ElevenPaths Noticias de Ciberseguridad: Boletín semanal 19-25 de septiembre Nuevo vector de ataque para vulnerabilidad en Citrix Workspace El investigador de seguridad de Pen Test Partners, Ceri Coburn, ha descubierto un nuevo vector de ataque para la vulnerabilidad CVE-2020-8207...
ElevenPaths Ciberseguridad para la digitalización industrial: claves para abordarla con éxito Descubre la oferta de ElevenPaths en Ciberseguridad Industrial y transfórmate digitalmente de manera segura.
ElevenPaths Telefónica celebra el evento Network Innovation Day: Seguridad para construir la red del futuro Porque necesitamos una red cada vez más flexible y basada en software, este año queremos compartir contigo nuestra visión sobre cómo será la red del futuro. Telefónica organiza el próximo...
ElevenPaths Informe de tendencias: Estado de la Ciberseguridad de las empresas españolas El equipo de analistas de ElevenPaths ha realizado un estudio que tiene como objetivo reflejar el estado de ciberseguridad tanto de las empresas españolas a nivel general, como de...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 19-25 de septiembre Nuevo vector de ataque para vulnerabilidad en Citrix Workspace El investigador de seguridad de Pen Test Partners, Ceri Coburn, ha descubierto un nuevo vector de ataque para la vulnerabilidad CVE-2020-8207...
ElevenPaths Ciberseguridad para la digitalización industrial: claves para abordarla con éxito Descubre la oferta de ElevenPaths en Ciberseguridad Industrial y transfórmate digitalmente de manera segura.
ElevenPaths Gestión de incidentes (II) Habiendo visto en la primera entrega, Gestión de Incidentes (I), los conceptos básicos de la gestión de incidentes, pasaremos a ver en este artículo, tal y como lo prometimos,...
Pablo González Pérez Liberamos iBombShell 0.0.1b en el repositorio de Github de ElevenPaths Esta entrada va dedicada a la herramienta iBombShell, también apodada como Dynamic Remote Shell. Esta nueva tool del departamento de Ideas Locas del área de Chief Data Office (CDO) en colaboración con el...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 19-25 de septiembre Nuevo vector de ataque para vulnerabilidad en Citrix Workspace El investigador de seguridad de Pen Test Partners, Ceri Coburn, ha descubierto un nuevo vector de ataque para la vulnerabilidad CVE-2020-8207...
ElevenPaths Ciberseguridad para la digitalización industrial: claves para abordarla con éxito Descubre la oferta de ElevenPaths en Ciberseguridad Industrial y transfórmate digitalmente de manera segura.
ElevenPaths ElevenPaths Radio 2×10 – Entrevista a Elad Rodríguez Los gobiernos de todo el mundo están lanzando apps de rastreo de contagios. Sin embargo, a pesar de su loable objetivo de frenar la expansión de la pandemia y...
ElevenPaths Una introducción al Trusted Execution Enviroment ¿Quién no tiene hoy en día un “smartphone”? La aparición primero del iPhone pero sobre todo la aparición de Android ha propiciado que actualmente casi todo el mundo...
El negocio de las “FakeApps” y el malware en Google Play (V): Limpieza automáticaElevenPaths 7 abril, 2014 Seguimos observando las apps falsas en Google Play. En esta entrada estudiaremos qué estrategias sigue Google Play para limpiar su store e intentar mitigar el problema. ¿Qué herramientas utiliza? ¿Cuánto tarda en retirar apps? ¿Cuántas retira? Los esfuerzos de limpieza: Bouncer En febrero de 2012, Google lanza Bouncer. Se trataba de una especie de filtro (sandbox) por la que pasarían las apps antes de ser publicadas. Pretendía, por un lado, detectar y eliminar las amenazas antes de subirlas al repositorio. Por otro, estudiar a los desarrolladores y denegar el acceso a posibles defraudadores. Aunque se trataba de una buena medida, parece que no ha conseguido completamente su objetivo por varias razones. ¿Han subido las cifras? El malware sigue siendo un problema en Google Play. Para algunas compañías, incluso ha empeorado. Según RiskIQ, en 2011 existían 11.000 apps en Google Play que contenían malware capaz de robar información o hacer fraude. En 2013, se eleva a 42.000. Esto suena muy escandaloso, pero el número de apps almacenadas ha subido también considerablemente, por tanto es mejor acudir a los términos relativos (que no aparecen en los titulares). Esto supone que según RiskIQ en Google Play había un 2.7% de apps maliciosas en 2011, 9.2% en 2012 y 12.7% en 2013. ¿Son estos datos precisos o se exageran porque RiskIQ vende un producto que intenta luchar precisamente contra ese problema? No podemos estar al 100% seguros. Por ejemplo, no queda claro por qué en el informe se habla de 42.000 apps maliciosas y que esto supone un 12.7% de Google Play. Si es así, hablaríamos de poco más de 332.000 aplicaciones, cuando existen muchas (muchísimas) más apps en esa Store. También puede incluso que el dato sea peor, debido a (como siempre) el problema de clasificar el malware. ¿Se le escapa malware? Depende de sus técnicas. En concreto RiskIQ parece que huye de firmas, y que analiza el comportamiento directamente en el tráfico, con un sistema que emula usuarios reales. En principio no parece una mala aproximación. También especifica qué es malware para ellos. Literalmente dicen que “RiskIQ solo cuenta apps de Android en Google Play como maliciosas si son o contienen spyware y troyanos SMS que”: Recojan coordenadas GPS, lista de contactos, emails, etc. par terceros. Envíen mensajes premium. Suscriban el teléfono a servicios premium. Graben conversaciones y las envíen a atacantes. Permitan tomar el control del teléfono infectado. Descarguen otro malware a los teléfonos infectados. Quizás el primer punto no quede claro. ¿Con solo recoger coordenadas GPS ya se considera malware? Entonces las cifras podrían estar muy distorsionadas. RiskIQ pone la guinda añadiendo que además de existir más malware, es retirado más lentamente del Store. En 2011 se retiraban un 60% de las apps maliciosas, en 2012 un 40% y en 2013 un 23%. Aunque este dato requiere conocer cuánto tiempo de margen se da a Google Play para que retire una aplicación, y eso tampoco queda claro. App retirada en Google Play Bouncer ha sido eludido en varias ocasiones Una sandbox, por simple diseño del programa, puede no detener malware. Por ejemplo, unos meses después de su lanzamiento, en junio de 2012, Jon Oberheide y Charlie Miller descubrieron que Bounce utiliza un entorno virtual QEMU y que todas las solicitudes de Google procedían de un bloque de IPs específico. Los investigadores crearon y enviaron aplicaciones falsas a Google Play que se dedicaron a registrar los procesos del sistema y lanzar una conexión inversa a sus propios servidores cuando eran ejecutadas en Bouncer. Así demostraron varios puntos débiles, que pueden ser aprovechados fácilmente por los desarrolladores de código malicioso implementando aplicaciones que se comporten como legítimas cuando se detecten corriendo en ese entorno virtual específico. Luis Delgado, como prueba de concepto, también fue capaz de subir una app con capacidades de control remoto a principios de 2012, disfrazada de programa que solo necesitaba acceso a la red. Bloxor, creada en 2012 como prueba de concepto. Trustwave explicó también en la conferencia de seguridad Black Hat 2012 en Las Vegas que es posible eludir el sistema Bouncer con una aplicación maliciosa, pero con otros métodos. Nicolas Percoco y Sean Schulte desarrollaron SMS Bloxor, una aplicación para bloquear los mensajes de texto procedentes de determinados números de teléfono… pero que además robaba datos personales tales como fotos, mensajes de texto, contactos, registros de llamadas, e incluso podía realizar ataques de denegación de servicio. Para conseguirlo, reprimían el comportamiento malicioso de la aplicación cada vez que detectaba que estaba siendo analizada por Bouncer. Además, idearon un puente JavaScript, una solución legítima que permitía a los desarrolladores añadir nuevas características maliciosas de forma remota a aplicaciones que ya habían sido aceptadas. Mantuvieron la app en Google Play durante semanas, cada vez añadiendo más comportamiento malicioso. Para evitar que fuese descargada, se puso a un precio desorbitado. El problema de eludir las sandbox no es nuevo ni fácil de solucionar. Las casas antivirus desde siempre se han enfrentado a elusiones de sistemas de sandbox (las que utilizan para la clasificación rápida y automática de malware) y al comportamiento de los programas como malware “en diferido”, tras pasar por la sandbox como legítimos. Y aun hoy, siguen luchando contra estas técnicas que los atacantes ponen habitualmente en práctica. Muchas de estas técnicas, actualmente ya no son posibles tal y como fueron descubiertas, gracias a mejoras introducidas en el sistema, pero no por ello imposibles de conseguir. Atacantes reincidentes No es del todo cierto que a los atacantes se les deniegue el acceso y se les suspenda la cuenta cuando suben apps fraudulentas y estas son detectadas. Hemos visto cómo Google Play retiraba apps de un developer fraudulento (con infracciones graves), sin retirarle la cuenta. El último ejemplo es bastante reciente con el malware que minaba criptomonedas. En la próxima entrega incidiremos sobre cuánto tardan las apps en ser retiradas y en otros métodos de limpieza. * El negocio de las “FakeApps” y el malware en Google Play (I): Introducción * El negocio de las “FakeApps” y el malware en Google Play (II): Tipos de “fakes” * El negocio de las “FakeApps” y el malware en Google Play (III): Estrategias * El negocio de las “FakeApps” y el malware en Google Play (IV): Política y rentabilidad * El negocio de las “FakeApps” y el malware en Google Play (V): Limpieza automática * El negocio de las “FakeApps” y el malware en Google Play (VI): Limpieza “manual” * El negocio de las “FakeApps” y el malware en Google Play (VII): Cómo llegan a las víctimas * El negocio de las “FakeApps” y el malware en Google Play (VIII): Permisos en las apps * El negocio de las “FakeApps” y el malware en Google Play (IX): ¿Qué hacen y cómo se programan las apps? Sergio de los Santos ssantos@11paths.com @ssantosv Curiosidades sobre el malware para Android que mina LitecoinsHow to implement Oauth protocol in Powershell (an example with Latch)
ElevenPaths Ciberseguridad para la digitalización industrial: claves para abordarla con éxito Descubre la oferta de ElevenPaths en Ciberseguridad Industrial y transfórmate digitalmente de manera segura.
Samuel Bonete Satorre Redefiniendo la seguridad en la nube con SASE Para un momento y piénsalo fríamente: ¿qué porcentaje de tu tráfico en Internet termina en sitios web o navegación tradicional y qué proporción en servicios SaaS? Si lo analizamos...
ElevenPaths Presentamos a los nuevos Chief Security Envoys (CSEs) de ElevenPaths para 2020 Desde hace varios años, en ElevenPaths contamos con la figura de los CSAs (Chief Security Ambassadors). Se trata de expertos en ciberseguridad, embajadores de nuestra marca alrededor del mundo...
Gonzalo Álvarez Marañón El futuro de las firmas digitales para proteger tu dinero está en la criptografía con umbral Las criptodivisas han llegado para quedarse pero, ¿cómo de robusta es su seguridad? Analizamos varias alternativas criptográficas en este artículo.
ElevenPaths ElevenPaths Radio 2×15 – Entrevista a Helena Matute ¿Cómo tomamos decisiones los humanos? Cuando no contamos con todos los datos necesarios para tomar una decisión perfectamente informada ni disponemos de tiempo suficiente, recurrimos a atajos mentales, cuentas...
Área de Innovación y Laboratorio de ElevenPaths Nueva versión de nuestro SIEM Attack Framework, ahora con 7 fabricantes Actualizamos nuestra herramienta open source SIEM Attack Framework, destinada al análisis de seguridad que permite detectar vulnerabilidades.
