Android malware not only posing as Word documents… but Excel as well

sábado, 31 de octubre de 2015

China is a paradise for "SMS stealing malware" for Android. These programs steal your SMS inbox, notebook… The only "problem" for malware creators is to induce users to install the app. They usually use supposed pornographic content as a decoy. Zscaler just found some malware of this kind posing as a word document. We have updated their research with some new malware for android posing as Excel documents and some other interesting stuff.

Zscaler describes a more or less typical SMS infostealer Chinese malware. The improvement here is that they use a Word document icon for the Android malware. That would make the user believe that they are not installing anything, but trying to view a simple document. We searched and found some other malware (probably from the same attacker) posing as an Excel document, and got access to the email where the stolen info is sent to.

Some interesting stuff

The samples we have analyzed use an Excel icon. They are slightly different depending on the sample.


App that tries to look like an Excel document,
and another example of icon it may use
In this samples, the attacker uses an approach different from the one described by Zscaler that seems to be a little bit more advanced. Malware sends SMS history and contact list to the attackers' email, but in this case, the password for sending the email (and to check it, too) is not directly in the code, but in a configuration file.

Configuration file for the malware. Password and email included

We got to get into the mailbox of these mails and confirmed that, indeed, there were real SMS and contacts there. In an account, we found lots of supposed IMSI numbers and the whole SMS collection of the victim.

Stolen SMS from the victims

Zscaler found the "word document" malware was stealing the IMEI, while this one, as can be seen in the image, is identifying the victim by its supposed IMSI. In another account from other sample, we find the contacts list of the victim (name and number).

Some of the stolen contacts

The malware is able to "silent" the phone as well.

Setting the audio to silence


As usual, the attacker is a "regular" Google Play developer. He has been uploading apps to Google Play for months, and there are some of them online.


Some apps from the same developer


Thanks to Tacyt, we can get to know the developer, more than a single app. Most of the apps by this developer are removed, but they are not like this kind of malware described above. SMS stealers would not be able to bypass Google checks. Most of them are clickers, riskware in general or very aggressive adware. One of the few that are still alive is this:

One of the apps from the same developer still in Google Play.
It is not a SMS stealer, but aggresive adware.

Conclusion

We got to expand and improve the Zscaler research. Same old tricks as used in PC are more and more used in Android again and again, like this "icon decoy" system. It is importan to highlight that this malware has nothing to do with Microsoft, Office, Word or Excel in Android, they just use their icons as something attractive to confuse users.

Sergio de los Santos
ssantos@11paths.com
@ssantosv

Juan Manuel Tirado
juanmanual.tirado@11paths.com

Todo lo que vimos en Security Innovation Day 2015 (III): Decisiones de seguridad para salvar tu negocio

viernes, 30 de octubre de 2015


Una tendencia imparable para todas las empresas en el mundo digital es la migración a la nube. Un reciente estudio de Ovum confirma esta tendencia: en 2018 se prevé que el 77% de las empresas tendrán datos sensibles en servicios SaaS en la nube.

El problema
Sólo en España, las empresas sufren más de 70.000 ataques al año, según el dato publicado por El País en junio de 2015. El impacto en el negocio de la empresa puede llegar a ser muy importante y bastante crítico dado que no sólo hay que considerar el impacto económico directo que supone la pérdida de información crítica del negocio sino también otros factores como la pérdida de valor de marca y posicionamiento en el mercado tras por ejemplo, una pérdida de datos sensibles de clientes. Kaspersky estima el coste de una brecha de seguridad de datos para una PYME en UK en £46.000. Según la firma de seguridad rusa, el 60% de las PYMEs se muestran incapaces de mantener el negocio en los seis meses posteriores a haber sufrido un ataque que implique una pérdida de datos corporativos.

La solución
Telefónica Data Protection Suite ayuda a las empresas a afrontar los retos asociados a la migración a la nube cubriendo varios ámbitos críticos en la protección de datos como son el trabajo colaborativo, el almacenamiento y acceso a la información, y la monitorización de su seguridad; ofreciendo soluciones sencillas y eficientes para controlar y garantizar la privacidad de los datos de una empresa cuando ésta utiliza aplicaciones en la nube. Os lo contamos mejor con un ejemplo, nuestro nuevo servicio de Correo Seguro con Office 365. Un servicio que combina los componentes de Secure Storage y Secure Access (concretamente con Latch) para ofrecer una protección integral del correo electrónico en la nube. Así, el servicio protege los correos corporativos en Office 365 Exchange Online garantizando el control y privacidad de los datos, y añadiendo un segundo factor de autorización controlado por el mismo usuario desde Latch, permitiendo poner el “pestillo” de acceso, bien al servicio completo de correo, o bien en función del protocolo de acceso como por ejemplo Active Sync, OWA o cliente Outlook.

Durante la sesión contamos con la presencia y colaboración de Ben Matzkel, Founder y CTO de Vaultive, quién nos mostró como el proxy de seguridad albergado en la red de Telefónica cifra toda la información que se almacena en O365 Exchange Online y la descifra cuando el usuario accede a ella, manteniendo siempre operativas las funcionalidades del correo como el filtrado, la ordenación y la búsqueda. De esta forma, la información cifrada en la nube es ilegible en caso de ser comprometida por un actor no autorizado. Además, dado que la clave de cifrado es única por empresa y se alberga en el proxy gestionado por Telefónica, en ningún momento podría ser usada para descifrar la información sin el consentimiento de la propia empresa.



Por si os habéis quedado con ganas de más, en nuestra web hemos publicado todos los materiales del evento para que podáis descargar las presentaciones de las diferentes sesiones o verlos en vídeo en el canal de YouTube del Security Day Innovation 2015 todas las veces que queráis. Si además, quieres o necesitas más información sobre alguno de nuestros productos no dudes en ponerte en contacto con nosotros vía el formulario de la web de ElevenPaths.

No te pierdas el resto de la serie de todo lo que vimos en Security Innovation Day 2015, aquí puedes leer los primeros capítulos:
» Todo lo que vimos en Security Innovation Day 2015 (I): Siente el poder de las alianzas
» Todo lo que vimos en Security Innovation Day 2015 (II): tu móvil, tu identificador único

Próximamente iremos publicando el resto de capítulos de todo lo que presentamos en nuestro Security Innovation Day 2015, ¡no te lo puedes perder!
Carlos Martínez, VP of ElevenPaths Business Development
y Ben Matzkel, Founder y CTO de Vaultive.  

Equipos de Respuesta ante Incidencias de Seguridad (I)

lunes, 26 de octubre de 2015

El 2 de noviembre de 1988, aproximadamente el 10% de Internet se vió afectado por la aparición del primer ejemplar de un gusano informático que afectó la red por unas cuantas horas. Se denominó "Gusano Morris" gracias al apellido de su desarrollador (y creador), Robert Tappan Morris.

Después de este incidente, en el que se vieron involucrados varios actores, el mundo se dió cuenta de la necesidad de interactuar coordinadamente y cooperar entre Administradores de Sistemas y Gestores de TI para enfrentarse a este tipo de casos.

La DARPA (Defence Advanced Research Projects Agency, Agencia de Investigación de Proyectos Avanzados de Defensa), días después de este incidente informático, creó el primer CSIRT: el CERT/CC ubicado en la Universidad de Carnegie Mellon, en Pittsburgh (Pensilvania).

Es así como se da inicio a la creación de este tipo de equipos alrededor de todo el mundo, tanto del sector privado como gubernamental.



¿Qué es un CSIRT?


Equipo de Respuesta a incidentes de seguridad informática (Computer Security Incident Response Team). Término acuñado a finales de los 90. Algunas abreviaturas para el mismo tipo de equipos:

  • CERT o CERT/CC: Equipo de respuesta a emergencias informáticas / Centro de Coordinación (Computer Emergency Response Team). Término registrado en EE.UU.
  • IRT: Equipo de respuesta a incidentes (Incident Response Team).
  • SERT: Equipo de respuesta a emergencias de seguridad (Security Emergency Response Team).
Beneficios en la implementación de un CSIRT

Son muchos los beneficios que un CSIRT puede dar a una organización o a la comunidad que atiende. Sin embargo, uno de los principales es el de brindar un apoyo al afectado en la respuesta rápida para contener un incidente de seguridad informática y en ocasiones, también acompaña en el proceso de recuperación frente al efecto del ataque. Sin embargo, desde mi apreciación muy personal, es evidente que un CSIRT debe obligatoriamente enfocar un gran esfuerzo a tareas más proactivas y no tanto de carácter reactivo. Realizar una prospectiva de la inseguridad para trabajar posteriormente en un proceso de prevención y aseguramiento, permitirá a las organizaciones reducir ostensiblemente los efectos de ataques informáticos.

Dependiendo de los servicios que el CSIRT preste (tema del que hablaremos en otra entrada), dependerán los beneficios ofrecidos a su comunidad u organización atendida. Veamos sin embargo, algunos de los beneficios más comunes:
  • Intercambia experiencias en solución de incidentes para el crecimiento en seguridad de las organizaciones y/o comunidades atendidas.
  • Cuenta con un equipo altamente capacitado en temas de seguridad cibernética el cual se encuentra en constante proceso de actualización con el objetivo de prestar a la comunidad atendida, servicios de seguridad con un alto grado de calidad.
  • Genera y publica diverso material de formación y concienciación en aspectos de seguridad cibernética.
  • Brinda apoyo a otras organizaciones y comunidades que lo requieran con el objeto de que estas desarrollen capacidades propias para el manejo de incidentes de seguridad cibernética.
  • Sirve de apoyo y colaboración a cuerpos de investigación y seguridad nacionales con el objeto de combatir el ciberdelito.


Equipos de Respuesta ante Incidencias de Seguridad (II)

Leonardo Huertas
leonardo.huertas@11paths.com

Latch y el Internet de las Cosas: Integración con Arduino (V)

En la entrada anterior estudiamos cómo cargar el firmware necesario en el módulo WiFi para que satisfaga nuestras necesidades. Ahora veremos cómo funciona la API de Latch, y cómo realizar un Sketch de Arduino que la implemente.

La API de Latch

A estas alturas ya sabéis que Latch pone a nuestra disposición una API estándar y abierta que podemos utilizar mediante peticiones HTTP convencionales de tipo GET. Teneís toda la información en https://latch.elevenpaths.com. Aquí resumiremos algunas partes importantes.

Según indica la documentación de Latch: "todas las solicitudes a la API de Latch deben estar firmadas. El proceso de firma es una versión simplificada del protocolo Oauth de dos vías". Cada petición debe ir acompañada de dos encabezados (HTTP headers) de autenticación: "X-11Paths-Date" y "Authorization" con los siguientes formatos:

X-11Paths-Date: yyyy-MM-dd HH:mm:ss

El encabezado X-11Paths-Date contiene la fecha y hora UTC en el momento de realización de la petición, cuyo formato y valor debe ser exactamente igual al utilizado en el proceso de creación de la petición.

Authorization: 11PATHS applicationId requestSignature

Donde:
  • 11PATHS es una constante que determina el método de autenticación. 
  • applicationId es un identificador alfanumérico que se obtiene al crear la aplicación u operación. 
  • requestSignature es una firma derivada de la url, parámetros, encabezados personalizados y fecha de la solicitud, firmada mediante el algoritmo HMAC-SHA1 con el secreto obtenido al crear la aplicación, y codificada en Base64.

El applicationId y el secreto se obtienen en el momento de crear la aplicación desde el Panel de Control de la web de desarrolladores de Latch.

Panel de control de la web de desarrolladores de Latch

La operación para obtener el estado del latch que el usuario tiene establecido para la aplicación definida en la cabecera Authorization, es una petición GET a la URL:

https://latch.elevenpaths.com/api/1.0/status/{accountId}

La API de Latch devolverá un json donde se indica el estado correspondiente:

{"data":{"operations":{"WFqXXXXXXXXXXXXXXXXXZORO":{“status":"on"}}}}

El accountId del usuario se obtiene como resultado de la operación de pareado o emparejamiento. Esta puede ser realizada mediante un simple shell script en Bash como este:
#!/bin/bash

if [ -z "$1" ]; then
 echo -e "\nUsage: $0 \n"
 exit 0
fi

ApplicationId="WFqXXXXXXXXXXXXXXXXXZORO"
SecretKey="I8QsZCXXXXXXXXXXXXXXXXXXXXXXXXXXXXHml"

Server="https://latch.elevenpaths.com"
URL="/api/1.0/pair/$1"

requestSignature+="GET\n"
date=`date -u '+%Y-%m-%d %H:%M:%S'`
requestSignature+="$date\n\n$URL"
signed=`echo -en "$requestSignature" | openssl dgst -sha1 -hmac "$SecretKey" -binary`
b64signed=`echo -n "$signed"|base64`

auth_header="Authorization:11PATHS $ApplicationId $b64signed"
date_header="X-11Paths-Date: $date"

response=`curl -q -s -N --header "$auth_header" --header "$date_header" "$Server$URL"`

echo $response

Si el proceso de emparejamiento resulta con éxito, la API de Latch devuelve un json que contiene el accountId del usuario, tal y como se muestra a continuación:

{"data":{"accountId":"3d86bXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX65dea"}}

Disponiendo de esta información es posible consultar la API de Latch para obtener el estado que el usuario establece desde la App en su Smartphone o Tablet.

Date:   2015-08-31 13:55:54
URL:    /api/1.0/status/3d86bXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX65dea
Request: GET\n2015-08-31 13:55:54\n\n/api/1.0/status/3d86bXXXXXXXXXXXXXXXXXXX65dea
Request Signature: aPVc83HlPE0CPQz4jR5HJrU3Zyc=
Header:  Authorization:11PATHS WFqRXXXXXXXXXXXXZORO aPVc83HlPE0CPQz4jR5HJrU3Zyc=
Header:  X-11Paths-Date: 2015-08-31 13:55:54

Una visto cómo funciona, la programación del sketch de Arduino comprende básicamente:
  • Conexión a la red Wifi
  • Obtención de la hora actual
  • Firma con HMAC-SHA1
  • Codificación en Base64
  • Petición HTTP GET

Sketch Arduino 

Pese a que puede parecer de escasa complejidad, la implementación requiere gran parte de los 2 Kbytes de memoria del Arduino UNO (Atmega328p), por lo que es necesario recurrir asiduamente a las facilidades PROGMEM, F(), strcpy_P(), etc. que proporciona la librería AVR libc (avr/pgmspace.h); imprescindible para economizar el uso de la memoria SRAM utilizando, cuando sea posible, la memoria Flash (memoria de programa 32Kbytes) para almacenar todo aquel dato susceptible de ello: por ejemplo, los arrays de caracteres que no varíen (constantes). De hecho, es inevitable el empleo de recursos poco ortodoxos pero necesarios para ahorrar memoria, prescindiendo de métodos elegantes pero de elevado consumo de memoria, como la librería aJson del Interactive Matter Lab para el parseo de la respuesta de Latch, optando por realizar una simple comparación de cadenas de caracteres. 

Espdunio 


La librería espduino.h aporta un sencillo interface de comunicación con el módulo ESP82688. Tan solo es necesario iniciar una instancia ESP con los valores del puerto serie hardware, el puerto serie software para la transmisión de mensajes de depuración, y la línea de conexión CH_PD para el arranque del módulo. Una vez instanciada se invoca función wifiConnect con el SSID y la contraseña de la red wifi a la que realizar la conexión. Los detalles sobre este proceso son enviados por el puerto de depuración con carácter informativo. 

La API RESTful se implementa en la librería rest.h, también fácil de usar. Solo hay que instanciar REST indicado el objeto ESP, e iniciarla con los valores del servidor de conexión (nombre FQDN o dirección IP), puerto TCP, y si hay cifrado SSL o no.


// github.com/tuanpmt/espduino (c) Tuan PM 
#include "espduino.h"         // Wifi library for ESP8266 using SLIP protocol via serial port
#include "rest.h"             // code for ESP8266 can found here github.com/tuanpmt/esp_bridge

// Setting ESP instance
ESP(Stream *serial, Stream* debug, int chip_pd); // esp(HardwareSerial, SoftwareSerial, CH_PD)
void wifiConnect(const char* ssid, const char* password);

// Setting REST instance
REST(ESP *e);
boolean begin(const char* host, uint16_t port, boolean security);

// Set Content-Type Header
void setHeader(const char* value);  //setHeaer("Header1:value1\r\nHeader2:value2\r\n");

// Get REST response
void get(const char* path);
uint16_t getResponse(char* data, uint16_t maxLen);

Tras su inicialización, es posible utilizar las funciones setHeader para establecer cabeceras HTTP personalizadas, get para realizar una solicitud GET, y getResponse para obtener la respuesta. El timeout configurable por defecto es de 5 segundos.

TIME

Para la obtención de la fecha actual se utiliza la librería time.h, estándar de Arduino



#include "sha1.h"         // github.com/Cathedrow/Cryptosuite   Cryptographic suite for Arduino
 
// HMAC-SHA1 environment
uint8_t *hash;

void initHmac(const uint8_t* secret, int secretLength); // key, and length of key in bytes
virtual void write(uint8_t);
using Print::write;
La función initHmac se inicializa con el secreto ubicado en un array de 40 elementos del tipo uint8_t, tras la carga de la request, el resultado de la firma HMAC-SHA1 se almacena en un array de 20 elementos, igualmente de tipo uint8_t.

Base64

La función de codificación en Base64 es un aporte de Adam Rudd publicada en su espacio de GitHub; su utilización es muy sencilla: 

#include "base64.h"         // github.com/adamvr/arduino-base64  Copyright (C) 2013 Adam Rudd
 
// Base64 environment
int base64_encode(char *output, char *input, int inputLen);




# nginx config site for SSL arrangement
server {
        listen YOUR TCP PORT;
        server_name YOUR IP OR SERVER NAME;
        ssl on;
        ssl_certificate sites-enabled/server.crt;
        ssl_certificate_key sites-enabled/server.key;
        error_page 497 https://$host:$server_port$request_uri;

        location  / {
                return 301 https://latch.elevenpaths.com:443/$request_uri;
        }
        location /api/ {
                proxy_set_header Content-Type "";
                proxy_pass https://latch.elevenpaths.com:443;
        }
        location = /X-11Paths-Date {
                proxy_http_version 1.0;
                proxy_pass http://localhost:9000;
        }
}

Aprovechando la flexibilidad que aporta disponer de un sistema intermedio, mediante el último bloque de configuración se reenvía la petición de /X-11Paths-Date a un discreto servidor local (thttpd) que ejecuta como CGI un script en perl que devuelve la fecha y hora actual en el formato requerido, evitando así tener que instanciar de nuevo REST, realizar otra petición y parsear la respuesta.


#!/usr/bin/perl -wT
use strict;
use warnings;

use POSIX qw(strftime);

my $date11paths;
my $dateRFC2616;

$date11paths = POSIX::strftime("%Y-%m-%d %H:%M:%S", gmtime);
$dateRFC2616 = POSIX::strftime("%a, %d %b %Y %H:%M:%S UTC", gmtime);

print "Server: SSLarrangement/0.1\n";
print "Date: $dateRFC2616\n";
print "Content-Length: 19\n";
print "Content-type: text/plain\r\n\r\n";

print "$date11paths";

Todo este código quedará disponible en Github. Veremos ya por fin en la última entrega, cómo conectarlo todo en el mundo real.

* Latch y el Internet de las Cosas: Integración con Arduino (I)
* Latch y el Internet de las Cosas: Integración con Arduino (II)
Latch y el Internet de las Cosas: Integración con Arduino (III)
* Latch y el Internet de las Cosas: Integración con Arduino (IV)
* Latch y el Internet de las Cosas: Integración con Arduino (IV)
    

Jorge Rivera
jorge.rivera@11paths.com

Todo lo que vimos en Security Innovation Day 2015 (II): tu móvil, tu identificador único

viernes, 23 de octubre de 2015

Tu número de móvil, tu llave de acceso 
En ElevenPaths estamos cambiando la forma en la que los usuarios interactúan y se relacionan en el mundo digital. El móvil se ha convertido en una extensión de nuestro yo digital: nos despertamos con la alarma del móvil, nos lo llevamos a trabajar, lo utilizamos en nuestro ámbito personal y llegamos incluso, a tener un vínculo emocional con él. Por ello, nuestra propuesta de seguridad en el ámbito de la identidad sitúa al dispositivo móvil como elemento clave en el cambiante ecosistema digital en el que nos encontramos, y en el que nosotros mismos como usuarios, debemos ser los protagonistas.


Conceptos clave 
#1 Seguridad Adaptativa
La seguridad debe adpatarse al usuario y no al revés. Dejemos de poner barreras a los usuarios cuando van a utilizar nuestros servicios, no siempre necesitamos aplicar las mismas medidas de seguridad.

#2 Kill the passw**
Las contraseñas son complejas, difíciles de recordar y poco seguras. ¿Por qué no dejamos de usarlas?Mobile Connect convierte el número móvil de tus usuarios en su identidad digital y el teléfono, en su llave de acceso, simplificando los procesos de autenticación y ofreciendo un acceso seguro a los servicios online con un control total de la privacidad.

#3 Empower
Si queremos hacer a los usuarios conscientes de la seguridad, dejemos que tomen decisiones, hagámosles partícipes de las mismas, ¡hagámosles protagonistas! La combinación de nuestros productos de seguridad en la categoría de identidad como Latch, SealSign y Mobile Connect permiten crear fórmulas en las que el usuario toma control sobre el ciclo de vida de la seguridad.

Por si os habéis quedado con ganas de más, en nuestra web hemos publicado todos los materiales del evento para que podáis descargar las presentaciones de las diferentes sesiones o verlos en vídeo en el canal de YouTube del Security Day Innovation 2015 todas las veces que queráis. Si además, quieres o necesitas más información sobre alguno de nuestros productos no dudes en ponerte en contacto con nosotros vía el formulario de la web de ElevenPaths.

No te pierdas el resto de la serie de todo lo que vimos en Security Innovation Day 2015, aquí puedes leer el primer capítulo:
» Todo lo que vimos en Security Innovation Day 2015 (I): Siente el poder de las alianzas

Próximamente iremos publicando el resto de capítulos de todo lo que presentamos en nuestro Security Innovation Day 2015, ¡éstate atento!
Irene Gómez, ElevenPaths Identity Project Manager
y José Palazón, CTO de ElevenPaths 

New Financial Cyber Threats Report

jueves, 22 de octubre de 2015

New "Financial Cyber Threats (Q3 2015)" report
You can now download the full report about Financial Cyber Threats (Q3 2015) carried out by Kaspersky's Global Research & Analysis Team (GReAT) & ElevenPaths' Analyst Team. It`s available at ElevenPaths web.

Summary
This report analyzes the current trends related to financial phishing and banking malware, including attacks on mobile devices, POS (Point of Sales) systems and ATMs. It is mainly based on statistics and data from KSN (Kaspersky Security Network) although reliable information from other sources may also be referenced. The timeframe for this analysis contains data obtained during the period from July 1st, 2015 to October 1st, 2015.

Phishing
A group of 14 countries are on the receiving end of the 90 % of all phishing attacks. The remaining 10 % is distributed among more than 170 different countries. Only the first three countries in this ranking account for half of the worldwide detected attacks.


The number of phishing attacks against Mexico is remarkable, taking over from United Kingdom the second position in the ranking of phishing attacks in comparison to the last period. New Zealand has been the country that suffered more phishing attacks per user over the course of Q3 2015.


During Q2 2015 United Arab Emirates was in the first place of countries with higher percentages of users attacked by phishing. This level has slowed down during this Q returning to its historical series. Phishing messages targeting the financial sector (banks, payment systems and online shops) accounted for more than 30% during this period, an increase of a 2.8 % compared with the data analyzed in Q2 2015. Banks are still the main targets within this sector as we observed during the last years.

Banking malware
For the first time since the start of the year the number of Dyre infections decresed (-2%) globally. The impact in UK and Spain of this malware has grown significally during this period, confirming the interest of the Dyre gang for both countries.


The number of infections of the Zeus Trojan and its variants keeps decreasing for the second period during this year.

When it comes to POS malware the number of infections for Cardthief, a 64 bits POS malware, shows an increase of activity during the end of Q3 2015.


Mobile malware
Once again Android is the most frequently targeted platform. 99.69% of the mobile malware detected target this operating system.



Russian Federation, Vietnam and Ukraine have almost the 90% of infections. Germany, Italy, France, Poland and Austria are the most infected European countries.




More info about our Security Trends Reports at www.elevenpaths.com
ElevenPaths' Analyst Team

About the relations between ngemobi/Xinynhe, Ghost Push, Kemoge and Odpa malicious Android adware

miércoles, 21 de octubre de 2015

Over the last few weeks we have seen some blog entries about different new Android based mobile malicious adware families discovered or spotted by CM Security Research Lab, Checkpoint, FireEye and Trend Micro, that allows a complete takeover of an Android user’s device. These mobile malicious adware families have been named "NGE MOBI/Xinyinhe", "Brain Test", "Ghost Push" and "Kemoge", and are supposed to be developed by Chinese groups. We have tried to detect relationships between these different families. For example:
  • What’s going on with these "new" malicious adware families? How "new" are they?
  • Are these different malicious adware campaigns somehow connected?
  • Who has developed this adware campaigns?
In order to find the answer to these questions, the reported malicious adware families have been "squeezed" by Eleven Paths analyst researches using our in-house developed mobile cyber-intelligence Tacyt tool, to obtain more contextual information and the particular associated app "singularities" (technical or circumstantial app data that are "singular or unique" to a developer and/or application).

The above mentioned different adware campaigns have been analyzed and correlated on the basis of various application parameters, and the evidences obtained suggest us that:
  • The malicious adware family reported recently by FireEye (in September and October) seems to be related with the "Ghost Push" malware discovered by CM Security Research Lab and Trend Micro, as several clues regarding the links and associated certificate info included in the app point to the same developers, which in turn, seems to be related with the FireEye’s "Kemoge" called adware family as well.
  • The "Brain Test" malware app reported by CheckPoint contacted a server domain included also on the "Kemoge" adware family sample.
  • The aggressive adware discovered apps have had some versions in Google Play in early 2015, by a developer that produced aggressive adware as well.

Taking into account the several obtained "singularities" and hints, it seems that this adware or malware may all come from a single root, probably the known Odpa or Opda (it depends on the antivirus engine) creators (a known adware and infostealer) that may be the predecessor of these malicious adware families.

Brief research schema

Squeezing the Apps

Here we expose a few details of a much deeper analysis that you may find complete in a link below.

As shown in one of the FireEye reports the attackers have repackaged popular apps and inject ed malicious logic and ad components into the apps. The malicious adware iterates some domains and posts data once a connection is established. Searching with our Tacyt tool for the specific domains used by the malicious adware as indicated by the FireEye team, our analysts have found 12 different apps (some from the report itself, some from "Kemoge" samples). One of them, with "com.android.camera.update" package name, to be related to another (and supposed different) described mobile attack dubbed "MonkeyTest" by Cheetah Mobile on September 18th, 2015.

Searching for the com.android.camera.update app (from CM report), it reveals that this app uses a certificate singularity shared with one of the FireEye is reporting as downloaded by their samples. It shares the word "dashi" as well in the package name. There are even some specific strings in the code, which are shared between samples from all the reports.

It seems that some of the apps related with the developers were uploaded to Google Play back in late December or January. Searching with Tacyt for some specific binary files inside the apk, it brought us to some apps on Google Play which have been removed last January from the market.

Apps sharing very specific binary files

A curious thing is that most of them share this application permission, which is not very common (32 out of 4.5M apps): android.permission.ACCESS_MTK_MMHW.

Searching for certificates with those particular characteristics and for apps removed from Google Play the exact same day (which is supposed to be when Google discovered the fraud and cleaned the market), Tacyt obtained some evidence of related bands, like this particular UMENG ApiKey, as shown on the picture below:

Shared UMENG Api Key
This UMENG ApiKey has been shared with only a previous version of "Root Checker", removed from Google Play on 27th, December, 2014 and from "OPDA" developers that claim that their developer web is www.dashi.com, which in turn, is related to a previous package name used in NGE (Xiny) attack. And there are even more connections between the word "Dashi" and OPDA developer. OPDA developers may be behind Odpa/Opda adware famlily, found in summer 2014.

On the other hand, CheckPoint reported that some of the domains found inside "Brain Test" malicious app seems to be present in "Kemoge" adware family as well:


Sharing specific domains


Conclusions

Tacyt’s powerful engine enables the analyst teams of the organizations to easily evaluate and correlate the application and its circumstances: when, who, what and where.

Using Tacyt our analyst team has been able to obtain further evidences that suggest a relationship between several reports, and confirm that some of aggressive apps discovered had a version in Google Play in early 2015. The evidences suggests that this supposed different families of malware, may be just the same Chinese band (because of the infrastructure, domains, topics, files, etc. they use) evolving the same idea about serving aggressive ads, rooting the devices, sending commands and installing new packages.

We assume this because of the several hints that join the families: domains, dates, permissions, names, certificates, resources, etc. They started their activities maybe in late 2014, using the OPDA "brand", trying to introduce malware in Google Play and legitimate apps as well. Later, they have evolved with new techniques, from "Xinyinhe adware", that seems to be just a variant of "Ghost Push" to "Brain Test" which seems some experiment before they got to "Kemoge". It seems that this Chinese gang is evolving techniques and creating more effective adware that are not able to spread via Google Play anymore, but third party stores. Anyhow, it seems that they use Google Play to serve "less aggressive" adware.

Disclaimer:

This whole report has been done without code analysis and with the minimum information provided by the blog post mentioned above. Taking into account more samples, relations between all the samples are even stronger. A further analysis of all the data collected (emails, links, strings, etc) from all the apks related, may guide us to a more accurate attribution.

Although hereby we briefly describe our research, the complete analysis process may be found here.

Todo lo que vimos en Security Innovation Day 2015 (I): Siente el poder de las alianzas

martes, 20 de octubre de 2015

“Siente el poder, domina la seguridad” es el lema de la tercera edición de nuestro Security Innovation Day 2015, celebrado el pasado 08 de octubre en el Auditorio de Telefónica. Durante la jornada presentamos cómo creando sinergias con partners de valor añadido y combinando nuestras capacidades tecnológicas, podrás tener en tus manos el dominio de la seguridad para tu negocio digital. A todos los que compartisteis aquella tarde con nosotros, gracias de nuevo por acompañarnos y sacar un hueco en vuestras ajustadas agendas, y a los que no pudisteis asistir; esperamos contar con vosotros el año que viene.



Amenazas más grandes signfican necesidades más grandes: Siente el poder de las alianzas
Durante años, los aficionados a los comics estaban acostumbrados a ver y leer las aventuras de sus personajes favoritos en un contexto determinado: se movían en el mismo lugar (Nueva York, Metrópolis o Gotham), en la misma época y, sobre todo, eran patrimonio de la misma editorial.

Sin embargo, los lectores más imaginativos soñaban con la posibilidad de unir en un mismo contexto espacio-temporal a sus héroes, luchando juntos, sin limitaciones de copyright o pertenencia a un sello editorial determinado. ¿Por qué limitar la imaginación? ¿Por qué el superhéroe más aguerrido no podía (aunque sólo fuera en una ocasión especial) formar equipo con la superheroína más destructiva para vencer a un nuevo villano intergaláctico que estaba por encima de las capacidades de ambos por separado?

Alguien en el mundo editorial percibió que aquí había una demanda del mercado y se puso manos a la obra para derribar barreras y hacer que el sueño de muchos lectores se viera cumplido. Así nació lo que hoy conocemos como “Crossovers”, un cruce de historias y personajes con orígenes diversos que sorprende al público por ser inesperado, pero al mismo tiempo, atractivo en su combinación. El primer “Crossover” entre las dos grandes editoriales del comic norteamericano, Marvel y DC, se produjo en 1976 con un título que ya es mítico pues reunía a los dos personajes más emblemáticos de cada editorial: “Superman vs Spiderman”. A partir de esa fecha, el número de “Crossovers” se ha multiplicado, porque la fórmula (casi siempre) funciona.


El equivalente a los “Crossovers” en el mundo de las empresas son las Alianzas Estratégicas. Desde ElevenPaths seguiremos haciendo tecnología, con un claro objetivo: crear productos diferenciadores. Un ejemplo de ello es la integración tecnológica que hemos realizado de nuestros productos de elaboración propia y hechos en casa, con los productos y plataformas de nuestros aliados - Alien Vault, BlueCoat, Intel Security, Palo Alto Networks, RSA y Vaultive - para ofrecer soluciones imbatibles y los mejores productos de ciberseguridad que demanda el mercado. Gracias a estas alianzas hemos mejorado y optimizado algunas de nuestras herramientas más potentes como Sinfonier, Latch, SandaS o Metashield Protector. Te lo contamos todo en este otro post: Telefónica y ElevenPaths presentamos la mejor oferta integral de seguridad del mercado gracias a la firma de alianzas con los mejores partners del sector.

Por si os habéis quedado con ganas de más, en nuestra web hemos publicado todos los materiales del evento para que podáis descargar las presentaciones de las diferentes sesiones o verlos en vídeo en el canal de YouTube del Security Day Innovation 2015 todas las veces que queráis. Si además, quieres o necesitas más información sobre alguno de nuestros productos no dudes en ponerte en contacto con nosotros vía el formulario de la web de ElevenPaths.

Próximamente iremos publicando el resto de la serie de todo lo que vimos en Security Innovation Day 2015, ¡éstate atento!
Francisco Ginel 
ElevenPaths VP Strategic Alliances

Latch y el Internet de las Cosas: Integración con Arduino (IV)

lunes, 19 de octubre de 2015

En la entrada anterior estudiamos los detalles técnicos de la conexión entre el Arduino y el módulo WiFi. En esta entrega veremos cómo cargar el firmware necesario en el módulo WiFi para que satisfaga nuestras necesidades.

Carga de firmware del ESP8266

Para poder utilizar las librerías espduino desde Arduino y establecer la comunicación SLIP con el módulo ESP8266, es necesario sustituir el firmware original del ESP8266 por el que se proporciona como parte de espduino, llamado esp_bridge. Igualmente Open Source bajo licencia MIT, se puede encontrar el código fuente y la documentación en su espacio de GitHub.

Para la carga de un nuevo firmware, el módulo ESP8266 debe iniciarse en modo de programación (Flash Mode). Para conseguirlo hay que fijar GPIO-0 a estado LOW durante su arranque o reinicio.


Descripción de pines del módulo ESP-01


La conexión del módulo ESP8266 al equipo de escritorio para la carga del firmware se realiza por medio de un adaptador USB-Serie tipo FDTI o similar que respete el voltaje máximo de 3.3v (LVTTL).

También es posible utilizar el propio Arduino en modo USB-Serial bypass. Para conseguirlo hay que impedir que el Atmega328p interfiera; se puede hacer de tres formas:
  • Extrayéndolo de la placa si es posible.
  • Cargándole un sketch inocuo.
  • Situándolo en estado de reset, llevando a LOW su entrada de RESET conectándola a GND (recomendado).

Diferentes métodos de inhabilitación del Atmega328p

Destacar que los pines 0 y 1 de la placa Arduino que normalmente son RX y TX respectivamente, ahora estarán intercambiados, al utilizar la conexión con el conversor USB-Serie de Arduino en bypass. Observar la conexión de color amarillo en la imagen.

Conexión de Arduino UNO y el módulo ESP-01 en modo de programación (Flash Mode)

Como parte del paquete de librerías de espduino, podemos encontrar el firmware esp_bridge ya compilado y listo para ser cargado en el módulo ESP8266. Está dividido en dos archivos: 0x00000.bin y 0x40000.bin, cuyo nombre indica el desplazamiento (offset) de su contenido en la memoria flash del módulo.

Para realizar la carga del firmware hay varias aplicaciones para el equipo de escritorio, ya sea este Windows, Mac OSX o Linux, En la web de Eletrodragon hay un apartado específico donde se encuentran todas disponibles para su descarga.

Proceso de carga de firmware con ESP FLASH DOWNLOAD TOOL V1.2

Tras la carga del firmware esp_bridge, cuando el módulo ESP8266 se encuentre en modo de funcionamiento normal, la única forma de comunicarse con él será a través de las librerías de espduino que establecen la conexión SLIP.

En la siguiente entrada estudiaremos la API de Latch y por fin cómo crear el sketch de Arduino.


* Latch y el Internet de las Cosas: Integración con Arduino (I)
* Latch y el Internet de las Cosas: Integración con Arduino (II)
Latch y el Internet de las Cosas: Integración con Arduino (III)
Latch y el Internet de las Cosas: Integración con Arduino (IV)
Latch y el Internet de las Cosas: Integración con Arduino (V)
Latch y el Internet de las Cosas: Integración con Arduino (y VI)




Jorge Rivera
jorge.rivera@11paths.com

New "Insecurity in the Internet of Things" report

miércoles, 14 de octubre de 2015

New Insecurity in the IoT report
You can now download the full report about Insecurity in the Internet of Things carried out by ElevenPaths' Analyst Team. It`s available at ElevenPaths web.

Summary
In the past six months potential insecurity within the Internet of Things (IoT) has been regularly making news headlines, from hacking planes, cars, or baby monitors, to Smart TV’s insidiously listening to and broadcasting unencrypted conversations across the internet. A September advisory issued by the FBI indicated that they too had concerns over inherent security flaws in the implementation of the IoT and warned over the potential opportunity offered to cyber criminals. While to many such a warning may seem premature given the current market penetration, the IoT is currently at a peak of expectation and anticipation, essential to driving the concept forward. In enterprise the IoT is seen as an integral part of the blueprint for developing from the digital business model of today to the digitisation of the entire value chain, and in the consumer space ‘wearable’ adoption is rising rapidly. However advances in edge computing, networks, big data and analytics are still required for this truly disruptive technology to shape the future; and although widespread implementation is likely to be 5-10 years away, not addressing security flaws now will only compound the problem for an IoT connected world.



Such scope ensures that IoT should not be thought of as just a ‘Thing’ in itself; it is a collection of technologies integrated and presented to provide specific and vastly diverse applications. However in terms of manufacturing, a rapid development lifecycle is producing devices that are ‘always-online’ and often possess inherent restrictions on security measures due to size and cost; research that has indicated that as many as 70% of commonly used IoT devices contain significant vulnerabilities. Although maintaining consumer trust, regulating the quantity and nature of data to be collected and transmitted, and also tackling end-user behavioural traits likewise provide complex challenges. At this nascent stage in the lifecycle, focus on securing it is often disproportionately weighted on the end device, forgetting that it is merely a component of a larger eco-system that is only as strong as its weakest link.




Methods to subvert these technologies will depend both on the manner in which they mature, and how security is implemented on often exposed devices. Worryingly, the early indications are that the network, application and cloud security lessons of the past 20 years have often been forgotten by existing technology vendors, and not yet learnt by manufacturers pushing into a new market. While risk exposure from IoT vectors is likely to remain low in the short term for most enterprises, but risk assessments may prove it is higher than first thought. The uptick in reflective DDoS attacks in H2 2014 and composition of the ‘Lizard Stresser’ botnet already points towards the effect of an insecure IoT being maliciously re-purposed. Unanticipated information leakage from the extended IoT ecosystem may also compound the problem of data aggregation from both consumer and enterprise sources, enabling cyber criminals to unite disparate data sets for a wide range of malicious goals.



The concept of security by design must be given a higher priority in order to avoid security flaws being compounded as the IoT matures, and adopters should be alert to IoT integration in a less mature, loosely regulated environment, or risk costs spiralling later. Core principles of data, application, network, systems and hardware security remain applicable but the complexity is higher and measures must be more careful not to work against the user. The IoT will be transformational, disruptive technological movement, but carries a spectrum of risks that affect more than just the IT department.




More info about our Security Trends Reports at www.elevenpaths.com
ElevenPaths' Analyst Team

Latch y el Internet de las Cosas: Integración con Arduino (III)

martes, 13 de octubre de 2015

En la entrada anterior quedamos pendientes de conocer los detalles técnicos de la conexión entre el Arduino y el módulo WiFi. Veamos cómo.

Conexión del módulo ESP8266 con Arduino

Una característica importante del módulo ESP8266 a tener en cuenta es su tensión de funcionamiento de 3.3 voltios (LVTTL), sin ningún tipo de tolerancia a tensiones superiores. Si utilizamos un Arduino tradicional, como el UNO, que trabaja a 5 voltios (TTL), es necesario realizar una adaptación de tensiones, tanto para la alimentación del módulo como para las líneas de comunicación entre ambos dispositivos.

Pinout del módulo ESP-01

Hay otros modelos de Arduino que trabajan a 3.3v como el MINI PRO 3v, el DUE, o el nuevo M0+, y pueden ser conectados directamente al módulo ESP8266 sin ningún tipo de adaptación. Incluso estos dos últimos pueden alimentarlo por su salida de 3.3v ya que proporcionan corriente suficiente para ello.

También es posible modificar el Arduino UNO para que funcione internamente a 3.3 voltios, pero siempre será mejor opción implementar una adaptación de niveles lógicos entre dispositivos de diferente tensión.

Resulta sencillo cuando se conectan dispositivos de lógica TTL 5v con dispositivos de lógica LVTTL 3.3v, porque son compatibles entre sí al establecerse los mismos valores de tensión para los niveles lógicos HIGH y LOW.

Solo es necesario implementar una limitación o reducción de tensión cuando el dispositivo LVTTL 3.3v no sea tolerante a 5v. No ocurre igual con conexiones I2C o SPI, las cuales requieren conversores bi-direccionales que eleven la tensión de 3.3v a 5v cuando la comunicación va en este sentido.

Niveles de tensión de diferentes familias lógicas


Hay varias formas de realizar la limitación de tensión de 5v a 3.3v: conversores de nivel bi-direccionales, limitadores de diodo zener, e incluso un simple divisor de tensión formado por dos resistencias.

Una forma poco usual, aunque de excelentes resultados, es utilizar un diodo Schottky en polarización inversa junto a una resistencia pull-up. De esta forma se consigue una conversión mucho más rápida y precisa, ideal para altas velocidades de transmisión.

Respuesta de diferentes limitadores de tensión


Al utilizar un Arduino UNO es necesario adaptar obligatoriamente dos líneas de comunicación con el módulo ESP8266:

  • Línea de recepción (RX)
  • Línea de selección de chip (CH_PD) "Power Down", obteniendo mejores resultados uniendo esta a la línea de reset (RST).

La línea de transmisión (TX) en teoría no necesitaría ninguna adaptación por tratarse de una línea de salida, pero es aconsejable incorporar un limitador de tensión. La razón es que esta línea se conectará con el RX0 del Arduino (Atmega328p), que a su vez está conectada con la línea de transmisión del conversor USB-Serie que trabaja a 5v, los cuales son suministrados cuando el conversor transmite, por ejemplo, al cargar un nuevo sketch.

Conexión interna del conversor USB-Serie

Además de la adaptación en las líneas de comunicación, en necesario alimentar el módulo ESP8266 a 3.3 voltios con al menos 215mA de intensidad.En las especificaciones del Arduino UNO indican 50mA como intensidad máxima en su salida de 3.3 voltios. No obstante, este es un valor no actualizado desde las primeras versiones de Arduino USB que utilizaban un conversor USB-Serie de FTDI con estas características.

Los nuevos modelos de Arduino, como el UNO, incorporan como conversor USB-Serie un Atmega16U2, junto con un regulador lineal de 3.3 voltios LP2985-33 que es capaz de entregar hasta a 150mA de intensidad.

Es posible utilizar esta salida de 3.3v del Arduino UNO para alimentar el ESP8266 en las etapas de prueba, pero para un uso optimo y estable, es conveniente incorporar un regulador lineal de mayor capacidad.

Conexión de Arduino UNO y módulo ESP-01 en modo de funcionamiento normal

El uso de las librerías espduino requiere que la comunicación serie con el módulo ESP8266 se realice a través de la UART hardware de Arduino "HardwareSerial" (TX0 y RX0).

Para la recepción y envío de mensajes de depuración a través de un terminal virtual, es necesario utilizar un conversor USB-Serie adicional como puerto SoftwareSerial.

Ahora que ya sabemos cómo conectarlo, veremos en la siguiente entrega cómo cargar el firmware al ESP8266 para poder utilizar la librería espduino desde Arduino y establecer la comunicación SLIP con el módulo ESP8266.

Latch y el Internet de las Cosas: Integración con Arduino (I)
Latch y el Internet de las Cosas: Integración con Arduino (II)
Latch y el Internet de las Cosas: Integración con Arduino (IV)
Latch y el Internet de las Cosas: Integración con Arduino (V)
Latch y el Internet de las Cosas: Integración con Arduino (y VI)


Jorge Rivera
jorge.rivera@11paths.com

Telefónica and ElevenPaths announce new market leading security offering following key sector agreements

jueves, 8 de octubre de 2015


In the context of the Company’s III Security Innovation Day

Telefónica and ElevenPaths announce new market leading security offering following key sector agreements



Madrid, Thursday, 8 October 2015.- Telefónica and ElevenPaths present today the company’s new cybersecurity product lines at our third Security Innovation Day conference. The improved and expanded services are a result of Telefónica signing strategic alliances with major partners and key players in the security sector including Alien Vault, BlueCoat, Intel Security, Palo Alto Networks, RSA, and Vaultive.

Thanks to the input and technological capabilities of the new partners, ElevenPaths has improved and optimised its most powerful tools including Sinfonier, Latch, SandaS or Metashield Protector.

Alliances that reinforce ElevenPaths’ solutions

Thanks to the agreement between Telefónica and BlueCoat, filtering systems used to access Proxy SG Internet will incorporate Metashield Protector technology –ElevenPaths’ solution preventing information leaks in all document environments–, meaning all files are scanned before publication in web services. All access information generated by Proxy SG systems is accessible from Telefónica’s SandaS platform, allowing companies real time access to IT security information. Moreover, along with GIN –BlueCoat’s IP reputation service–, SandaS can run filters or blockers in http/https accesses from a single point.

With a continuously escalating threat landscape pushing cybersecurity further up the list of concerns for boardrooms and millennials alike, Palo Alto Networks is leading the charge in putting an end to successful data breaches. Within the category of cybersecurity services, Telefónica has teamed with Palo Alto Networks to develop a service that can discover mobile malware through integration with three industry-leading technologies: Palo Alto Networks next-generation security platform, which includes the WildFire – cloud-based malware analysis and prevention service-, Tacyt -the innovative cyberintelligence tool for mobile threats developed by ElevenPaths-, and Sinfonier, -the open system for real-time processing of information sources-. Through this integration, customers will be protected from malicious mobile applications on both the network and on mobile devices.

Telefónica has also partnered with RSA, and now this company’s solution, Security Analytics, will admit connection with SandaS, providing a holistic view of companies’ security and the external threats and vulnerabilities that may affect them as well as risk, governance and compliance.

For this purpose, Telefónica has partnered with Intel Security and now this company’s security event management and correlation system NITRO will be able to connect with SandaS and SandaS GRC.

SandaS can also be connected to Alien Vault’s USM platform to improve its analysis and risk control capabilities, thus increasing those capabilities already existing in the integration with earlier versions.

Telefónica, through ElevenPaths has joined Vaultive to integrate the encryption proxy service developed by the company. This protects the confidentiality of companies’ information in SaaS platforms, especially in Microsoft Office 365, with the Latch tool. This allows mobile device authorization and access to all Office 365 devices.

ElevenPaths has recently acquired GesConsultor, the technology solution specialising in management and compliance systems (Governance, Risk & Compliance, or GRC), which from now on is integrated as SandaS GRC within its product portfolio. The Telefónica subsidiary has also acquired the intellectual property of the “Handwritten Signature Capture and Verification Development System in Mobile Platforms” software, which is linked to research work with the Carlos III University of Madrid.

Telefónica is working to develop new services and security capabilities that help their clients’ businesses to be better protected against threats in the environments in which they operate. In the past year, the Company has undertaken a transformation process based on innovation through technology. br/>
As a result Telefónica España is the leading company in billing, managed devices and implemented projects. Spain's top companies, public bodies and law enforcement forces and agencies rely on them for their cyber security.

The event will be streamed live to all Telefónica offices and will be accessible over the web at: https://securityinnovationday.elevenpaths.com/eventcontent/streaming

More information on www.elevenpaths.com

» Download press release

Telefónica y ElevenPaths presentamos la mejor oferta integral de seguridad del mercado gracias a la firma de alianzas con los mejores partners del sector


En el marco del III Security Innovation Day de la compañía

TELEFÓNICA PRESENTA LA MEJOR OFERTA INTEGRAL DE SEGURIDAD DEL MERCADO Y FIRMA ALIANZAS CON LOS MEJORES PARTNERS DEL SECTOR

Madrid, jueves 08 de octubre de 2015.- Telefónica y ElevenPaths presentamos hoy, en el marco del III Security Innovation Day -evento anual de referencia nacional e internacional sobre innovación y seguridad-, las principales líneas estratégicas en Ciberseguridad de la Compañía, así como su amplio portfolio de productos y servicios mejorados y ampliados gracias a la firma de alianzas estratégicas con importantes socios del sector, para conseguir a corto plazo unas ventajas competitivas que de otro modo sería muy difícil alcanzar.

En su afán de ayudar a las organizaciones a transformarse de forma segura, Telefónica y ElevenPaths acaban de firmar acuerdos con Alien Vault, BlueCoat, Intel Security, Palo Alto Networks, RSA y Vaultive. Fruto de la suma de las capacidades tecnológicas de la Compañía y de cada uno de sus nuevos socios surge una oferta de productos de gran calidad basada en la mejora y optimización de sus herramientas más potentes como Sinfonier, Latch, SandaS o Metashield Protector.

Alianzas que refuerzan las soluciones de ElevenPaths

En un entorno en el que las ciberamenazas aumentan continuamente haciendo que la Ciberseguridad sea una de las principales preocupaciones tanto de las empresas como de los usuarios, Palo Alto Networks está a la cabeza en la lucha contra las brechas de seguridad. Por ello, dentro de la categoría de servicios de Ciberseguridad, Telefónica junto a Palo Alto Networks ha desarrollado un servicio capaz de descubrir las ramificaciones del malware móvil que integra tres innovadoras tecnologías: la plataforma de seguridad de última generación de Palo Alto Networks, que incluye Wildfire, -el servicio en la nube para análisis y prevención de malware-, Tacyt - la innovadora herramienta de ciberinteligencia de amenazas móviles desarrollada por ElevenPaths-, y Sinfonier, -el sistema abierto de procesamiento de fuentes de información en tiempo real-. A través de esta integración, los clientes estarán protegidos frente a las aplicaciones móviles maliciosas tanto en la red como en dispositivos móviles.

A partir de ahora y gracias al acuerdo alcanzado entre Telefónica y BlueCoat, los equipos de filtrado para acceder a Internet Proxy SG ya incorporan la tecnología Metashield Protector,- la solución de ElevenPaths contra las fugas de información en todos los entornos documentales- . De esta forma, los ficheros son analizados antes de ser publicados en servicios web. Toda la información de accesos generada por los equipos Proxy SG es accesible desde la plataforma SandaS de Telefónica para conocer en tiempo real todo lo que afecta a la seguridad informática de las empresas. Además SandaS, en combinación con GIN - servicio reputación IP de BlueCoat-, permite ejecutar desde un único punto bloqueos o filtros en accesos http/https.

Telefónica también se ha asociado con RSA para que la solución de esta compañía, Security Analytics, permita la conexión con SandaS aportando una visión holística de la seguridad de las empresas, las amenazas externas o vulnerabilidades que puedan afectarles y los medidores de riesgo, gobierno y cumplimiento normativo.

Además, Telefónica ha trabajado conjuntamente con Intel Security, para que el sistema de gestión y correlación de eventos de seguridad NITRO de esta empresa esté integrado con SandaS y SandaS GRC facilitando la automatización de procesos y controles.

SandaS también podrá conectarse a la plataforma USM de Alien Vault para potenciar sus capacidades de análisis y control del riesgo, ampliando las capacidades ya existentes en la integración con versiones previas.

Telefónica, a través de su filial de seguridad ElevenPaths, se ha unido a Vaultive integrando el servicio proxy de cifrado desarrollado por esta compañía para proteger la confidencialidad de la información de las empresas en plataformas SaaS, y especialmente en Microsoft Office365, con la herramienta Latch. Esto permite, entre otras capacidades, que se puedan autorizar desde un móvil los accesos y dispositivos que pueden trabajar en O365.

Por otro lado, ElevenPaths ha comprado recientemente GesConsultor, la solución tecnológica especializada en los sistemas de gestión y cumplimiento normativo (Governance, Risk & Compliance o GRC), que a partir de ahora se integra como SandaS GRC dentro del portfolio de soluciones de seguridad gestionada de la operadora, ampliando su oferta para los clientes.

Igualmente, la filial de Telefónica ha adquirido la propiedad intelectual del Sistema de Desarrollo de Captura y Verificación de Firma Manuscrita en Plataformas Móviles” (Software) vinculado a trabajos de investigación con la Universidad Carlos III de Madrid.

Telefónica trabaja para desarrollar nuevos servicios con nuevas capacidades en materia de seguridad que contribuyan a que los negocios de sus clientes estén más protegidos frente a las amenazas en los entornos en los que operan. En este último año la Compañía ha abordado un proceso de transformación basado en la innovación a través de la tecnología. Así, Telefónica España es líder en facturación, en dispositivos gestionados y proyectos ejecutados así como en número de empresas e instituciones que en España le confían su seguridad - las principales empresas del país, organismos públicos y Cuerpos y Fuerzas de Seguridad del Estado-.

El evento se retransmitirá en directo desde el Auditorio de Telefónica a través de este enlace: https://securityinnovationday.elevenpaths.com/eventcontent/streaming

Más información en www.elevenpaths.com

» Descargar nota de prensa