Un recorrido por el "metasploit" de la NSA y sus exploits para Windows

lunes, 24 de abril de 2017

En estos días, una de las noticias que ha generado mucho movimiento en la comunidad de seguridad ha sido la nueva publicación de TheShadowBrokers relacionada con el hackeo que originalmente habría sido realizado a la NSA alrededor de 2013. Esta vez, han compartido en un repositorio de GitHub una gran cantidad de datos que demuestran que la NSA tiene (¿tiene?) acceso a diversas entidades bancarias y financieras y al servicio SWIFT, como así también parte del "arsenal" de herramientas y exploits pertenecientes a dicha entidad, que afectan a diversas plataformas.


Los bugs de un smart contract podrían arruinar tu apuesta del próximo Real Madrid-Barcelona

jueves, 20 de abril de 2017

Tan solo quedan 80 horas para uno de los partidos más importantes de la temporada futbolística: Real Madrid - FC Barcelona. Y como de costumbre, solemos hacer apuestas sobre estos partidos entre compañeros de trabajo.

De forma habitual, un compañero confiable debería hacerse responsable de la recaudación de los participantes que se encuentren en la oficina de forma presencial, además de tener que encontrarse disponible, al menos, hasta el día del partido pudiendo darse la opción de que surgieran agentes boicoteadores. Sin embargo, como no queremos dejar de lado a nuestros compañeros de las diferentes sedes de ElevenPaths y tampoco hemos identificado a ese compañero «confiable durante 80 horas», hemos encontrado la solución perfecta: crear una aplicación descentralizada o dapp sobre la red de Ethereum.

Latch e IoT, una simbiosis perfecta

miércoles, 19 de abril de 2017



Internet of Things (y como diría el gran Goyo Jiménez, para los de la Logse, “El Internet de las cosas”) dejó ya de ser el futuro para convertirse en nuestro presente. Es difícil que en un día cualquiera no interactuemos de una forma u otra con algún dispositivo IoT: la radio que usamos por la mañana, la cámara que “cuida” de nuestro de bebé, el pulsímetro/reloj que usamos cuando salimos a correr o el coche que nos lleva al trabajo. IoT está en casi todas partes.


Figura 1: Vídeo del plugin de Latch para Mosquitto.

ElevenPaths Talks: jugando con apps de mensajería como WhatsApp, Telegram o Line

martes, 18 de abril de 2017

Las apps de mensajería instantánea como WhatsApp, Telegram o Line se han vuelto parte de nuestra vida. Las usamos todos los días para relacionarnosen el trabajo, los estudios, nuestras relaciones de pareja, con amistades o familiares, etc. La pregunta que te hacemos es... ¿son seguras las herramientas de mensajería en cuanto a la privacidad?

Nuestros expertos y CSAs de ElevenPaths, Claudio Caracciolo y Gabriel Bergel, junto a un invitado especial explicarán los fallos de seguridad en apps de mensajería móvil, algunas técnicas actuales de ataque así como, las soluciones para combatirlas

Este jueves 20 de abril haz hueco en tu agenda y conéctate al nuevo webinar online gratuito. La duración de la charla será de 50 minutos y se impartirá en castellano. Si quieres saber más acerca del tema, no dudes en pasarte por la Comunidad de ElevenPaths, donde puedes debatir con nuestros expertos CSAs, antes y después de la sesión.

Recuerda, tienes una cita el próximo 20 de abril a las 15:30 h (CET). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks. ¡Reserva tu plaza y participa en este nuevo seminario gratuito!

Más información en:
talks.elevenpaths.com

Certificados digitales: "Gran G" vs. "Gran S"

lunes, 17 de abril de 2017

Ryan Sleevi, uno de los ingenieros y responsables de Chrome, anunció el pasado 23 de marzo que este navegador iba a restringir los certificados de validación extendida (EV) emitidos por Symantec desde la versión 59 (presumiblemente para mayo) al menos durante un año. Según la "gran G" de Mountain View, esta decisión se basa en haber descubierto que la "gran S" (también de Mountain View) "había emitido más de 30.000 certificados incorrectos".

Según Google, la violación por parte de Symantec de los requerimientos bases de las CA se ha repetido en varias ocasiones, incluso con la creación de certificados de validación extendida emitidos en septiembre de 2015 a su nombre. Symantec, que emite más del 30% de los certificados del mundo, debió realizar una auditoría en su proceso de validación de certificados e incluso reconoció haber despedido personal por este evento.