ElevenPaths Noticias de Ciberseguridad: Boletín semanal 23-29 de mayo Nueva edición de nuestro Boletín semanal de Noticias sobre Ciberseguridad. La información más relevante recogida por nuestros expertos del SCC.
ElevenPaths ElevenPaths logra el estatus de Competencia en Seguridad de Amazon Web Services ElevenPaths ha demostrado gran experiencia ayudando a los clientes a desplegar proyectos de seguridad que permiten proteger sus entornos en AWS.
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 9-13 de marzo Ya puedes leer el boletín de noticias de ciberseguridad de esta semana, realizado por nuestros expertos del SCC.
Andrés Naranjo Un resumen de Melilla SecureTIC 2020 Nuestro CSE Andrés Naranjo cuenta en este completo resumen cómo fue el evento sobre ciberseguridad Melilla SecureTIC 2020.
Juan Elosua Tomé Imágenes populares de Docker bajo la lupa de seguridad Descubre la investigación realizada por el centro de ciberseguridad TEGRA sobre las imágenes de esta tecnología utilizada en el desarrollo de aplicaciones.
Área de Innovación y Laboratorio de ElevenPaths Creamos una herramienta para descifrar el ransomware VCryptor (disponible en NoMoreRansom.org) Descubre cómo funciona el ransomware VCryptor y la herramienta que hemos desarrollado como parte de la plataforma NoMoreRansom.org para descifrarlo.
ElevenPaths ElevenPaths Talks: Te lo enseñamos todo en temas de seguridad A partir del próximo 17 de Marzo ElevenPaths lanzará una serie de Webcast sobre temáticas de interés en el mundo de la seguridad. Las sesiones serán semanales y con...
ElevenPaths News: Nuevo plugin de Latch para ownCloud El equipo de desarrolladores de Eleven Paths ha creado un nuevo plugin para Latch. En este caso ha sido el de ownCloud. Se trata de una aplicación de software...
ElevenPaths ElevenPaths Radio 2×09 – Entrevista a David Marugán ¿Qué es el radio hacking y para qué se utiliza? Nos lo cuenta en este episodio David Marugán, consultor de seguridad y especialista en radiocomunicaciones.
Área de Innovación y Laboratorio de ElevenPaths Creamos una herramienta para descifrar el ransomware VCryptor (disponible en NoMoreRansom.org) Descubre cómo funciona el ransomware VCryptor y la herramienta que hemos desarrollado como parte de la plataforma NoMoreRansom.org para descifrarlo.
Carlos Rodríguez Morales Las Bases de Datos y el RGPD…¡Vamos a Cifrar! (1/3) Desde la entrada en vigor del nuevo reglamento europeo de protección dedatos (RGPD), y sobre su famoso articulo 32, concretamente la parte que habla de las medidas técnicas y organizativas apropiadas...
ElevenPaths Historias de #MujeresHacker: Ana Molina, Service Designer en Telefónica Aura Esta semana presentamos la historia de Ana Molina que, como Service Designer en Telefónica Aura, sirve de inspiración por su dedicación al diseño de productos y servicios de la...
Breve e incompleta historia de las contraseñas, aliados y enemigos (II)David García 4 diciembre, 2018 Vale, pero entonces ¿Cómo deben ser las contraseñas para que sean seguras? Hemos de tener en cuenta algunos factores. En primer lugar, la contraseña no es más que un parámetro más que se le va a pasar a una función que va a generar el hash, que a su vez se depositará en la base de datos. Por lo tanto, si un atacante posee el conocimiento o datos para derivar u obtener el resto de los parámetros, su ataque se restringe a dar con una cadena que finalmente nos devuelva el hash deseado. Así, la contraseña es un valioso recurso que va a influir a su manera en la seguridad o resistencia al ataque. Rara vez será que una contraseña se almacena cifrada mediante clave simétrica. ¿Alguna vez habéis recibido un correo de recordatorio de contraseña con la contraseña en claro? Pecado capital. Otro aspecto importante es el universo de caracteres permitidos y su mensaje sospechoso de “no utilizar caracteres que no sean alfanuméricos” o “su contraseña tiene caracteres no válidos”. Esto indica que las cosas no se están haciendo de forma óptima. https://imgs.xkcd.com/comics/password_strength.png Una cadena tiene dos dimensiones: número de caracteres que la componen o longitud, y número de caracteres que podemos elegir. ¿Juegas a la lotería? Si compras un número, tal y como el 01729, sabemos que es un número de cinco cifras y que cada cifra puede ser una de diez posibles. Es decir, estamos ante una probabilidad de uno entre cien mil. Este concepto es exactamente el mismo que opera detrás de la longitud y número de caracteres posibles para una contraseña (formalmente, el espacio de búsqueda). Cuantos menos caracteres dejemos a un usuario, más billetes de lotería le estamos comprando a un atacante. Por otro lado, podríamos preguntarnos, ¿por qué se quiere evitar el procesamiento de ciertos caracteres? Respuesta: probablemente han implementado un control defensivo. La intención no es mala, puesto que se quiere evitar una inyección (por ejemplo, SQL) cuando se está introduciendo una contraseña. Pero, y de nuevo se levantan las sospechas, no estamos en la etapa adecuada. https://imgs.xkcd.com/comics/exploits_of_a_mom.png Una contraseña no debe tocar base de datos así; recordemos, solo se almacena su hash. Luego, a una función hash le debe dar igual que como contraseña tengamos un “delete database”, no se va a intoxicar ni va a borrarnos la base de datos. Las únicas restricciones que debemos imponer a un usuario son, precisamente, para que ofrezcan el efecto contrario: que la contraseña sea robusta. Longitud, no máxima sino mínima, inclusión de caracteres más allá de los alfanuméricos y algo importante: que no sea una contraseña “habitual”. Para esto último, disponemos de librerías y listas que analizan la predictibilidad de la contraseña propuesta por el usuario. Por ejemplo, el clásico “12345” o “qwerty”. Una contraseña para gobernarlas a todas El gran dilema al que se enfrenta el usuario con conocimientos medios de informática es el siguiente: “Dispongo de unos 30-40 sitios webs en los que tengo cuenta, ¿cómo recuerdo la contraseña de cada uno de ellos?” El flujo de pensamiento de un usuario (de cualquier usuario) es el mismo que el del agua: continuar por el camino que ofrezca menos resistencia. Por supuesto, la respuesta es: “una contraseña que recuerde fácilmente y que sea la misma para todos y cada uno de los sitios en los que tengo cuenta”. Precisamente, las listas de contraseñas más usadas se nutren de este vicio perverso. Así, aunque tengamos una función hash robusta, una sal perfecta y cifremos los hashes con una clave simétrica secreta y protegida, el eslabón débil seguirá siendo la contraseña del usuario, el aporte vago. El parámetro imperfecto. Ayudar al usuario es ponerle trabas y esas trabas es un aporte negativo al índice de usabilidad del sitio. Mal balance. Por lo tanto, más que obstáculos se han de crear alternativas solventes. Una de ellas es la centralización de las contraseñas en la forma de gestores. Es decir, generan, proponen, almacenan y disponen de estas cuando sean necesarias. Ya sean integrados en el navegador, como hemos visto por aquí, o en forma de software de terceros, un gestor de contraseñas, en su forma básica, nos permite obtener un muy razonable equilibrio entre seguridad y comodidad. La única contraseña que debemos recordar será la contraseña maestra o frase de paso necesaria para descifrar el contenido. Eso sí, el gestor es un punto de fallo único: se pierde la base de datos, se pierden todas y cada una de las contraseñas. Cambiemos el verbo “perder” por “comprometer” y el asunto se torna más trágico aún. Otro hecho sobre el que debemos dejar constancia aquí, vinculado en la mala práctica de reutilizar las contraseñas es que los atacantes no se limitan a usarlas sobre el sitio o servicio al que están ligadas. Efectivamente, esas mismas credenciales son puestas a prueba en otros sitios en los que el usuario comprometido posee una cuenta asociada. El segundo factor El plan B. Cuando todo está perdido ¿cómo evitamos que se use esa credencial robada o derivada del hash? Poniendo otra traba más al atacante. Protegemos el inicio de sesión con un nuevo anillo de seguridad, pero que esté basado en otro tipo de autenticación. Recordemos: lo que sabemos, tenemos o somos. Los códigos de un solo uso, el generador de códigos pseudo-aleatorios temporales, la lectura de la huella digital, etc. Cada vez nos vamos acostumbrando más a asociar el inicio de sesión a otra cerradura adicional. Incluso es una medida que sacrifica algo de seguridad en pro de la comodidad. Por ejemplo, exigir el segundo factor de seguridad cuando iniciamos sesión en un nuevo dispositivo o navegador o posición geográfica. No es la panacea, de acuerdo. Pero consigue hacer su función sin incomodar mucho al usuario y, aunque aun sigue siendo un opt-in, es un mecanismo que vuelve a ser sencillo y cómodo de implementar (hay disponibles decenas de librerías orientadas a la tarea) que cada vez está más presente en los sitios y aplicaciones web que no son top players. En este sentido, desde ElevenPaths, pensamos cómo mejorar la experiencia de uso del segundo factor de autenticación con una propuesta original, llevando este modelo mucho más allá: ¿Qué mejor compañero de una cerradura que un cómodo pestillo? Latch nos permite, no solo poseer un segundo factor de seguridad, sino algo más potente: desconectar la autenticación cuando esta no es necesaria. Posee plugins y SDK para numerosas aplicaciones y lenguajes de programación, incluso posee su propio gestor de TOTP para crear tokens de segundo factor de autenticación. En la parte cliente, existen aplicaciones para todas las principales plataformas móviles: Android, iOS, Blackberry y Windows Phone. https://xkcd.com/538/ Coda Las contraseñas no dejan de ser una mala solución para un problema que aparenta ser simple. El compromiso es que aunque hoy en día los sistemas más fiables y seguros que existen, o bien no son cómodos de usar, o requieren de un despliegue y recursos que no compensa el riesgo que se asume. Así pues, con estas compañeras de viaje, lo mejor que podemos hacer es anteponer las mejores prácticas disponibles, revisar los controles respecto a los avances existentes y cuidar que no aparezcan grietas que terminen por derrumbar nuestro trabajo. Recordemos la frase tan trillada: la seguridad no es un fin, es un proceso. Y añadimos: interminable. También te puede interesar: » Breve e incompleta historia de las contraseñas, aliados y enemigos (I) Programa ElevenPaths CSEElevenPaths Talks: Gestión de seguridad en dispositivos móviles
Juan Elosua Tomé Imágenes populares de Docker bajo la lupa de seguridad Descubre la investigación realizada por el centro de ciberseguridad TEGRA sobre las imágenes de esta tecnología utilizada en el desarrollo de aplicaciones.
ElevenPaths ElevenPaths Radio 2×09 – Entrevista a David Marugán ¿Qué es el radio hacking y para qué se utiliza? Nos lo cuenta en este episodio David Marugán, consultor de seguridad y especialista en radiocomunicaciones.
Área de Innovación y Laboratorio de ElevenPaths Creamos una herramienta para descifrar el ransomware VCryptor (disponible en NoMoreRansom.org) Descubre cómo funciona el ransomware VCryptor y la herramienta que hemos desarrollado como parte de la plataforma NoMoreRansom.org para descifrarlo.
Gonzalo Álvarez Marañón La seguridad detrás de la API de Apple y Google para el seguimiento de contagios de la COVID-19 ¿Cómo funciona la tecnología de Apple y Google desarrollada para las apps de rastreo de contagios de la Covid-19?
ElevenPaths #CodeTalks4Devs – SIEMs Attack Framework, cuando el punto vulnerable de la red no es el que esperabas Diego Espitia, Chief Security Ambassador de ElevenPaths, protagoniza esta edición en la que hablamos de las SIEMs y nuestra herramienta para analizar Implemetaciones.
ElevenPaths ElevenPaths logra el estatus de Competencia en Seguridad de Amazon Web Services ElevenPaths ha demostrado gran experiencia ayudando a los clientes a desplegar proyectos de seguridad que permiten proteger sus entornos en AWS.
