ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
ElevenPaths #CyberSecurityPulse: Ups, salí a correr y publiqué información de localizaciones secretas La aplicación de seguimiento de fitness llamada Strava publicó el pasado 1 de noviembre un mapa de calor que mostraba la actividad de sus usuarios en todo el mundo,...
ElevenPaths Eventos en los que participamos en el mes de Abril Como cada mes, os dejamos este post resumen con los principales eventos que visitaremos este mes de abril. ¡Hasta pronto, hacker!
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
ElevenPaths Detectados (muchos) Flash Player falsos en Google Play… y cuánto han ganado con las estafas Google Play, como consecuencia de su política de aceptación de apps, aloja frecuentemente programas falsos (que abusan de marcas y permisos) o malware puro y duro. Este hecho en sí,...
ElevenPaths Nuevo plugin inteligente para FaasT: HPKP y HSTS Desde nuestro laboratorio se ha creado un nuevo plugin para FaasT que comprueba de forma inteligente la tecnología HSTS y HPKP no solo evaluando la presencia de estas cabeceras,...
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
ElevenPaths Historias de #MujeresHacker: Marta Pérez, experta en User Research de Telefónica Aura Esta semana presentamos la historia de Marta Pérez que, como User Researcher en Telefónica Aura, vive con pasión la investigación de usuarios y la gestión de ideas, y su experiencia...
ElevenPaths ElevenPaths Radio – 1×11 Entrevista a Juan Santamaría Disfruta de la entrevista a Juan Santamaría, CEO de Panda Security, en ElevenPaths Radio, nuestro podcast sobre ciberseguridad.
Las ¿excusas? de AdobeElevenPaths 4 octubre, 2013 Parece que han entrado hasta las entrañas de la red de Adobe y los atacantes ha conseguido acceso a los recursos más valiosos de la compañía: el código fuente de varios productos, los datos de pago de tres millones de clientes y las cuentas de un número indeterminado de usuarios. Hace justo un año, ya entraron en la red de Adobe y consiguieron robar un certificado para firmar código. Brad Arkin, Chief Security Officer de Adobe, debe afrontar otro golpe. Brian Krebs y Alex Holden le avisaban de que en un servidor de un atacante se podía acceder a 40 gigabytes de datos que parecían corresponderse con el código fuente de sus productos estrella ColdFusion y Acrobat. Una vez “descubierto” el robo, Adobe confirma que es consciente desde el 17 de septiembre que se había comprometido su red, y que probablemente los atacantes accedieron al repositorio en agosto de 2013. Código fuente de ColdFusion. Fuente: Brian Krebs Añade que se han robado casi tres millones de datos de tarjetas de crédito de clientes, pero que estaban cifrados. También cuentas de usuarios de algunos de sus servicios. Destaca que ha llevado a cabo un riguroso control del código distribuido a clientes desde que se piensa que ocurrió la intrusión y que parece que los atacantes no han troyanizado el producto aunque hayan podido robar el código. Aun así, se encuentran en medio de toda la investigación, y todavía no están seguros de hasta dónde han llegado. Por ahora, solo dice que ha podido ocurrir a través de algún producto que no estuviese actualizado… irónicamente, es posible que se trate de alguna versión de su propio ColdFusion que utilizaba la compañía. ¿Excusas? En las “preguntas frecuentes” que oficialmente ofrece Adobe sobre el incidente, hay dos que llaman la atención. Traducimos las preguntas y sus respuestas. ¿Cómo ha ocurrido? “Nuestra investigación está en marcha. Los ciberataques son una desafortunada realidad que sirve para hacer negocio hoy. Dado el perfil y lo popular de muchos de nuestros productos, Adobe ha atraído cada vez más atención de los ciberatacantes” ¿Adobe parece tener muchos problemas de seguridad. ¿Por qué?[Repite la respuesta a la pregunta anterior] y añade. “Estamos trabajando con esmero internamente, y también con socios externos y las fuerzas de seguridad, para abordar el incidente. Valoramos la confianza de nuestros clientes y trabajaremos agresivamente para evitar que este tipo de incidentes ocurran en el futuro” La primera pregunta, es pertinente, pero la respuesta realmente no la satisface. Ser un producto popular obviamente atrae a los atacantes, pero no es una excusa cuando se sufre un ataque. Un producto popular, requiere de una seguridad acorde. En todo caso, no hay que confundir producto y compañía. Los productos de Adobe son obviamente increíblemente usados y atacados. Pero solo en los últimos años (a partir de la versión X) Adobe ha mejorado la seguridad de Acrobat, por ejemplo. Sus productos atraen la atención, y precisamente por eso merecen ser protegidos con la mejor tecnología por “respeto” a sus usuarios. Tanto a nivel de producto como a nivel de la red desde donde son creados. En este caso hablamos de que los atacantes han roto la seguridad de la compañía. Es cierto que su objetivo ha podido ser el código fuente de sus productos con el fin de estudiarlo y descubrir nuevos fallos. Pero también es posible que ese haya sido un simple efecto colateral de haberse colado en la red y que, ante la posibilidad de obtenerlo, obviamente lo hayan robado. No hay que dar por hecho que han entrado en su red a por el código fuente. Han entrado en su red porque han podido. En un ataque anterior sufrido en julio de 2012 pero anunciado en septiembre, entraron en sus sistemas de “build” de software y consiguieron firmar código con sus certificados. Adobe confirmó la existencia de malware en ese sistema (probablemente puertas traseras). Se trata de una máquina absolutamente crítica, pero aunque no dieron detalles, dejan entrever que entraron en más máquinas y usaron amenazas persistentes (el mantra usado por muchos en cada intrusión) para saltar al sistema deseado. Entonces dijeron haber aprendido la lección y que al menos no habían accedido al código fuente. Un año después, no pueden afirmar lo mismo. En la segunda pregunta (valiente por su parte y necesaria) tampoco responden. Repiten la respuesta anterior, como si el “cómo” y el “por qué” merecieran la misma respuesta. Efectivamente Adobe sufre problemas de seguridad tanto en su producto estrella Adobe Acrobat y (como demuestran dos incidentes tan graves en solo un año) además en su red interna. En este espacio de tiempo han conseguido acceso a sus recursos más críticos: código fuente, certificados digitales, datos bancarios de clientes, y contraseñas de usuarios. Es cierto que muchas grandes compañías han sufrido ataques e incluso han podido acceder a parte de su código fuente, pero el caso de Adobe es significativo por varias razones, además de plantear algunas preguntas interesantes: ¿Realmente las grandes compañías mejoran de forma eficaz la seguridad después de un incidente? ¿Se aprende la lección? Seguro que Adobe mejoró la seguridad de procesos y sistemas, pero, ¿acaso los atacantes siempre están un paso por delante? ¿Es posible escapar de un ataque sofisticado cuando eres tan popular? ¿Hubiera hecho público Adobe el incidente si Brian Krebs y Alex Holden no hubieran descubierto el botín colgado en un servidor? Un mal consejo Por último, Adobe escribe “no estamos al tanto de ningún riesgo específico para nuestros clientes que se incremente como resultado de este incidente”. Los atacantes no suelen mirar el código fuente de los programas para buscar fallos de seguridad. Prefieren fuzzers. Sin embargo, el disponer del código sí que puede facilitarles el trabajo una vez detectado un problema, para comprobar si es explotable o no. También ahorra tiempo a la hora de crear un exploit. Así que se podría decir que en cierta manera, sí que se ha elevado el riesgo para los usuarios de productos Adobe. Sergio de los Santos ssantos@11paths.com @ssantosv Los atacantes aceleran la incorporación de vulnerabilidades recientes en sus kitsWatering hole: nuevos términos para ¿nuevos? ataques
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityReport20H2: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe...
ElevenPaths ElevenPaths Radio 3×07 – Entrevista a Mercè Molist ¿Conoces la historia del hacking en España? Primero debemos conocer su ética, su forma de vida y de pensamiento, su cultura… Para hablar sobre hackers y hacking en España, tenemos...