ElevenPaths anuncia que su plataforma de seguridad cumple con el nuevo Reglamento Europeo de Protección de Datos con un año de antelación

May 31, 2017, 2:11 am

≫ Next: Agenda de eventos en junio para estar al día en Seguridad Informática

≪ Previous: PACS y DICOM: Una “radiografía” a las debilidades y fugas de información en sistemas médicos

La normativa europea entra en vigor en mayo de 2018, fecha en la que las entidades que no la cumplan podrán ser sancionadas con multas de hasta un 4% de su facturación anual.

ElevenPaths presenta nuevas integraciones tecnológicas con partners estratégicos como OpenCloud Factory y Check Point, con Michael Shaulov, su director de Producto, Seguridad Móvil y Cloud, que será el invitado estrella de la cita anual de seguridad de ElevenPaths. Además cuenta con la colaboración de Wayra, la aceleradora corporativa de Telefónica.

ElevenPaths colabora con la CyberThreat Alliance para mejorar y avanzar en el desarrollo de soluciones que luchen contra el cibercrimen.

Madrid, 31 de mayo de 2017.- ElevenPaths, la unidad de ciberseguridad de Telefónica, anuncia que su plataforma SandaS GRC - la solución de Gobierno, Riesgo y Cumplimiento-, ya ofrece un módulo RGPD (GDPR, por sus siglas en inglés) de Privacidad como establece el nuevo Reglamento Europeo de Protección de Datos siendo la primera en asumir estas obligaciones un año antes de lo requerido por la ley.

El GDPR, destinado a proporcionar a los ciudadanos del mercado común un mayor control sobre sus datos personales, obligará a las empresas de la Unión Europea a cumplir antes del 25 de mayo de 2018 esta normativa y establece multas de hasta un 4% sobre su facturación anual a las que no la cumplan.

La IV edición de la jornada Security Day de ElevenPaths, que bajo el lema de Cybersecurity beats, ha sido el escenario para presentar también las nuevas integraciones tecnológicas llevadas a cabo con sus partners estratégicos para ayudar a las empresas a combatir ciberataques contra sus infraestructuras tecnológicas.

Las alianzas estratégicas

Entre las últimas incorporaciones a su programa, la unidad ha anunciado y explicado el valor añadido que supone la integración de la tecnología OpenNAC -de OpenCloud Factory-, con la de Mobile Connect - impulsada por ElevenPaths- para el acceso autenticado a redes wifi que utiliza el número de teléfono como doble factor de autenticación del usuario. Este servicio utiliza la tarjeta SIM como elemento seguro para almacenar las credenciales del usuario y hace uso de la red del operador móvil como canal seguro de acceso a esas credenciales.

En entornos corporativos, este método de autenticación es ideal para la gestión de accesos de usuarios invitados y de dispositivos personales de usuarios corporativos.

Ante la complejidad de controlar todas las apps que las marcas desarrollan, publican y distribuyen en los markets stores, ElevenPaths ha presentado mASAPP, una tecnología propia que permite obtener una visión en tiempo real del estado de seguridad de las apps móviles de las compañías.

Además, el evento ha contado con la presencia de Michael Shaulov, director de Producto, Seguridad Móvil y Cloud de Check Point y uno de los mayores expertos en el ecosistema de seguridad móvil, que junto a ElevenPaths ha presentado la integración tecnológica de SandBlast Mobile con Tacyt, la herramienta de ciberinteligencia de ElevenPaths contra las amenazas del mundo móvil.

ElevenPaths busca continuamente crear y buscar las mejores soluciones de seguridad para sus clientes y apoya las iniciativas de colaboración en la industria de seguridad que permitan avanzar de forma más rápida en la lucha contra los cibercriminales. Por eso, en 2015 ElevenPaths unió fuerzas con otras compañías líderes del sector como Check Point,Cisco, Fortinet,Intel Security, Palo Alto y Symantec, y pasó a formar parte de la CyberThreat Alliance, (CTA por sus siglas en inglés), organización sin ánimo de lucro , cuyo objetivo es mejorar tanto la detección temprana de amenazas como la prevención de éstas para proteger mejor a los clientes de los miembros de la alianza, al frente de la cual está el ex coordinador de Ciberseguridad de la Casa Blanca, Michael Daniel.

Por otro lado, ElevenPaths ha lanzado por primera vez este año una convocatoria en colaboración con Wayra España –la aceleradora de Telefónica Open Future_, con el objetivo de encontrar las soluciones más disruptivas en esta área además de dar continuidad a otras iniciativas de emprendimiento centradas en la seguridad e invertidas por la compañía como 4iQ, Logtrust y Countercraft.

De esta manera, ElevenPaths y la CyberThreat Alliance, han reforzado su compromiso de lucha contra el cibercrimen, para trabajar de forma conjunta, completando y ampliando la imagen de los ataques, lo que proporciona una mejor protección frente a los grandes ataques globales, así como sobre las amenazas dirigidas.

» Descargar nota de prensa "ElevenPaths anuncia que su plataforma de seguridad cumple con el nuevo Reglamento Europeo de Protección de Datos con un año de antelación."

Más información:

elevenpaths.com

@ElevenPaths

blog.elevenpaths.com

↧

Agenda de eventos en junio para estar al día en Seguridad Informática

June 1, 2017, 2:20 am

≫ Next: Resultados y solución de 11PathsGame, 111 euros por resolver una sopa de letras

≪ Previous: ElevenPaths anuncia que su plataforma de seguridad cumple con el nuevo Reglamento Europeo de Protección de Datos con un año de antelación

Hola hackers! El mes de junio llega cargados de eventos de seguridad, tecnología y hacking en los que desde ElevenPaths participaremos con diferentes charlas y ponencias:

JNIC 2017
Desde el 31 de mayo y hasta el 2 de junio se celebra la tercera edición de las Jornadas Nacionales de Investigación en Ciberseguridad (JNIC) que pretende ser un punto de encuentro para investigadores y profesionales de la Ciberseguridad en el ámbito nacional. Desde ElevenPaths tendremos doble presencia en esta edición. Por un lado, seguimos apostando por la contribución científica, donde nuestro experto José Torres participa como ponente en la primera sesión de Criptografía, Privacidad y Anonimato. En su charla, se mostrarán los resultados de la última investigación sobre los mecanismos de seguridad HSTS y HPKP desarrollada en el área de innovación y laboratorio.

Por otro lado, nos involucramos de manera activa en el Track de Transferencia, arrancando este prometedor programa de investigación definido a través de retos científicos.

Te esperamos en la sede de Madrid-Quintana (Calle Quintana 21) de la Universidad Rey Juan Carlos. En este post puedes leer todo el detalle sobe nuestra colaboración con JNIC.

CCI - Evento Centro de Ciberseguridad Industrial
El 1 de junio se celebra el encuentro "Ciberseguridad en la Industria Argentina" en Buenos Aires donde Claudio Caracciolo, experto y CSA de ElevenPaths en Argentina participa con la charla Cuando los escaneos no alcanzan dentro de la Conferencia: La Voz de la Industria.

OpenExpo 2017
Un año más ElevenPaths participamos en esta feria y congreso anual sobre Open Source y Software Libre que se celebra el 1 de junio en Madrid (España). Como novedad, este año también estarán nuestros compañeros de LUCA, la unidad de datos de Telefónica y de OXWord.

Desde ElevenPaths, Pablo San Emeterio, experto y CSA de ElevenPaths dará la ponencia Diez controles de seguridad que no pueden faltar, en la que expondrá las principales amenazas a las que se enfrentan las compañías en términos de seguridad.

Por si fuera poco, también contaremos con la presencia y participación de Chema Alonso, Chairman de ElevenPaths y CDO de Telefónica con la charla DirtyTooth is only rock and roll but I like it, en la que hablará de rock y como no puede ser de otra manera de hacking.

Tanto LUCA como ElevenPaths estaremos muy presentes en el evento en un stand al que os invitamos y donde os esperamos.

MoscowC0n
Del 2 al 4 de junio nos vamos hasta Rusia al evento MoscowC0n, el primer evento de Ciberseguridad en español en Rusia, con el propósito común de compartir conocimiento, aprender sobre seguridad e intercambiar experiencias en un entorno diferente y muy atractivo.

Gabriel Bergel, experto y CSA de ElevenPaths en Chile, participa con la ponencia Breaking Bad Reloaded. En la web oficial del evento puedes conocer más detalles.

ElevenPaths Talks
Como venimos haciendo durante todo el año, los jueves a las 15.30h (CET)tienes una cita con nuestros expertos en nuestra serie de webinars onlines gratuitos. Durante este mes de junio tendremos dos sesiones impartidas por nuestros expertos CSAs. Estos son los próximos webcast a los que te puedes apuntar de manera gratuita:

08 de Junio: ¿Es Posible Prevenir el Fraude? En este webinar Diego Espitia y Rames Sarwat hablarán junto a un invitado especial, sobre los tipos de fraudes y soluciones más comunes en el mercado, así como la importancia de una concienciación en empleados, clientes y proveedores.

22 de Junio: A la Pesca de las Víctimas. En este talk, Gabriel Bergel y Arsene Laurent junto a un invitado especial la evolución de las técnicas de Phishing, Smishing, Vishing, Spear Phishing, y evita ser víctima de la ciberdelincuencia.

Si te has perdido los anteriores capítulos, puedes verlos en nuestro canal de YouTube de la serie ElevenPaths Talks - Season 3.

Esperamos que alguna de estas citas sean de vuestro interés, y nos veamos presencialmente o por Internet.

↧

Resultados y solución de 11PathsGame, 111 euros por resolver una sopa de letras

June 2, 2017, 2:23 am

≫ Next: Blockchain V. Cortando cabezas a la hydra

≪ Previous: Agenda de eventos en junio para estar al día en Seguridad Informática

Gracias a todos por participar. Veamos quién ha ganado el concurso, cómo resolverlo y algunas respuestas curiosas…

PARTICIPACIÓN Y RESPUESTAS

Tras ser publicado a las 8 de la mañana, los primero en participar (y teóricamente, ganar) fueron un par de empleados de Telefónica, que obviamente no podían participar, lo sabían, pero no pudieron resistirse a enviar la respuesta. Gracias ¡Carlos y Jordi!. La tenían a las 12:38 de la mañana. Más tarde, a las 13:06, un usuario envió una serie de tecnologías sin dar más explicaciones (que no se correspondían con las 11 pedidas), porque confesaba que no pudo resolver el problema, así que escribió “por si colaba”. En realidad, el ganador debía enviar una respuesta completa y detallada. Exactamente a la misma hora, otro usuario resolvió la pista inicial, y envió otra serie de tecnologías que no se correspondían con las 11 buscadas. A las 13:08 un usuario volvió a enviar 11 tecnologías que no eran las que buscábamos, sin dar más explicaciones.

A las 13:20 tenemos un primer usuario (Pablo Lanaspa) que ofrece una solución detallada y casi correcta.

Pero falla al encontrar en la sopa de letra CyberThreats y MobileConnect. Aunque es muy aproximada, no es totalmente correcta. Una pena, pero teníamos que ser rigurosos.

A las 14:38 tenemos un ganador. Envía las palabras en el abecedario, y resuelve sin programar, simplemente con el ROT-11 en unta tabla. Envía la sopa resuelta.

A las 15:34 recibimos otra de las respuestas correctas. Aquí algo del código empleado.

CURIOSIDADES

Muchos de los usuarios, intentaron erróneamente "mover" la sopa de letras con un César para encontrar ahí las tecnologías. Otros usaron diferentes técnicas en webs para resolver el sencillo reto de las instrucciones (un simple análisis por frecuencia de sustitución). O herramientas como CryptoTool.

Aquí una de las mejores explicaciones sin necesidad de código:

Y soluciones para todos los gustos (desde un Excel con Macros...):

...pasando por otras más directas:

Y por último una solución cuando menos… curiosa. Desde luego, ha pensado fuera de la caja.

Esta solución ha asociado las dos letras características de cada herramienta del laboratorio (definidas en su logo) y las ha encontrado en la sopa de letras, sin aplicar ningún tipo de deducción criptográfica.

GANADOR

La primera solución completa llegó a las 14:38 de parte de Álvaro Reyes, de Málaga, al que enviaremos el código con el cheque. ¡Gracias y enhorabuena!

Gracias a nuestra compañera Julia Llanos por materializar el reto.

Innovación y laboratorio

www.elevenpaths.com

↧

Blockchain V. Cortando cabezas a la hydra

June 5, 2017, 2:43 am

≫ Next: El día D – Desembarco Metashield 365 visible en equipos Mac

≪ Previous: Resultados y solución de 11PathsGame, 111 euros por resolver una sopa de letras

Tras cruzar toda la mazmorra y llegados a este punto, ya tenemos claro que el combo Blockchain y Bitcoin ha hecho bien sus deberes. Todo bien atado, sabiamente limitado, matemáticamente enlazado, resistente, correctamente planificado, autorregulado y capaz de corregir las tendencias inflacionarias y el abuso de sus propios mecanismos. Es tan fiable que ya no se pone en duda su funcionamiento. Atrás quedaron las preguntas y debates, a día de hoy solo se mencionan análisis de tendencias y cientos de usos para su explotación. ¿Pero estamos verdaderamente a salvo? ¿Estamos pasando por alto algún asunto?¿Es posible que no estemos percibiendo las señales de lo que está aún por acontecer?

La turbia sombra del bitcoin

La tracción de lo turbio

Actualmente la red de bitcoin posee un valor de más de 18 mil millones de euros, con una cantidad de monedas en constante crecimiento. Además, fruto de sus características tan volátiles, su valor total puede oscilar cientos de millones en apenas unas horas. Una moneda difícil de rastrear, que se puede utilizar como refugio de capitales y fuera de los cauces de control común... es sin duda atrayente para los asuntos turbios destinados a enriquecerse de manera ilícita y casi siempre criminalmente como los ataques por ransomware. Este es un problema endémico de imposible solución con el que hay que convivir y que lejos de afectar negativamente, mejora e impulsa el uso de BTCs a nivel mundial. Sin ignorar el hecho de los constantes ataques a los gestores de eWallets y a los usuarios tratando de quebrar sus carteras.

Amparados por las capacidades de anonimización de Tor para la Deep Web, cientos de mercados ofrecen sin tapujos la venta de armas, drogas, blanqueo de dinero, venta de artículos robados y de contrabando... es decir todo el material ilegal que no se podría ofrecer en un comercio de la calle. El caso de Silk Road fue el más sonado, pero desde luego no el único. Y poco tiempo después de que el FBI tumbara este sitio (junto a otros similares), este marketplace fue sustituido y superado por muchos otros (Alphabay, Dream Market, Valhalla, Tochka…). Ofrecer tanto material y permitir el pago con bitcoins no es sino un caldo de cultivo que facilita el negocio de los criminales, que conocen la difícil tarea que tienen las autoridades de impedir esta actividad.

Pérdida de BTCs

Una cartera de bitcoins está protegida por su clave privada, que debería ser robusta y a prueba de ataques de fuerza bruta. Lo que a efectos dramáticos quiere decir que, si esta contraseña se pierde, también perderemos el acceso a nuestro dinero. Así de fácil. Diversas estadísticas que han analizado los bitcoins que no han participado en transacciones desde hace varios años indican que aproximadamente entre un 10 y un 25% de la cantidad de bitcoins se ha perdido para siempre, pero solo son conjeturas. Mientras que otra gran cantidad de BTCs permanecen en diversas carteras en un estado latente, pero activa, esperando al mejor momento para su venta. Casi toda las pérdidas a día de hoy ha ocurrido de manera accidental pero en algunos casos se han utilizado para otros objetivos como ocurrió en Counterparty que hizo desaparecer voluntariamente casi 3000 bitcoins públicamente para iniciar su criptomoneda alternativa a través de un proof-of-burn. A efectos reales, los hipotéticamente BTCs perdidos o las pruebas fehacientes que tenemos de aquellas monedas irrecuperables no deben afectar al funcionamiento de la red. Bien porque hay una masa de capital suficiente pero también por las capacidades autoregulatorias de esta moneda, que a la larga y con pequeños impulsos inflacionarios corregiría la situación.

La gran depresión

El número total de bitcoins que se pueden descubrir está predeterminado. Es decir que ya se sabe cómo y cuándo será. De hecho, está estipulado que ocurra el 7 de mayo de 2140.¿Cómo? Sí, en esa fecha se habrán descubierto "casi" los 21 millones de bitcoins posibles. Sumado al hecho de que la división más pequeña del BTC es el satoshi (1BTC =100.000.000 satoshis) esto equivale a decir que en esa fecha se habrán puesto en circulación casi 2.100 billones de satoshis. Para alcanzar esa cifra hay varias teorías, pero la más extendida expone que el creador de Bitcoin impuso que sería deseable la creación de un bloque cada 10 minutos, determinó una recompensa de 50 BTCs cada bloque descubierto y que dicha cifra se reduciría a la mitad cada 4 años. Esto determina una curva asintótica que se aproxima a esos 21 millones de bitcoins (sin alcanzar nunca esa cifra).

El futuro de la moneda

Como dato interesante que podemos comprobar en la figura anterior, vemos que dentro de 7 años se habrán descubierto el 93,75% de todos los BTCs/satoshis posibles. Obteniendo un beneficio por bloque de 3,125 BTCs. Podríamos decir que, si se acerca el invierno al Bitcoin, empezará a refrescar a partir de ese año. Demos un paso más y tratemos de vislumbrar el panorama en el año 2040, justo cuando el beneficio para los pools de minería por bloque descubierto sea de 0,195 BTCs. Una nimiedad comparada por la tasa actual. Y hay que recordar que pese a la mejora computacional de dentro de 23 años, el aumento de la dificultad seguirá corrigiendo la tasa de descubrimiento de bloques a los aproximadamente uno cada 10 minutos.

Extorsión organizada

Hemos visto que bitcoin funciona gracias a los pools de minería, ellos son los que permiten la confirmación de bloques y por tanto que las transacciones sean posibles. Pero para ellos esto es un negocio, que actualmente pasa por su mejor época pero ¿qué ocurrirá cuando la cantidad de BTCs que obtengan será prácticamente cero? Pues la incertidumbre sobre este hecho es alta, pero no cabe duda que el factor más rápido que puede verse afectado es la comisión que cada pool demanda a cada transacción. Esta cantidad que a efectos reales es un impuesto o gravamen, no está dictaminado por nadie salvo los propios mineros. Y no sería descabellado pensar que será un parámetro clave para compensar la pérdida de beneficio por bloque descubierto.

Al igual que los prestamistas recuperan su dinero con unos márgenes de beneficio muy altos. ¿Podrían los pools de minería imponer unas comisiones tan elevadas que ni siquiera podamos usar sus servicios para una transacción habitual? Es posible que la red bitcoin llegue a funcionar a dos velocidades, coexistiendo pools de minería caros y muy rápidos (minutos), y por otro lado mineros asequibles pero lentos (horas/días) provocando una red bitcoin de clase alta y baja. De hecho, a día de hoy es común que los pools de minería descarten transacciones cuya comisión sea muy baja, incluso promocionando aquellas transacciones generosas para los pools de minería. Nadie les obliga a incluir o no transacciones en el bloque actual, y de ellos depende hacerlo con aquellas operaciones que más beneficio puede proporcionarles.

Por tanto, ¿Podrán los mineros más económicos competir con los premium? ¿Surgirá una especie de extorsión organizada y consensuada para los clientes de la red? Las matemáticas son muy simples, se debe aumentar la inversión en hardware para mejorar la capacidad de cálculo que permita superar la creciente dificultad de descubrimiento. Mientras que disminuye la recompensa por bloque. Así que la tentadora opción de subir las comisiones será muy real en un futuro inmediato. Aunque… podría ocurrir lo contrario. Los pools de minería pueden voluntariamente bajar sus esfuerzos computacionales hasta mínimos tales que aún con comisiones pequeñas siga siendo rentable energéticamente la confirmación de bloques.

Tamaño de bloque

Existe un tema sensible actualmente en la tecnología de Bitcoin, el tamaño actual del bloque de transacciones. Establecido actualmente a 1 MegaByte. Si este límite aumentase, se podrían confirmar más transacciones por bloque, la red BTC se agilizaría y optimizaría al poder confirmar el doble de transacciones en el mismo período de tiempo. Las comisiones de los mineros aumentarían incentivando su trabajo. Pero en general existe un gran rechazo a este cambio por diversos motivos como la alteración de la especificación primigenia de Bitcoin o la concesión a los mineros de un mayor rango de beneficios de cara al futuro. Sea como sea el mercado está demandando dicha modificación y aunque ya se ha intentado realizar durante 2016 en el fork o bifurcación de bitcoin, BitcoinXT, que aumentaba el tamaño de bloque a 2MB (entre otras incorporaciones funcionales) finalmente ha quedado en desuso. Pese a todo aún es pronto para tirar la toalla en este asunto que sin duda volverá a la palestra recurrentemente.

Píldoras virtuales

Aún puede sorprendernos que Bitcoin sea capaz de vencer cualquier tipo de adversidad gracias a la fortaleza de su especificación y a la clarividencia de sus decisiones en tiempo de diseño. Lo que no quita que anecdóticamente podamos mencionar algunas curiosidades que a lo largo del tiempo han entrado a formar parte de la historia de esta moneda:

Algunos usuarios avezados han aprovechado ciertos recursos de las transacciones para incorporar información adicional de manera lícita (aunque no gratuita), como enlaces cifrados a sitios maliciosos/pornográficos, un bonito tributo a un amigo fallecido llamado Len "rabbi" Sassama, o la cara de Ben Bernanke, un economista crítico con el bitcoin en hexadecimal.

La cara de Ben Bernanke presidente de la reserva federal de los EEUU hasta 2014 y gran opositor al bitcoin.

Un usuario envió erróneamente 291 BTC en abril de 2016 al pool de minería del bloque al confundir los valores de los campos de identificación de la eWallet receptora con la de la comisión. Pese a los intentos del pool de encontrar al usuario para devolverle el dinero, éste nunca llegó a reclamar su dinero públicamente.
El usuario midnightmagic consiguió minar en solitario el bloque 124724, cuya recompensa provocó la generación de un Satoshi menos al que le correspondía, desde entonces y para ser precisos hay que considerar y contabilizar que jamás se recuperará dicha cantidad.
Entre varias historias similares, James Howell arrojó un disco duro a la basura en 2009 conteniendo 7500 BTCs, que al cambio actual tendría un valor de más de 8 millones de euros. Bad Luck Brian es un aficionado a su lado.

La próxima entrega será el capítulo final de nuestra serie y abordaremos los usos más destacados, forks y tecnologías surgidas a raíz de esta revolución y cómo el futuro puede estar muy ligado al bitcoin y blockchain en muchas y diversas aplicaciones de nuestra sociedad.

Marcos Arjona

Innovación y laboratorio

marcos.arjona@11paths.com

↧

El día D – Desembarco Metashield 365 visible en equipos Mac

June 6, 2017, 12:38 am

≫ Next: ElevenPaths Talks: ¿Es posible prevenir el fraude?

≪ Previous: Blockchain V. Cortando cabezas a la hydra

Sabíamos que los usuarios de Mac no estaban solos contra los metadatos, pero si sabíamos que no disponían de las mismas armas para poder tratarlos cuando esto se requiere en comparación con los sistemas Windows.

Para los que no están familiarizados, la Sociedad Española de Documentación e Información Científica (SEDIC), define el metadato como “toda aquella información descriptiva sobre el contexto, calidad, condición o características de un recurso u objeto de información que tiene la finalidad de facilitar su recuperación, autentificación, evaluación, preservación y/o interoperabilidad”. A priori esta información está normalmente oculta y no suele ser accesible completamente por métodos manuales, pero si mediante herramientas específicas de extracción de metadatos.

Por estas razones la información extraída de los metadatos podría ser utilizada por atacantes para aprender más acerca de sus objetivos y para llevar a cabo actividades maliciosas como un ataque de ingeniería social (por ejemplo, ransomware o spear-phishing), ya que los metadatos podrían proporcionar información útil sobre los empleados y la infraestructura de TI de la empresa. Conocer el software y las versiones en uso dentro de la organización (gracias a la información revelada en los metadatos) puede determinar qué exploits podrían tener éxito en un ataque de este estilo.

En un mundo que cada vez tiende más al entorno cloud, Microsoft Office 365 se está convirtiendo en una de las piezas fundamentales de las empresas sustituyendo paulatinamente las anteriores suites de productos ofimáticos Microsoft y compitiendo duramente con su gran oponente del mercado, Google.

Aquí es donde apareció Metashield for Outlook 365, una sencilla herramienta orientada a empresas y bajo suscripción anual, única para entornos de correo Outlook 365 que permite el tratamiento de metadatos de los documentos adjuntos en los correos de salida. Cualquier usuario que acceda a su cuenta online 365 podrá hacer uso de este complemento para eliminar la información sensible en forma de metadatos que contienen los archivos adjuntos en los correos de salida, información oculta o datos perdidos. No importa el dispositivo, solo que puedas acceder a tu cuenta, lo apliques y listo.

Pero muchos usuarios trabajan habitualmente desde el entorno Outlook local y disponer de este complemento Metashield en nuestro menú de Outlook era algo que solo los privilegiados de Windows podían disfrutar. El resto como los usuarios de Mac debían acceder a la cuenta de correo online para poder eliminar los metadatos. En fin, seguíamos siendo diferentes.

Bueno, pues la espera ha terminado. Ahora ya es posible poder encontrar el complemento Metashield también en el Menú de Outlook local de los equipos Mac con cuenta Office 365, lo cual mejora notablemente la experiencia de usuario.

De cara a los usuarios de Outlook 365, independientemente de su S.O, la disponibilidad de este complemento se ha caracterizado principalmente por su distribución rápida y silenciosa por los buzones de la organización, evitando la intervención del usuario en su instalación o configuración lo cual siempre facilita las cosas.

Las herramientas y servicios contra la fuga de información colaboran con las políticas de las organizaciones cada vez más conscientes en temas de seguridad, pero hemos de recordar que la primera de todas las herramientas de seguridad es el propio usuario, que debe conocer, y participar de los mecanismos y tecnologías disponibles a su alcance, garantizando un escenario de trabajo más seguro y estable dentro de la organización.

Metashield for Outlook 365 es una pieza clave en entornos de correo Outlook online, fortaleciendo nuestro compromiso por la seguridad, aportando un grado de confianza y seguridad superior, que viene para formar parte de nuestra filosofía de vida. A continuación, os presentamos un video desde el punto de vista del usuario:

Antonio Bordón Villar

Cyber Security Product Manager

antonio.bordon@11paths.com

↧

ElevenPaths Talks: ¿Es posible prevenir el fraude?

June 8, 2017, 3:32 am

≫ Next: Qué hemos presentado en Security Day 2017 (I): Cómo vivimos WannaCry

≪ Previous: El día D – Desembarco Metashield 365 visible en equipos Mac

¡conéctate aquí!

En la historia de las empresas, sin importar su tamaño, siempre se ha evidenciado la existencia de fraudes que afectan a clientes, proveedores, y hasta a los mismos empleados. Sin embargo, en la actualidad los sistemas de información y la tecnología son los mecanismos más usados por la delincuencia para obtener un beneficio a costa de sus víctimas.

¿Conoces los tipos de fraude más comunes en el mercado? ¿Sabes la importancia que tiene que empleados, clientes y proveedores tengan una buena concienciación sobre el fraude? No te pierdas este nuevo seminario online gratuito que imparten los expertos Diego Espitia y Rames Sarwat, junto a un invitado especial. Te esperamos mañana 8 de junio a las 15.30h (CET) en nuestro canal de Youtube.

Pásate por la Comunidad de ElevenPaths antes o después de la sesión, podrás debatir con nuestros expertos CSAs.

Más información en:
talks.elevenpaths.com

↧

Qué hemos presentado en Security Day 2017 (I): Cómo vivimos WannaCry

June 8, 2017, 9:28 am

≫ Next: Qué hemos presentado en el Security Day 2017 (II): Alianza Check Point

≪ Previous: ElevenPaths Talks: ¿Es posible prevenir el fraude?

El pasado 31 de mayo, celebramos la cuarta edición de nuestro evento anual de seguridad, ElevenPaths Security Day 2017, bajo el lema Cybersecurity beats.

Fue una jornada llena de novedades, un punto de encuentro para clientes, partners y en general profesionales de la seguridad en un entorno repleto de tecnología, innovación y sobre todo, "ganas de usarla". A los que compartisteis aquella mañana con nosotros, gracias de nuevo por sacar un hueco en vuestras ajustadas agendas, y a los que no; esperamos contar con vosotros en la próxima edición.

Pedro Pablo Pérez, CEO de ElevenPaths, realizó la apertura del evento en el que un año más contamos con la participación de Chema Alonso, Chairman de ElevenPaths y la colaboración especial de nuestro compañero Miguel Ángel Pérez Acevedo, de Telefónica España.

En esta ocasión la jornada arrancó con la intervención de Chema Alonso en relación al incidente Wannacry. Realizó una reflexión acerca de la importancia de protegerse, pero desde la conciencia de que en alguna ocasión "los malos" tendrán éxito y por tanto, la necesidad de trabajar cada día, la necesidad de cuestionarnos cada medida y cada control, la necesidad de asumir que cometeremos errores y con todo ello el convencimiento de que tenemos que prepararnos siempre para "responder" y "recuperarnos" con agilidad. También profundizamos en el contenido técnico del ataque, cómo "shadow broker" ha sido un elemento determinante para propiciar ataques como el del incidente.

La exposición de equipos en Internet era inmensa, una consulta sobre SHODAN revelaba más de 500.000 objetivos expuestos en Internet en el puerto 445. También, se citó a quienes estaban expuestos, cómo se producía la infección y cuál era el comportamiento viral de los infectados.

Abundamos en dónde arranca la infección, en cómo se construye el virus, en la cronología de las muestras, en la teoría sobre la infección por SMB y no por correo.

Por último, en este bloque de presentaciones expusimos cuáles fueron nuestras sensaciones durante el incidente, destacando el trabajo en equipo y cómo Telefónica se enfocó en asegurar la entrega de sus servicios, contener y aislar la infección en el workplace, así como minimizar la pérdida de información a los usuarios.

Nuevas colaboraciones

Aquí os dejamos un resumen de las nuevas colaboraciones que hemos realizado y anunciamos en la Global Security Keynote:

Con partners, como en el caso de Checkpoint con quiénes se viene trabajando en fórmulas para identificar riesgos y proteger el canal móvil u Open Cloud Factory con quiénes se han hecho integraciones para consumir Mobile Connect como mecanismo para asegurar proyectos de Wifi.
Con asociaciones, como en el caso de la Cyber Threat Alliance (CTA por sus siglas en inglés) que tiene como propósito compartir "inteligencia" en lo relativo a ciberamenazas y donde están representadas las marcas más relevantes de la industria siendo ElevenPaths "A top contributor".
Con clientes, como en el caso del Ayuntamiento de Alcobendas, donde encontramos un interesante ejemplo de aplicación de Mobile Connect en el desarrollo de un sistema de ‘Encuesta Electrónica’ basada en Blockchain, o Eroski que nos cuenta su experiencia en lo relativo al consumo de Sandas GRC como herramienta sobre la que soportar los diferentes marcos normativos,
Con emprendedores, presentándose el ecosistema de Wayra y Open Future como un marco que promueve y dinamiza el emprendimiento, donde CounterCraft nos mostró la hoja de ruta que ha seguido su compañía desde su nacimiento con tan solo tres personas y cómo tan solo en año y medio han crecido hasta quince personas.
Con entusiastas y fans, que demuestran una enorme creatividad poniendo de manifiesto la utilidad de productos como Latch que tienen multitud de aplicaciones, limitadas únicamente por la imaginación, en este caso se mostró la integración con openwrt.

Estas colaboraciones nos refuerzan, ponen de manifiesto la utilidad de aquello que hacemos, demuestran casos de uso donde la innovación y productos que se desarrollan desde Telefónica resuelven problemas reales.

Aquí puedes leer la nota de prensa completa:

» [Nota de prensa] ElevenPaths anuncia que su plataforma de seguridad cumple con el nuevo reglamento europeo de protección de datos con un año de antelación

Próximamente iremos publicando una serie de posts con un resumen de todo lo que vimos en el evento. Además, ya están disponibles los vídeos en el canal de YouTube del Security Day 2017. Si además, quieres o necesitas más información sobre alguno de nuestros productos no dudes en ponerte en contacto con nosotros vía el formulario de la web de ElevenPaths.

Para más información:
securityday.elevenpaths.com

Miguel Ángel Pérez Acevedo

Gerente Ingeniería y Consultoría Ciberseguridad Telefónica España

miguelangel.perezacevedo@telefonica.com

↧

Qué hemos presentado en el Security Day 2017 (II): Alianza Check Point

June 9, 2017, 1:28 am

≫ Next: Detectando la nueva amenaza en Google Play

≪ Previous: Qué hemos presentado en Security Day 2017 (I): Cómo vivimos WannaCry

Los smartphones han tenido sin ninguna duda un enorme impacto en la manera que vivimos nuestras vidas y en la manera en que las empresas realizan sus negocios. Su éxito se debe en gran medida a la introducción de los appstores como ecosistemas para distribuir aplicaciones a los usuarios finales. Los appstores de Google y de Apple no solo han hecho sencilla la distribución de aplicaciones, sino que han establecido también un mínimo de seguridad que ha ayudado mucho en la adopción rápida de esas plataformas.

No obstante, como siempre pasa en el mundo de la ciberseguridad, las garantías que ofrecen no son del 100% seguras, y tener una falsa sensación de seguridad total sí introduce en alto riesgo nuestros negocios.

Según estadísticas de Check Point, el 100% de las empresas tienen en su parque algún dispositivo afectado por malware y el 89% ha tenido incidentes de ataques tipo man-in-the-middle.

Cuando hablamos de riesgo de apps y de dispositivos móviles, no podemos olvidarnos de nuestros clientes. Estos están expuestos al malware hecho por cibercriminales que buscan en todo momento la forma de engañarles para hacerles instalar la aplicación incorrecta, robar sus datos y sus contraseñas, usar su móvil para lanzar ataques, y cometer transacciones fraudulentas.

Pero siendo una tecnología nueva los errores a veces no se pueden evitar. En algunas ocasiones nuestros empleados y nuestros clientes pueden estar en riesgo por culpa de las aplicaciones que desarrollamos nosotros mismos. Tener un inventario completo de todas las apps, pasar todos los controles de calidad y de seguridad antes de ser publicadas, y revisar su estado de seguridad en todo momento durante su ciclo de vida son aspectos clave para la seguridad y privacidad de nuestros usuarios.

En el Security Day 2017, mostramos junto con nuestro socio estratégico Check Point, nuestra visión sobre los riesgos de canal móvil y demostramos nuestro compromiso en ayudar a nuestros clientes a través una solución holística.

La detección de amenazas

Gracias a Sandblast Zero Day Protection, enfocada a detectar todo el malware en nuestro parque de dispositivos corporativos, nuestros CyberThreats y Tacyt, para el descubrimiento de ataques contra nuestros clientes, y mASAPP, para el análisis continuo de vulnerabilidades en las apps desarrolladas por nosotros mismos.

También realizamos la actuación y bloqueo de amenazas móviles, combinando las capacidades de Sandblast con nuestras soluciones de MDM y la retirada de apps que podemos realizar a través de CyberThreats.

Finalmente, para aquellos clientes que quieren investigar sobre las amenazas o anticiparse identificando el modus operandi de los cibercriminales, ofrecemos Tacyt, nuestra plataforma de inteligencia de más de 8 millones de apps que permite realizar este tipo de análisis al golpe de un click. Ésto queda demostrado en un caso práctico sobre la familiar de malware bancario BankBot que investigamos conjuntamente con Check Point.

Nikolaos Tsouroulas

Responsable Global de Gestión de Producto de Ciberseguridad en ElevenPaths

nikolaos.tsouroulas@telefonica.com

↧

Detectando la nueva amenaza en Google Play

June 12, 2017, 4:03 pm

≫ Next: ElevenPaths y Bitsight ofrecen una visibilidad mejorada del riesgo de la cadena de suministro mediante una monitorización continua

≪ Previous: Qué hemos presentado en el Security Day 2017 (II): Alianza Check Point

El 22 de mayo de 2017 fue publicada una nueva amenaza para los dispositivos Android, que ha sido descubierta por las investigaciones del equipo de seguridad del “Georgia Institute of Technology” y que fue llamada como los personajes de Marvel “Cloak and Dagger”, debido a que su funcionamiento se basa en el uso de dos permisos que cualquier aplicación puede solicitar. Puede visualizar toda la información en el siguiente vídeo.

Al igual que los personajes del comic, existe una capa o protector (Cloak), que evita que el usuario vea las verdaderas intenciones de la aplicación. En el malware el permiso de SYSTEM_ALERT_WINDOWS funciona como la capa que oculta el ataque, al usar la función de presentar en pantalla mensajes o alertas, típicamente usadas en aplicaciones de mensajería instantánea o redes sociales o Antivirus.

Y la daga o puñal (dagger) se representa con el permiso de BIND_ACCESSIBILITY_SERVICE que es el usado en el ataque para extraer datos del móvil al aprovechar los accesos que entrega este permiso, típicamente est permiso es usado para brindar mecanismo de apoyo a los discapacitados para acceder al dispositivo móvil usando comandos de voz.

Esta combinación le permite al atacante afectar todas las versiones de Android, incluyendo la última 7.1.2, entregándole al atacante el acceso completo al dispositivo a través de cualquier aplicación que este en la tienda de Google Play y la cual contenga estos dos permisos. Usando nuestra herramienta de análisis de aplicaciones móviles TACYT, encontramos que existen más de 500 aplicaciones que contienen esos dos permisos, generando un total de 2282 versiones.

Ilustración 1. Aplicaciones que contienen los permisos necesarios para el ataque.

Esta cantidad de aplicaciones no necesariamente están diseñadas para generar el ataque, sino que tienen estos permisos porque son necesarios para su funcionamiento, como algunas aplicaciones de antivirus de fabricantes reconocidos como AVG, Symantec o Bitdefender, que suman más de 41 versiones de sus aplicaciones con estos permisos.

Ilustración 2. Aplicaciones reconocidas con estos permisos.

Sin embargo, haciendo un análisis más a profundidad sobre las aplicaciones detectadas se encontraron 97 aplicaciones que comparten unas características bastante sospechosas, como es que todas tengan el mismo certificado digital y que 96 de estas aplicaciones se hayan cargado a Google Play en el mes de Mayo, donde específicamente 39 de están después de la publicación de la investigación de “Cloak and Dagger”.

Ilustración 3. Aplicaciones detectadas como sospechosas.

El análisis del certificado digital, el sitio web de desarrollador y de las características de las aplicaciones detectadas, nos permite indicar que todas son aplicaciones tienen componentes similares y que todas ofrecen modificar la visualización típica del sistema.

Estas 97 aplicaciones están publicadas por 11 desarrolladores diferentes relacionados a 9 correos electrónicos diferentes, pero todos los que publican el sitio web de desarrollador indican el mismo sitio. Puede acceder al mismo en este enlace.

Ilustración 4. Nombre de los desarrolladores.

Estas aplicaciones también tienen en común que todas le solicitan al usuario un total de 43 permisos sobre el dispositivo, que les permitirían en conjunto con el ataque “Cloak and Dagger” no solo obtener la información de los usuarios sino el control total de los dispositivos. Donde resaltan algunos permisos como:

Bluetooth_Admin
Call_Phone
Disable_Keyguard
Get_Account
Hardware_Test
Kill_Background_Process
Use_Fingerprint
Read_Logs

En conclusión, esta nueva amenaza ya está generando el interés de los ciberdelincuentes por las capacidades de brinda y la facilidad pasar los mecanismos de control de la tienda de Google Play, los cuales están usando aplicaciones que sean de interés para diverso tipo de personas y así lograr la mayor cantidad de dispositivos infectados.

En la comunidad de ElevenPaths hemos creado un hilo para colocar las aplicaciones detectadas y algunas otras características que vamos identificando, esto hasta ahora empieza y seguiremos estudiándolo.

Diego Samuel Espitia Montenegro

CSA – Chief Security Ambassador

Colombia
diego.espitia@11paths.com

↧

ElevenPaths y Bitsight ofrecen una visibilidad mejorada del riesgo de la cadena de suministro mediante una monitorización continua

June 13, 2017, 4:48 am

≫ Next: Wannacry chronicles: Messi, coreano, bitcoins y las últimas horas del ransomware

≪ Previous: Detectando la nueva amenaza en Google Play

Líder del Mercado de Ratings de Seguridad Expande su Alcance Global con Nueva Alianza Estratégica

CAMBRIDGE, MA—13 de junio, 2017—ElevenPaths, la unidad de ciberseguridad de Telefónica especializada en el desarrollo de innovadoras soluciones de seguridad, junto a BitSight, el estándar en ratings de seguridad, han anunciado una nueva alianza que mejorará la visibilidad del riesgo de la cadena de suministro para los clientes de Telefónica en todo el mundo.

El acuerdo entre ElevenPaths y BitSight proporciona a los clientes de Telefónica acceso a la Plataforma de Ratings de Seguridad de BitSight para el benchmarking de seguridad y la gestión continua del riesgo de la cadena de suministro. Esta nueva oferta formará parte de CyberThreats, el servicio de inteligencia de amenazas de ElevenPaths, proporcionando:

Ratings de objetivos observados desde el exterior, que miden el desempeño en seguridad de organizaciones individuales dentro de la cadena de suministro.

Visión general del riesgo agregado de ciberseguridad de toda la cadena de suministro, con la capacidad de generar rápidamente contexto en torno a riesgos emergentes.

Información accionable incluida en los Ratings de Seguridad que puede ser usada para comunicarse con terceros y mitigar los riesgos identificados.

Usando evidencias de incidentes de seguridad de redes a lo largo del mundo, la Plataforma de Ratings de Seguridad de BitSight aplica sofisticados algoritmos para producir diariamente ratings de seguridad para organizaciones, en una escala de 250 a 900, donde los ratings más altos equivalen a un menor riesgo. Estudios anteriores de BitSight, verificados de forma independiente por terceros, muestran que las empresas con un Rating de Seguridad de 400 o menor son casi cinco veces más propensas a experimentar una violación de datos que las empresas con un Rating de Seguridad de 700 o superior.

“A medida que crece la cadena de suministro y la red de proveedores y terceros de una organización, también aumenta el riesgo de una potencial brecha. Para la mayoría de las empresas, es esencial que terceras partes tengan acceso a sistemas y archivos sensibles para llevar a cabo su trabajo de forma efectiva. El reto es cómo evaluar de forma continua las prácticas de seguridad de esos proveedores”, dijo Nikolaos Tsouroulas, Head of Cybersecurity, de ElevenPaths. “Por primera vez, estamos ofreciendo a nuestros clientes una solución escalable para una visibilidad continua del nivel de seguridad de sus propias organizaciones y las de toda su cadena de suministro, a través de la tecnología fiable y probada en el tiempo de BitSight”.

La información de Tacyt, herramienta de ciberinteligencia móvil desarrollada por ElevenPaths, también será integrada para los clientes de Telefónica en la Plataforma de Ratings de Seguridad que ofrece BitSight para mejorar la visibilidad de las organizaciones sobre los riesgos de las aplicaciones móviles que se plantean en la cadena de suministro.

"Las estrategias tradicionales y las herramientas existentes para medir y mitigar el riesgo de terceros no están diseñadas para abordar la nueva y rápidamente creciente corriente de amenazas constantes", dijo Dave Fachetti, SVP de alianzas de BitSight. "La Plataforma de Ratings de Seguridad de BitSight ofrece visibilidad de los riesgos dinámicos que se desarrollan más rápidamente de lo que los métodos tradicionales pueden escalar, sin ser intrusivos ni consumir muchos recursos. Nos entusiasma ofrecer nuestra solución única al mercado con un socio global tan fuerte, que nos permite expandir nuestro alcance alrededor del mundo."

» Descargar nota informativa "ElevenPaths y BitSight ofrecen una visibilidad mejorada del riesgo de la cadena de suministro mediante una monitorización continua."

↧

Wannacry chronicles: Messi, coreano, bitcoins y las últimas horas del ransomware

June 13, 2017, 4:04 pm

≫ Next: Qué hemos presentado en Security Day 2017 (III): autenticación mediante la tecnología Mobile Connect para nuestro partner OpenCloud Factory

≪ Previous: ElevenPaths y Bitsight ofrecen una visibilidad mejorada del riesgo de la cadena de suministro mediante una monitorización continua

Es difícil decir algo nuevo sobre el Wannacry (el ransomware, no el ataque). Pero merece la pena investigar cómo trabajó el atacante las horas previas al ataque. No es que nos vaya a permitir descubrir el creador, pero seguro que lo hace un poco "más humano", lanzando preguntas sobre su idioma habitual, localización y cómo empleó las últimas horas creando el ataque.

Wannacry (el ransomware de nuevo, no el ataque) es un malware muy sencillo para realizar ingeniería inversa. No está ofuscado, no dispone de métodos anti-debug, no cuenta con métodos para hacer la vida más difícil a los analistas. Por tanto, el código ha sido ya puesto "del revés". Adicionalmente al código algunas empresas están intentando realizar análisis lingüísticos (muy usados recientemente) para conocer la procedencia del autor (aunque, "muy a menudo", resulta ser de China). Como resultado se suele obtener que "quizás sea de habla inglesa nativa, o quizás no, quizás el autor es nativo de China y está intentando despistar..." quién sabe. Pero una cosa es segura: le gusta el fútbol, no es ambicioso y escribe en Word habitualmente en coreano.

Metadatos al rescate

Durante estos últimos años se ha demostrado la utilidad de los análisis y extracción de información oculta de todo tipo de archivos ajenos, en busca de datos que de alguna manera pudiesen revelar importantes detalles que a simple vista pueden pasar desapercibidos. El dato se ha convertido en la nueva fiebre del oro. Información sensible del usuario u organización, software, correos electrónicos, rutas de almacenamiento, pero también otros detalles no menos interesantes, fechas, títulos, geo posicionamiento, etc. Hemos oído hablar de espías, escándalos políticos por manipulación de documentos, reutilización de contenidos, fraude a las compañías de seguros, situaciones en las que los metadatos han resultado protagonistas.

https://metashieldclean-up.elevenpaths.com

Wannacry 2.0 utiliza algunos archivos de texto con las instrucciones para mostrar en un cuadro de texto. A primera vista, la extensión WRNY no significa nada, pero en realidad son archivos RTF. Lo que da margen para trabajar con metadatos. Para este análisis hemos usado nuestra recién estrenada herramienta Metashield Clean-up Online. Como resulado podemos encontrar a "Messi" como usuario en el sistema, los idiomas configurados en el editor de texto y las fechas y tiempos de edición. Sobre la cadena "Messi", descubrimos que algunos usuarios ya lo habían mencionado días atrás.Pero vamos a ir más allá.

Esta es la version 1.0, menos conocida que su evolución

Ya existía una versión Wannacry 1.0, descubierta en marzo. Sólo contenía un archivo RTF de idioma, m.wry, disponible en inglés. Este archivo fue creado el 04/03/2017 a las 13:33:00, y modificado durante 2,6 horas hasta las 17:37:00. Estas son zonas horarias locales, donde quiera que esté el atacante. El número de versión interno es 32775. Este es el número que Word introduce cuando un fichero RTF se crea, pero no está oficialmente muy documentado por parte de Microsoft y parece que es único. Pero esta versión de Wannacry pasó desapercibida en el mundo del ransomware. Despúes llegó Wannacry 2.0 y trajo consigo un ataque de tipo gusano. Esta fue una versión ligeramente mejorada, con idiomas adicionales diferentes, aparte del inglés. ¿Qué ocurre con sus metadatos?

Es muy interesante conocer al menos que el atacante creó (en su disco duro o los copió de algún otro lugar) todos los documentos entre las 13:52 y las 13:57, justo un día antes del ataque (últimas horas UTC de 11/05/2017). Una vez más, este es el tiempo local del atacante en cualquier parte del mundo donde se encuentre. Abrió primero el fichero en inglés a las 14:42.

Tras este, muchos otros ficheros se fueron creando secuencialmente (o de nuevo, los volcó desde algún fichero zip o de un disco) hasta las 15:00. Los ficheros chinos (tradicional) y chino (simplificado) fueron los últimos, abiertos casi 4 horas más tarde, a las 18:55. Tardó 11 minutos en editar el fichero de versión "simplificado", pero le llevó justo un minuto editar el de versión "tradicional".Antes de esto, estuvo 4 minutos editando el fichero inglés. Los ficheros de idiomas japonés y vietnamita le llevaron también 4 minutos de edición. El fichero vietnamita fue el último en abrir en la primera ronda de edición, quizás porque los ficheros estaban ordenados alfabéticamente. Otros ficheros como el sueco, letón, checo o griego no los editó.

El campo de autor para archivos RTF es la palabra "Messi", como en la versión 1.0 de WannaCry. Esto significa que el nombre de usuario está configurado en su versión de Office Word y probablemente también en su usuario de Windows. Puede que le guste el fútbol. El número de versión interno para esta versión 2.0 fue nuevamente 32775, lo que implica que reutilizó la plantilla de alguna forma.

Metashield Clean-up Online

Otro metadato más que interesante es el idioma.

Todos los ficheros RTF del ransomware, independientemente del idioma en el que están escritos, tienen establecido como idiomas inglés, coreano y árabe. Estos se supone que son los idiomas de edición, con los que Word intenta corregir y en los que cree que vas a escribir de forma predeterminada. Se filtran en los RTF. Vamos explicar por qué aparece cada uno de esos idiomas, puesto que es imposible tener tres idiomas predeterminados:

Árabe: Nada tiene que ver con que el usuario escriba en este idioma. Aparece siempre que se usa una versión específica de Word, muy común en EMEA (incluida España). \deflangfe es el campo en RTF para "Default language ID for Asian versions of Word". No significa que sea el idioma configurado sino que se usa esa versión de Word. Se percibe por la etiqueta \adeflang1025 en muchos RTF.
Coreano: Este idioma aparece en la etiqueta \deflang que define el idioma por defecto usado en el documento con la palabra de control \plain. Significa que coreano es el idioma por defecto de la persona que escribió este documento.
Inglés: Curiosamente, si estableces coreano como tu idioma por defecto, siempre irá acompañado del inglés en los documentos Word. Parece una funcionalidad de Word.

Estos son los datos en bruto sacados del RTF:

\rtf1\adeflang1025\ansi\ansicpg1252\uc2\adeff31507\deff0\stshfdbch31505\stshfloch31506\stshfhich31506\stshfbi0\deflang1033\deflangfe1042\

Así que podemos decir que usa una versión tipo "EMEA" de Word (bastante común) y que su idioma por defecto es el coreano para escribir documentos.

¿Y el resto de metadatos?

Un punto interesante es que el gusano usa un fichero zip que contiene el ransomware Wannacry. Esto es (en la versión 2.0 y algunas versiones 1.0) un archivo protegido con contraseña (en la versión 1.0 era wcry@2016, y en la 2.0 es WNcry@2ol7). Como sabemos, a partir de nuestra investigación anterior con Gmtcheck para Android, los ficheros zip almacenan el último acceso y la fecha de creación en el (supuesto) sistema de ficheros NTFS del atacante, con su propia zona horaria. Por tanto, las fechas del fichero zip, son las de la zona horaria de atacante. Significa que, analizando el zip, podríamos deducir lo siguiente:

2017-04-27 17:25 (hora local del atacante): El atacante crea b.wnry, un fichero BMP en segundo plano y el r.wnry, que contiene el fichero "readme".
2017-05-09 16:57: El atacante crea otro zip con herramientas para conectarse a la red Tor (y negociar el rescate). Se descargaron en el sistema de archivos del atacante a las 16:57, 09/05/2017, hora local del atacante, y son empaquetados e introducidos en un nuevo zip, s.wnry.
2017-05-10 01:16: El atacante crea en su sistema c.wnry, que contiene dominios onion de la red Tor y una cartera para bitcoins.
2017-05-11 15:59: Crea r.wnry que contiene instrucciones de borrado.
2017-05-11 16:47: Edita b.wnry.
2017-05-11 20:11: Edita c.wnry de nuevo.
2017-05-11 20:13: Introduce b.wnry en el zip y lo comprime con contraseña.
2017-05-12 02:22: Añade los ficheros EXE: u.wnry y t.wnry. El atacante empaqueta y establece una contraseña. El payload de gusano está listo.

Esta última es la hora "mágica" establecida como la originaria de la infección en cada sistema infectado. Incluso en los servidores, porque es la hora almacenada en el fichero zip, por tanto, cuando el malware extrae los ficheros, el valor se copia también. Este es el "tiempo de último acceso" en todos los sistemas afectados, debido al "deszipeo" y escritura en disco que realiza el gusano.

Un servidor de Windows cualquiera afectado. La misma hora y fecha.

Como no tenemos ninguna referencia UTC, se puede crear esta tabla. Cada línea representa una hipótesis: Supongamos que la hora local en la que se crea el zip (12/05/2017 2:22), ocurre en todos los posibles y diferentes usos horarios GMT y los vamos descartando. Hemos añadido algunos "hechos" que sabemos que sucedieron con seguridad en una hora UTC determinada. Por ejemplo:

Por tanto, vamos a imaginar. Si el atacante se encontraba en UTC+9 (Corea) y fuese coreano, deberían ser las 17:22 UTC del 11/05. Crea el payload, se va a dormir (eran las 2:22 de la mañana para el atacante, y pasó todo el día "trabajando"… ) y 7 horas después (sobre las 00:00 UTC del 12/05), la primera muestra fue avistada en algún lugar del mundo. ¿Tiene sentido esto? O quizás, las pasó inyectando Wannacry en el gusano que aprovecha EternalBlue. O quizás es español (UTC+2) y, cuando todo estuvo listo, lanzó el fichero y Palo Alto lo detectó de inmediato... Cabe recordar que la palabra "Hola" está embebida en el interior desde su versión 1.0.

Con respecto a las cadenas curiosas, otra de la versión 1.0, es "test esttesttest strator" que aparece en el fichero c.wry donde también se encuentran algunos .onion y algunas URLs de dropbox ... saca tus propias conclusiones.

Por último pero no menos importante. Todos sabemos que el atacante aún no ha recogido el dinero de las carteras en la versión 2.0. Tal vez demasiado arriesgado. Hemos comprobado las carteras en la versión 1.0 y podemos decir que no tomó el dinero de las víctimas en la versión 1.0, que pagaron días antes del "ataque mundial". Estas son sólo dos de las carteras de la versión 1.0, con operaciones desde principios de mayo... y el dinero intacto.

Dos de las carteras de la versión de la versión 1.0, con las transacciones desde principios de mayo ... y el dinero aún sin tocar.

¿Conclusiones?

Jugar a la atribución siempre es arriesgado. Los tiempos, horas y cadenas expuestos anteriormente pueden ser legítimos, o directamente falsos. Puede que le guste Messi o que lo odie. El problema es que todos los tiempos anteriores y zonas horarias son locales, por tanto, no hemos encontrado una referencia UTC que nos permita conocer la zona horaria exacta del atacante. Por otros indicios, podemos sospechar que es UTC+9 (hora de Corea) . Sin embargo, con todo esto, sólo podemos hacer suposiciones

El atacante comienza el ataque el día 9.
Los días 10 y 12 se dedica casi por completo a crear Wannacry.
Por alguna razón, tarda más tiempo en editar el fichero de lengua china.
Su idioma por defecto en Word es Coreano.
Por las horas de ataque, su huso horario podría ser de UTC+2 a UTC+12.

Innovación y laboratorio

www.elevenpaths.com

↧

Qué hemos presentado en Security Day 2017 (III): autenticación mediante la tecnología Mobile Connect para nuestro partner OpenCloud Factory

June 14, 2017, 4:17 pm

≫ Next: El MSSP Inteligente

≪ Previous: Wannacry chronicles: Messi, coreano, bitcoins y las últimas horas del ransomware

Opencloud Factory (OCF) es un fabricante de soluciones de seguridad y de servicios de infraestructura basadas en código abierto y desplegables en la nube, on-premise o de forma híbrida. Con oficinas en España, Brasil, México y Estados Unidos, OCF es una empresa española con presencial global, especialmente en Europa y Latinoamérica, donde aporta sus soluciones a varias empresas del IBEX 35 y protege cientos de miles de dispositivos. OCF es Partner Global de las Soluciones de ElevenPaths para las tecnologías de Identidad, por lo que puede integrar las mismas como funcionalidad innovadora dentro de las soluciones que ofrece a sus clientes.

Aquí podéis ver el vídeo de la ponencia durante el Security Day 2017:

Uno de los objetivos de Opencloud Factory es en palabras de Xavier González, Co-Fundador y CTO, “facilitar el uso de la seguridad”. La alianza con ElevenPaths, “nos ha permitido integrar la tecnología Mobile Connect como segundo factor de autenticación y ofrecer a nuestros clientes una solución sencilla y manejable, basada en un elemento universal como es el teléfono móvil”.

La Universidad de Barcelona cuenta con más de 60.000 alumnos, 8.000 trabajadores y 4.000 colaboradores temporales. En un escenario tan heterogéneo, una de las principales necesidades de los administradores de sistemas es tener visibilidad sobre los dispositivos y usuarios que acceden a la red y poder implementar medidas de control para estos accesos. Además, dadas las limitaciones en recursos y exigencias de regulación (RGDP, GDPR por sus siglas en inglés), los registros de usuarios deben ser desatendidos, pero fiables y unívocas. No ha de quedar ninguna duda de quién está detrás de cada dispositivo.

Para Ricard de Mingo, Responsable de seguridad en infraestructuras IT, “la gestión del ciclo de vida de la identidad de nuestros usuarios, es un riesgo que tenemos que mitigar”. La ventaja de usar Mobile Connect, como segundo factor de autenticación, frente a otras soluciones es que “nos permite delegar la identificación de los usuarios en la operadora, es decir, no necesitamos almacenar datos confidenciales de nuestros usuarios, ayudándonos así a cumplir con la RGDP”.

Mobile Connect es una solución estándar y normalizada de identificación y autenticación de usuarios, que permite que el número de teléfono móvil pueda funcionar como el identificador único del mismo y que tiene como objetivo simplificar la vida de las personas dentro del nuevo mundo digital, ofreciendo un servicio simple, seguro y con total control de la privacidad por parte del usuario.

La iniciativa Mobile Connect está siendo liderada por la GSMA (Global System for Mobile Communications Association) y el servicio se encuentra desplegado actualmente en más de 50 operadores a nivel mundial, habilitando a más de 3 billones de usuarios que pueden hacer uso del mismo.

Para más información: elevenpaths.com

Salvador Sanchez
Responsable de Partners de Soluciones de ElevenPaths
@salvador_st

salvador.sanchez@global.11paths.com

↧

El MSSP Inteligente

June 15, 2017, 12:23 am

≫ Next: Qué hemos presentado en Security Day 2017 (IV): intercambiamos información de ciberamenazas con Cyber Threat Alliance

≪ Previous: Qué hemos presentado en Security Day 2017 (III): autenticación mediante la tecnología Mobile Connect para nuestro partner OpenCloud Factory

Durante años, los Servicios de Seguridad Gestionada (MSS Managed Security Services) han sido la estrategia más efectiva para enfrentarse al dinámico y creciente ecosistema de ciberamenazas. Sin embargo, algunos factores disruptivos están forzando una nueva aproximación de la seguridad de la información de las corporaciones. Estos factores se agrupan en tres tipos: los tecnológicos, como por ejemplo la desaparición del perímetro corporativo o el explosivo crecimiento en número y complejidad de las amenazas; los operacionales, relacionados a la complejidad de los procesos organizativos; y los factores de negocio, cuyo mayor representante es la necesidad de implementar una eficiente gestión del riesgo para así invertir el presupuesto preciso en seguridad, ni más, ni menos.

¿Cómo resolver estos requisitos manteniendo en control la complejidad de los Servicios de seguridad Gestionada?

Este artículo, en primer lugar, identifica estos factores y a continuación propone un modelo de arquitectura de capas de MSS que pretende garantizar la adecuada coordinación entre tecnología, operación y negocio, que en último término proteja a las organizaciones del presente y del futuro.

Gartner define servicios de seguridad gestionada como "la monitorización o gestión remota de las funciones de seguridad IT, entregadas vía servicios compartidos desde centros de operación de seguridad (SOCs) remotos, no mediante personal in situ. La mayor parte de los actores en el negocio de la seguridad considera a los servicios de seguridad gestionada como la aproximación más eficiente para la gestión de la seguridad corporativa para cualquier tipo de organización, y por tanto, es cada vez más habitual que las organizaciones deleguen en un proveedor de seguridad gestionada la gestión y monitorización de la seguridad del día a día, para así poder centrarse en el núcleo de su negocio. Por esta razón, todo el mundo considera que la externalización de la seguridad conlleva ahorro de costes, gestión experta y mejora en la productividad.

Factores que fuerzan la evolución de los Servicios de Seguridad Gestionada

Durante los meses pasados, analistas, proveedores de seguridad y clientes han advertido que hay ciertas circunstancias que fuerzan una redefinición de la seguridad gestionada. Estos pueden englobarse en tres categorías, a saber, tecnológicos, operacionales y de negocio. Dentro de la categoría tecnológica podemos encontrar la desaparición del perímetro de defensa corporativo, a causa de tecnologías como la movilidad, los servicios en la nube, las redes virtualizadas, la presencia digital o la cadena de suministro. También en esta categoría es posible citar el crecimiento exponencial de la complejidad de las amenazas, los atacantes cambian las tácticas de elusión tan rápido como las organizaciones implementan medidas de protección. En relación a los factores operacionales, la principal dificultad es lidiar con la complejidad de los procesos ligados a las Tecnologías de la Información (TI) y las Tecnologías Operativas (TO). En último lugar, las circunstancias de negocio, quizá las más recientes y también relevantes, se pueden resumir en el principio de continuidad del negocio sobre todas las cosas. Los comités directores de las empresas están a cargo de decidir el presupuesto dedicado a seguridad y esté tiene que ser fruto de un minucioso análisis de riesgos. El gasto debe ser calculado en base a la probabilidad de un ataque combinado al coste de este en recursos dedicados a la mitigación, disrupción de negocio, imagen de marca y multas del regulador.

No hay duda de que la realidad del día a día está demostrando que es necesario una evolución para mantener el adecuado nivel de protección.

El modelo de cuatro capas para los servicios de seguridad gestionada.

El modelo de cuatro capas pretende aislar las zonas de intervención de un servicio de seguridad gestionada para así conseguir las siguientes ventajas: alcanzar un entendimiento inmediato, sencillo y aplicado de las necesidades de los clientes, facilitar la incorporación de las más nuevas tecnologías de protección y el procesamiento analítica, estandarizar los procesos de operación desde los SOCs e implementar una seguridad para el negocio efectiva. Partiendo desde la capa inferior, las capas son las siguientes:

Capa operacional: procesos, personas y herramientas para la operación de los servicios de seguridad y de respuesta automática. Nos referimos a lo que los analistas llaman centro de seguridad operacional inteligente (Intelligence-driven Security Operational Centre ISOC). ISOC incluye las capacidades tradicionales de gestión de dispositivos y monitorización de seguridad y las de carácter distintivo, seguridad guiada por la información (data-driven security), respuesta adaptativa, tecnologías de forense, postanalisis para generar inteligencia de amenazas y gestión dinámica del riesgo. Esta capa operacional, y el SOC en concreto, deben cumplir ciertas directivas enunciadas por consultoras de reputado prestigio, como son: operar de una manera coordinada más que ejecutar proyectos estancos, una colaboración completa en todas las fases, poseer herramientas de información que proporcionen visibilidad y control integral, implementar procesos estandarizados y fácilmente exportables y, por último, y quizá la más relevante, disponer de equipos experimentados con las habilidades precisas y un ratio de rotación de personal bajo.

Capa tecnológica: este nivel comprende las piezas tecnologías que están a cargo específicamente de la prevención y la protección, desde cortafuegos desplegados dentro del perímetro hasta servicios más avanzados como Clean Pipes sobre cortafuegos de nueva generación o CASBs (Cloud Access Service Brokers). Lo original de esta propuesta es que estos servicios se sirven de los elementos vertebrales del servicio de seguridad gestionada para coordinarse entre ellos y con el resto de capas. Sin ellos, los servicios funcionarían como piezas tecnológicas aisladas que a fin de cuentas son incapaces de ofrecer los niveles de seguridad esperados. Las capacidades vertebrales actúan como colectores de eventos y alertas que alimentan al resto de niveles y también como actuadores con la función de ejecutar la mitigación o remediación en forma de gestión de políticas.

Capa Analítica: esta capa puede ser considerada como el cerebro del sistema, debido a que es el elemento responsable del procesamiento masivo de eventos (data-driven security). Se trata de la plataforma de análisis de big data y machine learning que permite descubrir ataques que han pasado desapercibidos a los elementos de protección desplegados en la capa tecnológica. Parte fundamental de esta capa es también el cálculo cruzado de indicadores a partir de la información de eventos y alertas que se recibe de todos los sistemas de prevención y protección, gracias a la cual es posible construir los cuadros de mandos de estado de seguridad y los medidores en tiempo real de la gestión del riesgo. Por último, cabe destacar la función de identificador de indicadores de compromiso que alimente base de datos de inteligencia de amenazas, tanto internas como externas.

Capa de entrega: la capa superior se ocupa de como los clientes consumen y perciben la seguridad gestionada. Es fundamental ofrecer una visibilidad y control unificado de los servicios de seguridad, así como una gestión del riesgo y cumplimiento normativo, y todo ello en tiempo real y con una perspectiva granular. Seguridad para el negocio es el término que comprende estas funcionalidades, puesto que la seguridad ya no es solo una preocupación exclusiva de los departamentos de IT, sino que cada día es más relevante para la toma de decisiones de negocio. Existe un gran consenso acerca de la necesidad de una implicación directa en los asuntos de seguridad de las áreas de negocio y de los consejos delegados, y por ello es necesario hablar en términos de negocio cuando se habla de seguridad. Esta capa pretende hacer comprensible y útil la información de seguridad para el nivel C de la empresa. Por lo tanto, es clave la gestión de la seguridad mediante un portal que incluya cuadros de mandos, con la adecuada granularidad, que satisfagan las necesidades de los diferentes roles dentro de una organización y que permitan obtener lo que llamamos seguridad de un vistazo. Este término engloba el entendimiento directo del nivel de riesgo de la empresa en tiempo real y del nivel de cumplimento de SLAs por parte del proveedor de servicios de seguridad gestionada.

De acuerdo a estos principios, ElevenPaths ha construido SandaS, la plataforma tecnológica de servicios de seguridad gestionada de Telefónica, la cual incluye componentes específicos que proporcionan las funcionalidades vertebrales de cada capa:

SandaS RA (Respuesta automática) es el componente que hace posible la respuesta desde los SOCs de Telefónica y facilita a los expertos de seguridad resolver los incidentes de seguridad. Este elemento se encarga de tipificar y automatizar las alertas recibidas de acuerdo a una serie de reglas contextuales independientes para cada cliente. SandaS RA está desplegado en el propio SOC e integrado con sistemas de salud (Opsview, Nagios) y sistemas de ticketing de cliente. En último lugar, SandaS RA es capaz de aplicar medidas de remediación mediante configuración de políticas sobre el equipamiento de seguridad que gestiona.

SandaS CA (Colector de Alertas) es el módulo de recolección y normalización de eventos y alertas que tienen como origen el equipamiento de seguridad del cliente o SIEMs, esté en sus propias instalaciones o en una nube privada (VPC). Tiene como funcionalidades principales: recolección y normalización de alertas y eventos.

SandaS PA (Procesamiento analítico) está encargado de la generación de indicadores de seguridad en tiempo real basado en las alarmas y eventos provenientes del equipamiento de seguridad o de los servicios de protección. Este procesamiento cruzado exige un alto rendimiento puesto que se han de realizar millones de cálculos en milisegundos, lo cual solo es posible mediante un diseño de arquitectura refinado. Por otro lado, SandaS PA realiza un análisis basado en correlación avanzada y algoritmos de machine learning sobre eventos en crudo para descubrir ataques complejos multivector. Como consecuencia indirecta de este análisis SandaS PA genera indicadores de compromiso que alimentan bases de datos inteligencia de amenazas tanto propias como de proveedores de seguridad con los que Telefónica colabora.

Conclusion

Los servicios de seguridad gestionada son un complejo ecosistema, donde diferentes tecnologías, proveedores, profesionales y modelos operativos se interrelacionan; algunas veces sin llevarse del todo bien. Por lo tanto, es absolutamente necesario disponer de un elemento vertebrador que dirija la orquesta en la ejecución de la sinfonía. Desde ElevenPaths entendemos que el rol de director de orquesta debe ser jugado por un proveedor de servicios de seguridad gestionada, el cual es capaz de coordinar a los múltiples actores de cada capa y estandarizar su interrelación. ¿cómo se logra este objetivo? Creemos que se trata de la combinación en su justa medida de personas, procesos y herramientas. Nada Nuevo, o quizá sí.

Francisco Oteiza Lacalle
Jefe de producto en Seguridad Gestionada
@Fran_Oteiza

francisco.oteizalacalle@telefonica.com

↧

Qué hemos presentado en Security Day 2017 (IV): intercambiamos información de ciberamenazas con Cyber Threat Alliance

June 16, 2017, 12:24 am

≫ Next: Como proteger login de Github con Latch y Totp

≪ Previous: El MSSP Inteligente

A medida que la cultura de la ciberseguridad de las empresas va madurando, nos estamos dando cuenta que la seguridad no es un asunto solo de cada uno de nosotros. Nuestros riesgos no afectan solo a nuestra organización sino también a nuestros empleados, clientes y empresas colaboradoras. Los riesgos de hoy de una organización pueden ser aquellos del día de mañana de otra. Nos estamos enfrentado con amenazas globales y cada vez más sofisticadas y, por tanto, en ElevenPaths pensamos que la ciberseguridad es responsabilidad de todos.

Por ejemplo, en el caso del incidente de WannaCry vimos como una amenaza global se propagó progresivamente de un país a otro a medida que las empresas entraban en su horario laboral. En este caso, las empresas que tuvieron la suerte de estar en horarios alejados del momento de inicio del ataque estaban mejor preparadas gracias al intercambio de experiencias, conocimientos, recomendaciones, etc. de los primeros afectados.

Esta misma visión comparte la Cyber Threat Alliance (CTA en siglas), un grupo de empresas líderes en el mercado de la ciberseguridad creado con la misión de mejorar la seguridad de todos a base de la colaboración y el intercambio de información.

La Cyber Threat Alliance contribuye a la protección de los clientes gracias a la plataforma de intercambio de inteligencia en tiempo real. Esta plataforma está basada en los estándares del mercado. Hablamos de información de las últimas amenazas y de información que solo está en las manos de este grupo.

La CTA está también apuntando directamente a los propios cibercriminales a través de los Adversary Playbooks, y donde profundiza en sus tácticas, técnicas y procedimientos (TTP), con el fin de hacerles el éxito mucho más difícil. Por ejemplo, han publicado un análisis completo de Cryptowall que causo unos 325 millones de dólares de pérdidas y se están preparando varios casos nuevos para ser publicados a lo largo de este año.

Finalmente, en muchas ocasiones, al ser una crisis como la que causó el incidente de WannaCry, la comunicación y la colaboración a nivel humano es clave. En este sentido, la CTA tiene en sus objetivos acompañar a sus miembros durante este tipo de eventos ofreciendo a sus expertos y facilitando la comunicación para ayudar en despejar la confusión que siempre hay en los primeros momentos de un ataque grave. Además de esto, habrá que mantener a todos los responsables actualizados en cada momento sobre las evoluciones que se observan por cada miembro y aunar en una visión única y coherente toda la información que se recibe.

ElevenPaths forma parte de la CTA desde su nacimiento en febrero de 2015, y en la actualidad es unos de los 3 mejores contribuidores del grupo con:

Unos 30.000 binarios de malware con más del 70%, siendo nuevos y que no aparecen en virus totales.
Información sobre 200 centros de control de botnets activos diariamente.
Información sobre las tácticas, técnicas y procedimientos de los actores detrás de este malware.

Nikolaos Tsouroulas

Responsable Global de Gestión de Producto de Ciberseguridad en ElevenPaths

nikolaos.tsouroulas@telefonica.com

↧

Como proteger login de Github con Latch y Totp

June 17, 2017, 12:42 am

≫ Next: Nuevo informe: ¿Está Certificate Transparency listo para funcionar como mecanismo real de seguridad?

≪ Previous: Qué hemos presentado en Security Day 2017 (IV): intercambiamos información de ciberamenazas con Cyber Threat Alliance

En ElevenPaths hemos implementado la funcionalidad para que puedas proteger tus cuentas más utilizadas con Latch. Como se demostró anteriormente con Gmail, Outlook, Amazon, Wordpress, Salesforce y ProtonMail. Hoy nos centraremos en GitHub y en ver cómo podemos integrar y proteger nuestra cuenta con Latch y Cloud TOTP. Para ello tienes que tener la última aplicación de Latch para Android o Latch para iPhone (incluido Latch para Apple Watch). En el siguiente vídeo mostramos cómo funciona.

Preparando Github

Lo primero que debemos hacer será iniciar sesión con nuestra cuenta de GitHub, una vez estemos en nuestra página de inicio accederemos a los ajustes en la parte superior de la pantalla (icono con nuestra foto de usuario), seleccionaremos “settings” hecho esto nos dirigiremos al apartado “Security” donde podremos encontrar los datos de nuestra sesión actual y la opción de activar el doble factor de autenticación.

A continuación haremos clic sobre “set up two-factor authentication” para configurar nuestro segundo factor de autenticación, a continuación aparecerán en pantalla las dos opciones que GitHub nos da, autenticarnos a través de una aplicación o vía SMS, en nuestro caso seleccionaremos la opción “Set up using an App”.

Tras pulsar sobre “Set up using an App” GitHub nos mostrará en pantalla un código Qr que deberemos escanear desde nuestra aplicación de Latch para generar el nuevo servicio que queremos proteger. Una vez acabada la configuración de nuestro Latch generaremos un código TOTP y pulsaremos sobre “continue”.

Para finalizar el proceso de configuración deberemos descargar las claves de recuperación que GitHub nos facilita para poder acceder a nuestra cuenta en el caso de que no funcione la verificación en dos pasos, hecho esto podremos pulsar en “Eneable two-factor authentication” para finalizar el proceso de configuración

Configurando Latch Cloud TOTP

Arrancamos nuestra app de Latch con la última versión, donde disponemos de la funcionalidad Cloud TOTP. Nos vamos a añadir un nuevo servicio con Latch y veremos dos opciones como son 'Parear con Latch', que es nuestra funcionalidad clásica, y 'Proteger con Cloud TOTP'. Debemos pulsar esta última.

Al pulsar sobre 'Proteger con Cloud TOTP', Latch mostrará la cámara del dispositivo para que escaneamos el código QR que GitHub nos presentó anteriormente. En el momento que escaneemos o introduzcamos los datos del seed manualmente, Latch nos indicará que hay un nuevo servicio, tal y como se puede ver en la imagen inferior. Una vez que nos muestran este mensaje, tendremos protegida nuestra cuenta de GitHub con Latch.

Iniciando sesión con Latch Cloud TOTP en GitHub

Ahora, nos dirigimos al login de GitHub e introducimos nuestro usuario y contraseña. Una vez validado esto se nos solicitará información sobre el TOTP, tal y como se puede ver en la imagen. El segundo factor de autenticación está correctamente configurado en la cuenta de GitHub y podremos utilizar nuestro Latch.

En nuestra aplicación de Latch debemos disponer de una nueva app que tenga el mismo nombre del servicio (en este caso GitHub) y generando tokens para la cuenta de GitHub que hayamos integrado. Hay un botón, en dicha fila, con la palabra 'Pin', la cual debemos pulsar para que nos genere un TOTP, que será válido durante un breve período de tiempo (30 segundos), tal y como nos indica el pequeño reloj que aparece junto al token.

No dudéis en configurar los segundos factores de autenticación en todas las cuentas de los servicios que utilicéis, siempre que lo soporten. Hoy en día es un factor vital para fortalecer el uso de las identidades digitales de forma segura. Las posibilidades que ofrece Latch Cloud TOTP cada vez son más grandes, protege tus servicios y tus cuentas de una forma rápida, sencilla y fiable.

Sergio Sancho Azcoitia
Security Researcher

sergio.sancho@11paths.com

↧

Nuevo informe: ¿Está Certificate Transparency listo para funcionar como mecanismo real de seguridad?

June 19, 2017, 12:53 am

≫ Next: Qué hemos presentado en Security Day 2017 (V): adiós Path6, hola mASAPP

≪ Previous: Como proteger login de Github con Latch y Totp

Google ya anunció que a partir de octubre de este mismo año, Certificate Transparency será obligatorio en Chrome para todos aquellos certificados emitidos para dominios HTTPS. Otros navegadores, como Firefox ya han anunciado también su intención de adoptarlo en breve (aunque en ElevenPaths ya hemos desarrollado un plugin para permitir su comprobación).

Con este mecanismo, Google espera añadir una pieza más dentro de su proyecto de transparencia "Transparency Report", además de fortalecer su plan para la migración de todos sus productos y servicios a tráfico cifrado vía HTTPS. Todo esto, dentro del movimiento que ha denominado #movingtoHTTPS, que también espera trasladar a todo internet.

¿Están tanto el ecosistema TLS como el resto de actores implicados en él, preparados para la llegada de Certificate Transparency? En este informe intentamos responder a la pregunta anterior a través de un estudio del grado real de implantación de CT a día de hoy, así como con una evaluación del correcto funcionamiento de todos los componentes y actores que involucra.

Además de con alguna guía práctica, hemos contribuido en este informe con mejoras en el código del toolkit de herramientas de interactuación con los logs de Tom Ritter, mejorando algunos aspectos como la subida de certificados. Nuestro código puede encontrarse aquí.

Nivel de implantación

En Certificate Transparency, (al contrario que otros mecanismos), el nivel de adopción de la tecnología por parte de sus usuarios tiene un impacto directo sobre sobre el nivel de seguridad que aporta. En este caso en concreto, Certificate Transparency, necesita una base de certificados lo más nutrida posible, en la que idealmente los usuarios inserten todos los certificados existentes y además lo hagan lo más rápido posible.

Para evaluar el nivel de adopción de Certificate Transparency y cómo de extendido es su uso a falta de meses para su implantación "forzosa", se ha realizado un estudio basado en los dominios más populares de internet, usando como base medio millón de dominios (500264 exactamente) del TOP 1 millón de Alexa. Para todos estos dominios, se ha extraído su certificado TLS y se ha comprobado su estado en Certificate Transparency.

El resultado más significativo es que solo 64616, es decir, solo un 12.92% de los dominios estudiados implementaban Certificate Transparency. Además, de esos, solo el 87.94% realizarían correctamente la implementación, ya que el resto solo habían enviado sus dominios a menos de tres logs, algo que hará que sean detectados por el navegador como no seguros.

Dificultades para cooperar

La necesidad de cooperación entre los distintos actores es fundamental para el correcto funcionamiento de CT, pero… ¿cómo de fácil es conseguir esta colaboración?, ¿estamos ante una máquina bien engrasada?

De los 14 logs estudiados, la inmensa mayoría de autoridades certificadoras serían confiables para entre 6 y 7 de ellos y aceptarían sus certificados. Por ejemplo, el certificado de la Fábrica Nacional de Moneda y Timbre solo tiene la oportunidad de introducirse en cuatro logs. Chrome exige que se encuentre en al menos tres conocidos.

CAs aceptadas por cada log

Al igual que los logs deben "confiar" en las CAs para acoger sus certificados, los usuarios de CT (CAs, propietarios de host, etc.) deben elegir a qué logs enviarán sus certificados. En este caso, hemos evaluado la popularidad de los logs en este sentido, es decir qué logs son más usados por los usuarios a la hora de subir sus certificados. Los resultados son los siguientes:

Existe una discordancia entre la popularidad de los logs más escogidos por los usuarios y el número de certificados que alberga cada log. Si bien Symantec log y Digicert Log Server se posicionan dentro de los principales en cuanto a popularidad, no ocurre lo mismo en cuanto a número de certificados, donde el terreno está prácticamente copado por Google. ¿Cómo puede ocurrir que los más populares no sean los que más certificados reciben? Tras estudiar en profundidad el ecosistema, la respuesta es "sencilla", Google se está encargando activamente de recolectar e incorporar certificados a Certificate Transparency (concretamente a sus logs), con el objetivo de nutrir el ecosistema. Sin embargo, cabe destacar dos aspectos sobre esto: Por un lado, esta recolección autónoma por parte de Google, implica que los certificados se estarían subiendo a los logs de forma totalmente transparente y desconocida para el propietario del host (algo totalmente lícito dentro del marco de CT). Por otro lado, estos certificados recolectados por Google, a día de hoy, no están contribuyendo a reforzar el ecosistema de CT, ya que aunque están en los logs, los host a los que corresponden no ofrecen el SCT correspondiente desde el servidor.

Análisis de tiempos

Además del grado de implantación de CT a nivel global y estudiar la correcta interacción entre los diferentes actores implicados, es necesario comprobar un tercer factor fundamental, el correcto funcionamiento a nivel individual de cada uno de los componentes del ecosistema. En este aspecto, destaca por ejemplo los tiempos de funcionamiento de los logs y especialmente el tiempo que transcurre desde que un certificado es emitido hasta que es incluido en un log. En base a esto, hemos obtenido los siguientes tiempos para cada log de los incluidos en Google:

Es interesante destacar además, que estos tiempos deben encontrarse dentro del MMD de cada log y que en ningún momento debe superar las 24 horas, que se consideran como límite para el correcto funcionamiento de un log. Sin embargo, en el caso de Symantec VEGA log, el tiempo medio (para las muestras estudiadas) es de 13.20 horas con un margen de más/menos 5.79 horas, por lo que el tiempo en el peor caso sería de 18.99h. Hecho que, a pesar de estar dentro del margen permitido, se acerca peligrosamente a este límite. De nuevo, recordar que hay que añadir a los tiempos anteriores una desviación adicional relativa al tiempo transcurrido entre la creación y el envío de los certificados a los logs, pero puede despreciarse debido a la baja proporción de certificados subidos por los usuarios frente a los subidos por las CA (prácticamente inmediato).

Hipotéticamente, el vector que aprovecharía un atacante, sería la ventana de tiempo desde que obtiene el SCT de los logs, hasta que el certificado es incluido en el árbol de Merkle. Este es el tiempo durante el que se posee SCT para validar ante los navegadores y sin embargo el certificado no es público o visible por los monitores. En base a esto y los resultados anteriores, hemos construido un cronograma (Figura 8) con los tiempos aproximados que se manejarían (actualmente) dentro de CT y la posibilidad de que un atacante sea detectado en función de estos tiempos.

Conclusiones

De forma más detallada, los principales problemas encontrados que afectan al funcionamiento del ecosistema, se pueden resumir en los siguientes:

Los tiempos que se manejan en los logs: El tiempo medio desde que un certificado es emitido hasta que es recogido por los logs es demasiado alto. Esto da lugar a que un atacante pueda disponer al menos de ese tiempo para utilizar certificados fraudulentos sin que CT proteja el ecosistema.
La inestabilidad existente en el ciclo de vida de los logs, es a su vez un reflejo de la inestabilidad en CT. Un ejemplo de esto, es que sorprendentemente, durante el desarrollo de este estudio (mayo de 2017), Let’s Encrypt ha creado y puesto en funcionamiento su propio log (aún no incluido por Google en su lista de ‘Known Logs’), para albergar sus certificados y que, llegado ya junio de 2017, cuenta con más de 27 millones de certificados. Esto, muestra la velocidad con la que se producen los acontecimientos en este ecosistema, que aún se está fraguando. De hecho, Let’s Encrypt ha manifestado en múltiples ocasiones sus quejas acerca de que ningún log de Certificate Transparency aceptara sus certificados. Finalmente, Google lanzó el log ICARUS, precisamente con este propósito.
Dentro de la relación CA – LOG, las autoridades certificadoras deberían mostrar una mayor implicación en el ecosistema, siendo las primeras en enviar todos sus certificados emitidos a todos los posibles logs de transparencia.
A pesar de que Google recopila una cantidad enorme de certificados en proporción a los recogidos por la vía "usual" (envío por los usuarios), estos certificados no están siendo tenidos en cuenta por Chrome porque no adjuntan su SCT. Para mejorar esto, el navegador podría revisar en los logs si el certificado se encuentra insertado aunque el host no ofrezca un SCT, lo que implicaría almacenar un registro de certificados subidos por alguno de sus medios o almacenar los propios SCT.

En resumen, Certificate Transparency está en el camino de ser una solución real y efectiva en la seguridad del ecosistema TLS/SSL, aunque a día de hoy demasiado inestable y con muchas preguntas por responder antes de poder exigir su uso obligatorio, lo que plantea la pregunta: ¿Qué ocurrirá a partir de octubre cuando CT sea obligatorio en Chrome?

En cualquier caso, parte del éxito que pueda llegar a representar este mecanismo, estará condicionado al enorme apoyo que supone contar con el impulso de Google, algo que por otro lado, revierte en su propio beneficio, principalmente aumentando la seguridad de su navegador y productos derivados.

El informe completo, aquí:

¿Está Certificate Transparency listo para funcionar como mecanismo real de seguridad? from ElevenPaths

Innovación y laboratorio

www.elevenpaths.com

↧

Qué hemos presentado en Security Day 2017 (V): adiós Path6, hola mASAPP

June 20, 2017, 12:30 am

≫ Next: Movilidad Segura - Alianza estratégica con Check Point

≪ Previous: Nuevo informe: ¿Está Certificate Transparency listo para funcionar como mecanismo real de seguridad?

Hoy en día ya nadie pone en duda la importancia de las aplicaciones móviles dentro de la estrategia de canal de una organización. Los smartphones se han convertido en un apéndice más de nuestro cuerpo. Nos despertamos y nos acostamos con ellos, y las organizaciones lo tienen claro: su marca, en forma de app ha de estar posicionada dentro de esta nueva extensión biotecnológica. Los beneficios son incontables e incluso obvios, ¿pero alguien ha pensado en los posibles downsides?

Aplicaciones descontinuadas olvidadas (pero aún disponibles) en los markets, fugas de información sensible relativas a la infraestructura de la compañía, o vulnerabilidades críticas que dejan nuestros dispositivos (y datos personales) a merced de cualquier usuario malintencionado, son únicamente unos pocos ejemplos de las amenazas que esta nueva tendencia arroja sobre nuestra propia privacidad y seguridad.

A continuación mostramos la presentación de mASAPP durante el Security Day:

Hace unos días presentamos con cierto orgullo el resultado de un ambicioso proyecto de innovación sobre el que hemos estado trabajando durante los últimos meses: mASAPP. ¿Pero qué es exactamente mASAPP? Aunque algunos quizás aún lo recuerden como Path6 (nombre del proyecto en clave sobre el que ya realizamos un pequeño adelanto en el pasado Security Innovation day), mASAPP es la plataforma desarrollada por ElevenPaths destinada a ayudar a aquellas organizaciones que emplean en su día a día los canales móviles como método para conectar más eficientemente con sus clientes y empleados. mASAPP permite descubrir, de manera continua y autónoma, el set completo de aplicaciones móviles pertenecientes a una entidad, identificando además de manera persistente nuevas vulnerabilidades y otros riesgos de seguridad sobre éstas.

A través de mASAPP nuestros clientes podrán obtener de un simple vistazo una foto actualizada de su parque completo de aplicaciones móviles, incluyendo nuevas versiones añadidas en el tiempo, nuevas apps desarrolladas por empresas externas, aplicaciones retiradas en los markets, etc.; así como una visión continua del nivel de seguridad de éstas a través de análisis persistentes en profundidad que facilitan la labor de identificación, seguimiento y corrección de vulnerabilidades presentes y futuras que pudieran surgir en el tiempo sobre sus aplicaciones.

En pocas palabras mASAPP pretende sencillamente hacer la vida más fácil a todas aquellas organizaciones que confían en los canales móviles para ofrecer día tras día un mejor servicio a sus clientes.

Álvaro Rodríguez Ruiz

Global Product Manager

alvaro.rodriguez@global.11paths.com

↧

Movilidad Segura - Alianza estratégica con Check Point

June 21, 2017, 12:35 am

≫ Next: ElevenPaths Talks: A la pesca de las víctimas

≪ Previous: Qué hemos presentado en Security Day 2017 (V): adiós Path6, hola mASAPP

Ahora es el momento para proteger tu ecosistema móvil. Muchas organizaciones comienzan a prestar atención al riesgo de impacto en la productividad y reputación que puede suponer una brecha de seguridad en los dispositivos móviles, producida por los vectores de ataque que explotan el aumento y proliferación de estos dispositivos (smartphones, tabletas…), plenamente usados ya en todas las organizaciones, y cuyo uso se potenciará todavía más con la transformación digital hacía entornos en la nube, convirtiéndose esta clase de dispositivos en el más usado para acceder a ellos.

Según una encuesta⁽¹⁾ realizada recientemente a 500 CIOs y altos ejecutivos de TI de Estados Unidos, Reino Unido, Alemania y Francia, las organizaciones consideran que los empleados de la alta dirección (C-Level), incluido el CEO, corren el mayor riesgo de sufrir una brecha de seguridad en sus dispositivos móviles. Los equipos de TI y Seguridad se enfrentan a un escenario de crecimiento en el número de dispositivos, proveedores y sistemas operativos para gestionar, mientras que los procesos empresariales sobre los dispositivos móviles y el acceso móvil a la información corporativa se vuelven fundamentales para que la empresa tenga éxito.

Los sistemas móviles, las redes a las que se conectan y las aplicaciones que ejecutan pueden explotarse para robar información confidencial, como documentos, citas de calendario, mensajes de correo electrónico, textos y archivos adjuntos. Los ciberdelincuentes pueden usar el micrófono y la cámara de un dispositivo para espiar reuniones a puerta cerrada, y luego enviar las grabaciones a un servidor remoto secreto. Incluso pueden capturar nombres de usuario y contraseñas a medida que los usuarios inician sesión en sistemas corporativos que contienen datos confidenciales. Las redes no seguras, o las redes que utilizan medidas de seguridad defectuosas o antiguas, hacen posible que los criminales husmeen, roben o incluso cambien los datos enviados desde y hacia los dispositivos móviles. Las aplicaciones maliciosas pueden dar a los atacantes acceso prácticamente ilimitado a un dispositivo, sus datos y su red.

Desde 2014 el panorama de las amenazas móviles ha quintuplicado su crecimiento, con más de 2,5 millones de malware móvil conocido hasta la fecha para los dispositivos. Recientemente la empresa de seguridad Check Point acaba de encontrar la mayor campaña de malware para Android, denominado Judy, en más de 41 aplicaciones, creadas por una compañía coreana, publicadas en la Google Play Store, y que lleva ya más 36,5 millones de usuarios afectados por el malware Judy, entre 4,5 y 18,5 millones de descargas.

Este vector móvil de ataque de alto riesgo para las organizaciones impulsa la necesidad y la búsqueda urgente de soluciones de defensa confiables, para proteger los datos de la red y los dispositivos móviles del usuario. Las organizaciones luchan con múltiples herramientas orientadas a satisfacer sus necesidades de movilidad segura.

Soluciones EMM vs soluciones de seguridad móvil

Tal y como indica Gartner⁽²⁾, los CISO y los responsables de seguridad y movilidad de las organizaciones necesitan comprender la diferencia entre la Administración de Movilidad Empresarial (Enterprise Mobility Management – EMM por sus siglas en inglés) y las soluciones propias de seguridad móvil, para integrarlas con una solución EMM y adoptar el enfoque correcto ajustado a la postura de seguridad de su organización. Normalmente en las organizaciones existe el concepto erróneo de que una solución EMM equivale a seguridad móvil; y al mismo tiempo se considera que una solución de seguridad móvil es la contraparte móvil del antivirus para el PC.

Las soluciones de EMM proporcionan la visibilidad y el control que se necesitan para administrar y proteger dispositivos, aplicaciones y contenido en la empresa, pero tienen limitaciones en el sentido de que no pueden detectar las vulnerabilidades y las amenazas de la plataforma y la aplicación, y también tienen una capacidad limitada para detectar por su cuenta las amenazas avanzadas. Las herramientas de seguridad móvil tradicionales, basadas en firmas, tampoco son suficientes para prevenir y detectar las amenazas móviles avanzadas y los nuevos vectores de ataque.

Soluciones de defensa frente a amenazas móviles (MTD)

Anteriormente conocidas como soluciones de prevención de amenazas móviles (Mobile Threat Prevention – MTP por sus siglas en inglés), la mayoría de la industria ha comenzado a referirse a ellas como soluciones de defensa frente a amenazas móviles (Mobile Threat Defense – MTD por sus siglas en inglés), tal y como las ha denominado Gartner, y que ayudan a llenar este vacío, protegiendo a las organizaciones de las amenazas avanzadas en plataformas móviles. Gartner recomienda a las organizaciones priorizar la instalación de soluciones MTD en 2017⁽³⁾. Las soluciones MTD combinan comprobaciones basadas en firmas con detección de anomalías de comportamiento en el dispositivo, la red y la capa de aplicación. Además, se focalizan en la protección individual más que en la monitorización de la organización, asociándose los fabricantes de estas soluciones MTD con las suites EMM, para colaborar con las plataformas de administración de dispositivos móviles (Mobile Device Management – MDM por sus siglas en inglés), para poder actuar en el caso de que sea identificada una amenaza en un dispositivo.

Amenazas móviles avanzadas que superan las capacidades de las soluciones EMM y de seguridad móvil

Los ciberdelincuentes se concentran en tres vectores principales para realizar ataques a dispositivos móviles:

Redes: Los ataques de red permiten a los ciberdelincuentes seleccionar sus objetivos, minimizando el riesgo potencial de descubrimiento y concentrando sus esfuerzos únicamente en el objetivo específico. Los ciberdelincuentes pueden configurar fácilmente un hotspot falso, o secuestrar uno existente;

Aplicaciones móviles: Los ataques basados en aplicaciones móviles maliciosas proporcionan a los ciberdelincuentes las mayores capacidades, lo que les permite comprometer prácticamente cualquier objetivo. Las aplicaciones móviles maliciosas se pueden encontrar en muchos mercados de aplicaciones, tanto oficiales como alternativos. Tanto la App Store de Apple como Google Play han sido ya contaminados con malware. La situación es aún peor en los mercados de aplicaciones de terceros, ya que tienen aún menos control sobre las aplicaciones que alojan;

Dispositivo: Tanto iOS como Android están plagados de vulnerabilidades que se pueden explotar, y los desarrolladores de aplicaciones móviles luchan constantemente por corregirlas. Desde el momento en que se descubre una vulnerabilidad hasta el momento de su parcheo, los cibercriminales pueden usarla para atacar a usuarios indefensos.

Capacidades de las soluciones de defensa frente a amenazas móviles (MTD)

En consecuencia, Gartner indica que "las soluciones MTD proporcionan seguridad en uno o más de estos cuatro niveles”:

Anomalías de comportamiento del dispositivo: las soluciones MTD proporcionan detección de anomalías de comportamiento mediante el seguimiento de patrones de uso esperados y aceptables

Evaluaciones de las vulnerabilidades: las soluciones MTD inspeccionan los dispositivos para detectar fallos en la configuración que conducirán a la ejecución de programas maliciosos;

Seguridad de red: las soluciones MTD supervisan el tráfico de red y desactivan las conexiones sospechosas desde y hacia dispositivos móviles;

Exploraciones de aplicaciones: las soluciones de MTD identifican aplicaciones "con fugas" (es decir, aplicaciones que pueden poner en riesgo los datos de la organización) y aplicaciones maliciosas, a través del análisis de la reputación y el análisis de código.

La sinergia entre las soluciones EMM y MTD es lo que va a permitir la mitigación del riesgo basándose en información en tiempo real y en el intercambio de inteligencia. La solución EMM de tu organización actuaría de esta forma como un punto de orquestación para aplicar las políticas sobre los dispositivos, en combinación con la inteligencia y detección que proporcionan las soluciones MTD.

Movilidad Segura de ElevenPaths, la unidad de ciberseguridad de Telefónica

Las soluciones parciales o silos son claramente insuficientes para gestionar la seguridad en estos complejos entornos móviles. Sólo una solución altamente integrada como la Movilidad Segura de ElevenPaths, la unidad de ciberseguridad de Telefónica, puede ofrecer una respuesta precisa y una gestión eficaz de la movilidad y seguridad móvil en su organización, resultando además ser una ayuda importante de cualquier programa razonable de cumplimiento de la nueva normativa de datos de carácter personal (RGPD). Nuestra solución de Movilidad Segura incluye las siguientes funcionalidades avanzadas:

Las plataformas líderes (EMM/MDM) para la administración de dispositivos móviles, de AirWatch, MobileIron, y IBM MaaS360, que proporcionan control y visibilidad sobre los dispositivos de tu organización, y permiten la aplicación de políticas, permitiendo además establecer un límite claro entre los datos personales y corporativos en el dispositivo, algo fundamental para la minimización de datos, así como para salvaguardar el principio de integridad y confidencialidad de la nueva RGPD.

Las soluciones punteras para la defensa frente a amenazas móviles (MTD):

SandBlast Mobile de Check Point: es una solución MTD integrada con todas las soluciones líderes EMM/MDM del mercado, lo que permite que la prevención de amenazas móviles realice ajustes de política en tiempo real basados en el riesgo en dispositivos comprometidos. Además, protege y bloquea las amenazas móviles más sofisticadas en la red, en el dispositivo y en las aplicaciones, ofreciendo además la mayor tasa de detección y bloqueo de amenazas conocidas y desconocidas en iOS y Android, fundamental también para prevenir las brechas de seguridad en conformidad con RGPD:

En marzo de este año Google, en su informe anual de Seguridad de Android 2016⁽⁴⁾, reconoció que el 70% del malware citado por Google en el informe fue descubierto y traído a la atención del público por los investigadores de seguridad móvil de Check Point.

El pasado mes de abril SandBlast Mobile recibió el premio de certificación de seguridad de Miercom⁽⁵⁾, que destaca entre otras cosas: su capacidad para detectar y bloquear el 100% de las aplicaciones maliciosas y los ataques de red; su protección contra ataques de red un 33% superior al promedio de la industria; su detección de un 20% más de vulnerabilidades de dispositivos An e iOS que la solución media; y su mitigación de todas las vulnerabilidades de los dispositivos, independientemente del sistema operativo.

Partner Estratégico de ElevenPaths

soluciones líderes según el estado

Partner Tecnológico de Movilidad de Check Point

sobre el malware HummingBad

el auge de los troyanos bancarios para Android

Tacyt: es la innovadora herramienta de ciberinteligencia de amenazas móviles desarrollada en ElevenPaths, la unidad de ciberseguridad de Telefónica, que ofrece a profesionales y expertos en seguridad, tecnología de big data para investigar entornos de aplicaciones móviles. Como solución MTD, Tacyt presenta una gama completa de funciones destinadas a mejorar el análisis y el proceso de investigación, para proponer una solución ante cualquier acción fraudulenta en la que haya podido utilizarse un componente móvil. Tacyt está integrada con SandBlast Mobile, complementándola Tacyt a la perfección sumándole inteligencia y capacidades superiores de investigación. El pasado 31 de mayo en nuestro Security Day 2017, presentamos nuestra alianza estratégica con Check Point, y la integración conjunta de ambas soluciones.

La gestión total de estas soluciones EMM/MDM/MTD integradas, por nuestros equipos de seguridad de Telefónica, entregando al cliente un servicio gestionado extremo a extremo, facilitando la definición e implementación de las políticas de seguridad que requiere su organización con total abstracción de la tecnología subyacente y asegurando la aplicación de las mejores prácticas de seguridad de aplicación en el ámbito de movilidad segura. El cliente gana de esta forma pleno control y visibilidad del estado de la seguridad sobre sus dispositivos móviles sin necesidad de invertir en recursos o formación técnica adicional.

Gracias a esta suite de Movilidad Segura, las organizaciones disponen de un punto único desde el que acceder a los servicios de movilidad corporativa: conectividad, control de gasto, procesos de movilización y productividad, gestión remota de dispositivos y, por supuesto, la más puntera seguridad móvil avanzada. Podemos proporcionar diferentes aproximaciones a la Movilidad Segura, adaptándonos a las necesidades del cliente. No dejes de preguntar a tu Gestor Comercial por las distintas posibilidades que ofrecemos, pensadas para todo tipo de organizaciones y necesidades.

Además, nuestra solución de Movilidad Segura puede completarse con nuestra solución para Riesgos del canal móvil, que ofrece a las organizaciones una visión global sobre el estado de seguridad de sus aplicaciones móviles corporativas. No esperes más, ahora es el momento para comenzar tu estrategia de Movilidad Segura.

Pablo Alarcón Padellano

Responsable Alianzas Estratégicas

pablo.alarconpadellano@telefonica.com

1 - iPass Mobile Security Report 2017, Abril 2017
2 - Gartner, When and How to Go Beyond EMM to Ensure Secure Enterprise Mobility, August 2016
3 - Gartner, Predicts 2017: Endpoint and Mobile Security, 16 November 2016
4 - Google, Android Security 2016 report, March 2017
5 - Miercom Industry Assessment 2017: Mobile Threat Defense (MTD), Abril 2017

↧

ElevenPaths Talks: A la pesca de las víctimas

June 22, 2017, 12:39 am

≫ Next: Path6 ya tiene nombre. Hola mASAPP

≪ Previous: Movilidad Segura - Alianza estratégica con Check Point

Infórmate en detalle

Hoy en día el principal vector de ataque de los ciberdelincuentes sigue siendo (y cada vez más) el factor humano, el eslabón más débil de la seguridad. En este webinar hablaremos sobre la Ingeniería Social y en particular sobre el Phishing, ¿qué es?, ¿cuáles son las principales técnicas?, ¿cuál es el estado del arte y cómo protegerse?

Para entrar en contexto, algunas estadísticas recientes:

El 80% de los ataques se deben a errores humanos y no temas tecnológicos (principal patrón de incidente según el DBIR 2016).
El 90% del correo es Spam o virus.
El 77% de los ataques de Ingeniería Social son Phishing.
El 88% de las personas hizo click en un email de Phishing, demostrando que a pesar de antiguo, sigue siendo una técnica muy rentable.

Además de todo esto, también haremos una evolución de las técinas Phishing, Smishing, Vishing, Spear Phishing, SAPPO, PunyCodes, etc.

Recuerda, hoy a las 15.30h (CET) tienes una cita con nuestros CSAs Gabriel Bergel y Arsene Laurent en nuestro canal de YouTube.

Pásate por la Comunidad de ElevenPaths antes o después de la sesión, podrás debatir con nuestros expertos CSAs.

Más información en:
talks.elevenpaths.com

↧

Path6 ya tiene nombre. Hola mASAPP

June 23, 2017, 12:43 am

≫ Next: ElevenPaths participa en los retos científicos de las JNIC 2017: Buscamos equipos de investigación

≪ Previous: ElevenPaths Talks: A la pesca de las víctimas

Quedan lejos los tiempos en los que las apps eran un terreno acotado específicamente a las promociones y juegos, pequeños divertimentos sin ninguna pretensión. Hoy en día las aplicaciones móviles conforman una pieza clave dentro del tejido empresarial, dotando a las organizaciones de un valor diferencial dentro de su estrategia de canal para la adquisición, retención y relación con sus clientes.

En ElevenPaths hemos sido conscientes de esta tendencia desde bien atrás, razón por la cual desarrollamos hace ya más de tres años Tacyt, nuestra plataforma de ciberinteligencia para ecosistemas móviles que pretendía ayudar a nuestros clientes en sus investigaciones sobre aplicaciones sospechosas dirigidas contra sus organizaciones.

Y precisamente apoyados en Tacyt, descubrimos que los problemas en el mundo móvil no venían derivados únicamente de apps de terceros maliciosas dirigidas a impactar sobre el negocio del cliente. Desde el equipo de investigación de ElevenPaths comenzamos a investigar nuestras aplicaciones oficiales, y propusimos a nuestros clientes analizar las suyas propias, en búsqueda de vulnerabilidades y otros errores de seguridad que pudieran representar un riesgo para sus usuarios o la propia organización. Y vaya si los descubrimos:

Aplicaciones olvidadas por la organización con hasta cuatro años de antigüedad, fugas de información sensible que revelaban datos muy “aprovechables” sobre la infraestructura de la compañía, servicios internos empleados por la organización incluyendo en claro usuarios, contraseñas, tokens y otros parámetros de autenticación; vulnerabilidades críticas que permitían a otras aplicaciones de terceros instaladas en el dispositivo del cliente acceder e interactuar de una forma no deseada sobre los datos privados del usuario, y un sinfín de indeseables problemas de seguridad.

Por esta razón, un día cualquiera, allá por el mes de junio de 2016, surgió la idea de construir una tecnología que permitiera automatizar estas tareas de descubrimiento y análisis realizadas hasta el momento por nuestro equipo de analistas de ElevenPaths.

De esta forma pretendíamos proporcionar a nuestros clientes una solución que les ofreciera una visión completa y actualizada de los riesgos en su canal móvil. ¿Cómo? A través de una plataforma autónoma capaz de descubrir de manera ininterrumpida y automática cualquier aplicación correspondiente a su dominio, para posteriormente analizar éstas en profundidad de forma persistente en búsqueda de cualquier riesgo de seguridad que pudiera representar una amenaza para la integridad de sus clientes, empleados o incluso sobre la propia organización.

Y de esta forma llegó mASAPP, la herramienta de descubrimiento y análisis continuo de apps móviles.

Desde su presentación, los clientes y empresas que han realizado algún piloto, suelen coincidir respecto a la tremenda simplicidad e intuitivo planteamiento que ofrece la herramienta. A través de su potente motor de autodescubrimiento, los clientes son capaces de descubrir, a partir de una única aplicación semilla, cientos de aplicaciones pertenecientes a su dominio, la mayoría desconocidas para la propia compañía. Otro aspecto que destacan es la facilidad para gestionar el ciclo de vida de las vulnerabilidades identificadas en sus aplicaciones; la plataforma permite identificar riesgos de seguridad presentes o futuras que pudieran surgir en el tiempo, facilitando a las empresas su seguimiento y corrección.

Aprovechando nuestra base de datos propietaria de más de 8 millones de aplicaciones provenientes de los principales markets oficiales y no oficiales, quisimos averiguar el estado de salud general del ecosistema móvil actual, y descubrimos algunos hallazgos realmente interesantes. Entre otras cosas observamos que más de 5,5 millones de aplicaciones móviles poseían algún tipo de vulnerabilidad, y sobre éstas, más de 510 mil apps estaban afectadas por vulnerabilidades muy críticas que ponían en riegos la seguridad y privacidad de sus usuarios, así como de la propia organización.

Estamos sinceramente convencidos de que mASAPP ayuda a mejorar la seguridad móvil y que además cubre un hueco al que a las soluciones actuales les costaba llegar. En pocas palabras podríamos decir que esta nueva herramienta pretende hacer la vida más fácil a todas aquellas organizaciones que confían día tras día en los canales móviles para acceder más eficientemente a sus clientes y empleados.

Aquí os dejamos el vídeo de presentación de nuestra herramienta:

Álvaro Rodríguez Ruiz

Global Product Manager

alvaro.rodriguez@global.11paths.com

↧