ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 10-14 de febrero Descubre las noticias de ciberseguridad más relevantes de esta semana en este informe de nuestros expertos del Security Cyberoperations Center.
ElevenPaths Informe de tendencias: Ciberamenazas Hacktivistas 2019 Las amenazas hacktivistas han seguido ganando terreno durante 2019, especialmente asoaciados a movimientos ideológicos pero, ¿qué peligros implican?
Fran Ramírez JNIC 2018, nuestra experiencia y presentación oficial del paper de las Hidden Networks Han finalizado las jornadas JNIC 2018 en San Sebastián y ElevenPaths ha estado allí presentando nuestro paper de Hidden Networks llamado “Discovering and Plotting Hidden Networks created with USB Devices”. También estuvimos presentando los nuevos...
ElevenPaths ElevenPaths Talks: BioHacking ¡Regístrate aquí! El próximo jueves 29 de septiembre nuestro compañero Gabriel Bergel impartirá una charla sobre BIO Hacking en la que se abordarán los conceptos y el lenguaje básico del BioHacking, tratando así...
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 10-14 de febrero Descubre las noticias de ciberseguridad más relevantes de esta semana en este informe de nuestros expertos del Security Cyberoperations Center.
ElevenPaths Informe de tendencias: Ciberamenazas Hacktivistas 2019 Las amenazas hacktivistas han seguido ganando terreno durante 2019, especialmente asoaciados a movimientos ideológicos pero, ¿qué peligros implican?
ElevenPaths EMET, ¿es oro todo lo que reluce? EMET, de Microsoft, es una gran herramienta, pero a medida que gana popularidad, parece que se van encontrando algunos fallos, según algunos titulares recientes. ¿Pero qué hay de cierto?...
ElevenPaths The weakest hand (on security) Users have much more at stake in the digital world than ever before. Arguably as much or more, even, than our employers: our personal and professional reputations, livelihood, assets,...
ElevenPaths Informe de tendencias: Ciberamenazas Hacktivistas 2019 Las amenazas hacktivistas han seguido ganando terreno durante 2019, especialmente asoaciados a movimientos ideológicos pero, ¿qué peligros implican?
ElevenPaths ElevenPaths Radio – 2×01 Entrevista a Mario García Comenzamos la segunda temporada de nuestros podcast con esta interesante entrevista a Mario García, Country Manager Iberia de Check Point.
ElevenPaths Introducing Mobile Connect – the new standard in digital authentication The Mobile Operators hold the future of digital authentication in our hands, and so do our customers. The consumers will no longer need to create and manage multiple user names...
ElevenPaths Seguridad criptográfica en IoT (I) La proliferación de dispositivos y plataformas de servicios IoT está siendo mucho más rápida que la adopción de medidas de seguridad en su ámbito. Ante la apremiante necesidad de...
“Play Protect”, el antivirus de Google para Android, es el peor. Quizá deba de ser así por ahoraElevenPaths 30 octubre, 2017 AV-Test, el test de antivirus más “objetivo” conocido para comparar el rendimiento de los “tecnologías anteriormente conocidas como antivirus”, ha incorporado a “Play Protect” por primera vez en la lista de sistemas de protección para Android. Y ha resultado que es el peor, de lejos. El chiste fácil y los titulares están servidos… O no. Google, en el medio, es la que peor rinde en protección. Solo está a la altura en usabilidad. Como se puede ver en los resultados, el rendimiento está muy lejos de la media. Un resultado muy embarazoso. Pero, ¿qué es Play Protect y cuál es su historia? ¿Se es totalmente honesto si nos fijamos solo en el porcentaje de detección? Quizás con algo más de contexto se entienda. Muy por debajo de la media Partamos de la base de que las comparativas de este tipo, en concreto de av-test.org, aunque rigurosas y muy valiosas, no son siempre justas al 100%. Ni nunca lo serán. En la industria lo saben, pero nadie aporta una fórmula estándar en la que todo el mundo quede satisfecho así que es lo mejor de lo que disponemos. Podríamos discutir si las 5000 muestras usadas para el test son suficientes. O si el conjunto de malware de “referencia” (que se supone debe ser detectado por todos al 100%) está bien escogido, o si el conjunto de “real world” que av-test.org considera como válido es el mismo mundo en el que vive Google o cualquier usuario. O por qué valorar el acceso a URLs con Play Protect cuando es una funcionalidad de la que carece. O por qué en el mundo Windows, casi todos alcanzan en av-test por igual el 99% de protección cuando en la vida real esto está lejos de ser cierto… Pero sería otra discusión. Qué es Play Protect Es la evolución de “Verify Apps”. Esta tecnología lleva funcionando desde más de 5 años en Android, con relativamente poca visibilidad. Se trata de un “proto antivirus” que detenía las instalaciones que eran consideradas sospechosas por Google. Pero Google no es una compañía antivirus. Si ahora Play Protect gana visibilidad (ya aparece públicamente en cada descarga desde el Store) es porque los atacantes se están cebando con Android y por más que se esfuerza en limpiar su imagen, no lo consigue. Renombrar y dar brillo a Verify Apps entendemos que pretende calmar los ánimos. Así bloqueaba antes Verify Apps las apps maliciosas ¿Es tan malo? “Proto antivirus” significa que Play Protect elimina lo que Google considera malicioso y normalmente llega a Google Play. Aquí está el gran truco por el que, más que posiblemente, su rendimiento en cuanto a detección no pueda ser comparado siquiera con cualquier otro antivirus. En ElevenPaths hemos analizado a fondo este asunto en numerosas entradas y estudios. Simple y llanamente, lo que es malware para la mayoría, no lo es para Google. En concreto, Google ni siquiera utiliza la palabra malware sino PHA (Potentially Harmful Applications). Y con respecto al adware, su relación es muy diferente. Existen numerosas familias que cualquier motor detecta como adware, spyware o troyano mientras que Google la deja pasar sin problemas. Porque Google es una empresa que vive en buena parte de la publicidad, y su listón está a una altura muy diferente con respecto a lo que se puede considerar tolerable. Los atacantes han encontrado un nicho de mercado importante en Google Play, que sigue siendo “desprendido” en su carrera para ganar mercado de apps y no quiere ninguna fricción con los desarrolladores (les pone pocas pegas para subir apps). Existe todo un negocio en el que los difusores de adware crean cuentas a diario, lo que supone una inversión de 20 euros cada una. Las apps (y las cuentas) son retiradas entre 48 horas y una semana después de ser subidas. Dependiendo de su sutileza, a veces permanecen más tiempo. Cada instalación o clic posterior suelen ganar unos céntimos. Cuando más agresiva la publicidad, más le pagan por cada instalación. Recuperan la inversión en pocos días, con cierta facilidad, cientos o pocos miles de instalaciones. Y vuelven a empezar… Esta puede ser una de las razones. Pero hay más. Play Protect es un producto más complejo de lo que pueda parecer. De hecho, de su informe de final de 2016, se advierten datos que no se publican normalmente, y que pasamos a resumir algunos de los más curiosos. Play Protect no solo analiza las apps de Google Play sino que en el cliente realiza un análisis del sistema cada 6 días como mínimo. Si el dispositivo está considerado como peligroso, será más frecuente. Desde abril de 2016, si se bloquea o Play Protect deja de funcionar, el dispositivo se convierte en un DOI (Dead or Insecure). Esta tecnología aporta a Google una visión muy interesante. A través de sus APIs (como SafetyNet) pueden llegar a ordenar análisis más profundo en el sistema si se detecta algo muy sospechoso, buscando apps similares. ¿Cómo no disponer de una visión privilegiada del malware con esta base de dispositivos? La apuesta es que la realidad es diferente a los conjuntos usados en los test de av-test y la deformación profesional nos lleva a pensar que lo que procesa Play Protect está más cerca de realidad. Y eso es un punto positivo para Play Protect puesto que, si bien no cubre todo el espectro, es posible que cubra una parte muy oscura que el resto de la industria ni siquiera esté viendo. El 37% de las veces que una app intenta instalar otra, la descargada es considerada PHA (malware en la terminología Google). Desde septiembre de 2016 (cuando aún era Verify Apps) se bloquea por defecto toda instalación de app considerada PHA. En 2016, solo el 0.02% de las instalaciones descargadas de Google Play fueron falsos negativos, o sea, no detectadas por Play Protect. Para instalaciones de fuera de Google Play, los números que se les escapan son mayores. La media es 2.6% en los primeros 90 días (primero el malware se cuela, y luego dentro de los tres primeros meses, se reconoce que era malware). 0.02% no es una mala tasa, pero en realidad deberían tener un bloqueo más estricto dentro de su propio Store. Fuera de Google Play, la tasa de falso negativo es normal, incluso alta. Parece que, con algunas excepciones, la salud general de Google Play ha aumentado año tras año. Sin embargo, en el mismo informe del año pasado afirmaban (sin titulares) que las aplicaciones de fraude vía SMS habían aumentado un 282% y el fraude “de peaje” (toll fraud) en un 592% durante 2016. Lo que significa, respectivamente, 5 y 2 veces más fraude de SMS y aplicaciones de fraude de peaje en el market oficial. El fraude de peaje corresponde a cualquier otro medio (diferente de los SMS o llamadas premium) a través del cual un atacante podría estafar al usuario (tráfico WAP, etc.). La tasa de instalación de PHAs (equipos con malware) en España ha pasado del 15.04% en 2015 al 7.73% in 2016. Estos son datos extraídos del informe de seguridad Android del año pasado. En la Virus Bulletin de 2017, celebrada en octubre en Madrid, Google presentó lo bueno que era Google contra el malware, y Play Protect en particular. Cifras muy elocuentes pero presentando solo la cara amable del informe del año pasado, con datos más actualizados. También presentaron algunos retos interesantes que se plantean para el año que viene. Interesantes reflexiones finales en la Virus Bulletin por parte de Jason Woloz, responsable de Play Protect ¿Es tan bueno? En su defensa también (además de su visión del “malware real”) hay que decir que sin duda, Play Protect puede ser el que más rápido prevenga ciertas detecciones. Cuando ocurre algún problema grave en Google Play, los fabricantes alertan a Google y además de retirar las apps peligrosas, despliegan firmas rápidamente. Pero no podemos dejar de tener ese regusto amargo. Se agradece la protección pero… les queda muchísimo trabajo por hacer. A veces nos preguntamos si están por la labor totalmente. Google sigue siendo un coladero de phishing, malware y adware (aunque esto como hemos dicho, es tolerado). Si hace años teníamos ejemplos cada semana de malware muy agresivo en Google Play, hace unos meses era el momento de los troyanos bancarios. Y aun hoy, 5 años después casi, seguimos viendo ejemplos de malware en Google Play. Incluso utilizando iconos muy parecidos entre aplicaciones. Aun a pesar de que patentó en 2014 un sistema para evitar el plagio entre apps. Esto era una búsqueda típica de 2014 en Google Play. Las marcadas en rojo eran apps falsas haciéndose pasar por las reales y contenían adware o malware Conclusiones Android tiene un serio problema con el malware, es necesario y justo admitirlo. El hecho de que ciertos fabricantes hayan llegado a acuerdos con sistemas antivirus como Avast, para incrustar de serie en su distribución el antivirus, da que pensar. Normaliza la situación. Esto no es malo, sino un hecho. Lo malo es no combatirlo adecuadamente o usar la alfombra de los PHA para esconder el polvo del malware, y las listas comparativas para la mofa en vez de para mejorar la situación. Por ejemplo, Avast se integra con viertas versiones de Android 7 sin problema Las comparaciones son odiosas. Pero además del av-test no podemos más que recordar que Play Protect nos recuerda mucho al “Defender” de Windows, incrustado en el sistema operativo desde 2008, aunque con versión “básica” (proto-antivirus) desde hace mucho más… (en forma de MSTF, Microsoft Software Removal Tool) con la que consiguieron una visibilidad imposible para otros antivirus, y que hace que hoy Defender sea muy eficaz para cierto tipo de amenazas. El antimalware de Windows hace su trabajo lo mejor posible, pero compararlo con otras soluciones antivirus no parece justo. No por calidad, sino por jugar en otras ligas. Cuando Windows decidió introducir tecnología antivirus en tiempo real de serie en sus sistemas operativos hubo cierta polémica. Pero la industria antivirus no acabó ahí. Microsoft se mantuvo como motor de respaldo, dejando hacer al resto de empresas dedicadas al 100% a la protección. El estatus quo se ha mantenido, y Defender (o Essentials, puesto que ha cambiado de nombre según el sistema operativo…) tiene su hueco en el mercado, donde conviven sin que se dude en exceso de su eficacia. Y a eso debe aspirar Play Protect. ¿Que sus números, aun así, deberían mejorar? Sin duda. ¿Que es necesario combinarlo con otro tipo de protección? También. Sergio de los Santos Innovación y Laboratorio ssantos@11paths.com @ssantosv También te puede interesar:» ¿Y si el ransomware fuese legal? #CodeTalks4Devs: DirtyTooth, instalación en tu Raspberry con un paquete DEB#CyberSecurityPulse: Última actualización sobre Bad Rabbit
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 10-14 de febrero Descubre las noticias de ciberseguridad más relevantes de esta semana en este informe de nuestros expertos del Security Cyberoperations Center.
ElevenPaths Informe de tendencias: Ciberamenazas Hacktivistas 2019 Las amenazas hacktivistas han seguido ganando terreno durante 2019, especialmente asoaciados a movimientos ideológicos pero, ¿qué peligros implican?
Área de Innovación y Laboratorio de ElevenPaths Authcode: mejoramos nuestro sistema de autenticación continua con la Universidad de Murcia Las soluciones de autenticación más avanzadas son necesarias. Authcode, nuestra herramienta de autenticación continua, es un ejemplo de ello.
Área de Innovación y Laboratorio de ElevenPaths TheTHE: The Threat Hunting Environment, nuestra herramienta para investigadores Llega TheTHE, una herramienta única en su categoría que permite a analistas y equipos de Threat Hunting a realizar su trabajo de forma más ágil y práctica.
ElevenPaths ElevenPaths Radio – 2×01 Entrevista a Mario García Comenzamos la segunda temporada de nuestros podcast con esta interesante entrevista a Mario García, Country Manager Iberia de Check Point.
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 3-7 de febrero Te traemos las noticias de ciberseguridad más destacadas de esta semana en este resumen de nuestros expertos del Security Cyberoperations Center.
