JlJmIhClBsr: La curiosa historia de cómo la NSA se delataba a sí misma con EternalBlue

lunes, 31 de julio de 2017

No hay error ni errata en el titular. Y tampoco vamos a hablar de las mismas teorías ya tan machacadas una y otra vez. La cadena de texto en el titular delata en cierta forma cómo creó la NSA el EternalBlue y cómo por extensión WannaCry introducía (probablemente sin querer) una especie de marca que hacía que ambos ataques pudieran haber sido detectados antes de producirse. Y a partir de ahí, una curiosa (por momentos paranoica) historia de una cadena de texto que pasó, de forma interesante como veremos, a convertirse una firma de red de tráfico malicioso.

Ya sabemos todos la historia de EternalBlue. Un exploit entre tantos (parcheado con MS17-10) muy potente de la NSA robado por ShadowBrokers y que sirvió como difusor de WannaCry. Pero no repitamos lo de siempre. EternalBlue es en realidad un fallo en la función SrvOs2FeaToNt del protocolo SMBv1 de Windows. El "kit" del exploit usado por la NSA se descubrió en forma de framework de trabajo en Python, que lanzaba ejecutables ya compilados. Había que utilizar (y retocar) el framework para usar el ataque. Nuestra compañera Sheila Berta ya lo hizo aquí. Uno de estos ejecutables era EternalBlue2.2.0.exe (4e80fa7d98c8e87facecdef0fc7de0d957d809e1). Un fallo que a través de una petición por SMBv1 a un Windows, permitía la ejecución de código. Días después de hacerse público el ejecutable, fue rápidamente analizado

Los 433 MHz y el Software Libre. Parte 3

viernes, 28 de julio de 2017

Antes de adentrarse en los proyectos de software, es conveniente considerar el hardware que será necesario, mínimo en muchos casos, pero imprescindible.

Hardware RF 433Mhz AM (ASK/OOK)
  • Receptor SDR-RTL. Aunque no es propiamente dicho un hardware específico para trabajar en la banda ISM de 433 MHz, su extrema versatilidad hace que sea posible de forma muy sencilla. Puede utilizarse cualquier receptor USB de TDT que cuente con un chipset compatible, existiendo controladores y software para sistemas Windows, Mac OS X, BSD, Linux (Raspberry incluido), e incluso para Android.


ElevenPaths Talks Special Edition: mASAPP, descubrimiento y análisis continuo sobre apps móviles

jueves, 27 de julio de 2017


Hoy a las 15:30h (CET) no te pierdas el especial talk sobre nuestra nueva plataforma mASAPP, desarrollada para el descubrimiento autónomo y análisis persistentes de la seguridad sobre aplicaciones móviles. En este talk presentado por nuestro CSA Claudio Caracciolo, nuestros expertos Víctor Mundilla y Álvaro Rodríguez cuentan cómo en la actualidad nadie pone en duda la importancia de las aplicaciones móviles dentro de la estrategia de canal de una organización. Los smartphones se han convertido en un apéndice más de nuestro cuerpo, nos despertamos y nos acostamos con ellos, y las organizaciones lo tienen claro: su marca, en forma de app, ha de estar posicionada dentro de esta nueva extensión biotecnológica. Los beneficios son incontables e incluso obvios, ¿pero alguien ha pensado en los posibles downsides?

Yaiza Rubio, la primera mujer hacker de España en participar en DefCON & BlackHat

miércoles, 26 de julio de 2017


Esta entrada tiene como protagonista a una de nuestras hackers favoritas Yaiza Rubio, del equipo de analistas de inteligencia de ElevenPaths. Licenciada en Ciencias de la Información y con tres masters (Análisis de Inteligencia, Logística y Economía de la Defensa, y Derecho Tecnológico y de las TIC), se ha convertido en una #mujerhacker referente en el mundo de la ciberseguridad. Comenzó a adentrarse en este sector junto a su compañero Félix Brezo, también analista de inteligencia de ElevenPaths, que conoció en el Máster de Análisis de Inteligencia. Ella trabajaba en ISDEFE, en la unidad de desarrollo de negocio de la industria española de defensa y seguridad, Félix en el laboratorio de seguridad de la Universidad de Deusto. De ahí llegaron a trabajar en el montaje de lo que actualmente es el servicio de CyberThreats de ElevenPaths. Después de esta aventura ahora se adentran en otra juntos, participando en las dos conferencias más importantes de ciberseguridad.

Entorno nube seguro con un Telco Cloud Provider

martes, 25 de julio de 2017


En la actualidad, nadie puede negar los importantes beneficios de la computación en la nube, tanto en su modalidad de infraestructura como servicio (IaaS) como en software como servicio (SaaS). La computación en la nube implica ahorro de costes, flexibilidad a la hora de satisfacer las necesidades de las organizaciones e innovación. En suma, es un factor fundamental en la transformación digital corporativa. Sin embargo, los entornos en la nube conllevan un cierto nivel de complejidad a la hora de gestionar la seguridad TI, debido a que las organizaciones delegan en terceros la responsabilidad del almacenamiento y control de datos sensibles. A lo largo de este artículo, se identificará los retos de la seguridad en la nube y en consecuencia se propondrá un modelo de seguridad, de acuerdo a la perspectiva de un Telco Cloud Provider, para facilitar y asegurar el viaje hacia el entorno en la nube.

Blockchain VI. Blockchain hasta en la sopa, una paradoja

lunes, 24 de julio de 2017

Tras esta serie de entradas, quizás podemos concluir que blockchain es una tecnología revolucionaria. Pero no hemos enumerado simplemente sus virtudes, su esencia criptográfica y su robustez… sino que hemos comprobado cómo ha sido fundamental el conocimiento y el ingenio humano para escoger sabiamente ese aparente santo grial. La imaginación y la resolución humana han sido las que verdaderamente han encontrado los casos de mayor éxito del blockchain, tanto para bien como para mal. En esta entrada repasaremos algunos proyectos montados sobre blockchain que demuestran la versatilidad y capacidad de aplicación de la cadena de bloques.

ElevenPath y Subex firmamos un acuerdo marco global para proporcionar una solución disruptiva anti- fraude

sábado, 22 de julio de 2017


Hoy en día, en el proceso de transformación digital, las organizaciones se enfrentan a amenazas emergentes y nuevos fraudes, razón por la cual los clientes están demandando soluciones proactivas de gestión de fraude en tiempo real. Bajo este contexto, hoy anunciamos el nuevo acuerdo de colaboración marco global con Subex, proveedor líder de soluciones analíticas de comunicaciones, con el objetivo de ofrecer una solución de gestión de fraude (FMaaS).

Este nuevo acuerdo con Subex dará lugar a la nueva solución tecnológica "Telefónica FMaaS Powered by Subex" para proteger contra un amplio conjunto de riesgos y amenazas digitales, junto con una biblioteca de procesos de detección de fraudes. La solución aborda el fraude de suscripción, el fraude interno, el fraude en servicios de tarificación adicional (Premium Rate Service Fraud – PRS Fraud) y el fraude internacional de coparticipación (International Revenue Share Fraud – IRSF), entre otros. Además, la tecnología de gestión de fraude de ROC desplegada por Subex ofrecerá la capacidad de implementar procesos, técnicas y estrategias de detección enfocados en el cliente y aplicado a las necesidades particulares de cada sitio.

Los 433 MHz y el software libre. Parte 2.

viernes, 21 de julio de 2017

Las bandas ISM
El UTI-R define varias bandas de frecuencias para usos no comerciales, conocidas como bandas ISM por la siglas en inglés de “Industrial, Científico y Médico”, con fines industriales, científicos, médicos, domésticos o similares, las cuales no requieren de una licencia para su uso, denominándose “sin licencia” o en inglés “license-free”; lo que no significa que se puedan utilizar libremente, ya que siguen estando fuertemente regladas, tanto a nivel técnico, como en sus condiciones de uso.

Principales bandas ISM reguladas internacionalmente

De forma adicional a las bandas ISM, y a instancias del UTI-R, los organismos reguladores definen muchas otras bandas de frecuencias para otros usos “no licenciados”, como por ejemplo:

ElevenPaths Talks: Diferencias entre NOC, SOC y CiberSOC

jueves, 20 de julio de 2017


Presentamos este webinar en el que nuestros CSAs Pablo San Emeterio y Gabriel Bergel, junto a un invitado especial, hablarán sobre NOC, SOC y CiberSoc, y se centrarán en aclarar cuestiones como qué diferencias hay entre ellas, cuáles son sus funciones y objetivos, y la mejor forma de evaluarlas. 

ElevenPaths es Aliado Tecnológico de Fortinet

martes, 18 de julio de 2017

Integraciones con Vamps y Metashield

Fortinet es Partner Estratégico de ElevenPaths, la unidad de ciberseguridad de Telefónica, con más de 15 años trabajando juntos, y en Junio 2016 reforzamos esa alianza estratégica incorporando la arquitectura Security Fabric de Fortinet para ofrecer soluciones integradas con algunos de los servicios clave de seguridad gestionada de Telefónica.

Redes más seguras con Machine Learning: Una prueba de concepto

lunes, 17 de julio de 2017

Las tecnologías de Machine Learning (ML) pueden aportar (y aportan) mucho valor al mundo de la seguridad. Una de las aplicaciones directas conocidas de estas técnicas es la detección de anomalías de tráfico de red. Hacen referencia a comportamientos no esperables de acuerdo al funcionamiento habitual de la red. Por ejemplo, situaciones en las que se genere gran cantidad de tráfico repentino o muy diferente al habitual. El arte de estas técnicas consiste precisamente en determinar qué es diferente, habitual y disponer de los mecanismos adecuados para detectarlo. En el gráfico se puede ver un ejemplo simple en el que se representa el número de flujos recibidos en un determinado momento. En rojo se señalan picos que representan anomalías en el tráfico de la red.


Los 433 MHz y el software libre. Parte 1.

viernes, 14 de julio de 2017

Los sistemas de Radiofrecuencia y la Seguridad han mantenido siempre una discreta relación, aunque recientemente está adquiriendo un elevado protagonismo gracias a la proliferación de dispositivos IoT y Domóticos, que utilizan múltiples vías de comunicación hasta ahora inadvertidas.

Esta situación quedó de manifiesto durante la conferencia de Seguridad RootedCON de 2016; en la ponencia de Raúl Siles, “La Cena de los IdoTas”. Se abordaban diferentes cuestiones de seguridad entorno a dispositivos IoT Domóticos dotados de diversas conexiones inalámbricas.

Raúl hizo hincapié en las nuevas amenazas que acechan a los sistemas que trabajaban en las “bandas Sub-Gigahercio”, es decir, cuya frecuencia es inferior a 1000 MHz.

Realizó una demostración en la que capturaba señales emitidas por mandos de radiocontrol de interruptores y luces domésticas en la frecuencia de 433 MHz, analizaba el protocolo, y posteriormente conseguía volver emitir las señales adecuadas para manejar los dispositivos a su antojo. Con este sencillo ejemplo se evidenciaba la ausencia de medidas de seguridad en muchas de las aplicaciones que hacen uso de esta banda.

Hidden Networks: Detectando redes ocultas con los dispositivos USB

miércoles, 12 de julio de 2017

<

Llevamos un tiempo en ElevenPaths investigando un tema relacionada con la seguridad corporativa y las redes ocultas que se crean dentro de las organizaciones. Cuando un departamento de IT controla y gestiona las redes que conforman la red corporativa suelen olvidar lo que se denomina redes ocultas. Este tipo de redes son creadas entre los empleados que utilizan los dispositivos USB como medio para intercambiar información.

Qué hemos presentado en Security Day (X): Startups y emprendedores en ciberseguridad como CounterCraft

martes, 11 de julio de 2017

Los emprendedores son esas personas, que a veces no parecen de este mundo pero que sin embargo han cambiado y continúan cambiando nuestro mundo innovando para cambiar los modelos de negocio a través de las nuevas tecnologías.

Esta innovación por ser disruptiva y novedosa, requiere de un tiempo de maduración para ser aceptada por los mercados y demostrar su utilidad. El mundo de la seguridad, al igual que otros sectores, necesita de esta innovación y por ello desde Telefónica queremos dar el apoyo que necesitan a través de iniciativas como Wayra y Open Future.


Innovación y laboratorio de ElevenPaths participa en el proyecto AMBER (“enhAnced Mobile BiomEtRics”)

lunes, 10 de julio de 2017

ElevenPaths participa en el proyecto AMBER ("enhAnced Mobile BiomEtRics") desde el 1 de enero de 2017 como socio industrial. AMBER pertenece a la Red de Formación Innovadora (Innovative Training Network) Marie Skłodowska-Curie con Número de Acuerdo 675087, abordando una serie de retos y necesidades relativas a las soluciones biométricas en dispositivos móviles. Este proyecto concluirá el 31 de diciembre de 2020 y hasta entonces liderará el entrenamiento y la formación de la siguiente generación de investigadores en el área de la biometría. Ayudará a acomodar sus actividades científicas tanto para cumplir con los objetivos académicos como para satisfacer los requisitos industriales y profesionales del mercado actual.


Qué hemos presentado en Security Day 2017 (IX): Technology Experience sobre ciberincidentes como WannaCry

viernes, 7 de julio de 2017

En nuestro Security Day 2017 tuvo lugar una mesa redonda sobre experiencias de diversas empresas españolas en el ámbito de la gestión de ciberincidentes, aprovechando el caso de análisis del reciente incidente de seguridad con Wannacry.

En la mesa intervinieron Jose Antonio Sánchez, CTO de Viesgo; Jesús Milán, CISO de LiberBank; Juan Cobo, CISO Global de Ferrovial; y Enrique Rubio-Manzanares, CISO de Evo Bank. La mesa fue moderada por Alejandro Becerra, CISO Global de Telefonica.

"

ElevenPaths Talks: PinPay y seguridad en micro pagos

jueves, 6 de julio de 2017



Nuestros CSAs Jorge Rivera y Pablo San Emeterio, junto a un invitado especial, profundizan en este webinar sobre el significado de los micro pagos y en cómo afecta a la seguridad del proceso de pago.

Cada vez son más las personas que se suman a hacer pequeñas transacciones online con su SmartPhone. Estas nuevas formas se están empezando a desplegar por todos los países y casi todas las empresas de la industria de las tarjetas de crédito están implementando o analizando soluciones similares que apuntar a bancarizar y trabajar con estas transferencias instantáneas.

Las mayores fugas de datos de la historia reciente

miércoles, 5 de julio de 2017

La fuga de información o data breaches que han sufrido diferentes empresas y organizaciones, tanto si ocurren desde dentro (los llamados inside jobs) o desde fuera (ejecutada por atacantes externos), ha ido creciendo en número con el paso del tiempo. Estos ataques suelen tener como objetivo agencias del gobierno, páginas sociales, páginas de citas, venta online, bancos y sitios que gestionan temas relacionados con la salud.


La información tiende a estar almacenada cada vez más en servicios online tipo nube con los riesgos que esto conlleva. El riesgo de fuga de datos aumenta cada día ya que cada vez más aparecen vulnerabilidades y técnicas de ataque que permiten explotar fallos que pueden suponer un acceso no autorizado a la información almacenada en sus servidores.

Agenda de eventos en julio para estar al día en Seguridad Informática

martes, 4 de julio de 2017

Hola hackers! El mes de julio llega cargados de eventos de seguridad, tecnología y hacking en los que desde ElevenPaths participaremos con diferentes charlas y ponencias:

Nueva herramienta: PySCTChecker

lunes, 3 de julio de 2017

Esta nueva herramienta es un script "quick and dirty" que permite comprobar si un dominio implementa correctamente Certificate Transparency. Además, si lo implementa, es posible comprobar si lo hace correctamente en el lado del servidor.

Cuando un servidor implementa Certificate Transparency, debe ofrecer al menos un SCT (una prueba de la inclusión del certificado TLS del servidor en un log de transparencia.

El servidor puede ofrecer el un SCT por tres diferentes vías:
  • Incrustado en el certificado
  • Como una extensión TLS
  • Vía OCSP Stapling