ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
ElevenPaths ElevenPaths Talks: Network Packet Manipulation ¡Regístrate aquí! El próximo jueves 15 de diciembre nuestros compañeros Leonardo Huertas y Pablo González impartirán un webinar sobre Network Packet Manipulation. Finalizamos la segunda temporada de ElevenPaths Talks con el Talk...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityReport20H2: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
Nacho Brihuega Zerologon, ¡parchea o muere! Zerologon. Si te dedicas al mundo IT y no aún no has escuchado este nombre, preocúpate y sigue leyendo. Zerologon es, posiblemente, la vulnerabilidad de este año tan “especial” y...
ElevenPaths Principales leaks en las herramientas de control de código Las herramientas de control de código son muy habituales durante el desarrollo de aplicaciones. Permiten una imprescindible gestión y control de versiones cuando se trabaja en un proceso de...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
Gabriel Bergel ¿Preparados para un incidente de ciberseguridad? (parte 1) Estar preparado para un incidente de ciberseguridad es tan importante como la respuesta al mismo. Nuestro CSA Gabriel Bergel te lo cuenta en este post.
ElevenPaths Eventos en los que participamos en el mes de junio Una vez más, os dejamos a modo de resumen los principales eventos y conferencias que nuestros expertos visitarán durante el mes de junio. Si tienes la suerte de acudir...
“Play Protect”, el antivirus de Google para Android, es el peor. Quizá deba de ser así por ahoraElevenPaths 30 octubre, 2017 AV-Test, el test de antivirus más “objetivo” conocido para comparar el rendimiento de los “tecnologías anteriormente conocidas como antivirus”, ha incorporado a “Play Protect” por primera vez en la lista de sistemas de protección para Android. Y ha resultado que es el peor, de lejos. El chiste fácil y los titulares están servidos… O no. Google, en el medio, es la que peor rinde en protección. Solo está a la altura en usabilidad. Como se puede ver en los resultados, el rendimiento está muy lejos de la media. Un resultado muy embarazoso. Pero, ¿qué es Play Protect y cuál es su historia? ¿Se es totalmente honesto si nos fijamos solo en el porcentaje de detección? Quizás con algo más de contexto se entienda. Muy por debajo de la media Partamos de la base de que las comparativas de este tipo, en concreto de av-test.org, aunque rigurosas y muy valiosas, no son siempre justas al 100%. Ni nunca lo serán. En la industria lo saben, pero nadie aporta una fórmula estándar en la que todo el mundo quede satisfecho así que es lo mejor de lo que disponemos. Podríamos discutir si las 5000 muestras usadas para el test son suficientes. O si el conjunto de malware de “referencia” (que se supone debe ser detectado por todos al 100%) está bien escogido, o si el conjunto de “real world” que av-test.org considera como válido es el mismo mundo en el que vive Google o cualquier usuario. O por qué valorar el acceso a URLs con Play Protect cuando es una funcionalidad de la que carece. O por qué en el mundo Windows, casi todos alcanzan en av-test por igual el 99% de protección cuando en la vida real esto está lejos de ser cierto… Pero sería otra discusión. Qué es Play Protect Es la evolución de “Verify Apps”. Esta tecnología lleva funcionando desde más de 5 años en Android, con relativamente poca visibilidad. Se trata de un “proto antivirus” que detenía las instalaciones que eran consideradas sospechosas por Google. Pero Google no es una compañía antivirus. Si ahora Play Protect gana visibilidad (ya aparece públicamente en cada descarga desde el Store) es porque los atacantes se están cebando con Android y por más que se esfuerza en limpiar su imagen, no lo consigue. Renombrar y dar brillo a Verify Apps entendemos que pretende calmar los ánimos. Así bloqueaba antes Verify Apps las apps maliciosas ¿Es tan malo? “Proto antivirus” significa que Play Protect elimina lo que Google considera malicioso y normalmente llega a Google Play. Aquí está el gran truco por el que, más que posiblemente, su rendimiento en cuanto a detección no pueda ser comparado siquiera con cualquier otro antivirus. En ElevenPaths hemos analizado a fondo este asunto en numerosas entradas y estudios. Simple y llanamente, lo que es malware para la mayoría, no lo es para Google. En concreto, Google ni siquiera utiliza la palabra malware sino PHA (Potentially Harmful Applications). Y con respecto al adware, su relación es muy diferente. Existen numerosas familias que cualquier motor detecta como adware, spyware o troyano mientras que Google la deja pasar sin problemas. Porque Google es una empresa que vive en buena parte de la publicidad, y su listón está a una altura muy diferente con respecto a lo que se puede considerar tolerable. Los atacantes han encontrado un nicho de mercado importante en Google Play, que sigue siendo “desprendido” en su carrera para ganar mercado de apps y no quiere ninguna fricción con los desarrolladores (les pone pocas pegas para subir apps). Existe todo un negocio en el que los difusores de adware crean cuentas a diario, lo que supone una inversión de 20 euros cada una. Las apps (y las cuentas) son retiradas entre 48 horas y una semana después de ser subidas. Dependiendo de su sutileza, a veces permanecen más tiempo. Cada instalación o clic posterior suelen ganar unos céntimos. Cuando más agresiva la publicidad, más le pagan por cada instalación. Recuperan la inversión en pocos días, con cierta facilidad, cientos o pocos miles de instalaciones. Y vuelven a empezar… Esta puede ser una de las razones. Pero hay más. Play Protect es un producto más complejo de lo que pueda parecer. De hecho, de su informe de final de 2016, se advierten datos que no se publican normalmente, y que pasamos a resumir algunos de los más curiosos. Play Protect no solo analiza las apps de Google Play sino que en el cliente realiza un análisis del sistema cada 6 días como mínimo. Si el dispositivo está considerado como peligroso, será más frecuente. Desde abril de 2016, si se bloquea o Play Protect deja de funcionar, el dispositivo se convierte en un DOI (Dead or Insecure). Esta tecnología aporta a Google una visión muy interesante. A través de sus APIs (como SafetyNet) pueden llegar a ordenar análisis más profundo en el sistema si se detecta algo muy sospechoso, buscando apps similares. ¿Cómo no disponer de una visión privilegiada del malware con esta base de dispositivos? La apuesta es que la realidad es diferente a los conjuntos usados en los test de av-test y la deformación profesional nos lleva a pensar que lo que procesa Play Protect está más cerca de realidad. Y eso es un punto positivo para Play Protect puesto que, si bien no cubre todo el espectro, es posible que cubra una parte muy oscura que el resto de la industria ni siquiera esté viendo. El 37% de las veces que una app intenta instalar otra, la descargada es considerada PHA (malware en la terminología Google). Desde septiembre de 2016 (cuando aún era Verify Apps) se bloquea por defecto toda instalación de app considerada PHA. En 2016, solo el 0.02% de las instalaciones descargadas de Google Play fueron falsos negativos, o sea, no detectadas por Play Protect. Para instalaciones de fuera de Google Play, los números que se les escapan son mayores. La media es 2.6% en los primeros 90 días (primero el malware se cuela, y luego dentro de los tres primeros meses, se reconoce que era malware). 0.02% no es una mala tasa, pero en realidad deberían tener un bloqueo más estricto dentro de su propio Store. Fuera de Google Play, la tasa de falso negativo es normal, incluso alta. Parece que, con algunas excepciones, la salud general de Google Play ha aumentado año tras año. Sin embargo, en el mismo informe del año pasado afirmaban (sin titulares) que las aplicaciones de fraude vía SMS habían aumentado un 282% y el fraude “de peaje” (toll fraud) en un 592% durante 2016. Lo que significa, respectivamente, 5 y 2 veces más fraude de SMS y aplicaciones de fraude de peaje en el market oficial. El fraude de peaje corresponde a cualquier otro medio (diferente de los SMS o llamadas premium) a través del cual un atacante podría estafar al usuario (tráfico WAP, etc.). La tasa de instalación de PHAs (equipos con malware) en España ha pasado del 15.04% en 2015 al 7.73% in 2016. Estos son datos extraídos del informe de seguridad Android del año pasado. En la Virus Bulletin de 2017, celebrada en octubre en Madrid, Google presentó lo bueno que era Google contra el malware, y Play Protect en particular. Cifras muy elocuentes pero presentando solo la cara amable del informe del año pasado, con datos más actualizados. También presentaron algunos retos interesantes que se plantean para el año que viene. Interesantes reflexiones finales en la Virus Bulletin por parte de Jason Woloz, responsable de Play Protect ¿Es tan bueno? En su defensa también (además de su visión del “malware real”) hay que decir que sin duda, Play Protect puede ser el que más rápido prevenga ciertas detecciones. Cuando ocurre algún problema grave en Google Play, los fabricantes alertan a Google y además de retirar las apps peligrosas, despliegan firmas rápidamente. Pero no podemos dejar de tener ese regusto amargo. Se agradece la protección pero… les queda muchísimo trabajo por hacer. A veces nos preguntamos si están por la labor totalmente. Google sigue siendo un coladero de phishing, malware y adware (aunque esto como hemos dicho, es tolerado). Si hace años teníamos ejemplos cada semana de malware muy agresivo en Google Play, hace unos meses era el momento de los troyanos bancarios. Y aun hoy, 5 años después casi, seguimos viendo ejemplos de malware en Google Play. Incluso utilizando iconos muy parecidos entre aplicaciones. Aun a pesar de que patentó en 2014 un sistema para evitar el plagio entre apps. Esto era una búsqueda típica de 2014 en Google Play. Las marcadas en rojo eran apps falsas haciéndose pasar por las reales y contenían adware o malware Conclusiones Android tiene un serio problema con el malware, es necesario y justo admitirlo. El hecho de que ciertos fabricantes hayan llegado a acuerdos con sistemas antivirus como Avast, para incrustar de serie en su distribución el antivirus, da que pensar. Normaliza la situación. Esto no es malo, sino un hecho. Lo malo es no combatirlo adecuadamente o usar la alfombra de los PHA para esconder el polvo del malware, y las listas comparativas para la mofa en vez de para mejorar la situación. Por ejemplo, Avast se integra con viertas versiones de Android 7 sin problema Las comparaciones son odiosas. Pero además del av-test no podemos más que recordar que Play Protect nos recuerda mucho al “Defender” de Windows, incrustado en el sistema operativo desde 2008, aunque con versión “básica” (proto-antivirus) desde hace mucho más… (en forma de MSTF, Microsoft Software Removal Tool) con la que consiguieron una visibilidad imposible para otros antivirus, y que hace que hoy Defender sea muy eficaz para cierto tipo de amenazas. El antimalware de Windows hace su trabajo lo mejor posible, pero compararlo con otras soluciones antivirus no parece justo. No por calidad, sino por jugar en otras ligas. Cuando Windows decidió introducir tecnología antivirus en tiempo real de serie en sus sistemas operativos hubo cierta polémica. Pero la industria antivirus no acabó ahí. Microsoft se mantuvo como motor de respaldo, dejando hacer al resto de empresas dedicadas al 100% a la protección. El estatus quo se ha mantenido, y Defender (o Essentials, puesto que ha cambiado de nombre según el sistema operativo…) tiene su hueco en el mercado, donde conviven sin que se dude en exceso de su eficacia. Y a eso debe aspirar Play Protect. ¿Que sus números, aun así, deberían mejorar? Sin duda. ¿Que es necesario combinarlo con otro tipo de protección? También. Sergio de los Santos Innovación y Laboratorio ssantos@11paths.com @ssantosv También te puede interesar:» ¿Y si el ransomware fuese legal? #CodeTalks4Devs: DirtyTooth, instalación en tu Raspberry con un paquete DEB#CyberSecurityPulse: Última actualización sobre Bad Rabbit
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityReport20H2: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe...
ElevenPaths ElevenPaths Radio 3×07 – Entrevista a Mercè Molist ¿Conoces la historia del hacking en España? Primero debemos conocer su ética, su forma de vida y de pensamiento, su cultura… Para hablar sobre hackers y hacking en España, tenemos...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-15 de enero Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds,...