Articulo de referencia

ImmuniWeb

{{cite web|title=Articles by Ilia Kolochenko|url=http://www.csoonline.com/author/Ilia-Kolochenko/|website=CSO Online|accessdate=22 July 2015}} "},"hq_location_city":{"wt":"Genev...

ImmuniWeb es una empresa global de seguridad de aplicaciones con sede en Ginebra, Suiza . ImmuniWeb desarrolla tecnologías de aprendizaje automático e inteligencia artificial para soluciones de seguridad de aplicaciones basadas en SaaS , proporcionadas a través de su plataforma propia, ImmuniWeb AI Platform.

Investigación temprana sobre seguridad

Avisos de seguridad

El equipo de investigación de seguridad de ImmuniWeb (anteriormente conocido como High-Tech Bridge) ha publicado más de 500 avisos de seguridad [ 2 ] que afectan a diversos programas informáticos, con problemas identificados en productos de muchos proveedores conocidos, como Sony , [ 3 ] McAfee [ 4 ] Novell , [ 5 ] además de muchas vulnerabilidades web que afectan a aplicaciones web comerciales y de código abierto populares, como osCommerce, [ 6 ] Zen Cart , [ 7 ] Microsoft SharePoint , SugarCRM y otras.

El Security Research Lab fue registrado como compatible con CVE y CWE por MITRE . [ 8 ] Es una de las únicas 24 organizaciones, a nivel mundial, y la primera en Suiza, que ha logrado obtener la certificación CWE.

La empresa figura entre las 81 organizaciones que, a agosto de 2013, incluyen identificadores CVE en sus avisos de seguridad. [ 9 ]

ImmuniWeb lanzó una herramienta de prueba de configuración SSL/TLS en octubre de 2015. [ 10 ] La herramienta puede validar la configuración de correo electrónico, web o cualquier otra configuración de servidor TLS o SSL según las directrices del NIST y verifica el cumplimiento de PCI DSS ; fue citada en artículos que cubren la filtración de datos de TalkTalk . [ 11 ] [ 12 ]

Investigación sobre seguridad y privacidad

El descubrimiento de vulnerabilidades en los sitios de Yahoo! por parte de la compañía fue ampliamente difundido, [ 13 ] [ 14 ] lo que llevó al escándalo de la camiseta y a cambios en el programa de recompensas por errores de Yahoo!. La empresa identificó y reportó cuatro vulnerabilidades XSS en dominios de Yahoo!, por las cuales la compañía recibió dos vales de regalo por valor de $25. [ 15 ] [ 16 ] [ 17 ] [ 18 ] La escasa recompensa ofrecida a los investigadores de seguridad por identificar vulnerabilidades en Yahoo! fue criticada, lo que desencadenó lo que se denominó el escándalo de la camiseta , [ 19 ] una campaña contra Yahoo! por enviar camisetas como agradecimiento por descubrir vulnerabilidades. El descubrimiento de estas vulnerabilidades por parte de la compañía y la posterior crítica al programa de recompensas de Yahoo! llevaron a Yahoo! a implementar una nueva política de reporte de vulnerabilidades que ofrece entre $150 y $15,000 por problemas reportados, según criterios preestablecidos. [ 14 ] [ 20 ]

En diciembre de 2013, la investigación de la empresa [ 21 ] sobre la privacidad en las redes sociales y los servicios de correo electrónico populares fue citada [ 22 ] [ 23 ] en una demanda colectiva por presunta violación de la privacidad de sus miembros al escanear mensajes privados enviados en la red social.

En octubre de 2014, la empresa descubrió una vulnerabilidad de ejecución remota de código en PHP . [ 24 ] En diciembre de 2014, identificaron el ataque RansomWeb, [ 25 ] un desarrollo de los ataques de ransomware , donde los piratas informáticos han comenzado a tomar el control de servidores web, cifrando los datos en ellos y exigiendo un pago para desbloquear los archivos.

En abril de 2014, el descubrimiento [ 26 ] de sofisticados ataques de descarga automática reveló cómo se utilizan estos ataques para atacar a visitantes específicos de sitios web después de su autenticación en un recurso web comprometido.

En diciembre de 2015, la empresa probó los proveedores de correo electrónico gratuitos más populares en cuanto al cifrado SSL/TLS. [ 27 ] Hushmail , considerado anteriormente como uno de los proveedores de correo electrónico más seguros, recibió una calificación reprobatoria de "F". Poco después, la empresa actualizó su configuración SSL y obtuvo una calificación de "B+". [ 28 ]

Referencias

  1. "Artículos de Ilia Kolochenko" . CSO Online . Consultado el 22 de julio de 2015 .
  2. "Packet Storm - Archivos de High-Tech Bridge SA" . PacketStorm.org . Consultado el 20 de febrero de 2016 .
  3. "Programa de actualización de seguridad para ordenadores personales VAIO®" . esupport.sony.com . Sony . Consultado el 20 de enero de 2015 .
  4. "Boletín de seguridad de McAfee: la actualización de McAfee MVT y ePO-MVT corrige una vulnerabilidad de "escalada de privilegios" . kc.mcafee.com . McAfee . Consultado el 20 de enero de 2015 .
  5. "Vulnerabilidad de seguridad: vulnerabilidad de desreferenciación de puntero no confiable remoto en GroupWise Client para Windows" . www.novell.com . Novell . Consultado el 20 de enero de 2015 .
  6. "Investigadores de la empresa de seguridad suiza High-Tech Bridge han identificado graves vulnerabilidades en varias aplicaciones web populares" . SecurityWeek . Consultado el 20 de febrero de 2016 .
  7. "Una vulnerabilidad crítica en Zen Cart podría significar un desastre para los compradores en línea durante el Black Friday" . BetaNews . Consultado el 20 de febrero de 2016 .
  8. "Producto de High-Tech Bridge ahora registrado como oficialmente "compatible con CWE"" . MITRE . Consultado el 7 de agosto de 2014 .
  9. "Organizaciones con identificadores CVE en avisos" . 26 de junio de 2013. Archivado del original el 7 de agosto de 2013. Consultado el 1 de septiembre de 2013 .
  10. "Prueba SSL gratuita compatible con PCI y NIST" . Ayuda de Net Security . Consultado el 23 de octubre de 2015 .
  11. "El jefe de TalkTalk recibe una demanda de rescate mientras se agrava la filtración masiva de datos de clientes" . The Inquirer . Archivado del original el 24 de octubre de 2015. Consultado el 23 de octubre de 2015 .
  12. "El director ejecutivo de TalkTalk admite un fallo de seguridad y afirma que el hacker envió un correo electrónico exigiendo un rescate" . The Register . Consultado el 23 de octubre de 2015 .
  13. "Yahoo pagará hasta 15.000 dólares por el hallazgo de errores tras el escándalo de la 'camiseta'" . 3 de octubre de 2013.
  14. 1 2 Kirk, Jeremy (3 de octubre de 2013). "El programa de recompensas de seguridad de Yahoo cambia las camisetas por dinero en efectivo" . Recuperado el 19 de octubre de 2013 .
  15. Rubenking, Neil J. (1 de octubre de 2013). "Yahoo ofrece una triste recompensa por encontrar errores: 12,50 dólares en artículos promocionales de la empresa" . PC Magazine . Recuperado el 19 de octubre de 2013 .
  16. Bilton, Ricardo (1 de octubre de 2013). "Informé de una importante vulnerabilidad de seguridad en Yahoo y lo único que conseguí fue esta miserable camiseta" . Recuperado el 19 de octubre de 2013 .
  17. Frank, Blair Hanley (1 de octubre de 2013). "Investigadores encuentran vulnerabilidades críticas en el sitio de Yahoo y ofrecen 12,50 dólares por cada error" . Consultado el 19 de octubre de 2013 .
  18. Hackney, Steve (7 de octubre de 2013). "Yahoo! Inc. (NASDAQ:YHOO) elimina errores identificados por High Tech Bridge" . Recuperado el 19 de octubre de 2013 .
  19. Osborne, Charlie (3 de octubre de 2013). "Yahoo cambia su política de recompensas por errores tras el 'escándalo de la camiseta'"" . ZDNet . Consultado el 19 de octubre de 2013 .
  20. Martínez, Ramsés (2 de octubre de 2013). "Soy el tipo que envió la camiseta como agradecimiento" . Recuperado el 19 de octubre de 2013 .
  21. "Redes sociales: ¿pueden los robots violar la privacidad del usuario?" . Consultado el 13 de enero de 2014 .{{cite web}}: CS1 maint: servicio de archivado obsoleto ( enlace )
  22. "Facebook demandado por supuestamente interceptar mensajes privados" .
  23. "¿Te espía Facebook?" . CNBC.
  24. Brook, Chris. "PHP corrige vulnerabilidades de desbordamiento de búfer" . threatpost . Consultado el 27 de octubre de 2014 .
  25. Fox-Brewster, Thomas. "RansomWeb: Delincuentes comienzan a cifrar sitios web y a exigir miles de dólares a las empresas" . Forbes.com . Consultado el 1 de febrero de 2015 .
  26. Gallagher, Sean (13 de abril de 2015). "Puerta trasera universal para plataforma de comercio electrónico permite a los hackers buscar víctimas" . arstechnica . Consultado el 14 de abril de 2015 .
  27. "Probar su cifrado SSL puede brindar información importante sobre seguridad" . IBM Security Intelligence. 15 de diciembre de 2015. Consultado el 15 de diciembre de 2015 .
  28. "High-Tech Bridge califica los servicios de correo electrónico en seguridad y otorga a Fastmail la máxima puntuación" . Talkin Cloud. 3 de diciembre de 2015. Archivado del original el 6 de diciembre de 2015. Consultado el 3 de diciembre de 2015 .
  • Sitio web oficial

Véase también

Obtenido de " https://en.wikipedia.org/w/index.php?title=ImmuniWeb&oldid=1359546123 "