Firma digital de documentos con SealSign (III)

miércoles, 27 de mayo de 2015

En un artículo anterior vimos los distintos productos de SealSign e indicamos que se basaban en la firma digital, la cual puede utilizar tanto biometría como certificados digitales. En este artículo vamos a analizar el uso de los certificados digitales en los productos de SealSign.

Esquema simple de firma digital

Certificados digitales

Un certificado digital es básicamente un documento electrónico que asocia una identidad (de un usuario, una empresa, un servidor, etcétera) con una clave pública. Además dicha asociación está garantizada por una entidad de confianza (llamada Autoridad de Certificación) que en España son principalmente la Fábrica Nacional de Moneda y Timbre y la Dirección General de Policía. En algunos aspectos es muy similar al DNI. El DNI es un documento en el que aparece la identidad de un usuario, una firma manuscrita que le identifica y tiene un periodo de validez. En el certificado digital aparecen también la identidad de una entidad (usuario, empresa, servidor, etcétera), en lugar de la firma manuscrita aparece la clave pública, y también tiene una caducidad.


Comparación entre un DNI y un certificado digital


Hay varios tipos de certificados, pero todos tienen unos atributos (información privada asociada: nombre, email, etcétera) que permiten asociar una identidad a una clave pública.

Introducción al módulo CKC (Central Key Control) de SealSign

En una empresa cada empleado puede utilizar uno o varios certificados para identificarse en Internet al realizar ciertas operaciones que requieren su identificación. Cada uno de esos certificados se almacena en su propio equipo. Uno de los problemas más habituales en cualquier organización, es la ineficiente gestión de los certificados y claves usados para la firma de documentos, sobre todo cuando estas gestiones se hacen de forma masiva por varios miembros de la misma compañía. Piénsese en la cantidad de certificados que puede haber en una empresa modesta, de digamos unos 500 empleados.

Uso de certificados por los empleados al realizar operaciones en Internet

CKC proporciona un almacén de certificados y claves asociados a unas reglas de uso configurables. Este almacén puede utilizar certificados guardados en diversos repositorios y gestionarlos como si estuviesen almacenados localmente en cada equipo. De esta forma las acciones que realiza son transparentes al usuario. Además solo permite a los usuarios autorizados que realicen los procesos de autenticación, firma o cifrado. CKC tiene una parte servidora que es donde se sitúa el almacén de certificados, y una parte cliente que es la que utilizan los usuarios para acceder a esos certificados.

Certificados de los usuarios almacenados en un servidor CKC


Además, CKC tiene la posibilidad de aumentar la seguridad en el acceso a los certificados, añadiendo un factor extra de autenticación a la hora del uso de la clave privada de los mismos. Esta adición se basa en la integración con SmartID (otro producto de ElevenPaths), de modo que se pueden añadir factores tales como tarjetas inteligentes (con o sin contacto) o huellas dactilares. También permite configurar tanto una lista de procesos, de equipos cliente, o de usuarios autorizados como una lista de URLs en las que se permitirá el uso de las claves privadas asociadas a los certificados de la plataforma.

El módulo dispone de una consola de administración basada en web, que es la misma que la utilizada con otros productos de SealSign, de cara a una mayor integración entre los módulos.

El módulo CKC dentro de SealSign


Características de CKC

Una vez que un entorno empresarial dispone del módulo CKC deberá haber un administrador que se encargue de gestionar el módulo. Antes de que un certificado pueda ser usado o compartido a través de CKC, ese administrador deberá añadir el certificado o su referencia en el servidor de SealSign DSS. Los certificados se pueden autoimportar al servidor de una forma transparente al usuario, además los usuarios avanzados o "power users" pueden importar al servidor sus propios certificados.

El módulo DSS es el módulo sobre el que descansa el funcionamiento de CKC. De hecho para su correcto funcionamiento necesita además los módulos DSS Web y DSS Service de SealSign. (En el primer post de esta serie se indican los módulos existentes).

Módulos de SealSign para CKC

Opcionalmente esos certificados se pueden guardar en servidores, bases de datos cifradas o dispositivos criptográficos. También es posible utilizar diversos tipos de autenticaciones respecto a los usuarios, como por ejemplo usuarios internos del servidor o autenticación con Active Directory.

Posible entorno empresarial con un módulo CKC


Una vez que los certificados se han añadido al almacén de CKC ya están disponibles para su uso, aunque hay que tener en cuenta cada certificado tiene un único propietario.

El uso de CKC permite establecer distintos usos a cada certificado mediante un conjunto de condiciones de acceso. Estas condiciones incluyen diversas combinaciones de elementos de una organización. Entre estos elementos se pueden citar por ejemplo a usuarios autorizados, equipos o dispositivos desde los que se permite el acceso, aplicaciones autorizadas, URLs autorizadas (solo en Internet Explorer), etcétera.

Será el administrador de CKC el que establezca estas condiciones. Esto hace posible que, por ejemplo, solo desde ciertos equipos se pueda acceder a determinados certificados, lo que añade un nivel extra de seguridad al uso de estos.

Es posible también generar y exportar automáticamente informes con las acciones realizadas por CKC, ya que DSS Service incluye un módulo de auditoría e informes integrado que registra cualquier uso de los certificados digitales almacenados.

Casos de uso con y sin CKC
  • En caso de disponer de un certificado importante:
Supongamos que la empresa SUAN con 50.000 empleados, dispone de un certificado extraordinariamente importante con el cual se pueden realizar acciones de alto nivel (transacciones bancarias, compras y ventas de activos, etcétera). Ese certificado solo está disponible para los cinco consejeros delegados de SUAN.

Sin CKC: En este caso cada uno de los cinco consejeros delegados deberá disponer en su equipo de una copia de dicho certificado. El hecho de que existan cinco copias del mismo certificado supone un riesgo excesivo en caso de pérdida del equipo o suplantación del consejero por parte de un intruso. A la hora de actuar cada uno de los consejeros delegados utilizaría su certificado para realizar las acciones necesarias en Internet.

Entorno empresarial de SUAN sin el uso del módulo CKC


Con CKC: En este caso el certificado se almacena de forma segura en un servidor de CKC y cada uno de los cinco consejeros delegados podrá acceder a él, siempre y cuando cumplan las normas de seguridad establecidas en dicho servidor (acceso a determinados usuarios, acceso desde ciertas aplicaciones, etcétera). A la hora de actuar, cada uno de los consejeros delegados se identificaría en el servidor en el que estuviera CKC, y tras obtener el certificado realizaría las acciones necesarias en Internet.

Entorno empresarial de SUAN sin el uso del módulo CKC

  • En caso de necesitar delegar el certificado:
Supongamos que la empresa ANSU con 500 empleados, tiene un único jefe con un certificado importante con el cual realiza todas las transacciones de la empresa. El jefe se tiene que ausentar un mes por determinados motivos y durante ese tiempo hay que realizar una tarea que requiere el uso de ese certificado.

Sin CKC: En este caso el jefe debería confiar en uno de sus subalternos para que usase el certificado en su ausencia para realizar dicha tarea. Esto no impediría a dicho empleado su uso para realizar cualquier transacción cuyas consecuencias podrían ser imprevisibles para la empresa.

Con CKC: En este caso el jefe podría indicar a uno de sus subalternos que usase el certificado en su ausencia para realizar dicha tarea, pero podría establecer previamente que lo utilizase únicamente en un momento dado, siendo denegada invalidada cualquier acción realizada con dicho certificado en otro momento.

En un próximo artículo se mostrarán casos de uso en los que se pueden utilizar los certificados digitales y la biometría.

Firma digital de documentos con SealSign (I)
Firma digital de documentos con SealSign (II)


ElevenPaths with triple representation at the eCrime 2015 conference

martes, 26 de mayo de 2015

This year, the antiphishing working group organizes the eCrime 2015 conference in Barcelona from May 26 to 29. This symposium on eCrime investigation is attended by professionals who have conducted interesting investigations in this area in 2015. ElevenPaths takes part with three different proposals.

Join the phishing dots to detect suspicious mobile apps

Carlos Díaz presents this study that shows how with the help of Tacyt and Sinfonier it is easy to find apps on Google Play that make reference to other different apps in alternative locations, which represent potential "downloaders" or "adware". The goal is to visually present the relationships existing between these "embedded" programs, the GP apps that reference them and the developers. By analyzing the aspect of these graphs, an analyst can identify patterns of embedded apps that could be potentially malicious.

Oh! the BIOS

David Barroso, CTO of ElevenPaths, will be talking about the BIOS, that component we have all heard of, but whose operation we know nothing about. In theory, it is the ideal place for running malicious code, since it is the first thing that runs when we turn on a computer. The perfect place for storing malicious code because (almost) nobody is going to look if there's something unusual there... Although there have been public investigations of BIOS infections for nearly 10 years, it became really popular with the #BadBIOS controversy and later with Snowden's documents, giving rise to much concern on this issue. There have been investigation groups for many years in several countries that are investigating how to take control of the BIOS (or UEFI in the latest computers) and Snowden has shown that some countries are actively using these investigations in CNE operations.

Chasing Shuabang in App Stores

We will also present in detail the investigation we carried out in the lab in late-2014, which discovered a completely new malware model hosted on Google Play. It was Shuabang. ElevenPaths detected dozens of malicious apps hosted on Google Play that were intended for Shuabang, or BlackASO (Black Hat App Store Optimization). The malicious apps linked false accounts with the victim's actual device, thus achieving very credible accounts. With these accounts, the attacker would send tasks to the victims so they would download new apps. The user's account remained safe, but not their personal data on the phone. The attacker needed a database with more than 12,000 Gmail accounts to complete the attack, which represented a real novelty in the world of malware for Android. .

ElevenPaths con triple representación en el congreso eCrime 2015

lunes, 25 de mayo de 2015

El antiphishing working group organiza el eCrime 2015 ese año en Barcelona, del 26 al 29 de mayo. Este simposio sobre investigación en el eCrime, reúne a profesionales que hayan realizado una investigación interesante en este campo durante 2015. ElevenPaths participa con tres propuestas diferentes.

Join the phishing dots to detect suspicious mobile apps

Carlos Díaz presenta este estudio donde se presenta cómo, con ayuda de Tacyt y Sinfonier, es sencillo encontrar aplicaciones en Google Play que hagan referencia a otras aplicaciones diferentes en ubicaciones alternativas, que representan potenciales "downloaders" o "adware". El objetivo es presentar visualmente las relaciones existentes entre estos programas "incrustados", las apps de GP que los referencian y los desarrolladores. Analizando el aspecto de estos grafos un analista puede identificar patrones de apps embebidas que pueden ser potencialmente maliciosas.

Oh! la BIOS

David Barroso, CTO de ElevenPaths, hablará sobre la BIOS, ese componente que todos conocemos pero que desconocemos su funcionamiento. En teoría, el sitio ideal para ejecutar código malicioso puesto que es lo primero que se ejecuta cuando se arranca un ordenador. El lugar perfecto para almacenar código malicioso porque (casi) nadie va a mirar si hay algo raro... Aunque desde hace casi 10 años existen investigaciones públicas de infecciones de BIOS, no ha sido hasta que se hiciese realmente popular con la polémica de #BadBIOS, y posteriormente los documentos de Snowden, cuando realmente ha surgido una preocupación por el tema. Desde hace muchos años existen grupos de investigación en varios países que están investigando cómo tomar el control de la BIOS (o UEFI en los equipos más recientes) y Snowden ha demostrado que existen naciones que están utilizando activamente estas investigaciones en operaciones CNE.

Chasing Shuabang in App Stores

También presentaremos en detalle la investigación que llevamos a cabo en el laboratorio a finales de 2014, en la que se descubrió un modelo de malware completamente nuevo alojado en Google Play. Se trataba de Shuabang. ElevenPaths detectó decenas de apps maliciosas alojadas en Google Play destinadas al Shuabang, o BlackASO (Black Hat App Store Optimization). Las apps maliciosas vinculaban cuentas falsas con el dispositivo real de la víctima, consiguiendo así cuentas muy creíbles. Con estas cuentas, el atacante enviaba tareas a las víctimas para que descargasen nuevas aplicaciones. La cuenta del usuario permanecía a salvo, no así sus datos personales sobre el teléfono. El ataque necesitaba de una base de datos de más de 12.000 cuentas de Gmail para poder completarse, y supuso una verdadera novedad en el mundo del malware para Android.

Faast already detects "Logjam": Imperfect Forward Secrecy

jueves, 21 de mayo de 2015

Faast teams have been working all day long to add a new plugin to our list of detected vulnerabilities. There has been found a new security problem in TLS protocol that allows to force the use of insecure 512 bits keys during Diffie-Hellman exchange. The use of such a short key, plus a bad practice in servers using over and over basically the same 512 bits primes, allows an attacker to break into most of supposed secure connections. This vulnerability, reported today, is known as Logjam and could affect 80% of TLS connections.

Detection of Logjam included in Faast knowledge base

After analyzing the vulnerability, our developer teams in Faast have added to our knowledge base a plugin to detect Logjam that, after going through QA process, has been released tonight. All our persistent pentesting clients will be getting security warnings related to this problem if it is detected in their infrastructures.

Faast ya detecta "Logjam": Imperfect Forward Secrecy

miércoles, 20 de mayo de 2015

Durante el día de hoy los equipos de Faast han estado trabajando en añadir a la lista de plugins una nueva vulnerabilidad. Se ha encontrado un problema en el protocolo TLS que permite forzar al uso de claves inseguras de 512 bits durante el intercambio Diffie-Hellman. El uso de claves tan cortas, añadido a la mala práctica en servidores a la hora de utilizar fundamentalmente un grupo muy reducido de números primos de 512 bits, permite a un atacante romper las conexiones supuestamente seguras. Esta vulnerabilidad, conocida hoy, afecta al 80% de las conexiones TLS.

Detección de Logjam incluida en la knowledge base de Faast

Tras analizar la vulnerabilidad, los equipos de desarrollo de Faast han ampliado la knowledge base con un plugin de detección de Logjam que, tras pasar las pruebas de QA ha sido puesta en producción durante la noche de hoy. Todos los clientes del servicio de pentesting persistente Faast comenzarán a recibir alertas de seguridad relativos a este nuevo fallo en sus infraestructuras.

Seguridad e innovación en Brasil

martes, 19 de mayo de 2015

Esta semana, Chema Alonso, está en la ciudad de Sâo Paulo, junto con Leandro Bennaton, nuestro Chief Security Ambassador brasileño, en dos de los eventos sobre seguridad e innovación más destacados de la industria celebrados hoy y mañana en Brasil.

Security Innovation Day Brasil
Mañana, 20 de junio de 2015, Vivo en Brasil celebrará un evento de seguridad para sus clientes. Estarán Chema Alonso, CEO de ElevenPaths, Phil Zimmerman, creador de PGP; y Leandro Bennaton, CSO de Terra y Chief Security Ambassador de ElevenPaths en Brasil. Puedes consultar toda la información sobre el evento en Security Innovation Day Brasil.



Conferencia en Universidad Paulista
Esta tarde y mañana día 20 de junio, tendrá lugar en Sâo Paulo, el II Encuentro Internacional de Tecnología - EITEc donde Chema hablará sobre empresas de seguridad y hackers. Puedes consultar el programa de la agenda en su web. Además, será transmitido en vivo por la TV web de la Universidad.

Faast, módulos y plugins

lunes, 18 de mayo de 2015

Faast dispone de múltiples módulos o "plugins" que se encargan de realizar una o varias comprobaciones para adaptarnos a nuevos medios (sistemas, páginas o frameworks) o con el fin de añadir rápidamente pruebas específicas para vulnerabilidades conocidas. Así, hemos creado de forma rápida plugins para Heartbleed, Shellshock, FREAK, MS15-034, etc...

Aprovechando el sistema modular, se ha implementado un sistema similar para reutilizar todas las peticiones web que realiza Faast hacia los activos de la organización y analizar esas respuestas. Esto permite retroalimentar la auditoría de forma continua, tal y como realiza un pentester profesional. Comentemos algunos de estos módulos.

Crawling: Mapa de activos y fugas de información

Es el encargado de la esencial parte de Crawling para completar el mapa de activos. Gracias a la infraestructura de Faast, no solo permite capturar enlaces, sino además correos electrónicos ubicados en cualquier archivo público, completándose con otras vías de obtención de correos electrónicos como pueden ser la búsqueda en directorios PGP o la recolección de metadatos gracias a Metashield.

Ejemplos de correos extraídos por Faast

Tras la aparición del módulo de Crawling, se han ido añadiendo módulos "complementarios". Por ejemplo el de fugas de información. Las fugas de información pueden referirse tanto a los datos personales como a los característicos errores de programación PHP o de configuración del servidor que permiten al atacante conocer mejor la infraestructura y preparar mejor otros ataques posteriores.

Este sistema de módulos se vuelve muy versátil cuando se combinan los módulos entre sí. Por ejemplo, para provocar fugas en este sentido, se utilizan distintas técnicas como: realizar conversiones de tipo en las variables la cadena de consulta (query string), inyecciones a motores de base de datos o simplemente introducir caracteres especiales en la petición. Estas acciones pueden provocar un comportamiento inesperado en las aplicaciones web con fugas de información.

Ejemplo de reporte de fuga de información

Reinterpretación de las fugas

Ante las fugas de información es necesario interpretar y comprenderlas para mejorar el escaneo. Por ejemplo, en los errores de PHP podemos destacar la recuperación del usuario en los errores de autenticación de SQL. También podríamos destacar el error que el servidor muestra cuando el código del desarrollador intentar acceder a una variable que no ha sido asignada. Por defecto será null y esta excepción se mostrará en la web de esta forma:

Ejemplo de vulnerabilidad con la variable URL sin definir
Esta variable es capturada y reportada como dentro de la URL tanto en la cadena de consulta (query string) para que posteriormente el resto de módulos de Faast realicen las pruebas pertinentes sobre ella. Siguiendo con el esquema de análisis del contenido de los archivos que procesa Faast, cabe destacar la detección de las fugas de código fuente. Como se comentó en post anteriores sobre la subida de repositorios de código a entornos de producción, es habitual que el servidor no este configurado adecuadamente o se realicen copias de seguridad de archivos. Estas acciones provocan que la plataforma no detecte los archivos como archivos interpretables (como es el caso de PHP) y este código quede accesible.

Fuga de información en el código fuente

La detección de fugas de información se complementa con la detección de servidores que están en modo depuración. Este módulo se encarga de detectar configuraciones que solo deberían estar presentes en entornos de desarrollo y que no deberían usarse en entornos de producción reportando una recomendación cuando se detecta esta configuración.

Dependiendo de la plataforma, esta recomendación puede ser más o menos crítica. Podríamos citar el caso del framework Laravel, que en caso de tener los errores habilitados puede ofrecer mucha información sobre el código.

Y no sólo con el HTML o peticiones web

Aprovechando la estructura modular, en Faast no nos hemos limitado a los módulos que analizan las peticiones HTML, sino que también se evalúan los archivos binarios. En el caso de ficheros ejecutables se valora si están o no firmados digitalmente.

Recomendación sobre archivos ejecutables no firmados

En el caso de ficheros comprimidos, Faast no solo es capaz de detectar copias de seguridad de carpetas y archivos basándose en el original, sino que de forma transparente, estos son evaluados en busca de código fuente o de archivos relevantes. Se reportan para que el cliente evalué si esos ficheros son legítimos o realmente suponen un riesgo para la organización.

Módulos para recursos externos

Cargar recursos de forma externa puede suponer una vía de ataque para los atacantes. Un ejemplo es el ataque que sufrió la RSA Conference sufriendo una "desfiguración" por cargar una librería externa de JavaScript. Al hacerlo, se delega el control a un tercero. Faast reporta los enlaces a imágenes, librerías JavaScript u hojas de estilo CSS que se deleguen a otras organizaciones.

Teniendo en cuenta la política CORS, también se valoran los enlaces que no cumplan esta política. Dependiendo de la configuración del navegador del cliente, puede que muestre la web incorrectamente. Por ejemplo, cargar elementos por HTTP cuando se navega a través de HTTPS provocaría una alerta en el navegador.

Y no solo eso, Faast reporta vulnerabilidades o recomendaciones valorando la configuración de las cabeceras que implementa el servidor, como por ejemplo la ausencia de la cabecera X-Robots-Tags en el caso del fichero Robots.txt para evitar su indexación, la ausencia de las cabeceras Content Security Policy, o la ausencia de la cabecera X-FRAME-OPTIONS para evitar posibles ataques de clickjacking. Además de, como añadido, malas configuraciones en cabeceras como podrían ser el desactivar la protección contra XSS de los navegadores con la cabecera XSSProtection o ser muy permisivo con la configuración CORS con la cabecera Same-Origin Policy.


Óscar Sánchez
oscar.sanchez@11paths.com

Latch, the best mobile app of 2015

miércoles, 13 de mayo de 2015



We are the winners!
Latch, our mobile app to protect your online accounts and services when your are not connected, has just been recognized as the best mobile app of 2015 by receiving the first prize on the Internet Day Awards.

When we are all connected, we are vulnerable. If you not close the latch, download Latch (it's free!) on your mobile device from your official market store. Discover the services where you can use Latch and improve the security for your digital life.

Internet Day Awards
The Internet Day Awards is one of the main events of the World Day of the Internet, and has gathered the best initiatives, people and organizations that improve user experience on the Internet and new technologies.

Thanks again to all who have trusted in the security of Latch, those of you who are part of our community, everyone online whose votes were collected and the recognition of the jury of the Awards.

Latch, mejor app móvil del 2015



¡Somos ganadores!
Latch, nuestra app móvil que permite implementar un pestillo de seguridad a nuestras identidades digitales cuando no estamos conectados, ha recogido hoy el premio a mejor app móvil multidispositivo del año 2015 en la Gala de entrega de los Premios de Internet 2015.

Cuando todos estamos conectados, todos somos vulnerables. Si todavía no estás latcheado, descárgate Latch (¡es 100% gratuita!) en tu móvil desde tu market store oficial. Pon un Latch en tu vida digital y echa el pestillo a tus identidades y cuentas digitales. Descubre los servicios a los que puedes echar el pestillo, empieza a usar Latch, recupera el control y mejora la seguridad de tu vida digital.

La Gala
La Gala de entrega de los Premios de Internet, se ha celebrado esta mañana en el Espacio Fundación Telefónica, situado en el corazón de la Gran Vía madrileña. Esta Gala es uno de los actos centrales del Día Mundial de Internet, y ha reunido lo mejor y a los mejores del Mundo de Internet.

Gracias una vez más a todos los que habéis confiado en la seguridad de Latch, a los que formáis parte de nuestra comunidad, a los votos online recogidos y al reconocimiento del jurado de los Premios.

ElevenPaths Security Day: Simplify Security

martes, 12 de mayo de 2015





Simplify Security
Acompáñanos en esta segunda edición de nuestro Security Day. Te esperamos el 28 de mayo a las 09:30 horas en el Auditorio Rafael del Pino, Madrid, localizado en la calle Rafael Calvo 39A. Comparte una mañana con nosotros y conoce de primera mano las nuevas soluciones de seguridad de ElevenPaths pensadas para simplificar algunas de las tareas incómodas presentes en tu día a día.

Date prisa, ¡el aforo es limitado!

Agenda
09:30: Acreditación
10:00: Bienvenida
• Detectando apps móviles sospechosas con Tacyt y Sinfonier
• Toma el control sobre la información oculta que filtra tu organización. Llega el nuevo Metashield 3.0
• Impulsando la confianza digital de usuarios y empresas. SmartID, tu solución de autenticación
Latch: plugins ganadores y más hacks
13:00: Despedida y cóctel

Consulta el detalle de la agenda en: securityday.elevenpaths.com

¡Aforo completo!

ElevenPaths finds a XSS problem in Play Framework

lunes, 11 de mayo de 2015

Play Framework is defined as "The high velocity Web Framemork for Java and Scala". We use it internally in some of our products. Ricardo Martín from our QA team has found a (could be permanent) XSS that has now been solved by the official team. This XSS could make all the platforms based on Play Framework, more prone to phishing attacks or able to steal data from users.

When Play framework had a problem with the URL parameter. When it parses the view, it translates it to an URL that will work as a GET request. If the parameter value starts with ":", some exception is launched and fails to escape the value:

@{Controller.action(URLparameterWithInjection)}

How to get the URL parameter:

How to get the URL parameter where the XSS may be encoded

Then, URL goes through the program. Example of XSS injection encoded:


Result of the injected URL, encoded (which is Ok)

But once we "inject" the ":" character...

Result of the injected URL, not encoded (which is a problem)

There is a condition that does not allow to encode the injection. In fact, the code in Play Framework made it clear:

There is an specific condition that does not encode strings beginning with ":"

Whenever the view is interpreted, when translating to an URL that will work as a GET request, we may use it as a parameter to print it as a result.

We developed a PoC and sent it to developers. Versions 1.2.7 to 1.3.0 have been tested to be vulnerable. Just a week after making them aware of the problem, this alert has been released, that solves the problem: https://www.playframework.com/security/vulnerability/20150506-XssUrlParamerter.


El nuevo árbol de metadatos de Faast

miércoles, 6 de mayo de 2015

La interfaz de Faast evoluciona a medida que clientes y usuarios nos ofrecen feedback, realizan comentarios o nos piden alguna funcionalidad concreta. Este sistema nos permite estar siempre al día con las necesidades de nuestros clientes para ofrecer una interfaz mucho más cómoda y preparada para afrontar las tareas que se le piden.

Esta vez se ha rediseñado tanto estética como funcionalmente la visualización de metadatos encontrados en un escaneo de Faast. El estilo se ha cambiado para que se parezca en estructura al usado en la FOCA. Ahora aporta dos posibles formas de visualizar los datos, ambas presentadas simultáneamente al acceder a la pestaña "Metadatos" en la sección de resultados de cualquier escaneo.

Vista doble de metadatos

La información se presenta en forma de árbol (tanto en un modo de visualización como en el otro), agilizando la navegación y mejorando la experiencia del usuario. Pensamos que así se puede mantener una visión global en todo momento de dónde se encuentra dentro de la complicada maraña en la que pueden llegar a convertirse los metadatos encontrados en los documentos de una web.

Con el objetivo de mejorar también la experiencia de usuario, se ha separado la visualización de metadatos en dos partes: por el tipo de metadato y el mapa de red.

Por tipo de metadato

Vista por metadatos


La idea es simple y bastante similar a como estaba organizado antes de este cambio:

  • Se ve de forma rápida y cómoda qué tipos de metadatos se han encontrado y qué cantidad. En el caso de la figura se han encontrado 13 usuarios, 9 programas diferentes y 3 rutas internas.
  • Al desplegar el tipo de metadato que nos interesa, se nos presenta un listado de los diferentes metadatos encontrados. En nuestro ejemplo hay 3 rutas internas:
    • /home/Raphael Mutten/Pictures
    • c:\documents and settings\Donny\
    • c:\users\Leo Mutten
  • Finalmente si queremos ver dónde se ha encontrado el metadato, desplegamos el elemento en cuestión para ver el documento donde se encontró el metadato. Una vez más en nuestro ejemplo podemos ver que "c:\users\Leo Mutten" se ha encontrado en un documento pdf en nuestro dominio.

Por máquina

La segunda forma de visualizar estos metadatos viene inspirada por la FOCA y crea un mapa de la red local basándose únicamente en los metadatos encontrados.


Vista por mapa de red

Aquí podemos ver todas las máquinas con su sistema operativo (en caso de ser conocido) de un simple vistazo. Nos permite imaginar rápidamente parte del dimensionado de la red. Además se dispone de un menú desplegable para cada máquina encontrada, en la que a su vez se pueden ver los metadatos que se han extraído de ella, también categorizada por tipo. De ahí finalmente, el menú en árbol nos lleva al archivo de donde se ha obtenido la información.

Juan Luis Sanz
juanluis.sanz@11paths.com

Eventos mayo

lunes, 4 de mayo de 2015

El mes de mayo es un mes especial para ElevenPaths. Además de todos los eventos y conferencias en los que participaremos, somos finalistas en los Premios del Día de Internet con Latch, y celebraremos la segunda edición de nuestro evento ElevenPaths Security Day, el próximo 28 de mayo en Madrid, donde os presentaremos en primicia algunas de nuestras novedades.

Curso de Especialización en Ciberdefensa
Hoy comienza la Cuarta Edición del Curso Online de Especialización en Seguridad Informática por la Ciberdefensa de Criptored. Esta formación es online y cuenta con 20 clases de 2 horas, a cargo de varios de nuestros expertos. Su duración será de un mes. Conoce el detalle completo de la agenda.

European Indentity & Cloud Conference
Chema Alonso estará en Múnich del 5 al 8 de mayo, participando en esta conferencia donde se presentarán soluciones de identidad y cloud por parte de las principales empresas de Europa. Allí hablará de SmartID, Mobile Connect, Latch y Alise Devices. También participará en un panel de debate.

3er Encuentro de e-Ciencia
Este evento tendrá lugar en la ciudad de Barranquilla pero se retransmitirá también online, y Chema participará con una charla por vídeo-conferencia el día 14 de Mayo. Tienes más información de la agenda y la lista de ponentes internacionales que participarán en este encuentro en la web del Tercer Encuentro Internacional de e-Ciencia.

Premios Día de Internet
El 13 de mayo nos vestiremos de gala para asistir a los Premios del Día de Internet. Gracias a vuestro apoyo y a vuestros votos, somos finalistas con Latch optando a mejor app multidispositivo del año. La Gala tendrá lugar el 13 de mayo, miércoles, a las 12:00 horas en el Espacio de Fundación Telefónica. Os iremos retransmitiendo todo lo que vaya pasando en directo desde nuestra cuenta de Twitter, @ElevenPaths.

Conferencia en la Universidad Paulista
Será el día 19 de mayo en Sâo Paulo a las 18:00 horas de la tarde en la UNIP. Todavía no está disponible el enlace de registro, así que tendréis que esperar un tiempo si queréis apuntaros. En cuanto lo tengamos, actualizaremos este post. Lo podréis seguir también por la cuenta twitter de Chema, @chemaalonso.

Security Innovation Day Brasil
El 20 de Mayo, Telefónica Vivo en Brasil celebrará un evento de seguridad para clientes que tendrá lugar en Sâo Paulo. Al igual que en el caso anterior, no disponemos todavía de la información pública, pero esta semana seguro que podremos actualizaros esta información.

X1Red+Segura 2015
Los días 22 y 23 de mayo en Madrid tendrá lugar una nueva edición de este evento en el que se fomenta el disfrute de la red por todos, con menos delincuentes y cibercriminales. Una red más segura con la colaboración de los hackers. Tienes más información en la web del evento: X1Red+Segura 2015.

Security Forum
Tendrá lugar los días 27 y 28 de Mayo en Barcelona y si estás en la ciudad Condal, tal vez sea una buena opción para que esa semana sigas en contacto con la industria de la seguridad. Tienes más información del evento en la web del congreso: Security Forum.

ElevenPaths Security Day 2015
El día 28 de Mayo tendrá lugar nuestro evento anual de seguridad. Unas jornadas donde presentaremos nuestras novedades en ElevenPaths, y donde mostraremos cosas nuevas en primicia. El registro todavía está cerrado, y no podemos desvelaros nada todavía, pero estad atentos, os iremos informando próximamente.

Amsterdam: Hack in the Box 2015
Del 26 al 29 de Mayo, algunos de nuestros compañeros de ElevenPaths presentarán el trabajo que hemos estado realizando internamente en la empresa alrededor de Tacyt, para poder descubrir las apps maliciosas en Google Play aún más rápido, aplicando técnicas de aprendizaje. La agenda completa está aquí, donde además participan varios investigadores españoles este año. Todo un lujo.

Además de esto, ya sabéis que Chema participa los martes en la radio en La Mañana con Javi Nieves.

¡Suscríbete a nuestro blog y entérate de todo!