ElevenPaths Presentamos los Digital Operation Centers, el lugar donde se integran todos los servicios digitales durante el SID2019 La Unidad de Ciberseguridad de Telefónica celebra su VII Security Innovation Day, bajo el lema Guards for Digital Lives. Cuenta con ponentes de la talla de Chema Alonso, Pedro...
ElevenPaths ElevenPaths Radio – 1×11 Entrevista a Juan Santamaría Disfruta de la entrevista a Juan Santamaría, CEO de Panda Security, en ElevenPaths Radio, nuestro podcast sobre ciberseguridad.
Juan Elosua Tomé FARO: herramienta para la detección de información sensible en documentos Hoy en día, cualquier organización puede llegar a generar y gestionar una cantidad considerable de documentación directamente relacionada con su actividad diaria. Es habitual que una parte importante de...
ElevenPaths Agenda de eventos en junio para estar al día en Seguridad Informática Hola hackers! El mes de junio llega cargados de eventos de seguridad, tecnología y hacking en los que desde ElevenPaths participaremos con diferentes charlas y ponencias: JNIC 2017 Desde el 31...
Andrés Naranjo Cuando el phishing encontró el breach replay Todos recibimos emails falsos de cibercriminales pero, ¿cómo pretenden afectarnos? Te explicamos qué es el phishing y el breach replay entre otras técnicas.
ElevenPaths Presentamos los Digital Operation Centers, el lugar donde se integran todos los servicios digitales durante el SID2019 La Unidad de Ciberseguridad de Telefónica celebra su VII Security Innovation Day, bajo el lema Guards for Digital Lives. Cuenta con ponentes de la talla de Chema Alonso, Pedro...
ElevenPaths Qué hemos presentado en el Security Day (IV): Latch, plugins ganadores y más hacks Llegamos al final de la serie del Security Day 2015. Sabéis que desde ElevenPaths desarrollamos Latch, como solución de 2FA (segundo factor de autenticación) y cuando lo creamos, estuvimos...
Gabriel Bergel Lazarus, levántate y camina… Haciendo alusión a la frase celebre que le dice Jesús a Lázaro cuando lo resucita quiero partir este post, pero en este caso el protagonista no es el personaje bíblico,...
Andrés Naranjo Cuando el phishing encontró el breach replay Todos recibimos emails falsos de cibercriminales pero, ¿cómo pretenden afectarnos? Te explicamos qué es el phishing y el breach replay entre otras técnicas.
ElevenPaths Presentamos los Digital Operation Centers, el lugar donde se integran todos los servicios digitales durante el SID2019 La Unidad de Ciberseguridad de Telefónica celebra su VII Security Innovation Day, bajo el lema Guards for Digital Lives. Cuenta con ponentes de la talla de Chema Alonso, Pedro...
ElevenPaths Matamos las contraseñas. Compruébalo por ti mismo Seguro que eres de los que abandonan los sitios web cuando te piden que te registres. Seguro que has utilizado la función de “recuperar contraseña” al menos una vez...
Área de Innovación y Laboratorio de ElevenPaths Cómo se está disfrazando (y ocultando) Emotet y el malware de macro en los últimos tiempos El malware de macro es una amenaza muy activa en estos tiempos, en este artículo presentamos tres ejemplos de amenazas a través de Office.
Estudio: Sobreexposición de credenciales de Amazon en appsElevenPaths 16 noviembre, 2015 Cada vez más frecuente el desarrollo de aplicaciones móviles que interactúan con servicios comunes en entornos de movilidad como Amazon Simple Storage Service (S3), Amazon Simple Notification Service (SNS), Amazon Simple Queue Service (SQS) o Amazon Mobile Analytics. Para interactuar con estos servicios, las apps necesitan comunicarse con ellos y autenticarse con algún tipo de credencial (habitualmente basado en tokens). Hemos identificado prácticas de programación inseguras en forma de gestión incorrecta de credenciales de acceso, que podrían permitir a un atacante modificar el comportamiento de las apps afectadas. Gestión de identidades en Amazon AWS Los desarrolladores de apps móviles necesitan sus propias claves de acceso para realizar llamadas programáticas a los servicios Amazon. Pueden usar el AWS Command Line Interface (AWS CLI) , los SDKs de AWS, o llamadas HTTP directas usando las APIs para servicios individuales de AWS. Esto último es lo más común en las comunicaciones de las apps. Desde la consola de administración de Amazon, se pueden crear, modificar, ver o rotar las claves de acceso, conocidas como access key y secret key. Estas claves de acceso son válidas para interactuar de forma programática con el contenido o servicios ofrecido por Amazon. Las apps que hagan uso de este contenido, deberán por tanto conocer las claves de acceso. Aunque existen métodos más adecuados, algunos programadores incrustan esta información en la propia app. Si el acceso es de solamente de lectura, esto puede resultar en una mala práctica de programación, pero no en un problema de seguridad necesariamente. Sin embargo, si los permisos están mal establecidos, existe la posibilidad de controlar el contenido. Si además las contraseñas son accesibles por cualquiera que analice la aplicación, un atacante podría modificar ese contenido que más tarde será usado por la app. Si no se toman las medidas necesarias a la hora de establecer los permisos de acceso de las API keys, cualquiera con acceso a las claves podría no solo tener acceso a la información, sino modificarla. Las claves de acceso pueden ser introducidas en una app a través de un archivo de credenciales que se encuentra dentro del APK, en texto claro. Así, resulta más fácil la gestión y mantenimiento de la app. Este fichero se genera a través del AWS CLI. Por defecto su nombre es AWSCredentials.properties, y su formato similar al que se adjunta bajo estas líneas: Ejemplo (falso) de credenciales Mediante el uso de Tacyt, la herramienta de ciberinteligiencia de apps móviles de ElevenPaths, se ha buscado cuántas apps en los diferentes markets monitorizados contienen un fichero de este tipo, realizándose una comprobación posterior de la naturaleza de las credenciales asociadas. Búsqueda en Tacyt de APKs con este tipo de ficheros Nuestra base de datos, compuesta por 4.5 millones de apps, hemos localizado 1.635 ficheros APK que contienen un archivo de este tipo en el momento de redacción del presente informe. Esas 1.635 corresponden a apps y además versiones diferentes de esa misma app (hashes) almacenadas en nuestra base de datos. Las apps únicas (independientemente de su versión, y atendiendo a nombre de paquete único) son en realidad 478 apps diferentes repartidas en diferentes markets. Se ha realizado un pequeño estudio comprobando en qué situación se encuentran las credenciales encontradas y qué peligro representan. Análisis de los datos Tras el análisis de las apps que contenían ficheros que potencialmente podrían suponer un problema de seguridad, este es el resultado obtenido: De todas las apps estudiadas, 102 ya no se encuentran en el market oficial y han sido retiradas. Aunque hayan sido retiradas, siguen suponiendo un problema, puesto que las apps permanecen en los dispositivos instalados, además de que las credenciales no dejan de ser válidas por ello. Hemos encontrado 478 apps diferentes que contienen credenciales válidas. 408 de ellas en Google Play. Sin embargo, el número de claves de acceso diferentes encontrado en todos los markets no es excesivamente alto: 63. Esto quiere decir, que varias de esas 63 credenciales se encuentran repartidas entre las diferentes apps. En otras palabras: muchos desarrolladores supuestamente diferentes comparten cuentas de AWS válidas. En concreto, dos credenciales diferentes se comparten en 523 y 196 versiones diferentes de las apps. Solo hay 26 credenciales únicas que no son compartidas y que se encuentran en una única app. De los 63 encontrados, 37 access key siguen siendo operativas, lo que significa que permiten realizar el proceso de autenticación de forma correcta. Las access key válidas compartidas siguen la siguiente distribución. De entre las válidas, una se encuentra repartida en 523 versiones diferentes de diferentes apps. De ellos, hemos podido obtener los permisos (ACL) de 26 credenciales. 22 claves de acceso mantenían FULL CONTROL con esas credenciales. Esto significa que se podía leer, escribir e incluso modificar algún contenido alojado en Amazon. El resto, permitían la escritura, con lo que a efectos prácticos, también supone un problema de seguridad. Las credenciales encontradas en Google Play están repartidas entre 408 apps diferentes. A su vez, muchos desarrolladores aparentemente distintos comparten credenciales. Llama la atención una misma credencial presente en 74 developers diferentes, cada uno con sus respectivas apps. De los 74 desarrolladores en Google Play que comparten credencial, cabe destacar que la mayoría parecen ser empresas de publicación de revistas y medios de comunicación en general, algunos bastante conocidos. Esto hace pensar que las apps de estas empresas han sido desarrolladas por un mismo equipo, que ha reutilizado de alguna manera parte de los recursos, entre ellos, la infraestructura en la nube y con ella las credenciales de acceso. Este cruce de credenciales compartidas entre apps diferentes que cargan contenido alojado en un tercero, abre una ventana de ataque interesante, dependiendo de los permisos de las credenciales. Es necesario matizar que no todas las apps que contienen credenciales tienen por qué hacer uso de ellas. Puede suponer simplemente una mala práctica por disponer de los permisos adecuados, lo que implica que, aunque suponga una exposición de información sensible, en la práctica no abre ninguna brecha de seguridad ni posibilidad de ataque contra los usuarios de la app o los desarrolladores. El informe completo está colgado aquí: Estudio de sobreexposición de credenciales de Amazon en aplicaciones móviles from ElevenPaths The Android Trojan preinstalled in Amazon Tablets is in Google Play as wellTodo lo que vimos en Security Innovation Day 2015 (IV): el nuevo enfoque de la seguridad gestionada
Andrés Naranjo Cuando el phishing encontró el breach replay Todos recibimos emails falsos de cibercriminales pero, ¿cómo pretenden afectarnos? Te explicamos qué es el phishing y el breach replay entre otras técnicas.
ElevenPaths Presentamos los Digital Operation Centers, el lugar donde se integran todos los servicios digitales durante el SID2019 La Unidad de Ciberseguridad de Telefónica celebra su VII Security Innovation Day, bajo el lema Guards for Digital Lives. Cuenta con ponentes de la talla de Chema Alonso, Pedro...
Gonzalo Álvarez de Marañón La criptografía insegura que deberías dejar de usar En este artículo hablamos de criptografía, algoritmos y por qué deberías dejar de utilizar aquellos que se quedan obsoletos para evitar vulnerabilidades.
ElevenPaths ElevenPaths Radio – 1×11 Entrevista a Juan Santamaría Disfruta de la entrevista a Juan Santamaría, CEO de Panda Security, en ElevenPaths Radio, nuestro podcast sobre ciberseguridad.
Sergio De Los Santos Los métodos para bloquear (si quieres) DoH en la red interna DoH (DNS over HTTPS) es la solución por la que apuesta Firefox pero ¿rompe más de lo que arregla? Cómo deshabilitar DoH en Chrome y Firefox, en este post.
Andrés Naranjo Ransomware: el azote de las Pymes Últimamente no dejan de repetirse las noticias sobre nuevos ataques con ransomware. En este post te explicamos por qué son importantes para las pymes.
