Cybersecurity Avatar_Caso de ciberidentidad de Bozkurt Hackers

miércoles, 29 de junio de 2016


Llegan los CyberSecurity Avatar. Nuevos informes de investigación de ejercicios de atribución en la red sobre ciberidentidades involucradas en actividades maliciosas en la red. ElevenPaths descubre de primera mano la verdadera identidad de estos ciberdelincuentes, así como el nivel de seguridad operacional que suelen mantener para frustrar las actividades de investigación de nuestros analistas.

Se irán publicando casos reales todas las semanas durante el mes de junio y julio. Cada entrega con un caso real. ¡No te lo puedes perder!

Os dejamos un breve resumen del caso de esta semana:

Bozvurt Hackers
La ciberidentidad BozkurtHackers es la responsable de la filtración de bases de datos procedentes de bancos con sede en Emiratos Árabes Unidos, Bangladesh y Nepal, tanto a través de foros de la deep web como a través de Twitter. Sin embargo, no se ha podido confirmar si se trata de los verdaderos responsables de los robos de informacióm.

» Descárgate el caso BozkurtHackers

Más información en
Elevenpaths.com

Qué hemos presentado en el Security Day 2016 (VII): Firma digital

martes, 28 de junio de 2016

La firma electrónica cómoda, usable e innovadora.
Hace más de 20 años surgió el concepto de “oficina sin papeles” en el que no será necesario imprimir documentos, sino que se gestionará todo como documentos electrónicos ganando en eficiencia, comodidad y con un importante ahorro de costes al eliminar el papel y la necesidad de su manipulación.


Durante estos años hemos visto avances importantes. Han aparecido productos y tecnologías que pueden hacer realidad esta visión. Tecnologías como formatos estándar de documentos electrónicos, gestores documentales, sistemas de workflow o BPM, correo electrónico, certificados digitales y soluciones firma electrónica, etc. pero al parecer esto no es suficiente. Según algunas estadísticas, hoy en día gastamos mucho más papel que hace 20 años.

¿Qué ha fallado entonces? Todavía existen algunas barreras. Algunas son culturales, recibimos un documento electrónico y lo seguimos imprimiendo cuando lo tenemos que leer (especialmente si es un documento con muchas páginas) o cuando alguien tiene que firmarlo.

Existen también algunas barreras tecnológicas. La firma electrónica con certificados fue creada a finales de los años 90, cuando lo que predominaba era el PC y las aplicaciones web. Hoy en día, las aplicaciones de firma continúan en su mayoría basándose en este modelo con componentes que se incrustan en páginas web y se ejecutan en el PC como applets de java o controles ActiveX. Estos componentes y el software requerido para su ejecución han sido tradicionalmente una auténtica pesadilla para la seguridad por la cantidad de vulnerabilidades y para los responsables de sistemas por la dificultad de gestionar las nuevas versiones.

La aspiración de cualquier organización es que sus directivos y empleados puedan firmar cualquier documento en cualquier lugar de una forma sencilla, cómoda y efectiva. Estos son los objetivos de la solución que se ha presentado y que surge como resultado de la colaboración entre un organismo público y algunas empresas privadas.

La solución está basada en un planteamiento que se resumen en los siguientes puntos:
  • Habitualmente usamos diferentes dispositivos, como Smartphones, tabletas y PCs. La seguridad de la firma basada en un certificado digital depende de la capacidad de custodiar de forma segura su clave privada. Por tanto, tiene sentido plantear el almacenamiento centralizado de los certificados digitales en un dispositivo de alta seguridad HSM o caja fuerte digital que tenga el mismo nivel de seguridad certificado que una smartcard.
  • Con el objetivo de hacer sencilla y cómoda la firma, proporcionaremos todos los elementos necesarios para realizar la firma desde una cloud (pública, privada o hibrida según se encaje con las necesidades y políticas de la organización) que sea accesible por todos los dispositivos y que evite la necesidad de instalar ningún software para realizar la firma. De esta forma será suficiente simplemente disponer de un navegador web en el dispositivo con el que voy a firmar. Todas las funciones como el motor de firma, la validación de los certificados digitales, las integraciones con las aplicaciones de negocio, etc. estarán disponibles en la cloud mencionada.
  • En tercer lugar, el punto más importante, debemos aseguramos que solo el firmante puede activar el uso de la clave privada del su certificado digital. Es decir, como mantener el certificado digital bajo el exclusivo control del firmante aun cuando este se encuentre almacenado centralizadamente en un dispositivo central. Este se puede conseguir empleando diversos mecanismos de autenticación y autorización que tienen como elemento común el móvil. En especial se propone el reconocimiento de la firma manuscrita de la firmante, realizada sobre la pantalla táctil de su dispositivo móvil a modo de PIN de acceso y que puede ser combinada con otros factores de autenticación adicionales si fuese necesario y elementos de autorización como Latch® de Telefónica.
  • Por último, para evitar el trasiego del certificado digital durante su emisión o renovación, es deseable que la autoridad de certificación (CA) se encuentre integrada dentro de la solución de forma que se emita y renueve el certificado directamente en una vez verificada la identidad del firmante la primera vez.
La solución presentada es el resultado de un proyecto iniciado hace algo más de 3 años a partir de las ideas planteadas por el Ministerio de Empleo y Seguridad Social, quien se planteó que la firma electrónica era demasiado complicada para el usuario y que existía una oportunidad de innovar combinando varias tecnologías existentes con el objetivo de conseguir hacer más sencilla la tarea a sus usuarios manteniendo la seguridad de la firma.

La solución permite a un usuario conectarse con cualquier dispositivo a su aplicación de negocio (en nuestro caso un portafirmas) y firmar usando un certificado digital almacenado centralizadamente, autorizando la firma mediante el reconocimiento de su firma manuscrita y a la que puede añadirse un PIN de 4 dígitos para aquellos casos en los que se requiera una seguridad de 2 factores de autenticación.

La solución ha sido creada a partir de la combinación de las tecnologías de ElevenPaths (SealSign® y Latch®) y SIA (SafeCert® y SIAVAL®). Aportando elementos de fiabilidad probada, como los que se emplean en el proyecto CL@VE de la AGE y algoritmos de firma biométrica presentes en multitud de clientes. Uno de los principales logros del proyecto ha sido ser capaces de abstraer de la complejidad al usuario realizando una tarea compleja como es la firma electrónica de forma amigable y sencilla para el usuario.

Próximamente iremos publicando el resto de la serie. ya podeis ver los en vídeo en el canal de YouTube del Security Day 2016 todas las veces que queráis. Si además, quieres o necesitas más información sobre alguno de nuestros productos no dudes en ponerte en contacto con nosotros vía el formulario de la web de ElevenPaths.

Os esperamos de nuevo en nuestro evento anual de innovación y seguridad. No te pierdas la cuarta edición del Security Innovation Day, que celebraremos el próximo 6 de octubre en el Auditorio Central de Telefónica. Apúntate esa fecha en el calendario, ¡no te lo puedes perder!

*También te puede interesar:
Security Day 2016_Security Evolution
ElevenPaths anunciamos nuestras nuevas alianzas estratégicas en nuestro III Security Day
ElevenPaths announced its new strategic alliances in the third Security Day
Qué hemos presentado en el Security Day 2016 (I)
Qué hemos presentado en el Security Day 2016 (II): “Unidos somos más fuertes”
Qué hemos presentado en el Security Day 2016 (III): Virtual Patching con Vamps, Faast & Fortinet
Qué hemos presentado en el Security Day 2016 (IV): MetaShield Protector para Outlook Online en Office 365
Qué hemos presentado en el Security Day 2016 (V): SandaS
Qué hemos presentado en el Security Day 2016 (VI): SandaS GRC


Más información en
elevenpaths.com

Rames Sarwat

ElevenPaths


Joseba García Celada

MEYSS