Acerca de
Artículos de Borja
-
Zoom en los titulares - "Bueno sí, pero realmente no"
Zoom en los titulares - "Bueno sí, pero realmente no"
Por Borja Berastegui Anzorandia
-
Zoom on the headlines - "Well yes, but actually no"
Zoom on the headlines - "Well yes, but actually no"
Por Borja Berastegui Anzorandia
Contribuciones
-
How can you balance your workload and take on more responsibility in Information Security?
Learn to delegate. Find allies and partners. This is something that is not well extended in the security space, but communication and relationships are crucial. Reach out to data, infrastructure, legal teams. Tell them what you would like to get done. Ask them for input and collaboration. Embed security within their processes. That will pay off.
-
How can you transition from IT to cybersecurity?
I need to disagree on the general comments about certifications value in the field. Sometimes certifications help to get some guardrails on what to focus your learning paths on, but if you just end with the “paper” and you don’t really know what you are talking about, it’ll be completely useless. Make sure that you are prepared to discuss about the topic with someone that knows more than you. Ask, ask a lot, and read about all the topics by yourself making sure you understand the fundamentals of the topics. You can build on top of that.
-
How can you avoid information overload in Information Security?
To me, it boils down to understanding what's pivotal for the business and trimming down complexities. By homing in on business-critical aspects, we can filter out the noise. Simplifying our infrastructure and processes, alongside reducing the attack surface, not only minimizes the data deluge but also fortifies our defense. This streamlined approach ensures we're not drowned in data, and also that we won’t have that trouble again in the future.
Actividad
-
Oh the AIrony… “the researchers propose CriticGPT as a second neural net that caches the occasions when ChatGPT makes mistakes in the code it…
Oh the AIrony… “the researchers propose CriticGPT as a second neural net that caches the occasions when ChatGPT makes mistakes in the code it…
Compartido por Borja Berastegui Anzorandia
-
No console, no problem. At Xbox we believe that when everyone plays, we all win. Which is why we’re thrilled to bring Xbox games to even more people…
No console, no problem. At Xbox we believe that when everyone plays, we all win. Which is why we’re thrilled to bring Xbox games to even more people…
Recomendado por Borja Berastegui Anzorandia
Experiencia y educación
-
King
Mira la experiencia completa de Borja
Mira su cargo, antigüedad y más
o
Licencias y certificaciones
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
Programador de Sistemas - Téc. Esp. en administración de Windows Server 2003/2008 y VMware.
Servicio Publico de Empleo Estatal SEPE
-
Publicaciones
-
Distributed HTTP bruteforcing. Trying to beat URL tokens part #1
FAQin Congress
Ver publicación"I've never liked URL tokens as a protection. By any mean, if you just get the correct url, you get direct access to the content.
Most of the times, this method is used on CDNs (Facebook, WhatsApp...) to share their users images and files without having to deal with authentication, which I suppose it will be extremely CPU intensive as millions of requests per second may be handled on those services.
Statistically, a long and random URL token will be almost impossible to get by…"I've never liked URL tokens as a protection. By any mean, if you just get the correct url, you get direct access to the content.
Most of the times, this method is used on CDNs (Facebook, WhatsApp...) to share their users images and files without having to deal with authentication, which I suppose it will be extremely CPU intensive as millions of requests per second may be handled on those services.
Statistically, a long and random URL token will be almost impossible to get by just bruteforcing it. But we have one thing playing on our side. The extremely huge amount of images and files that are uploaded into these services these days. WhatsApp, Instagram’s private photos, Facebook... most of these services use CDNs to upload and serve their files, and URL tokens in order to restrict the access to unauthorised users.
I’ve been thinking about on how to perform bruteforce over that kind of URLs, and I made a proof of concept of a distributed HTTP bruteforcing system in order to attack those URL tokens which I would like to show and share in order to ask for ideas and cooperation for further improvements."
-
[PONENCIA] Take care of your inputs
NuitDuHack
Quioscos interactivos, máquinas de venta de entradas, cajeros automáticos... En esta charla se hablará de que tipo de equipos informáticos se ofrecen a cualquiera listo para tocar una pantalla.
Hay todo tipo de dispositivos expuestos a las manos del público, y nosotros sómos capaces de usarlos como un componente más de la calle. ¿Cómo de protegidos están? ¿A qué redes están conectados? Mostramos cómo se ha obtenido acceso a estos equipos escapando las aplicaciones legítimas, las…Quioscos interactivos, máquinas de venta de entradas, cajeros automáticos... En esta charla se hablará de que tipo de equipos informáticos se ofrecen a cualquiera listo para tocar una pantalla.
Hay todo tipo de dispositivos expuestos a las manos del público, y nosotros sómos capaces de usarlos como un componente más de la calle. ¿Cómo de protegidos están? ¿A qué redes están conectados? Mostramos cómo se ha obtenido acceso a estos equipos escapando las aplicaciones legítimas, las localizaciones de los dispositivos y los métodos empleados para acceder al sistema subyacente.
La charla se ha centrado en un tono poco técnico, de cara a evitar mal uso de la exposición y demostrar la facilidad de obtener control de una máquina de ese tipo.Otros autores -
-
[PONENCIA] "Handware hacking" - Si hay un ‘input’, hay peligro
RootedCon
Ver publicación"Quioscos, pantallas informativas, terminales de venta, cajeros automáticos... Todo tipo de dispositivos expuestos a las manos de cualquiera en sitios públicos y fácilmente accesibles. ¿Cómo de securizados están? Y lo que es más importante... ¿En que redes se encuentran esos dispositivos? En esta ponencia se expondrán terminales de todo tipo a los cuales se ha obtenido acceso, así como las localizaciones de estos y métodos utilizados para acceder a los sistemas subyacentes."
-
La mentira de los "puntitos" en Android
Security by Default
Ver publicaciónEn este post, publicado en Security By Default, muestro una "feature" de las casillas de contraseña en los teléfonos Android, con la cual se permite extraer en texto plano las contraseñas almacenadas de VPNs o cuentas de correo electrónico.
Cursos
-
Corelan Win32 Exploit Development Bootcamp
-
-
SANS SEC542: Web App Penetration Testing and Ethical Hacking
-
Proyectos
-
Proyecto de fin de carrera - Implantación de un IDS y un sistema de monitorización en un entorno real.
Tomando como base el IDS "Snort" se proyectó y llevo a cabo una implantación en un entorno real de un detector de intrusiones basado en Snort + Snorby (interfaz web).
Como parte del proyecto se incluía la administración y configuración de los dispositivos de red necesarios para la obtención del tráfico a analizar sin influir en el rendimiento del entorno.
Se incluía en el proyecto la instalación y configuración de un sistema de monitorización; Nagios, para supervisar el estado de…Tomando como base el IDS "Snort" se proyectó y llevo a cabo una implantación en un entorno real de un detector de intrusiones basado en Snort + Snorby (interfaz web).
Como parte del proyecto se incluía la administración y configuración de los dispositivos de red necesarios para la obtención del tráfico a analizar sin influir en el rendimiento del entorno.
Se incluía en el proyecto la instalación y configuración de un sistema de monitorización; Nagios, para supervisar el estado de varios servicios críticos de la red. -
Traductor de aplicaciones para Android.
- actualidad
He traducido al Español algunas aplicaciones para Android, como por ejemplo:
- Thinking space
- OSMonitor
- Cyanogen Updater
- AndFtp
- Beautiful Widgets
- Network-discovery -
ThinkBig - Legoen
-
Proyecto de software aceptado en el programa ThinkBig de la Fundación Teléfonica, de un programa para la inspiración, la innovación y el emprendimiento de jóvenes entre 15 y 25 años.
Otros creadores -
Reconocimientos y premios
-
GitHub - Bug Bounty
Github
https://bounty.github.com/researchers/BBerastegui.html
-
Apple - Security acknowledgements
-
https://support.apple.com/en-am/HT212711
-
Proofpoint - Hall of fame
-
https://www.proofpoint.com/us/security/hall-of-fame
Idiomas
-
Español
Competencia bilingüe o nativa
-
Inglés
Competencia básica profesional
Perfiles similares
-
Matias Busco
Conectar -
Nanako Yamagishi
Senior Director of Product Operations and Partner Success at King
Conectar -
Katie Harris
Conectar -
🎮 Jordan Bateman 🕹
Conectar -
Sarah May (Wellock) Kao
Conectar -
David Cañizares Ariza
Conectar -
Gonzalo_ Vigo_
Conectar -
Angela "Penny" Scott, MBA/V
Conectar -
Daniel Puente Pérez
Conectar -
Javier Agudo
Director of Information Security at adidas
Conectar