Acelerando la ciberseguridad europea entre el Reino Unido y Telefónica (Wayra) – Parte 2 de 2

jueves, 19 de abril de 2018

En la primera parte de este artículo conocimos un poco de la historia del GCHQ y su fundación, como está organizado y la ubicación de sus oficinas centrales. Mencionamos la creación del programa GCHQ Cyber Accelerator que ya está en su segunda edición y los nombres de las 9 startups seleccionadas que están actualmente siendo aceleradas.

En esta segunda parte conoceremos un poco más de estas afortunadas startups seleccionadas entre cientos de candidatos y las innovadoras soluciones que proponen:

Cybershield
Una interesante solución que ayuda a detectar phishing y spear phishing directamente desde el correo electrónico utilizando para ello algoritmos basados en inteligencia artificial y que cambia el color de la línea de asunto del correo electrónico a verde, amarillo o rojo dependiendo de la amenaza. 

El sistema se instala en el servidor de correo electrónico de la empresa, no produce interrupción del servicio, requiere poca formación y no envía ninguna información fuera de los sistemas de correo de la empresa. Un refuerzo que ayuda a la educación y la conciencia del usuario en lo relacionado con la protección contra malware.

Imagen del cuartel general del GCHQ

#CyberSecurityPulse: De los bug bounties (tradicionales) a los data abuse bounties

martes, 17 de abril de 2018

social networks image Los grandes de internet están sufriendo lo suyo para ser transparentes con la comunicación sobre la recolección de información que están realizando de sus usuarios. En este sentido, para miniminar el riesgo de ser objeto de determinados ataques, en el caso de Facebook, éste paga millones de dólares cada año a investigadores y a bug hunters para que detecten fallos de seguridad en sus productos e infraestructura, pero tras el escándalo de Cambridge Analytica, la compañía ha lanzado un nuevo tipo bug bounty para recompensar a aquellos que denuncien el "abuso de datos" en su plataforma. A través de su nuevo programa "Data Abuse Bounty", Facebook pediría a terceros que le ayudasen a encontrar desarrolladores de aplicaciones que estén haciendo un mal uso de sus datos. "Ciertos actores pueden recopilar y abusar de forma maliciosa de los datos de los usuarios de Facebook incluso cuando no existen vulnerabilidades de seguridad. Este programa tiene la intención de protegernos contra ese abuso", según la publicación hecha por la compañía.

Análisis técnico de las fases de Cobalt, la pesadilla para la red interna de un banco

lunes, 16 de abril de 2018

Hace algunos días, un actor relevante del grupo de atacantes conocido como Cobalt/Carbanak (o incluso FIN7 para algunos) fue detenido en Alicante. Este grupo ha estado relacionado con distintas campañas contra instituciones bancarias que han provocado unas pérdidas sustanciosas mediante transferencias y retiradas fraudulentas de efectivo en cajeros automáticos. Vamos a ver algunos detalles técnicos del modus operandi de la última oleada, cómo funciona y algunas ideas sobre cómo mitigar el impacto dado el caso.

El objetivo del grupo es el acceso a la infraestructura de la entidad financiera para conseguir el compromiso de los cajeros automáticos y retirar fraudulentamente de efectivo. Aunque parezca ciencia ficción, se hacen con el control de la red de cajeros hasta el punto de que pueden hacer que a una hora concreta, comience a soltar todo el efectivo que contiene. Basta con que el "mulero" se encuentre en ese momento frente al cajero para que el golpe se haga realidad. Más que en el análisis de la muestra, nos detendremos en los aspectos más interesantes de las fases del ataque.

DirtyTooth se hace mayor con un nueva página en Wikipedia

domingo, 15 de abril de 2018

En el año 2017, allá por el mes de marzo, se presentaba en el congreso de seguridad informática Rooted CON un hack que permitía extraer información como contactos y llamadas de un dispositivo iOS que se conectaba a un dispositivo Bluetooth. Este hack fue denominado por el Chairman de ElevenPaths, Chema Alonso, como DirtyTooth. Era un hack sencillo, pero muy potente, y con muy poco tiempo lo preparamos para que cualquiera pudiera tenerlo en su Raspberry y probar e investigar sobre el asunto. Este hack para todos fue llevado a BlackHat Europa 2017.

Hoy, tengo el placer de saludar y dar la bienvenida a las páginas de Dirtytooth en la Wikipedia. Personalmente, esto es algo que nos hace especial ilusión, ver cómo lo que comenzó siendo una idea loca y una prueba de concepto (PoC) se tradujo en algo que Apple decidió “tapar” para mejorar la experiencia de uso del usuario y su seguridad/ privacidad.

Conectándonos al mundo (Parte 2)

jueves, 12 de abril de 2018

La primera pregunta que nos surgiría sería: ¿Realizar un penetration test a nuestra API Rest es lo mismo que hacer un penetration test a nuestra aplicación web?

Cuando hablamos de un penetration test o prueba de seguridad a la aplicación web se entiende que este tipo de pruebas a nuestra API Rest estarán incluidas en el alcance de la misma. Pero, cuando nos adentramos en este mundo de la seguridad en las API nos damos cuenta de que la mayoría de las aplicaciones que suele utilizar un pentester dentro del penetration test, no cubre todo el espectro de las vulnerabilidades que podría tener un API Rest en si mismo. Es por ello, que, muy probablemente, en algunos puntos, tendrán que realizar pruebas manuales y con el tiempo, generarán sus propios scripts.

Si tratamos de identificar una metodología de testing, podríamos reutilizar cualquiera que deseemos. Pero, si estamos comenzando en este camino, también podemos definir un camino propio para realizar los test a las API Rest.

Monero se despide de los minadores ASIC (al menos, de momento)

martes, 10 de abril de 2018

El pasado viernes 6 de abril fue una fecha importante para la comunidad de usuarios y desarrolladores de Monero, una de las criptodivisas que encabezan la defensa del anonimato de sus usuarios. Como ya hemos comentado en posts anteriores, Monero utiliza el protocolo CryptoNote propuesto en octubre 2013 para enmascarar quién es el emisor y receptor de una transacción al utilizar firmas circulares o en anillo que mezclan las transacciones de distintos usuarios. Además, desde enero de 2017, también se puede ocultar el saldo transferido en cada transacción reforzando la privacidad con la implementación de Ring Confidential Transactions, una mejora de su algoritmo.

Iconografía del proyecto Monero
Figura 1. Iconografia del proyecto Monero. 

Ya sabemos cómo se llama. Hemos encontrado la solución #retoElevenPaths

lunes, 9 de abril de 2018

Nadie sabe el recorrido que tendrá una tecnología en el futuro. Esto incluye a Blockchain. Pero la realidad hoy es que se percibe un interés muy evidente en esta tecnología y un ejemplo es la cantidad de personas que han participado en el reto que os propusimos el pasado lunes en nuestro blog. Veamos el fundamento técnico del ejercicio hasta llegar a la solución.

Un poco de teoría
En el caso de Bitcoin, la clave privada K no son más que 256 bits representados en un número que suele ser elegido de forma aleatoria. Esta aleatoriedad y la dificultad que existe de volverlo a generar es la que nos dará garantías de que nadie lo pueda volver a obtener.

A partir de la clave privada, y utilizando criptografía de curva elíptica en Bitcoin se genera la parte pública de la clave K. Este método se basa en la complejidad que entraña la resolución de un problema matemático como la identificación del valor b en la ecuación ab=c cuando a y c son valores conocidos mientras que el problema inverso, no presenta la misma dificultad. En el ámbito de Bitcoin, se utiliza la curva secp256k1. Pero lo relevante es que la función criptográfica que genera la clave pública K es unidireccional, como lo es también la función de hashing utilizada para generar (a partir de dicha clave pública K) la dirección de Bitcoin A vinculada a ella y a K.

Proceso de generación de las direcciones en Bitcoin a partir de una clave privada. 

Eventos en abril para estar al día en Seguridad Informática

viernes, 6 de abril de 2018

Eventos en abril para estar al día en Seguridad Informática imagen

¿Preparados para este mes? Abril viene cargado de actividades y eventos de hacking de lo más interesantes, dejad de lado las ferias y el buen tiempo (que debería de llegar ya) y apuntaros estas citas que no os podéis perder.

Acelerando la ciberseguridad europea entre el Reino Unido y Telefónica (Wayra) - Parte 1 de 2

jueves, 5 de abril de 2018

El GCHQ (Government Communications Headquarters) es relativamente poco conocido fuera del Reino Unido. Esta organización gubernamental casi centenaria (cumplirá 100 años el próximo año), se fundó como la escuela de códigos y cifrado del gobierno (Government Code & Cypher School) en 1919 y no fue hasta 1946 que cambió su nombre al actual.

La labor del GCHQ es mantener la seguridad de Gran Bretaña a través del aseguramiento de la información (information assurance) y de la inteligencia de señales (SIGINT).

El GCHQ se fundó tras la primera guerra mundial y tuvo un papel importante durante la segunda guerra mundial desde su famoso centro de Bletchley Park, donde se trabajaba en la ruptura de los códigos Enigma alemanes y también durante la guerra fría.

Bletchley Park imagen
Bletchley Park ©GCHQ

Equinox, el concurso de programación que dura un día

miércoles, 4 de abril de 2018

El Equinox es un concurso de programación que dura 24 horas y tiene lugar dos veces al año, coincidiendo con los equinoccios de primavera y de otoño. La frase que puede resumir el espíritu del Equinox es: ¡Todo está permitido mientras el programa funcione!

Para participar, simplemente hay que ponerse manos a la obra y materializar aquellos proyectos que en algún momento se nos han ocurrido. No hace falta ser programador, es más, los equipos que suelen obtener mejores resultados son aquellos que tienen habilidades mixtas: producto, UX, desarrolladores, CSA, marketing... De esta forma se consigue una visión más completa del producto desarrollado.

Pero si algo hay que destacar de una participación en el Equinox, es la experiencia y la cantidad de anécdotas que se viven a lo largo del día y de la noche. Una de las cosas que más llama la atención durante la primera participación de un Equinox es el poder quedarte toda la noche en la oficina, aun después de haber escuchado las alarmas de “Abandonen el edificio” que indica la hora habitual de cierre, ir corriendo a sacar el coche del parking antes de que lo cierren y luego no tener la posibilidad de ir a dormir un par de horas a casa, o dormirte en uno de los sofás del edificio y de repente despertarte con el encendido de las luces a las 7 de la mañana sin prácticamente recordar por qué te has despertado en la oficina.

#CyberSecurityPulse: Dime tus redes sociales y serás bienvenido en Estados Unidos (o no)

martes, 3 de abril de 2018

social networks image El Departamento de Estado de los EE.UU. quiere pedir a los solicitantes de visa que proporcionen detalles sobre las redes sociales que han utilizado durante los últimos cinco años, así como números de teléfono, direcciones de correo electrónico y viajes internacionales durante este período. El plan, si es aprobado por la Oficina de Administración y Presupuesto, ampliará el régimen de investigación de antecedentes que se aplica a aquellos que han sido marcados para un escrutinio adicional de inmigración, a todos los solicitantes de visas de inmigrante y a los solicitantes de visas de no inmigrante, como los viajeros de negocios y los turistas.

Encuentra su nombre y gana 111 euros #retoElevenPaths

lunes, 2 de abril de 2018

Para aquellos que no lo sepáis, este mes cumplimos cinco años en Telefónica y, para celebrarlo, el área de Innovación y Laboratorio de ElevenPaths te propone encontrar la solución al siguiente misterio.


Tenemos nueva compañera en la oficina. Nos da la sensación de que haremos un buen equipo con ella. Habla al menos cuatro idiomas y afirma que ha vivido en seis países diferentes… Pero el resto de compañeros y yo tenemos un problema: nunca nos acordamos de su nombre. Parece que se ha enterado y, poco a poco, vamos descubriendo también su genio. Ha escondido su nombre y un mensaje en un lugar verificable donde quedará para siempre a la vista de todos, y nos ha retado a encontrarlo. Solo nos ha dado una pista: