SandaS: Respuesta inmediata a los ciberataques

July 11, 2016, 12:10 am

≫ Next: Otro mes, otra nueva familia de "rooting malware" para Android

≪ Previous: Another month, another new rooting malware family for Android

Hoy en día existen en el mercado proveedores que ofrecen diferentes soluciones de seguridad para organizaciones con presencia en Internet.

En los últimos tiempos, uno de los aspectos más importantes y que más preocupa a los CIO/CISO de las compañías es el tiempo transcurrido desde que un incidente de seguridad se produce en su organización y cuándo la organización es consciente del mismo.

Otro punto importante a destacar es el tiempo de reacción que cuentan las organizaciones para mitigar el ataque producido. En grandes corporaciones, un ataque que produzca un impacto importante y que no se resuelva a tiempo, puede suponer perdidas millonarias para el negocio y posiblemente la quiebra.

Con el fin de ofrecer una respuesta inmediata a los ciberataques actuales, SandaS permite orquestar todos los procesos que intervienen desde la detección del ataque hasta la mitigación del mismo, estando informada la organización en todo momento.

SandaS y su modularidad
SandaS aporta inteligencia sobre el ecosistema de correlación tradicional existente hoy en día, proporcionando información y visibilidad de los ataques producidos sobre los activos de las organizaciones en tiempo real. Se integra con los principales fabricantes de soluciones de seguridad, como son AlienVault, RSA Security Analytics, HP ArcSight y McAfee Nitro.

Posee una infraestructura distribuida y modular que se adapta a las necesidades específicas de las organizaciones

Por un lado es un correlador avanzado (CA) que permite complementar al correlador nativo de los SIEM de las organizaciones agregando una capa de inteligencia adicional y por otro lado realizando el envío de las alertas junto con sus eventos para su posterior categorización.

Posee un sistema colaborativo (SC) que permite compartir las alertas a un sistema central donde se anonimizan y sirven para que otros clientes puedan aprovechar el conocimiento de ataques comunes provenientes de Internet para así aplicar las contramedidas necesarias y reducir el tiempo de exposición a la posible amenaza.

Categoriza cada alerta y procesa en tiempo real acciones predefinidas, como pudiera ser la notificación a un grupo de operación o aplicar una mitigación en un dispositivo de seguridad.

Todos estos procesos son recogidos y visualizados en una consola única de gestión, permitiendo tener una visibilidad global de lo que está ocurriendo en tiempo real en las organizaciones.

SandaS y su modularidad
Los motores de correlación de las herramientas SIEM actuales tienen una serie de carencias:

- Dependencias de eventos - Revisión de correlaciones tras actualización sondas de IDS/IPS/Antivirus:

Correlaciones ya creadas
Creación de nuevas correlaciones

- Dependencia de tecnologías - Nuevos tipos de dispositivos requieren configurar nuevas correlaciones específicas ya que los eventos cambian:

Uso de taxonomía no muy extendida aún
Taxonomía no incluida en fuentes de logs propietarias

- Reducida flexibilidad - Utilización de distintos algoritmos para la detección:

Normalmente solo secuencia de eventos

- Fijación de umbrales - Correlaciones fijas y poco flexibles, que no tienen en cuenta información del entorno.

El módulo SandaS CA es el encargado de realizar la correlación avanzada y el envío de alertas de seguridad con sus eventos asociados.

Dicho módulo tiene una estrecha relación con el correlador desplegado en la infraestructura de cliente, ya que complementa al motor de correlación tradicional del dispositivo SIEM.

La Correlación Avanzada consta de 4 tipos diferentes de correlación:

Redes neuronales
Árboles de decisión
Eventos periódicos
Anomalías estadísticas

SandaS CA realiza un análisis detallado de los eventos registrados en la base de datos del correlador. Una vez aplicada la inteligencia basada en los correladores mencionados anteriormente, inyecta nuevos eventos en la base de datos del correlador.

Además, de forma periódica envía al módulo SandaS RA las alertas generadas en el correlador y los eventos asociados a las mismas.

SandaS RA
Realiza la categorización de las alertas recibidas y aplica acciones según las necesidades de cada cliente. Está integrado con soluciones comerciales de monitorización de salud de activos como OPSView, permitiendo la centralización de eventos de salud y eventos de seguridad en un solo sistema.

Por otra parte, permite la integración con sistemas de ticketing como Remedy, realizando la apertura, consulta y cierre automático de tickets en el sistema sin ningún tipo de interacción humana.

SANDAS DASHBOARD
Portal donde se muestra de manera gráfica y en detalle todos aquellos incidentes de seguridad y salud (en caso de estar integrado con un sistema de monitorización de salud) generados por los activos de cliente, pudiendo realizar diferentes filtros por localización, prioridad, servicio, etc.

Caso de uso
Cada día se producen múltiples ciberataques a las organizaciones con presencia en Internet, muchos de éstos pasan totalmente inadvertidos y el impacto en un activo en ocasiones llega a ser muy importante.

Por ejemplo, un acceso ssh remoto desde Internet configurado por la organización para que una empresa externa contratada pueda desarrollar una determinada aplicación interna, podría provocar un incidente de seguridad grave si se produjera un ataque y éste no fuera detectado a tiempo por la organización.

Gracias a la capacidad de integración con los fabricantes de seguridad más importantes del mercado, SandaS orquesta de forma eficaz y eficiente, por un lado la notificación del ataque producido y por otro lado la remediación automática contra dicho ataque, de tal forma que la organización esté totalmente informada del suceso y al mismo tiempo protegida, ejecutándose unas contramedidas específicas automáticamente y reduciendo el tiempo de respuesta producido desde que se detecta el ataque hasta que se aplica la contramedida efectiva para paliarlo.

En el caso de uso que nos ocupa, intervienen 2 fabricantes de seguridad integrados actualmente con SandaS: Security Analytics de RSA como correlador de eventos de seguridad y Palo Alto como dispositivo de seguridad perimetral.

Security Analytics
La correlación es una pieza clave de la seguridad de toda organización, ya que es capaz de generar alertas a partir de eventos generados de diferentes dispositivos.

Security Analytics permite la creación de reglas específicas para identificar posibles ataques. En nuestro caso hemos creado una regla que identifique como ataque más de tres intentos fallidos de inicio de sesión ssh dentro de un período de cinco minutos.

Si en el proceso de correlación de los eventos recibidos coincide con la regla creada anteriormente, una alerta es generada y enviada a través del módulo SandaS CA a SandaS RA para su categorización, notificación y remediación.

Notificación
Una vez categorizado el incidente, SandaS RA lanza el proceso de notificación y mitigación en paralelo. Existen diferentes modos de notificación. En este caso se realiza mediante correo electrónico al buzón de operación de la organización.

Palo Alto
Una vez categorizada la alerta por SandaS RA, se procesa una acción de mitigación del ataque en el firewall de nueva generación de Palo Alto.

Éste contiene una política que permite realizar sesiones SSH contra el servidor SSH, pero que deniega/corta una sesión SSH para cualquier ip contenida en un grupo dinámico con etiquetas definidas dentro de él.

Al generarse la alerta desde Security Analytics y enviada a SandaS RA, éste obtiene la ip de origen del atacante desde la alerta recibida, lo etiqueta y lo inyecta automáticamente a Palo Alto junto con la acción de ser incluida dentro del grupo dinámico existente en la política.

Finalmente el incidente es mostrado en SandaS Dashboard. En él se puede ver la severidad del incidente, la fecha y hora de cuando se ha producido, una breve descripción, el servicio al que afecta, la ip de origen del ataque, la localización, etc. Si estuviera integrada con la herramienta de ticketing indicaría además el número de ticket generado y asociado al incidente y el estado del mismo (en proceso, resuelto, etc).

Más información en:
elevenpaths.com

↧

Otro mes, otra nueva familia de "rooting malware" para Android

July 11, 2016, 2:40 am

≫ Next: No te pierdas nuestro Tour de Seguridad Zona Norte en Chile

≪ Previous: SandaS: Respuesta inmediata a los ciberataques

Hace varios meses hubo una explosión mediática sobre malware de rooteo de Android en Google Play. Estas familias fueron descubiertas y descritas por los laboratorios de investigación y seguridad de Cheetah Mobile, Check Point, Lookout, FireEye y Trend Micro, que las denominaron NGE MOBI/Xinyinhe, Brain Test, Ghost Push, Shedun o Kemoge. En un informe técnico posterior, tratamos a su vez de unir los puntos y conectarlas a todas. Concluimos que probablemente, todas ellas habían sido desarrolladas por el mismo grupo que habrían ido evolucionado sus técnicas desde, quizás, 2014.

Vuelve a ocurrir: Se ha escrito en los medios sobre HummingBad, Hummer o Shedun Reloaded. ¿Pertenecen a la misma familia de malware? Todo depende de qué laboratorio este haciendo el análisis.¿Tres familias diferentes de malware o no?

HummingBad

En febrero de este año, Check Point alertó al mercado sobre HummingBad. Este malware sigue las mismas "reglas" establecidas por la familia Brain Test, lo que implica que introduce también un rootkit en el móvil casi imposible de quitar, e instala aplicaciones móviles fraudulentas automáticamente. Pero era sorprendentemente más sofisticado. Infectaba a través de drive-by-downloads, su contenido estaba cifrado, y utilizaba varios métodos de redundancia para asegurar la infección (incluyendo automatización y, si esto no funcionaba, ingeniería social). Parte de la infraestructura utilizada como C&C han sido los dominios hxxp://manage.hummerlauncher.com, hxxp://cdn.sh-jxzx.com/z/u/apk, hxxp://fget.guangbom.com y hxxp://d2b7xycc4g1w1e.cloudfront.net.

Y empeora. A principios de julio, los investigadores de Check Point atribuyeron HummingBad a una compañía de publicidad "legítima" llamada Yingmob, que según mantienen, es además responsable del malware para iOS denominado Yispecter, que se aprovecha de su certificado corporativo para instalarse por sí mismo, y que fue descubierto a finales del 2015.
Hummer

También en julio, Cheetah Mobile alertó sobre un malware que llamó Hummer, una nueva amenaza diferente a "GhostPush" (su propia denominación para Shedun, Kemoge, Brain Test, etc). Aunque Cheetah Mobile no lo indica explícitamente, Hummer es HummingBad, tal y como hemos podido confirmar fácilmente con Tacyt, puesto que utiliza la misma infraestructura y el archivo de rooting "right_core.apk" que a veces va incrustado en el APK y otras veces es descargado.

Un ejemplar de HummingBad/Hummer con algunas de las URL singulares utilizadas

Shedun?

Lookout piensa de forma diferente. Afirman que HummingBad, o Hummer es lo mismo que Shedun, descubierto en noviembre de 2015. Mantienen que Shedun está estrechamente relacionado con la familia de BrainTest/GhostPush, y describen HummingBad como "no nuevo", sin aportar más detalles técnicos.

Por tanto, ¿son HummingBad/Shedun una evolución del mismo grupo cibercriminal que llegamos a conectar en nuestra anterior investigación, o proviene de un grupo distinto? Vamos a verlo.

Nuestro análisis

HummingBad, o Hummer, provienen de una compañia de adware "legítima" llamada Yingmob que por un tiempo, mantuvo su popular aplicación móvil "Hummer Launcher" en Google Play. Finalmente, Google eliminó la aplicación en mayo de 2015.

Hummer Launcher firmado con el ismo certificado igual que algunas muestras de HummingBad

Determinamos usando Tacyt, que incluso algunas muestras más agresivas estaban firmadas con el mismo certificado.

Desde nuestro informe anterior de octubre, vimos algunas conductas muy específicas que asocian todas las familias de malware. Por ejemplo, la utilización de unos dominios particulares y la presencia de algunos archivos dentro del APK como "sys_channel.ng".

Uno de los dominios particulares compartido por varias muestras analizadas en octubre

Uno de los nombres de ficheros específicos compartido por varias muestras analizadas en octubre

Nuestro equipo de analistas utilizó Tacyt para concluir que existe una fuerte evidencia que sugiere una relación entre varios informes diferentes de varias diferentes empresas de seguridad, y confirmar que algunas de las aplicaciones móviles agresivas descubiertas estaban en Google Play a principios del 2015. Las evidencias obtenidas sugieren que las supuestas diferentes familias de malware podrían proceder de los mismos cibercriminales chinos (utilizan la misma infraestructura, los mismos dominios, asuntos, archivos, etc), evolucionando la misma idea de servir anuncios agresivos, rotear los dispositivos, enviar comandos e instalar nuevos paquetes.

Llegamos a esta conclusión por varias similitudes que relacionan a las familias: dominios, fechas, permisos, nombres, certificados, recursos, etc. Este grupo chino comenzó sus actividades probablemente a finales de 2014, utilizando la "marca" OPDA y tratando de introducir malware en Google Play así como aplicaciones legítimas. Posteriormente, evolucionaron con nuevas técnicas, desde el adware Xinyinhe, que parecen ser simplemente variantes de "Ghost Push", "BrainTest"... hasta "Kemoge", todos ellos técnicamente relacionados de alguna forma.

¿Y qué pasa con HummingBad?

Comprobando las singularidades de HummingBad hemos determinado que utiliza una infraestructura completamente diferente que tiene poco en común con nuestros resultados anteriores, aun cuando siguen la misma filosofía de rootear el dispositivo e instalar de forma silenciosa aplicaciones. No podemos encontrar ninguna evidencia acerca de certificados, archivos, o cualquier otro indicio que pueda ayudarnos a vincular las dos familias juntas como lo hicimos previamente. Por supuesto, es posible que no las hayamos encontrado. Por ejemplo, HummingBad utiliza principalmente estos dominios: guangbom.com, hummerlauncher.com, hmapi.com, cscs100.com… que no son compartidos con familias de malware anteriores, excepto hmapi.com, que parece un lugar común para adware y malware. Todas las aplicaciones móviles que contienen este dominio particular en Google Play son finalmente eliminadas.

hmapi.com compartido entre adware o malware diferente que finalmente es siempre eliminado

Otro ejemplo puede ser que HummingBad utiliza right_core.apk como payload, que puede ser descargado o estar incrustado en el APK.

Buscando muestras que utilicen un fichero muy específico descargado o incrustado

Con HummingBad podemos remontarnos "solamente" a principios de 2015 con ejemplos "legítimos" de adware. Con la familia BrainTest podemos hacerlo hasta 2014.


Fecha de firma para las muestras que nuestros analistas habían marcado como HummingBad

Otro punto de interés es que parece que BrainTest no estaba muy interesada en el seguimiento de sus anuncios con UMENG (la popular plataforma china), mientras que HummingBad parece utilizar UMENG en muchos más ejemplos. Las claves no coinciden en todo caso.

Comparando keys entre familias

La filosofía coincide, pero el código, la infraestructura, o incluso la "historia" no

Parece que Shedun y HummingBad operan desde las raíces de compañias legítimas chinas (OPDA y Yigmob), y que pueden estar relacionados de otras maneras, pero los propietarios, recursos y desarrolladores parecen ser diferentes. Por lo tanto podemos concluir un par de ideas:

HummingBad es Hummer, pero no parece ser el mismo malware que Shedun/GhostPush/BrainTest
Esto es importante, porque significaría que los cibercriminales están aprendiendo entre ellos mismos. No es sólo el mismo grupo que evoluciona su propio producto. Preocupa puesto que lo más probable es que traten de mejorar técnicamente para ganar cuota de mercado entre ellos, ya que cuentan con "competidores".

Conseguir la atribución es siempre un ejercicio arriesgado para cualquier analista (incluido nosotros), pero creemos que HummingBad no es una evolución sino que se trata de un nuevo y peligroso malware de rooteo que se desarrolló paralelamente a otros anteriores (igual que hay diferentes ransomware o familias de troyanos bancarios con exactamente la misma filosofía). Y también creemos que esta familia está aquí para reclamar su cuota de mercado y quedarse por un tiempo.

↧

No te pierdas nuestro Tour de Seguridad Zona Norte en Chile

July 12, 2016, 1:37 am

≫ Next: European Cybersecurity Strategy: Telefónica´s support

≪ Previous: Otro mes, otra nueva familia de "rooting malware" para Android

Hace unos pocos días os presentamos nuestra primera oficina en Argentina, un sueño hecho realidad. Hoy os queremos presentar nuestro Tour de Seguridad Zona Norte que celebramos en Chile estos días. No te puedes perder las charlas y diferentes temáticas que se tratarán allí. Si estás por Chile o resides allí, no dudes en pasarte por estas ciudades y disfrutar de nosotros de unas jornadas llenas de emoción, conocimiento y seguridad.

La agenda del Tour es la siguiente:

Martes 12 de Julio.

Ciudad: Antofagasta
Dónde: Uribe 746, Salón Ruinas de Huanchaca
Hora: 15.30 (Horario Chile)

Jueves 14 de Julio.

Ciudad: Serena
Dónde: Cordovez 325 piso 3
Hora: 11.00 (Horario Chile)

Viernes 15 de Julio.

Ciudad: Copiapo
Dónde: Libertador Bernardo O'Higgins 531
Hora: 9.00, 11.00 y 15.00 (Horario Chile)

Las temáticas que se abordaran en este tour son: la evolución y futuro de la seguridad de la información empresarial, tema tratado por Gabriel Bergel, CSA de Eleven Paths. La ventaja de tener a Telefónica como Partner de Seguridad, tema tratado por Gabriel Pérez, Gerente General de Network 1. Soluciones de Seguridad para la empresa de hoy, tema tratado por Remsis Perez, Ingeniero Especialista de Network 1.

Os esperamos en este Tour de Seguridad en la zona norte de Chile. Confirma tu asistencia enviando un correo a: maximiliano.garces@telefonica.com. ¡Os esperamos!

↧

European Cybersecurity Strategy: Telefónica´s support

July 14, 2016, 6:29 am

≫ Next: El informe Chilcot y los metadatos de la guerra

≪ Previous: No te pierdas nuestro Tour de Seguridad Zona Norte en Chile

Telefónica welcomes two relevant milestones that have taken place in Brussels during the last days in order to foster the European cybersecurity strategy to avoid incidents that can undermine consumer confidence and cause major economic damage to European business and the economy at large. Cybersecurity and the fight against cybercrime has turned into one of the political priorities for the ICT sector in the EU and Telefónica is ready to play its part.

On July 6th, the European Parliament Plenary voted on the Directive on Network and Information Security following the adoption by Council in last May.

The NIS Directive is the first EU wide legislation on cybersecurity ever and culminates a long process of negotiations between Parliament, Council and European Commission.

Once the Directive enters into force (on the twentieth day after it´s been published in the EU Official Journal in August) Member States will have 21 months to transpose it into their national laws.

For the first time, NIS Directive creates a legislative framework that will also apply to some digital services, leveling the playing field and establishing harmonized requirements regardless of whether the providers of these services are based in the EU.

The three pillars of the Directive aim at:

developing of national capabilities
cooperating among national Authorities
establishing specific security obligations and notification requirements for operators of “essential services” (traditional critical infrastructures) and providers of “digital services” (such as Cloud providers, online market places and search engines)

One day before the NIS Directive was voted by the European Parliament, on July 5th, the Commission adopted a Cybersecurity Package composed by a decision establishing a contractual Public-Private Partnership on Cybersecurity expected to trigger €1.8 billion of investment by 2020 and a Communication on a Competitive and Innovative Cybersecurity Industry, setting the basis for a “industrial policy” on Cybersecurity.

The cPPP is basically a contract between the Commission and the European Industry with a commitment to co-finance specific lines of research. Pedro Pablo Pérez, ElevenPaths’ CEO and Telefónica Global Security Managing Director, has been appointed as member of Board of Directors and also Partnership Board of European Cybersecurity Organization (ECSO), the association that will implement the cPPP.

Telefónica is the only telco operator that has been selected to occupy this relevant position. This reinforces our commitment to enhance Digital Confidence of customers, citizens and businesses, in line with Telefónica’s positioning in Public Policy and our willingness to engage with the Commission in realizing the vision for a secure and trusted online environment in Europe.

The main goals of the Cybersecurity cPPP are:

to improve industrial CyberSecurity capacities and digital autonomy of the EU, by promoting trust and security in digital services and networks in response to global cyber threats, while respecting EU values (Fundamental Right to Privacy)
to stimulate developments of EU industrial and technological resources to overcome
- existing gaps in EU technology and online services
- existing barriers for the achievement of a real Digital Single Market for Cybersecurity products and services
with the ultimate goal of contributing to a strong European Cybersecurity Industry

As we can see, there is a firm commitment manifested, now it´s time to move from words to deeds because nowadays the digital world goes much faster than the physical. There is no time to waste.

» The original post is based on Telefonica's Public Publicy Blog and written by Andrea Fabra
"European Cybersecurity Strategy: Telefonica’s support"

↧

El informe Chilcot y los metadatos de la guerra

July 17, 2016, 5:20 am

≫ Next: Nueva herramienta: Transformadas de Maltego para Tacyt

≪ Previous: European Cybersecurity Strategy: Telefónica´s support

John Chilcot presidente de la Comisión Independiente para investigar la participación de UK en la guerra de Iraq, presentaba hace unos días el informe con el conjunto de conclusiones a las que se ha llegado tras una investigación que ha durado 7 años. En este informe se pone de manifiesto que Tony Blair ex-primer ministro británico (1997-2007) no tomó las medidas necesarias para agotar las posibilidades no bélicas antes de iniciar la invasión junto a Estados Unidos de un país soberano como era Iraq en el año 2003.

Esta noticia nos hace retomar el DeLorean a los tiempos en los que el dictador Sadam Hussein gobernaba Iraq con puño de hierro, un país que se había estado reponiendo de sus pérdidas en la guerra de Kuwait unos años antes, donde a pesar de la derrota, el régimen de Sadam permaneció en el poder.

Los acontecimientos del 11s en 2001, el rearme militar, el petróleo y las tensiones religiosas formaron un caldo de cultivo propicio para que los servicios de inteligencia norteamericanos extendieran sus tentáculos en busca de razones para planificar un derrocamiento del líder iraquí. Esto no se consiguió a pesar de los esfuerzos y el apoyo de facciones religiosas contrarias al régimen así que hubo que inventarse algo que diera los motivos necesarios ante los ojos de las Naciones Unidas de que la invasión del país era necesaria.

Tony Blair presentó en la Cámara del Gobierno británico un informe de inteligencia proporcionado por los servicios secretos norteamericanos que afirmaba la existencia de estas armas en suelo iraquí listas para ser utilizadas contra objetivos civiles o militares. Ante la pregunta de si el informe digital era legítimo, Tony Blair defendió su integridad y su total confianza.

Curiosamente este hecho supondría un punto de inflexión en el mundo de la seguridad digital. El plan fructificó y se hizo creer al mundo que Sadam Hussein poseía en su arsenal armas de destrucción masiva, una gran amenaza que no se podía permitir y más en manos de un dictador que expresaba públicamente su odio al mundo occidental y a Israel. Este informe fue hecho público para que el mundo pudiese ver que efectivamente existían razones justificadas para la guerra, pero lo que no se sabía es que el informe contenía oculto entre sus metadatos detalles que pondrían en duda las palabras del Primer Ministro y la veracidad del informe.

Entre los metadatos aparecieron entre otras cosas una serie de nombres que de una u otra manera intervinieron en el informe antes de su presentación, todos pertenecientes al entorno de Tony Blair, lo cual hizo sospechar de su intencionada manipulación. Pero aquí no acaba todo, como detalle, la última persona en manipular el documento fue un becario, algo que no encajaba en la imagen seria de los servicios secretos al estilo de James Bond que siempre nos han querido mostrar. Para echarse a llorar.

Este hecho salió a la luz gracias al descubrimiento del Dr Glen Rangwala profesor en ciencias Políticas en Cambridge el cual fue hecho público bajo el titulo Tony Blair in the Butt que a día de hoy aún se deja encontrar por la web y donde aparecen las personas que de una u otra manera gestionaron el informe.

Encontrar hoy en día el documento Word que destapo el escandalo se ha vuelto complicado lo cual nos obliga a tirar de repositorios que aún mantienen el documento con los metadatos del momento.

En aquellos tiempos no existían las herramientas que hoy en día nos permiten la gestión o visualización de los metadatos y esto le habría evitado al señor Blair verse involucrado en el escándalo que esto supuso y puede que sus posteriores consecuencias plasmadas en el informe Chilcot. La reputación es algo que cuesta mucho en conseguir y poco en destruir. Esto lo sabe bien el Sr. Blair.

Un hecho que forma parte de los claros ejemplos de la historia de los metadatos y el inicio de la carrera por controlarlos, procesarlos o eliminarlos que se aceleró en los años posteriores y que a día de hoy se ha convertido en uno de los grandes retos de la seguridad digital en todo el mundo.

¿Quieres prevenir y detectar a tiempo una fuga de información? En ElevenPaths ofrecemos soluciones preventivas contra la fuga de información a través de la familia Metashield. Si quieres saber más sobre el tratamiento de metadatos, habla con nuestros expertos en Ciberseguridad en la Comunidad Técnica de ElevenPaths.

Antonio Bordón

antonio.bordon@11paths.com

↧

Nueva herramienta: Transformadas de Maltego para Tacyt

July 17, 2016, 11:39 pm

≫ Next: New tool: Maltego transforms for Tacyt

≪ Previous: El informe Chilcot y los metadatos de la guerra

Si eres un usuario habitual de Maltego, ya sabrás qué intuitiva y útil resulta para investigar y analizar información. También sabrás que Maltego permite la creación de transformadas, que son scripts que permiten llamar a un servicio externo a través de API o cualquier otro recurso. Puesto que Tacyt cuenta con una API completa y un SDK para un uso más sencillo, crear transformadas es un paso natural adelante para aprovecharse de todo lo que ofrece Maltego. Y aquí las presentamos.

Imagina que estamos en una investigación que involucra aplicaciones y sus relaciones. Podríamos preguntarle a Tacyt que nos diera resultados sobre permisos, enlaces, correos, certificados, imágenes, etc. y se acaba con un dato interesante, digamos, un dominio. ¿A quién pertenece ese correo? En vez de utilizar recursos externos a Tacyt, se podría utilizar Maltego, correr las transformadas de Tacyt, extraer la información interesante y una vez que se tiene una URL, correo, perfil o cualquier otra entidad, aprovechar cualquiera de las muchas transformadas disponibles para Maltego. Así se facilita la investigación, más visual y completa en una sola ventana.

Hemos creado varias transformadas, pero no tienen por qué ser las únicas (el código está en GitHub así que cualquiera puede crear una). Hemos creado también entidades para Tacyt en Maltego y un paquete para instalarlo todo. Los pasos son sencillos:

Importar el fichero MTZ desde el menú "Manage, Import, Config".
Una vez importada, comprobar la ruta a Python y a las propias transformadas y que correspondan a las del sistema. Clic en "Manage Transforms" y buscar por tct (con wildcards) para mostrar las transformadas de Tacyt. Selecciónalas con el botón "shift".
En "Transform Inputs", modifica "Command line", y "Working directory" (donde están las transformadas en ficheros .py) de acuerdo a tus rutas. Por supuesto, previamente se necesita especificar el API ID y el Secret en APIManagement.py.

A continuación mostramos un vídeo de cómo desarrollar una pequeña investigación con una app arbitraria en Maltego, y no solo en Tacyt.

En el vídeo, se muestra cómo partiendo de una app clasificada como perteneciente a Brain Test, se puede extraer información relevante como los datos del certificado. En él, aparece un alias poco común en su Subject Common Name. Si se vuelve a buscar ese dato en Tacyt, aparecen otras apps similares. A una de ellas se le extraen los dominios (a los que se podría aplicar una transformada para conocer sus datos de registro). También sería posible buscar si el alias anterior tiene cuenta en Twitter (transformada de Alias a usuario de Twitter), dato que se confirma (aunque no lo apunta necesariamente como autor o relacionado con el malware).

El código y las transformadas están disponibles desde aquí. Esperamos que sea útil.

↧

New tool: Maltego transforms for Tacyt

July 18, 2016, 5:47 am

≫ Next: Cybersecurity Shot_Fuga de Información de US Army

≪ Previous: Nueva herramienta: Transformadas de Maltego para Tacyt

If you are a Maltego user, you already know how intuitive and useful it is for researching and analyzing information. You may know as well that Maltego allows to create transforms, that are no more than scripts to call some service API or whatever other resource. Since Tacyt counts with a comprehensive API and a SDK for an easier use, transform are a natural step ahead to take advantage of everything Maltego offers. And here they are.

Imagine you are performing a research that involves applications and its relations. You may ask Tacyt to give you results about permissions, links, names, emails, certificates, etc… And you end up with an interesting data, let’s say, an interesting domain. Who does that domain belong to? Well, instead of using external resources, you may use Maltego, run Tacyt transforms, extract the interesting information and once you get to an url, email, profile or whatever other entity, take advantage of the other many transforms available for Maltego. So the research gets easier, visual and complete in a single screenshot.

We have created several transforms, but more are sure to come (the code is all in GitHub so you could create your own). We have created as well entities for Tacyt in Maltego, and a package to install them all. The steps to install are easy:

Import the MTZ file from "Manage, Import, Config" menu.
Once imported, check the Python path and transforms paths themselves match the ones in your system. Click on "Manage Transforms" and search for tct (with wildcards) to show all Tacyt transforms. Select them all using shift button.
In "Transform Inputs", modify "Command line", and "Working directory" (the path where the .py transforms are stored) accordingly.

Of course you would need to specify your API ID and Secret in APIManagement.py.
Here is a short video about how to develop a little research with an arbitrary app.

In the video, it is shown how, coming from an app classified as Brain Test family, relevant information may be extracted as certificate data. From a not so common alias in the Subject Common Name, we may search again this it in Tacyt, and other apps show up. From one of them we extract the domains (which we could apply some transform to, so we get their registering data). It would be possible to search if the alias corresponds with a Twitter identity (Transform from alias to Twitter user), which is confirmed (although it does not necessarily mean the account is responsible for the malware).

The code and transforms are available here. Hope you find it useful.

↧

Cybersecurity Shot_Fuga de Información de US Army

July 19, 2016, 5:48 am

≫ Next: Gmail se está utilizando para exfiltrar la información corporativa

≪ Previous: New tool: Maltego transforms for Tacyt

Cybersecurity Shot es un tipo de informe de investigación sobre casos de actualidad relacionados con bases de datos filtradas en la red así con algunas recomendaciones que podrían haberlo evitado.

Cada entrega trae un caso real. Os ponemos al día de lo último en Ciberseguridad. ¡No dejéis que os lo cuenten!

A continuación podéis leer un breve resumen de la última investigación:

Caso US Army

Investigación "Fuga de información de US Army"

El 23 de junio se hicieron públicos los datos pertenecientes a más de 3000 militares de las fuerzas armadas de los Estados Unidos a través de una cuenta de Facebook, administrada por el grupo hacktivista Ghost Squad Hackers. La filtración fue replicada durante los días posteriores en plataformas de intercambio de información, como Pastebin o Ghostbin, para obtener una mayor visibilidad y dificultar su eliminación.

Descubre con nuestros analistas de inteligencia los motivos de los presuntos ciberdelincuentes, la naturaleza de la información filtrada y las recomendaciones para evitar ese tipo de ataques.

» Descárgate el caso “Fuga de información de US Army”

No te puedes perder el próximo:
» Caso iMesh

Más información en
Elevenpaths.com

↧

Gmail se está utilizando para exfiltrar la información corporativa

July 20, 2016, 5:50 am

≫ Next: Estrategia de Ciberseguridad Europea: Asistencia de Telefónica

≪ Previous: Cybersecurity Shot_Fuga de Información de US Army

DESCÁRGATE AQUÍ LA INVESTIGACIÓN COMPLETA

¿Sabías que Gmail se está utilizando como C&C para la exfiltración de la información corporativa? En ElevenPaths hemos descubierto cómo ciertas muestras de malware están utilizando servicios de correo electrónico como canales encubiertos formando parte de ataques persistentes avanzados.

Las muestras de malware que utilizan servicios de correo electrónico como canales encubiertos para la exfiltración de información están formando parte de ataques persistentes avanzados. A pesar de que estas técnicas no siempre están sujetas a un alto grado de inversión, están resultando eficaces en entornos corporativos con gran cantidad de información sensible por lo que implica limitar las comunicaciones hacia proveedores que también son usados legítimamente. Su mitigación se torna difícil lo que obliga a replantearse las estrategias y elementos de defensa de malware avanzado.

Los ciberdelincuentes han aprendido a monetizar el malware en donde las variantes más comunes se suelen convertir en piezas que dan soporte a los canales de despliegue e instalación de muestras más sofisticadas como parte de ataques persistentes avanzados. En este sentido, se está observando un aumento en el esfuerzo empleado por parte de ciertos grupos para desarrollar muestras destinadas a tareas de control de sistemas infectados y de exfiltración de datos basado en técnicas de covert channel (canal encubierto, en inglés).

Key Threat
Técnicas Covert Channel mediante Gmail
Grupos cibercriminales están destinando esfuerzos a la exfiltración de información mediante técnicas de canales encubiertos. De esta manera, el malware comienza a detectarse abusando de infraestructuras de terceros, como son las plataformas de correo electrónico. En este sentido, los servicios de correo están siendo utilizados como servidores de C&C para evitar ser detectados mediante los sistemas actuales de protección de red.

Visión del analista
Precaución a la hora de considerar los dominios de Gmail como confiables
Dominios de Gmail u otros proveedores de correo electrónico o incluso dominios relacionados con redes sociales podrían estar siendo utilizados para tomar el control de los sistemas de una organización. Es por ello que ElevenPaths recomienda realizar una monitorización en detalle de los mismos o incluso bloquearlos en el caso de sistemas que alberguen información sensible. Por otro lado, con las tecnologías de defensa contra malware avanzado se realiza una monitorización exhaustiva del comportamiento del endpoint, por lo que esta aproximación permitiría analizar el comportamiento del mismo si un dominio o servicio, a priori legítimo, podría estar siendo utilizado con fines maliciosos.

» Descárgate la investigación completa desde nuestra web “Malware low cost que usa Gmail como canal encubierto“.

También te puede interesar:
» Malware que instala certificados raíz en Windows y Firefox automáticamente

Más información en
Elevenpaths.com

↧

Estrategia de Ciberseguridad Europea: Asistencia de Telefónica

July 21, 2016, 6:28 am

≫ Next: Internalia Group elige nuestra app Latch para proteger su app estrella y a sus usuarios

≪ Previous: Gmail se está utilizando para exfiltrar la información corporativa

Telefónica ha acogido dos acontecimientos de gran importancia que han tenido lugar en Bruselas durante los últimos días, cuyo fin era fomentar la estrategia de seguridad cibernética europea para evitar incidentes que puedan debilitar la confianza del consumidor y causar grandes pérdidas económicas al sector empresarial europeo y a la economía en general. La ciberseguridad y la lucha contra el cibercrimen se han convertido en una de las prioridades políticas para el sector de las TIC en la UE, y Telefónica está preparada para desempeñar su papel.

El 6 de julio, la Directiva sobre seguridad de las redes y la información se sometió a voto en el Pleno del Parlamento Europeo, tras la adopción de la misma por parte del Consejo en el pasado mes de mayo.

La Directiva SRI es la primera legislación en toda la UE en materia de ciberseguridad, y culmina un largo proceso de negociaciones entre el Parlamento, el Consejo y la Comisión Europea.

Una vez que la Directiva entre en vigor (veinte días después de que se haya publicado en el Diario Oficial de la UE de agosto), los Estados miembros tendrán 21 meses para incorporarla a sus legislaciones nacionales.

Por primera vez, la Directiva SRI crea un marco legislativo que también será de aplicación en ciertos servicios digitales, creando así una igualdad de condiciones y estableciendo una armonización de requisitos, con independencia de si los proveedores de estos servicios se encuentran o no en la UE.

Los tres pilares de la Directiva tienen como objetivo:

el desarrollo de las capacidades nacionales
la cooperación entre autoridades nacionales
el establecimiento de obligaciones de seguridad específicas y requisitos de notificación para los operadores de “servicios esenciales” (infraestructuras críticas tradicionales) y los proveedores de “servicios digitales” (como proveedores de la nube, mercados en línea y motores de búsqueda)

Un día antes de que la Directiva SRI se sometiera a voto en el Parlamento Europeo, el 5 de julio, la Comisión adoptó un paquete de ciberseguridad formado por una decisión que establece una sociedad contractual público-privada (cPPP, Contractual Public-Private Partnership) sobre ciberseguridad de la que se espera que genere 1,8 mil millones de euros de inversión para el año 2020, y una comunicación sobre una industria de ciberseguridad competitiva e innovadora, sentando así las bases para una “política industrial” sobre ciberseguridad.

Dicha sociedad contractual (cPPP) es esencialmente un contrato entre la Comisión y la industria europea con el compromiso de cofinanciar líneas específicas de investigación. Pedro Pablo Pérez, CEO de ElevenPaths y Telefónica Global Security Managing Director, ha sido nombrado miembro de la junta directiva y del Consejo de Sociedad de la Organización Europea de Ciberseguridad (ECSO), la asociación que implementará la cPPP.

Telefónica es el único operador de telecomunicaciones que ha sido seleccionado para ocupar este cargo tan importante. Esto refuerza nuestro compromiso de mejorar la confianza digital de clientes, ciudadanos y empresas, en línea con el posicionamiento de Telefónica en políticas públicas, y nuestra voluntad de cooperación con la Comisión para cumplir el objetivo de un entorno europeo en línea seguro y de confianza.

Los principales objetivos de la cPPP de ciberseguridad son:

mejorar las capacidades de la ciberseguridad industrial y la autonomía digital de la UE mediante el fomento de la confianza y la seguridad en los servicios y redes digitales como respuesta a las amenazas informáticas globales, respetando al mismo tiempo los valores de la UE (derecho fundamental a la intimidad);
estimular el desarrollo de los recursos industriales y tecnológicos de la UE para superar:
- lagunas existentes en la tecnología y servicios en línea de la UE,
- barreras existentes para la consecución de un verdadero mercado digital único de productos y servicios de ciberseguridad;
contribuir al fortalecimiento de la industria europea de ciberseguridad como objetivo fundamental.

Como vemos, por nuestra parte existe un compromiso firme. Es el momento de pasar de las palabras a los hechos, porque hoy en día el mundo digital avanza mucho más rápido que el físico. No hay tiempo que perder.

Andrea Fabra
Gerente de Políticas Públicas e Internet

↧

Internalia Group elige nuestra app Latch para proteger su app estrella y a sus usuarios

July 22, 2016, 6:49 am

≫ Next: New Tool: PinPatrol add-on for Firefox

≪ Previous: Estrategia de Ciberseguridad Europea: Asistencia de Telefónica

Con el objetivo de añadir una capa extra de seguridad

INTERNALIA GROUP REFUERZA CON LATCH LA SEGURIDAD DE LOS USUARIOS DE SU APP ESTRELLA: WORKING DAY SUITE

Más de 30.000 usuarios de la plataforma Working Day Suite podrán proteger el acceso a la plataforma con Latch, nuestro pestillo digital que protege servicios y cuentas online.

La app Working Day Suite ahora tiene una capa extra de seguridad con Latch, de tal manera que un usuario puede bloquear su acceso cuando no esté realizando ningún uso de la aplicación.

Internalia Group, la compañía líder en el desarrollo de aplicaciones móviles para empresas, acaba de incorporar en su aplicación “estrella”: Working Day Suite la herramienta de seguridad Latch, de ElevenPaths para ofrecer una protección adicional que permite bloquear, de una manera fácil e intuitiva, el acceso al Panel de Working Day Suite, cuando no se esté utilizando.

Esta aplicación móvil, que ayuda a empresas a optimizar el rendimiento del personal que trabaja fuera de la oficina, con seguimiento gps, envío de datos en movilidad, planificación de tareas y gestión de pedidos en tiempo real, ofrece, a partir de hoy, la posibilidad a sus usuarios de Latinoamérica, África, Dubai, Irlanda, Francia y España “echar el pestillo” a sus cuentas online con el objetivo de reducir los riesgos de ataques dirigidos.

Según Francisco Orellana, CEO de la compañía Internalia Group, “Entendemos que en la colaboración entre empresas, está la clave del crecimiento, por este motivo, hemos añadido una solución ya desarrollada y probada en todo el mundo, para incorporarla como un extra a nuestras Apps, y así ofrecer un valor añadido de seguridad con la garantía del grupo Telefónica”.

¿Cómo funciona Latch en Working Day Suite?

Latch es nuestro servicio móvil que permite agregar un nivel extra de seguridad a tus cuentas digitales, apps y servicios online. Para estar protegido frente a posibles amenazas de suplantación de identidad, el usuario únicamente tiene que parear su cuenta desde la pestaña Latch Protected insertando el código generado desde la aplicación Latch en el dispositivo móvil.

Si eres usuario de Working Day Suite y quieres saber cómo conseguir el pareado con Latch y obtener así un segundo factor de autenticación aquí puedes descargarte el manual de usuario.

*También te puede interesar:

Más información en:

elevenpaths.com

latch.elevenpaths.com

↧

New Tool: PinPatrol add-on for Firefox

July 24, 2016, 11:31 pm

≫ Next: Nueva herramienta: PinPatrol, un add-on para Firefox

≪ Previous: Internalia Group elige nuestra app Latch para proteger su app estrella y a sus usuarios

We have created a new tool for improving the experience using HSTS and HPKP in Firefox. This tool is a Firefox add-on that shows this information in a human readable way. It is very easy to use and it can provide useful information about the HSTS and HPKP data stored by your browser.

HSTS and HPKP

The HTTP Strict Transport Security protocol (HSTS) can turn HTTP requests into HTTPS from the browser itself. If a server decides to send HSTS headers to a browser, any subsequent visit to the domain from that browser is automatically and transparently converted to HTTPS from the browser, avoiding unsafe requests from the starting point of the connection itself. The application of the HSTS protocol is transparent to the user, i.e., browsers. themselves are responsible for redirecting and remembering for how long domains should be visited via HTTPS if they have notified via HSTS. The domain transmits HSTS information to the browser with the Strict-Transport-Security header.

The idea behind the certificate pinning is to be able to detect when a chain of trust has been modified. In order to do so, a digital certificate present in a certificate chain needs to be unequivocally associated, usually in the browser, with a specific domain. Thus, a domain A, e.g. www.elevenpaths.com, will be linked to a specific certificate/certification authority B. If for any reason a different certification authority B’ (which depends on a trusted root certification authority) tries to issue a certificate associated with domain A, an alarm is launched. In general, any modification of the certification chain is suspected of a possible alteration. That is what HPKP (HTTP Public Key Pins) is for.

Description

Firefox supports HSTS from version 4 and HPKP from version 32. This is a Firefox extension that shows in a readable format, the state of HSTS and HPKP domains stored by the browser. Firefox does not have a native way to show these domains or this functionality properly documented.

An example of what the add-on shows

Functionality

The information provided by the table is the one stored by the browser, "translated" into a more human readable way.

Domain: Domain protected under HSTS or HPKP.
Score: This score is a Firefox value. It increases by one every different day (24 hours at least) the domain is visited.
Date: Last day the domain was visited. It is calculated by Firefox using the number of days since 01/01/70.
Expiration Date: Max-age of HSTS or HPKP, in other words, when the entry will expire.
SecurityPropierty: This is a Firefox value. SecurityPropertyUnset if 0, SecurityPropertySet if 1 or SecurityPropertyKnockout if 2.
IncludeSubdomains: Whether the HSTS or HPKP directive includes subdomains.
HPKP Pins: List of pins in the HPKP header.

PinPatrol is available from Mozilla official repository. Hope you find it useful.

↧

Nueva herramienta: PinPatrol, un add-on para Firefox

July 25, 2016, 7:33 am

≫ Next: Comienza la Segunda Temporada de Eleven Paths Talks: ¡No dejes que te lo cuenten!

≪ Previous: New Tool: PinPatrol add-on for Firefox

Hemos creado una nueva herramienta para mejorar la experiencia de uso con HSTS y HPKP en Firefox. Es un add-on de Firefox que muestra esta información en formato "legible" por un humano. Es sencillo de usar y proporciona información útil sobre los datos relativos a HSTS y HPKP que almacena el navegador.

HSTS y HPKP

HTTP Strict Transport Security protocol (HSTS) puede convertir las peticiones HTTP en HTTPS desde el propio servidor. Si un servidor decide enviar una cabecera HSTS al navegador, cada visita posterior a ese domino idesde el navegador será automáticamente y de forma transparente, convertida a HTTPS desde el navegador, evitando peticiones no seguras desde el mismo comienzo de la conexión. La aplicación de HSTS es transparente el usuario, es el navegador el responsable de redirigir y recordar por cuánto tiempo los dominios deben ser visitados por HTTPS. El dominio transfiere la información HSTS a través de la cabecera "Strict-Transport-Security header".

La idea detrás del "certificate pinning" es ser capaz de detectar cuándo se ha modificado una cadena de confianza. Para conseguirlo, un certificado presente en una cadena de certificación necesita ser asociado (normalmente en el navegador) inequívocamente a un dominio específico. Por tanto un dominio A, www.elevenpaths.com, estará enlazado a un certificado o autoridad de certificación B. Si por cualquier razón una CA B’ diferente (que depende a su vez de una autoridad de certificación) intenta emitir un certificado asociado con el dominio A, se lanza una alarma. En general, cualquier modificación de la cadena de certificación es susceptible de tratarse de una alteración. Para eso sirve el HPKP (HTTP Public Key Pins).

La herramienta

Firefox soporta HSTS desde la version 4, y HPKP desde la 32. Presentamos una extensión de Firefox que muestra en formato legible el estado de HSTS (HTTP Strict Transport Security) y HPKP (HTTP Public Key Pins) de los dominios almacenados por el navegador. Firefox no dispone de una forma de verlo de forma nativa y tampoco documenta en exceso esta información.

Un ejemplo de lo que puede mostrar el complemento

Funcionalidad

La información proporcionada en la tabla es la almacenada por el navegador y “traducida” a un formato más legible por un humano.

Domain: Dominio protegido bajo HSTS o HPKP.
Score: Se trata de un valor interno de Firefox. Incrementa en uno cada día diferente (siempre que hayan pasado 24 horas) que se visita un dominio.
Date: El ultimo día que fue visitado un dominio. Se calcula por Firefox utilizando el número de días que han pasado desde el 01/01/70.
Expiration Date: Se trata del max-age de HSTS o HPKP, en otras palabras, cuándo caducará la entrada.
SecurityPrpierty: Es un valor interno de Firefox. SecurityPropertyUnset si 0, SecurityPropertySet si 1 o SecurityPropertyKnockout si vale 2.
IncludeSubdomains: Indica si HSTS o HPKP incluye la directiva de subdominios y todos quedan protegidos.
HPKP Pins: Lista de pines en la cabecera HPKP.

PinPatrol está disponible desde la página oficial de Mozilla. Esperamos que os sea de utilidad.

↧

Comienza la Segunda Temporada de Eleven Paths Talks: ¡No dejes que te lo cuenten!

July 26, 2016, 7:52 am

≫ Next: Eleven Paths Talks: Generación de políticas nacionales de Ciberseguridad y Ciberdefensa

≪ Previous: Nueva herramienta: PinPatrol, un add-on para Firefox

A partir del próximo 28 de Julio ElevenPaths vuelve con la segunda temporada de ElevenPaths Talks. Tras el éxito cosechado en la primera temporada volvemos con nuevas temáticas en el ámbito de la seguridad de la información. Las sesiones serán semanales y con una duración de unos 30 minutos, divididos entre 20 y 25 minutos de exposición por parte del ponente y de 5 a 10 minutos de preguntas y respuestas. El horario escogido será a las 15.30 (hora Madrid). La mayoría de sesiones serán en español, aunque algunas se celebrarán en inglés y portugués. Las sesiones serán grabadas y se publicarán en nuestro canal de Youtube. La plataforma sobre la que se realizarán los Webcasts es Hangouts.

No pierdas la ocasión de saber todo sobre el mundo de la seguridad informática y de lo que está por venir de la mano de nuestros CSAs. A continuación, te dejamos el listado por fechas de los Webcasts y el tema que será expuesto:

28 de julio de 2016. Generación de políticas nacionales de Ciberseguridad y Ciberdefensa por Leonardo Huertas.
4 de agosto de 2016. Diferencias entre análisis de Infraestructura, análisis Web y Code Review por Diego Espitia.
11 de agosto de 2016. Fraude en POS (Punto de venta) por Gabriel Bergel.
18 de agosto de 2016. Los 10 principales controles de Seguridad que no pueden faltar en la empresa por Leandro Bennaton.
25 de agosto de 2016. Metodologías de desarrollo seguro (Secure SDLC) por Diego Espítia y un invitado especial.
1 de septiembre de 2016. ¿Hacia dónde evolucionan los APT? por Un invitado especial.
8 de septiembre de 2016. Los SIEM y la Correlación de Eventos Avanzada por Claudio Caracciolo y un invitado especial.
15 de septiembre de 2016. Inseguridad en dispositivos móviles Android por Gabriel Bergel y un invitado especial.
22 de septiembre de 2016. Estructura interna de un CSIRT (Parte 2) por Leonardo Huertas.
29 de septiembre de 2016. BIO Hacking por Gabriel Bergel.
6 de octubre de 2016. Malware en medios de pago no tradicionales por Leandro Bennaton.
13 de octubre de 2016. Analizando un protocolo Industrial por Claudio Caracciolo.
20 de octubre de 2016. ¿Qué es Blockchain y por qué puede cambiar el mundo? por Rames Sarwat y un invitado especial.
27 de octubre de 2016. Cifrado asimétrico en IoT por Jorge Rivera.
3 de noviembre de 2016. CiberInteligencia sobre IPv6 por Leandro Bennaton y un invitado especial.
10 de noviembre de 2016. El protocolo de cifrado HSTS para la web por Diego Espitia.
17 de noviembre de 2016. Software Defined Radio (SDR) por Claudio Caracciolo y Jorge Rivera.
24 de noviembre de 2016. Inseguridad en dispositivos móviles iOS por un invitado especial.
1 de diciembre de 2016. Ventajas y desventajas de los sistemas de 2FA Claudio Caracciolo.
8 de diciembre de 2016. La gestión de los certificados digitales en la empresa por Rames Sarwat.
15 de diciembre de 2016. Network Packet Manipulation por Leonardo Huertas y un invitado especial.

Te esperamos para que nuestros CSAs te enseñen lo más novedoso en el mundo de la seguridad. Recuerda que tienes una cita el próximo 28 de Julio en horario de 15.30 (hora Madrid). Para registrarte debes usar el siguiente formulario de registro de Eleven Paths Talks. Si quieres pasarte por nuestra comunidad y compartir opiniones con nuestros expertos, te esperamos.

↧

Eleven Paths Talks: Generación de políticas nacionales de Ciberseguridad y Ciberdefensa

July 27, 2016, 8:01 am

≫ Next: Cybersecurity Shot_Fuga de Información de R2Games

≪ Previous: Comienza la Segunda Temporada de Eleven Paths Talks: ¡No dejes que te lo cuenten!

¡Regístrate aquí!

El próximo Jueves 28 de julio nuestro compañero Leonardo Huertas impartirá una charla en la que te describirá el concepto de Ciberdefensa, los aspectos y conceptos involucrados en esta temática, además, se dará a conocer la necesidad de implementar políticas de seguridad nacionales en los diferentes países, los roles que cumplen en ellas tanto los actores privados como públicos, la interacción qué debe existir entre los gobiernos, la ciudadanía y las fuerzas de seguridad.

La duración de la charla de Leonardo será de unos 30 minutos, divididos entre 20 y 25 minutos de exposición y de 5 a 10 minutos de preguntas y respuestas. El horario de la charla será a las 15.30h (Madrid) y estará disponible al termina ésta en nuestro canal de YouTube. La ponencia se llevará a cabo por Hangouts y se impartirá en castellano.

Si quieres saber más acerca del tema, no dudes en pasarte por nuestra Community, dónde nuestros compañeros hablan sobre éste y otros temas de interés en el mundo de la Seguridad. Puedes consultar el calendario de talks para ver los webcasts que aún quedan por celebrarse. Recuerda, tienes una cita el próximo 28 de julio a las 15.30h (Madrid). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks.

Más información en:
talks.elevenpaths.com

¿Quieres profundizar sobre el tema? Aquí te dejamos algunos enlaces con contenido relacionado:

Ciberseguridad yciberdefensa: dostendencias emergentesen un contexto global
Identificación de las posibles accionesregulatorias a implementar enmateria de Ciberseguridad
Ciberseguridad y Ciberdefensa:Una primera aproximación

↧

Cybersecurity Shot_Fuga de Información de R2Games

July 28, 2016, 8:14 am

≫ Next: Nuevas Funcionalidades del Servicio Latch

≪ Previous: Eleven Paths Talks: Generación de políticas nacionales de Ciberseguridad y Ciberdefensa

Cybersecurity Shot es un tipo de informe de investigación sobre casos de actualidad relacionados con bases de datos filtradas en la red así con algunas recomendaciones que podrían haberlo evitado.

Cada entrega trae un caso real. Te ponemos al día de lo último en Ciberseguridad. ¡Echa un vistazo!

A continuación puedes leer un breve resumen de la última investigación:

Caso R2Games

Investigación "Fuga de información de R2Games"

El 11 de julio de 2016 se filtraba una base de datos de la plataforma Reality Squared Games de más 22 millones de usuarios. Esta compañía, que ya sufrió un incidente a finales de 2015 cuando se vieron expuestas las credenciales de más de dos millones de usuarios, se ha visto nuevamente afectada al hacerse pública la totalidad de las cuentas. La divulgación de la información fue realizada a través de la plataforma de intercambio de ficheros MEGA siendo usada la red social de Twitter para garantizar una mayor repercusión mediática.

¿Quieres conocer más datos? Descubre con nuestros analistas de inteligencia la naturaleza de la información filtrada y las recomendaciones para evitar ese tipo de ciberataques.

» Descárgate el caso “Fuga de información de R2Games”

No te puedes perder el próximo:
» Caso Amazon

Más información en
Elevenpaths.com

↧

Nuevas Funcionalidades del Servicio Latch

July 29, 2016, 8:37 am

≫ Next: [Nuevo informe] eMule: ¿siempre una fuente de archivos maliciosos?

≪ Previous: Cybersecurity Shot_Fuga de Información de R2Games

Hace unos días incluimos nuevas funcionalidades y características en el servicio Latch que hoy os presentamos.

Exportar lista de Account IDs desde LST

Muchos de nuestros developers nos habían pedido poder obtener una lista de los account IDs de sus aplicaciones de una forma cómoda y sencilla.

Por ello, ahora es posible desde la herramienta de soporte LST (disponible para clientes Silver, Gold y Platinum) descargar este listado en formato CSV.

Se puede acceder a la herramienta LST para una aplicación desde el área de desarrolladores de Latch en el panel de gestión de aplicaciones, pinchando en el botón ‘LST’:

Una vez en LST, basta con ir a la pantalla principal de la herramienta y pulsar en el botón correspondiente “Exportar CSV”:

De esta forma se puede saber en todo momento que usuarios (accountIDs) está pareados con el servicio por si en algún momento se ha perdido alguno o se tiene algún accountID que ya no es válido.

Funcionalidad ‘Changelog’

Hemos incorporado esta funcionalidad para que nuestros desarrolladores puedan estar al día de las novedades y funcionalidades que incluimos en el servicio de una forma cómoda y sencilla.

Cada vez que incluyamos alguna nueva funcionalidad en la web, la API o el servicio de Latch en general, al entrar en el panel de desarrolladores nos saldrá un aviso para estar al tanto de estas novedades.

Desde este aviso se puede visitar una página con más información de estas funcionalidades.

Por supuesto, el usuario puede en todo momento configurar estas notificaciones para que no vuelvan a mostrarse o activarlas en caso de haberlas desactivado. Para ello basta con acudir a la sección ‘Changelog’ de nuestro menú de usuario en la parte superior de la web.

Soporte para instancias

Esta es sin duda una de las grandes novedades del servicio en los últimos meses. Desde hace algún tiempo nuestros clientes ‘Platinum’ han podido disfrutar de esta funcionalidad como parte de un programa beta que ahora ha visto la luz.

Todos nuestros usuarios ya sean community, silver, gold o platinum van a poder disfrutar de las instancias. Pero, ¿qué son las instancias?

Las instancias permiten a los desarrolladores crear operaciones personalizadas para cada usuario concreto en sus aplicaciones u operaciones de forma que cada usuario pueda tener unas operaciones distintas en las operaciones de una aplicación.

En los próximos días publicaremos una entrada más detallada sobre las instancias, como operar con ellas con algún caso de uso de ejemplo.

Más información:
https://latch.elevenpaths.com/

↧

[Nuevo informe] eMule: ¿siempre una fuente de archivos maliciosos?

August 1, 2016, 9:02 am

≫ Next: Nuestro CEO, Pedro Pablo Pérez, representará a Telefónica en la Organización Europea de Ciberseguridad

≪ Previous: Nuevas Funcionalidades del Servicio Latch

No es necesaria ninguna prueba de concepto que evidencie la existencia de malware en redes P2P. Es un hecho demostrable con cualquier búsqueda en un cliente del tipo eMule, que bajo cracks, serials, ejecutables y todo tipo de reclamos, se esconde software malicioso. Pero en ElevenPaths nos hemos preguntado si ocurre lo mismo en el caso de los documentos ofimáticos, libros, o diapositivas. ¿Es peligroso abrir un Excel, PowerPoint, archivo Word o PDF descargado de eMule?

El experimento

En este experimento nos centramos en el análisis de archivos ofimáticos y PDF, realizando un repaso previo por las técnicas más conocidas de infección. Para llevarlo a cabo, hemos descargado 7973 muestras de archivos ofimáticos y PDF usando los servidores de conexión que proporciona el cliente eMule. Esto significa que no hemos tenido en cuenta servidores adicionales, sino los supuestamente fiables que recomienda eMule y de los que disponen por defecto la mayoría de los usuarios cuando instalan este cliente en Windows. Hemos prestado especial atención al formato de los documentos descargados, y en especial hemos atendido a las macros y JavaScript incrustados en ficheros ofimáticos y PDF respectivamente, principal fórmula de infección a través de este tipo de archivos.

Archivos con macros (en el caso de ofimáticos) o JavaScript (en el caso de PDF) descargados de redes P2P

Se han utilizado varios métodos además de los antivirus para poder determinar si alguno de esos casi 8000 archivos podían resultar peligrosos:

Extracción de potencial payload (macros o JavaScript)
Búsqueda de URLs y direcciones IP maliciosas en el interior del documento.
Análisis en profundidad de los formatos potencialmente corruptos.

Tras el análisis, lo cierto es que no fuimos capaces de encontrar ni una sola muestra con malware, payload o exploit funcional conocido, al margen de algunos falsos positivos demostrados. El hallazgo es, cuando menos, curioso.

Sin malware en el frente

Las conclusiones por tanto podrían ser:

No parece habitual encontrar malware conocido en documentos ofimáticos y PDF en redes eDonkey. Este tipo de ataque parece restringirse a la difusión por correo electrónico, donde siempre se han encontrado una gran cantidad de muestras.
No parece que los documentos ofimáticos compartidos en redes P2P utilicen las tácticas más habituales de ejecución de malware, tales como el uso de exploits, macros maliciosas, o métodos de ingeniería social.
Dentro de los no detectados como malware conocido, el porcentaje de ficheros más sospechosos (que ofrezcan las condiciones necesarias en muchas ocasiones para ser dañinos como presencia de macros o JavaScript…) no es muy elevado. Un 8,5% en el caso de documentos ofimáticos contienen macros, y solo un 1,5% de los PDF contienen JavaScript.
A pesar de estos hallazgos, no es recomendable ni seguro descargar archivos de fuentes no confiables. Ni ofimáticos ni de ningún tipo.

Los detalles y análisis en profundidad con detalles está disponible desde:

eMule: ¿siempre una fuente de archivos maliciosos? from ElevenPaths

↧

Nuestro CEO, Pedro Pablo Pérez, representará a Telefónica en la Organización Europea de Ciberseguridad

August 2, 2016, 3:59 am

≫ Next: Our CEO, Pedro Pablo Pérez, will represent Telefonica in the European Cyber Security Organization

≪ Previous: [Nuevo informe] eMule: ¿siempre una fuente de archivos maliciosos?

Bruselas y la industria de ciberseguridad destinarán hasta 1.800 millones de euros en investigación

TELEFÓNICA SE INTEGRA COMO LA ÚNICA TELCO EN LOS ÓRGANOS DE DECISIÓN DE LA ORGANIZACIÓN EUROPEA DE CIBERSEGURIDAD

MADRID, - 2 de Agosto, 2016 - Telefónica ha sido seleccionada en Asamblea General de la recién creada Organización Europea de Ciberseguridad (ECSO por sus siglas en inglés) como miembro de su junta directiva así como de la mesa de interlocución con la Comisión Europea (CE) (Partnership Board) para la coordinación de las actividades que impulsará ECSO en torno a la denominada cPPP (contractual Public-Private Partnership), una iniciativa conjunta de la CE con las empresas del sector de ciberseguridad que se espera desencadene una inversión de hasta 1.800 millones de euros hasta 2020 en diferentes líneas de investigación en materia de ciberseguridad.

Pedro Pablo Pérez García, Director Global de Seguridad de Telefónica y CEO de ElevenPaths, la división de la compañía especializada en el desarrollo de soluciones de ciberseguridad; y Cristina Vela, Senior Advisor de la Oficina de Telefónica en Bruselas, representarán a Telefónica, única operadora de telecomunicaciones en este organismo que cuenta con más de 130 asociados entre grandes empresas, centros de investigación, asociaciones empresariales, administraciones públicas y usuarios de tecnología.

La ciberseguridad y la lucha contra el cibercrimen se han convertido en una de las prioridades de la Estrategia de Mercado Único Digital de la UE con el impulso de iniciativas que eviten incidencias de seguridad que dañen no sólo la confianza de los ciudadanos sino también el sector TIC y, en definitiva, la economía digital. De esta forma, Bruselas pretende reforzar la cooperación entre todos los Estados Miembros y las empresas y organismos del sector de la ciberseguridad y ayudar así a desarrollar nuevas políticas y tecnologías, productos y servicios de seguridad comunes para toda la UE.

En el seno de la ECSO, Telefónica defenderá su visión de una estrategia de ciberseguridad integral y equilibrada que haga frente por un lado a las continuas amenazas de seguridad en un entorno tecnológico en continuo cambio y que al mismo tiempo garantice los derechos individuales y colectivos en materia de seguridad. Con la participación en este organismo, Telefónica reforzará también su compromiso por afianzar la confianza digital de clientes, usuarios y empresas con el objetivo de crear en Europa un entorno de internet seguro, tal y como recoge el Manifiesto Digital de la compañía.

“Tenemos que evolucionar desde soluciones de seguridad aisladas enfocadas en la protección de activos hacia soluciones capaces de analizar la información de los dispositivos, las redes, los equipos tecnológicos y usuarios y combinarla con inteligencia externa sobre vulnerabilidades, amenazas y otros agentes”, ha señalado Pedro Pablo Pérez. “La confianza entre la industria y la administración pública de los Estados Miembros es fundamental para la implementación efectiva de este enfoque y en este sentido el papel que puede desempeñar la cPPP es esencial”.

El crecimiento imparable del Internet de las Cosas (IoT) y el desarrollo de nuevos negocios en torno al mismo hace incluso más necesaria una total coordinación entre todos los agentes del sector TIC y la creación de un necesario estándar tecnológico abierto de ciberseguridad para poner fin a la amenaza que supone la fragmentación de sistemas de seguridad actual. Esta es precisamente una de las conclusiones del informe "Alcance, escala y riesgos sin precedentes: asegurar el Internet de las cosas” que presentó recientemente Telefónica, donde se pone de manifiesto también que el desarrollo de soluciones de ciberseguridad vulnerables podría comprometer la seguridad de infraestructuras críticas.

Telefónica lleva desde hace años participando en el desarrollo de especificaciones y estándares tecnológicos en materia de ciberseguridad como es el desarrollo del estándar biométrico SC37 además de varias iniciativas en este mismo campo dentro del programa H2020 (Horizon 2020) de la Comisión Europea. Participa también en otros proyectos de ciberseguridad dentro de organismos como la IETF (Internet Engineering Task Force), ETSI (European Telecommmunications Standards Institute), ITU y la GSMA. Además incentiva el desarrollo de tecnologías de ciberseguridad no solo a través de ElevenPaths, sino también a través de Telefónica Open Future con inversiones y aceleración de numerosas start-ups que trabajan en este sector.

*También te puede interesar:
Estrategia de Ciberseguridad Europea: Asistencia de Telefónica

Más información en:
www.elevenpaths.com

↧

Our CEO, Pedro Pablo Pérez, will represent Telefonica in the European Cyber Security Organization

August 2, 2016, 9:18 am

≫ Next: Eleven Paths Talks: Diferencias entre análisis de Infraestructura, análisis Web y Code Review

≪ Previous: Nuestro CEO, Pedro Pablo Pérez, representará a Telefónica en la Organización Europea de Ciberseguridad

Brussels and the cybersecurity industry will earmark up to 1.8 billion euros in research

TELEFONICA JOINS THE DECISION-MAKING BODIES OF THE EUROPEAN CYBER SECURITY ORGANIZATION AS THE ONLY TELCO

MADRID, - August 2, 2016 - Telefonica has been appointed in the General Meeting of the newly created European Cyber Security Organization (ECSO) as a member of its board and of the Partnership Board with the European Commission (EC) to coordinate the activities that the ECSO will promote in relation to the so-called cPPP (contractual Public-Private Partnership), a joint initiative of the EC with companies from the cybersecurity sector that is expected to trigger 1.8 billion euros of investment by 2020 in different lines of research in cybersecurity.

Pedro Pablo Pérez García, Telefonica Global Security Managing Director and CEO of ElevenPaths—the company's division specialized in developing cybersecurity solutions—, and Cristina Vela, Senior Advisor of Telefonica's Brussels office, will represent Telefonica as the only telecommunications operator in this organization, that has over 130 partners including large companies, research centers, business associations, public administrations and technology users.

Cybersecurity and the fight against cybercrime have turned into one of the priorities of the EU Digital Single Market Strategy, with the promotion of initiatives to prevent security incidents that can undermine not only consumer confidence, but also the ICT sector and ultimately, the digital economy. This way, Brussels aims to strengthen cooperation between all Member States and cybersecurity companies and organizations, and thus help to develop new policies and technologies, products and security services common for all EU.

Within the ECSO, Telefonica will defend its vision of a comprehensive and balanced cybersecurity strategy that faces the ongoing security threats in a constantly changing technology environment, and that at the same time guarantees the individual and collective rights in security matters. With the participation in this organization, Telefonica will also strengthen its commitment to consolidate the digital trust of clients, users and companies in the interest of a safe internet environment in Europe, as stated in the company's Digital Manifesto.

"We have to evolve from isolated security solutions that focus on asset protection, towards solutions that are capable of analyzing information from devices, networks, technology equipment and users, and combine it with external intelligence on vulnerabilities, threats and other agents," Pedro Pablo Perez pointed out. "Trust between the industry and the public administration of the Member States is essential for the effective implementation of this approach, and in this sense, the role that the cPPP can play is essential.".

The unstoppable growth of the Internet of Things (IoT) and the development of new business around it makes a full coordination between all agents in the ICT sector all the more necessary, as well as the creation of an open cybersecurity technology standard in order to end the threat posed by the current fragmentation of security systems. This is precisely one of the conclusions of the report "Scope, scale and risk like never before: Securing the Internet of Things" recently presented by Telefonica, which also shows that the development of vulnerable cybersecurity solutions could compromise the security of critical infrastructures.

Over the years, Telefonica has been engaged in the development of specifications and technological standards on cybersecurity, such as the development of the biometric standard SC37, and in several initiatives in this field within the European Commission's H2020 program (Horizon 2020). The company has also been involved in other cybersecurity projects within bodies such as the IETF (Internet Engineering Task Force), ETSI (European Telecommunications Standards Institute), ITU (International Telecommunication Union) and the GSMA (GSM Association). Moreover, it encourages the development of cybersecurity technologies, not only through ElevenPaths, but also through Telefonica Open Future with investments and the promotion of many start-ups working in this sector.

*The following article may be of your interest:
European Cyber Security Strategy: Telefonica's Support

More information at:
www.elevenpaths.com

↧