Gonzalo Álvarez Marañón Las 10 mejores charlas TED para aprender sobre ciberseguridad Descubre las 10 mejores charlas para aprender sobre ciberseguridad y, al mismo tiempo, sobre formas de mejorar tus propias presentaciones.
ElevenPaths Dark Commerce, un informe de ElevenPaths y Blueliv sobre la industria del cibercrimen El cibercrimen es una industria con una creciente economía de servicios, herramientas para la subcontratación, proveedores de servicios, canales y usuarios finales. Desde ElevenPaths nos hemos unido a la...
ElevenPaths Agenda de eventos en junio para estar al día en Seguridad Informática Hola hackers! El mes de junio llega cargados de eventos de seguridad, tecnología y hacking en los que desde ElevenPaths participaremos con diferentes charlas y ponencias: JNIC 2017 Desde el 31...
ElevenPaths La Alianza Global de Seguridad refuerza sus capacidades con la compartición de inteligencia de amenazas Telefónica, AT&T y Singtel aumentan sus esfuerzos para mejorar aún más la capacidad de detectar y eliminar las amenazas del entorno de los clientes.
Área de Innovación y Laboratorio de ElevenPaths CARMA, nuestro conjunto gratuito de muestras de malware de Android para investigación Presentamos CARMA, nuestro conjunto gratuito de muestras de malware de Android para mejorar las investigaciones en detección de malware, adware y PUP.
ElevenPaths Dark Commerce, un informe de ElevenPaths y Blueliv sobre la industria del cibercrimen El cibercrimen es una industria con una creciente economía de servicios, herramientas para la subcontratación, proveedores de servicios, canales y usuarios finales. Desde ElevenPaths nos hemos unido a la...
ElevenPaths Whitepaper “Detección de eventos maliciosos en Windows con Security Monitoring” En este whitepaper recogemos el trabajo realizado de manera conjunta entre Chief Data Officer de Telefonica y la unidad de Producto de ElevenPaths para realizar la detección de una...
Sergio De Los Santos Desencuentros en el mundo de los certificados y las CA: Google contra el mundo Ninguna industria se libra de miserias internas, peleas y desencuentros entre sus principales actores. En estos días, (o meses, o años) la industria de los certificados digitales se transforma...
Gonzalo Álvarez Marañón Las 10 mejores charlas TED para aprender sobre ciberseguridad Descubre las 10 mejores charlas para aprender sobre ciberseguridad y, al mismo tiempo, sobre formas de mejorar tus propias presentaciones.
Servicio CyberThreats (SCC Telefónica) Covid-19. Guía de riesgos y recomendaciones en ciberseguridad Nuestros expertos del Servicio de CyberThreats del SCC te cuentan los riesgos del coronavirus relacionados con la desinformación y con el teletrabajo.
ElevenPaths Autenticación fuerte sin contraseña con SmartID Desde ElevenPaths trabajamos para facilitar la vida al usuario final sin dejar de lado su seguridad. Por eso, para empresas de firma de documentos electrónicos, en ElevenPaths hemos desarrollado SealSign,...
Área de Innovación y Laboratorio de ElevenPaths Nueva herramienta: Masked Extension Control (MEC), no te fíes de las extensiones en Windows Windows confía demasiado en las extensiones para elegir el programa que debe procesar un archivo. Por ejemplo, cualquier fichero con extensión .doc será abierto con Word, independientemente de su...
Se filtra la mayor colección de usuarios y contraseñas… o no (I)David García 28 enero, 2019 De vez en cuando, alguien libera, por descuido (o no), una gigantesca colección de archivos de texto con millones de contraseñas en ellos. Un listado casi interminable de cuentas de correo acompañadas de una contraseña o su hash equivalente. Se repiten los titulares en los medios: “Se filtran millones de contraseñas…”. Si bien no es un titular falso, algunas veces sí que puede llegar a ser algo engañoso. En concreto hablamos del último “leak” masivo, apodado “Collection #1”. Hemos analizado este último leak gigantesco. Más allá de “Collection #1” que ha trascendido a los medios, nos hemos hecho con un superconjunto con más de 600 gigas de contraseñas. Es tan grande que en nuestros análisis llegamos a contar más de 12.000.000.000 de combinaciones de usuarios y contraseñas en bruto. A priori, un número astronómico pero lo importante aquí es que están “en bruto”. ¿Qué queda de interesante tras realizar alguna limpieza? Debemos tener en cuenta que una filtración de una filtración no es una filtración. Si hace meses o años alguien filtró una base de datos de cierto sitio, eso es un leak. Pero si alguien concatena ese archivo con otros y lo publica no es una filtración, simplemente está poniendo a disposición de Internet su colección particular de leaks. Desmitificando el leak: Repeticiones Las repeticiones se clasifican en dos tipos: Apariciones de la misma cuenta y misma contraseña Encontrar una misma cuenta con distinta contraseña En ambos casos, puede tratarse de la simple reutilización de una cuenta de correo y contraseña en múltiples sitios, fruto de la fusión de diferentes bases de datos de filtraciones. En ambos casos (independientemente de que sean válidas y sin contexto) podemos adelgazar los números de datos “diferentes”. Un vistazo rápido a estos 600 gigabytes de información nos muestra muchas cuentas repetidas. Si bien esta información puede resultar válida, ayuda a rebajar las posibilidades de usuarios afectados. Caducidad de los datos ¿Cuánto vale un leak de hace 6 meses? ¿Y uno de hace 5 años? ¿Y otro de diez años de antigüedad? Disponer de una cuenta de correo y una contraseña no significa acceso perpetuo a los secretos que se esconden tras el proceso de autenticación. Cada día que pasa esos datos valen menos. En general, este tipo de datos son como el pescado: se consumen frescos o se pudren rápido. Cuando se posee acceso a una cuenta con su correspondiente credencial, se dispone de un margen de tiempo hasta que el dueño es alertado y cambia la contraseña o el propio servicio detecta que la cuenta ha sido filtrada y la desactiva o la borra preventivamente. Ese estrecho margen o tiempo de vida del acceso es el valor inicial de la cuenta (luego entran en juego otras propiedades, como el dominio al que pertenecen o más jugoso… o a quién exactamente). Posteriormente, ya solo les servirá el correo electrónico y la credencial para ir probando suerte en otros servicios, emplearla para envíos de spam u otras estafas; pero eso es otra historia. Hemos realizado un pequeño experimento. Hemos concatenado todos los ficheros que contienen correos en el megaleak, les hemos quitado las contraseñas, y nos quedamos con un “todos.txt” de unos 200 gigabytes. De ellas seleccionamos un grupo de cuentas al pseudoazar (todo el azar que nos permiten las matemáticas y generadores del sistema): El ‘0.0001’ nos extrae una muestra mínima, pero cuando hablamos de estos números, suponen más de mil correos electrónicos. Además, “salida.txt” está filtrada sobre correos con dominios inexistentes, duplicados y servidores que no permiten verificar una cuenta a través de VRFY (comando del protocolo SMTP). Sobre esa muestra de más de mil correos, hemos comprobado su existencia. El resultado es que el 9,8 % no existía o nunca existió en el dominio. Casi un 10 % de las direcciones “hábiles” no están ya disponibles en sus respectivos servidores de correo. Nos atrevemos a afirmar que es extrapolable a esos 12.000.000.000. Esto sin contar que, en el caso de muchas de ellas, su contraseña ni siquiera sea válida. ¿Datos ficticios? Fijémonos en algunas entradas del botín. Observemos a simple vista que dominios no existen ni existieron nunca, puesto que no son dominios recogidos por la IANA. El ejemplo es ilustrativo, existen miles de TLD inexistentes en los múltiples archivos que componen el leak. Otro ejemplo sospechoso es el contenido mismo de algunos archivos, observemos: El rectángulo que hemos interpuesto para no exponer los datos podría despistar, pero se trata de una lista donde la cadena [email]:[password] es de exactamente 32 caracteres. Ni uno más, ni uno menos. 32 caracteres donde ya sea por la longitud del correo o la contraseña, todos miden lo mismo y forman una columna sospechosamente perfecta. Puede ser que el atacante los haya ordenado, pero resulta siempre curioso, porque no se trata de un solo archivo con miles y miles de correos con esa exacta longitud. Dentro del leak existen otros archivos donde la longitud de la cadena es tanto mayor como menor, pero siempre homogénea. No se nos ocurre utilidad práctica la de disponer de listas de cadenas compuestas por correo-password de igual longitud. ¿Podríamos hablar de que han sido generados así de alguna forma? ¿Entonces, es grave? En teoría sería necesario validar muchos factores, pero con 12.000.000.000 de combinaciones, la operativa resulta cuando menos compleja. Con estas simples muestras y ejemplos que hemos tomado, podríamos aventurarnos a afirmar que esta colección sí que se trata de un conjunto de datos valioso, pero no desde la perspectiva de la privacidad o del destrozo a la intimidad de los usuarios, sino como sistema de diccionario de cuentas. Creemos que concluir que “una cuenta filtrada equivale a poder acceder al correo o los datos de una persona” es un razonamiento aventurado. El número útil de estas cuentas es inmensamente más reducido, ya sea por su caducidad, o porque simplemente, ni tan siquiera existieron. Creemos que en el leak hay información muy poco actualizada o contrastada e incluso así, se ha engordado artificialmente. En cualquier caso, un aspecto muy positivo de estos anuncios es que al menos hay una pequeña parte del público general que se anima a cambiar de contraseñas, un diminuto sector de estos que adopta un gestor de contraseñas y unos pocos que incluso activan el segundo factor de autenticación. Algo es algo. En la segunda parte veremos más curiosidades de este gigantesco archivo. También te puede interesar: » Se filtra la mayor colección de usuarios y contraseñas… o no (II) Campañas de concienciación para empleadosEl futuro post-cuántico está a la vuelta de la esquina y aún no estamos preparados
Gonzalo Álvarez Marañón Las 10 mejores charlas TED para aprender sobre ciberseguridad Descubre las 10 mejores charlas para aprender sobre ciberseguridad y, al mismo tiempo, sobre formas de mejorar tus propias presentaciones.
Área de Innovación y Laboratorio de ElevenPaths CARMA, nuestro conjunto gratuito de muestras de malware de Android para investigación Presentamos CARMA, nuestro conjunto gratuito de muestras de malware de Android para mejorar las investigaciones en detección de malware, adware y PUP.
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 23-27 de marzo COVID-19 – Nueva campaña del malware Ginp en España El equipo de investigadores de Kaspersky ha detectado una nueva campaña del troyano bancario Ginp, utilizado para robar credenciales bancarias...
ElevenPaths ElevenPaths Radio – Teletrabajo seguro Cada vez es más común ver empresas que ofrecen a sus trabajadores la posibilidad de trabajar desde casa, compaginándolo con trabajo desde la oficina, e incluso empresas que nacen...
Servicio CyberThreats (SCC Telefónica) Covid-19. Guía de riesgos y recomendaciones en ciberseguridad Nuestros expertos del Servicio de CyberThreats del SCC te cuentan los riesgos del coronavirus relacionados con la desinformación y con el teletrabajo.
ElevenPaths Dark Commerce, un informe de ElevenPaths y Blueliv sobre la industria del cibercrimen El cibercrimen es una industria con una creciente economía de servicios, herramientas para la subcontratación, proveedores de servicios, canales y usuarios finales. Desde ElevenPaths nos hemos unido a la...
