica de explotación apoyada en la normalización de rutas que, aunque pretende adecuar el uso de URLs y rutas para evitar abusos, su inherente complejidad y múltiples implementaciones termina por pasarle factura. Desde frameworks, librerías, lenguajes de programación, etc, cada implementación propia de la normalización de rutas esconde un potencial problema de seguridad que puede ser explotado. Incluso en algunos casos con una tremenda simpleza, dando lugar a impactos que van desde la evasión de restricciones y controles de seguridad hasta la ejecución de código arbitrario. Por cierto, no perdáis de vista el trabajo de este investigador que también fue el ganador de la edición 2017 del ranking. Hasta aquí nuestro repaso a las mejores técnicas de 2018 en seguridad web. Como hemos comprobado, cada vez aumenta más la complejidad de este tipo de técnicas, en consonancia con el vertiginoso progreso de las tecnologías web. Tanto para un investigador de seguridad web o para un auditor o devops que tenga por cometido defender la infraestructura, es crucial estar al día con este tipo de técnicas, puesto que no podemos dudar que serán usadas y aprovechadas para explotarlas para lucrarse con ello. Primera parte del análisis: » Un repaso a las mejores técnicas de hacking web que nos dejó el 2018 (I) ¿Cómo hemos vivido la RSA Conference 2019? Haciendo la seguridad más humanaLa falacia de la tasa base o por qué los antivirus, filtros antispam y sondas de detección funcionan peor de lo que prometen
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 17-23 de octubre Nuevo troyano bancario denominado Vizom El equipo de investigadores de IBM Security Trusteer ha publicado un informe en el que analiza el nuevo troyano bancario de la “familia brasileña” denominado...
ElevenPaths Innovación y nuevas herramientas de ciberseguridad: Security Innovation Days 2020 (Día 3) Hasta aquí la VIII edición del Security Innovation Days 2020. Tres intensas jornadas en las que la innovación en ciberseguridad y la transformación digital han sido las protagonistas. Para esta última reservamos el plato fuerte y la seña de identidad de este evento: la presentación...
ElevenPaths Nuevas capacidades para el futuro de la ciberseguridad: Security Innovation Days 2020 (Día 2) Revive en este artículo la segunda jornada del evento anual de innovación de ElevenPaths, la compañía de ciberseguridad de Telefónica Tech.
ElevenPaths Ciberseguridad y negocio en la nueva era: Security Innovation Days 2020 (Día 1) ¿Te perdiste la primera jornada del SID2020? Revive en este post el primero de los 3 días del evento anual de innovación en ciberseguridad de ElevenPaths.
Gonzalo Álvarez Marañón ¿Eres cripto-ágil para responder con rapidez a ciberamenazas cambiantes? Un negocio se considera ágil si es capaz de responder rápidamente a los cambios del mercado, adaptándose para conservar la estabilidad. Ahora bien, sin criptografía no hay seguridad y...
ElevenPaths ElevenPaths acerca el cambio de paradigma de la ciberseguridad y la transformación digital de la nueva era en el SID 2020 La compañía de ciberseguridad de Telefónica Tech celebra su VIII Security Innovation Days, esta vez en un formato virtual y ampliando de una a tres medias jornadas, los días...
