Cybersecurity Avatar_Caso de ciberidentidad de Bozkurt Hackers

miércoles, 29 de junio de 2016


Llegan los CyberSecurity Avatar. Nuevos informes de investigación de ejercicios de atribución en la red sobre ciberidentidades involucradas en actividades maliciosas en la red. ElevenPaths descubre de primera mano la verdadera identidad de estos ciberdelincuentes, así como el nivel de seguridad operacional que suelen mantener para frustrar las actividades de investigación de nuestros analistas.

Se irán publicando casos reales todas las semanas durante el mes de junio y julio. Cada entrega con un caso real. ¡No te lo puedes perder!

Os dejamos un breve resumen del caso de esta semana:

Bozvurt Hackers
La ciberidentidad BozkurtHackers es la responsable de la filtración de bases de datos procedentes de bancos con sede en Emiratos Árabes Unidos, Bangladesh y Nepal, tanto a través de foros de la deep web como a través de Twitter. Sin embargo, no se ha podido confirmar si se trata de los verdaderos responsables de los robos de informacióm.

» Descárgate el caso BozkurtHackers

Más información en
Elevenpaths.com

Qué hemos presentado en el Security Day 2016 (VII): Firma digital

martes, 28 de junio de 2016

La firma electrónica cómoda, usable e innovadora.
Hace más de 20 años surgió el concepto de “oficina sin papeles” en el que no será necesario imprimir documentos, sino que se gestionará todo como documentos electrónicos ganando en eficiencia, comodidad y con un importante ahorro de costes al eliminar el papel y la necesidad de su manipulación.


Durante estos años hemos visto avances importantes. Han aparecido productos y tecnologías que pueden hacer realidad esta visión. Tecnologías como formatos estándar de documentos electrónicos, gestores documentales, sistemas de workflow o BPM, correo electrónico, certificados digitales y soluciones firma electrónica, etc. pero al parecer esto no es suficiente. Según algunas estadísticas, hoy en día gastamos mucho más papel que hace 20 años.

¿Qué ha fallado entonces? Todavía existen algunas barreras. Algunas son culturales, recibimos un documento electrónico y lo seguimos imprimiendo cuando lo tenemos que leer (especialmente si es un documento con muchas páginas) o cuando alguien tiene que firmarlo.

Existen también algunas barreras tecnológicas. La firma electrónica con certificados fue creada a finales de los años 90, cuando lo que predominaba era el PC y las aplicaciones web. Hoy en día, las aplicaciones de firma continúan en su mayoría basándose en este modelo con componentes que se incrustan en páginas web y se ejecutan en el PC como applets de java o controles ActiveX. Estos componentes y el software requerido para su ejecución han sido tradicionalmente una auténtica pesadilla para la seguridad por la cantidad de vulnerabilidades y para los responsables de sistemas por la dificultad de gestionar las nuevas versiones.

La aspiración de cualquier organización es que sus directivos y empleados puedan firmar cualquier documento en cualquier lugar de una forma sencilla, cómoda y efectiva. Estos son los objetivos de la solución que se ha presentado y que surge como resultado de la colaboración entre un organismo público y algunas empresas privadas.

La solución está basada en un planteamiento que se resumen en los siguientes puntos:
  • Habitualmente usamos diferentes dispositivos, como Smartphones, tabletas y PCs. La seguridad de la firma basada en un certificado digital depende de la capacidad de custodiar de forma segura su clave privada. Por tanto, tiene sentido plantear el almacenamiento centralizado de los certificados digitales en un dispositivo de alta seguridad HSM o caja fuerte digital que tenga el mismo nivel de seguridad certificado que una smartcard.
  • Con el objetivo de hacer sencilla y cómoda la firma, proporcionaremos todos los elementos necesarios para realizar la firma desde una cloud (pública, privada o hibrida según se encaje con las necesidades y políticas de la organización) que sea accesible por todos los dispositivos y que evite la necesidad de instalar ningún software para realizar la firma. De esta forma será suficiente simplemente disponer de un navegador web en el dispositivo con el que voy a firmar. Todas las funciones como el motor de firma, la validación de los certificados digitales, las integraciones con las aplicaciones de negocio, etc. estarán disponibles en la cloud mencionada.
  • En tercer lugar, el punto más importante, debemos aseguramos que solo el firmante puede activar el uso de la clave privada del su certificado digital. Es decir, como mantener el certificado digital bajo el exclusivo control del firmante aun cuando este se encuentre almacenado centralizadamente en un dispositivo central. Este se puede conseguir empleando diversos mecanismos de autenticación y autorización que tienen como elemento común el móvil. En especial se propone el reconocimiento de la firma manuscrita de la firmante, realizada sobre la pantalla táctil de su dispositivo móvil a modo de PIN de acceso y que puede ser combinada con otros factores de autenticación adicionales si fuese necesario y elementos de autorización como Latch® de Telefónica.
  • Por último, para evitar el trasiego del certificado digital durante su emisión o renovación, es deseable que la autoridad de certificación (CA) se encuentre integrada dentro de la solución de forma que se emita y renueve el certificado directamente en una vez verificada la identidad del firmante la primera vez.
La solución presentada es el resultado de un proyecto iniciado hace algo más de 3 años a partir de las ideas planteadas por el Ministerio de Empleo y Seguridad Social, quien se planteó que la firma electrónica era demasiado complicada para el usuario y que existía una oportunidad de innovar combinando varias tecnologías existentes con el objetivo de conseguir hacer más sencilla la tarea a sus usuarios manteniendo la seguridad de la firma.

La solución permite a un usuario conectarse con cualquier dispositivo a su aplicación de negocio (en nuestro caso un portafirmas) y firmar usando un certificado digital almacenado centralizadamente, autorizando la firma mediante el reconocimiento de su firma manuscrita y a la que puede añadirse un PIN de 4 dígitos para aquellos casos en los que se requiera una seguridad de 2 factores de autenticación.

La solución ha sido creada a partir de la combinación de las tecnologías de ElevenPaths (SealSign® y Latch®) y SIA (SafeCert® y SIAVAL®). Aportando elementos de fiabilidad probada, como los que se emplean en el proyecto CL@VE de la AGE y algoritmos de firma biométrica presentes en multitud de clientes. Uno de los principales logros del proyecto ha sido ser capaces de abstraer de la complejidad al usuario realizando una tarea compleja como es la firma electrónica de forma amigable y sencilla para el usuario.

Próximamente iremos publicando el resto de la serie. ya podeis ver los en vídeo en el canal de YouTube del Security Day 2016 todas las veces que queráis. Si además, quieres o necesitas más información sobre alguno de nuestros productos no dudes en ponerte en contacto con nosotros vía el formulario de la web de ElevenPaths.

Os esperamos de nuevo en nuestro evento anual de innovación y seguridad. No te pierdas la cuarta edición del Security Innovation Day, que celebraremos el próximo 6 de octubre en el Auditorio Central de Telefónica. Apúntate esa fecha en el calendario, ¡no te lo puedes perder!

*También te puede interesar:
Security Day 2016_Security Evolution
ElevenPaths anunciamos nuestras nuevas alianzas estratégicas en nuestro III Security Day
ElevenPaths announced its new strategic alliances in the third Security Day
Qué hemos presentado en el Security Day 2016 (I)
Qué hemos presentado en el Security Day 2016 (II): “Unidos somos más fuertes”
Qué hemos presentado en el Security Day 2016 (III): Virtual Patching con Vamps, Faast & Fortinet
Qué hemos presentado en el Security Day 2016 (IV): MetaShield Protector para Outlook Online en Office 365
Qué hemos presentado en el Security Day 2016 (V): SandaS
Qué hemos presentado en el Security Day 2016 (VI): SandaS GRC


Más información en
elevenpaths.com

Rames Sarwat

ElevenPaths


Joseba García Celada

MEYSS


Eleven Paths Talks: Wordpress in Paranoid Mode

 

 
El próximo Jueves 30 de Junio nuestro compañero Pablo González impartirá una charla en la que se verá una prueba de concepto realizada en Eleven Paths. Pablo está en la parte de ideas rápidas y pruebas de concepto dentro del área de innovación. En algunas ocasiones también denominan ideas locas que son probadas rápidamente. Wordpress in Paranoid Mode nació así, una idea en la que trabajaron Chema Alonso y Pablo González. Wordpress in Paranoid Mode es un código que permite fortificar al motor de base de datos, a través de un 2FA como Latch, que se encuentra detrás de la aplicación Wordpress. De este modo cuando alguien manipule tráfico o queries o exista una vulnerabilidad de SQL Injection no se podrá modificar, borrar o insertar datos, por lo que protegemos la integridad y la disponibilidad de la información.  No debéis perderos esta interesante talk impartida por Pablo. También os recomendamos el listado de charlas que nuestros compañeros CSA han ido impartiendo en Eleven Paths.



La duración de la charla de Pablo será de unos 30 minutos, divididos entre 20 y 25 minutos de exposición y de 5 a 10 minutos de preguntas y respuestas. El horario de la charla serán las 15.30  (hora España). La charla estará disponible al termina ésta en nuestro canal de YouTube. La ponencia se llevará a cabo por Hangout. La sesión se impartirá en castellano.
 
 

Os esperamos este Jueves. Si quieres saber más acerca del tema, no dudes en pasarte por nuestra Community, dónde nuestros compañeros hablan sobre éste y otros temas de interés en el mundo de la Seguridad. Puedes mirar el calendario de talks para ver las que aún quedan por celebrarse. Recuerda, tienes una cita el próximo 30 de Junio en horario de 15.30 (hora España). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks.


Algunas puertas de enlace hacia Tor podrían exponer tu identidad

lunes, 27 de junio de 2016



¿Sabías que la navegación a través de Tor no es garantía suficiente para una navegación anónima? En ElevenPaths hemos encontrado algunas puertas de enlace al contenido de la red TOR que podrían exponer tu identidad.

La utilización de cualquier tipo de puerta de enlace conlleva riesgos derivados de la falta de confiabilidad del prestador de servicio. En el caso de las pasarelas de acceso a los hidden services de la red Tor, cualquier expectativa de privacidad de los usuarios sobre el anonimato de estas operaciones tiene que ser puesta en cuarentena teniendo en cuenta que algunas de estas plataformas exponen información que filtra explícitamente la dirección IP real del usuario que envía la consulta como ocurre en el caso de onion.link. En otros casos, se expone el navegador utilizado, circunstancia que también podría ser empleada para obtener la dirección IP real al cargar recursos alojados en servidores controlados por el atacante.

El proyecto Tor fue concebido con el objetivo de ofrecer a los usuarios una capa adicional de privacidad en el uso de internet. Así, la utilización de la red Tor para la navegación convencional protege el origen de la petición del usuario real al exponer únicamente el nodo de salida que solicita un recurso concreto. Sin embargo, para acceder a los hidden services se requiere una configuración específica del navegador, la utilización del Tor Browser Bundle o el enrutamiento de las peticiones a nivel de sistema operativo. Para facilitar el acceso a dichas plataformas sin necesidad de configurar ningún software dentro del equipo existen los conocidos como Tor gateways que hacen de proxy entre un usuario que intenta acceder a un recurso .onion y el propio recurso, recogiendo el resultado y sirviéndoselo de nuevo.

Key Threat
Tor gateways: un acto de fe
El uso de puertas de enlace conlleva la renuncia tácita del usuario a una parte significativa de su anonimato al conceder al intermediario información que no cede al servidor final. Para el usuario, estas prácticas conllevan el riesgo de que, no solamente las peticiones realizadas queden registradas por un tercero, sino que se tiene que considerar la posibilidad de que las respuestas recibidas hayan sido adulteradas por el intermediario.

Visión del analista
Precaución a la hora de utilizar pasarelas de acceso a la red Tor
A pesar de la existencia de extensiones que ofrecen la posibilidad de acceder a hidden services a través de puertas de enlace, las malas prácticas en la configuración de estas pueden resultar contraproducentes si el objetivo es proteger el anonimato del usuario. De todas formas, como ya se advierte desde la propia web del proyecto, la navegación a través de Tor no es garantía suficiente para una navegación anónima. Por ejemplo, el hecho de permitir la ejecución de código arbitrario entraña riesgos que podrían comprometer la privacidad del usuario. Exceptuando onion.cab, se ha podido ejecutar código Javascript sin problemas en los navegadores convencionales utilizados para consultar los dominios .onion a través de las pasarelas, así como en el propio Tor Browser, que tampoco activa por defecto el bloqueo de Javascript. Para el usuario eventual preocupado por su privacidad es recomendable el uso de Tor Browser Bundle actualizado con la extensión NoScript habilitada globalmente para prevenir la filtración de información identificativa.

» Descárgate la investigación completa desde nuestra web “La traición de las puertas de enlace hacia la red Tor“.

También te puede interesar:
» Malware que instala certificados raíz en Windows y Firefox automáticamente

Más información en
Elevenpaths.com

Latch llega a Ecuador

viernes, 24 de junio de 2016


Añade una capa extra de seguridad al acceso de tu cuenta Mi Movistar Ecuador con la app de Latch.

La revolución digital en la que vivimos ha cambiado nuestra forma de interactuar tanto entre las personas como con las empresas e incluso con las cosas. Internet ha abierto un mundo de posibilidades en el que todos estamos conectados y del que todos participamos a nivel particular y a nivel empresarial.

Esto hace que tengamos numerosas identidades digitales y, aunque somos conocedores de las reglas de seguridad, normalmente usamos la misma contraseña para todas ellas. Has pensado qué pasa si algún cibercriminal obtuviera tus passwords de algún modo? No es tan difícil, tenemos numerosos ejemplos muy conocidos como Linkedin, Ashley Madison, Adobe…con tus credenciales puede entrar sin que tú lo sepas no solo a tus webs privadas pudiendo obtener datos personales como tu cuenta bancaria presente en numerosas webs, sino también acceder a las webs empresariales con información críticas.

El servicio Latch de Telefonica te permite proteger la vida digital cerrando el “pestillo” cuando no accedes y abriéndolo con accedes. Además te informa, cuando está cerrado, si alguien está intentando entrar mientras tú no lo usas, pudiendo disfrutar tu vida sin la preocupación de que alguien pueda estar accediendo a tus webs sin tu conocimiento.

Mi Movistar Empresas Ecuador ofrece la posibilidad de “latchear” la cuenta de gestor de sus clientes proporcionándoles esta capa extra de seguridad al acceso a la web, de tal modo que, los gestores pueden estar tranquilos sabiendo que mientras tengan su cuenta “latcheada” nadie podrá acceder.

¿Todavía no sabes latchear?
Mejorar la seguridad de tu vida digital es muy fácil con la app de Latch, ya que te permite añadir un nivel extra de seguridad a tus cuentas y servicios online cuando no los estés utilizando. Con un simple toque, te da el control para “apagar” todos los servicios que tengas integrados cuando no los estés utilizando. Sólo tienes que seguir estos tres sencillos pasos, así de fácil:

Paso 1: Crea tu cuenta Latch: Regístrate con tu email y confirma tu cuenta de usuario.

Paso 2: Descarga la app de Latch: Descarga Latch en tu móvil desde tu market store oficial. Latch está disponible para dispositivos Android, Blackberry, iPhone, Firefox OS y Windows Phone.

Paso 3: Empieza a usar Latch: Asocia las cuentas de tus servicios integrados con Latch, lo llamamos parear.

Latchea tu cuenta Mi Movistar Empresas Ecuador
Si eres cliente de Mi Movistar Empresas Ecuador, echa el pestillo y:
  • Desactiva tu acceso a las cuentas online cuando no la vayas a utilizar. ¡Nadie podrá acceder a ella!
  • Programa la desactivación de tu acceso por la noche o personaliza tus horarios de desconexión.
  • Recibe avisos de intentos de acceso no autorizados.



Más información en
latch.elevenpaths.com
Elevenpaths.com

Cybersecurity Shot_Fuga de Información de City Bank Limited


Llega Cybersecurity Shot, un tipo de informe de investigación sobre casos de actualidad relacionados con bases de datos filtradas en la red así con algunas recomendaciones que podrían haberlo evitado.

Se irán publicando casos reales todas las semanas durante el mes de mayo y junio. Cada entrega con un caso real. ¡No te lo puedes perder!

Os dejamos un breve resumen del caso de esta semana:

Caso City Bank Limited
Investigación "Fuga de información de City Bank Limited"

Durante el mes de mayo, un grupo alineado con movimientos nacionalistas turcos conocido como "Bozkurt hackers" realizó diversas filtraciones sobre entidades bancarias pertenecientes a la región meridional de Asia. El día 10 de mayo, se filtraron a través de una de sus cuentas de Twitter más de 100 000 registros correspondientes a la entidad financiera City Bank Limited con sede central en Bangladesh.

Descubre con nuestros analistas de inteligencia cuales han sido las entidades filtradas a través de las cuentas de Twitter de City Bank Limited.

» Descárgate el caso fugas de información de City Bank Limited

No te puedes perder el próximo:
» Caso Mossos d' Esquadra

Más información en
Elevenpaths.com

Qué hemos presentado en el Security Day 2016 (VI): SandaS GRC

jueves, 23 de junio de 2016

En el pasado Security Day os presentamos las novedades de Sandas GRC relacionadas con las nuevas las capacidades de la plataforma para el Gobierno, Gestión de Riesgos y Compliance en los entornos industriales y a las Tecnologías de las Operaciones. Al unir el concepto GRC típico de los Sistemas de Información (TI) a las Tecnologías de las Operaciones, inauguramos un nuevo concepto al que hemos venido en denominar OT-GRC.


Desde los inicios de la Revolución Industrial hasta la actualidad, los procesos industriales han evolucionado con el objetivo de optimizar la gestión de los recursos y a resultas alcanzar una automatización completa. Este proceso se desencadena con la irrupción de las primeras máquinas a vapor, continua con los circuitos eléctricos de relés y posteriormente los controladores (MODICON 084, primer PLC en 1970), y rebasa la frontera del siglo XXI gracias a los sistemas de automatización y control industrial computarizados (SCADA, RTU, DCS, EMS, MES, etcétera).  

Industria 4.0 es el término acuñado para definir la situación en la que los sistemas corporativos de las organizaciones están integrados con sus procesos industriales.Tal y como se referencia en la web “industria conectada 4.0” del ministerio de industria, energía y turismo, el concepto de Industria 4.0 “se refiere a la cuarta revolución industrial queconsiste en la introducción de las tecnologías digitales en la industria” 



Este nuevo paradigma supone que las tecnologías de la información y la comunicación (TIC) se apliquen también al ámbito industrial, que hasta ahora había sido fundamentalmente un contexto físico. Esta interconexión entre dispositivos y sistemas computacionales permite hablar de una industria inteligente, el cual mejora a los Sistemas de Automatización y Control Industrial (IACS) con las siguientes características:
  • Integración de los Sistemas de Operaciones (TO) con los Sistemas Corporativos de la organización (TI).
  • Mejor adaptabilidad a circunstancias coyunturales (mercado, interacción con otros procesos industriales, etc.)
  • Mayor eficiencia en la gestión de los recursos y el impacto medio ambiental.
Para que sea una realidad la industria 4.0 se necesita de los siguientes habilitadores digitales: hibridación entre el mundo físico y digital, comunicación y tratamiento de datos, y aplicaciones de gestión.


[FUENTE: http://www6.mityc.es/IndustriaConectada40/informe-industria-conectada40.pdf]

La traslación de los sistemas desde el mundo físico hacía la cloud ha supuesto la necesidad de actualizar las políticas de seguridad puesto que antes estaban desarrolladas específicamente para contextos físicos. Este nuevo escenario de oportunidades conlleva un aspecto negativo: la proliferación de nuevas y desconocidas amenazas para las que las industrias apenas están preparadas.

Por lo tanto, desde Elevenpaths, en colaboración con el Centro de Ciberseguridad Industrial y Govertis, hemos adaptado las actuales capacidades de nuestra plataforma para el Gobierno, Gestión de Riesgos y Compliance –SANDASGRC– con el propósito de incorporar los nuevos marcos normativos aplicables a los Sistemas Industriales, como el International Electrotechnical Comision, los cuales regulan la hibridación entre los sistemas de información (TI) y los de operación (TO).


SandaS GRC es la solución para analizar y demostrar, cuando corresponda, el nivel de cumplimiento de los Marcos Normativos aplicables a las organizaciones con Sistemas Control y Automatización Industrial. Cabe destacar los siguientes:
  • ANSI/ISA-99.02.01-2009 Establishing an Industrial Automation and Control Systems Security Program
  • IEC 62443-2-1 International Electrotechnical Commision
  • NIST - SP 800-82. Guide to Industrial Control Systems (ICS) Security
  • NIST – SP 800-53. Recommended Security Controls for Federal Information Systems

Próximamente iremos publicando el resto de la serie. ya podeis ver los en vídeo en el canal de YouTube del Security Day 2016 todas las veces que queráis. Si además, quieres o necesitas más información sobre alguno de nuestros productos no dudes en ponerte en contacto con nosotros vía el formulario de la web de ElevenPaths.

Os esperamos de nuevo en nuestro evento anual de innovación y seguridad. No te pierdas la cuarta edición del Security Innovation Day, que celebraremos el próximo 6 de octubre en el Auditorio Central de Telefónica. Apúntate esa fecha en el calendario, ¡no te lo puedes perder!

*También te puede interesar:
Security Day 2016_Security Evolution
ElevenPaths anunciamos nuestras nuevas alianzas estratégicas en nuestro III Security Day
ElevenPaths announced its new strategic alliances in the third Security Day
Qué hemos presentado en el Security Day 2016 (I)
Qué hemos presentado en el Security Day 2016 (II): “Unidos somos más fuertes”
Qué hemos presentado en el Security Day 2016 (III): Virtual Patching con Vamps, Faast & Fortinet
Qué hemos presentado en el Security Day 2016 (IV): MetaShield Protector para Outlook Online en Office 365
Qué hemos presentado en el Security Day 2016 (V): SandaS

Más información en
elevenpaths.com

David Prieto Marqués



Juan Antonio Gil Belles



Cybersecurity Avatar_Casos reales sobre Cyber Identities

miércoles, 22 de junio de 2016


Llegan los CyberSecurity Avatar. Nuevos informes de investigación de ejercicios de atribución en la red sobre ciberidentidades involucradas en actividades maliciosas en la red. ElevenPaths descubre de primera mano la verdadera identidad de estos ciberdelincuentes, así como el nivel de seguridad operacional que suelen mantener para frustrar las actividades de investigación de nuestros analistas.

Se irán publicando casos reales todas las semanas durante el mes de junio y julio. Cada entrega con un caso real. ¡No te lo puedes perder!

Os dejamos un breve resumen del caso de esta semana:

Peace of Mind
La ciberidentidad peace_of_mind ha sido la responsable de la venta de las bases de datos de usuarios de LinkedIn, Myspace, Tumblr y VK, entre otras. Utiliza la plataforma de compraventa TheRealDeal para su promoción, accesible únicamente a través de un hidden service en Tor y en la que habría conseguido realizar al menos 59 ventas.

» Descárgate el caso Peace_of_mind

Más información en
Elevenpaths.com

Qué hemos presentado en el Security Day 2016 (V): SandaS

martes, 21 de junio de 2016

MSSP: O TE MUEVES O CADUCAS.

El sector de la seguridad gestionada obedece –más si cabe en la actualidad– a la máxima publicitaria que reza: o te mueves o caducas. El aumento de los riesgos que afectan a las empresas ha implicado una mayor concienciación de estas acerca de la seguridad y a su vez la implicación directa de los consejos directivos, quienes requieren de información de seguridad contextualizada para tomar ciertas decisiones.



ElevenPaths, como proveedor de seguridad gestionada, entiende que el siguiente estadio en esta evolución consiste en crear un ecosistema de colaboración entre cliente, proveedor de tecnología y MSSP. Hasta ahora, el cliente o bien decidía por sí mismo la tecnología y fabricante para dar respuestas a sus necesidades o delegaba esta decisión en el MSSP. Entendemos que este enfoque unidireccional debe transmutar en uno bidireccional que ofrezca cobertura a otros dominios, más allá del perimetral, que hasta ahora no habían sido tenidos en cuenta. A saber:
  • Movilidad
  • Entornos Cloud
  • Redes hibridas
  • Dispositivos IoT

En la mayor parte de las situaciones, la implementación de las tecnologías que conforman estos dominios se ha realizado de una manera un tanto informal: los departamentos IT y de seguridad apenas tiene control sobre la miríada de entidades desplegadas, sean dispositivos o clouds gestionadas por terceros. El MSSP debe analizar de forma exhaustiva toda la información para que el cliente recupere el control de sus herramientas y servicios, y de esta manera detectar y responder de manera inmediata a cualquier anomalía, conocida o no.

Las acciones principales que un MSSP ha de abordar. Primero, desarrollar un sistema de orquestación de la información proveniente del proveedor de seguridad y en conjunción con este para la detección y escalado automático de actividades anómalas. Segundo, incrementar la eficiencia al aplicar estrategias de conocimiento colaborativo e implementar la automatización de la remediación sobre los equipos del cliente. Y tercero y último, proporcionar al cliente la visibilidad más completa y contextualizada sobre la situación de la seguridad corporativa lo que redunda en una mejora en la diseminación de la información entre técnicos y ejecutivos y en la toma de decisiones de estos últimos.

Dentro del portafolio de servicios de EleventPaths es posible encontrar soluciones para cada uno de los retos planteados. La tecnología SandaS, complementa los principales SIEM del mercado, aportando Análisis, Supervisión y Categorización en tiempo real mediante un conjunto de algoritmos propietarios que no sólo procesan la información obtenida localmente, sino que además la combinan con información de otros clientes y de otras fuentes de ciberseguridad para garantizar el más alto nivel de detección.

Respecto a la notificación y respuesta automática, SandaS se ha integrado con las mejores soluciones de seguridad de red –como por ejemplo el Firewall de nueva generación de PaloAlto. Gracias a este servicio podemos emprender acciones automáticas de resolución o remediación, tales como bloqueos de IPs o URLs.

Y por último para satisfacer la necesidad de visibilidad, SandaS incorpora un dashboard integral que proporciona la foto en tiempo real de la seguridad corporativa. Como hemos visto, este conocimiento es fundamental a la hora de tomar decisiones en todos los niveles de una organización.

Por lo tanto, podemos afirmar que SandaS es en la actualidad la tecnología más completa, transparente y colaborativa del mercado, que permite a los clientes una respuesta diferencial frente a las ciberamenazas.



Próximamente iremos publicando el resto de la serie. ya podeis ver los en vídeo en el canal de YouTube del Security Day 2016 todas las veces que queráis. Si además, quieres o necesitas más información sobre alguno de nuestros productos no dudes en ponerte en contacto con nosotros vía el formulario de la web de ElevenPaths.

Os esperamos de nuevo en nuestro evento anual de innovación y seguridad. No te pierdas la cuarta edición del Security Innovation Day, que celebraremos el próximo 6 de octubre en el Auditorio Central de Telefónica. Apúntate esa fecha en el calendario, ¡no te lo puedes perder!

*También te puede interesar:
Security Day 2016_Security Evolution
ElevenPaths anunciamos nuestras nuevas alianzas estratégicas en nuestro III Security Day
ElevenPaths announced its new strategic alliances in the third Security Day
Qué hemos presentado en el Security Day 2016 (I)
Qué hemos presentado en el Security Day 2016 (II): “Unidos somos más fuertes”
Qué hemos presentado en el Security Day 2016 (III): Virtual Patching con Vamps, Faast & Fortinet
Qué hemos presentado en el Security Day 2016 (IV): MetaShield Protector para Outlook Online en Office 365
Qué hemos presentado en el Security Day 2016 (V): SandaS
Qué hemos presentado en el Security Day 2016 (VI): SandaS GRC

Más información en
elevenpaths.com

David Prieto 

Eleven Paths Talks: ¿Las contraseñas desaparecerán?

 

 
El próximo Jueves 23 de Junio nuestro compañero Claudio Caracciolo impartirá una charla sobre el futuro de las contraseñas, ¿Podrían desaparecer en un período corto de tiempo? Esta y muchas otras preguntas que surgen a través de ésta serán respondidas por nuestro CSA. La debilidad de las contraseñas en su propia naturaleza hacen que la innovación pase por una propuesta fiable, segura y robusta para proteger identidades digitales. Sin duda, estamos ante el final de las contraseñas.  No debéis perderos esta interesante talk impartida por Claudio. También os recomendamos el listado de charlas que nuestros compañeros CSA han ido impartiendo en Eleven Paths.



La duración de la charla de Claudio será de unos 30 minutos, divididos entre 20 y 25 minutos de exposición y de 5 a 10 minutos de preguntas y respuestas. El horario de la charla serán las 15.30  (hora España). La charla estará disponible al termina ésta en nuestro canal de YouTube. La ponencia se llevará a cabo por Hangout. La sesión se impartirá en castellano.
 
Os esperamos este Jueves. Si quieres saber más acerca del tema, no dudes en pasarte por nuestra Community, dónde nuestros compañeros hablan sobre éste y otros temas de interés en el mundo de la Seguridad. Puedes mirar el calendario de talks para ver las que aún quedan por celebrarse. Recuerda, tienes una cita el próximo 23 de Junio en horario de 15.30 (hora España). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks.


Seguridad criptográfica en IoT (y VI)

lunes, 20 de junio de 2016


La proliferación de dispositivos y plataformas de servicios IoT está siendo mucho más rápida que la adopción de medidas de seguridad en su ámbito. Ante la apremiante necesidad de mecanismos que garanticen la autenticación, integridad y confidencialidad, tanto de las comunicaciones como de los propios dispositivos, se tiende a trasladar las soluciones criptográficas contrastadas en la IT tradicional, como son los certificados digitales de clave pública sobre protocolos SSL/TLS. Seguimos avanzando en el estado del arte de las soluciones criptográficas para IoT.

PoC Web 

Aunque la descripción literal de los comandos de autenticación pueda parecer enrevesada, una vez implementados dentro de una librería de código, su utilización se vuelve muy sencilla, como se observa a continuación:



 A modo de simple prueba de concepto (PoC) hemos implementado el caso de uso práctico de un dispositivo IoT que debe autenticarse ante un servicio web de forma robusta, utilizando hardware criptográfico para ello.

Para que el ejemplo pueda hacerse extensivo al público general, se emplea Arduino como entorno de desarrollo, sobre una plataforma ESP8266 que facilita el acceso a la web mediante su interface Wifi.

Podría utilizarse cualquier módulo ESP8266, en este caso se ha empleado un NodeMCU v0.9, cargando un sketch generado a partir del core ESP8266 para Arduino.Como hardware criptográfico se ha elegido un Cryto-Authenticator Atmel SHA204A conectado externamente al módulo NodeMCU.


De las diferentes librerías para Arduino que hay para manejar el SHA204A, la que mejor se adaptaba de forma general, y más trabajada se encontraba, era el trabajo de Nusku de 2013. No obstante, no parecería funcionar de forma uniforme en diferentes dispositivos, y presentaba algunas carencias importantes. Hemos solucionado estos problemas publicando nuestro propio fork en Github.

La autenticación en el servicio web se realiza insertando en la petición HTTP (GET request) un token de autenticación. Esta es una practica muy común y extendida entre los más importantes sistemas de autenticación web. Para ello se añade la cabecera (header) "Authorization", con los parámetros adecuados.

Estos deben incluir el tipo de token "11PATHS-HMAC-256", junto a los valores correspondientes codificados en formato Base64. Para simplificar el proceso, la cabecera incluye además del “id” del dispositivo, el "nonce" (challenge) y la "base" utilizados para calcular la firma "signature" de verificación, aunque el protocolo soporta el que challenge lo proporcione el servidor.

Al enviar todos estos datos en la petición, seria posible volver a re-utilizar peticiones capturadas. Para evitar esta debilidad se agrega el timestamp como parte de la petición a firmar en formato unix-time.

GET /?timestamp=1458647701 HTTP/1.1\r\n

Para poder realizar la firma de la petición HTTP con el Atmel SHA204A, esta se resume a 20 bytes mediante el algoritmo SHA-1. El core de Arduino para ESP8266 incluye esta función en la librería "Hash.h", pero en caso de utilizar otra plataforma se puede añadir desde la Crytosuite para Arduino.

Con los 20 bytes obtenidos se invoca el comando Nonce del SHA204A, obteniendo los 32 bytes resultantes a modo de reto, que son almacenados.

Seguidamente se invoca el comando HMAC indicando el número de slot que contiene clave con la que se calculará la HMAC-SHA-256, junto al modo de ejecución. Conocidos estos valores (modo y slot) se puede deducir la base de 24 bytes añadida al calculo. El resultado de este comando serán los 32 bytes correspondientes a la firma de la petición.

Estos valores, junto con el "id" que asignemos al dispositivo, serán los parámetros en base64 que incluirá la cabecera. La codificación en base64 se realiza utilizando la librería de Adam Rudd.

Authorization: 11PATHS-HMAC-256
id="EjEjEg==",
nonce="LmzzEpRnXvqmvnbOSobGp1VysR/wEpWoMNaY2Miew5g=", base="EQACAAAAAAAAAAAAAAAA7gAAAAABIwAA", signature="4qnOa5ZGecdzC+DscOSuOhJ64LeB1jTieJATUWPoIZE="



El servicio web podrá verificar la autenticidad del dispositivo IoT que realiza la petición, realizando los mismos cálculos y comparando los resultados. Para ello, tan solo debe conocer la clave de 32 bytes asignada al dispositivo por su "id".

Como parte de la demostración, se ha publicado el servicio web de ejemplo en la url: http://sha204a.cf 

Este servicio web responderá con un JSON que contendrá información relativa a la autenticación, en caso de ser válida, o en su defecto, con los detalles del error que se haya producido. Puede ser utilizado libremente para la realización de pruebas, ya que responde a cualquier id, que haya firmado con la clave de ejemplo:

"EB0C68BF96E8C26635D3450293D2FC501A63A09924FE90A7BD916AC521FDE0AA"

En este ejemplo no se produce una autenticación recíproca, es decir; la repuesta del servicio web no contiene ningún parámetro destinado a verificar su propia legitimidad, aunque hubiera sido fácil haberlo incorporado. Usualmente se delega esta condición al establecer una conexión segura SSL (https) donde se verifica el certificado del servidor web.

El código del sketch Arduino es muy simple. Gestiona la conexión a Internet, mediante la librería "WiFiManager.h", la cual si no se ha configurado o no está disponible el SSID o su credencial no es válida, levanta un AP con un portal cautivo desde el que configurar la red Wifi. Una vez establecida la conexión a Internet, se establece la hora actual s través de un servidor NTP.

Cada vez que se pulse el botón FLASH, realizará una petición autenticada por el SHA204A al servicio web configurado.


Para probar la conexión al servicio web se puede utilizar un simple Script en BASH que simula el cálculo de la firma tal y como lo haría el ATSHA204A y realiza al petición web.

Tanto este Shell Script, como el código Arduino para el módulo IoT, y el código en PHP del servicio web están publicados en este espacio de Github: https://github.com/latchdevel/crypto-iot

Con toda la información facilitada es posible deducir fácilmente el número de slot que ocupa la clave utilizada como ejemplo en el ATSHA204A. La primera persona que nos explique cómo en la Community de ElevenPaths, recibirá un módulo de evaluación Atmel CryptoAuthXplained. 


* Seguridad criptográfica en IoT (I)
* Seguridad criptográfica en IoT (II)
* Seguridad criptográfica en IoT (III)
* Seguridad criptográfica en IoT (IV)
* Seguridad criptográfica en IoT (V)
* Seguridad criptográfica en IoT (y VI)


Jorge Rivera
jorge.rivera@11paths.com

Qué hemos presentado en el Security Day 2016 (IV): MetaShield Protector para Outlook Online en Office 365

viernes, 17 de junio de 2016

Hasta ahora conocíamos soluciones que limpiaban los metadatos en tu cuenta de correo Outlook local de tu equipo windows, pero ¿qué pasaba con aquellos que cada vez más empezamos a usar Outlook online en Office 365? ¿Estamos abocados al abandono?

¿Cuantas veces nos hemos encontrado de viaje retocando archivos y reenviándolos desde nuestro Smartphone o Tablet asumiendo lamentablemente el riesgo que suponía enviarlos sin eliminar sus metadatos? O usando nuestro Mac o Linux, donde encontrar una solución que permitiese ayudarnos en prevenir la fuga de información parecía destinada exclusivamente a entornos Microsoft. Bien, por fin ya hay una solución para esto.



Hace unos días por fin se hacía pública la noticia en el Security Day, se presentaba a nivel mundial la única herramienta capaz de eliminar los metadatos sensibles de los archivos adjuntos a través de la cuenta de Office 365. Algo que muchos vamos a poder sacar partido ya que nos permite poder usarlo desde cualquier dispositivo que conecte con tu cuenta Office 365 por OWA o también desde local si se trata de un equipo Windows, eliminando definitivamente tener que correr riesgos innecesarios para nosotros, pero principalmente para la organización.



ElevenPaths, en su constante desarrollo de soluciones de seguridad ha creado este innovador complemento pensando principalmente en las empresas, cada vez más orientadas a la migración de sus entornos de correo a la nube.

Gracias a su distribución silenciosa por los buzones de la organización, se evita la intervención del usuario en su configuración. Es capaz de procesar las principales extensiones de archivos del mercado, facilitando la completa administración centralizada del tratamiento en la organización desde su exclusiva conexión a la Metashield Management Console (MMC).


Con la simple operativa, adjuntar y enviar, ponemos fin a un debate que excluía a los usuarios no Microsoft, que ahora si podrán hacer uso de una herramienta tan necesaria en el proceso de envíos de correo con archivos adjuntos.

Una pieza clave en los cada vez más populares entornos de correo online, un producto que fortalece nuestro compromiso por la seguridad, aportando un grado de confianza y seguridad por encima de los demás, que viene sin duda para quedarse definitivamente en nuestra filosofía de vida.


Próximamente iremos publicando el resto de la serie. ya podeis ver los en vídeo en el canal de YouTube del Security Day 2016 todas las veces que queráis. Si además, quieres o necesitas más información sobre alguno de nuestros productos no dudes en ponerte en contacto con nosotros vía el formulario de la web de ElevenPaths.

Os esperamos de nuevo en nuestro evento anual de innovación y seguridad. No te pierdas la cuarta edición del Security Innovation Day, que celebraremos el próximo 6 de octubre en el Auditorio Central de Telefónica. Apúntate esa fecha en el calendario, ¡no te lo puedes perder!

*También te puede interesar:
Security Day 2016_Security Evolution
ElevenPaths anunciamos nuestras nuevas alianzas estratégicas en nuestro III Security Day
ElevenPaths announced its new strategic alliances in the third Security Day
Qué hemos presentado en el Security Day 2016 (I)
Qué hemos presentado en el Security Day 2016 (II): “Unidos somos más fuertes”
Qué hemos presentado en el Security Day 2016 (III): Virtual Patching con Vamps, Faast & Fortinet
Qué hemos presentado en el Security Day 2016 (IV): MetaShield Protector para Outlook Online en Office 365
Qué hemos presentado en el Security Day 2016 (V): SandaS
Qué hemos presentado en el Security Day 2016 (VI): SandaS GRC

Más información en
elevenpaths.com

Antonio Bordón

Qué hemos presentado en el Security Day 2016 (III): Virtual Patching con Vamps, Faast & Fortinet

jueves, 16 de junio de 2016

Muchas organizaciones realizan revisiones puntuales de seguridad, obteniendo como resultado más probable un informe con evidencias que demuestren que ha sido posible acceder a los sistemas de información y se aporte unas recomendaciones sobre como mitigar las vulnerabilidades detectadas. Este informe parece el fin mismo del proceso, limitándose únicamente a la detección de vulnerabilidades, y no en la corrección de las mismas y que en muchas ocasiones solo se actúa sobre las que tienen un nivel de severidad.



Se actúa de esta forma fundamentalmente debido al coste que supone la propia gestión de la corrección de las vulnerabilidades: verificar la vulnerabilidad, abrir solicitudes de soporte a las áreas responsables, esperar el cierre de la solicitud y comprobar que la vulnerabilidad no es explotable. De este modo, ciertas debilidades de severidad baja, no son prioritarias en el proceso de corrección y en ocasiones no están siendo mitigadas. Si bien estas debilidades no suponen unos riesgos elevados por si solas, la combinación de varias podría poner en riesgo la organización.

Con el objetivo de poder reducir el tiempo de exposición de las debilidades detectadas, se puede emplear una estrategia de Virtual Patching como la que incorpora el servicio Vamps.

Virtual Patching, no es un término específico de aplicaciones web, y puede ser aplicado a otros protocolos sin embargo actualmente se utiliza de manera más general como un término para Web Application Firewalls (WAF), fundamentalmente por ser este tipo de aplicaciones las que generalmente se encuentran expuestas en Internet y suponen uno de los principales vectores de ataque.


Como paso inicial de esta estrategia de Virtual Patching, se ubica delante de nuestras aplicaciones web un sistema WAF, el cual es capaz de analizar las peticiones que reciben las aplicaciones e interceptar el tráfico malicioso, bloqueando los intentos de la explotación de vulnerabilidades y debilidades. De este modo se consigue reducir el tiempo de exposición de las vulnerabilidades ya que mientras que el código fuente o la configuración de la aplicación no han sido modificados, la mitigación de la vulnerabilidad está siendo realizada y no es explotable.

Los sistemas WAF son muy efectivos en el bloqueo de ataques Web como SQL-Injection o Cross-Site Scripting, aunque puede que existan “corner cases” en los que el WAF no aplique una protección o que para ciertas debilidades no disponga de una protección por defecto. Una práctica recomendable es lanzar un proceso Pentesting Persistente para la identificación de vulnerabilidades de forma continuada en el tiempo y comprobar si vulnerabilidades previamente reportadas ya no son explotables.

En este proceso, las nuevas vulnerabilidades descubiertas, se verifican por un equipo experto que descarta posibles falsos positivos que pudieran bloquear tráfico legítimo.

Una vez se dispone del conjunto de vulnerabilidades descubiertas, se gestiona la corrección de las mismas y que generalmente conlleva bastante esfuerzo, al tener que enviar a las diferentes áreas responsables y esperar a la aplicación del parche.


Sin embargo, para lograr una mitigación ágil, lo mas sencillo es seleccionar un conjunto de vulnerabilidades y enviarlas a un sistema WAF, en el que se combinan los patrones de ataque de las vulnerabilidades encontradas con el perfil de protección, aumentando la efectividad de protección frente a los ataques identificados.

Por último, y no menos importante, es necesario volver a lanzar un análisis de seguridad para asegurar que la protección WAF es consistente y protege frente a los patrones de ataque identificados. Con el Pentesting Persistente al ser continuo, la protección del WAF es evaluada tan pronto se aplica la política, logrando una reducción drástica del tiempo de exposición de las vulnerabilidades y debilidades detectadas.

Próximamente iremos publicando el resto de la serie. ya podeis ver los en vídeo en el canal de YouTube del Security Day 2016 todas las veces que queráis. Si además, quieres o necesitas más información sobre alguno de nuestros productos no dudes en ponerte en contacto con nosotros vía el formulario de la web de ElevenPaths.

Os esperamos de nuevo en nuestro evento anual de innovación y seguridad. No te pierdas la cuarta edición del Security Innovation Day, que celebraremos el próximo 6 de octubre en el Auditorio Central de Telefónica. Apúntate esa fecha en el calendario, ¡no te lo puedes perder!

*También te puede interesar:
Security Day 2016_Security Evolution
ElevenPaths anunciamos nuestras nuevas alianzas estratégicas en nuestro III Security Day
ElevenPaths announced its new strategic alliances in the third Security Day
Qué hemos presentado en el Security Day 2016 (I)
Qué hemos presentado en el Security Day 2016 (II): “Unidos somos más fuertes”
Qué hemos presentado en el Security Day 2016 (III): Virtual Patching con Vamps, Faast & Fortinet
Qué hemos presentado en el Security Day 2016 (IV): MetaShield Protector para Outlook Online en Office 365
Qué hemos presentado en el Security Day 2016 (V): SandaS
Qué hemos presentado en el Security Day 2016 (VI): SandaS GRC

Víctor Mundilla

ElevenPaths and Fortinet form an alliance to offer managed security services

miércoles, 15 de junio de 2016


Agreement Extends 15 Year Relationship to Deliver Seamless and Adaptive Security from IoT to Cloud Networks

SUNNYVALE, Calif., June 15, 2016. – Telefonica (NYSE: VIV), one of the world’s leading providers of communications services and solutions, and Fortinet® (NASDAQ: FTNT), a global leader in high-performance cyber security solutions, today announced a strategic alliance agreement that will add Fortinet’s Security Fabric architecture into Telefonica’s portfolio of managed security services.

  • The agreement underscores Fortinet as a strategic security infrastructure partner to deliver solutions integrated with some of Telefonica’s key managed security services, which include, the CleanPipes service, ElevenPath’s Faast persistent pentesting and virtual patching solution, and ElevenPath’s Metashield Protector service.
  • Fortinet is the security infrastructure provider used for all Telefonica’s CleanPipes deployments worldwide today and will continue to be a part of the evolution of the service architecture.
  • Telefonica customers will benefit from the combination of Telefonica’s strategic security services and Fortinet’s Security Fabric, which delivers pervasive and adaptive cybersecurity from IoT to the cloud.
Security Without Compromise Designed to Provide Peace of Mind for Customers
Increasing awareness of the cybersecurity risks facing businesses, a security talent challenge, and growing compliance enforcement are prompting businesses of all sizes to migrate risk out of their IT departments and into the hands of professionals.

While technology trends like IoT and cloud computing are blurring the edges of the network today, Fortinet’s Security Fabric, combined with ElevenPaths’ products and security services from Telefonica enables customers to benefit from a scalable, broad threat protection solution without compromising agility or performance. Telefonica customers can leverage highly advanced hardware and software, enabling direct communication between security solutions for a unified and rapid response to threats. In addition, the Fortinet Security Fabric, powered by the FortiASIC content processor and FortiOS security operating system enables customers to implement internal segmentation and other innovative security strategies to deliver comprehensive threat protection across the expanding attack surface.

Telefonica’s comprehensive security approach leverages the services and technology that have gained them recognition as a security solutions thought leader. In-house innovations are combined with strategic partnerships to deliver a complete managed information security offering. This allows customers to achieve business-critical security objectives while keeping operating costs predictable and helping busy IT teams stay ahead of security issues.

Supporting Quotes:
Patrice Perche, senior executive vice president, Worldwide Sales and Support, Fortinet
“We have worked together with Telefonica for nearly 15 years. This successful partnership is the result of our shared goal – to provide the security technologies customers need to protect and grow their businesses. As Telefonica expands their coverage areas, network service offerings, and customer base, they need a security partner to help them still maintain high performance at scale without business disruption. Their extensive experience in security and communication networks, expert workforce and development of intelligence-driven managed security services means their customers are in safe hands.”

Pedro Pablo Pérez, ElevenPaths’ CEO and Telefonica Global Security Managing Director
“Our customers face a shortage in security talent today as well as stringent regulations and compliance requirements. This is compounded by an ever-changing cyber threat landscape. In order to succeed, they are turning to partners to help them implement the processes and technology required. A critical differentiation that Telefonica and Fortinet provide to customers is adaptive and intelligent security technology. Fortinet’s Security Fabric combined with Telefonica’s ElevenPaths products provides a cohesive, intelligent security offering that sees and protects distributed environments, which means they can build and enforce seamless and consistent security policy on local and cloud networks, or across advanced architectures.”

» Download Press Release

More information at
www.elevenpaths.com

ElevenPaths y Fortinet nos aliamos para ofrecer conjuntamente servicios de seguridad gestionada


El acuerdo amplía una relación de 15 años ofreciendo seguridad adaptativa y sin fisuras abarcando desde IoT a Redes Cloud

SUNNYVALE, Calif., junio 15, 2016. – Telefónica (NYSE: VIV), uno de los principales proveedores de soluciones y servicios de comunicaciones a nivel mundial y Fortinet® (NASDAQ: FTNT), líder global en soluciones de ciberseguridad de alto rendimiento, han anunciado hoy una alianza estratégica que añade la arquitectura Security Fabric de Fortinet a la cartera de servicios de seguridad gestionada de Telefónica.

  • El acuerdo confirma a Fortinet como socio estratégico de infraestructuras de seguridad para ofrecer soluciones integradas con algunos de los servicios clave de seguridad gestionada de Telefónica, incluyendo el servicio Redes Limpias, el servicio Faast de ElevenPaths de pruebas de pentesting persistente y aplicación de parches virtuales, y el servicio Metashield Protector de ElevenPaths.
  • Fortinet es el proveedor de infraestructura de seguridad utilizada para todos los despliegues de Redes Limpias de Telefónica a nivel mundial hoy en día, y seguirá siendo parte de la evolución de esta arquitectura.
  • Los clientes de Telefónica se beneficiarán de la combinación de servicios de seguridad estratégica de Telefónica y de Fortinet Security Fabric, que proporciona ciberseguridad integral y adaptativa desde IoT hasta la cloud.
Seguridad sin compromiso diseñada para proporcionar tranquilidad a los clientes
El aumento de la concienciación sobre los riesgos de ciberseguridad a los que se enfrentan las empresas, un desafío a las capacidades de seguridad, y los requisitos crecientes de cumplimiento de la normativa de seguridad están impulsando a empresas de todo tipo a transferir el riesgo fuera de sus departamentos de IT y dejarlo en manos de profesionales.

Aunque las tendencias tecnológicas como el IoT y el cloud computing están difuminando las fronteras de la red hoy en día, Fortinet Security Fabric, combinado con los productos y servicios de seguridad de ElevenPaths (Telefónica) permite a los clientes entrelazar una solución escalable de protección contra un amplio número de amenazas, y conseguir una infraestructura de seguridad eficaz, sin fisuras, sin comprometer agilidad o rendimiento. Además, los clientes de Telefónica pueden aprovecharse de un hardware y software avanzado que permite la comunicación directa entre las soluciones de seguridad para una respuesta a las amenazas rápida y unificada. Además, Fortinet Security Fabric, impulsado por el procesador de contenido FortiASIC y el sistema operativo de seguridad FortiOS, permite a los clientes implementar segmentación interna, así como otras innovadoras estrategias de seguridad que proporcionan una protección integral contra amenazas a lo largo de la creciente superficie de ataque.

El enfoque de seguridad integral de Telefónica se apoya en los servicios y tecnologías que le han aportado el reconocimiento como autoridad en soluciones de seguridad. La combinación de innovaciones in-house con alianzas estratégicas proporciona una completa oferta de seguridad de la información gestionada. Esto permite a los clientes alcanzar objetivos de seguridad críticos para el negocio, manteniendo unos costes de operación previsibles y ayudando a que los equipos de TI, normalmente saturados, vayan por delante de los problemas de seguridad.

Citas de apoyo:
Patrice Perche, Vicepresidente Senior de ventas y soporte internacional de Fortinet
"Hemos trabajado junto con Telefónica durante casi 15 años. Esta exitosa alianza es el resultado de nuestro objetivo común - proporcionar las tecnologías de seguridad que los clientes necesitan para proteger y hacer crecer sus negocios. Telefónica está ampliando sus áreas de cobertura, ofertas de servicios de red y base de clientes y necesita un socio de seguridad para ayudarle a mantener un alto rendimiento escalado sin interrupción del negocio. Su amplia experiencia en seguridad y redes de comunicación, su personal experto y el desarrollo de servicios de seguridad gestionada basada en inteligencia, hace que sus clientes estén en buenas manos".

Pedro Pablo Pérez, CEO de ElevenPaths y Telefonica Global Security Managing Director
"Hoy en día nuestros clientes se enfrentan a una escasez de talento en el ámbito de la seguridad, así como a estrictas regulaciones y requisitos de cumplimiento normativo. Todo esto se agrava debido a un entorno de ciberamenazas en constante cambio. Para tener éxito, nuestros clientes necesitan recurrir a socios que les ayuden a implementar los procesos y la tecnología necesaria. Una diferenciación crítica que Telefónica y Fortinet proporcionan a sus clientes, es la tecnología de seguridad adaptativa e inteligente. Fortinet Security Fabric, en combinación con productos de ElevenPaths de Telefónica, ofrece una seguridad integral e inteligente que contempla y protege entornos distribuidos, con lo que pueden construir y aplicar una política de seguridad consistente y sin fisuras tanto en entornos de red local como cloud, o sobre arquitecturas avanzadas."

» Descargar nota de prensa

Más información en
www.elevenpaths.com

Eleven Paths Talks: La integración de IoT con un sistema de firma digital

martes, 14 de junio de 2016

 

 
El próximo Jueves 16 de Junio nuestro compañero Jorge Rivera impartirá una charla sobre los usos de SealSign en el mundo IoT. El qué es, los conceptos que lo engloban y cómo se puede sacar el máximo provecho desde el punto de vista de la Ciberseguridad y el IoT. En el mundo del IoT (Internet Of Things) vemos la evolución de la tecnología en su máximo esplendor, tan rápida e impresionante que muchas veces aceptamos su incorporación a nuestras vidas tal como viene, sin seguridad en la mayoría de los casos.

El sólo hecho de encontrarnos con dispositivos IoT por todos lados hace que nos acostumbremos a aceptar ciertas “premisas” casi sin cuestionamiento, como por ejemplo: "es un dispositivo cerrado, no podemos hacer mucho” o bien “el poder de procesamiento y su memoria es limitada, si le agregamos capas de seguridad se hará más lento e inestable”. También os recomendamos el listado de charlas que nuestros compañeros CSA han ido impartiendo en Eleven Paths.



La duración de la charla de Jorge será de unos 30 minutos, divididos entre 20 y 25 minutos de exposición y de 5 a 10 minutos de preguntas y respuestas. El horario de la charla serán las 15.30  (hora España). La charla estará disponible al termina ésta en nuestro canal de YouTube. La ponencia se llevará a cabo por Hangout. La sesión se impartirá en castellano.
 
Os esperamos para que nuestro CSA nos demuestre una vez más que la seguridad puede incorporarse, que el equilibrio es posible, tal como lo hizo en su charla de Latch en IoT. En esta oportunidad, Jorge nos hablará de cómo es posible integrar un dispositivo IoT con un sistema de firma digital y así agregar una capa de seguridad adicional y efectiva a lo que el fabricante haya pensado.

Si quieres saber más acerca del tema, no dudes en pasarte por nuestra Community, dónde nuestros compañeros hablan sobre éste y otros temas de interés en el mundo de la Seguridad. Puedes mirar el calendario de talks para ver las que aún quedan por celebrarse. Recuerda, tienes una cita el próximo 16 de Junio en horario de 15.30 (hora España). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks.


Un kit de exploits de masas que puede eludir EMET: ¿hora de preocuparse?

lunes, 13 de junio de 2016

FireEye ha hecho un buen descubrimiento: algunos exploits de Angler pueden eludir algunas de las defensas introducidas por EMET. Al margen de los detalles técnicos (que repasaremos) la aparición de estas fórmulas en un kit de exploits de masas plantea teorías interesantes.

EMET de Microsoft es una herramienta que actúa en una de las fases críticas del aprovechamiento de vulnerabilidades que habitualmente acaban en infección con malware: las técnicas de explotación y salto de medidas de seguridad. Es una solución más eficaz porque en esta etapa del ataque, las posibilidades de un atacante están limitadas, mientras que el abanico a la hora de aprovechar vulnerabilidades nuevas o viejas o de hacer que el malware pase desapercibido, es de un ancho infinito y cualquier defensa juega en desventaja. Sin embargo, las técnicas de exploiting son relativamente pocas y conocidas. EMET juega con el concepto de intentar detectar que se está haciendo uso de estas técnicas (unas decenas) y evitar que el exploit llegue a lanzar el payload. De ahí que sea una herramienta fundamental, que no depende de firmas, parches, actualizaciones… muy rara vez aparecen nuevas fórmulas de exploiting para lanzar payloads, y solo de vez en cuando métodos para eludir todo EMET en sí mismo. No estamos ante ninguno de los dos casos, puesto que las técnicas ya son conocidas, es solo que no es habitual verlas "ahí fuera".

Veamos los detalles técnicos. 

Configuración de EMET
 
Angler elude DEP

Lo que ha detectado FireEye es que Angler está eludiendo DEP. Eso se hace desde siempre porque DEP viene activo por defecto en el sistema y lo aprovechan los programas que suelen ser explotados. Desde el punto de vista del atacante, desactivar DEP consiste fundamentalmente en llamar a VirtualProtect y VirtualAlloc marcando la página como de ejecución. Pero para hacerlo, normalmente se utilizan técnicas muy maduras y eficaces de ROP. Sin embargo, Angler innova. Llama directamente a las rutinas VirtualProtect y VirtualAlloc dentro de Flash.ocx y Coreclr.dll (de SilverLight). Eluden DEP y la detección de técnicas ROP que heurísticamente intenta detectar EMET, simplemente porque no las usan. Lo cierto es que esto es interesante, pero no "preocupante". DEP no es lo más difícil de eludir para un atacante. ASLR suele ser más complicado. EMET todavía tendría la capacidad de "cazarlo".

¿Pero dónde está VirtualProtect? EAF y EAF+

Para eludir ASLR, el shellcode normalmente accede a la Export Table de una librería e intenta resolver la dirección de las API, habitualmente GetProcAddress. Export Address Table Filtering (EAF) y EAF+ son técnicas de EMET que pretenden filtrar ese acceso, para que no cualquiera pueda llegar a una DLL y pedir la dirección de esas funciones necesarias para ejecutar el código. Pero existe un truco: acceder a la Import Table de una librería que se importe en cada proceso. Y ese es el caso de user32.dll, que a su vez es el caso que utiliza Angler. Es importante destacar que esto ya se conocía como método para eludir EMET, y como método general de exploiting desde hace años. Es más, el propio Microsoft avisa en general de que EAF es un método de protección "débil" por sí mismo. Angler usa este truco en un exploit de Silverlight, no protegido por EAF+. Pero con Flash es diferente, porque queda protegido por EAF y EAF+. EAF+ es exactamente lo mismo que EAF pero con una lista negra de librerías predefinida y solo en Internet Explorer (aunque todo es configurable). Flash.ocx está en la lista negra, por tanto al atacante no le vale con eludir EAF con las múltiples técnicas conocidas, sino que para explotar esa librería, necesitaría no estar en la lista negra… u otra técnica. Así que usa igualmente la Import Table de Flash.ocx (del que ya conoce la base) y, a partir de kernel32.dll, localiza VirtualAlloc y otras APIs para el resto del ataque, eludiendo EAF+.

Configuración de EAF+ en EMET, la lista negra de dlls a las que no se le puede sacar la tabla de exportación


Luego lanza el código de TeslaCrypt en este caso, y si utiliza infección "Fileless" (que evita almacenar nada en disco) se las ingenia para crear un proceso fuera del radar de EMET.

Conclusiones

En resumen, esto se trata de un excelente trabajo en exploiting con técnicas interesantes. Los matices y reflexiones que podemos extraer son varios. El hecho de que técnicas de exploiting muy avanzadas lleguen a un exploit kit de masas sí es preocupante, no el hecho de eludir EMET en sí mismo. EMET tiene sus limitaciones, aunque sea una herramienta más eficaz por definición (sus "enemigos" son menos) ha sufrido varios problemas de implementación y aplicación de técnicas fallidas que ya han sido descubiertas. Algunos problemas han sido subsanados y otros por definición, nunca podrán serlo. Además, a efectos prácticos y aunque no hay datos, parece que EMET no es una herramienta popular entre el usuario medio, así que el que se eluda en este kit, quizás no haga que se ganen muchas más víctimas.

Así que surge la duda: ¿por qué molestarse en sortear una barrera tan poco popular? Intentemos ver más allá. Hace poco Microsoft sugería (de forma un tanto controvertida) que muchas de las características de EMET ya venían incluidas en Windows 10, y que EMET no era necesario. Lo cierto es que es tan necesario que lo que está ocurriendo poco a poco es que el sistema operativo, de serie, incluye funcionalidades que se han ideado en un primero momento para EMET, y que está sirviendo como campo de pruebas.

Por tanto, lo que realmente puede revelar este descubrimiento es que los atacantes de masas están dando el siguiente paso. Igual que cuando apareció DEP activo por defecto en Windows XP en el verano de 2004 con el Service Pack 2, o como cuando en 2006 Windows Vista introdujo ASLR en el mundo Windows… Los atacantes tuvieron que comenzar a pelar contra nuevas barreras que ya venían "de serie" porque comenzaba a complicarse las técnicas pero tenían que seguir garantizando los niveles de infección. Algunos afirmaron que se les acabó el chollo, y que tendrían muy difícil la explotación… Pero los atacantes lo consiguieron y "normalizaron" el eludir DEP o ASRL en sus exploits. Así que a partir de de Windows 10 o su sucesor, quizás las mejoras contra el aprovechamiento de exploits de serie irán mejorando, pareciéndose probablemente a lo que hoy es EMET. Y estos pueden ser los primeros pasos que allanen el camino a los exploits kits del futuro contra lo que venga tras Windows 10. En concreto, contra Edge, que sí que mejora sustancialmente a Internet Explorer. Por último, solo recordar que esto se ha probado en Windows 7, con exploits para Flash y Silverlight, ambos bajo Internet Explorer de 32 bits. Windows 7 ya lleva un Internet Explorer desactualizado por definición porque se ha descontinuado, por tanto, su usuario tiene muchos otros problemas de los que preocuparse (entre otros, la amplia gama de vulnerabilidades que puede aprovechar el atacante para intentar lanzar esos exploits). Y por supuesto, recordad siempre que EMET no es perfecto, ni nada lo será nunca, pero es una herramienta imprescindible.

Sergio de los Santos
ssantos@11paths.com

Qué hemos presentado en el Security Day 2016 (II): “Unidos somos más fuertes”

jueves, 9 de junio de 2016

En el año 1968 el director de cine Stanley Kubrick terminó su película “2001: A Space Odyssey” basada en el cuento “El Centinela” del novelista Arthur C. Clarke, escrito en 1948 y publicado originalmente en la revista 10 Historias de Fantasía, en 1951. Yo tenía 8 años cuando se estrenó en Madrid en el Albéniz Cinerama, que estaba junto a la Puerta del Sol y, aunque no entendí casi nada del argumento, quedé fascinado por las imágenes, la música y especialmente por la supercomputadora que controlaba la nave: HAL 9000.

Hay quien dice que el nombre de HAL esconde una referencia a IBM pues está creado a partir de las 3 letras que son inmediatamente anteriores en el alfabeto. Kubrick decía que el nombre era un HAL 9000, cuyo nombre es un acrónimo en inglés de Heuristically Programmed Algorithmic Computer (Computador algorítmico heurísticamente programado).

HAL hablaba con una voz que me recuerda a la de los Cortana, Siri o Google Now que tenemos hoy dia y estaba omnipresente en la nave con una serie de ojos-cámara con una visual muy panóptica de color rojo (capaz de detectar por filtro cromático incluso los infrarrojos no perceptibles por los humanos). Yo no sé por qué al astronauta Bowman no se le ocurrió tapar con cinta adhesiva los ojos-cámara de HAL como hacemos nosotros hoy en día con las cámaras de nuestros portátiles.



HAL habla poco, pero cuando lo hace las palabras que usa son definitivas, por ejemplo:

HAL: “Siento interrumpir la fiesta, pero tenemos un problema”
Y esta sentencia viene al caso porque, siguiendo con el juego de las semejanzas, lo que tenemos ahora mismo en marcha con la Revolución Digital es una auténtica fiesta. Todas las compañías, en todos los sectores de actividad estamos volcados en nuestros procesos de transformación digital, una transformación que está eliminando barreras para la comunicación dentro de las empresas, con sus proveedores y, especialmente, con sus clientes. Todos los procesos, todas las operaciones y sistemas de negocio están siendo “digitalizados” tanto da si hablamos de comunicaciones, de servicios financieros, de suministro eléctrico o de agua o incluso de tráfico aéreo. Todo, todo está controlado por sistemas digitales y conectados.

Y como dice HAL “…tenemos un problema” y es que la gente disfruta de la fiesta digital confiando en que todo va a funcionar correctamente y así sucede normalmente pero …los sistemas digitales tienen brechas, brechas de seguridad que ponen en riesgo nuestro bonito estilo de vida digital.

Y esto es la que ha hecho que la Cyberseguridad sea hoy tan relevante en los medios, en el C-level, en los congresos de administración de las empresas, en el cine …no se trata de una “moda”, es una necesidad porque, sin intención de sonar apocalíptico, la realidad es que la ciberseguridad es lo que separa la confianza en el mundo digital del Caos.

HAL: ”Bueno, no creo que haya ninguna duda al respecto. Sólo puede atribuirse a un error humano”
HAL se sabía poseedor de una infalibilidad dogmática, los seres humanos inevitablemente cometemos. Y no sólo estamos sujetos al error sino que nuestra capacidad de computación está cada vez más lejana de lo que un simple ordenador portátil de 400 € es capaz de hacer. Esta disminución del coste computacional nos ha llevado a una situación en la que el coste de lanzar ataques automatizados está al alcance de cualquier adolescente mientras que las empresas, por otro lado, han hecho crecer sus infraestructuras de seguridad IT en un modelo de “aglomeración tecnológica” que funciona en silos gestionados por humanos que se ven forzados frecuentemente a manejar múltiples consolas y que se adapta mal al entorno actual de redes y perímetros amorfos donde se mezclan entornos corporativos con cloud computing, SaaS, movilidad, etc. Esto tiene un impacto sobre los responsables de gestión de la seguridad que cada vez tienen más difícil el control sobre los accesos y sobre los datos.

HAL: “Lo siento Dave. Me temo que no puedo hacer eso”
El programa de Alianzas Estratégicas que comenzamos hace un año en ElevenPaths se hizo a partir de la idea que da nombre a este bloque:

“UNIDOS SOMOS MÁS FUERTES”
Porque incluso HAL había cosas que no podía hacer (…o no estaba dispuesto a hacer) y sólo la colaboración entre todos incrementará nuestras fortalezas, mejorando nuestra capacidad para reparar las brechas y proteger mejor nuestro mundo digital. Y para ser más fuertes estamos trabajando con nuestros aliados, compañías líderes del mercado, avanzando en un modelo que permita gestionar el ciclo de la seguridad en un entorno de complejidad creciente como el actual.

Porque estar unidos significa avanzar juntos en un proceso que consta de 3 fases: 
1)      Compartición de información
2)      Integración de tecnologías y
3)      Automatización 

HAL: “Dave, esta conversación ya no tiene ningún sentido. Adios”
Y yo, como HAL, acabo este Post dando la bienvenida a los primeros ejemplos de soluciones para las que se ha seguido este proceso de Compartición – Integración tecnológica – Automatización.

1)      Limpieza de metadatos con Metashield via ICAP en Fortigate
2)      Parcheo virtual “en caliente” de vulnerabilidades en Fortiweb
3)      Automatización de Detección de Incidentes y generación automática de reglas en NGFW gracias a la integración de Sandas con RSA y Palo Alto. 

Bienvenidos a un futuro más seguro!

Anda que si Kubrick levantara la cabeza …

Este es sólo el segundo capítulo de todo lo que vimos en el Security Day. Próximamente iremos publicando el resto de la serie. ya podeis ver los en vídeo en el canal de YouTube del Security Day 2016 todas las veces que queráis. Si además, quieres o necesitas más información sobre alguno de nuestros productos no dudes en ponerte en contacto con nosotros vía el formulario de la web de ElevenPaths.

Os esperamos de nuevo en nuestro evento anual de innovación y seguridad. No te pierdas la cuarta edición del Security Innovation Day, que celebraremos el próximo 6 de octubre en el Auditorio Central de Telefónica. Apúntate esa fecha en el calendario, ¡no te lo puedes perder!

*También te puede interesar:
Security Day 2016_Security Evolution
ElevenPaths anunciamos nuestras nuevas alianzas estratégicas en nuestro III Security Day
ElevenPaths announced its new strategic alliances in the third Security Day
Qué hemos presentado en el Security Day 2016 (I)
Qué hemos presentado en el Security Day 2016 (II): “Unidos somos más fuertes”
Qué hemos presentado en el Security Day 2016 (III): Virtual Patching con Vamps, Faast & Fortinet
Qué hemos presentado en el Security Day 2016 (IV): MetaShield Protector para Outlook Online en Office 365
Qué hemos presentado en el Security Day 2016 (V): SandaS
Qué hemos presentado en el Security Day 2016 (VI): SandaS GRC

Francisco Ginel