#CodeTalks4Devs: iBombShell: pentesting en cualquier lugar por Pablo González Pérez

miércoles, 20 de marzo de 2019

¡Nuevo #CodeTalks4Devs!

Nuestro experto, Pablo González, dirige esta nueva entrega de nuestros webinars gratuitos para desarrolladores. Pablo es un experto reconocido en el sector de la ciberseguridad que, recientemente, ha presentado la versión 0.2b de la herramienta gratuita y open source iBombShell, con interesantes mejoras y nuevas funcionalidades. Esta herramienta se ha desarrollado desde el departamento de Ideas Locas del área de CDO de Telefónica con nuestro laboratorio de Innovación.

El segundo webinar de la temporada trata precisamente sobre la herramienta iBombShell, y de cómo hacer pentesting desde cualquier lugar, simplemente teniendo acceso a un ordenador con un Powershell instalado. Aprende a utilizar la herramienta y a desarrollar todas sus capacidades en este webinar, tú mismo puedes aportar y participar en este proyecto open source. ¡No pierdas detalle!

Disponible a partir de las 15:30h (CET) del 20 de marzo.

 

Primer capítulo de la temporada ya disponible:

» Latch Voice: jugando con los asistentes de voz y Latch por Álvaro Núñez - Romero.

Más información sobre iBombShell:
» Liberamos iBombShell 0.0.1b en el repositorio de Github de ElevenPaths
» Whitepaper de iBombShell

La falacia de la tasa base o por qué los antivirus, filtros antispam y sondas de detección funcionan peor de lo que prometen

martes, 19 de marzo de 2019

Antes de empezar la jornada, mientras saboreas tu café de la mañana, abres tu fuente favorita de información sobre noticias de ciberseguridad. Te llama la atención un anuncio de un vendedor de sistemas de detección de intrusiones:

¡NUESTRO IDS ES CAPAZ DE DETECTAR EL 99% DE LOS ATAQUES!

"Hmmm, no está mal", piensas, mientras das otro sorbo a tu café. Deslizas los ojos por unas cuantas noticias más y te aparece un nuevo anuncio sobre IDSs de otro fabricante:

¡NUESTRO IDS ES CAPAZ DE DETECTAR EL 99,9% DE LOS ATAQUES!

Así, a primera vista, ¿cuál de los dos IDSs es mejor? Parece una perogrullada: obviamente será mejor el que más ataques detecta, o sea, el que detecta el 99,9% de los ataques frente al 99%.

¿O no? Te lo voy a poner aún más fácil. Imagina que encuentras un tercer anuncio:

¡NUESTRO IDS ES CAPAZ DE DETECTAR EL 100% DE LOS ATAQUES!

Ahora sí que sí: ¡este IDS es la bomba! ¡Lo detecta todo!

Un repaso a las mejores técnicas de hacking web que nos dejó el 2018 (II)

lunes, 18 de marzo de 2019

La semana pasada publicamos la primera parte del ranking de mejores técnicas de 2018, y hoy os traemos la segunda. Recordemos, se trata de una clasificación ajena al OWASP Top 10, más enfocada a resaltar aquellas técnicas asociadas a las aplicaciones web que se publicaron a lo largo de 2018. La seguridad web es un campo en continuo movimiento y agitación. Cada día, salen a la luz nuevos fallos en frameworks, bibliotecas o aplicaciones conocidas y muy usadas; si bien muchas de ellas ni tan siquiera llegan al rango de obtención de un CVE, un grupo de ellas tiene el privilegio de descubrir una nueva técnica o mejorar ostensiblemente alguna de las existentes.

¿Cómo hemos vivido la RSA Conference 2019? Haciendo la seguridad más humana

viernes, 15 de marzo de 2019


Con motivo de la RSA Conference 2019, del 4 al 8 de marzo estuvimos participando con nuestro estand, en la XXVIII edición de este gran evento de ciberseguridad que se celebra cada año en San Francisco. Presentamos nuestra propuesta de valor #HumanizingSecurity y mostrando las demos más punteras en las que hemos estado trabajando este año. 

Durante estos días, más de cuarenta compañeros de todo el equipo de seguridad de Telefónica (todos los equipos del área global de ElevenPaths - producto, marketing, alianzas, go to market, go to customer - junto con responsables de operaciones, producto y de los SOCs de varias OBs y seguridad interna) estuvieron en el estand con reuniones y citas con analistas, clientes y  partners.

Un repaso a las mejores técnicas de hacking web que nos dejó el 2018 (I)

martes, 12 de marzo de 2019

Nos encantan las listas, ¿verdad? En seguridad de aplicaciones web tenemos la muy conocida OWASP TOP 10, en la que un grupo de expertos en seguridad web de varias organizaciones colaboradoras discuten y votan cada cierto tiempo los riesgos más importantes que afectan a estas. La última revisión corresponde a la publicada en el año 2017.

Si bien se trata de una lista que refleja muy bien cómo van evolucionando los riesgos en el ámbito web, el rapidísimo ritmo al que evolucionan las tecnologías web hace que “la foto” que nos muestra quede obsoleta en un breve espacio de tiempo. Además, el top de OWASP no se centra en ataques concretos sino en categorías, abstracciones de diversas clases de vulnerabilidades que poseen uno o varios elementos en común.

La lucha de Windows contra la ejecución de código: Éxitos y fracasos (VII): Attack Surface Reduction

lunes, 11 de marzo de 2019

Resulta complicado entender todo el entramado que está montando Microsoft alrededor de Windows 10, con medidas de seguridad cada vez más integradas y complejas. Es muy positivo, sino fuera porque algunas medidas están adquiriendo una complejidad tal que para el usuario medio (poco instruido en seguridad) le resultan poco menos que esotéricas, incompresibles y por tanto, inútiles si no están activadas por defecto (que muchas no lo están). Seguimos hablando en esta entrega del ASR y sus diferentes "recetas".

  • Bloquear la ejecución de scripts potencialmente cifrados
5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

No ofrecen mucha información de cómo detectan que un script se encuentra "cifrado", en realidad quieren decir que se encuentren ofuscados, como bien se desprende de su versión en inglés ("Block execution of potentially obfuscated scripts"). Para sus pruebas en ExploitGuard Demo (herramienta ya retirada de la que hablamos en la entrada anterior), Microsoft usaba esto (aunque parezca raro):
 
ExploitGuard Demo imagen

Celebramos contigo el Día de la Mujer

viernes, 8 de marzo de 2019

Hoy, 8 de marzo, es el Día de la Mujer y queremos celebrarlo con todos vosotros. Desde Telefónica, hemos preparado este vídeo en el que cuatro mujeres, de distinta edad y con diferentes vivencias y entornos laborales, nos cuentan cómo ven el papel de la mujer en la tecnología, qué papel juega la tecnología en sus vidas y quiénes son sus referentes en este ámbito.

Os dejamos el vídeo aquí, ¡no te lo pierdas! #DíadelaMujer #SomosDiversos


Lazarus, levántate y camina…(Parte I)

jueves, 7 de marzo de 2019

Haciendo alusión a la frase celebre que le dice Jesús a Lázaro cuando lo resucita quiero partir este post, pero en este caso el protagonista no es el personaje bíblico, si no un grupo cibercriminal norcoreano, y “levántate y camina” calza perfectamente con el fenómeno que esta ocurriendo en Chile y Latinoamérica, ya que este grupo de ciberdelincuentes se esta alzando y con fuerza, por si no lo sabían, al grupo norcoreano Lazarus, se le adjudican una serie de campañas y ataques desde el 2007.

El ataque más antiguo que se puede atribuir al Grupo Lazarus tuvo lugar en 2007. Este ataque fue denominado "Operación Llama" o "Operation Flame" en ingles y utilizó malware de primera generación contra el gobierno de Corea del Sur. Según algunos investigadores, la actividad presente en este ataque puede vincularse a ataques posteriores como "Operación 1Misión", "Operación Troya" y los ataques DarkSeoul en 2013. 

#CodeTalks4Devs: Latch Voice: jugando con los asistentes de voz y Latch por Álvaro Núñez-Romero

miércoles, 6 de marzo de 2019

¡Vuelven los #CodeTalks4Devs!

La tercera temporada de nuestros famosos webinars ya está aquí. Si eres un habitual de estas charlas no necesitas explicación, pero para todos aquellos que no estéis familiarizados con estos talks, se trata de webinars gratuitos destinados a desarrolladores e interesados en seguridad informática. 

El lado oscuro de la impresión 3D: desafíos, riesgos y usos maliciosos (II)

martes, 5 de marzo de 2019

La tecnología de impresión 3D está revolucionando los procesos de fabricación y sus entusiastas imaginan un futuro donde cada hogar y empresa tenga al menos uno de estos dispositivos, lo que transformaría la forma en que producimos, consumimos y reciclamos los objetos. Ahora bien… ¿Qué riesgos de ciberseguridad son los más probables en este escenario? Espionaje, malware, destrucción, creación de armas… Tras analizar la modificación no autorizada de archivos de impresión y la modificación de software o firmware, veamos el resto.

Exposición a internet o redes inseguras
Al conectar una impresora 3D a Internet, se convierte automáticamente en un dispositivo IoT. Cualquier acceso a la red que posea, ya sea directamente o a través de un middleware, aumenta la superficie de ataque y la expone a nuevas debilidades de seguridad. Como ejemplo de lo anterior podemos mencionar Octoprint, que es un proyecto open source para la administración web remota de impresoras 3D. Este software se conecta a la impresora y permite desde iniciar nuevos trabajos de impresión hasta ver y grabar una impresión actual desde una cámara web. Recientemente se reportó a Octoprint un fallo en su software de administración de impresoras por el cual si Octoprint está expuesto a Internet y no bien configurado, un usuario no autorizado podría obtener acceso de administrador a este software y, en consecuencia, a la impresora 3D. Al margen de los problemas en la industria, imaginemos por si fuera poco que una impresora 3D en el hogar, en manos de atacantes que modifiquen malintencionadamente su configuración, podría sobrecalentarse, fundirse, generar un cortocircuito o quedar fuera de servicio. También podría ser usada para cargar archivos de impresión maliciosos como el mencionado en la vulnerabilidad del Firmware Marlin, que permitieran tomar control de equipo.

Software Octoprint imagen