Cybersecurity Shot_LinkedIn information leakage

martes, 31 de mayo de 2016


Here comes Cybersecurity Shot, a research report on current cases related to databases leaked online that includes leakage prevention recommendations.

Every week in May and June we will be publishing the real cases. You can’t miss it!

Here comes a brief summary of this week’s case:

Case LinkedIn
Investigation research "LinkedIn information leakage"

On May 17th a database with more than 167 million of alleged leaked LinkedIn credentials, recognized by the company in its personal email to the users on May 25th, was published.

Learn from our intelligence analysts about the suspect, the deep web market where the leaked data went on sale, and how cybercriminals exploit such situations to resell passwords in smaller bulks.

» Download the LinkedIn data leakage case


Don't miss the next information leakeage:
» Case AEDyR

More information at
Elevenpaths.com

Cybersecurity Shot_Fuga de Información de LinkedIn


Llega Cybersecurity Shot, un tipo de informe de investigación sobre casos de actualidad relacionados con bases de datos filtradas en la red así con algunas recomendaciones que podrían haberlo evitado.

Se irán publicando casos reales todas las semanas durante el mes de mayo y junio. Cada entrega con un caso real. ¡No te lo puedes perder!

Os dejamos un breve resumen del caso de esta semana:

Caso LinkedIn
Investigación "Fuga de información de LinkedIn"

El 17 de mayo se publicó la existencia de una base de datos con más de 167 millones de credenciales filtradas de LinkedIn que la propia compañía ha reconocido en un correo personal dirigido a sus usuarios el 25 de mayo.

Descubre con nuestros analistas de inteligencia el presunto responsable, el mercado de la deep web en el que se puso a la venta la fuga de información, además de conocer cómo otros ciberdelincuentes aprovechan este tipo de situaciones para revender las contraseñas en paquetes más pequeños.

» Descárgate el caso fugas de información de LinkedIn


No te puedes perder el próximo:
» Caso AEDyR

Más información en
Elevenpaths.com

Eleven Paths Talks: OSINT y el poder de la información pública

 

 
El próximo Jueves 2 de Junio nuestro compañero Diego Samuel Espitía impartirá una charla sobre OSINT y el poder de la información pública. El qué es, los conceptos que la engloban y cómo se puede sacar el máximo provecho desde el punto de vista de la Ciberseguridad serán vistos por Diego Samuel. Hoy en día, OSINT, Open Source INTelligence, es uno de los grandes protagonistas dentro de la Ciberseguridad, ya que permite obtener gran cantidad de información, cruzarla, procesarla y potenciarla, obteniendo resultados importantes con ella. También os recomendamos esta charla que nuestro compañero Leonardo impartió en las Talks de Eleven Paths.



La duración de la charla de Diego Samuel será de unos 30 minutos, divididos entre 20 y 25 minutos de exposición y de 5 a 10 minutos de preguntas y respuestas. El horario de la charla serán las 15.30  (hora España). La charla estará disponible al termina ésta en nuestro canal de YouTube. La ponencia se llevará a cabo por Hangout. La sesión se impartirá en castellano.
Os esperamos para que nuestro CSA os enseñe todo lo que necesitáis conocer sobre el potente mundo OSINT. Si quieres saber más acerca del tema, no dudes en pasarte por nuestra Community, dónde nuestros compañeros hablan sobre este y otros temas de interés en el mundo de la Seguridad. Puedes mirar el calendario de talks para ver las que aún quedan por celebrarse. Recuerda, tienes una cita el próximo 2 de Junio en horario de 15.30 (hora España). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks.


Seguridad criptográfica en IoT (IV)

lunes, 30 de mayo de 2016

La proliferación de dispositivos y plataformas de servicios IoT está siendo mucho más rápida que la adopción de medidas de seguridad en su ámbito. Ante la apremiante necesidad de mecanismos que garanticen la autenticación, integridad y confidencialidad, tanto de las comunicaciones como de los propios dispositivos, se tiende a trasladar las soluciones criptográficas contrastadas en la IT tradicional, como son los certificados digitales de clave pública sobre protocolos SSL/TLS. Seguimos avanzando en el estado del arte de las soluciones criptográficas para IoT.

Librerías Open Source 

Junto a una detallada documentación, Atmel facilita librerías de código abierto para el manejo de los dispositivos criptográficos desde su línea de microcontroladores y SoCs.



Partiendo de estas librerías comenzaron a aparecer adaptaciones a diferentes entornos, destacando una vez más el trabajo de Josh Datko, que desde Cryptotronix facilita numerosos ejemplos tanto para Linux como para Arduino.

Sobresale especialmente el driver para Linux del Atmel SHA204A, llamado Hashlet, que ha servido como punto de partida para otros muchos desarrollos.

Para la plataforma de Arduino existen diferentes adaptaciones, cada una de ellas con sus pros y contras, por lo que habrá que seleccionar aquella que mejor se adapte a cada necesidad particular.



Atmel SHA204A 

El Atmel SHA204A es uno de los dispositivos criptográficos más sencillos y fáciles de utilizar, aunque dispone de una gran variedad de funciones de relativa complejidad.

Su funcionamiento se basa en el computo de resúmenes SHA-256, utilizados para generar MAC/HMAC (Message Authentication Code) a partir de claves almacenadas internamente. Dispone de 16 slots para almacenar claves de 256 bits (32 bytes) de longitud, los cuales pueden disponer de diferentes configuraciones de acceso y uso, definidas durante la personalización del dispositivo. Junto a una zona de configuración de 88 bytes y un zona OTP (One Time Programable) de 64 bytes de longitud.

Posee un generador de números aleatorios, con el que implementa operaciones de desafío-respuesta sin exposición de claves (MAC, CheckMac, GenDig). Soportando mecanismos de rotación de claves "Key Rolling" (DeriveKey).Se identifica unívocamente mediante un número de serie (SN) de 72 bits definido de fábrica no modificable.

Cuenta con abundante documentación oficial disponible en internet, junto con un gran número de ejemplos desarrollados por la comunidad Open Source. Pese a que implementa 14 comandos, con tan solo dos de ellos se puede desarrollar un uso completamente funcional, como veremos a continuación.



Personalización 

Antes de poder utilizar cualquier dispositivo criptográfico es necesario establecer sus claves únicas, las opciones de configuración, y bloquear las zonas de configuración y OTP. Este proceso de conoce como "personalización", siendo irreversible; una vez realizado no existe posibilidad de vuelta atrás, los parámetros establecidos permanecerán inmutables.

La personalización del ATSHA204A se puede realizar muy fácilmente desde Linux utilizando el “hashlet” de Cryptotronix, tal y como se describe en su documentación. Una vez ejecutado el comando de personalización, las claves únicas serán definidas y configuradas de la siguiente manera:



Si se dispone de un kit de desarrollo de oficial de Atmel, es posible realizar el proceso de personalización desde las herramientas que incorpora, pero en cualquier caso, se hace imprescindible seguir las indicaciones del fabricante.



En la próxima entrega, veremos cómo funciona técnicamente el cálculo del HMAC en
ATSHA204A.

ElevenPaths announced its new strategic alliances in the third Security Day

viernes, 27 de mayo de 2016


In the third Security Day the new alliance with Fortinet and ElevenPaths’s new product integrations with Check Point and Spamina solutions to evolve their technologies were presented.

Madrid, 26th May. The Security Day, celebrated on 26th May, 2016 in Madrid under the theme Security Evolution, is the stage where every year ElevenPaths, Telefonica cybersecurity subsidiary, presents its new technological integrations together with its experts and partners. During the last three years the event has become a reference in cybersecurity and ICT sector at the national level.

Chema Alonso, ElevenPaths’ CEO, presented the new partnership signed with Fortinet to integrate the Faast tool with WAF systems, allowing to hot patch vulnerabilities and, for the first time, show the joint functioning of RSA and PaloAlto technologies with SandaS platform to automate the response to security incidents. Besides, as a result of our collaboration with ICC (Industrial Cybersecurity Center), SandaS GRC now offers tools to satisfy compliance with the latest safety regulations in the control of industrial systems and SCADA.

ElevenPaths made reference to its recent agreement with Check Point to offer the latest generation mobile security thanks to the integration of Tacyt, a cyber-intelligence tool against mobile threats, with the Mobile Threat Protection solution; and the new integration of Latch with Clean Email platform by Spamina, thanks to which its users will get an extra safety layer in their digital identities management.

Telefonica’s Cybersecurity brand expanded its portfolio of preventive solutions against sensitive information leakage in digital files with solutions for Exchange Server and Office 365. It has also presented VAMPS powered by Faast for IoT, its security audit system for the Internet of things.

» Donwload Press Release

More information www.elevenpaths.com

ElevenPaths anunciamos nuestras nuevas alianzas estratégicas en nuestro III Security Day

jueves, 26 de mayo de 2016


La nueva alianza con Fortinet y las nuevas integraciones de los productos de ElevenPaths con las soluciones de Check Point y Spamina para evolucionar sus tecnologías, han estado presentes en el III Security Day.

Madrid, 26 de mayo de 2016. – El Security Day, celebrado hoy bajo el lema Security Evolution, es el escenario en el que cada año ElevenPaths, la filial de ciberseguridad de Telefónica, presenta sus nuevas integraciones tecnológicas de la mano de sus expertos y partners y que, en estos tres últimos años, se ha consolidado como una referencia en el sector de la Ciberseguridad y TIC a nivel nacional.

Chema Alonso, Chairman de ElevenPaths y Chief Data Officer de Telefónica, ha sido el encargado de presentar en esta jornada, la nueva alianza firmada con Fortinet -para integrar la herramienta Faast con sistemas WAF permitiendo el parcheo en caliente de vulnerabilidades- y mostrar por primera vez el funcionamiento conjunto de las tecnologías de RSA y Palo Alto Networks con la plataforma SandaS para la automatización de la respuesta ante incidentes de seguridad. Además, fruto de nuestra colaboración con el CCI (Centro de Ciberseguridad Industrial), SandaS GRC ofrece ahora herramientas para satisfacer el cumplimiento de las últimas normativas de seguridad en el control de sistemas industriales y SCADA.

ElevenPaths ha hecho referencia a su reciente acuerdo con Check Point para ofrecer seguridad móvil de última generación gracias a la integración de Tacyt, herramienta de ciberinteligencia contra amenazas móviles, con la solución Mobile Threat Protection, y a la nueva integración de Latch con la plataforma Clean Email de Spamina, gracias a la cual, los usuarios de la misma obtendrán una capa extra de seguridad en la gestión de sus identidades digitales.

La marca de Ciberseguridad de Telefónica ha ampliado el portfolio de soluciones preventivas contra la fuga de información sensible en archivos digitales con soluciones para Exchange Server y Office 365. También ha presentado su sistema de auditoría de seguridad para el Internet de las Cosas, VAMPS powered by Faast para IoT.

» Descargar nota de prensa

Más información en www.elevenpaths.com

Cybersecurity Shot_Fuga de Información de Invest Bank

miércoles, 25 de mayo de 2016


Llega Cybersecurity Shot, un tipo de informe de investigación sobre casos de actualidad relacionados con bases de datos filtradas en la red así con algunas recomendaciones que podrían haberlo evitado.

Se irán publicando casos reales una vez por semana durante el mes de mayo y junio. Cada entrega con un caso real. ¡No te lo puedes perder!

Os dejamos un breve resumen del caso de esta semana:

Caso Invest Bank
Investigación "Fuga de información de Invest Bank"

El 6 de mayo de 2016, se hizo pública una filtración a través de la red social Twitter, acerca de una nueva información perteneciente al banco Invest Bank de los Emiratos Árabes Unidos.

El volumen de la información filtrada es de 9,4 GB y superaba los 12 927 archivos. Entre la información difundida se pueden encontrar carpetas que contienen datos sensibles acerca del modelo de negocio, la arquitectura interna de la compañía, el histórico de las transacciones bancarias, además de datos personales o bancarios de los clientes y empleados de Invest Bank.

Descubre todas las hipótesis barajadas por nuestros analistas de inteligencia para determinar si se trata de una nueva fuga de información por parte de la compañía o se corresponde con la ya filtrada anteriormente.


» Descárgate el caso fugas de información de Invest Bank

No te puedes perder el próximo lunes dia 30 de mayo:
» Caso AEDyR

*También te puede interesar:
» Cybersecurity Shot_Remote Staff

Más información en
Elevenpaths.com

Nuevas versiones de las apps de Latch

martes, 24 de mayo de 2016

Han pasado ya algunos meses desde la última actualización de nuestras aplicaciones móviles de Latch y hoy os queremos anunciar que acabamos de lanzar una nueva versión, para todas las plataformas móviles soportadas, que ya está disponible para descarga desde los markets oficiales.

Esta nueva versión además de corregir algunos errores menores incorpora dos principales novedades.

Gestión de sesiones
Aunque ya en versiones anteriores de la aplicación se recibían notificaciones cuando se iniciaba sesión desde otro dispositivo; ahora tenemos esta nueva funcionalidad que permite al usuario, conocer en todo momento desde qué dispositivos se ha iniciado sesión con su cuenta.


Adicionalmente desde esta nueva pantalla, podemos cerrar e invalidar sesiones de otros dispositivos, bien sesiones antiguas o bien sesiones que pueda no ser legítimas del usuario.

También se permite hacer un cierre masivo de todas las sesiones excepto de la usada actualmente.

Deep Linking
La otra gran novedad que se incorpora en esta nueva versión; de momento solamente disponible para las versiones de iOS y Android es la incorporación de ‘Deep-Linking’ o enlace profundo en dichas aplicaciones.

'Deep linking' o enlace profundo es una técnica mediante la cual se permite lanzar aplicaciones móviles nativas mediante un enlace. Esto permite conectar una url única con una acción concreta de una aplicación móvil.
De momento la única acción permitida mediante Deep Linking es la de lanzar la aplicación de Latch con la siguiente URI:

latch://launch

A futuro, habilitaremos más opciones y posibilidades.

De esta forma, mediante Deep-Linking un proveedor que tenga integrado Latch puede redirigir a sus usuarios desde su aplicación móvil a la aplicación móvil de Latch de forma nativa.


Para más detalles sobre cómo utilizar el deep-linking desde aplicaciones Android o iOS puede consultarse este documento.

Más información en
latch.elevenpaths.com

Eleven Paths Talks: Deep Web



 
El próximo Jueves 26 de Mayo nuestro compañero Leonardo Huertas impartirá una charla sobre la Deep Web y todo lo relacionado con ello. El qué es, los conceptos que la engloban y cómo se puede sacar el máximo provecho desde el punto de vista de la Ciberseguridad serán vistos por Leonardo. Hoy día, la Deep Web es uno de los pilares dónde las empresas deben buscar, ya que las amenazas se encuentran en todos los lugares. También os recomendamos esta charla que el propio Leonardo impartió en las Talks de Eleven Paths.




La duración de la charla de Leonardo será de unos 30 minutos, divididos entre 20 y 25 minutos de exposición y de 5 a 10 minutos de preguntas y respuestas. El horario de la charla serán las 15.30  (hora España). La charla estará disponible al termina ésta en nuestro canal de YouTube. La ponencia se llevará a cabo por Hangout. La sesión se impartirá en castellano.

Os esperamos para que nuestro CSA os enseñe todo lo que necesitáis conocer sobre el misterioso y profundo mundo de la Deep Web. Si quieres saber más acerca del tema, no dudes en pasarte por nuestra Community, dónde nuestros compañeros hablan sobre este y otros temas de interés en el mundo de la Seguridad. Puedes mirar el calendario de talks para ver las que aún quedan por celebrarse. Recuerda, tienes una cita el próximo 26 de Mayo en horario de 15.30 (hora España). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks.


"Camufladas, no ofuscadas": Malware de macro… ¿creado en España?

lunes, 23 de mayo de 2016

El malware de macro nos acompaña desde hace más de 15 años. En principio, dada su propia naturaleza, sería difícil que nos sorprendieran con grandes novedades. Las macros que hemos analizado en esta ocasión no son técnicamente novedosas, pero sí consideramos que plantean una novedad en su fórmula. El camuflaje frente a la clásica ofuscación. Y resulta de lo más efectivo.


El malware de macro está en plena forma. Si bien Microsoft ha mermado sus posibilidades cercando cada vez más la capacidad de que se ejecuten de forma automática (deshabilitándolas por defecto y dando la posibilidad a los administradores de bloquearlas por completo), los atacantes encuentran nuevas fórmulas para que las víctimas las lancen, principalmente a través de la ingeniería social. También podríamos pensar que después de 15 años, todo está inventado en el asunto de la detección por parte de los antivirus. En realidad, siguen teniendo problemas para discernir los documentos de Word o Excel que contienen malware malicioso, al menos (y sobre todo) en sus métodos "estáticos" (pasarelas de correo, que es por donde se difunden, normalmente). Para pasar desapercibidos, los atacantes suelen ofuscar su código. Ofuscar, en el sentido de que el código sea ilegible, puesto que las macros, escritas en VBA (Visual Basic Application), son "decompilables" (como ocurre con Java). Por tanto los analistas y programas pueden verlas y analizarlas a simple vista, cosa que los atacantes intentan dificultar con código ofuscado, imbricado, nombres de variables imposibles y bucles sin sentido.

Macro ofuscada "tradicional"

Microsoft detectó no hace mucho una fórmula interesante en unos creadores de macros maliciosas. Consideramos que estas macros camufladas, no ofuscadas, son también interesantes en sí mismas por varias razones.

Ofuscación… sí, pero no donde siempre

En realidad, estas nuevas macros maliciosas sí utilizan cierta ofuscación. En concreto, la URL de descarga del ejecutable que lanzarán (otras macros contienen el ejecutable en formato "plano" y lo construyen al vuelo). Esta URL es habitual ofuscarla lo máximo posible y situar la cadena resultante en algún punto del código. Pero este atacante lo ha alojado en un sitio que pocos esperan. El "caption" de un botón de un formulario. La macro no tiene por qué mostrar ese formulario en ningún momento (de hecho no lo hace) pero sin embargo es un lugar donde pocos antivirus mirarán. Un par de imágenes con dos ejemplos diferentes lo aclaran:



Ejemplos de cómo se almacena en el caption de un Label o botón, una cadena ofuscada que contiene ejecutables


Esta es la cadena y parte del código que la irá "desofuscando".




Tan bien escondido que se encuentra a simple vista

Otra fórmula interesante es que sería difícil que viendo el código, esta macro se tomara por malware. Cuando un analista observa código ofuscado, entiende directamente que es malware y su trabajo consistirá en desenredar la ofuscación e intentar entender qué hace el código. Lo interesante de este malware de macro es que, mirando el código, muy pocos lo tomarían como malicioso. El código es normal, simula un acceso a base de datos, una especie de sistema de contabilidad incrustado en un documento que accede a una base de datos por ODBC, con sus nombres de tablas, sus controles de calidad, sus comentarios en español, sus conversores. Todo tan normal, que nadie sospecharía. Sin embargo, las funciones con nombres inocentes esconden el comportamiento malicioso.

Algunos trozos de código. Solo en tiempo de ejecución se observa qué valor puede tomar cada variable
 
Poco a poco, pasa por algunas de estas funciones (no todas) y va desofuscando la cadena que almacenaba en el caption del botón, descarga el fichero, y lo ejecuta. Y así, curiosamente, el atacante consigue más que solo ofuscando, puesto que el analista ni siquiera cree que deba desofuscar el código, puesto que es tan "normal" que nadie sospecharía. Es como si en lugar de ofuscarla e intentar esconderse, se mostrara completamente normal y natural, actuando tan a la vista que sería difícil tomar su comportamiento como sospechoso.

¿Código "normal", robado, o creado para la ocasión?

Otra interesante curiosidad es el código usado. Podríamos pensar que para conseguir este camuflaje, bastaría con "robar" código legítimo de cualquier sitio de Internet y retocarlo. Pero el atacante no lo hace así siempre. Buena parte del código de varias muestras está en castellano, la mayoría. Las funciones no se encuentran en la red (Github o código de ejemplo). Caben dos posibilidades:
  • O bien el código ha sido creado para la ocasión; 
  • O bien el código ha sido robado de una empresa que no lo ha publicado en la red en ningún momento. 
Optamos por esto último, pero es complicado saberlo. Para otras muestras, por ejemplo, sí que ha tomado código prestado de repositorios github públicos creados por hispanohablantes.

Llama la atención igualmente los dominios usados para descargar los ejecutables. Muchos son españoles, probablemente comprometidos. ¿Se podría tratar de malware de macro "made in Spain"? Algunos dominios aparentemente españoles utilizados para su descarga son: navasdetolosa.com/, rproducciones.com, clickcomunicacion.es, centroinfantilelmolino.com, aunque también las hay polacas o inglesas como: www.paslanmazmobilya.org, isgim.com, love2design.co.uk, no-id.eu...

Tráfico tras abrir algunas de las muestras


Creemos, sin embargo que no son españoles. Veamos por qué.


Código que trata la cadena de ejecución, y otro para despistar abajo, que "carga imágenes de ayuda"

Pequeños errores

No olvidemos que el sistema de macros es una vía de difusión, no un fin en este caso. El malware sigue siendo un ejecutable alojado en un servidor. En este caso, y desde que lleva actuando (febrero de 2016) ha utilizado campañas de Dridex y Locky. Estos son malware típicamente rusos, y trabajados como para que no sean detectados a la primera. Puede que el creador de la macro poco tenga que ver con el ejecutable y se limite a ejecutar una parte de la pirámide profesional de distribución… pero apostaríamos a que están relacionados. En cualquier caso, las macros también han pasado bastante desapercibidas desde que salieron en marzo. De hecho, de tres detecciones en marzo, han pasado a 36, una vez dada la voz de alarma.

Un posible error que cometen los creadores es que la ventana de comandos en la que se lanza el ejecutable se ve por la víctima. Sería muy fácil ocultarla con un flag, y no lo ha hecho. Además muestra un humor un poco macabro. Las variables en las que va creando la llamada que ejecutará el malware, se llaman "problems".

Momento de la ejecución, "camuflado" en una función aparentemente normal

Otro error de lo más curioso y que nos lleva a pensar que a pesar de parecer españoles son rusos, es que no ha podido resistir dejar ciertas "singularidades" en el código. El más llamativo es el uso en el código de un nombre de un grupo de música nada popular y poco común llamado KABARE DUET AKADEMIA. Solo se les conoce una canción que aparece en un recopilatorio.

Parte del código que habla de un grupo de música ruso poco conocido


En otra muestra, utiliza una palabra poco común o escrita con errores (POLODSKA), que parece rusa igualmente, así como los nombres elegidos para algunos de los binarios descargados.

Sergio de los Santos
ssantos@11paths.com 

Sinfonier Contest 2015: Sinfonier y Smart Cities

jueves, 19 de mayo de 2016


Las ciudades hoy en día generan una gran cantidad de información que puede resultar muy útil, algunos ejemplos son los niveles de contaminación del aire, que devuelven las sondas colocadas en diferentes puntos geográficos o la situación de nuestras carreteras, para saber si tenemos mucha afluencia de coches o ha ocurrido algún accidente. Estos datos ya están siendo usados, pero de manera independiente.

En la solución que he propuesto se basa en la ingesta de diferentes fuentes de información abiertas que están relacionadas de alguna manera y pueden relacionarse para sacar inferir resultados o recomendaciones que de otra manera serían imposibles.

¿De dónde podemos sacar esta información? Buscando en diferentes lugares de datos abiertos, me he encontrado con que algunas comunidades autónomas tienen su sitio web de open data:

Cualquiera puede descargarse los datos que quiera dentro de un catálogo. Inicialmente, iba a realizarlo a partir de los datos de la Comunidad de Madrid pero todo lo que encontré fueron datos muy separados en el tiempo, habitualmente con actualización anual o registro de datos de eventos pasados.
 
Por todo ello, elegí mi ciudad, Zaragoza, donde se desarrolló la siguiente API para los datos de los que disponían:


Vemos que tiene un catálogo (http://www.zaragoza.es/api/catalogo.json) bastante extenso, por lo que elegí diferentes fuentes de información y preparé los módulos en Sinfonier para poder extraer los datos que me interesaban:



Para recoger los datos, generé módulos spouts con los siguientes parámetros de entrada:  
  • Frecuency: Segundos que va a esperar el módulo en realizar de nuevo la petición, dando respuesta solo cuando aparezcan nuevos.
  • Rows: Límite de valores que quiero que me devuelva el módulo.
  • Start_date: Fecha inicial desde la cual se devolverán resultados en formato yyyy-mm-ddThh:mm:ssZ (UTC).
  • Sort: Orden de las respuestas por parte del módulo (asc/desc).
  • Q: Consulta mediante FIQL (http://tools.ietf.org/pdf/draft-nottingham-atompub-fiql-00.pdf) para permitir filtros y condiciones en las consultas utilizando una sintaxis con URIs amigables.

Más información en: https://www.zaragoza.es/ciudad/risp/ayuda-api.htm#PrametrosAPI. Estos módulos hacen la petición correspondiente con los parámetros configurados. Una vez tenemos estos valores, ¿cómo los podemos relacionar? Una opción es a partir del punto geográfico que puede aparecer en las respuestas, esto nos dará el punto de unión entre las diferentes fuentes de información.

Dentro de la topología, los valores que llegan se conectan con la entrada de otros, con los parámetros de latitud y longitud para así tener resultados solo en esos puntos.


Una vez tengo esa información necesito guardarla en algún lugar para después poder consumirla. En este caso, utilice una base de datos orientada a grafos, ya que me permite fácilmente tener esas relaciones almacenadas. Utilicé como base de datos una Neo4j (http://neo4j.com/), la cual tiene ya módulos implementados que desarrollé tiempo atrás y permite la inserción de nodos y relaciones de manera única.
 

Una vez hecho esto, conecto las salidas de los módulos con los de Neo4j y ya tendría la topología terminada. Un ejemplo de esta conexión sería la siguiente:

 
Como resultado obtenemos lo siguiente:
 

En el grafo podremos realizar las consultas para lograr las recomendaciones. Por ejemplo cuando queramos saber si la oferta de una habitación de un hotel es una buena oferta sin basarnos solo en las opiniones de las habitaciones, sino viendo si existen relaciones en ese lugar como quejas, accidentes de tráfico, etc. y poder mejorar nuestra información. Este es un ejemplo de una consulta que relaciona habitaciones de hotel con diversas quejas e incidentes.


 
Esta topología se podría ir nutriendo de nuevas fuentes de información y buscando nuevos puntos de conexión entre ellas para generar mejores recomendaciones. También se pueden añadir más comunidades autónomas para lograr una comparación entre comunidades.
 
Finalmente, quiero agradecer a Iñigo Serrano su colaboración a la hora de plantear la topología de este Sinfonier Contest.
 
Miguel Hernández Boza
Ganador de Sinfonier Contest 2015

Seguridad criptográfica en IoT (III)

miércoles, 18 de mayo de 2016

La proliferación de dispositivos y plataformas de servicios IoT está siendo mucho más rápida que la adopción de medidas de seguridad en su ámbito. Ante la apremiante necesidad de mecanismos que garanticen la autenticación, integridad y confidencialidad, tanto de las comunicaciones como de los propios dispositivos, se tiende a trasladar las soluciones criptográficas contrastadas en la IT tradicional, como son los certificados digitales de clave pública sobre protocolos SSL/TLS. Seguimos avanzando en el estado del arte de las soluciones criptográficas para IoT.

Cripto-Autenticación

Dada la larga trayectoria de Atmel desarrollando elementos de seguridad con capacidades criptográficas, como módulos TPM, microcontroladores para SmartCards, aceleradores criptográficos, cripto-memorias, comparadores, etc. resulta natural que el ecosistema del IoT haya comenzado a integrar sus Crypto-Authenticators para añadir capacidades criptográficas. Estos disponen de tres diferentes variantes:

  • SHA204A: autenticador simple basado en MAC/HMAC-SHA-256.
  • AES132A: autenticador y cifrador basado en el algoritmo simétrico AES/CCM con claves de 128 bits.
  • ECCx08A: autenticador y cifrador basado en el algoritmos asimétricos de curva elíptica ECDSA y ECDH, con claves de 256 bits.
Sus características físicas son prácticamente idénticas y resultan por ello compatibles e intercambiables. La elección de uno u otro estará determinada por las necesidades del dispositivo que los albergue y aunque incorporan numerosas características de cierta complejidad, es posible utilizar sus funciones básicas de forma sencilla.

Se pueden usar como elementos muy versátiles de seguridad criptográfica: desde la autenticación simple de un dispositivo, autenticación mutua o recíproca, negociación de claves de sesión para el cifrado íntegro de una comunicación, verificación de autenticidad de código o datos en un arranque seguro (SecureBoot) o actualización de firmware remota (OTA), etc. Todo esto por menos de 1 euro. Si cumplimos los requisitos del programa de "samples", Atmel envía muestras gratuitas sin coste alguno.




Bus I2C

Se producen en diferentes formatos de pequeño tamaño, todos ellos de montaje superficial. Aunque hay una versión de tan solo tres pines que utiliza un protocolo de comunicación SWI, que durante un tiempo fue comercializada por Sparkfun en una minúscula placa, lo habitual son los encapsulados de 8 pines, siendo el SOIC-8 el más manejable. Para las etapas de evaluación y test, es aconsejable utilizar un adaptador a DIP-8; los hay de diferentes tipos, incluido para los populares módulos de GROVE, e incluso puedes hacértelo tu mismo.

Tan solo cuatro de sus pines están uso. Dos para su flexible alimentación, de ínfimo consumo, que puede variar de 2.0 a 5.5 voltios; dos para el bus I2C, lo que le permite conectar con microcontroladores como el popular Arduino, e incluso sistemas de escritorio y servidores mediante adaptadores, generalmente por USB.

El bus I2C es un estándar de comunicación serie, muy utilizado por la industria para la interconexión de circuitos integrados. Usa dos líneas para transmitir la información: una línea de datos (SDA) y una línea de reloj (SCL), ambas con referencia a masa (GND).

En sistemas como BeagleBone y Raspberry PI, el bus I2C es fácilmente accesible tanto físicamente al estar expuesto, como de forma lógica mediante las numerosas herramientas existentes en GNU/Linux.



Si queremos utilizar un sistema convencional, ya sea Windows, Linux o Mac, que no disponga de un bus I2C accesible, lo más sencillo es utilizar un adaptador de USB a I2C. Los hay comerciales, aunque es posible fabricárselo uno mismo gracias al driver estándar i2c-tiny-usb, que permite en cualquier sistema utilizar un microcontrolador Atmel ATtiny 45/85 a modo de interface USB to I2C. Solo algunos valientes se atreverán a utilizar el bus I2C presente en el conector de las tarjetas de video, aunque técnicamente es posible. Sin llegar a disponer de la misma funcionalidad, también es posible utilizar un firmware que hace uso de la librería LUFA en cualquier microcontrolador de Atmel compatible, por ejemplo el ATmega32u4 del Arduino Leonardo, creando una interface "Serial to I2C", accesible desde Python por ejemplo. Con los adaptadores USB incluidos en los kits desarrollo oficiales de Atmel, se pueden utilizar las herramientas para Microsoft Windows que incluyen de forma gratuita.

La comunicación en el bus I2C se realiza de forma "maestro-esclavo". El maestro inicia el diálogo, obteniendo repuesta de los esclavos que se identifican por su dirección I2C de 7 bits. Esta dirección viene determinada de fábrica, aunque muchos dispositivos incorporan mecanismos para modificarla, lo que permite conectar varios dispositivos iguales a un mismo bus I2C.

Los sistemas "host" solo pueden ser maestros del bus I2C, siendo la mayoría de dispositivos I2C siempre esclavos. Algunos microcontroladores, por ejemplo los utilizados en Arduino, pueden ser programados para comportarse como maestros o como esclavos, aunque lo habitual es que actúen como maestros.

Mediante el comando "i2cdetect" en Linux, o con un simple sketch en Arduino, se puede escanear el bus I2C para detectar los dispositivos esclavos conectados.



En este ejemplo de escaneo, realizado tanto en Linux con un adaptador "i2c-tiny-usb", como en Arduino, se obtienen las direcciones I2C reales (en formato 7 bit) de los crypto-devices conectados al bus. Muchos fabricantes, Atmel incluido, suelen indicar en las especificaciones las direcciones I2C en formato de 8 bits, lo que suele dar lugar a ciertas confusiones.

Seguiremos describiendo en la próxima entrada las librerías y el hardware disponible para practicar con la criptografía en IoT.

Seguridad criptográfica en IoT (I)
Seguridad criptográfica en IoT (II)
Seguridad criptográfica en IoT (III)
Seguridad criptográfica en IoT (IV)
Seguridad criptográfica en IoT (V)
* Seguridad criptográfica en IoT (y VI)

Jorge Rivera
jorge.rivera@11paths.com

ElevenPaths Talks: The ISF Standard of Good Practice for Information Security

martes, 17 de mayo de 2016



 
On Thursday, 19 May, our colleague Sebastian will give a speech about The ISF Standard of Good Practice for Information Security. The standard of good practice is fundamental in the world of information security. Improve resilience, validate information security awareness of employees, Form a basis for policies, standards and procedures, is essential for a correct information security management. We also recommend you the speech of our partner, Gabriel Bergel, on testing methodologies.




Sebastian’s speech will take 20 - 25 minutes, plus 5 - 10 minutes will be devoted to questions and answers. It will be held on Hangouts at 15:30 (GMT+1) and once finished, will become available on our YouTube channel. The session will be held in English.

We are looking forward to showing you everything you need to know about the good practice according to ISF in the information security environment. See the calendar of our next talks. Remember that you have an appointment with us on 19 May, at 15:30 (GMT+1)! To sign up use the ElevenPaths Talks form.

Eleven Paths Talks: The ISF Standard of Good Practice for Information Security



 
El próximo Jueves 19 de Mayo nuestro compañero Sebastian impartirá una charla sobre The ISF Standard of Good Practice for Information Security. Las buenas prácticas a través de estándares son algo fundamental en el mundo de la seguridad de la información. Mejorar la resiliencia, validar la concienciación de los empleados, formalizar políticas, procedimientos y estándares, es algo fundamental para una correcta gestión de la seguridad de la información. También os recomendamos esta charla de nuestro compañero Gabriel Bergel sobre Metodologías de testing,




La duración de la charla de Sebastian será de unos 30 minutos, divididos entre 20 y 25 minutos de exposición y de 5 a 10 minutos de preguntas y respuestas. El horario de la charla serán las 15.30  (hora España). La charla estará disponible al termina ésta en nuestro canal de YouTube. La ponencia se llevará a cabo por Hangout. La sesión se impartirá en inglés.
Os esperamos para que nuestro CSA os enseñe todo lo que necesitáis conocer sobre las buenas prácticas según ISF en el entorno de la seguridad de la información. Puedes mirar el calendario de talks para ver las que aún quedan por celebrarse. Recuerda, tienes una cita el próximo 19 de Mayo en horario de 15.30 (hora España). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks.


¿Y si el ransomware fuese legal?

lunes, 16 de mayo de 2016

Esta entrada pretende ser, más que un planteamiento sobre una posible evolución de este tipo de amenazas, un ejercicio de reflexión sobre la industria del adware y el malware, por qué se distinguen los términos, qué los diferencia y en qué nos afecta. ¿Qué pasaría si el ransomware fuese legal? Parece una pregunta absurda, ¿verdad?

Más que preguntarnos sobre si un malware puede ser "legal" o no (algo que ya hemos decidido desde el momento en el que se usa la palabra "malware" para definirlo), habría que dar un paso atrás y mirar las raíces técnicas y legales, planteándose realmente qué es el malware, y qué significa ser "legal".

Qué es malware 

Esta pregunta no es tan sencilla como parece. Desde el punto de vista técnico, el malware podría englobar cualquier programa que realiza algún daño en el sistema (control externo, obtención de información sensible, denegación de servicio….), o supone una amenaza potencial. Si nos ceñimos a esta definición técnica, ya existen múltiples programas que se utilizan a diario y permiten al menos alguna de estas situaciones: muchos programas necesarios y legítimos toman el control del sistema a un nivel total (arrancan al inicio, aceptan comandos de un servidor, registran movimientos, deciden qué se lanza o no en el sistema…). En malas manos o con fallos graves, "son una amenaza potencial"; muchos otros programas envían lo que se teclea a sus servidores "para mejorar la experiencia del usuario"; las extensiones del navegador, podrían robarnos toda la información (incluidas contraseñas) que tecleamos en la web y simular perfectamente un troyano bancario... ¿Por qué estos programas no son considerados malware? Porque no suelen materializar ese daño potencial, porque confiamos en la marca que lo respalda… pero técnicamente, no existiría una diferencia sustancial. Es como distinguir un cuchillo de cocina de un arma capaz de asesinar o descuartizar.

Las capacidades técnicas, por tanto, a veces no son suficientes para definirlo. Así que se suele apelar a sus "circunstancias". Uno de los agravantes del malware es que se instala o actúa sin consentimiento o conocimiento explícito del usuario, por ejemplo a través de engaños, ingeniería social o algún exploit. Sin embargo, en el "goodware", la elección parece más consciente, y el hecho de desde un punto legal exista una empresa detrás que nos pida consentimiento para instalar el software, o nos informa de su actividad (a través de una letra minúscula que nadie lee) nos tranquiliza. Aceptamos unas reglas de juego (que no hemos leído en detalle) y operamos un tanto a ciegas a expensas de la buena fe del programador y empresa que lo respalda. 

Qué es adware

La línea es delgada. Existe adware tan molesto como el malware. La percepción para el usuario es ralentización, pérdida de operatividad… Los creadores en este caso montan una empresa y piden al usuario que acepte unos términos de uso. Ya es "adware" legal. Esta es la razón por la que muchos ordenadores en el mundo parecen estar saturados de anuncios inoportunos o páginas de inicio secuestradas, y los antivirus no los detectan o no los pueden eliminar. Porque depende de su política interna, viciada en ocasiones por el número de veces que han podido ser demandados por bloquear el producto de una compañía, aunque este producto se financie a base de una insoportable publicidad (que alguien defina "insoportable"...). Esta es la razón también, por la que Google Play mantiene tantos programas en su market que son detectados por muchos antivirus, porque su concepto de "adware" es bastante elástico, y puede entrar en conflicto con el de los antivirus.

Así, en ocasiones una imponente maquinaria legal respalda la distribución de algún software que, bajo un nombre llamativo, promete alguna mejora del sistema. Entre bambalinas, se están cediendo datos y consintiendo un bombardeo de anuncios constante, se realiza un cambio de buscador por defecto, se instala para arrancar al inicio, se roban datos personales, etc. El exploit o el engaño con el que el "malware" se suele instalar, se sustituye en el adware agresivo por una letra lo suficientemente pequeña o unos términos de uso lo bastante confusos o ausentes.

Y algunos antivirus, a veces, tienen las manos atadas. ¿Dónde está la línea entre el adware legal o ilegal? Una de las guerras que libran las casas antivirus se se centra en lo que terminan por llamar "PUA", Potentially Unwanted Applications, porque son justamente eso: programas potencialmente no deseados, pero no pueden argumentar firmemente que sean malware. Otras veces, recurren a detectar el adware pero que su acción por defecto no sea limpiarlo del sistema o ponerlo en cuarentena, sino "Ignorar" la amenaza por considerarse de bajo riesgo. Así toman un camino intermedio. A veces, esta estrategia es su fórmula para que los abogados de creadores de adware no les envíen una carta amenazante… otras veces ni eso. Pensemos en cómo Android ha eliminado de su vocabulario la palabra "malware" y ha optado por utilizar siempre el término PHA para englobar todo tipo de amenazas en el móvil. Todo es cuestión del cristal con el que quiera mirarse.

Ransomware legal

Imaginemos pues, que el ransomware decide convertirse en un servicio en el que, para usarse, se deben aprobar unos términos de uso aparentemente legales. Hagamos un ejercicio de imaginación. Un ransomware cifra los archivos privados a cambio de una cantidad. Pensándolo fríamente, cifrar la información es positivo, previene el acceso a los ficheros en caso de pérdida del portátil o el dispositivo móvil (hacia donde es probable que se desplace el ransomware a medio plazo). Garantiza la privacidad si el sistema en compartido… Los usuarios que se preocupan por su seguridad cifran sus archivos importantes. Al igual que financiarse con publicidad, ¿qué tiene de malo? Pensemos que ese software que usamos para cifrar nuestros ficheros, simplemente no es gratuito. Que se sostiene gracias a la publicidad, o a una suscripción. Puede resultar una molestia, puede no ser ético… pero sería legal. 

Ahora, pensemos en que el ransomware se distribuye junto a otro tipo de software, o por sí mismo. Convence al usuario de las bondades de sus servicios, le obliga a aceptar unos términos y le pide tarjeta de crédito, bitcoins, etc… Sus ficheros quedan "protegidos", y podrá acceder a ellos siempre que pague mes a mes, diariamente por número de accesos, o solo cuando visite o haga clic sobre algunos anuncios. Una especie de cifrador "rogue" quizás basado en anuncios o por suscripción… un modelo similar en el que se juega con la credibilidad del usuario, se le da una capa de profesionalidad al malware, y se actúa sin complejos.

Pero el software "rogue" ya se consideraría malware, por tanto, vayamos más allá. Llegamos al mundo donde se mueve el adware y las PUAs, imaginemos que los programadores de ransomware crean una empresa con el aparataje legal necesario para defender su producto, y poner en un compromiso a los antivirus. Porque la realidad es que la forma en que lo juzgue un antivirus será lo que marque la diferencia. Con solo conseguir que unos pocos lo califiquen como PUA, y otros ni se atrevan a eso por no poder hacer frente a posibles demandas… tendríamos ransomware legal… igual que ya disponemos de adware legal o grayware.

CryptoWall dando la bienvenida a la víctima como si formase parte de una comunidad

 Conclusiones

Si este planteamiento parece descabellado, probablemente es que lo es y nunca veamos nada parecido. Sin embargo, el ejercicio pretende llevar a una reflexión, sobre qué es malware, adware, PUA, goodware y la fina línea, desde luego no basada en criterios técnicos, que los separa. Incluso parece, que algunos ransomware han jugado con la idea de ofrecer un lustre de legalidad, profesionalidad o técnicas de mercadotecnia a sus ataques: pensemos en ransomware que usaba chats para interactuar con sus víctimas por si le surgían dudas durante el proceso de pago, los que dan la bienvenida al usuario a sus servicios, los que disponen de códigos QR para facilitar el pago, los que prometen donar el pago a caridad, etc.

En resumen, al igual que no existe un consenso claro (al menos técnicamente hablando) sobre dónde acaba la agresividad del adware y esto lleva a un nuevo término llamado "grayware"... ¿podríamos llegar a un punto en el que existiese ransomware que se moviera en esa línea gris como modelo de negocio, caracterizada por su "bajo grado de peligrosidad"? (aunque sin duda molesto). Como siempre, solo si resulta más rentable que las actividades lucrativas actuales, se pondrá en marcha un modelo de este tipo.

Sergio de los Santos
ssantos@11paths.com

[New Report] “Financial cyber threats Q1 2016” conducted by Kaspersky Labs and Telefónica

viernes, 13 de mayo de 2016




Our analyst team gives you a quarterly update on the latest tendencies of cyber attacks in financial sector. You can now download the full Financial CyberThreats Q1 2016 Report conducted by Kaspersky Labs and the ElevenPaths’ Analyst Team.

This report uses data from KSN (Kaspersky Security Network). KSN is a distributed network designed for the real time processing of threats against Kaspersky users. The objective of KSN is to be sure that all users have information on threats as soon as possible. New threats are added to the data base minutes after their detection, even if they were previously unknown. KSN also retrieves statistical non-personal information about any malicious code installed on our customers’ devices. Kaspersky Lab customers are free to join KSN, or not, as they wish.

» Download now the full report from our web ElevenPaths

It is mainly based on statistics and data from KSN (Kaspersky Security Network) although reliable information from other sources may also be referenced. The timeframe for this analysis contains data obtained during the period from January 1st, 2016 to April 1st, 2016.

The report emphasizes the growth of phishing, focused on executive identity theft and infections with the trojan Zeus. Thus, Android turned out to be the most attacked OS.

Countries with the highest percentage of victims attacked by phishing are Brazil and China. They are followed by the United Kingdom, Japan, India, Australia, Bangladesh, Canada, Ecuador and Ireland. Mexico, which was the most attacked country in the last period, was not included in the top of attacked countries.

One of the most remarkable points in Q1 2016 is significant decrease of percentage users suffered from Dyre Trojan infection attempts from 0.422% to 0.159% of all KSN users. The Dyre activities significantly decreased starting from the end of November because of a successful Russian law enforcement operation against the corresponding cybercriminal group.

» Download now the full report “Financial cyber threats Q1 2016”

*You may also be interested on:
More information:
elevenpaths.com