[New report] “Cyber-insurance: cyber risk transfer in Spain”

viernes, 29 de abril de 2016




Yesterday we presented to the media and industry analysts the first report on the cyber risks transfer through cyber policies in Spain, prepared in conjunction with THIBER. It took place in the IE University’s Aula Magna, Madrid. Some of the most important companies in technology, insurance and consulting sectors such as AIG, AON, K2 INTELLIGENCE, MARSH, MINSAIT and TELEFÓNICA in collaboration with the IE University, took part in its production.

This document study was conducted with the aim of meeting a market need to manage cybersecurity risk through insurance protection.

» Download now the full report from our web ElevenPaths

The new threats related to the digital environment, the interconnectivity and the digitization of the Spanish business network prove the need for paradigm shift. The cyber security and risk consultancy providers, the public administration, the insurance sector itself, as well as the rest of the business sector should advocate the cyber incidents integral management, which according to data from INCIBE, increased 180 percent in Spain in 2015 alone.

Thus, there must be a continuous collaboration between the emergency departments of insurance companies, specialized technology companies and ICT departments of insured companies. For that, it will be essential to have a document that would serve as a based on analysis up-to-date tool, and, at the same time, would gather up common work proposals. This is where this new report will become the reference document for the immediate future.

The overall message of the event pointed at Spanish cybersecurity market as a booming market, offering products that improve cybersecurity both at corporate and the administrational level and, there is no doubt that it will give plenty to talk about in the short and medium term. It is the responsibility of all stakeholders to ensure its consolidation.

» Download now the full report “Cyber-insurance: cyber risk transfer in Spain″

More information:
elevenpaths.com

[Nuevo informe] “Ciberseguros: la transferencia del ciber-riesgo en España”




Ayer presentamos en Madrid en el Aula Magna del Instituto de Empresa, a los medios y analistas del sector, el primer informe elaborado conjuntamente con THIBER, sobre la transferencia de riesgos cibernéticos a través de las ciberpólizas en España. Participan en la elaboración del estudio algunas de las más importantes compañías del sector asegurador, tecnológico y de consultoría como son AIG, AON, K2 INTELLIGENCE, MARSH, MINSAIT y TELEFÓNICA con la colaboración del INSTITUTO DE EMPRESA.

Este documento de estudio se ha realizado con el objetivo de cubrir una necesidad del mercado para gestionar el riesgo en ciberseguridad por medio de seguros de protección.

» Ya puedes descargártelo desde la web de ElevenPaths.

Las nuevas amenazas asociadas al entorno digital, la interconectividad y la digitalización del tejido empresarial español constatan la necesidad de un cambio de paradigma. El propio sector asegurador, los proveedores de servicios de Ciberseguridad y de asesoramiento en riesgos, la Administración Pública, así como el resto del sector empresarial deben ser los protagonistas de la gestión integral de los ciberincidentes, que tan sólo en 2015 aumentaron un 180% en España.

De esta forma, deberá existir una colaboración continua entre los departamentos de siniestros de las aseguradoras, empresas tecnológicas especializadas y los departamentos TIC de las compañías aseguradas. Para ello será imprescindible contar con un documento que sirva como herramienta actualizada de base de análisis y que a la vez recoja propuestas de trabajo común. Ahí es, precisamente, donde este nuevo informe hará las veces de documento de referencia para el futuro inmediato.

El mensaje general del evento señalaba al mercado de los ciberseguros en España como un mercado en auge, siendo productos que permiten mejorar el nivel de ciberseguridad tanto a nivel empresarial como a la propia Administración y que, con toda seguridad, van a dar mucho que hablar a corto y medio plazo. Es responsabilidad de todos los actores garantizar su consolidación.

»Descárgate el nuevo informe “Ciberseguros: la transferencia del ciber-riesgo en España”.

Más información en:
elevenpaths.com

Mobile Threat Protection

jueves, 28 de abril de 2016

The agreement between Eleven Paths and Check Point on commercialization and technological integration allows Telefonica to complement its Enterprise Mobility Management (EMM) solution with the most advanced mobile protection service.

At ElevenPaths we strongly believe that the only viable Information Security is one that protects all breaches of the corporate perimeter. When criminal organizations attack a corporation, they try to make their way successively to all entry-points in order to break any possible barrier. Hence, the security of the whole system is equal to the security of its weakest front. The security strategies that don´t shield against all possible attack vectors are completely useless versus advanced attacks.

This is the principle that guided us when developing our mobile security service product during the last months. We have implemented two confluent lines of work: on one hand, the capabilities improvement of our product Tacyt; on the other hand a thorough market research looking for the most forward-looking security technology which would meet all and each one of our demanding requirements (depicted in the diagram below) and which would naturally adjust itself to our products and services ecosystem.




We are convinced that the Mobile Threat Protection Service of Telefonica integrated into our Enterprise Mobility Management (EMM) suite is the best and the most comprehensive protection in the world. This service is disruptive for the following reasons:

  • It protects against the three mobile vectors attack. Most of the mobile security solutions are incomplete since they are only able to detect malicious applications, being ineffective against device or network attacks.
  • Behavioural Adaptive Security Analysis. In mobile context, the speed of attacks is almost instantaneous and malware mutation is fast. This has made it undetectable for traditional signature-based antivirus. Therefore MTP includes patented algorithms of behavioural analysis that, in combination with the advanced correlation from Tacyt, allows to detect zero-day attacks
  • Automatic triggering of quarantine policies. The answer to an attack can´t wait. For that reason MTP is integrated with the Telefonica MDM service to immediately trigger quarantine actions in order to isolate all at-risk devices and prevent information theft and lateral movements.
  • A built-in user-friendly service which ensures enterprise productivity. MTP is one more component of the Enterprise Mobility Management (EMM) suite of Telefonica. Thanks to the suite, the Telefonica clients have a single access point for corporate mobility services: connectivity, telecom expenses management, mobilization and productivity processes, mobile device management, and, of course, advanced security. It is also possible to hire some efficient professional services to which delegate the aforementioned services management.
To conclude, we strongly believe that our clients benefit from the best mobile security service available on the market.




*It may be of your interest:

Francisco Oteiza Lacalle
francisco.oteizalacalle@telefonica.com

Cómo usar Latch en tu día a día: Ejemplo, códigos y tutoriales

Como anunciamos el pasado 14 de abril, ya tenemos a los ganadores y los premios concedidos, de la segunda edición de nuestro concurso de talento. Os dejamos la recopilación de los plugins presentados en Latch Plugin Contest 2015 que merecen la pena revisar en detalle. Enhorabuena a todos por el trabajo realizado.

Nombre Plugin: Nuxeo Latch Plugin
Autor: Agustin Rubio Mingorance
Descripción: Plugin para integrar la tecnología Latch en la plataforma Nuxeo
Enlace Github: https://github.com/arubiom00/NuxeoLatch
Enlace Documentación: https://github.com/arubiom00/NuxeoLatch
Enlace Video: https://www.youtube.com/watch?v=saY-0F1SKMc




Nombre Plugin: Twlatch (Twitter + Latch)
Autor: Daniel Crespo
Descripción: Twlatch (Twitter + Latch) permite en cierta forma crear un Latch sobre Twitter basado en aun aplicación para la plataforma. Si bien no bloquea el acceso directamente, sí permite eliminar inmediatamente los nuevos Tweets cuando se bloquea el Latch. Integración de Latch en Twitter para evitar la publicación de Tuits sin permiso
Enlace Github: https://github.com/DaCrRa/twlatch
Enlace Documentación: https://github.com/DaCrRa/twlatch
Enlace Video: https://youtu.be/1j7vM8AWa5I




Nombre Plugin: Latch Proximity
Autor: Jorge Bueno
Descripción: Se trata de un "meta Latch" que permite que los latches funcionen solo cuando se está dentro de una zona física de "proximidad" a un dispositivo que se conecta con Bluetooth. Una vez en la zona, se puede bloquear o desbloquear los latches automáticamente gracias a un token que porte el usuario. Bloqueo de acciones por proximidad con Latch
Enlace Github: https://github.com/nsxxsn/latch-proximity/
Enlace Documentación: https://github.com/nsxxsn/latch-proximity/
Enlace Video: https://youtu.be/EbV6n7oEPg8




Nombre Plugin: Latchwake
Autor: Manuel Barrero Finque
Descripción: Latchware posibilita el bloqueo o desbloqueo de varios equipos desde el dispositivo móvil
Enlace Github: https://github.com/maxssestepa/latchwake
Enlace Documentación: https://github.com/maxssestepa/latchwake
Enlace Video: https://youtu.be/KK7xPYnYiIY




Nombre Plugin: Latch-CMD (& golatch)
Autor: Mikel Pintor
Descripción: Implementa en el lenguaje Go, un sistema para utilizar Latch de forma cómoda por línea de comando en cualquier plataforma, lo que facilita su uso en scripts y otros programas. Como "efecto colateral" ha creado un SDK en Go. nteractúa de forma sencilla con la API de Latch desde una shell
Enlace Github: https://github.com/millenc/latch-cmd https://github.com/millenc/golatch
Enlace Documentación: https://github.com/millenc/golatch https://github.com/millenc/latch-cmd
Enlace Video: https://www.youtube.com/watch?v=F5Ot2GnloOI




Nombre Plugin: LockWifi
Autor: Samuel Rodríguez Borines
Descripción: Plugin para bloquear / desbloquear nuestra WiFi.
Enlace Github: https://github.com/srborines/lockifi-windows
Enlace Documentación: https://github.com/srborines/lockifi-windows
Enlace Video: https://www.youtube.com/watch?v=ukjXX3BBBDk




Nombre Plugin: MediaWiki Latch
Autor: Paula Rodríguez
Descripción: Se trata de un plugin de Latch desarrollado para la popular plataforma MediaWiki.
Enlace Github: https://github.com/pauloba/latch-plugin-mediawiki
Enlace Documentación: https://github.com/pauloba/latch-plugin-mediawiki
Enlace Video: https://www.youtube.com/watch?v=P9BZqSz0ZcY




Os recordamos los 3 ganadores:

Primer premio – 5.000 USD
Ganador: Daniel Crespo
Plugin: Twlatch (Twitter + Latch)

Segundo premio – 2.000 USD
Ganador: Mikel Pintor
Plugin: Implementa en el lenguaje Go

Tercer premio – 1.000 USD
Ganador: Jorge García
Plugin: meta Latch

Gracias a todos por participar.

Estudio de contraseñas cognitivas en la filtración de datos del Banco Nacional de Catar (QNB)

miércoles, 27 de abril de 2016

Cada vez que se produce una filtración de datos sensibles de usuario con contraseñas (en plano o reversibles) de por medio, alguien suele analizar cuáles y con qué frecuencia se utilizan. Siempre ganan "123456", "password" o similares. En el caso del reciente filtrado de datos del banco QNB (Qatar National Bank), lo hemos analizado desde otro punto de vista: las contraseñas "cognitivas", esas preguntas que se suelen hacer para recuperarlas y que sirven habitualmente como puerta de atrás para muchos ataques.

Hace poco se ha hecho público un filtrado de 1.4 gigabytes de datos de lo que ha resultado un ataque a QNB, el banco nacional de Catar. Al margen de todo el resto de información que aparece en la base datos (más que jugosa, entre ella bastantes tarjetas de crédito), nos ocupamos ahora de las contraseñas cognitivas. No están ni mucho menos desterradas. Las contraseñas cognitivas son esas preguntas supuestamente personales, que te permitirán recuperar la contraseña de un servicio si la has perdido. Las típicas son "¿Cuál es el apellido de soltera de tu madre?", "¿Cómo se llama tu mascota?"... y similares genialidades. Sirven para "demostrar que eres tú" a quien solicita un cambio de contraseña, algo que de base, traslada el riesgo desde una contraseña a un dato personal probablemente deducible o incluso directamente público. Este método siempre ha sido mala idea, pero hoy por hoy, gracias a la exhibición que realiza el usuario medio de su vida privada y gustos en redes sociales, lo es más. Históricamente han servido para conseguir acceso a cuentas de correo de famosos (recordemos el caso Paris Hilton, Sarah Palin o Scarlett Johansson) y millones de usuarios anónimos. Además están en periodo de extinción entre los servicios que se toman en serio la seguridad.

Estas preguntas se plantean principalmente en el proceso de creación de una cuenta de cualquier tipo. Puede encontrarse predeterminada o configurarla el propio usuario. En el caso de esta filtración del banco, parece que los usuarios podían elegirlas, lo que permite además analizar qué tipo de preguntas o temas escogen como "pista" para ellos mismos. Como ejercicio en este sentido, hemos analizado los datos de la filtración de QNB y el resultado no deja de ser curioso. Hemos encontrado dos grupos de datos: 39 preguntas y respuestas en claro elegidas por los usuarios "VIP" con su respectiva respuesta que reproducimos a continuación. Los datos son públicos desde la filtración y entre estos usuarios hay perfiles tan curiosos como espías (al menos así los califica el propio banco), políticos de Medio Oriente, policía, servicios especiales, periodistas de Al Jazeera, personal de otros bancos...

question:ville de naissance?; answer:el biar;
question:where i grew up ;answer:ballinteer;
question:what is my age? ;answer:26;
question:Favourite Pet? ;answer:Harvey;
question:my name ;answer:khalaf;
question: alex school;answer:voltaire;
question:job ;answer:presenter;
question:whats ur yahoo pin ;answer:yahoo ;
question:jjjj ;answer:kkkk;
question:cat ;answer:toyota;
question:what is your color ;answer:red;
question:c'est repare ;answer:c'est ok;
question:country ;answer:avezzano;
question:what is ur ;answer:hazem zoom;
question:football and birthday ;answer:foot;
question:je merite ;answer:no;
question:WHAT IS YOUR FAVORITE CITY ;answer:RAMALLAH;
question:TOOTS ;answer:my number;
question:my wifes name ;answer:Kerry;
question:Didier hint ;answer:Venus;
question:What is your husband's nick name ;answer:Ba;
question:WHAT IS MY MOTHER NAME ;answer:FATIMA;
question:A;cigarette ;answer:555;
question:mothers maiden name ;answer:Screech;
question:car; ;answer:lexus;
question:what is your daughter's name? ;answer:tanu;
question:Your mother maiden name ;answer:Neale;
question: what is your bank ;answer:qnb;
question:my s mom ;answer:cora;
question:who am i ;answer:roc;
question:teacher ;answer:angelina;
question:truck ;answer:ford150;
question:dogs name ;answer:herman;
question:what is your place of birth?  ;answer:tuzla;
question:rs28 ;answer:dannyc;
question: A;wife;s name ;answer:carole;
question:father's name ;answer:claude;
question:chien ;answer:u;ysse;
queston:A;golf ;answer:clubs;



Quizás unas 40 muestras no sean representativas, pero llama la atención cómo los usuarios han asimilado las preguntas "típicas" y las han hecho suyas. Si les dan a elegir, repiten los patrones impuestos desde siempre por los servicios en la red… el nombre de soltera de la madre, mascotas, gustos, lugar de nacimiento… todos datos muy fácilmente deducibles o con un rango de error muy pequeño con fuerza bruta (¿cuál es tu color favorito?). Muy pocos echan mano de la imaginación.

Por otro lado existe, en la misma filtración, otro fichero con las preguntas de usuarios "no VIP", del banco. Usuarios corrientes. En este caso, la respuesta no está en texto claro y no se ha tenido acceso aún. Pero hemos estudiado las preguntas. Contamos con 106634 preguntas y usuarios, eliminando algunas que no hemos podido decodificar por el uso de caracteres no latinos. Las hemos clasificado libremente por temática. Por ejemplo, buscando "pet" para cualquier pregunta relacionada con mascotas, o "mother" para preguntas del tipo "what is the maiden name of my mother" y sus variantes… intentando aglutinar así todo tipo de preguntas en una misma temática, puesto que cada uno lo ha escrito de una forma, grafía, estilo e incluso sintaxis diferente. Algunas preguntas están redactadas en francés, aunque la inmensa mayoría usa el inglés. Los porcentajes pueden no ser del todo ajustados puesto que puede haber temáticas que se solapen (cumpleaños de la mascota, por ejemplo). Y estos son los resultados.



  • Un 35,32% apela al nombre de alguien.
  • Un 7,69% se acuerda de su madre.
  • Un 4,90% lo asocia con su día de nacimiento.
  • Un 4,46% recuerda una "primera vez".
  • Un 4,17% habla de sus mascotas.
  • Un 4,10% se refiere a algo de los coches.
  • Un 3,81% recuerda algún dato de su esposa o marido.
  • Un 3,03% se acuerda de su padre.
  • Un 2,66% habla de nombres o fechas de su hijo.
  • Un 2,09% del apellido de soltera.
  • Un 2,07% de algo "favorito".

Con esta muestra, más allá de la anécdota, en realidad se pretende dar una idea de los elementos entorno a los que construimos nuestras contraseñas o las salvaguardamos. Parece claro que asociamos habitualmente la custodia de unos datos valiosos (una cuenta de un banco) a nuestros seres o recuerdos queridos. A ellos se dedican buena parte de las veces las contraseñas pero más aún estas preguntas cognitivas que sirven de pista. La razón es sencilla: son datos que no son muy cercanos y por tanto no vamos a olvidar. ¿Qué mejor fórmula para definir algo que se nos ha dicho que sirve como recordatorio?

Evidentemente, este resultado puede estar sesgado por el tipo de datos filtrados y el perfil de usuarios, idioma, cultura… pero puede ser representativo.

¿Soluciones?

Por definición, no es sensato supeditar el acceso a información privada al conocimiento de una serie de datos que no lo son. La solución es mentir si nos obligan a usar esas contraseñas cognitivas, empleando cadenas aleatorias a modo de contraseñas que, junto con la real del servicio, serán almacenadas en un buen gestor de contraseñas (sabiendo que, si se almacena bien la real, ni siquiera se necesitarán las cognitivas).

Sergio de los Santos
ssantos@11paths.com

ElevenPaths Talks: Big Data

martes, 26 de abril de 2016


 
 
El próximo Jueves 28 de Abril nuestro compañero Leandro Bennaton impartirá una charla sobre la importancia del Big Data hoy día. Las organizaciones se han dado cuenta de la importancia hoy día de las tecnologías Big Data, y el mundo de la seguridad no es menos. Leandro nos contará como el Big Data puede ayudar y mucho a las nuevas soluciones en Ciberseguridad. Podréis preguntar también por nuestras soluciones de pentesting persistente en los entornos empresariales más exigentes gracias a nuestra tecnología Faast. También os recomendamos esta charla de nuestro compañero Gabriel Bergel sobre Metodologías de testing, ¡No os la perdáis!



La duración de la charla de Leandro será de unos 30 minutos, divididos entre 20 y 25 minutos de exposición y de 5 a 10 minutos de preguntas y respuestas. El horario de la charla serán las 15.30  (GMT+1). La sesión se realizará en portugués. La charla estará disponible al termina ésta en nuestro canal de YouTube. La ponencia se llevará a cabo por Hangout.
 
Os esperamos para que nuestro CSA os enseñe todo lo que necesitáis conocer sobre el Big Data y su expansión y usos en la Ciberseguridad. Puedes mirar el calendario de talks para ver las que aún quedan por celebrarse. Recuerda, tienes una cita el próximo 28 de Abril en horario de 15.30 (GMT+1). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks.


Protección frente amenazas móviles

lunes, 25 de abril de 2016

El acuerdo de comercialización e integración tecnológica entre ElevenPaths y Check Point permite a Telefónica complementar la solución de gestión de movilidad empresarial con el servicio más avanzado de seguridad para dispositivos móviles.

En ElevenPaths estamos convencidos de que la única seguridad de la información viable es aquella que protege todas las posibles brechas del entorno corporativo. Las organizaciones criminales, cuando ejecutan ataques dirigidos contra una corporación, tratan de abrirse camino de cualquier modo posible, así que sucesivamente intentan comprometer todas las posibles vías de acceso. Por esta razón, la seguridad de un sistema siempre completo equivale a la seguridad de su frente menos protegido. Las estrategias de seguridad que no están adecuadamente resguardados contra todos los vectores de ataque posible son por completo inútiles frente a ataques avanzados.

Este fue el principio que nos ha guiado durante el desarrollo de nuestro servicio de seguridad móvil en los últimos meses. Dos líneas de trabajo confluyentes han sido las que hemos ejecutado: por un lado, la mejora de las capacidades de nuestro producto Tacyt y por el otro, la prospección exhaustiva del mercado en busca de la tecnología más vanguardista, que satisficiera todos y cada uno de nuestros exigentes requisitos de seguridad (representados en el diagrama inferior) y que también se acomodara de manera natural a nuestro ecosistema de productos y servicios.




El Producto de Protección Móvil Frente Amenazas de Telefónica, integrado en la suite de productos de Gestión de Movilidad Empresarial es la más completa y mejor protección del mundo. Estamos convencidos de ello. Este servicio es diferencial porque:

  • Protege frente a los tres vectores de ataque móvil. La mayor parte de las soluciones de seguridad móvil resultan imperfectas debido a que se centran en exclusiva en los ataques de aplicación y son inefectivos contra ataques de dispositivo y ataques de red.
  • Seguridad adaptativa basada en modelos de comportamientos. Los ataques en el mundo móvil se caracterizan por una velocidad de propagación nunca vista y por su rápida mutación. Esto los hace indetectables para los antivirus tradicionales que se basan en firmas. Por eso MTP se sirve de algoritmos patentados de análisis de comportamiento que permite detectar ataques de día cero y también de la correlación avanzada mediante Tacyt.
  • Ejecución automática de políticas de cuarentena. La respuesta a un ataque no debe esperar. Por eso MTP está integrado con el servicio de MDM para que de manera inmediata se desencadenen acciones de cuarentena que aíslen el dispositivo comprometido y eviten el robo de información y los movimientos laterales.
  • Un servicio integral y sencillo que garantiza la productividad de las empresas. MTP es un componente más de la suite de Gestión de la Movilidad Empresarial de Telefónica. Gracias a esta suite los clientes de Telefónica disponen de un punto único desde el que acceder a los servicios de movilidad corporativa: conectividad, control de gasto, procesos de movilización y productividad, gestión remota de dispositivos y, por supuesto, seguridad avanzada; y además también es posible contratar unos eficientes servicios profesionales en los que delegar la administración de los servicios antes enumerados.
En conclusión, estamos convencidos de que los clientes que han depositado su confianza en nosotros disfrutan del mejor servicio de seguridad móvil que a día de hoy es posible ofrecer.




*También te puede interesar:

Francisco Oteiza Lacalle
francisco.oteizalacalle@telefonica.com
leandro.bennaton@11paths.com

ElevenPaths and Check Point Software Technologies provide joint Mobile Protection Services Globally

viernes, 22 de abril de 2016



Joint offering protects iOS® and Android® smartphones and tablets used in businesses of any size from the cyberthreats that proliferate the worldwide mobile ecosystem.

Madrid, April 22, 2016.- ElevenPaths, a Telefónica company specializing in development of innovative security solutions and Check Point® Software Technologies Ltd. (NASDAQ: CHKP), the largest network cyber security vendor globally, today announced will be a provider of Check Point mobile security technologies for Telefónica corporate customers worldwide.

The agreement between Check Point and ElevenPaths provides Telefónica customers with a suite of mobile security services including Check Point Mobile Threat Prevention and complementary security products developed by ElevenPaths. This new offering will be part of the corporate mobility services Telefónica provides globally today, offering:
  • Protection against the three main vectors of mobile attacks including malicious applications, network attacks and attacks to devices’ operating systems.
  • Visibility and intelligence into the threat landscape of an organization’s entire mobile deployment.
  • Simple and transparent management of enterprise mobile security, while ensuring privacy.

“The Telefónica mobile security and mobility management solution facilitates day-to-day in business communications, guaranteeing productivity and protecting employee devices at all times,” said Pedro Pablo Pérez, vice president of products and services, ElevenPaths. “This agreement provides our customers with unparalleled mobile security with a joint product that combines Check Point Mobile Threat Prevention with Tacyt, a cyber-intelligence mobile threat tool developed by ElevenPaths.”

Check Point researchers continue to see a dramatic escalation in the number and sophistication of targeted attacks on mobile devices worldwide. Attacks like these can make business use of smartphones and tablets a significant risk to the security of sensitive enterprise data accessed on mobile devices.

“We believe mobile devices are the weakest link in corporate security today, leaving businesses susceptible to data leakage and network attacks,” said Amnon Bar-Lev, president, Check Point. “This agreement is a key part of protecting today's businesses, and we’re looking forward to working with Telefonica and Eleven Paths to protect businesses around the world from these threats.”

Availability
With this offering, Check Point and ElevenPaths will deliver cutting-edge security for Telefonica customers through integration with ElevenPaths technology, which make it possible for security analysts to identify behavioral patterns displayed by criminal organizations.

» Download press release

For further information:
elevenpaths.com

ElevenPaths y Check Point Software Technologies ofrecemos servicios conjuntos de seguridad móvil



La oferta protegerá smartphones y tabletas iOS® y Android® utilizados en negocios de cualquier tamaño de las ciberamenazas que proliferan en el ecosistema móvil mundial.

Madrid, 22 de abril de 2016.- ElevenPaths, la empresa especializada en el desarrollo de soluciones innovadoras de seguridad de Telefónica y Check Point® Software Technologies Ltd. (NASDAQ: CHKP), el mayor proveedor mundial especializado en seguridad, anunciamos hoy que ElevenPaths será proveedor de las tecnologías de seguridad móvil de Check Point para los clientes corporativos de Telefónica en todo el mundo.

El acuerdo entre Check Point y ElevenPaths ofrece a los clientes de Telefónica un conjunto de servicios de seguridad móvil que incluyen la solución Mobile Threat Prevention de la primera, así como productos complementarios desarrollados por la segunda. Esta nueva oferta será parte de los servicios de movilidad corporativa que Telefónica ofrece actualmente a nivel mundial hoy en día, y ofrecerá:
  • Protección contra los tres vectores principales de ataques móviles: aplicaciones maliciosas, ataques a nivel de red y ataques a los sistemas operativos de los dispositivos.
  • Visibilidad e inteligencia sobre el panorama de amenazas para la totalidad de la infraestructura móvil de la organización.
  • Gestión sencilla y transparente de la seguridad móvil de la empresa, garantizando al mismo tiempo la privacidad.

"La solución de seguridad móvil y gestión de la movilidad de Telefónica facilita el día a día en las comunicaciones del negocio, garantizando la productividad y protegiendo los dispositivos de los empleados en todo momento", ha afirmado Pedro Pablo Pérez, Vicepresidente de Productos y Servicios de ElevenPaths. "Este acuerdo proporciona a nuestros clientes una seguridad móvil sin precedentes a través de una solución conjunta que combina Check Point Mobile Threat Prevention con Tacyt, herramienta de ciberinteligencia contra amenazas móviles desarrollada por ElevenPaths."

Los investigadores de Check Point continúan apreciando una drástica escalada en el número y en la sofisticación de los ataques dirigidos en los dispositivos móviles en todo el mundo. Ataques como estos pueden hacer que el uso de teléfonos inteligentes y tabletas en los negocios entrañe un importante riesgo para la seguridad de los datos empresariales sensibles a los que se accede desde estos dispositivos.

"Creemos que los dispositivos móviles son actualmente el eslabón más débil de la seguridad corporativa, haciendo a las empresas vulnerables ante ataques fugas de datos y ataques a la red", asegura Amnón Bar-Lev, presidente de Check Point. "Este acuerdo es un paso clave para la protección de las empresas de hoy en día, y estamos deseando trabajar con Telefónica y ElevenPaths para proteger a las empresas de todo el mundo de estas amenazas."

Con esta oferta, Check Point y ElevenPaths ofrecerán seguridad de última generación para los clientes de Telefónica a través de la integración de la tecnología de ElevenPaths, que permite a los analistas de seguridad identificar los patrones de conducta que muestran las organizaciones criminales.

» Descargar nota de prensa

Más información en:
elevenpaths.com

Social engineering is more active than ever

The fact that Social Engineering has been the easiest method used by the scammers is not new. What we are going to describe in this blog today has been mentioned in some relevant Security reviews and newspapers, but at Elevenpaths, we are still surprised how easy this is happening.

A few months ago, our customers in the Middle East asked us how to overcome the so-called C-level scam (or Business E-Mail Scams as baptised by the FBI or also known as the “Fake President” fraud).

For the most basic scam, the “bad guy” should need to know the following information:  
  • If a company (let’s call it acme.com) is going through a merger or it has in mind acquiring a company (information obtained over the news, twitter comment insight, general gossip ...). Let’s call this company Muntaleyxp.
  • C-level members and associated domains of the company (not mandatory). Let’s assume miky.wunderbalr@acme.com.
  • Financial controllers or under C-level people in the company. Information can be gathered through Linkedin for example. Let’s assume tom.xly@acme.com.
  • If the merger or acquisition process is done through a third company, find out one of the most relevant person in this company (let’s call it Kmiop). Let’s assume dan.panly@kmiop.com.
 
With this information the scam occurs as described below:  
  • If the scammer has accessed Miky’s email account though a Trojan for example, it is even easier. But let’s assume it is not the case. If the domain of the company has a letter you can trick such an “l” or “m” ... then register a new domain and use it to send the main email. If not, then he/she can use a Gmail account. For example: miky.wunderbalr@acne.com. miky.wunderbalr@gmail.com.
  • Send the email to tom.xly@acme.com and put dan.panly@kmiop.com in CC (it can even be the real domain but ensuring Dan does not receive the email [misspell it] avoiding he will trigger the alarm and hoping Tom will not contact Dan).

  • Many variants can be used (such as Dan is also part of the scam [this time do not misspell it] and he will provide the bank account details) to perform the scam, but the general idea is there. The receiver (Tom) will be surprised with such message that he may act and do the transfer!
From Elevenpaths we have five suggestions to overcome this problem:  
  • Easiest and obvious one: Pick up the phone and ask the C-Level executive about his/her e-mail.
  • A technical one with its limitations: Try to set-up incoming email rules trying to cover as many misspelling options with C-Level executive names & surnames (with any associated domain), and blocking them. C-Level executive: Miky Wunderbalr (authorised e-mail: miky.wunderbalr@acme.com). niky.wunderbalr, miky.wunderba1r, miky_wunderbalr, miky-wunderbalr, wunderbalr.niky. Along with an e-mail filtering system against identity theft in the Company (acme) properly configured with its associated SPF, DKIM y DMARC registers.
  • A second technical option related to a second/simultaneous factor of authentication: Our Latch product will provide the same concept we used to watch in those Hollywood movies such as Crimson Tide (with Denzel Washington and Gene Hackman) where two keys are needed from different people in order to launch a missile. If we assume “the missile” is the bank transfer itself, then Tom can authorise the transfer and Miky, with his latched account active is also required to do the transfer. Miky will ensure that his latched account is never active during “strange” hours.  
  • The costly one: Have a “powerful” cybersecurity insurance covering social Engineering attacks.
  • Any C-level manager should avoid sharing any news about possible company merger or acquisitions.  
Just remember: The weakest link is always us!
 

Los atentados aceleran la nueva regulación

miércoles, 20 de abril de 2016



Tras los últimos atentados de Paris y Bruselas se han acelerado los procesos para la aprobación de la nueva Regulación General sobre Protección de Datos (GDPR) por parte del Parlamento Europeo.

Este nuevo reglamento no nace como muchos piensan tras los últimos acontecimientos terroristas, de hecho ya lleva 4 años en el horno del parlamento evolucionando a partir del anterior reglamento que pertenece a la era de Windows 95 y lógicamente a dia de hoy ha quedado ambiguo y obsoleto. Esta nueva regulación engloba las necesidades actuales adaptándolas a un estándar común que permita a todos los miembros que lo pongan en práctica operar con las mismas directivas en materia de protección y que sin duda van a ser más estrictas y severas que las actuales.

Al igual que pretende Telefonica en su nueva política de devolución del control a los usuarios de sus datos personales, la reforma aprobada quiere hacer lo mismo con los ciudadanos europeos, donde podremos decidir gracias a la nueva definición de consentimiento del uso o no de nuestros datos.

¿Pero en que cambia esta regulación con respecto a la actualmente vigente?
Fundamentalmente en todo pero cabe destacar ciertos aspectos que son determinantes:
  • Hacer valer el derecho al olvido, mediante la rectificación o supresión de sus datos personales.
  • Aprobación o rechazo claro por parte de cada usuario para el consentimiento al tratamiento de sus datos personales.
  • El derecho a poder trasladar los datos a otro proveedor de servicios.
  • El derecho a ser informado sobre un posible pirateo de sus datos personales.
  • Disponer de un lenguaje claro y comprensible sobre las cláusulas de privacidad.
  • Incremento de las multas que pueden alcanzar el 4% de la facturación global de las empresas en caso de infracción sobre estos datos.

¿Habrá normas específicas en caso de necesidad judicial o policial?
El nuevo texto si incluye unos mínimos sobre el uso de datos con estos fines e incluso a su intercambio dentro de la UE pero siempre con el objetivo de proteger, ya sea a las víctimas, acusados o testigos, clarificación de sus derechos, imposición de penas y establecer límites en la cesión de datos para prevención, investigación, detección y enjuiciamiento de delitos.

Lucha antirrerorista
Esta aprobación ha facilitado que también se haya incluido el plan PNR (Registro internacional de pasajeros aéreos). Un plan que si nace para luchar contra la amenaza terrorista que ya se considera un problema que afecta a toda la Unión y no solo a los países afectados por los últimos atentados. Esta nueva norma permitirá registrar hasta 19 datos de los pasajeros que usen el transporte aéreo dentro de la Unión o que salgan fuera de ella, pero deberá excluir de estos aquellos referentes a aspectos concretos su religión, orientación o vida sexual, raza o etnia, opinión política, salud o su relación con sindicatos y podrán mantenerlos almacenados para su uso durante 5 años.

Esta aprobación incluye a todos los países de la UE excepto A Reino Unido e Irlanda que mantienen una política particular y no se verán afectados y Dinamarca que aún no tiene decidido su implantación.

Todas estas medidas no hacen más que reforzar la necesidad de tomar medidas para controlar la información que manejamos y evitar que esta caiga en manos ajenas o su exposición innecesaria.

Desde ahora los estados miembros tienen 2 años para su implantación con lo que la daremos como un hecho desde mediados de 2018.

¿Controlamos realmente los datos personales?
Lo cierto es que cada vez más pero todavía hay que trabajar más sobre ello. Si observamos documentos de muchos repositorios web o de los adjuntos de correo electrónico, podremos encontrar información que vulnera estos principios examinando sus metadatos, encontraremos información del autor, fecha, ruta de almacenamiento, mail y un sinfín de datos que lanzamos al exterior sin garantizar la privacidad de esta información, por no hablar de posicionamiento GPS que queda almacenado en muchas imágenes.

Afortunadamente hay cada vez más soluciones que ayudan a esta tarea y facilitan el cumplimiento normativo y calidad garantizando uno de los derechos fundamentales e inalienables de nuestra sociedad, la privacidad.


*También te puede interesar:

Para más información:
elevenpaths.com

ElevenPaths Talks: Gestión de seguridad en las organizaciones

martes, 19 de abril de 2016

 
 
El próximo Jueves 21 de Abril nuestro compañero Leonardo Huertas impartirá una charla sobre gestión de seguridad en las organizaciones. Las organizaciones tienen cada día más activos expuestos en Internet y más necesidades de proteger y fortificar sus recursos. Leonardo publicó una serie de artículos sobre respuesta ante incidentes en las organizaciones, el cual os recomendamos que echéis una lectura. Podréis preguntar también por nuestras soluciones de pentesting persistente en los entornos empresariales más exigentes gracias a nuestra tecnología Faast.



La duración de la charla de Leonardo será de unos 30 minutos, divididos entre 20 y 25 minutos de exposición y de 5 a 10 minutos de preguntas y respuestas. El horario de la charla serán las 15.30  (GMT+1). La sesión se realizará en castellano. La charla estará disponible al termina ésta en nuestro canal de YouTube. La ponencia se llevará a cabo por Hangout.
 
Os esperamos para que nuestro CSA os enseñe todo lo que necesitáis conocer sobre la gestión de la seguridad en las organizaciones. Puedes mirar el calendario de talks para ver las que aún quedan por celebrarse. Recuerda, tienes una cita el próximo 21 de Abril en horario de 15.30 (GMT+1). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks.


Nuestro paso por el SSIG 2016 (Parte 2)

lunes, 18 de abril de 2016

¿Este año no has asistido a la 8ª conferencia anual de la Escuela del Sur de Gobernanza de Internet (SSIG)? No te preocupes, desde nuestro Blog te contamos todo y te ofrecemos los vídeos a las presentaciones. [Te recomendamos el discurso del ponente principal Vint Cerf, uno de los padres de Internet y vicepresidente de Google, que habla sobre el desarrollo internet y su impacto global].


Los participantes del SSIG, 2016. Foto de Glenn McKnight de ISOC Canadá.


Para los que no hayáis leído, la primera parte de esta serie de post, el propósito principal de los SSIG es la formación de nuevos líderes de opinión en todos los aspectos relacionados con la gobernanza de Internet, lo que permite a sus estudiantes entender la complejidad relacionada con la gestión de Internet y su importancia en el futuro de Internet. Cómo comentó el secretario general adjunto de la OEA, Sr. Néstor Méndez: "Hoy en día, nos encontramos en un momento importante en la forma en que Internet es gobernada Esta transición tener la oportunidad de llevar a políticas que reflejan mejor la diversidad y necesidades de la comunidad internacional de Internet, sin embargo, con este desarrollo conlleva una gran responsabilidad es crucial que Internet permanezca libre y abierto a las generaciones futuras"

Este año tenemos que destacar las magníficas acciones de la Organización de Estados Americanos (OEA), que ha puesto foco en compartir documentación y promocionar iniciativas de webcast y reuniones sociales de interés general relacionadas con la Cyberseguridad. En especial, destacamos el siguiente material:

  • Otro documento interesante, es el informe publicado bajo el título de Cybersecurity: Are we ready in Latin America and the Caribbean?, resultado de un esfuerzo de colaboración entre el Banco Interamericano de Desarrollo (BID) y la Organización de Estados Americanos (OEA). En este estudio se presenta una visión completa y actualizada sobre el estado de la seguridad cibernética, en términos de riesgos, desafíos y oportunidades en América Latina y el Caribe y se ofrecen alternativas para que las naciones fortalezcan sus capacidades en materia de ciberseguridad, con el fin de ser eficaces, eficientes y sostenibles. En él, ha colaborado Centro de Capacidad sobre Ciberseguridad Global (GCSCC) de la Universidad de Oxford. La primera sección de este informe se compone de una serie de discusiones sobre las tendencias de la Cyberseguridad y la contribución de expertos reconocidos internacionalmente. A continuación se presenta la "madurez cibernética" de cada país a través del Modelo de Madurez de Capacidades Ciberseguridad (CMM), que se ocupa de las consideraciones de seguridad a través de cinco dimensiones de la capacidad y las evalúa más de cinco etapas de madurez para cada uno de sus 49 indicadores.



En las próximas semanas seguiremos contando y aportando información sobre todos los temas que se discutieron este año en la Escuela del Sur de Gobernanza de Internet (SSIG), en cuestiones de cyberseguridad, ¡estad atentos!


Leandro Bennaton
CSA Brasil

Leonardo Huertas
CSA Colombia

Seguridad criptográfica en IoT (I)

La proliferación de dispositivos y plataformas de servicios IoT está siendo mucho más rápida que la adopción de medidas de seguridad en su ámbito. Ante la apremiante necesidad de mecanismos que garanticen la autenticación, integridad y confidencialidad, tanto de las comunicaciones como de los propios dispositivos, se tiende a trasladar las soluciones criptográficas contrastadas en la IT tradicional, como son los certificados digitales de clave pública sobre protocolos SSL/TLS. 

Pero el principal problema que presenta este acercamiento radica en el almacenamiento de los certificados en el dispositivo. En la IT tradicional es generalmente el sistema operativo el encargado de esta misión. Tanto Microsoft Windows, como Mac OS X o Linux/UNIX y sus variantes móviles (Windows Phone, iOS y Android) cuentan con una herramienta software para este fin (KeyStore), que generalmente viene precargada con numerosos certificados de confianza, al menos, para el fabricante del sistema operativo.

Componente de configuración de certificados en Windows

Criptografía en la IT 

Pero estos almacenes software presentan varias debilidades por su propia naturaleza, así que en entornos de IT donde la seguridad es una prioridad, la tendencia actual es utilizar un elemento criptográfico hardware llamado TPM (Trusted Platform Module).

Las especificaciones técnicas del módulo TPM están recogidas en un estándar abierto definido por el Trusted Computing Group (TCG); una organización sin ánimo de lucro integrada por los principales fabricantes de software y hardware, cuyo objeto es definir, desarrollar y promover especificaciones y estándares abiertos de "computación segura o confiable".

El TCG comenzó su labor en 2003 sucediendo a la Trusted Computing Platform Alliance creada en 1999. Desde sus inicios estuvieron rodeados de una gran controversia. La comunidad de software libre, con Richard Stallman a la cabeza, resultó especialmente crítica, ya que su motivación original era la protección de la propiedad intelectual mediante la gestión de derechos digitales o DRM.

El módulo TPM está basado en un cripto-procesador (chip discreto) que proporciona capacidades de seguridad avanzadas. Permite generar y almacenar claves criptográficas y realizar operaciones sobre ellas, de forma que las claves nunca abandona el chip, que se encuentra específicamente protegido contra ataques físicos (tampering).

Producidos por diferentes fabricantes (Infineon, Atmel, STMicro, Broadcom, etc.), junto a las protecciones contra ataques físicos, incorporan mecanismos de seguridad para soportar ataques lógicos. El NIST los acredita con el nivel 4 de la certificación FIPS 140-2. La utilización de módulos TPM presenta restricciones en varios países como China, Rusia, Bielorusia y Kazakhstan.

Muchos equipos de sobremesa, portátiles de gama empresarial y servidores, integran un módulo TPM de fábrica (es estiman en más de 300 millones), aunque también es posible incorporarlo de forma separada a través del conector que expone el bus LPC en una amplia variedad de equipos domésticos posteriores a 2004.

Los módulos TPM pueden almacenar de forma segura una gran variedad de objetos: certificados digitales, claves asimétricas, claves simétricas, credenciales, cookies, firmas, registros de auditoría, etc.

Se integran a nivel de la BIOS/UEFI del equipo, y permiten añadir ciertos criterios de seguridad en el pre-inicio del sistema, como la verificación de integridad ante cambios de configuración. Este mecanismo se conoce como "Registro de Configuración de Plataforma" o PCR. Una funcionalidad muy interesante y de gran utilidad es que ofrece la posibilidad de autenticar al dispositivo en lugar de a su usuario. Así, es posible establecer políticas de acceso a red en AP wireless, firewalls, routers, switches, etc. compatibles con la norma 802.1x.

Configuración de TPM en una BIOS de American Megatrends

La integración del TPM con el Sistema Operativo proporciona una completa API de servicios criptográficos que pueden ser ampliamente explotados con Microsoft Windows desde la versión Vista y Server 2008. Destaca especialmente la facilidad de uso con BitLocker para el cifrado de unidades de disco, con Outlook para el cifrado y/o firmado de correos electrónicos, en el almacenamiento de certificados digitales y credenciales de VPNs, y con diferentes políticas de grupo del Directorio Activo en Windows Server. Por su parte, Apple incluyó de forma fugaz módulos TPM en los primeros MacBook con procesador Intel durante el año 2006, aunque el soporte oficial es prácticamente inexistente en la actualidad.

Del lado de GNU/Linux, se han desarrollado diferentes drivers y herramientas para el uso de los módulos TPM. Su soporte está incluido en el kernel de Linux desde la versión 2.6, junto con la posibilidad de albergar claves de SSH y establecer políticas de seguridad el arranque del sistema a través de Trusted GRUB y Uboot. 

Google distribuye sus Chromebook con un módulo TPM preactivado de fábrica, según indican, por cuestiones de seguridad que ya han sido analizadas por unos investigadores del MIT. 

Las especificaciones del TPM se recogen desde 2009 en en norma ISO/IEC 11889. La versión (TPM v2.0) más reciente es de 2014 e incorpora numerosos avances, como la posibilidad de utilizar múltiples Root Keys, resúmenes SHA-256 y algoritmos de cifrado de curva elíptica "ECC". Pero el avance más significativo lo constituye la posibilidad de implementar el módulo TPM en modo firmware (fTPM), ejecutado dentro de un Trusted Execution Environment (TEE). Se proporciona a nivel hardware en los procesadores más recientes de Intel, AMD y Qualcomm, y omnipresente en la arquitectura ARM denominándose TrustZone.

Componente para la configuración de TPM en Windows

Así, las características de seguridad hardware que proporciona el TEE constituyen la base de la seguridad criptográfica que están implementando la mayoría de smartphones de última generación, tanto en el proceso de autenticación biométrica, como en su uso como medio de pago. Aunque Apple emplea un desarrollo propio de características similares conocido como "Secure Enclave", integrado en sus nuevos procesadores A7.

Criptografía antes del IoT 

Cuando buceamos en el Internet de las Cosas nos encontramos con diminutos sistemas embebidos que, con suerte, llegan a ejecutar versiones reducidas de Linux como sistema operativo porque en muchos casos, tan solo cuentan con un microcontrolador a modo de SoC (System On a Chip).

Aunque las nuevas generaciones de SoC son cada vez más potentes, e incorporan capacidades de conectividad inalámbrica, siguen estando muy alejados de las características necesarias para trasladarles soluciones criptográficas de la IT tradicional, como los keystore software o los TPM hardware convencionales. Los pequeños dispositivos del IoT requieren soluciones criptográficas adaptadas a sus dimensiones, tanto de capacidad, como de complejidad, consumo, coste, etc. Aunque esto podría parecer novedoso, realmente no lo es tanto. La necesidad existe desde hace mucho tiempo, al igual que sus soluciones. Valga como ejemplo la naturalidad con la que aceptamos, desde hace más de 25 años, la seguridad criptográfica en nuestros teléfonos móviles. Asumiendo que, por el mero hecho de estar en posesión de un SIM, la operadora nos podrá autenticar de forma unívoca sin riesgo de error, intromisión o suplantación, y que nuestras comunicaciones de voz y datos viajaran por el aire meticulosamente cifradas sin posibilidad alguna de intercepción por un tercero.

Esto, que es una realidad de nuestro día a día, se logra al haber establecido un secreto compartido entre la operadora y nosotros, tan simple como una clave simétrica de 128 bits conocida como "Ki", celosamente custodiada en la infraestructura de la operadora, y robustamente almacenada dentro de nuestro SIM, de donde nunca saldrá.

En este caso el SIM actúa como dispositivo criptográfico, almacenando la clave simétrica, realizando las operaciones criptográficas necesarias sobre ella sin que llegue a abandonar el SIM, e implementando medidas de protección adicionales ante ataques, tanto físicos como lógicos.

Otro ejemplo similar, más reciente y avanzado, lo encontramos en España en el DNI electrónico. Tanto en su primera versión con contactos, como en la más reciente 3.0 inalámbrica, el DNIe almacena diferentes certificados digitales, pudiendo realizar sobre ellos diversas operaciones criptográficas de clave asimétrica.

Aparecen entonces los retos derivados de la gestión de claves, simétricas o asimétricas, en dispositivos que, generalmente, serán remotos, autónomos o desatendidos. Cobra especial importancia la fase de "personalización" en la producción o post-producción de dispositivos, junto a las técnicas o mecanismos de despliegue o enrollment en sus respectivas plataformas de servicios.

En las próximas entregas seguiremos hablando de la criptografía y su adaptación al mundo del internet de las cosas.

* Seguridad criptográfica en IoT (I)
* Seguridad criptográfica en IoT (II)
* Seguridad criptográfica en IoT (III)
* Seguridad criptográfica en IoT (IV)
* Seguridad criptográfica en IoT (V)
* Seguridad criptográfica en IoT (y VI)


Jorge Rivera
jorge.rivera@11paths.com

¡Ya tenemos a los ganadores de nuestros concursos de talento!

jueves, 14 de abril de 2016



Concurso de Plugins para Latch 2015

Imaginación, talento, creatividad... Los plugins y más hacks de la segunda edición de nuestro concurso de plugins de Latch estuvieron llenos de calidad en el código que un año más sorprendió a nuestro exigente jurado. En nuestra Comunidad podéis encontrar la documentación, los plugins y los videos de todos los participantes. Gracias a todos por formar parte de esto. Aquí os dejamos una breve descripción de por qué han merecido ser los ganadores:

Primer premio – 5.000 USD 
Ganador: Daniel Crespo 
Plugin: Twlatch (Twitter + Latch)
Descripción:
Twlatch (Twitter + Latch) permite en cierta forma crear un Latch sobre Twitter basado en aun aplicación para la plataforma. Si bien no bloquea el acceso directamente, sí permite eliminar inmediatamente los nuevos Tweets cuando se bloquea el Latch.
Lo que nos ha gustado:
Si bien no es una solución perfecta en algunos sentidos, sí que se ha encontrado una forma interesante de acercarse a una plataforma tan popular como Twitter sin necesidad de "hacks".


Segundo premio – 2.000 USD 
Ganador: Mikel Pintor
Plugin: Implementa en el lenguaje Go
Descripción:
Implementa en el lenguaje Go, un sistema para utilizar Latch de forma cómoda por línea de comando en cualquier plataforma, lo que facilita su uso en scripts y otros programas. Como "efecto colateral" ha creado un SDK en Go.
Lo que nos ha gustado:
Facilita el uso en otros entornos y a través de la línea de comando. Además, se ha implementado un nuevo SDK en un lenguaje de interés.



Tercer premio – 1.000 USD 
Ganador: Jorge García 
Plugin: meta Latch
Descripción:
Se trata de un "meta Latch" que permite que los latches funcionen solo cuando se está dentro de una zona física de "proximidad" a un dispositivo que se conecta con Bluetooth. Una vez en la zona, se puede bloquear o desbloquear los latches automáticamente gracias a un token que porte el usuario.
Lo que nos ha gustado:
Se trata de una capa de seguridad adicional que, si bien no es perfecta, aporta fórmulas interesantes aplicables a la vida real donde se facilita aún más, si cabe, el uso de la tecnología Latch.


Concurso de topologías de seguridad de Sinfonier 2015

Primer premio – 3.000 USD 
Ganador: Miguel Hernandez 
Descripción:
La solución desarrollada está enfocada a las ciudades inteligentes o Smartcities recuperando información de fuentes abiertas, en concreto de los datos abiertos de la ciudad de Zaragoza, para crear una base de datos que relaciona y provee de información de valor para residentes y turistas de la ciudad. Uniendo en la solución datos de incidentes, datos sobre alojamiento, sobre puntos de acceso Wifi y las quejas y sugerencia que los propios vecinos de la ciudad realizan. El objetivo final es poner a disposición de cualquiera toda la información de la ciudad relacionada y servir de base de conocimiento para realizar recomendaciones.



¡Enhorabuena a los ganadores!

Próximamente publicaremos en detalle los vídeos, los enlaces a los repositorios de código y los manuales por si quieres probar los trabajos realizados por los ganadores. Además, el próximo 26 de Mayo, dentro de nuestro próximo evento "Security Day 2016", le dedicaremos a los plugins una sesión especial.

*También te puede interesar:

Comparte tu conocimiento, experiencia y curiosidades con nuestros expertos. Habla con ellos en nuestra comunidad. ¡Te están esperando! Y recuerda visitar el sitio web con los plugins de Latch y fortifica tus sistemas.

Para más información:
elevenpaths.com
latch.elevenpaths.com
sinfonier.elevenpaths.com

ElevenPaths y Spamina reforzamos la seguridad de los usuarios de Clean Email a través de Latch



Madrid, jueves 14 de abril de 2016.- ElevenPaths somos la empresa especializada en el desarrollo de innovadoras soluciones de seguridad de Telefónica, y Spamina han integrado Latch en la plataforma Clean Email que Telefónica comercializa en Argentina, Guatemala, Colombia, Ecuador y Perú.

Más de 40.000 usuarios del servicio de Clean Email de Telefónica podrán proteger el acceso a su plataforma con Latch, el pestillo digital que protege servicios y cuentas online. La integración de Latch en esta plataforma permite a los administradores y usuarios del correo corporativo, la posibilidad de reducir la exposición en internet del acceso al servicio.

¿Qué es Latch?
Hoy en día accedemos a bancos, redes sociales, compramos por internet…etc. Nuestras identidades están expuestas y pueden ser robadas. Ya no es suficiente la protección a basada en contraseñas. Latch es una aplicación móvil de ElevenPaths que te permite echar el “pestillo” a tus cuentas y servicios online cuando no los estés utilizando de forma que se reduce los riesgos de ataque dirigidos a tus servicios online. Se trata de un servicio lanzado globalmente con más de 400.000 usuarios en todo el mundo.

Para Chema Alonso, CEO de ElevenPaths, “La incorporación de Latch a la plataforma de Clean Email basada en la tecnología de Spamina supone añadir una capa extra de seguridad a las identidades digitales de los clientes de Clean Email de Telefónica”.

¿Cómo se integra Latch con Clean Email?
Los usuarios de Clean Email de Telefónica únicamente tendrán que descargar Latch en su móvil desde su market store y asociar la cuenta de Clean Email con Latch. Tras iniciar el proceso de pareado, móvil en mano, confirme el pareado ya está todo listo para empezar a “lachear” su cuenta de Clean Email y configurar las opciones de protección del servicio.

De esta forma, el sistema enviará notificaciones al usuario de posibles intentos fraudulentos de acceso por parte de terceros durante el periodo en que la cuenta este “lacheada”. El usuario también podrá configurar tiempos de bloqueo: cuando esté en una reunión, durante la noche o durante el fin de semana, y en todo momento tendrá la tranquilidad de que la puerta de acceso a la gestión de la seguridad del correo de su empresa es inaccesible, para cualquiera que intente entrar, mientras él no lo esté usando.

“En Spamina estamos en continua evolución, adaptando el desarrollo de nuestras soluciones a las tendencias del mercado. Somos conscientes del crecimiento de Internet de las Cosas y el peligro que esto supone en materia de ciberseguridad para los clientes de Telefónica”, indica Enrico Raggini, CEO de Spamina. “Por ese motivo, hemos querido reforzar nuestra colaboración con ElevenPaths, integrando Latch en la plataforma de Clean Email de Telefónica a nivel mundial.”

» Descargar nota de prensa

Más información en www.elevenpaths.com

Latch integrado en la herramienta de integración continua Jenkins

miércoles, 13 de abril de 2016

Jenkins es una poderosa aplicación que nos permite tener integración continua y su posterior salida a producción y entrega de proyectos. En Eleven Paths hemos querido fortificar la herramienta con la integración de nuestra tecnología Latch. Nuestra idea no es solo proteger el proceso de autenticación, y es ir más allá y “latchear” múltiples acciones dentro de la aplicación, como por ejemplo la gestión de Jobs, las builds o las operaciones administrativas dentro de la aplicación.

Paso 0. ¿Dónde introduzco el token de pareo?

Cuando nos autenticamos en la aplicación accedemos a una vista global. Si nos dirigimos a nuestro nombre (generalmente arriba a la derecha) podemos encontrar una serie de opciones. Si elegimos la opción “Configurar” podemos acceder a Latch para parear nuestra cuenta. Este proyecto ya es más que conocido, generamos un nuevo token en nuestra aplicación móvil de Latch e introducimos dicho token en la caja de texto del apartado de Jenkins dónde nos encontramos.

Figura 1: Generación de token

Figura 2: Inserción de token en Jenkins
Al introducir el token se nos indicará desde el sitio web de Jenkins que se ha pareado con éxito y que la página debe ser recargada. Al mismo tiempo, en nuestra aplicación de Latch, aparecerá el mensaje de “Nuevo Servicio” y vemos el logo de Jenkins. Así lo hemos configurado para nosotros, esto es personalizable en función de la aplicación que se quiera.  


Figura 3: Jenkins añadido a Latch

Paso 1. Protegiendo mi identidad digital en mis herramientas del día a día

En este instante ya tenemos la posibilidad de utilizar Latch en nuestro Jenkins. Para realizar una prueba rápida de ello, cerramos sesión, bloqueamos Latch e intentamos acceder de nuevo a Jenkins. Aunque introduzcamos la contraseña correcta, nuestro Jenkins le preguntará a Latch el estado del cerrojo, por lo que al estar bloqueado denegará el acceso.

Figura 4: Bloqueo de Jenkins en Latch
Además, como el login era correcto, pero no teníamos la autorización explícita por parte del usuario, ya que el cerrojo de Latch estaba bloqueado, obtenemos un mensaje en la aplicación de Latch indicándonos que se ha intentado acceder a nuestra cuenta de Jenkins.

Figura 5: Bloqueo de intento de acceso a Jenkins
La propia aplicación de Jenkins actúa como si la autenticación haya sido incorrecta, dando una sensación a la persona que intenta utilizar nuestra identidad de no poseer realmente la contraseña correcta. Esto sumado a la alerta que nos da la propia aplicación de que se ha intentado acceder a nuestra identidad digital hace que la fortificación del entorno y de nuestra identidad sea una realidad.
 
Figura 6: Mensaje de Jenkins aunque la clave sea correcta
Nosotros ya hemos integrado Latch en los sistemas de nuestro día a día, y esto no se queda aquí, cada día investigamos y realizamos pruebas de concepto en diferentes entornos, como por ejemplo el mundo IoT. Aprovecha y juega con nuestra tecnología y latchea el mundo. Descarga nuestro nuevo plugin de Jenkins y fortifica tu integración continua. No te pierdas la charla de Jorge Rivera sobre Latch y el munto IoT.

 

ElevenPaths Talks: Latch en IoT

martes, 12 de abril de 2016


 
El próximo Jueves 14 de Abril nuestro compañero Jorge Rivera impartirá una charla sobre Latch en el mundo del Internet de las Cosas, también conocido como IoT. Cada día es más importante fortificar y asegurar estos entornos y redes, ya que las consecuencias de una mala gestión de la seguridad puede tener efectos muy negativos. Podréis preguntar también por nuestras soluciones de pentesting persistente en los entornos IoT gracias a nuestra tecnología Faast.

Jorge ha participado en diferentes hackathones con proyectos de fortificación de entornos en IoT, como por ejemplo la hucha fortificada con nuestra tecnología Latch. En el siguiente vídeo, el propio Jorge nos comenta cómo funciona la hucha y cómo cada día son más importantes las soluciones para fortificar estos entornos.



La duración de la charla de Jorge será de unos 30 minutos, divididos entre 20 y 25 minutos de exposición y de 5 a 10 minutos de preguntas y respuestas. El horario de la charla serán las 15.30  (GMT+1). La sesión se realizará en castellano. La charla estará disponible al termina ésta en nuestro canal de YouTube. La ponencia se llevará a cabo por Hangout.
Os esperamos para que nuestro CSA os enseñe todo lo que necesitáis conocer sobre Latch el mundo de la seguridad en IoT. Puedes mirar el calendario de talks para ver las que aún quedan por celebrarse. Recuerda, tienes una cita el próximo 14 de Abril en horario de 15.30 (GMT+1). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks.