Quantcast
Channel: ElevenPaths Blog
Viewing all 1287 articles
Browse latest View live

“Play Protect”, el “antivirus” de Google para Android es el peor. Pero puede que así deba ser por ahora

October 30, 2017, 7:15 am
$
0
0
AV-Test, el test de antivirus más "objetivo" conocido para comparar el rendimiento de los "tecnologías anteriormente conocidas como antivirus", ha incorporado a "Play Protect" por primera vez en la lista de sistemas de protección para Android. Y ha resultado que es el peor, de lejos. El chiste fácil y los titulares están servidos... O no.

Google, en el medio, es la que peor rinde en protección. Solo está a la altura en usabilidad.


Como se puede ver en los resultados, el rendimiento está muy lejos de la media. Un resultado muy embarazoso. Pero, ¿qué es Play Protect y cuál es su historia? ¿Se es totalmente honesto si nos fijamos solo en el porcentaje de detección? Quizás con algo más de contexto se entienda.

Muy por debajo de la media
Partamos de la base de que las comparativas de este tipo, en concreto de av-test.org, aunque rigurosas y muy valiosas, no son siempre justas al 100%. Ni nunca lo serán. En la industria lo saben, pero nadie aporta una fórmula estándar en la que todo el mundo quede satisfecho así que es lo mejor de lo que disponemos. Podríamos discutir si las 5000 muestras usadas para el test son suficientes. O si el conjunto de malware de "referencia" (que se supone debe ser detectado por todos al 100%) está bien escogido, o si el conjunto de "real world" que av-test.org considera como válido es el mismo mundo en el que vive Google o cualquier usuario. O por qué valorar el acceso a URLs con Play Protect cuando es una funcionalidad de la que carece. O por qué en el mundo Windows, casi todos alcanzan en av-test por igual el 99% de protección cuando en la vida real esto está lejos de ser cierto... Pero sería otra discusión. 

Qué es Play Protect
 
Es la evolución de "Verify Apps". Esta tecnología lleva funcionando desde más de 5 años en Android, con relativamente poca visibilidad. Se trata de un "proto antivirus" que detenía las instalaciones que eran consideradas sospechosas por Google. Pero Google no es una compañía antivirus. Si ahora Play Protect gana visibilidad (ya aparece públicamente en cada descarga desde el Store) es porque los atacantes se están cebando con Android y por más que se esfuerza en limpiar su imagen, no lo consigue. Renombrar y dar brillo a Verify Apps entendemos que pretende calmar los ánimos. 

Así bloqueaba antes Verify Apps las apps maliciosas
 ¿Es tan malo?

"Proto antivirus" significa que Play Protect elimina lo que Google considera malicioso y normalmente llega a Google Play. Aquí está el gran truco por el que, más que posiblemente, su rendimiento en cuanto a detección no pueda ser comparado siquiera con cualquier otro antivirus. En ElevenPaths hemos analizado a fondo este asunto en numerosasentradas y estudios. Simple y llanamente, lo que es malware para la mayoría, no lo es para Google. En concreto, Google ni siquiera utiliza la palabra malware sino PHA (Potentially Harmful Applications). Y con respecto al adware, su relación es muy diferente. Existen numerosas familias que cualquier motor detecta como adware, spyware o troyano mientras que Google la deja pasar sin problemas. Porque Google es una empresa que vive en buena parte de la publicidad, y su listón está a una altura muy diferente con respecto a lo que se puede considerar tolerable. Los atacantes han encontrado un nicho de mercado importante en Google Play, que sigue siendo "desprendido" en su carrera para ganar mercado de apps y no quiere ninguna fricción con los desarrolladores (les pone pocas pegas para subir apps). Existe todo un negocio en el que los difusores de adware crean cuentas a diario, lo que supone una inversión de 20 euros cada una. Las apps (y las cuentas) son retiradas entre 48 horas y una semana después de ser subidas. Dependiendo de su sutileza, a veces permanecen más tiempo. Cada instalación o clic posterior suelen ganar unos céntimos. Cuando más agresiva la publicidad, más le pagan por cada instalación. Recuperan la inversión en pocos días, con cierta facilidad, cientos o pocos miles de instalaciones. Y vuelven a empezar...

Esta puede ser una de las razones. Pero hay más. Play Protect es un producto más complejo de lo que pueda parecer. De hecho, de su informe de final de 2016, se advierten datos que no se publican normalmente, y que pasamos a resumir algunos de los más curiosos.
  • Play Protect no solo analiza las apps de Google Play sino que en el cliente realiza un análisis del sistema cada 6 días como mínimo. Si el dispositivo está considerado como peligroso, será más frecuente. Desde abril de 2016, si se bloquea o Play Protect deja de funcionar, el dispositivo se convierte en un DOI (Dead or Insecure). Esta tecnología aporta a Google una visión muy interesante. A través de sus APIs (como SafetyNet) pueden llegar a ordenar análisis más profundo en el sistema si se detecta algo muy sospechoso, buscando apps similares. ¿Cómo no disponer de una visión privilegiada del malware con esta base de dispositivos? La apuesta es que la realidad es diferente a los conjuntos usados en los test de av-test y la deformación profesional nos lleva a pensar que lo que procesa Play Protect está más cerca de realidad. Y eso es un punto positivo para Play Protect puesto que, si bien no cubre todo el espectro, es posible que cubra una parte muy oscura que el resto de la industria ni siquiera esté viendo. 
  • El 37% de las veces que una app intenta instalar otra, la descargada es considerada PHA (malware en la terminología Google). Desde septiembre de 2016 (cuando aún era Verify Apps) se bloquea por defecto toda instalación de app considerada PHA.
  • En 2016, solo el 0.02% de las instalaciones descargadas de Google Play fueron falsos negativos, o sea, no detectadas por Play Protect. Para instalaciones de fuera de Google Play, los números que se les escapan son mayores. La media es 2.6% en los primeros 90 días (primero el malware se cuela, y luego dentro de los tres primeros meses, se reconoce que era malware). 0.02% no es una mala tasa, pero en realidad deberían tener un bloqueo más estricto dentro de su propio Store. Fuera de Google Play, la tasa de falso negativo es normal, incluso alta.
  • Parece que, con algunas excepciones, la salud general de Google Play ha aumentado año tras año. Sin embargo, en el mismo informe del año pasado afirmaban (sin titulares) que las aplicaciones de fraude vía SMS habían aumentado un 282% y el fraude "de peaje" (toll fraud) en un 592% durante 2016. Lo que significa, respectivamente, 5 y 2 veces más fraude de SMS y aplicaciones de fraude de peaje en el market oficial. El fraude de peaje corresponde a cualquier otro medio (diferente de los SMS o llamadas premium) a través del cual un atacante podría estafar al usuario (tráfico WAP, etc.). 
  • La tasa de instalación de PHAs (equipos con malware) en España ha pasado del 15.04% en 2015 al 7.73% in 2016.

Estos son datos extraídos del informe de seguridad Android del año pasado. En la Virus Bulletin de 2017, celebrada en octubre en Madrid, Google presentó lo bueno que era Google contra el malware, y Play Protect en particular. Cifras muy elocuentes pero presentando solo la cara amable del informe del año pasado, con datos más actualizados. También presentaron algunos retos interesantes que se plantean para el año que viene.

Interesantes reflexiones finales en la Virus Bulletin por parte de Jason Woloz, responsable de Play Protect
 ¿Es tan bueno?

En su defensa también (además de su visión del "malware real") hay que decir que sin duda, Play Protect puede ser el que más rápido prevenga ciertas detecciones. Cuando ocurre algún problema grave en Google Play, los fabricantes alertan a Google y además de retirar las apps peligrosas, despliegan firmas rápidamente. Pero no podemos dejar de tener ese regusto amargo. Se agradece la protección pero... les queda muchísimo trabajo por hacer. A veces nos preguntamos si están por la labor totalmente. Google sigue siendo un coladero de phishing, malware y adware (aunque esto como hemos dicho, es tolerado). Si hace años teníamos ejemplos cada semana de malware muy agresivo en Google Play, hace unos meses era el momento de los troyanos bancarios. Y aun hoy, 5 años después casi, seguimos viendo ejemplos de malware en Google Play. Incluso utilizando iconos muy parecidos entre aplicaciones. Aun a pesar de que patentó en 2014 un sistema para evitar el plagio entre apps.

Esto era una búsqueda típica de 2014 en Google Play.
Las marcadas en rojo eran apps falsas haciéndose pasar por las reales y contenían adware o malware


Conclusiones

Android tiene un serio problema con el malware, es necesario y justo admitirlo. El hecho de que ciertos fabricantes hayan llegado a acuerdos con sistemas antivirus como Avast, para incrustar de serie en su distribución el antivirus, da que pensar. Normaliza la situación.Esto no es malo, sino un hecho. Lo malo es no combatirlo adecuadamente o usar la alfombra de los PHA para esconder el polvo del malware, y las listas comparativas para la mofa en vez de para mejorar la situación.

Por ejemplo, Avast se integra con viertas versiones de Android 7 sin problema


Las comparaciones son odiosas. Pero además del av-test no podemos más que recordar que Play Protect nos recuerda mucho al "Defender" de Windows, incrustado en el sistema operativo desde 2008, aunque con versión "básica" (proto-antivirus) desde hace mucho más... (en forma de MSTF, Microsoft Software Removal Tool) con la que consiguieron una visibilidad imposible para otros antivirus, y que hace que hoy Defender sea muy eficaz para cierto tipo de amenazas. El antimalware de Windows hace su trabajo lo mejor posible, pero compararlo con otras soluciones antivirus no parece justo. No por calidad, sino por jugar en otras ligas. Cuando Windows decidió introducir tecnología antivirus en tiempo real de serie en sus sistemas operativos hubo cierta polémica. Pero la industria antivirus no acabó ahí. Microsoft se mantuvo como motor de respaldo, dejando hacer al resto de empresas dedicadas al 100% a la protección. El estatus quo se ha mantenido, y Defender (o Essentials, puesto que ha cambiado de nombre según el sistema operativo...) tiene su hueco en el mercado, donde conviven sin que se dude en exceso de su eficacia. Y a eso debe aspirar Play Protect.¿Que sus números, aun así, deberían mejorar? Sin duda. ¿Que es necesario combinarlo con otro tipo de protección? También.

Sergio de los Santos
Innovación y Laboratorio
ssantos@11paths.com
Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths
Search

#CyberSecurityPulse: Última actualización sobre Bad Rabbit

October 31, 2017, 7:22 am
$
0
0

El pasado 24 de octubre las infecciones sobre un ransomware llamado Bad Rabbit comenzaron a extenderse. En menos de un día, había comprometido organizaciones, principalmente en Rusia, Ucrania, Turquía, Bulgaria y los Estados Unidos.

El dropper del ransomware fue distribuido mediante un ataque drive-by-download. Es decir, mientras el objetivo visitaba un sitio web legítimo, la víctima se estaría descargando el dropper desde la infraestructura manejada por el threat actor. De esta manera, no se utilizaron exploits, por lo que la víctima tuvieron que ejecutar de forma manual el dropper, que pretendía ser un instalador de Adobe Flash.

Sin embargo, Bad Rabbit también utilizaba el exploit EternalRomance como un vector de infección para propagarse dentro de las redes corporativas. El mismo exploit fue utilizado en ExPetr. En este caso, fue un ataque dirigido contra redes corporativas, utilizando métodos similares a los utilizados durante el ataque de ExPetr. El análisis del código ha mostrado una notable similitud entre los binarios de ExPetr y de Bad Rabbit.

Según los últimos descubrimientos de Kaspersky Lab, al analizar la muestra, parece que los criminales que se encuentran detrás de este malware eran seguidores de la serie de televisión Game of Thrones, ya que algunas de las cadenas utilizadas en el código son nombres de diferentes personajes de esta serie. Pero, por otro lado, también descubrieron que los archivos cifrados por Bad Rabbit se podían recuperar con los siguientes procedimientos específicos: "Hemos descubierto que Bad Rabbit no elimina las instantáneas después de cifrar los archivos de la víctima. Esto significa que si las instantáneas se habilitaron antes de la infección y si el cifrado completo del disco no se produjo por alguna razón, entonces la víctima puede restaurar las versiones originales de los archivos cifrados por medio del mecanismo estándar de Windows o utilidades de terceros".

» Más información en Securelist

Noticias destacadas

El regulador de privacidad holandés afirma que Windows 10 infringe la ley



La falta de información sobre cómo utiliza Microsoft los datos que recopila Windows 10 impide que los consumidores den un consentimiento informado al uso de los datos afirma la autoridad holandesa de protección de datos (DPA). Para cumplir con la ley, la DPA establece que Microsoft debe tener más claro qué datos se recopilan y cómo se procesan estos, además de no respetar las configuraciones previas elegidas por el usuario.


» Más información en Arstechnica
 

El CSE de Canadá pública herramientas para la lucha contra el malware



El organismo dedicado en Canadá a la protección comunicaciones seguras hace publicas herramientas con el objetivo de ayudar a compañías y organizaciones a defender sus equipos y redes. Assemblyline es una herramienta open source para el análisis de malware que, según CSE, se usa para proteger la extensa infraestructura del gobierno canadiense todos los días.


» Más información en Bitbucket
 

Noticias del resto de la semana

Microsoft publica la herramienta open source Sonar


Microsoft anunció la liberación de Sonar, una herramienta de código abierto para el escaneo de sitios web desarrollada por el equipo de Microsoft Edge. Sonar es una herramienta de que analiza el código para una amplia gama de problemas, incluidos los relacionados con errores de codificación, rendimiento, accesibilidad, seguridad, aplicaciones web progresivas (PVA) e interoperabilidad.

» Más información en Github
 

Un key-gen de Microsoft Office pudo facilitar el robo de los exploits de la NSA


Kaspersky Lab ha publicado un informe donde explica cómo se podrían haber robado fácilmente el software del PC con Windows de empleados de la NSA. Según los registros de telemetría recopilados por la compañía de origen ruso, un miembro temporal desconectó la protección antivirus del equipo e infectó su equipo personal con un spyware al intentar usar una copia pirateada del software ofimático de Microsoft.

» Más información en Kaspersky
 

APT28 estaría intentando explotar una vulnerabilidad de Flash no parcheada


La vulnerabilidad CVE-2017-11292 de Adobe Flash permite explotar un fallo que puede llevar a la ejecución de código en sistemas Windows, Mac, Linux y Chrome OS. Como resultado, los atacantes se están moviendo rápidamente para explotarlo mientras los investigadores de Proofpoint ya han atribuido a APT28 una campaña diseñada para propagar malware utilizando dicha vulnerabilidad.

» Más información en Proof of Point


Otras noticias

Premios de 1000 dólares por encontrar fallos en apps de Google Play


» Más información en Hackerone
 

La estrategia de reclutamiento del FBI Centrada en la escuela secundaria


» Más información en Cyberscoop
 

El ataque DUHK permite recuperar claves de cifrado utilizadas en VPN y sesiones web


» Más información en The Hacker News


Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths

Qué hemos presentado en el Security Innovation Day 2017 (III): Partnership: Delivery Mode!

November 3, 2017, 1:45 am
$
0
0
Los festivales de música nos permiten ver desfilar por un mismo escenario a lo mejor del panorama musical nacional e internacional. Detrás de esta maravillosa experiencia está el trabajo de los promotores que se encargan de su organización y promoción. Un trabajo duro que implica coordinar a muchos grupos y profesionales para que todo salga perfecto, pero que merece la pena si el resultado finalmente os gusta.

En ElevenPaths nos sentimos como esos promotores, colaborando con nuestros partners para combinar sus productos con nuestras tecnologías con el fin de construir servicios y soluciones que den respuesta a las problemáticas más comunes de nuestros clientes.

Durante la presentación en el Security Innovation Day, escogimos a un reducido grupo de partners para que presentasen una muestra de la innovación que estamos realizando con ellos.

Investigar incidentes de seguridad con Security Monitoring

El 70% de las pequeñas y medianas empresas son objetivo de los ciberataques por sus datos o para acceder a empresas más grandes.

Security Monitoring es nuestra solución para el control de la actividad de seguridad de una empresa orientada a las PYMES con tecnología cloud que ofrece de forma automática una prevención y detección de posibles incidentes de seguridad con alertas e informes sencillos.

Security Monitoring, solución presentada en colaboración con EnimaSec

Esta solución recopila, de manera automática y por medio de agentes, todos los eventos que se producen en nuestra red y los analiza para detectar riesgos para la empresa. La información recopilada es procesada de diferentes modos para tratar de detectar intentos de intrusión y complejos ataques mediante el empleo de diferentes técnicas como reglas, machine learning, human behavior analytics o sistemas patentados de detección de virus de macro.

EnigmaSec, partner especializado en pentesting y respuesta a incidentes, ha colaborado con ElevenPaths para añadir a la solución Security Monitoring, la posibilidad de crear complejas reglas de indicadores de compromiso (IOC) y recolectar evidencias clave para detectar e investigar incidentes durante y después de que se produzca un ataque.

Este aporte mutuo nos permite mejorar la primera respuesta, clave para dotar a la PYME con una herramienta que les permita afrontar incidentes de seguridad con mayores garantías.

Firma del acuerdo de colaboración con OPSWAT

Anunciamos el acuerdo de colaboración con la empresa OPSWAT, una compañía con sede en San Francisco, California, que dispone de una avanzada plataforma de prevención de amenazas denominada MetaDefender.

Esta plataforma proporciona en un solo sistema, desinfección de datos (CDR, por sus siglas en inglés), evaluación de vulnerabilidades, análisis mediante múltiples motores antimalware, heurística y tecnologías de protección contra amenazas adicionales

El acuerdo suscrito incluye la posibilidad de compartir muestras de Tacyt que serán analizadas por dicha plataforma para obtener un scoring mediante un análisis y consulta a diversos motores de antimalware e incorporar dicha información a la base de datos de Tacyt.

Custodia de Claves y firma electrónica segura en la nube

El uso de hardware criptográfico seguro o HSM (Hardware Secure Module) proporciona un mecanismo adecuado para la custodia y protección de claves, aunque su coste y complejidad de instalación y configuración dificulta su adopción. Por ese motivo surgen soluciones as a service como Azure Key Vault, que ofrece la posibilidad de usar los HSMs como un servicio más dentro de la nube pública.

Colaboración entre Microsoft, ElevenPaths y Gradiant

Luis Freire, CEO de Gradiant, expuso la problemática del uso de dispositivos HSM en la empresa y cómo se ha desarrollado el conector BlackICE Connect, basado en el estándar PKCS#11, que permite integrar el servicio de Azure Key Vault como un proveedor criptográfico en SealSign, de tal forma que se habilita la posibilidad de realizar firmas de documentos en aplicaciones y la custodia de certificados digitales de forma segura haciendo uso del servicio de Azure Key Vault.

Acceso seguro a redes Wifi públicas mediante Mobile Connect

Cuántas veces hemos llegado a un hotel, cafetería u otra empresa y hemos pedido la 'clave de la Wifi' para poder conectarnos a la red, especialmente cuando estamos fuera de viaje. Debería existir un método más fácil para identificarnos sin depender de terceros y que nos identifique inequívocamente.

Pablo San Emeterio, CSA (Chief Secuirty Ambassador) de ElevenPaths, realizó una interesante demostración de la integración realizada con los Access Point de Fortinet que permite usar Mobile Connect como un método sencillo y seguro de autenticación para conectarnos a redes Wifi públicas.

La integración realizada por nuestro partner OpenCloudFactory proporciona un módulo que permite combinar la seguridad proporcionada por los dispositivos de Fortinet que permiten usar Mobile Connect para la conexión de usuarios a redes Wifi públicas con mayor seguridad y sin tantas complicaciones.

Arquitectura de la solución Mobile Connect

Esta solución está orientada a todo tipo de empresas que necesitan disponer de redes Wifi públicas para sus clientes o visitantes permitiendo facilitar la conexión y al mismo tiempo reducir los riesgos asociados a este tipo de redes y su uso.

Innovación en la seguridad de la red

Internet se creó hace ya más de 40 años, principalmente para interconectar centros de I+D, universidades y laboratorios sobre líneas de baja calidad. El resultado fue un protocolo robusto que garantiza la entrega de mensajes en condiciones cambiantes, con una excelente conectividad y fácil de usar. Sin embargo, dado que los miembros de aquella red original eran conocidos y respetables, la seguridad y privacidad no se tuvieron en cuenta a la hora de diseñar los protocolos.

La tendencia actual a las redes virtualizadas o definidas por software (SDN) permite importantes ahorros de costes mediante la posibilidad de reutilizar el hardware existente y la simplificación de la configuración y gestión de las redes.

SDN posibilita a las organizaciones la capacidad de desplegar aplicaciones, servicios e infraestructuras rápidamente para alcanzar los objetivos en el menor tiempo posible y permite crear nuevos tipos de aplicaciones y modelos de negocio por parte de las empresas, que las beneficia y aumenta el valor de sus redes.

Jaume Ayerbe, CEO de la empresa _Cyel nos presentó su solución Equilibrium, una red SDN que puede implementarse sobre cualquier red física existente y compatible con cualquier infraestructura de red que no requiere del despliegue de agentes.

Equilibrium proporciona un algoritmo de enrutamiento aleatorio no determinístico (similar a una red TOR pero privada) con cifrado transparente, extremo a extremo con contraseñas de un solo uso e IP diferentes por cada transacción con autenticación, autorización y accounting.

El sistema _cyel que proporciona una seguridad demostrable, está formado por la combinación de ideas reconocidas e innovación. Su protocolo ha sido publicado ante la IACR (International Association for Cryptologic Research) como primer paso para conformar un nuevo estándar abierto.

Colaboración con otras Telcos

Hace tres años decidimos convertirnos en player mundial de seguridad. Por ello, comenzamos a establecer relaciones de partnerships con otras telcos del mundo, de forma que pudieran disponer de nuestros productos y servicios no sólo para ellos sino para ofrecerlo a sus clientes. En estas colaboraciones llevamos a cabo desde consultorías, hasta la customización de nuestros portales con el look and feel de nuestro partner para la reventa de nuestros servicios.


Para más detalles, recuerda que puedes visualizar el vídeo de la ponencia Partnerships: Delivery Mode! aquí:





Isabel Lopez Baeza-Rojano
Departamento de Go To Market de ElevenPaths

Rames Sarwat
Head of Strategic Alliances and Partnerships de ElevenPaths

También te puede interesar:
Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths

Atacando los cajeros automáticos desde la red interna del banco

November 3, 2017, 2:49 am
$
0
0
Todos hemos oído hablar de los típicos ataques contra cajeros de banco utilizando elementos, llamémosles ‘físicos’, para simular teclados, lectores de tarjetas o incluso colocando cámaras para poder registrar el número pin del usuario de la tarjeta. Todos estos ataques se basan fundamentalmente en tener acceso presencial al cajero que se pretende atacar. En los últimos meses, la forma de ataque ha variado hacia conseguir un acceso a la red interna de la oficina del banco y de esa forma tomar el control del cajero (o de los cajeros) desde dentro de la red.

Ataque físico instalando teclado y lector de tarjetas falsos. Fuente.

Muchos bancos aún utilizan ordenadores PC con Windows XP como sistema operativo en sus cajeros automáticos, lo cual es ya de por sí un enorme problema de seguridad debido a la discontinuidad del mismo por parte de Microsoft. Por otro lado, las transacciones y operaciones las gestiona XFS (Extensions of Financial Services), un estándar con arquitectura cliente-servidor el cual provee una API para permitir acceder y administrar los cajeros (y sus periféricos, como por ejemplo el dispositivo encargado de entregar el dinero). XFS de base, no se centra demasiado y deja en manos de cada desarrollador el nivel de seguridad que quiera aplicar a su capa de comunicación con la aplicación principal del cajero. Aquí podemos encontrar toda la información sobre XFS versión 3.20.

El malwareBackdoor.Win32.Skimer, que apareció en 2009, infectaba el núcleo central del cajero tomando el control total del mismo habilitando además toda una serie de comandos los cuales se podían activar desde el teclado numérico accesible desde el exterior del banco. Para acceder a este ‘panel de control’ del malware, una vez infectado el cajero, el atacante sólo tenía que introducir una tarjeta especial en la banda magnética, utilizar un pin y luego ejecutar uno de los 21 comandos de los que disponía como, por ejemplo, sacar dinero, imprimir datos de las tarjetas por la impresora de recibos o incluso autodestruirse si fuera necesario. Además, permitía guardar la información (pin, número completo, etc.) de las tarjetas registradas en el cajero dentro la misma tarjeta utilizada para acceder al menú del malware

Vectores de infección en la red del banco y proceso de obtención de acceso al cajero, con la opción de infección por pendrive USB añadida. Fuente.

Skimer era un malware bastante efectivo, siempre y cuando se pudiera infectar el sistema, habitualmente consiguiendo un acceso físico al cajero para poder infectarlo. Normalmente los cajeros automáticos no están conectados directamente a la red local del banco y mucho menos a Internet. La conexión con la red del banco se suele realizar a través de VPNs internas. La forma más rápida de acceder a un cajero es conseguir llegar a un puerto USB o al CDROM, aunque no se trata de una tarea sencilla, tampoco es imposible. Es por esta complejidad de acceso físico por lo que últimamente los ataques tienen como objetivo acceder a la red interna del banco y desde allí ejecutar el malware el cual infectará a todos los cajeros posibles dentro de la misma. Las formas de infectar internamente la red del banco pueden ser: desde enviar el malware utilizando phishing clásico enviado a los diferentes empleados a copiarlo dentro de un pendrive e intentar que algún empleado del banco lo introduzca en uno de sus ordenadores (al más estilo Stuxnet, el cual se infectó desde un pendrive dentro de una red hipotéticamente segura al no estar conectada a internet). El control de los USB dentro de un organismo, y mucho más en empresas como los bancos, se convierte en una tarea importante, sino vital. En ElevenPaths ya hemos hablado de nuestro paper 'Hidden Networks' el cual permite seguir la pista de los pendrives USB y dibujar una red alternativa que muestra el camino que han seguido los mismos:

Paper Hidden Networks de ElevenPaths

Uno de los malware más conocidos es el llamado Ripper, una versión mejorada de Skimer, que utiliza funciones importadas de las librerías XFS MSXFS.DLL y XFS_CONF.dll. En esta ocasión, el método de infección no se basa en el acceso físico al cajero. Ripper fue el primer malware que accedía a los cajeros utilizando la red corporativa del banco para posteriormente instalar el malware en los cajeros en vez de utilizar la instalación física. La ingeniería social (aquí podríamos incluir también los pendrives o USB) y el phishing son los principales vectores de infección, siendo los propios trabajadores del banco los que podrían ejecutar enlaces y programas que contienen los ficheros con malware.

El ataque que mejor muestra cómo se puede conseguir este tipo de accesos desde dentro de la red corporativa es el caso Taiwan Network Attack. Este ataque reúne toda una batería de técnicas sofisticadas para conseguir llegar al objetivo final de infectar y tomar el control del cajero automático. Este ataque supuso una pérdida de 2.5 millones de dólares para 22 sucursales del banco First Commercial Bank de Taiwán. En el siguiente gráfico del paper de TrendMicro se muestran todos los pasos:

Fases del ataque Taiwán Network Attack. Fuente.

Fase 1. El ataque se centra en infectar la red de la sucursal en Londres del banco utilizando técnicas de phishing o incluso la mencionada anteriormente a través de pendrives.

Fase 2. Una vez se obtiene acceso a la red, se consiguen robar las credenciales de acceso de administrador a través del sistema de grabación de voz.
Fase 3. Con estas credenciales se obtuvo acceso utilizando su propia VPN a la sucursal en Taiwán y también a algunos servidores de dichas oficinas.

Fase 4. Utilizando los mencionados servidores, los atacantes aprendieron la topología de red de la empresa, identificaron el sistema de actualización de parches para los cajeros y, a partir de ella, las credenciales de administración.

Fase 5. Posteriormente, con estas credenciales, accedieron al servidor de actualizaciones de los cajeros y prepararon una actualización falsa - lista para ser distribuida-, que se cargó en los cajeros como si fuera absolutamente real y oficial. El objetivo de este paquete era habilitar el servicio remoto Telnet en los cajeros.

Fase 6. Una vez activado el servicio Telnet en los cajeros, los atacantes pudieron abrir sesiones remotas y tomar el control de los cajeros.

Fase 7. Los atacantes instalaron en ciertos cajeros varios programas para realizar algunas pruebas de apertura de los dispensadores de dinero (sin sacar de momento ninguna cantidad). Algunos cómplices fueron a la ubicación física de dichos cajeros para comprobar que realmente funcionaron. Para comunicarse entre ellos utilizaron la aplicación de mensajería segura Wickr Me en sus smartphones.

Fase 8. Una vez confirmado que todos los cajeros estaban ya preparados, subieron a los cajeros aplicaciones modificadas que serían las encargadas de sacar el dinero. De nuevo, los cómplices estarían frente a los cajeros a la hora indicada pero esta vez para retirar el dinero y pasar el siguiente cajero.

Fase 9. Durante este tiempo, los atacantes, van eliminando toda pista en los cajeros infectados y desconectando las sesiones Telnet.

Este ataque, debido a su complejidad y efectividad, demuestra que cada vez más, bandas completas de delincuentes se están tomando en serio este tipo de ataques dirigidos a entidades bancarias. Ahora más que nunca es necesaria una revisión completa de la seguridad interna de dichas redes, así como de la gestión y mantenimiento de los cajeros automáticos.

Fran Ramírez (@cyberhadesblog) escritor del libro 'Microhistorias: anécdotas y curiosidades de la Informática' e investigador en ElevenPaths.

Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths

Llega la 4ª edición de la conferencia anual de Data Transparency Lab

November 4, 2017, 2:52 am
$
0
0

Los próximos 11, 12 y 13 de diciembre se celebrará la 4ª  Conferencia Anual del Data Transparency Lab, una colaboración inter-institucional entre Telefónica, AT&T, Mozilla, INRIA y MIT Connection Science, para mejorar la transparencia en el uso y gestión de los datos personales.

El evento se realizará en el edificio de Telefónica de Barcelona y estará abierto a representantes de la industria, legisladores, investigadores, diseñadores y medios de comunicación que quieran conocer las últimas novedades sobre la transparencia y privacidad de datos para ver lo que esto implica a nivel de negocio y de gestión personal.

Este año han participado 45 proyectos de 18 países en este Programa de Becas DTL 2017. 11 de ellos fueron revisados en la reunión del Comité del Programa y 9 de esas 11 propuestas finalistas fueron presentadas durante dicha reunión que tuvo lugar el pasado 23 de junio. Finalmente, el Comité decidió financiar 6 proyectoscon becas de 50.000€.

Como cada año, se ha colaborado con universidades y centros de investigación a nivel internacional para otorgar becas a los softwares que mejor le permitan al usuario a ser consciente de cómo usa sus datos y cómo mantiene su privacidad. Estos proyectos serán presentados al público y los softwares deberán estar listos online durante el año tras recibir la beca.

El programa de este año incluye también paneles, workshops, demostraciones de aplicaciones, presentaciones del Programa de Becas DTL y el Hack Day.  Como novedad, se ha abierto la opción para los inscritos de tener acceso a una aplicación que les permitirá pre-programar reuniones one-to-one con los asistentes y ponentes de las conferencias para sacar el máximo provecho al networking durante el evento. Consulta aquí las sesiones y ponentes confirmados.


Programa:

• Estrategias disruptivas en transparencia: implementando la transparencia.
• Herramientas para la transparencia móvil
• Creación de valor de la transparencia de datos para usuarios y empresas
• Transparencia práctica en la era de la Inteligencia Articifial y Machine Learning
• Panel: Discriminación y ética de datos
• Cómo fomentar el desarrollo de la tranparencia
• Becados 2017
• Demo Becados 2016
• Poster Session – Becas de viaje


¡No te lo pierdas! Adquiere tus entradas aquí.

Para más información puedes visitar la web del Data Transparency Lab, suscribirte a su newsletter de novedades o seguirlos en Twitter
Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths

Nueva herramienta: SKrYPtEd, tu protector de conversaciones de Skype

November 6, 2017, 3:10 am
$
0
0
¿Sabías que las conversaciones de tu Skype están almacenadas en texto claro en tu disco duro?¿Sabías que cualquiera puede robarlas con algún malware sencillo y subirlas a un servidor de su propiedad en, literalmente, un segundo? SKrYPtEd es un programa que corre en Windows y mantiene la base de datos cifrada con una contraseña. No se necesita introducir la contraseña cada vez que se usa Skype. Cifra los últimos mensajes cada vez que Skype se Cierra, y no los descifra cuando se vuelve a abrir a menos que así se le indique con la contraseña. Así que a menos que se necesiten consultar los mensajes antiguos, resulta bastante transparente.

Skype almacena la base de datos en texto claro en el perfil dle usuario. Es una base de daots SQLite con un montón de información. Skrypted solo cifra el texto de los mensajes por lo que todo el resto de metadatos se mantiene. Protege de ataques locales en el caso de que un atacante estuviera interesado en el contenido de las conversaciones y quisiera enviarlas por ejemplo en remoto a algún servidor.


Funcionalidad

Solo necesita ser instalado. Pedirá una contraseña que nunca será almacenada en el sistema. Cada vez que Skype arranque, pedirá la contraseña, pero introducirla no será necesario. La contraseña solo es necesaria si se necesitan recuperar los mensajes antiguos. Permite mantener la base de datos cifrada mientras se utiliza el chat a diario de forma transparente.



Con SKrYPtEd, los mensajes anteriores al cierre de Skype quedan protegidos
Esta base de datos se almacena localmente en cualquier dispositivo donde se utilice Skype, así que es necesario hacer notar que solo protege del almacenamiento local del dispositivo donde esté ejecutándose. Permite descifrar tantos días atrás como sean necesarios, pero siempre permitirá el uso "normal" de Skype incluso si no se proporciona la contraseña de SKrYPtEd. No está diseñado para la versión Skype for Business.

Este vídeo muestra un ejemplo de cómo un atacante podría robar la base de datos de Skype usando un documento malicioso con una macro especialmente manipulada, y cómo Skrypted podría protegerlo.



Puedes descargar SKrYPtEd (hay una versión de 32 y 64 bits) desde aquí.

Innovación y laboratorio

Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths

#CyberSecurtyAvatar: Maksim, uno de los atacantes más prolíficos para Android, aumenta su actividad maliciosa

November 7, 2017, 3:31 am
$
0
0
Según las bases de datos de amenazas de las que dispone ElevenPaths, a partir de mayo de 2016, comenzó a detectarse una amenaza que afectaba a dispositivos Android de la que, según la figura siguiente, se pudo identificar un repunte de conexiones activas el pasado mes de marzo. 


Figura 1. Número de sesiones activas vinculadas al arsenal de Maksim.

El actor llamado Maksim descargaba aplicaciones legítimas y populares, las desempaquetaba, introducía el código malicioso para luego distribuirlas troyanizadas a través de webs de aplicaciones, la gran mayoría de juegos. 

Gran parte de las infecciones se realizaron a través de la navegación web, además de haberse detectado que las industrias más afectadas por esta amenaza han sido la industria al por mayor y la destinada a la alta tecnología. Asimismo, la amenaza procedería de países como Rusia, Alemania y Holanda con un mayor impacto en Estados Unidos y Armenia.

Herramientas
Se le ha podido atribuir numerosas aplicaciones maliciosas a través de la correlación de las apk disponibles en las webs manejadas por el atacante. Además, son muchas y variadas las funcionalidades detectadas en las aplicaciones que utiliza en su arsenal, entre las que se encuentran las siguientes:
  • Inyecta troyanos en aplicaciones legítimas cuyo objetivo era entregar publicidad a las víctimas, enviar SMS e incluso obtener el control administrativo y remoto del dispositivo. Otro de los troyanos utilizados incorporaba sistemas legítimos para protegerse del análisis y la detección del mismo. Adicionalmente, mostraba un alto nivel de sofisticación al ser capaces de omitir el sistema de aviso de carga, utilizado para notificar a los usuarios el precio de un servicio Premium, y requerir la autorización del usuario.
  • Incorpora librerías de Adware en aplicaciones legítimas para obtener información de los dispositivos como las aplicaciones instaladas o ejecutándose, el operador y la geolocalización entre otra información para ser enviada al servidor command and control (C&C). Algunas de estas librerías usan el método ClassLoader clásico que permite cargar y ejecutar código dinámicamente.
  • Usa familias de malware con capacidad de enviar información del dispositivo a un servidor de command and control. En este sentido, enviaba SMS a instituciones financieras para consultar saldos de cuenta, cargaba cualquier SMS entrante (incluidos los resultados de la consulta de saldo) en el servidor C2, envía SMS a números de teléfono de los contactos de la víctima y reenvía las llamadas entrantes para interceptar la autenticación en dos pasos basadas en voz.
  • Utiliza troyanos SMS con amplias funcionalidades como pueden ser el envío de mensajes de texto Premium a un número específico o el envío de mensajes de texto generalmente con un enlace a una web manejada por sí mismo o a una amenaza diferente. Usualmente obtiene la lista de contactos y los mensajes de texto del dispositivo de la víctima o incluso borra los mensajes de texto entrantes que cumplan con los criterios establecidos por el C&C.
  • Utiliza ransomware específicamente diseñado para Android, el cual bloquea la pantalla y no sólo cifra los archivos existentes, sino que también infecta los ejecutables, actuando así como un virus parásito.
                            Figura 1. Número de sesiones activas vinculadas al arsenal de Maksim.

Técnicas
Maksim utiliza diversas técnicas para la distribución del malware. La más utilizada consiste en registrar dominios publicar aplicaciones legítimas con código malicioso inyectado. Sin embargo, en otra de sus campañas, se han identificado una serie de subdominios maliciosos registrados bajo un dominio legítimo perteneciente a un conocido proveedor de servicios de alojamiento compartido en Rusia. 


En este sentido, para atraer a las víctimas a que descargaran el malware, en ocasiones, realizaba un ataque de phishing por SMS en el que se incluía una URL maliciosa. De esta manera, al hacer click, el dispositivo de la víctima quedaría infectado. Y, por último, otra de las técnicas comunes usadas es el uso de instaladores que aparentemente parecen de otras aplicaciones.



Aquí encontrarás más información sobre este threat actor y los indicadores de compromiso asociados al caso.


Miguel Ángel de Castro Simón
Senior Cybersecurity Analyst at ElevenPaths
Intelligence Analyst at ElevenPaths' Innovation Lab
@yrubiosec
yaiza.rubiovinuela@telefonica.com


Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths

Sheryl Sandberg: COO de Facebook y creadora del movimiento "Lean In"

November 8, 2017, 3:52 am
$
0
0
Ilustración realizada por Catalina Guzmán
Sheryl Sandberg es reconocida mundialmente por tener, a tan corta edad, uno de los CV más destacados del mundo. Actualmente es la COO de Facebook y la única mujer en su junta directiva. También ha creado el movimiento “Lean In” el cual tiene como fin inspirar a las mujeres a buscar papeles de liderazgo y romper con las barreras de género. 

"Un mundo verdaderamente igual sería aquel en el que las mujeres administraran la mitad de nuestros países y las empresas y los hombres administraran la mitad de nuestros hogares."  -Sheryl Sandberg.


Biografía
Sheryl nació el 28 de agosto de 1969 en Washington DC. Estudió economía e hizo un MBA en Harvard. Al graduarse en 1987 fue asistente en el Banco Mundial donde trabajó un año en proyectos de la India ayudando a leprosos, gente con SIDA y ciega, actividad que luego le motivaría durante su tiempo en Google, donde ejerció como VP de ventas y operaciones online a nivel mundial. Además fue la responsable de la venta de anuncios en Google y gestionó Google Book Search. También creó Google.org, la rama solidaria de Google que se encarga de ayudar a organizaciones sin ánimos de lucro. En 2008 se fue a Facebook como la Chief Operations Officer (COO) y actualmente gestiona las Ventas, Marketing, Recursos Humanos, Políticas Públicas y Comunicaciones. En 2012 Mark Zuckerberg nombró a Sheryl como el octavo miembro de su junta de directores. Dada la cantidad de acciones que posee de Facebook y la valoración de la empresa en la bolsa de valores, en 2014 Sheryl entró a formar parte de la lista de billonarios del mundo. Con esta carrera, podríamos decir que Sheryl Sandberg es la ejecutiva que lo ha logrado todo. 

"Lean In"
Para Sheryl, su legado es algo muy importante, ya que comprende que las mujeres están en este punto de la historia por sus predecesoras. La contribución que ella le quiere dejar a la sociedad se ve a través de su movimiento “Lean In”. Este movimiento trata sobre el desarrollo y el liderazgo empresarial de las mujeres, los problemas que salen por la falta de éstas en altas posiciones y sobre el trato equitativo de la mujer en sociedad con respecto al hombre.

¿Por qué es tan difícil encontrar mujeres en el mundo de la tecnología? Según Sandberg, existen tanto barreras internas como externas que evitan que la mujer logre altos puestos empresariales y solo rompiéndolas lograrán lo que se han propuesto. Las barreras externas a las que se enfrentan son acoso, discriminación y prejuicios por género. Esto queda en evidencia al ver que hay empresas que no quieren contratar mujeres entre los 20 y 30 años por no tener que pagarles la baja por maternidad.

Por otro lado, las barreras internas son determinadas por la motivación personal de cada mujer. Esta motivación es afectada por la infancia, compañeros, educación, contactos, expectativas y los prejuicios. De todas estas barreras la educación es el pilar fundamental para que la mujer crezca, triunfe y logré producir un cambio.

“Lean In” trata de mostrar a las mujeres cómo sí es posible que logren sus sueños, que vayan a por lo que siempre han querido, incluso aunque por la sociedad en la que viven, algunas no tienen la posibilidad de hacerlo.  Sin embargo, en un ambiente de confianza se dan cuentan que si se apoyan unas a otras pueden lograr lo que se propongan.

Muchas mujeres trabajan duro, pero siguen siendo pasadas por alto en comparación a sus compañeros. Muchas veces esto pasa por falta de referentes. Por eso "Lean In" se une conGetty Imagespara cambiar la forma en la que la sociedad ve a la mujer. Juntos quieren cambiar las imágenes que publican para darle una vuelta a los estereotipos, mostrando a más mujeres en la oficina y más hombres haciendo tareas de casa. En este proyecto también se muestran mujeres diferentes, con imperfecciones para romper la barrera que la mujer tiene que ser la madre y trabajadora perfecta.

En 2012, Time Magazine nombra a Sheryl Sandberg como una de las 100 personas más influyentes del mundo y según Forbes, como una de las mujeres más poderosa del mundo.

Por mujeres como Sheryl queremos rendir homenaje a algunas mujeres que han aportado alguna creación o han marcado un hito en el mundo de la tecnología. Todos lo miércoles hasta el 20 de diciembre iremos publicando un post dedicado a estas mujeres.

¿Qué opinas sobre la diversidad? ¡Déjanos tu comentario!

Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths
Search

No te pierdas nuestros eventos de tecnología y ciberseguridad del mes de noviembre

November 8, 2017, 10:08 am
$
0
0


El último trimestre del año llega cargadito de eventos de tecnología y ciberseguridad. Desde la unidad de ciberseguridad de Telefónica, ElevenPaths, te traemos, un mes más, la selección de los eventos más destacados en los hemos y vamos a participar. ¡No te los puedes perder!



CODE TALK FOR DEVS


Instalación en tu Raspberry con un paquete DEB 
El pasado 1 de noviembre, Álvaro Núñez-Romero y Pablo González, expertos de ElevenPaths, explicaban cómo montar nuestro propio DirtyTooth en una Raspberry Pi, gracias al paquete de instalación básico creado por nuestro equipo en su laboratorio. Si tienes una Raspberry Pi y quieres auditar los dispositivos móviles de tu organización, ¡No olvides conectarte al próximo!



Latch Cloud TOTP en NodeJS y .NET 
¿Todavía no eres usuario de Latch? ¿Conoces las funcionalidades del Temporary OTP? Nuestros desarrolladores expertos de ElevenPaths en programación, Carlos del Prado y Ioseba Palop te enseñan a gestionar tus tokens TOTP como 2FA. ¡No seas víctima del robo de credenciales! ¡Conéctate al webinar el próximo 15 de noviembre!




MicroLatch: Construyendo Latch en la palma de tu mano  

No te pierdas este webinar para aplicar Latch al mundo físico a través de un pequeño microcontrolador, de la mano de Álvaro Núñez-Romero, nuestro experto de ElevenPaths. ¡Conéctate el día 29 de noviembre y conoce cómo lo hemos hecho!



ElevenPaths TALKS


La cara oculta de la esteganografía 
¿Qué herramientas existen para descubrir información oculta en diferentes formatos y protocolos? Mañana, a las 15:30h (CET) tienes una cita en nuestro canal de YouTube con los expertos de ElevenPaths, Carlos Ávila y Pablo San Emeterio, nos darán las claves en 'La cara oculta de la esteganografía'. ¡No faltes!



RoadSec
El próximo 11 de noviembre, Claudio Caracciolo, CSA de ElevenPaths, participa en Sao Paulo en la conferencia RoadSec con la ponencia ‘The BICHO: an advanced car backdoor maker’. ¡Inscríbete!



Seguridad en sistemas de telefonía móvil 
¿Cuáles son los ataques más habituales a LTE, GSM y 3G? Los expertos y CSAs (Chief Security Ambassadors) de ElevenPaths, Rames Sarwat y Claudio Caracciolo, nos darán las claves, el próximo 23 de noviembre, sobre seguridad en telefonía móvil. ¡Te esperamos!




OTROS EVENTOS


Powerful conversations: ciberseguridad: qué, cómo y con quién 
Pablo San Emeterio, CSA de  ElevenPaths, participa el próximo día 7 de noviembre en este LiveSummit sobre ciberseguridad. ¡No te lo pierdas, la inscripción es gratuita!




PWN Madrid - Telefónica Open Future_ #WomensAge - Tercer Encuentro "Impact Innovation Talks"Título: Impact Innovation Talks

Con motivo de la celebración del Día Internacional de la Mujer Emprendedora, PWN Madrid y Telefónica Open Future celebran el próximo 16 de noviembre en el edificio de Telefónica de Gran Vía 28, el tercer encuentro de la serie ‘Impact Innovation Talks’ para impulsar el diálogo y la reflexión sobre los avances, innovación y futuro del emprendimiento para la mujer. Yaiza Rubio, hacker y analista de inteligencia en ElevenPaths, participará en la ponencia ‘Seguridad y Datos: Cómo protegernos’. ¡Inscríbete!



#Cybersec17: catalizador de la revolución digital
La demanda actual de ciberseguridad; la necesidad de mejorar la formación para tener profesionales cualificados ante el aumento de la demanda; así como la necesidad de aumentar la inversión en materia de ciberseguridad. Sobre estos y otros temas versará la conferencia ExecForum que tendrá lugar el próximo 22 de noviembre, en la que participará el experto de ElevenPaths, Pablo San Emeterio. ¡Si te interesa estar al día en ciberseguridad, no puedes faltar!



SEC/ADMIN 2017
Las amenazas en Internet están más latentes que nunca. Amenazas a la vida de los usuarios y las empresas; cryptolockers 2.0 y Kung-fu malware. Sobre esto versarán las ponencias de Pablo San Emeterio y Pablo González, expertos de ElevenPaths, en el SEC/Admin 2017 que se celebrará en Sevilla los días 24 y 25 de noviembre. ¡Nos vemos en tierras sureñas!



QBE: Cyber Responce  
El próximo 27 de noviembre, el CEO de ElevenPaths, Pedro Pablo Pérez, participará en el evento Protección cibernética, seguridad de los datos y multimedia, donde tendrá lugar el acto de presentación del nuevo producto ‘Cyber Response’. Este producto da respuesta a los retos que plantean los riesgos asociados a las nuevas tecnologías. El evento tendrá lugar en el edificio Torre de Cristal en Madrid. ¡Que no se te escape!



El año 2017 se cierra con un montón de eventos interesantes. ¡Selecciona tus favoritos e inscríbete para no perderte nada sobre ciberseguridad! Hasta la próxima hacker.


También te puede interesar:
Tech-Agenda: eventos de tecnología que no te puedes perder este mesBack to school! Traemos la agenda de eventos de septiembre en ciberseguridad y hacking


Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths

Qué hemos presentado en el Security Innovation Day 2017 (IV): Innovation: A Path to Success

November 9, 2017, 10:18 am
$
0
0
"Cuando nos preguntan qué tipo de trabajo realizamos desde el área de innovación y laboratorio de ElevenPaths y cómo funcionamos, cada uno de los interlocutores traslada consigo una idea preconcebida de lo que puede llegar a ser el día a día de este departamento. La innovación es un concepto con tantas aristas y enfoques como personas que lo aborden. Resulta abstracto y, como tal, sujeto a interpretaciones. No, no miramos a las playas de Málaga o al skyline madrileño o bonaerense desde una ventana, agitando una copa de balón y con el ceño ligeramente fruncido. No escribimos febrilmente fórmulas matemáticas en sus cristales. No tratamos de impresionar a nadie con espectaculares mapas pew-pew. Trabajamos desde abajo para que (a veces) luzca la superficie, pero siempre reforcemos los cimientos. Lo que realmente hacemos es realizar una Deep Innovation a través de ejemplos concretos de todo tipo como Skrypted, una aportación directa al Path8 con la innovadora detección de malware en documentos, el aprovechamiento de las innovadoras APIs nativas de BlueTooth de Chrome, la inclusión de Latch en el mundo del IoT por ejemplo gracias a la pasarela IFTTT, la plataforma de análisis de anomalía en red con Machine Learning por capas SiNET, el sistema de vigilancia de certificados Kalkán, o nuestro revolucionar e inteligente TypoSquad."




Desde el Área de Innovación y Laboratorio, Sergio de los Santos y José Torres presentaron en el Security Innovation Day 2017 una propuesta de Deep Innovation que empuja las ideas y el talento a la superficie, disfrutando del camino.

¿En qué consiste Deep Innovation?

Innovar es mejorar, ofrecer un discurso diferente al resto, no necesariamente mejor, sino simplemente distinto, exploratorio. Usar clichés como "disruptivo", "rompedor", etc... eso puede aplicarse (o no) una vez evaluado el impacto. Pero innovar también es captar talento y el momento, saber materializar o aterrizar las ideas, traducir las oportunidades en un beneficio palpable. Y eso solo puede lograrse desde el trabajo diario y la experiencia. Nuestra labor es ofrecer discursos diferentes que afecten tanto a productos o ideas nuevas como herramientas y servicios consolidados. Es crear desde cero herramientas que lo consigan. Es integrar y darle alas al talento de cada integrante del equipo. Es definir el dibujo en la pizarra, traducirlo a un documento, poner el código a funcionar y aprovechar cada fase.

El trabajo comienza desde abajo, donde analizamos tendencias, noticias, programas, etc. Esto nos permite intuir hacia dónde camina la industria, qué mejoras son posibles o qué huecos están disponibles pero nadie ha detectado o sabido rellenar aún. Y de entre los huecos, intentar reconocer cuáles realmente cumplen las expectativas, o cuáles nos permitirán llevar el conocimiento un poco más allá. Estar seguros de que hemos conectado todos los discursos disponibles en el mapa… Desde nuestra área todo esto se consigue desde tres puntos de vista diferentes:
  • La open innovation: La industria necesita a la academia, y la academia debe redundar en la industria. Unos necesitan investigar, otros, que esas investigaciones realmente se traduzcan a un un tangible, un producto o una tecnología que aporte mayor y mejor volumen de negocio. Facilitar ese entendimiento no es sencillo. Se debe ofrecer a la academia el aspecto más práctico, retarle con problemas reales. Se debe realizar una prospección de los trabajos realizados, mentorizarlos, entenderlos y complementarlos. Parte de nuestro trabajo consiste en dar altavoz a estos actores a través de los acuerdos con las universidades tutelando proyectos de fin de grado o máster, apoyando investigaciones, o rescatando papers para convertirlos en código. También evaluando la tecnología de empresas que comienzan (startups). Nuestro objetivo es empujar desde el fondo a quien realmente se esfuerza por canalizar un trabajo de investigación.
  • Innovación transversal: Internamente se desarrollan muchos productos, se mejoran, se perfilan, se encuentran con retos complejos. Desde el área de innovación y desarrollo se presta un servicio transversal a toda Telefónica. Desarrollamos herramientas que se utilizan de forma interna, mejoramos los productos, cuantificamos estos valores, enriquecemos los activos para todo el grupo en forma de patentes (más del 10% de las patentes que anualmente presenta el grupo Telefónica vienen del área de innovación y laboratorio de seguridad). Colaboramos con grandes proyectos (mejorando con nuestra innovación la seguridad del router que muchos tendréis en casa, por ejemplo)... Desde el interior de la compañía, impulsamos tanto los proyectos más embrionarios como los más consolidados. Y siempre atando cabos, nuestro esfuerzo también debe incidir en una mejor interacción entre nuestros productos, la innovación casi siempre es añadir, pero otras veces es simplemente quitar una venda de los ojos.
  • Innovación y difusión: ElevenPaths se consolida como marca muy reconocida en el mundo de la seguridad. Esperamos que buena parte de ese posicionamiento haya venido por los estudios, análisis, herramientas y artículos que hemos publicado. Tanto en blogs como en conferencias académicas, divulgativas, etc. Hemos arrancado campañas nacionales de acercamiento a la comunidad universitaria, estableciendo acuerdos y alianzas de colaboración y también hemos tenido presencia en todo tipo de revistas (académicas o no) y conferencias de hacking internacionales. Este esfuerzo no tiene por objetivo principal el de posicionar la marca, sino que nos sirve también como punto de partida para mantenernos en forma, conocer nuestro alrededor, no perder detalle de qué ocurre ahí fuera... conservar el contacto con la trinchera, desde abajo.
La innovación no consiste en esperar a que las buenas ideas o las mejores oportunidades aparezcan tras unas ventanas lluviosas mientras se posa ante un hipotético observador con un gesto grave... sino que más bien, se ocultan tras el teclado y la pantalla... y siempre es necesario salir a capturarlas.


Sergio de los Santos
Head of Innovation and Lab Area at ElevenPaths
@ssantos 

José Torres
Innovation Analyst at ElevenPaths
@jose7orre

También te puede interesar:
  • Visualizar todas las ponencias del evento en nuestro canal de Youtube
  • Qué hemos presentado en el Security Innovation Day 2017 (II): Security 4 All!

Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths

#CodeTalks4Devs: Latch Cloud TOTP en NodeJS y .NET

November 12, 2017, 10:43 am
$
0
0

¡Hoy presentamos el quinto webinar de la serie Code Talk for Devs para developers! Reserva asiento el próximo miércoles 15 de noviembre para aprender con nuestros expertos en programación, Carlos del Pradoy Ioseba Palop. 

Las contraseñas de los usuarios corren el riesgo de caer en las manos equivocadas poniendo en riesgo la información de los sistemas, por eso para asegurarte de que no vas a ser víctima del robo de credenciales, te damos la oportunidad de formarte y aprender a gestionar tus tokens TOTP como 2FA desde este webinar. Veremos cómo implementar un segundo factor de autenticación con TOTPs, así como todas las funcionalidades del Temporary OTP. 

Para ello partiremos de una aplicación NodeJS + Express y .NET + MWC que usa un sistema convencional de autenticación de usuarios (email + contraseña) y cuenta con un perfil de configuración.

Si quieres conocer más sobre Latch Cloud TOTP, te esperamos el próximo miércoles a las 15:30h (CET) en nuestra comunidad para que aprendas compartiendo tus opiniones y dudas con nuestros expertos. Además, te recordamos que podrás visualizar el webinar todas las veces que quieras en nuestra web de ElevenPathsdonde están publicados todos los talks anteriores. ¡Que no se te escape!

También te puede interesar:

Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths

Innovación y laboratorio de ElevenPaths en la Black Hat Europa

November 13, 2017, 8:05 am
$
0
0
La conferencia Black Hat Europe 2017, una de las más importantes del mundo en seguridad informática, celebra su edición de Europa 2017 en Londres. Tras la original edición de Las Vegas de agosto donde participaron también varios compañeros de ElevenPaths, del 4 al 7 de diciembre, cinco más partirán en Londres para presentar sus investigaciones y herramientas.



Black Hat se ha convertido en un foro donde se muestran las investigaciones más importantes en seguridad de la información a profesionales y curiosos de todo el mundo. Cuatro días en los que se presentan las investigaciones y herramientas más relevantes, además de realizar entrenamientos y talleres exclusivos. Se espera un aforo de más de 1600 asistentes.

Del 4 al 5 de diciembre, durante la presentación del "Arsenal", la sección dedicada especialmente a las herramientas, Álvaro Núñez presentará DirtyPi, o lo que es lo mismo, Dirtytooth for Raspberry Pi. Pablo González y Santiago Hernández presentarán además UAC-A-MOLA, diseñada para facilitar la explotación de los últimos (y numerosos) fallos y técnicas encontradas para eludir UAC.

Sergio de los Santos y Sheila Berta, también del área de innovación y laboratorio, presentarán además en las sección de "Briefings" el día 7, la investigación "Breaking out HSTS and HPKP on Firefox, IE/Edge and (possibly) Chrome", en el que muestran algunas debilidades y técnicas para eludir estos mecanismos en los principales navegadores.

Innovación y laboratorio
Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths

#CyberSecurityPulse: El último desastre de las carteras más importantes de Ethereum

November 14, 2017, 8:21 am
$
0
0
Se estima que 587 carteras con alrededor de 513 774,16 ethers han sido congelados después de que una anomalía en una de las carteras más importantes de Ethereum fuera detectada. Parity Technologies, empresa dedicada al desarrollo de software especializada en soluciones peer-to-peer, publicó el pasado 8 de noviembre la alerta de seguridad donde afirmaba que habían detectado una vunerabilidad en la librería de las cartera multifirma. Específicamente, la empresa considera que los afectados son aquellos usuarios con activos en carteras creadas en Parity Wallet después de 20 de julio.

Resulta que tras parchear la vulnerabilidad del pasado 19 de julio, el 20 de julio se implementó una nueva versión de la librería del contrato de Parity Wallet. Desafortunadamente, ese código contenía otra vulnerabilidad que no había sido descubierta en ese momento. En esta ocasión, era posible convertir la librería del contrato de Parity Wallet en una cartera multifirma normal y convertirse en propietario al llamar a la función initWallet.

La compañía, en su último comunicado publicado ayer, comentaba que esta es una oportunidad de aprendizaje (aunque dolorosa) para la empresa, sus colaboradores y la comunidad. Afirma que ha habido discusiones dentro de Parity y en la comunidad open source desde hace un tiempo sobre cómo construir sistemas mejores y más seguros. Después de todos los incidentes de seguridad que han sufrido los usuarios de criptodivisas en estos últimos años, solo hay una cosa clara: sin seguridad, no habrá transformación en los medios de pago.

Más información en Parity Technologies

Noticias destacadas


Vulnerabilidad crítica en Tor que filtra la dirección IP real de los usuarios

Las versiones para Mac y Linux del navegador de Tor acaban de recibir una solución temporal para la vulnerabilidad que filtra las direcciones IP de los usuarios cuando visitan ciertos tipos de direcciones. TorMoil, que es así como han denominado al fallo sus descubridores, se activa cuando los usuarios hacen clic en enlaces que comienzan con file://. Cuando el navegador Tor para macOS y Linux está en proceso de abrir dicha dirección, «el sistema operativo puede conectarse directamente al host remoto, sin pasar por el navegador Tor», según We Are Segment, la seguridad empresa que informó en privado del error a los desarrolladores de Tor.

Más información en We Are Segment

APT28 ha usado la técnica de ataque DDE desde octubre

Los ciberdelincuentes han comenzado a explotar activamente una vulnerabilidad de Microsoft Office recientemente descubierta. Según investigadores de McAfee, esta técnica de ataque DDE ha sido aprovechada por APT28 desde finales de octubre. La campaña incluyó documentos que hacen referencia al reciente ataque terrorista en la ciudad de Nueva York en un intento de engañar a las víctimas para que hicieran clic en los documentos maliciosos, lo que finalmente infectaría sus sistemas.

Más información en McAfee

Noticias del resto de la semana


Propuesta de ley en Estados Unidos para designar al sistema electoral como infraestructura crítica

Un proyecto de ley del Senado pondría el poder de la legislación detrás de gran parte del trabajo de seguridad electoral del gobierno de Estados Unidos durante el año pasado y establecería una competencia nacional para proteger los sistemas electorales. La Ley de seguridad del equipo de votación de Estados Unidos, o Ley SAVE, formalizaría la designación de sistemas electorales del Departamento de Seguridad Nacional como infraestructura crítica, una medida que facilita que el gobierno federal comparta información sobre amenazas con funcionarios electorales estatales.

Más información en NextGov

Las implementaciones del IEEE P1735 pueden tener protecciones criptográficas débiles

El estándar P1735 del IEEE describe métodos para cifrar la propiedad intelectual (IP) del diseño electrónico, así como la gestión de los derechos de acceso para dicha IP. Los métodos son defectuosos y, en los peores casos, favorecerían vectores de ataque que permiten la recuperación de todo el texto en claro subyacente. Las implementaciones de IEEE P1735 pueden ser débiles frente a ataques criptográficos que permiterían a un atacante obtener la propiedad intelectual sin la clave, entre otros.

Más información en Cert.gov

Vault 8: WikiLeaks publica el código de Hive

Wikileaks anunció ayer una nueva serie de Vault 8 que revelará el código fuente y la información sobre la infraestructura de backend desarrollada por la CIA. La infraestructura del proyecto Hive se ha diseñado especialmente para evitar la atribución, que incluye un sitio web falso público después de realizar una comunicación en varias etapas a través de una red privada virtual (VPN).

Más información en Wikileaks

Otras noticias


Descubren que los teclados MantisTek GK2 incluyen keyloggers

Más información en The Hacker News

El nuevo grupo SowBug ha estado robando secretos diplomáticos desde 2015

Más información en Symantec

El ataque AVGater abusa de las funciones de cuarentena para escalar privilegios

Más información en Security Affairs

¡Regístrate a la newsletter!
Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths

Susan Kare: pionera en diseño gráfico y creadora de iconos emblemáticos de Apple y Windows

November 15, 2017, 7:53 am
$
0
0
Ilustración realizada por Catalina Guzmán
“Es más fácil entender imágenes que palabras.”
Susan Kare

Susan Kare es creadora de algunos de los iconos más reconocidos de Apple, y a pesar de haberlos creado hace muchos años, los seguimos utilizando en nuestro día a día. Ella ha diseñado desde el botón de comando de Apple, el look and feel del juego Solitario y Bloc de Notas de Windows, hasta los regalos virtuales de Facebook.

Biografía
Pionera en el diseño gráfico y el arte en píxeles, Susan Karen nació el 5 de febrero de 1954 en Ithaca, Nueva York. Estudió arte en Mount Holyoke College, donde en 1975 se graduó como Summa Cum Laude, y posteriormente desarrolló su Máster y Doctorado en New York University.

A principios de los años 80 Susan recibió una llamada de su amigo Andy Hertzfeld para que se incorporara a Apple como parte del equipo de diseño. Apple necesitaba crear un ordenador que fuera fácil de usar y asequible para el consumidor. Por esto, en 1984 lanzaron Macintosh con la filosofía de poner al cliente en el centro y pensar en él en todas las etapas de diseño. Para lograrlo, Susan creó en una cuadrícula de píxeles muchos de los iconos y tipografías de forma sencilla para que al usuario le fuera fácil usar su dispositivo. Con esta técnica ella consiguió revolucionar el arte de la tipografía e iconografía.

Kare saltó de Apple a Microsoft, donde diseñó el juego Solitario, el Bloc de Notas y el Panel de Control. Susan cuenta que al ver a la gente jugando en la oficina le causa una gran felicidad ya que ve sus diseños en uso. Más tarde, la contrataron para una colaboración entre Sony, AT&T y Motorola donde creó sellos que se enviaban en postales digitales. De aquí pasó al reto de trabajar para Facebook donde diseñó alrededor de 1.200 regalos virtuales. Su trabajo ha sido usado por las empresas más grandes del mundo y contribuyó al uso cotidiano del ordenador. Es por esta razón que es imposible usar un ordenador y no encontrarte con el trabajo de Susan. Entre sus iconos más reconocidos están: la cubeta de pintura,el lasso tool, el cursor, el botón de comando,la bomba, la papelera y el reloj. Entre sus tipografías más conocidas estánChicago, Monaco, Geneva, Athens, San Francisco y Cairo. Chicago fue la tipografía usada en Mac clásica y las primeras cuatro generaciones del iPod.

"Los diseños tienen que ser memorables, simples y claros." Esta era la base de la filosofía de Susan al diseñar. Para ella, un buen diseño debía cumplir con esto para resistir el paso del tiempo y evitar ser rediseñado constantemente. Solo se deben incluir los detalles que sean realmente necesarios ya que, si se sobrecarga el diseño, el usuario pierde esa conexión con él. 

Actualmente puedes encontrar los diseños originales de Susan en el Museo de arte moderno (MoMa) en Nueva York. 

¿Qué opinas sobre la brecha de género que hay en el sector tecnológico? ¡Déjanos tu comentario!

Lee el resto de posts de la serie homenaje de mujeres que han creado un hito en la historia STEM:
» Sheryl Sandberg: COO de Facebook y creadora del movimiento "Lean In."

Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths

Seguridad y firma electrónica al alcance de cualquier empresa

November 16, 2017, 8:17 am
$
0
0
La colaboración entre ElevenPaths, Microsoft y Gradiant permite a las empresas disponer de una avanzada plataforma de firma electrónica y custodia de certificados digitales integrada con un servicio de dispositivos HSM en cloud mediante un sencillo modelo de pago por uso.



Garantizar la confidencialidad, integridad y disponibilidad de la información es el principal objetivo de la ciberseguridad. El nivel de protección necesario varía según las necesidades de cada organización y de los requerimientos legales o normativos del sector al que esta pertenece.

Para lograr un nivel alto de protección de la información es una práctica recomendable almacenar y usar las claves de cifrado y firma en dispositivos especialmente protegidos denominados HSM (Hardware Security Module). Tanto la normativa de la industria de tarjetas de pago, PCI-DSS, como el reglamento e IDAS de la Unión Europea para la identificación y firma electrónica, contemplan el uso de estos dispositivos.



En este contexto, el uso de hardware criptográfico seguro o HSM proporciona un mecanismo adecuado para la custodia y protección de claves (como si de una “caja fuerte” se tratase), aunque su coste, complejidad de instalación y configuración dificulta su adopción. Por ese motivo, han surgido soluciones as a service como Azure Key Vault,  que ofrece la posibilidad de usar los HSMs como un servicio más dentro de la nube pública.

Microsoft Azure es un conjunto integral de servicios en la nube que los desarrolladores y los profesionales de TI utilizan para crear, implementar y administrar aplicaciones a través de su red global de centros de datos. Microsoft Azure incluye Key Vault, un servicio de custodia de claves almacenadas en módulos de seguridad de hardware con certificación FIPS 140-2 de nivel 2 (hardware y firmware).

SealSign® es una plataforma empresarial, escalable, modular y completa de firma de documentos, firma biométrica, custodia segura de certificados digitales y archivo a largo plazo de documentos electrónicos desarrollada por ElevenPaths.

Mediante la colaboración entre ElevenPaths, Microsoft y Gradiant, se ha creado una solución en de firma electrónica y custodia de certificados digitales, en la nube, que cuenta con un alto grado de seguridad. Esta solución presentada en el Security Innovation Day 2017, evento de innovación en ciberseguridad organizado por ElevenPaths, combina la plataforma de firma electrónica SealSign®, con la disponibilidad y escalabilidad de Azure Key Vault y la integración del servicio de custodia de claves Key Vault gracias al módulo de integración BlackICE Connect desarrollado por Gradiant.

El uso de esta solución en cloud permite a cada empresa disponer de una plataforma de alta seguridad y rendimiento, ajustando sus costes a su uso y necesidades reales, permitiendo ahorros de hasta un 80 % en comparación con la adquisición de plataformas dedicadas on premise.

También te puede interesar:


Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths
Search

Historias de #MujeresHacker: Sheila Berta, la speaker más jóven en DefCON & BlackHat

November 17, 2017, 8:37 am
$
0
0
Según los estudios, sólo el 25% de la fuerza laboral mundial del sector de la tecnología está representado por mujeres, algo que debemos lograr incrementar entre todos. En Telefónica nos encantaría que ese 25% fuera un 50%. Por eso, decidimos hackear la diversidad. Creemos que para crear tecnología solo hay que tener pasiónpor hacerlo, y no debe existir ninguna correlación entre género y ocupación. 

Hoy lanzamos la segunda acción de una campaña que busca lograr que haya más #MujeresHackers como vosotras, y si es posible, vengan a crear tecnología con nosotros. 


En este primer post contamos con Sheila Berta, la speaker más joven en participar en DefCon y BlackHatque a su corta edad se ha adentrado con éxito en el mundo hacking.




Sheila Berta, una de las #MujeresHacker de Telefónica nos cuenta su historia:

Mi nombre es Sheila y tengo 22 años, si me preguntas desde qué edad me dedico a esto tengo que responder que a los 12 años descubrí que verdaderamente me apasionaba el área de seguridad informática y hacking. A esa edad empecé a programar en diferentes lenguajes y pensé: "¿Existe alguna forma de romper estas aplicaciones que estoy creando?".  Mi curiosidad hizo que me pusiera a leer sobre estas técnicas de SQL injection, XSS, XSRF, LFI/RFI, etcétera y comencé a divertirme mucho con ello.

En mi día a día, sigo manteniendo la misma pasión y esa curiosidad me lleva de un lado a otro constantemente. No puedo describir lo que disfruto al poner al revés las cosas, al encontrar dónde fallan y cómo alguien podría realizar un ataque con ello.

Actualmente, trabajo como Security Researcher en el Laboratorio de Investigación e Innovación de ElevenPaths. Hasta el momento he dado 21 conferencias y tengo confirmadas unas 2 más para antes de fin de año. Durante todo este tiempo hay muchísimas cosas que me han generado sensación de satisfacción en mi trabajo. Lo que aprendí, la gente con la que tuve oportunidad de trabajar, los pequeños proyectos propios que salieron a la luz, los eventos en los que participé… algunos esfuerzos que, sintiéndome inevitablemente un poco sola como mujer en esta área, no fueron fáciles, pero todo valió absolutamente la pena.

Puedo afirmar que de uno de los trabajos de los que me siento más orgullosa es el que presentamos Claudio Caracciolo y yo en DefCON25 CHV: "The Bicho". Es un hardware en el que puse mucho esfuerzo diseñándolo desde cero, programando el firmware en assembler, desarrollando un software de escritorio para interactuar con él cómodamente.  Lo que más orgullo me da es verlo funcionar, programar el payload desde el pc, conectar el hardware al coche y controlar el comportamiento de diversos módulos simplemente mandando un SMS, me parece una locura. 

Otra de las cosas que más disfruto es de dar charlas. Mi primera experiencia como speaker fue en el OWASP LATAM TOUR de Buenos Aires en 2015. Ese mismo año fui a dar mi primera charla internacional al DragonJarCon en Manizales - Colombia. A partir de ahí me animé a presentar en cualquier evento donde tuviera ganas de hablar, así es como logré estar presente en DefCON 25 CHV, el Arsenal de Black Hat Europe (2016) y USA (2017), tres veces consecutivas en la Ekoparty Security Conference, dos veces en DragonJarCon y varias veces en distintos eventos de OWASP.  Ahora el foco lo tengo puesto en el briefing para Black Hat Europe, que tendrá lugar en diciembre.

Dicen por ahí que he sido la chica más joven en dar una charla en DefCON y en BlackHat, quizás también la única chica (o una de las pocas) de Latinoamerica en hacerlo. Todo esto espero que no solo me ayude a mi sino también que anime a otras chicas a tener la valentía de querer estar en DefCON hablando delante de expertos, porque es una experiencia genial. 

Pensando en las niñas a las que les gusta la tecnología o el hacking y tienen dudas, ellas son el motivo por el que innumerables veces he intentado seguir adelante. Durante estos 10 años me he enfrentado a muchas situaciones que no hubiera tenido que atravesar si fuera del sexo opuesto. Primero, tuve muchas dudas y no me atrevía a ir a ciertos eventos porque sabía que probablemente sería la única chica allí. Más tarde, cuando empecé a participar en diferentes conferencias, era el “bicho raro” y llamaba la atención por ser la única chica en una mesa de speakers junto a 30 hombres. Por ello soporté comentarios negativos y un montón de situaciones hostiles. Cuando tuve momentos en los que no quería seguir pensaba: "Si cada chica que atraviesa estas situaciones abandona, siempre habrá una próxima que tendrá que abrirse el mismo camino y será el nuevo bicho raro de la comunidad, pasando por las mismas consecuencias". 

No quiero que ninguna niña que el día de mañana se dedique a la ciberseguridad pase por las cosas que yo pasé, y por eso sigo adelante. Pienso que la mejor forma de minimizar esas posibilidades es que cada vez seamos más chicas en infosec y así cada vez seamos menos “bichos raros” y no tengamos que sufrir consecuencias por ello. Así que si eres una chica y te estas iniciando en infosec, ¡Sigue adelante!


Sheila Berta
Security Researcher @ElevenPaths

Si tú también eres mujer y hacker cuéntanos tu historia en mujereshacker@telefonica.com o rellena el siguiente formulario para inspirar a las más jóvenes. A partir de hoy, iremos publicando las historias recibidas más inspiradoras, valientes y alentadoras.

Estate atento todos los viernes publicaremos un nuevo post de la serie #MujeresHackers:
» Mamá, yo quiero ser hacker

Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths

LiLaS y cómo hacer que una máquina detecte anomalías en protocolos de red como lo haría un experto

November 18, 2017, 9:05 am
$
0
0
La 'inteligencia artificial' busca dotar de inteligencia a los sistemas y a las máquinas para que puedan realizar tareas complejas, como las que caracterizan a la inteligencia humana: hablar, caminar, planificar, percibir el entorno… En definitiva, trata de resolver con éxito algún problema o llevar a cabo alguna tarea satisfactoriamente.

Este vasto campo ha ido evolucionando a lo largo del tiempo. Hace unos años surgieron los sistemas expertos, los cuales están dotados de conocimiento y su misión es servir de apoyo a los especialistas de una determinada área.

Generalmente están compuestos por tres componentes:
  • Una base de conocimiento, que contiene el conocimiento sobre un determinado dominio. Suele representarse en forma de reglas. 
  • Un motor de inferencias. Es el encargado de seleccionar las reglas que deben aplicarse para resolución del problema en cuestión. Para ello podrían usarse heurísticas.
  • Una base de hechos. Contiene afirmaciones que sirven para representar datos, objetos, etc.


En el pasado Equinox (evento de hacking de CDO que estimula la creatividad y el hands-on-lab, que consiste en desarrollar una idea y mostrar un prototipo funcional en 24 horas), presentamos una herramienta llamada LiLaS que permite bloquear tráfico de red a nivel de protocolo.

La idea básica de la herramienta es diseccionar los diferentes protocolos de red y usar Latch para bloquear el tráfico del protocolo deseado. Además, se desvía el tráfico a un sistema experto para inspeccionarlo con más profundidad y añadir inteligencia al sistema. El sistema expertose basa en indicadores de compromiso (IoC) para cada uno de los protocolos y analizar su seguridad. Los IoC permiten establecer características de una amenaza que la identifican, de forma que permitan detectarla. Por norma general, se suelen utilizar en sistemas de detección de intrusiones como IDS o IPS.

Dada la gran variedad de protocolos existentes y el reducido tiempo del que disponíamos decidimos implementar los indicadores de los protocolos más habituales y escoger algunos indicadores sencillos.

Por ejemplo, en el caso del protocolo SMB, se crearon indicadores correspondientes a la fase de descubrimiento de IP, de modo que si se detectaban varias IP destino diferentes en menos de un determinado intervalo de tiempo se consideraba un comportamiento sospechoso.

Otro ejemplo, para el caso de DNS es tener en cuenta la longitud del dominio/subdominio o si hay ciertas extensiones sospechosas. Por ejemplo, en el caso de que se detecten subdominios con un hash largo delante del dominio esto podría utilizarse para exfiltración de datos.

Para HTTP se pueden tener en cuenta factores como el resultado del análisis de la URL por varios motores de antivirus. En caso de obtener varias detecciones esta acción podría hacer saltar las alarmas.

Respecto al protocolo NTP, se midió el número de peticiones por unidad de tiempo, ya que si ésta es elevada podría apuntar a ataques en los que se cambia la fecha, como por ejemplo permite hacer la herramienta Delorean. LiLaS también puede alertar sobre uso de protocolos de IoT.

Éstos son solo algunos ejemplos sencillos de IoC. Obviamente hay muchos más indicadores que se pueden utilizar para cada protocolo. En ElevenPaths incluso se han desarrollado proyectos que consumen varias fuentes de IoC, como uno de los TFM del CDO Challenge llamado “IOC Collection and Enrichment” tutorizado por Miguel Ángel de Castro.

El objetivo de estos indicadores es alertar al usuario cuando se detecte algo sospechoso, y que, en base a esa información, éste pueda decidir acerca del estado del cerrojo. Es más, en caso de detección de un comportamiento claramente malicioso o de que se recojan evidencias de varios comportamientos sospechosos prolongados en el tiempo, la herramienta incluso es capaz de bloquear automáticamente el tráfico correspondiente a dicho protocolo. Ésta es una opción que hemos llamado 'Autolock' y que el usuario puede configurar también por medio de un pestillo si desea utilizarlo o no para cada uno de los protocolos.

En nuestro caso, el sistema experto fue muy útil y proporcionó la agilidad que necesitábamos, evitando tener que entrenar el sistema de detección, entre otros. Una de las ventajas de nuestra herramienta que se podría señalar frente a otros IDS/IPS es la velocidad y la flexibilidad.

Si queréis más detalles acerca de la herramienta LiLaS podéis acceder aquí. Os dejamos un tutorial para que aprendáis cómo funciona.


Por último, me gustaría dejaros algunas reseñas sobre la experiencia del Equinox, en la que se vivieron momentos de todo tipo, desde el “me caigo de sueño” al “como mola esto”, “ya funciona”, “se ha borrado el script”… muy emocionante.

Además, tuvimos la fortuna de que nuestro proyecto fuera premiado en la categoría de seguridad. Sin duda, una gran experiencia con extraordinarios compañeros.

Carmen Torrano
Security Researcher en ElevenPaths
Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths

Funcionamiento de OCSP con Certificate Transparency

November 20, 2017, 6:09 am
$
0
0
Online Certificate Status Protocol (OCSP) quizás sea el protocolo menos conocido o estudiado de la infraestructura PKI, los certificados digitales y la familia SSL/TLS, ya de por sí desconocidos en su zona más "técnica" y "profunda". En este artículo, profundizaremos cómo se comporta no solo este protocolo, sino cómo interactúa con Certificate Transparency, ahora que será obligatorio en abril.
Esencialmente existen tres tecnologías que los navegadores pueden implementar para comprobar el estado de revocación de un certificado digital:
  • La lista negra de revocación descargable, conocida como Certificate Revocation List (CRL) definido en la RFC 5280. Las CRL es una lista de números de serie de certificados revocados que se descarga en un intervalo fijo de tiempo. La historia ha demostrado que no funciona. 
  • OCSP, definido en la RFC 6960. OSCP funciona con un mecanismo de pedido-respuesta que solicita la información sobre un certificado específico a la CA. 
  • CRLSets. Es un método "rápido" de revocación que utiliza solo Chrome, como ellos mismo dicen, para "situaciones de emergencia". Son un conjunto de certificados que se aglutinan de información de otros CRLs, se descargan de un servidor, y son procesados por Chrome. Aunque el método es absolutamente transparente, la gestión de qué certificados van en la lista es totalmente opaca, no se sabe con qué certificados lo actualizan (a menos que se averigüe por otro lado). 
La diferencia fundamental es que CRL proporciona la lista de certificados revocados con menor frecuencia, y por tanto, no proporciona la agilidad que se espera ante una revocación exprés. OCSP brinda información en tiempo real sobre los certificados revocados por una CA emisora. Por ejemplo, para realizar una validación manual de la CRL se puede seguir los siguientes pasos, tomando como ejemplo un Banco de Malasya (maybank.com.id)

// Descargar Certificado de Banco de Malasya
openssl s_client -connect maybank.co.id:443 2>&1 < /dev/null \\
         | sed -n '/-----BEGIN/,/-----END/p' > maybank.pem
// Obtener URL de la CRL
openssl x509 -noout -text -in maybank.pem | grep -A 4 'X509v3 CRL Distribution Points'
// Obtiene el serial del certificado
openssl x509 -noout -text -in maybank.pem | grep -A 4 'Serial Number'
>> 52:AF:68:16:46:76:59:8D:57:57:2B:E5:F8:D2:8F:0F
// Descargar archive de la CRL actual, formato binario
wget http://ss.symcb.com/ss.crl
// CRL en formato texto
openssl crl -inform DER -text -noout -in ss.crl > ss.pem

 A través de esta verificación se puede comprobar un certificado antiguo (Serial Number: 14394B794CEBA750CE1648189AF06049) revocado en 2012: 

// CRL de verisign utilizado por el banco en 2012
wget http://SVRIntl-G3-crl.verisign.com/SVRIntlG3.crl
openssl crl -inform DER -text -noout -in SVRIntlG3.crl >SVRIntlG3.pem
// Verifica la revocación de dos certificados
grep "14394B794C" SVRIntlG3.pem (revocado Sep 12 02:49:50 2012 GMT)
grep "52AF681646" SVRIntlG3.pem (actual, no revocado)

Sin embargo, uno de los problemas que surge cuando la comprobación OCSP está habilitada es el tiempo necesario para completar el Handshake SSL/TLS; a mayor número de peticiones y verificaciones, mayor es el tiempo que le lleva al navegador comprobar la validez del certificado y en mostrar el sitio… algo inaceptable para los tiempos que debe manejar un sitio importante hoy por hoy.

Por ejemplo, para que el navegador muestre la "barra verde" que distingue un certificado de Validación Extendida (EV), las solicitudes OCSP deben hacerse para todos los certificados de la cadena (en algunos casos esto puede requerir hasta tres solicitudes OCSP), y dependerá del navegador la forma de realizar dicha comprobación que puede ser secuencial, en paralelo o a través de una red de distribución de contenido o CDN. Como nota importante, el equipo de Cloudflare dice que con estas comprobaciones, puede llegar a haber hasta un 30 % adicional de tiempo en la carga de un sitio web.

Para superar los problemas de rendimiento, el grupo de trabajo TLS de Internet Engineering Task Force definió una extensión del protocolo TLS, denominado Stapled OCSP (en una mala traducción al español: OCSP grapado). Es una práctica recomendada por el consorcio CA/Browser Forums y puede ser implementado fácilmente en IIS 7+, Apache 2.4+, Nginx 1.7.3+ y Exim, siendo reconocido también por los principales navegadores del mercado.

La clave para un mejor rendimiento es deshacerse de las solicitudes adicionales hacia la CA, y la respuesta OCSP debe ser incluida directamente en el saludo inicial del protocolo SSL/TLS. De este modo, el Stapled utiliza el servidor TLS como proxy para que solicite la respuesta OCSP y la envíe al cliente como parte del handshake TLS. Como la respuesta se obtiene directamente desde el servidor, el cliente no necesita solicitar información a la CA emisora, lo que resulta en un mayor rendimiento del sitio. Sin embargo, la práctica demuestra falta de implementación de servidores con Stapling OCSP habilitado. Este comportamiento puede deberse principalmente a tres factores:
  • Falta de conocimiento del protocolo, mencionado al comienzo.
  • Falsa creencia actual de que los tiempos de sobrecarga no son importantes.
  • Baja tasa de certificados revocados (0,3 % según este estudio) que se ven en la actualidad, lo cual invalida la necesidad de verificarlos.
Por lo antes expuesto, cuando se trata de validar implementaciones de seguridad sobre la base del uso de OCSP, el análisis resulta incómodo y hasta a veces puede parecer innecesario o inútil. Esto también nos sucedió en ElevenPaths cuando nos encontrábamos desarrollando el plugin de Firefox y SCT Checker para detectar Transparencia de Certificados sobre OCSP. Recordemos que, como ya mencionamos, existen tres formas de ubicar físicamente el registro SCT que acompaña al certificado: como extensión X.509v3, como extensión del protocolo TLS (extensión 18) y en respuesta de OCSP. En este último caso, la baja tasa de implementación atentaba contra nuestras pruebas llegando a resultar (casi) imposible encontrar CT sobre OSCP.

Ejemplo de obtención del registro OCSP sobre el dominio de Google (sin resultados) y el de la entidad certifidora Digicert:

openssl s_client -connect google.com:443 -status | \\
  grep -A 4 "OCSP response:" (no muestra OCSP response)
openssl s_client -connect digicert.com:443 -status | \\
  grep -A 4 -B 4 "OCSP Response Data:" (muestra OCSP response)

De acuerdo a lo anterior, para realizar pruebas de obtención del registro SCT sobre OCSP, se buscó un sitio web que lo tuviera implementado y a partir de allí se realizó el siguiente análisis:

// Obtener el certificado de "sslanalyzer.comodoca.com", con SCT sobre OCSP
openssl s_client -connect sslanalyzer.comodoca.com:443 2>&1 < /dev/null \\
| sed -n '/-----BEGIN/,/-----END/p' | cat > comodo.pem
// Obtener la cadena de certificados. 

//El primero se descarta porque es el ya descargado antes
openssl s_client -connect sslanalyzer.comodoca.com:443 2>&1 -showcerts < \\
/dev/null | sed -n '/-----BEGIN/,/-----END/p' | \\

   perl -0777 -pe 's/.*?-{5}END\sCERTIFICATE-{5}\n//s' | cat > chain_comodo.pem
// Obtener la dirección OCSP del certificado
openssl x509 -noout -ocsp_uri -in comodo.pem
>> "http://ocsp.comodoca.com", 
// Ejecutar la validación OCSP
openssl ocsp -issuer chain_comodo.pem -cert comodo.pem -url \\

 http://ocsp.comodoca.com -header "HOST=ocsp.comodoca.com" \\

 -VAfile chain_comodo.pem
openssl ocsp -issuer chain_comodo.pem -cert comodo.pem -text \\

  -url http://ocsp.comodoca.com -header "HOST=ocsp.comodoca.com" \\

 -VAfile chain_comodo.pem
Efectivamente, con estas consultas se obtienen los registros SCT y Log ID del dominio analizado:


A modo de control, se puede tomar el primer Log ID en hexadecimal, convertirlo a BASE64 y verificarlo contra el listado público de Logs de Transparencia de Certificados.

echo "56:14:06:9A:2F:D7:C2:EC:D3:F5:E1:BD:44:B2:3E:C7:46:76:B9:BC:99:\\
  11:5C:C0:EF:94:98:55:D6:89:D0:DD" | tr -d : | xxd -r -p | base64
>> VhQGmi/XwuzT9eG9RLI+x0Z2ubyZEVzA75SYVdaJ0N0=

De acuerdo al listado de Certificate Transparency, este ID corresponde a: ct1.digicert-ct.com/log
Esta información también puede visualizarse fácilmente desde Chrome, al acceder al sitio web (sslanalyzer.comodoca.com) y, mediante la visualización de los eventos de conexión en el momento del Handshake TLS:

chrome://net-internals/#events



scts_from_ocsp_response = "AO8AdQBWFAaaL9fC7NP14b1Esj7HRna5vJkRXM \\
  DvlJhV1onQ3QAAAVF7xvsQAAAEAwBGMEQCIGOBoDxxtb/VoujmQ3WH2u4T1jF3Ri \\
  KNlSEK+MLg9dA0AiATrA9czgxAZsPtoiGuSBHnfSv014jJJSgvtvq3ambrEgB2AGj\\
  2mPgfZIK+OozuuSgdTPxxUV1nk9RE0QpnrLtPT/vEAAABUXvG/WAAAAQDAEcwRQIhA\\
  Oum7vph1pHy8AIxobtkDD5ZE6SkroxzSdC6bmZoX9WDAiBTmudcU6U+4lvVXqgxmHFw\\
74kjvEHfCq4oK40jgvw+dw==" 
 
Log ID = "VhQGmi/XwuzT9eG9RLI+x0Z2ubyZEVzA75SYVdaJ0N0="

Ahora, transformando la primera cadena a hexadecimal, podemos conocer los detalles de cada uno de los registros SCT:
 
echo "AO8AdQBWFAaaL9fC7NP14b1Esj7HRna5vJkRXMDvlJhV1onQ3QAAAVF7xvsQA \\
AAEAwBGMEQCIGOBoDxxtb/VoujmQ3WH2u4T1jF3RiKNlSEK+MLg9dA0AiATrA9czgx \\
  AZsPtoiGuSBHnfSv014jJJSgvtvq3ambrEgB2AGj2mPgfZIK+OozuuSgdTPxxUV1nk9\\ 
  RE0QpnrLtPT/vEAAABUXvG/WAAAAQDAEcwRQIhAOum7vph1pHy8AIxobtkDD5ZE6Skro\\
  xzSdC6bmZoX9WDAiBTmudcU6U+4lvVXqgxmHFw74kjvEHfCq4oK40jgvw+dw==" |   \\
  base64 -d | xxd -p | tr -d '\n'
>> 00ef0075005614069a2fd7c2ecd3f5e1bd44b23ec74676b9bc99115cc0ef949855d \\
 689d0dd000001517bc6fb10000004030046304402206381a03c71b5bfd5a2e8e6437 \\
   587daee13d6317746228d95210af8c2e0f5d034022013ac0f5cce0c4066c3eda221a \\
   e4811e77d2bf4d788c925282fb6fab76a66eb1200760068f698f81f6482be3a8ceeb \\
   9281d4cfc71515d6793d444d10a67acbb4f4ffbc4000001517bc6fd60000004030047\\ 
   3045022100eba6eefa61d691f2f00231a1bb640c3e5913a4a4ae8c7349d0ba6e66685 \\
   fd5830220539ae75c53a53ee25bd55ea831987170ef8923bc41df0aae282b8d2382fc3e77 

Analizando y separando apropiadamente esta cadena, se puede obtener los detalles de cada uno de los registros SCT:



Como puede comprobarse a través del análisis de la cadena OSCP, se puede ver cada uno de los registros SCT implementados.

Desde hace no mucho, también se puede realizar mediante el nuevo modificador "-ct" en OpenSSL:


openssl s_client -ct -connect sslanalyzer.comodoca.com:443

Para esto se debe crear el archivo "/usr/lib/ssl/nano ct_log_list.cnf" con la lista de servidores de transparencia que puedes ver aquí.

Destacamos que la verificación manual de OCSP no es sencilla y no ayuda a intentar convencer a los administradores a su adopción.

Sin embargo, y desde el punto de vista de seguridad OCSP resulta útil si un atacante intenta realizar un ataque MitM contra los certificados digitales y permite detectarlo a tiempo. Por eso, en nuestras soluciones antifraude, creemos necesarios la inclusión de mecanismos de revocación como CRL y OCSP/OCSP Stapling y transparencia de certificados que faciliten la detección de certificados revocados y permita la rápida detección de sitios fraudulentos.

También te puede interesar:
» Certificate Transparency
» Nueva herramienta: PySCTChecker
» Una aproximación práctica al Certificate Transparency
» Certificate Transparency Known Logs
» Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v.1.0 
» Nginx: Enabling OCSP Stapling on Your Server
» Windows: Enabling OCSP Stapling on Your Server
» Why OCSP Stapling is the Best Method for Checking Certificate Validity

Cristian Borghello
Equipo de Innovación y Laboratorio de ElevenPaths
cristian.borghello@11paths.com
@crisborghe
Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths

IPFS, un nuevo playground para los desarrolladores de malware

November 21, 2017, 9:40 am
$
0
0
No son pocos los proyectos diseñados tanto por organismos o empresas para la compartición de inteligencia sobre amenazas. Sin ir más lejos, ElevenPaths dispone de una plataforma de IoC para la detección temprana de amenazas sofisticadas. Sin embargo, cada vez es más frecuente identificar entre este tipo de amenazas, el uso de tecnologías descentralizadas con el objetivo de que un tercero no pueda bloquear cualquier comunicación con el C2C, la distribución de los payloads o de binarios para que siempre se encuentren accesibles. 

Un ejemplo de plataformas descentralizadas que han sido muy recurridas a lo largo del tiempo por determinados threat actors han sido las siguientes:

  • La red Tor como opción para ocultar la localización de los servidores C&C. Vemos en el siguiente gráfico que esta práctica está siendo una tendencia durante este año.

Figura 1. Muestras asociadas que utilizan la red Tor


  • Para acceder a los hidden services de Tor se requiere una configuración específica del navegador, la utilización del Tor Browser Bundle o el enrutamiento de las peticiones a nivel de sistema operativo. Para facilitar el acceso a dichas plataformas sin necesidad de configurar ningún software existen los conocidos como Tor gateways que hacen de proxy entre un usuario que intenta acceder a un recurso .onion y el propio recurso, recogiendo el resultado y sirviéndoselo de nuevo. De esta manera, la comunicación con los C2C albergados en Tor puede ser llevada a cabo por gateaways, como es el caso de Tor2Web.

Figura 2. Muestras que utilizan el gateaway Tor2Web. 

  • Más frecuente es la utilización de archivos torrent para la distribución de malware.

Figura 3. Muestras vinculadas a archivos torrent. 

  • También es sonado el uso de ZeroNet y Freenet, pero ya menos frecuente en la actualidad.  

                                          Figura 4. Uso de ZeroNet por parte de muestras de malware. 


                                             Figura 5. Uso de FreeNet por parte de muestras de malware. 

Sin embargo, recientemente se han identificado en las bases de datos de inteligencia de amenazas de ElevenPaths, muestras de malware que estarían utilizando un protocolo relativamente nuevo como es el de InterPlanetary File System (IPFS, por sus siglas en inglés). 

El malware encontrado realiza resoluciones al dominio gateway.ipfs.io y ipfs.io, utilizado para el acceso a recursos de IPFS. No obstante, no se han observado descargas, motivado probablemente por el propio diseño de la muestra, la cual se construye de diferentes elementos y que las capacidades de descarga o comunicación tipo C2C mediante el uso de IPFS no hayan sido accionadas. 

En primer lugar, para su instalación utiliza diferentes tipos de instaladores de forma encadenada como Setup Factory Runtime, InstallCapital, Install Core o InstallCube. Con el objetivo de conseguir persistencia, utiliza diferentes técnicas como, por ejemplo, las tareas programadas del sistema. Asimismo, para evitar ser detectado realiza modificaciones en la configuración de seguridad del sistema mediante la desactivación del UAC, deshabilitando WindowsDefender y modificando el firewall de Windows. Y, además, otro tipo de técnicas comúnmente utilizadas es la utilización de DNS dinámicos o la inyección de procesos

Finalmente señalar que en los casos detectados se han encontrado muestras que incorporaban malware como en el gusano común Sality, el cual utiliza como método de propagación las unidades extraíbles y con capacidades de descargar malware adicional. Y, en otra de las piezas identificadas asociadas a IPFS, incorporaba Glupteba, un troyano que genera ingresos haciendo clic en publicidad en un sistema comprometido. 

El uso generalizado de este protocolo podría llevarse a cabo en el futuro debido a las características técnicas que ofrece. Al igual que se ha realizado con los torrents por su amplia utilizado por diferentes tipos de muestras maliciosas, es probable que en el futuro sea necesario proteger los sistemas evitando conexiones a IPFS, con la consiguiente pérdida de fiabilidad en este sistema.




Miguel Ángel de Castro Simón
Senior Cybersecurity Analyst at ElevenPaths
Intelligence Analyst at ElevenPaths' Innovation Lab
@yrubiosec
yaiza.rubiovinuela@telefonica.com






Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths

Dorothy Vaughan: matemática y primera manager afroamericana de la NASA

November 22, 2017, 10:06 am
$
0
0

Ilustración Dorothy Vaughan
Ilustración realizada por Catalina Guzmán

"Cambié lo que pude, y lo que no pude, lo aguanté".
Dorothy Vaughan

A pesar de ser discriminada por ser mujer y por el color de su piel, Dorothy Vaughan, logró ser la primera manager afroamericana de la NASA.

Biografía
Dorothy Vaughan nació el 20 de septiembre de 1910 en Kansas City, Missouri y murió el 10 de noviembre de 2008 en Hampton, Virginia.  En 1929 se graduó como matemática en Willberforce University, Ohio.

En 1943, Vaughan se unió a la Unidad Informática del Comité Consultivo Nacional de Aeronáutica (NACA), organización que luego se convirtió en la NASA. En una época en la que, a pesar de las nuevas leyes en contra de la discriminación, la mujer y los afroamericanos no tenían muchos derechos, Dorothy desafió lo que en ese momento significaba ser científico, ser mujer y ser alguien de color.

Durante los principios del programa de la NASA, Dorothy junto a sus compañeras, trabajaron en el Área Oeste, área separada de los demás trabajadores, donde desarrollaban data fundamental para lograr lanzar el primer satélite. Dorothy no dejó que este hecho la desanimara y demostró que tanto ella como su equipo, eran igual de capaces de entregar un trabajo bien hecho y así aportarle a la sociedad.

A medida que el programa iba avanzando, la NASA introdujo los ordenadores de IBM. Donde los demás vieron unas máquinas intimidantes, ella visionó que esta nueva tecnología iba a automatizar su trabajo, causando su reemplazo y el de su equipo. Para ello, buscó la manera de volverse indispensable. Aprendió a programar los ordenadores leyendo los manuales de IBM porque entendió que un ordenador no se podía auto programar, alguien lo tenía que hacer.

Por su gran trayectoria, en 1949, Vaughan logró ser la manager de su proyecto, volviéndose en la primera manager afroamericana de la NASA. Este ascenso le dio acceso a más áreas con un mayor número de proyectos y compañeras destacadas del sector. Con esto, también se ganó el respeto de sus compañeros, quienes valoraban tanto su opinión y recomendaciones, que acudían a ella para saber quién era la persona adecuada para cada proyecto, volviéndose así la mentora y razón del éxito de muchos. 

Entre sus proyectos más destacados están:
  • Manual con los métodos algebraicos para calcular las máquinas de IBM.
  • FORTRAN, lenguaje de programación a través de la matemática. 
  • SCOUT, programa para lanzar satélites al espacio.

Después de 28 años, Dorothy se retiró de la NASA. En 2016 su historia ganó atención mundial por el libro Figuras Ocultas de Margot Lee Shetterly. El libro cuenta los obstáculos que Dorothy junto a otras mujeres, como Katherine Johnson y Mary Jackson, superaron para lograr ser mujeres destacadas en las matemáticas y ciencias en épocas en que la mujer y los afroamericanos eran discriminados. Posteriormente, de este libro, se adaptó una película con el mismo nombre que logró varias nominaciones a los Oscar.

¿Qué opinas sobre la brecha de género que hay en el sector tecnológico? ¡Déjanos tu comentario!

Lee el resto de posts de la serie homenaje de mujeres que han creado un hito en la historia STEM:

Artículo publicado en el Blog de ElevenPaths - Sucríbete al RSS - Sigue ElevenPaths en Twitter - Sitio web oficial de ElevenPaths
Viewing all 1287 articles
Browse latest View live
Search