Facebook cambia la lógica en su política TLS (en parte por nuestro estudio) implementando un HSTS “en ambas direcciones”

lunes, 30 de abril de 2018

Facebook y privacidad. El reciente escándalo de la red social en las últimas semanas no la convierte en el mejor ejemplo precisamente para hablar de privacidad o conexiones seguras en general. Pero ese no es el asunto ahora. Lo cierto es que ha sido la primera web (o más bien, "plataforma") en dar un paso muy interesante e innovador en la política de renovación TLS que está viendo Internet en los últimos años, que implica el refuerzo del concepto TLS en general desde todos frentes: "TLS Everywhere", certificados accesibles o gratuitos, HSTS, Certificate pinning, Certificate Transparency, dar de lado a protocolos antiguos... una profunda revisión del ecosistema a la que Facebook (e Instagram) se unen con una propuesta más que interesante.

¿Cómo hemos vivido la RSA Conference 2018?

viernes, 27 de abril de 2018

La ciudad californiana de San Francisco recibió a más de 48.000 visitantes expertos del sector de la seguridad que se reunieron en el centro de convenciones más grande de toda la ciudad la pasada semana de abril, para celebrar la RSA Conference 2018. Más de 650 stands dispuestos a dar a conocer las diferentes alternativas que existen para combatir las amenazas que acechan la red en la actualidad. Allí estaba Telefónica Business Solutions a través de ElevenPaths, la Unidad de Ciberseguridad de Telefónica.

Este año hemos aterrizado en la ciudad de las mil perspectivas con un poco más de altura respecto a los dos años anteriores. El diseño de nuestro stand contempló la disposición de dos plantas permitiendo tener suficientes espacios para reuniones. Las dos plantas del stand, sumado a los tonos de azul y blanco, colores corporativos de Telefónica, consiguieron hacer nuestro booth identificable y reconocible en la gran feria. Situado en el pabellón South #2207, conseguimos atraer a más de 800 visitantes a nuestro stand y realizamos más de 60 reuniones organizadas además de multitud de conversaciones informales durante toda la exhibición.

Colisiones, haberlas hay(las). Parte 1.

jueves, 26 de abril de 2018

Coliseo
Proveniente del latín tardío “collisio”, y este a su vez de la unión de “cum” (cuando) y “leadere” (herido). El término colisión puede adoptar múltiples acepciones, siendo la más usual la referida al efecto o acción de chocar, encontrarse con violencia, dos o más entes materiales. También son muy frecuentes las referencias etéreas, como a ideas, o pensamientos contrapuestos.

Su extrema ambigüedad hace que podamos encontrar colisiones en cualquier cosa imaginable, independientemente de su naturaleza o envergadura.

Da igual en qué continente estés leyendo este artículo, el suelo que pisas está sobre una placa tectónica en constante colisión con otra. Con un poco de suerte nunca lo notarás, si lo has llegado a notar alguna vez, ya sabes de lo que hablo.

Da igual que sea de noche o de día, si te asomas por una ventana verás la luz del sol o de otras estrellas, que fue liberada hace minutos o millones de años respectivamente, en la fusión de los núcleos de átomos de hidrógeno y sus isótopos principalmente, al colisionar entre ellos, aplastados por una descomunal fuerza de gravedad. Desde que se descubrió este fenómeno se está intentando imitar: la Organización Europea para la Investigación Nuclear (CERN) ha construido un gigantesco colisionador de hadrones, solo para experimentar. Si el mismo CERN donde Tim Berners-Lee creó el protocolo HTTP, el lenguaje HTML y el sistema de locación de recursos URL, formando así el núcleo de la web, que seguro, estas utilizando para leer estas líneas.

En busca de una mejora de la privacidad en las criptodivisas con Dash, Zcash y Monero

martes, 24 de abril de 2018

Cuando se habla de criptodivisas a menudo nos encontramos con la creencia de que su uso es completamente anónimo. Quienes hayan investigado un poco sobre alguna de ellas (porque sobre todas las que existen es imposible), sabrán que no es necesariamente así teniendo en cuenta que las operaciones de muchas de ellas son perfectamente trazables en las correspondientes cadenas de bloques.

De esta manera, si en una presunta actividad delictiva nos encontramos con direcciones de Bitcoin o Litecoin, podremos trazar las operaciones en las que se ha encontrado involucrada, así como navegar en el tiempo hacia adelante o hacia atrás en la cadena de bloques. Asimismo, también debemos conocer la intrahistoria de dicha criptodivisa ya que si se ha producido algún hard fork podrían estar gastando dichos bitcoins en diferentes cadenas de bloques bajo reglas diferentes. Un ejemplo de ello ha sido la investigación que publicamos hace unas semanas sobre las direcciones de Wannacry siguiendo la pista tanto a través de la cadena de bloques de Bitcoin como de la de Bitcoin Cash.

¿Y qué hacemos si en el transcurso de una investigación terminamos encontrándonos con una dirección de una criptodivisa que no tenemos en el radar o que no conocemos? Lo primero, como casi siempre, buscaremos en Google. Sin embargo, una primera referencia puede ser el proyecto de Coinmarketcap.com, porque además de facilitar información sobre la cotización media incluye links a las webs oficiales del proyecto y a algunos exploradores de la cadena de bloques de cada criptodivisa.

Información proporcionada por coinmarketcap sobre Bitcoin Cash imagen
Figura 1. Información proporcionada por coinmarketcap sobre Bitcoin Cash.

AMSI, un paso más allá de la detección de malware en Windows

lunes, 23 de abril de 2018

Al principio fue el virus. Trozos de código en ensamblador que se concatenaban a los archivos, a los que modificaban el "entrypoint". Después, esta técnica se retorció y mejoró hasta sus límites, se buscó la ejecución automática, la reproducción, la independencia de un "huésped" (el malware ya es standalone desde hace tiempo) y el pasar bajo el radar de los antivirus. "Tocar disco" era la premisa (¿cómo infectar, si no?) y a su vez el anatema del malware. Si se conseguía evitar en lo posible este peaje, se podría llegar a huir de los detectores. "Fileless", se llamó a esta técnica que buscaba una fórmula etérea en la que subsistir en memoria todo lo posible. No tocar disco o retrasarlo al máximo, no aterrizar en aquello que controla férreamente el antivirus. "Fileless" se ha perfeccionado hasta tal punto (¿os suena el malware que combina macros y Powershell?), que ya existe una fórmula nativa en Windows para mitigarla en lo posible. Pero no se le presta la atención que debería.

Estructura básica AMSI imagen
Estructura básica AMSI, proporcionada por Microsoft

Normativa GDPR: ¿Qué pasa con nuestros datos ahora?

domingo, 22 de abril de 2018

Normativa GDPR: ¿Qué pasa con nuestros datos ahora? imagen

A estas alturas, todos sabemos que el nuevo reglamento de protección de datos personales europeo (GDPR) tiene que convertirse en una realidad en los diferentes estados, obligando a las compañías y organizaciones a garantizar su cumplimiento. El día G, aunque anunciado con bastante anterioridad, se presenta ahora muy cercano, el 25 de mayo de este mismo año.

Acelerando la ciberseguridad europea entre el Reino Unido y Telefónica (Wayra) – Parte 2 de 2

jueves, 19 de abril de 2018

En la primera parte de este artículo conocimos un poco de la historia del GCHQ y su fundación, como está organizado y la ubicación de sus oficinas centrales. Mencionamos la creación del programa GCHQ Cyber Accelerator que ya está en su segunda edición y los nombres de las 9 startups seleccionadas que están actualmente siendo aceleradas.

En esta segunda parte conoceremos un poco más de estas afortunadas startups seleccionadas entre cientos de candidatos y las innovadoras soluciones que proponen:

Cybershield
Una interesante solución que ayuda a detectar phishing y spear phishing directamente desde el correo electrónico utilizando para ello algoritmos basados en inteligencia artificial y que cambia el color de la línea de asunto del correo electrónico a verde, amarillo o rojo dependiendo de la amenaza. 

El sistema se instala en el servidor de correo electrónico de la empresa, no produce interrupción del servicio, requiere poca formación y no envía ninguna información fuera de los sistemas de correo de la empresa. Un refuerzo que ayuda a la educación y la conciencia del usuario en lo relacionado con la protección contra malware.

Imagen del cuartel general del GCHQ

#CyberSecurityPulse: De los bug bounties (tradicionales) a los data abuse bounties

martes, 17 de abril de 2018

social networks image Los grandes de internet están sufriendo lo suyo para ser transparentes con la comunicación sobre la recolección de información que están realizando de sus usuarios. En este sentido, para miniminar el riesgo de ser objeto de determinados ataques, en el caso de Facebook, éste paga millones de dólares cada año a investigadores y a bug hunters para que detecten fallos de seguridad en sus productos e infraestructura, pero tras el escándalo de Cambridge Analytica, la compañía ha lanzado un nuevo tipo bug bounty para recompensar a aquellos que denuncien el "abuso de datos" en su plataforma. A través de su nuevo programa "Data Abuse Bounty", Facebook pediría a terceros que le ayudasen a encontrar desarrolladores de aplicaciones que estén haciendo un mal uso de sus datos. "Ciertos actores pueden recopilar y abusar de forma maliciosa de los datos de los usuarios de Facebook incluso cuando no existen vulnerabilidades de seguridad. Este programa tiene la intención de protegernos contra ese abuso", según la publicación hecha por la compañía.

Análisis técnico de las fases de Cobalt, la pesadilla para la red interna de un banco

lunes, 16 de abril de 2018

Hace algunos días, un actor relevante del grupo de atacantes conocido como Cobalt/Carbanak (o incluso FIN7 para algunos) fue detenido en Alicante. Este grupo ha estado relacionado con distintas campañas contra instituciones bancarias que han provocado unas pérdidas sustanciosas mediante transferencias y retiradas fraudulentas de efectivo en cajeros automáticos. Vamos a ver algunos detalles técnicos del modus operandi de la última oleada, cómo funciona y algunas ideas sobre cómo mitigar el impacto dado el caso.

El objetivo del grupo es el acceso a la infraestructura de la entidad financiera para conseguir el compromiso de los cajeros automáticos y retirar fraudulentamente de efectivo. Aunque parezca ciencia ficción, se hacen con el control de la red de cajeros hasta el punto de que pueden hacer que a una hora concreta, comience a soltar todo el efectivo que contiene. Basta con que el "mulero" se encuentre en ese momento frente al cajero para que el golpe se haga realidad. Más que en el análisis de la muestra, nos detendremos en los aspectos más interesantes de las fases del ataque.

DirtyTooth se hace mayor con un nueva página en Wikipedia

domingo, 15 de abril de 2018

En el año 2017, allá por el mes de marzo, se presentaba en el congreso de seguridad informática Rooted CON un hack que permitía extraer información como contactos y llamadas de un dispositivo iOS que se conectaba a un dispositivo Bluetooth. Este hack fue denominado por el Chairman de ElevenPaths, Chema Alonso, como DirtyTooth. Era un hack sencillo, pero muy potente, y con muy poco tiempo lo preparamos para que cualquiera pudiera tenerlo en su Raspberry y probar e investigar sobre el asunto. Este hack para todos fue llevado a BlackHat Europa 2017.

Hoy, tengo el placer de saludar y dar la bienvenida a las páginas de Dirtytooth en la Wikipedia. Personalmente, esto es algo que nos hace especial ilusión, ver cómo lo que comenzó siendo una idea loca y una prueba de concepto (PoC) se tradujo en algo que Apple decidió “tapar” para mejorar la experiencia de uso del usuario y su seguridad/ privacidad.

Conectándonos al mundo (Parte 2)

jueves, 12 de abril de 2018

La primera pregunta que nos surgiría sería: ¿Realizar un penetration test a nuestra API Rest es lo mismo que hacer un penetration test a nuestra aplicación web?

Cuando hablamos de un penetration test o prueba de seguridad a la aplicación web se entiende que este tipo de pruebas a nuestra API Rest estarán incluidas en el alcance de la misma. Pero, cuando nos adentramos en este mundo de la seguridad en las API nos damos cuenta de que la mayoría de las aplicaciones que suele utilizar un pentester dentro del penetration test, no cubre todo el espectro de las vulnerabilidades que podría tener un API Rest en si mismo. Es por ello, que, muy probablemente, en algunos puntos, tendrán que realizar pruebas manuales y con el tiempo, generarán sus propios scripts.

Si tratamos de identificar una metodología de testing, podríamos reutilizar cualquiera que deseemos. Pero, si estamos comenzando en este camino, también podemos definir un camino propio para realizar los test a las API Rest.

Monero se despide de los minadores ASIC (al menos, de momento)

martes, 10 de abril de 2018

El pasado viernes 6 de abril fue una fecha importante para la comunidad de usuarios y desarrolladores de Monero, una de las criptodivisas que encabezan la defensa del anonimato de sus usuarios. Como ya hemos comentado en posts anteriores, Monero utiliza el protocolo CryptoNote propuesto en octubre 2013 para enmascarar quién es el emisor y receptor de una transacción al utilizar firmas circulares o en anillo que mezclan las transacciones de distintos usuarios. Además, desde enero de 2017, también se puede ocultar el saldo transferido en cada transacción reforzando la privacidad con la implementación de Ring Confidential Transactions, una mejora de su algoritmo.

Iconografía del proyecto Monero
Figura 1. Iconografia del proyecto Monero. 

Ya sabemos cómo se llama. Hemos encontrado la solución #retoElevenPaths

lunes, 9 de abril de 2018

Nadie sabe el recorrido que tendrá una tecnología en el futuro. Esto incluye a Blockchain. Pero la realidad hoy es que se percibe un interés muy evidente en esta tecnología y un ejemplo es la cantidad de personas que han participado en el reto que os propusimos el pasado lunes en nuestro blog. Veamos el fundamento técnico del ejercicio hasta llegar a la solución.

Un poco de teoría
En el caso de Bitcoin, la clave privada K no son más que 256 bits representados en un número que suele ser elegido de forma aleatoria. Esta aleatoriedad y la dificultad que existe de volverlo a generar es la que nos dará garantías de que nadie lo pueda volver a obtener.

A partir de la clave privada, y utilizando criptografía de curva elíptica en Bitcoin se genera la parte pública de la clave K. Este método se basa en la complejidad que entraña la resolución de un problema matemático como la identificación del valor b en la ecuación ab=c cuando a y c son valores conocidos mientras que el problema inverso, no presenta la misma dificultad. En el ámbito de Bitcoin, se utiliza la curva secp256k1. Pero lo relevante es que la función criptográfica que genera la clave pública K es unidireccional, como lo es también la función de hashing utilizada para generar (a partir de dicha clave pública K) la dirección de Bitcoin A vinculada a ella y a K.

Proceso de generación de las direcciones en Bitcoin a partir de una clave privada. 

Eventos en abril para estar al día en Seguridad Informática

viernes, 6 de abril de 2018

Eventos en abril para estar al día en Seguridad Informática imagen

¿Preparados para este mes? Abril viene cargado de actividades y eventos de hacking de lo más interesantes, dejad de lado las ferias y el buen tiempo (que debería de llegar ya) y apuntaros estas citas que no os podéis perder.

Acelerando la ciberseguridad europea entre el Reino Unido y Telefónica (Wayra) - Parte 1 de 2

jueves, 5 de abril de 2018

El GCHQ (Government Communications Headquarters) es relativamente poco conocido fuera del Reino Unido. Esta organización gubernamental casi centenaria (cumplirá 100 años el próximo año), se fundó como la escuela de códigos y cifrado del gobierno (Government Code & Cypher School) en 1919 y no fue hasta 1946 que cambió su nombre al actual.

La labor del GCHQ es mantener la seguridad de Gran Bretaña a través del aseguramiento de la información (information assurance) y de la inteligencia de señales (SIGINT).

El GCHQ se fundó tras la primera guerra mundial y tuvo un papel importante durante la segunda guerra mundial desde su famoso centro de Bletchley Park, donde se trabajaba en la ruptura de los códigos Enigma alemanes y también durante la guerra fría.

Bletchley Park imagen
Bletchley Park ©GCHQ

Equinox, el concurso de programación que dura un día

miércoles, 4 de abril de 2018

El Equinox es un concurso de programación que dura 24 horas y tiene lugar dos veces al año, coincidiendo con los equinoccios de primavera y de otoño. La frase que puede resumir el espíritu del Equinox es: ¡Todo está permitido mientras el programa funcione!

Para participar, simplemente hay que ponerse manos a la obra y materializar aquellos proyectos que en algún momento se nos han ocurrido. No hace falta ser programador, es más, los equipos que suelen obtener mejores resultados son aquellos que tienen habilidades mixtas: producto, UX, desarrolladores, CSA, marketing... De esta forma se consigue una visión más completa del producto desarrollado.

Pero si algo hay que destacar de una participación en el Equinox, es la experiencia y la cantidad de anécdotas que se viven a lo largo del día y de la noche. Una de las cosas que más llama la atención durante la primera participación de un Equinox es el poder quedarte toda la noche en la oficina, aun después de haber escuchado las alarmas de “Abandonen el edificio” que indica la hora habitual de cierre, ir corriendo a sacar el coche del parking antes de que lo cierren y luego no tener la posibilidad de ir a dormir un par de horas a casa, o dormirte en uno de los sofás del edificio y de repente despertarte con el encendido de las luces a las 7 de la mañana sin prácticamente recordar por qué te has despertado en la oficina.

#CyberSecurityPulse: Dime tus redes sociales y serás bienvenido en Estados Unidos (o no)

martes, 3 de abril de 2018

social networks image El Departamento de Estado de los EE.UU. quiere pedir a los solicitantes de visa que proporcionen detalles sobre las redes sociales que han utilizado durante los últimos cinco años, así como números de teléfono, direcciones de correo electrónico y viajes internacionales durante este período. El plan, si es aprobado por la Oficina de Administración y Presupuesto, ampliará el régimen de investigación de antecedentes que se aplica a aquellos que han sido marcados para un escrutinio adicional de inmigración, a todos los solicitantes de visas de inmigrante y a los solicitantes de visas de no inmigrante, como los viajeros de negocios y los turistas.

Encuentra su nombre y gana 111 euros #retoElevenPaths

lunes, 2 de abril de 2018

Para aquellos que no lo sepáis, este mes cumplimos cinco años en Telefónica y, para celebrarlo, el área de Innovación y Laboratorio de ElevenPaths te propone encontrar la solución al siguiente misterio.


Tenemos nueva compañera en la oficina. Nos da la sensación de que haremos un buen equipo con ella. Habla al menos cuatro idiomas y afirma que ha vivido en seis países diferentes… Pero el resto de compañeros y yo tenemos un problema: nunca nos acordamos de su nombre. Parece que se ha enterado y, poco a poco, vamos descubriendo también su genio. Ha escondido su nombre y un mensaje en un lugar verificable donde quedará para siempre a la vista de todos, y nos ha retado a encontrarlo. Solo nos ha dado una pista: