Biohackers, biohackers everywhere

jueves, 29 de marzo de 2018

Así tal cual, últimamente ya no soy sólo yo. En muchos países, medios, conferencias, sitios web, etc. están hablando de biohacking. De hecho, nosotros también lo hemos hecho en un #11PathsTalks que, si aún no lo has visto, te recomiendo hacerlo. Pero, ¿qué es el biohacking?

Compuesto por las palabras “biología” y “hacking”, es una "práctica cuyo propósito es el acercamiento de la ciencia a la ciudadanía; trasladando los laboratorios de investigación a los garajes u hogares del público general(1)".

¿Cómo nos preparamos para la RSA Conference 2018?

miércoles, 28 de marzo de 2018

2018 es un año singular para nosotros. Volvemos a emprender la unión con la gran comunidad de la seguridad para combatir conjuntamente las amenazas venideras que acechan el sector. En ElevenPaths, hemos estado trabajando un nuevo enfoque de Telefónica y lo presentaremos oficialmente al mundo entero en el gran evento anual sobre seguridad, la RSA Conference.

Este evento se celebrará la semana del 16 al 20 de abril, en California (USA) y queremos contártelo desde allí, desde San Francisco, por eso te facilitamos toda la información que necesitas para que no te pierdas las novedades que presentaremos y los detalles de nuestra participación.

End-to-end cyber resilience imagen

Los autores de Wannacry también quieren sus Bitcoin Cash

martes, 27 de marzo de 2018

El 12 de mayo de 2017 fue un día que para muchos de nosotros no se nos olvidará fácilmente. WannaCry fue uno de los incidentes con mayor impacto en la opinión pública. Aprovechando la ya famosa vulnerabilidad EternalBlue, el programa malicioso consiguíó cifrar los archivos de miles de equipos pidiendo a cambio un rescate de 300 dólares en bitcoins. La pregunta es, ¿qué fue de estos rescates pagados por las víctimas?

El saldo de las direcciones
Las tres direcciones de Bitcoin identificadas consiguieron recaudar una cantidad superior a los 51 bitcoins (consultables aquí, aquí y aquí). A fecha de hoy, más de medio millón de dólares al cambio. Sin embargo, el diseño del sistema de cobro de los rescates era mejorable. La presentación de la misma dirección a diferentes víctimas complicaba a los atacantes discernir qué víctima había realizado el pago del dinero. Teniendo en cuenta que las transacciones de Bitcoin quedan registradas en la cadena de bloques de Bitcoin, las víctimas podían llegar a suplantar a otras víctimas que sí que habían pagado atribuyéndose una transacción en concreto.

En el caso de Bitcoin, la recomendación para quienes administran plataformas en las que se puede pagar por bienes o servicios en bitcoins es generar una dirección de pago única para cada cliente que quiere realizar una compra. De esta manera, es muy cómodo para el comercio verificar si un cliente ha realizado ya el pago en la cadena de bloques. Estas recomendaciones son también aplicables para el caso de Wannacry: a pesar de ser una extorsión, el modelo ideal habría pasado por generar una dirección diferente para cada usuario, lo que habría permitido al atacante contar con una sencilla tabla en la que asociar cada dirección de cobro a una clave de descifrado diferente.

¿Cómo trata (o tratará) Certificate Transparency la privacidad de los dominios?... Mal

lunes, 26 de marzo de 2018

Primero fue octubre de 2017 y después abril de 2018, aunque ahora parece que va en serio. En breves, Certificate Transparency será obligatorio en Chrome. ¿Están preparados los actores? Respuesta corta: no. Y algo muy importante no resuelto es qué ocurre con la privacidad de los dominios. Tema espinoso que intentamos aclarar.

Antes de empezar, recordad qué es eso de Certificate Transparency. Ya era improbable que estuvieran listos todos los "actores" para octubre. Lo confirmó la propia Google con la "patada hacia adelante" anunciada hasta abril de 2018. En la Rooted de Valencia de 2017, presentamos una investigación que analizaban todos estos aspectos que parecían justificar el "retraso". Y no solo eso, en esa investigación, conseguimos pasar desapercibidos para ciertos monitores de Certificate Transparency y "colarnos" en dos logs de confianza. Pero eso no era ni siquiera lo más relevante. Cabeceras como "Expect-CT" diseñadas para prepararse para octubre de 2017 y "entrenar" los certificados y escenarios, no fueron realmente puestas en producción hasta septiembre de ese mismo año… No es mucho margen cuando se supone que servían de entrenamiento para un evento que se lanzaría en octubre, ¿verdad? Igualmente, el código relativo a Certificate Transparency en Chrome parecía estar en desarrollo, con líneas que parecían más a una zona de DEBUG y funciones que siempre devuelven que todo está bien en las cabezas de los logs...


GDPR, la importancia de esta nueva normativa

jueves, 22 de marzo de 2018

GDPR: el futuro de los datos más allá del 25 de mayo

El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) es el marco jurídico armonizador del que, en materia de privacidad, nos hemos dotado los 28 estados miembros de la Unión Europea persiguiendo, cuanto menos, tres importantes objetivos:

DirtyTooth en el Mobile World Congress 2018

miércoles, 21 de marzo de 2018

El pasado 28 de febrero, tuve el honor de dar una charla en el MWC 2018, durante uno de los seminarios de la GSMA llamado “IoT Security And Drones – Creating a Connected And Secure Future”. En él, también participó Carlos Carazo (Global CTO de Telefónica) y otros ponentes como Ian Smith (IoT Security Lead), Apostolos Malatras (Network and Information Securtity Expert) y Kat Megas (Program Manager) entre otros.

Acceso al terminal y el backend de DirtyTooth durante la demo de funcionamiento imagen
Acceso al terminal y el backend de DirtyTooth durante la demo de funcionamiento

#CyberSecurityPulse: Olimpiada de PyeongChang: ¿Un nuevo ataque de falsa bandera?

martes, 20 de marzo de 2018

PyeongChang Un nuevo análisis de las muestras de malware identificadas en las pasadas olimpiadas de PyeongChang revela un intento deliberado de los atacantes de poner pistas falsas en cuanto a atribución se refiere, según investigadores. Días después del ataque a las redes de los Juegos Olímpicos de invierno, expertos de seguridad lo atribuyeron a rusos, iraníes, chinos y a grupos como Lazarus, un grupo relacionado con Corea del Norte. Sin embargo, expertos en seguridad ahora creen que un nuevo threat actor estaría sembrando cierta confusión entre aquellos que intentan asignar la atribución al ataque. "Quizás ningún otro malware ha tenido tantas hipótesis en cuanto a la atribución como el de las Olimpiadas", dijo Vitaly Kamluk, investigador de Kaspersky Lab y coautor de un informe publicado sobre los ataques. "Dada la reciente politización del ciberespacio, una atribución errónea podría tener graves consecuencias y los actores podrían empezar a tratar de manipular la opinión de la comunidad para influir en la agenda geopolítica".

Nuevos plugins para la FOCA: HaveIBeenPwned y SQLi

lunes, 19 de marzo de 2018

Desde la publicación de la Foca OpenSource, hemos recibido comentarios positivos sobre la iniciativa de liberarla. Muchos se encuentran entusiasmados por la idea de agregar plugins nuevos o mejorar los existentes. Presentamos, en esta ocasión, dos nuevos plugins para sacar aún más provecho a la FOCA.

En un trabajo conjunto entre el equipo del Laboratorio y el equipo de los CSAs, principalmente de la mano de José Sperk y Carlos Ávila, nos hemos puesto manos a la obra para mejorar un plugin que ha sido muy demandado: el de SQLinjection. Para ello, hemos decidido interactuar con una de las herramientas de hacking más utilizadas del mercado, el famoso SQLMap. A partir de esto, hemos avanzado en el desarrollo de un plugin que permite detectar y explotar vulnerabilidades de inyección de SQL en aplicaciones web, a través del uso del REST-JSON API de SQLMap pero desde un entorno gráfico bastante más amigable y conocido, como el de la FOCA.

ElevenPaths participa en la UMA Hackers Week V

viernes, 16 de marzo de 2018

Durante la semana del 19 de marzo, tendrá lugar en Málaga una nueva edición de la UMA Hackers Week, un evento gratuito y abierto al público para desarrolladores y apasionados de la seguridad informática, que se celebra como cada año en la Universidad de Málaga.



En los días del 19 al 22 de marzo, se desarrollarán numerosas ponencias y talleres sobre nuevas tecnologías, programación y sobre todo seguridad informática. Las charlas, talleres, conferencias y coloquios reúnen tanto a profesionales del sector como a miembros de la comunidad. En sus cuatro ediciones han contado ya con ponentes de alto nivel de compañías como Google, Microsoft o Telefónica, entre otros.

Protegiendo los Smarts Contracts

jueves, 15 de marzo de 2018

Ya hemos escrito en este blog, en distintas ocasiones, sobre temas como Blockchain, Bitcoins, Ethereum y Smart Contracts, e incluso hemos realizado un #11PathsTalks dedicado al tema. Son terminologías que todos los que estamos interesados en este sector conocemos. El concepto Smart Contracts seguramente sea el que menos hemos oído hablar, siendo un buen recurso a tener presente es el blog bit2me.

Los contratos inteligentes son, al fin y al cabo, programas que se ejecutan en el Blockchain. Sabiendo que una de las grandes bondades del Blockchain es su inmutabilidad (su fortaleza para que lo que se escriba no pueda ser alterado), no podemos dejar pasar una pregunta fundamental:

¿Qué sucedería si un programa que desarrollamos en Solidity para ejecutar en el Blockchain de Ethereum tuviera vulnerabilidades? Se supone que una vez puesto allí no puede ser modificado, ¿se puede hacer algo? O peor aún, ¿qué sucedería si alguna persona malintencionada detecta que nuestro Smart Contract posee vulnerabilidades y las aprovecha transfiriéndose Ethers o adueñándose de nuestro contrato?  ¿Se podrían volver atrás las transacciones?

Haciendo más fácil lo que parece difícil: la trazabilidad con blockchain de la cadena de suministro

martes, 13 de marzo de 2018

Discusiones sobre la tecnología de la cadena de bloques tienen una presencia cada vez mayor en nuestro entorno. Los nuevos casos de uso van acaparando cada vez más páginas de medios generalistas y muchos tienen la sensación de que quien no haya comenzado a definirlos parece que llega tarde. Sin embargo, muy poco tiempo después de que las organizaciones se lancen a invertir parte de sus recursos en ver cómo Blockchain puede ayudarles en determinados procesos de su negocio, comienzan las preguntas. 

Una de las típicas cuestiones que se formulan quienes empiezan a considerar la posibilidad de implantar la tecnología es la de tomar la decisión sobre optar por cadenas de bloques públicas o privadas. En el caso de que optemos por apoyarnos en una cadena de bloques pública, ¿tendremos capacidad para estimar correctamente el volumen de transacciones que realizaremos mientras dure el proyecto? ¿Qué implicaciones puede tener el incremento de las comisiones y la volatilidad de la divisa? Si, por contra, optamos por una cadena de bloques privada en la que tengamos más control sobre quién opera con ella, ¿qué tecnología podremos desplegar si tampoco tenemos muy claro para qué la vamos a necesitar? ¿Qué costes tienen las distintas alternativas y qué conllevan?

GDPR: retos más allá del 25 de mayo

lunes, 12 de marzo de 2018

Son pocas las ocasiones en las que una regulación experimenta un impacto tan profundo en los procesos internos de las organizaciones, como el que está teniendo la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos (GDPR, por sus siglas en inglés). Con el 25 de mayo a la vuelta de la esquina, las empresas se encuentran actualmente revisando y trabajando en la adecuación de procesos y sistemas desde esta nueva perspectiva regulatoria.

Nuevo Informe: Certificate Transparency Mining, hasta un 10% de mejora en la enumeración de subdominios "de calidad"

Pese a estar concebido como un mecanismo para el refuerzo de la seguridad durante la navegación web, Certificate Transparency proporciona unas capacidades laterales muy interesantes y diferentes respecto a su propósito original. Ese registro de certificados, que contiene un histórico del uso, periodos de validez y fechas de expiración, ofrece en realidad un conjunto de datos apto para diversos procesos de minería de datos.

Certificate Transparency imagen

Shadow Online, la herramienta que previene la filtración de documentos

viernes, 9 de marzo de 2018

Cuando me contaron por primera vez lo que hacía Shadow me quede sorprendido y mi mente retrocedió en el tiempo a la época colegial, cuando nos enseñaron las propiedades del jugo de limón para escribir mensajes secretos en trozos de papel y hacerlos salir a la luz con el calor de una llama. "El mundo de los espías y los agentes secretos" pensaba yo. Todo aquello era mucho más simple que la realidad, pero ya sentía que de alguna manera había tocado ese mundo por un momento.

Papel limo calor imagen

La colaboración es la "clave" para estar "seguro" de que podrás transformar tu negocio

jueves, 8 de marzo de 2018

Durante el año 1985, dos amigos (Joaquín Garrido y Vicente Ballester) con apenas 22 años, pero un gran espíritu emprendedor, decidieron constituir una empresa en la provincia de Alicante para dar servicio de TI a los clientes de la zona.

Hoy, 32 años después, esta empresa llamada Clave Informática (CLAVEi) se ha convertido en un proyecto consolidado donde trabajan más de 60 personas, y con una cartera de más de 3.000 clientes a los que ofrecen servicios de TI y de ciberseguridad.

En su búsqueda constante de las tecnologías y herramientas para dar el mejor servicio a sus clientes, CLAVEi se ha aliado con varias empresas líderes en áreas como el software de gestión, E-Commerce y el Big Data. Concientes de la importancia de la seguridad de la información, hace algunos años CLAVEi comenzó a prestar servicios de ciberseguridad con la puesta en marcha de un centro de operaciones de seguridad desde el que se monitoriza y opera la seguridad de sus clientes y se da respuesta a los posibles incidentes.

Día de la Mujer, la diversidad es cosa de tod@s

Hoy es el Día Internacional de la Mujer y, desde ElevenPaths, aportamos nuestro pequeño "granito de arena" con este artículo sobre diversidad.

Este día surge a finales del siglo XIX, en los comienzos del mundo industrializado, coincidiendo con un período de expansión, crecimiento de la población e ideologías radicales. No obstante, no fue hasta 1.945 cuando se firmó la Carta de las Naciones Unidas, el primer acuerdo internacional para afirmar el principio de la igualdad entre mujeres y hombres. Desde entonces, la ONU ha ayudado a mejorar la condición de las mujeres en todo el mundo.

En este contexto, queremos presentaros a varias mujeres, hackers y expertas de ElevenPaths, para que nos hablen de ellas y las reflexiones personales que hacen en este día de reflexión.

Todo lo que necesitas saber sobre ciberseguridad en la comunidad de ElevenPaths

miércoles, 7 de marzo de 2018

Desde ElevenPaths os invitamos a formar parte de nuestra comunidad, un sitio en el que enterarte de las últimas novedades y temas de actualidad en el mundo de la seguridad informática. Suscríbete y recibe noticias y sugerencias para realizar investigaciones, entérate de cuáles serán los próximos eventos sobre ciberseguridad y de qué sucedió en aquellos a los que no pudiste asistir. En nuestra community podrás acceder a multitud de contenido sobre código, información útil y casos de uso de nuestras herramientas. También, podrás compartir tus dudas o sugerencias a través de los comentarios y otros usuarios y nuestros expertos te contestarán. El objetivo de la comunidad es que todos sus usuarios puedan expandir sus conocimientos y ayudar a que otros también lo hagan.

Página principal de la comunidad de ElevenPaths imagen

#CyberSecurityPulse: El ataque DDoS más grande jamás visto afecta a GitHub

martes, 6 de marzo de 2018

Strava A finales de 2016 un ataque DDoS a DynDNS bloqueó las principales webs de Internet, como Twitter, Spotify o PayPal. De aquella se utilizó la botnet Mirai para poder aprovechar todo el ancho de banda de miles de dispositivos conectados a Internet. Sin embargo, el pasado miércoles 28 de febrero presenciamos el ataque DDoS más grande visto hasta ahora sobre la página web de GitHub alcanzando un récord de 1.35 Tbps y de 126.9 millones de paquetes por segundo.

Nueva herramienta: “Web browsers HSTS entries eraser”, nuestro módulo de post exploitation de Metasploit

lunes, 5 de marzo de 2018

Este módulo borra la base de datos HSTS/HPKP de los principales navegadores. Chrome, Firefox, Opera, Safari y wget en Windows, Linux y Mac. Esto permite a un atacante realizar un ataque de hombre en el medio una vez el objetivo ha sido comprometido. El módulo está disponible desde un módulo de post exploitation en el proyecto Metasploit.

Eventos y conferencias del mes de marzo que no puedes perderte

viernes, 2 de marzo de 2018

Eventos y conferencias del mes de marzo imagen

¿Preparados para las novedades de marzo? Un mes más, os traemos el listado de eventos, conferencias y ponencias en las que participan nuestros expertos y CSAs en todo el mundo. Algunos son online, otros presenciales, pero intentaremos tener todas las charlas disponibles en nuestro canal de YouTube.

(In)Seguridad en Aplicaciones Móviles PACS/DICOM

jueves, 1 de marzo de 2018

Con frecuencia nos hacemos análisis médicos. Toda la información que se produce como resultado tras estas pruebas, es almacenada en alguna infraestructura tecnológica de una empresa o en la nube, para luego ser utilizada por el médico y realizar un diagnostico, o por el usuario (paciente) para revisarla desde la palma de su mano. Acerca de esto, hemos estado revisando en otras entradas, sistemas de almacenamiento y transmisión de información médica y radiológica (PACS) y hemos evidenciado cómo ciertas vulnerabilidades pondrían en riesgo la información médica y análisis radiológicos de los usuarios.

Aplicaciones móviles para comunicación con Servidores PACS imagen
Aplicaciones móviles para comunicación con Servidores PACS