ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
Sergio De Los Santos Conti, el ransomware más rápido del Oeste: 32 hilos de CPU en paralelo pero… ¿para qué? Conti, el más rápido de los ransomware, es sólo un ejemplo de cómo está evolucionado esta amenaza. Te contamos qué trucos utiliza y por qué.
ElevenPaths [Nuevo informe] “Ciberseguros: la transferencia del ciber-riesgo en España” Descárgate aquí el informe completo Ayer presentamos en Madrid en el Aula Magna del Instituto de Empresa, a los medios y analistas del sector, el primer informe elaborado conjuntamente...
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
ElevenPaths Nueva herramienta: PySCTChecker Esta nueva herramienta es un script “quick and dirty” que permite comprobar si un dominio implementa correctamente Certificate Transparency. Además, si lo implementa, es posible comprobar si lo hace...
ElevenPaths El troyano preinstalado en tablets baratas de Amazon también está en Google Play Investigadores de Cheetah Mobile han encontrado troyanos preinstaldos en algunas tablets baratas de Amazon, muy difíciles de eliminar. Aquí, en ElevenPaths, hemos encontrado una versión de este troyano presente...
Gabriel Bergel Zombis Digitales y la Ingeniería Social Este post trata sobre Zombis e ingeniería social, la imagen de la figura 1 es gratis y libre de derechos de uso, siempre cuando la referencies, y me encantó....
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
ElevenPaths Una introducción al Trusted Execution Enviroment ¿Quién no tiene hoy en día un “smartphone”? La aparición primero del iPhone pero sobre todo la aparición de Android ha propiciado que actualmente casi todo el mundo...
Gabriel Bergel Ciberseguridad en pandemia (II) ¿Cómo están evolucionando los ciberataques tras la aparición del coronavirus? ¿Cómo respondemos en ciberseguridad a estos riesgos? Descúbrelo aquí.
Análisis, aclaraciones y primeras curiosidades sobre #Vault7ElevenPaths 8 marzo, 2017 Wikileaks ha desvelado una mina de oro. El arsenal de ciberarmas que la CIA mantenía para sus operaciones de ataques en la red. Un evento tremendamente interesante por muchas razones. Veamos algunas de ellas y además, las primeras curiosidades sobre un análisis preliminar. Qué ha pasado Wikileaks ha publicado bajo el nombre de Vault7 buena parte del arsenal de armas y documentación del que dispone la CIA para, fundamentalmente, atacar a través de medios electrónicos. Un arsenal cibernético, no es más que un buen puñado de gigabytes con documentación y herramientas. Entre ellas, tendremos: Documentación pública más o menos ordenada sobre cómo realizar ciertas acciones. Documentación privada sobre cómo realizar ciertas acciones. Manuales de usuario y descripciones de herramientas y metodologías internas. Código de vulnerabilidades públicas. Código de vulnerabilidades privadas o mejoradas (0days). Entornos y frameworks de trabajo, ensayo y desarrollo. Y básicamente, dependiendo de hacia qué categoría bascule la cantidad de información, así se podrá evaluar la calidad del arsenal. Cuanto más privada la información, más importante resulta. Pero sobre todo, el número de 0days es un valor especialmente interesante. Se trata de las vulnerabilidades desconocidas para el público y la industria pero conocidas por la CIA, que permiten entrar y ejecutar código en los sistemas. Si la CIA dispone de un método desconocido para la mayoría (nunca se sabe si otro grupo de inteligencia lo conoce y lo está usando también), eso multiplica en varios órdenes de magnitud el valor del arsenal. Le permite, literalmente, controlar cualquier sistema con esa vulnerabilidad. ¿Cuántos 0days tiene el arsenal de la CIA? No lo sabemos todavía, hay mucho contenido oculto. Pero por los títulos podemos intuir algunos. Una muestra con la elevación de privilegios en Windows. Se intuyen técnicas todavía no reveladas de Local Privilege Escalation en Windows ¿Es sorprendente? La NSA ya sufrió un problema parecido el año pasado. Su arsenal se “subastó” literalmente. Disponían de lo mismo: herramientas propias, públicas, 0-days, vulnerabilidades. No nos debe sorprender que una agencia de inteligencia disponga de este arsenal, como cualquiera que se dedique a la “profesión”. Solo que a una escala diferente. Disponen de información privada, conocimientos de vulnerabilidades que pueden poner en peligro no solo a los espiados, sino que en malas manos o mal usadas permitiría ejercer ese mismo poder sobre el resto de la población. Es lo que tiene la democratización de la tecnología: los espiados usan WhatsApp (aunque no los más espabilados), televisiones inteligentes, iPhones, Linux, Windows… igual que cualquier otro. Cuando la CIA dispone de un sistema para atacar alguna de estas tecnologías, un mal paso puede permitir que todo el mundo se convierta en víctima. Un debate que siempre está abierto sobre la privacidad, puertas traseras, responsabilidades, etc. Técnicamente, todavía no se conoce el alcance de los documentos filtrados. ¿Cuánta información conocida hay? Mucha. ¿Cuánta desconocida? Bastante, parece, pero no sabemos ni cuánto ni cómo. Wikileaks está dejando que sean los propios usuarios los que minen la información y saquen la mejor historia posible de todo este diamante en bruto. Premiarán con información privilegiada a los que demuestren habilidades para conseguirlo. Desde el punto de vista técnico, también es interesante un análisis que sin duda la comunidad y la industria pondrá en marcha. ¿Y los titulares sobre coches asesinos, Whatsapp y televisiones micrófono? Uno de los titulares sobre el dato encontrado Pues eso, titulares. Al parecer disponían de conocimiento único sobre cómo vulnerar todas estas tecnologías. Pero todavía está por ver si en connivencia con el fabricante, disponían de puertas traseras específicas para espiar. De lo contrario, lo que han hecho es “su trabajo”: buscar vulnerabilidades… y no publicarlas para aprovecharse de ellas. Esto es cuestionable y debatible. Los “coches asesinos”… por ahora, parece que eso más bien lo ha aportado Wikipedia de su propia cosecha. En los documentos se observa que la CIA quería desde 2014 encontrar formas de infectar los sistemas de control de vehículos modernos. Wikileaks es la que habla de que potencialmente podría ser usado para realizar asesinatos selectivos y no detectables (no habría forense sobre un coche destrozado). Wikileaks es quien especula sobre el potencial uso de este conocimiento. Que una televisión se convierta en un micrófono ya se conoce (y se usa) desde 2013. Uno de los datos que (a título personal) más ha llamado la atención es que la CIA tenía totalmente interiorizado el proceso de aprendizaje por errores ajenos y propios. Esto se materializa en dos puntos fundamentales: Disponen de un documento donde apuntan y analizan los errores específicos de terceros a la hora de haber sido detectados o señalados con el dedo en el caso de alguna filtración u operación. No querían cometerlos de nuevo. Disponen de una base de datos de “fingerprints” de terceros para engañar y confundir durante un potencial proceso de atribución. Esto es especialmente interesante. Han recopilado la información sobre qué caracteriza a diferentes agencias de inteligencia, y no solo se preocupan de no dejar rastros propios, sino que los aplican deliberadamente a sus propias operaciones para confundir a los potenciales analistas. En otras palabras: cubrir huellas no solo borrándolas, sino intentando que parezcan las huellas digitales específicas de otro. Esto, junto con otras “anécdotas” ya conocidas sobre la atribución, convierte ya a este ejercicio en un verdadero circo en el que el recontra-espionaje invalida desde hace tiempo cualquier teoría. ¿Algunas curiosidades? Esto es solo un análisis muy muy preliminar. En Wikileaks han tenido mucho cuidado al publicar la primera parte de la información. Han mantenido en secreto buena parte, y eliminado los datos sensibles de otras. Algunos de los nombres ocultados Pero no de todas. Aunque no se sabe si a propósito, o si este dato es relevante para algo, al menos en una de las capturas no han eliminado el nombre de usuario desde donde se hace una prueba de “tracert” a una IP. DavidB. En este caso, deliberadamente o no, no han ocultado el nombre de usuario Tampoco de una imagen de un usuario del entorno de test de la CIA donde realiza una especie de “Hola Mundo”. Su nombre es Keith… Ni han eliminado algunas MACs de los diagramas o códigos (algunas son falsas). Sergio de los Santos ssantos@11paths.com @ssantosv ElevenPaths Talks: La Red Bajo AtaqueLa importancia del control de las cuentas privilegiadas
Gabriel Bergel Zombis Digitales y la Ingeniería Social Este post trata sobre Zombis e ingeniería social, la imagen de la figura 1 es gratis y libre de derechos de uso, siempre cuando la referencies, y me encantó....
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityReport20H2: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe...
