ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 10-14 de febrero Descubre las noticias de ciberseguridad más relevantes de esta semana en este informe de nuestros expertos del Security Cyberoperations Center.
ElevenPaths Informe de tendencias: Ciberamenazas Hacktivistas 2019 Las amenazas hacktivistas han seguido ganando terreno durante 2019, especialmente asoaciados a movimientos ideológicos pero, ¿qué peligros implican?
Fran Ramírez JNIC 2018, nuestra experiencia y presentación oficial del paper de las Hidden Networks Han finalizado las jornadas JNIC 2018 en San Sebastián y ElevenPaths ha estado allí presentando nuestro paper de Hidden Networks llamado “Discovering and Plotting Hidden Networks created with USB Devices”. También estuvimos presentando los nuevos...
ElevenPaths ElevenPaths Talks: BioHacking ¡Regístrate aquí! El próximo jueves 29 de septiembre nuestro compañero Gabriel Bergel impartirá una charla sobre BIO Hacking en la que se abordarán los conceptos y el lenguaje básico del BioHacking, tratando así...
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 10-14 de febrero Descubre las noticias de ciberseguridad más relevantes de esta semana en este informe de nuestros expertos del Security Cyberoperations Center.
ElevenPaths Informe de tendencias: Ciberamenazas Hacktivistas 2019 Las amenazas hacktivistas han seguido ganando terreno durante 2019, especialmente asoaciados a movimientos ideológicos pero, ¿qué peligros implican?
ElevenPaths GSMA IoT Webinars dedicado a la Seguridad en IoT: “SIM-ply Secure – Leveraging the SIM to Create a Trusted IoT” El próximo 23 de enero a las 16:00h, la GSMA presenta este webinar de IoT en inglés dedicado a la Seguridad en IoT: “SIM-ply Secure – Leveraging the SIM...
ElevenPaths IcoScript, el malware con un sistema de comunicación más que curioso IcoScript es un RAT (sistema de administración remota) descubierto en agosto por G-Data más o menos normal… excepto por su forma de contactar con su servidor y recibir órdenes. La...
ElevenPaths Informe de tendencias: Ciberamenazas Hacktivistas 2019 Las amenazas hacktivistas han seguido ganando terreno durante 2019, especialmente asoaciados a movimientos ideológicos pero, ¿qué peligros implican?
ElevenPaths ElevenPaths Radio – 2×01 Entrevista a Mario García Comenzamos la segunda temporada de nuestros podcast con esta interesante entrevista a Mario García, Country Manager Iberia de Check Point.
ElevenPaths Introducing Mobile Connect – the new standard in digital authentication The Mobile Operators hold the future of digital authentication in our hands, and so do our customers. The consumers will no longer need to create and manage multiple user names...
ElevenPaths Seguridad criptográfica en IoT (I) La proliferación de dispositivos y plataformas de servicios IoT está siendo mucho más rápida que la adopción de medidas de seguridad en su ámbito. Ante la apremiante necesidad de...
La tecnología y los ‘Toll Pay’… ¿(In)Seguridad en Aplicaciones Móviles de TelePeajes?Carlos Ávila 28 noviembre, 2019 Con frecuencia viajamos hacia nuestros destinos preferidos y vemos cómo las ciudades se modernizan a partir del uso a tecnologías con el fin de agilizar procesos de pago, mejorar el transito y lograr que los usuarios ganen tiempo en sus rutinas diarias. Toda esta información es gestionada desde alguna infraestructura tecnológica para tomar decisiones, como verificación de pagos y saldos, apertura de telepeajes, acceso a lugares privados, etc. En otra serie de post hemos ido analizando aplicaciones móviles enfocadas en otro tipo de entornos, quizás un poco ‘inusuales’. Para escribir este articulo pensamos en realizar una revisión general a la seguridad de las aplicaciones móviles sobre telepeaje (Pay Toll o Electronic Toll Payment en inglés), y cuál seria el estado actual de seguridad de estas aplicaciones que nos ayudan a gestionar información y realizar transacciones desde nuestro coche. Imagen 1: Muestras de Aplicaciones Móviles para gestión de Telepeajes Imagen 1: Muestras de Aplicaciones Móviles para gestión de Telepeajes Hoy en día, muchas de estas aplicaciones tienen interacción con dispositivos de telemetría, RFID o comunicación directa desde internet con sistemas de la infraestructura tecnológica interna de las organizaciones, creando un vector de ataque adicional para las mismas, sumado a que los usuarios podrían utilizar aplicaciones inseguras para gestionar sus datos. En este análisis hemos seleccionado 41 aplicaciones (tanto de iOS como de Android) que percibimos como relevantes en base a su ranking, número de descargas en sus respectivos markets y características puntuales, todas ellas en su última versión, utilizando nuestra plataforma mASAPP de análisis de vulnerabilidades en aplicaciones. Dentro de este muestreo de aplicaciones nos enfocamos en analizar únicamente de manera general y no a nivel de detalles cada aplicación móvil, ya que si bien se descubrieron debilidades del lado del servidor (backend) no fueron incluidas. Analizando apps en Android e iOS Para esta revisión utilizamos un dispositivo Android (rooteado), IPhone 5S (no jailbreak) y nuestra plataforma de análisis de seguridad continuo de aplicaciones móviles mASAPP. En base a los controles de seguridad del Top 10 Mobile de OWASP realizamos pruebas a nivel macro y los resultados nos permitieron observar que el desarrollo de este tipo de aplicaciones necesitan mejorar varios aspectos de seguridad. Imagen 2: Resumen General de Resultados En principio, ciertas evidencias de este análisis nos demuestra que las aplicaciones interactúan cada vez con servicios en la nube para almacenar la información, tipo firebase, y es así también que podemos encontrarnos con varias de estas aplicaciones exponiendo datos, como se muestra en la imagen 3. Imagen 3: Firebase DB expuesta públicamente De la misma manera, encontramos estructuras fácilmente legibles entre archivos XML, API Keys o de configuración, lo que denota otra mala práctica en cuanto almacenamiento local inseguro. Imagen 4: Archivos de Certificados/Key ‘Hardcoded’ Imagen 5: Archivos con API Keys “hardcoded” Legibles Si bien una gran parte de estas aplicaciones establecen canales de comunicación seguros (HTTPS) con sus backends; como muestran nuestro cuadro de resultados, siguen funcionando algunos canales HTTP no cifrados, aplicaciones sin verificar autenticidad de certificados, certificados autofirmados, o aplicación de métodos para mejorar la seguridad en este aspecto. Imagen 6: Uso de Certificados Auto firmados Entre las prácticas inseguras de programación de aplicaciones, se observan en este tipo de aplicaciones la falta de características de ofuscación de código (despersonalización) para dificultar el proceso de reversing. Imagen 7: Revisión de clases java luego de proceso de reversing Imagen 7: Revisión de clases java luego de proceso de reversing Un dato no menor dentro de los análisis que realizamos, es que hemos encontrado que varias de las aplicaciones analizadas son encontradas por nuestra plataforma Tacyt en markets no oficiales -en este caso 12 aplicaciones-, desplegadas por otros usuarios que no son necesariamente los dueños de la aplicación. Esperamos que este post sirva como aporte para que la industria y estos entornos continúen mejorando en aspectos de seguridad, ya que como vemos en tecnologías que son cada vez mas parte de nuestra rutina diaria, se presentan riesgos informáticos y nuevos vectores de ataque que los cibercriminales buscarán utilizar si no comenzamos a tenerlos en cuenta para su mejora y protección. Qué hemos presentado en el Security Innovation Day 2019: Open Innovation Village, Start-ups y centros de innovación (II)Chronicle, la compañía de Google especializada en amenazas informáticas
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 10-14 de febrero Descubre las noticias de ciberseguridad más relevantes de esta semana en este informe de nuestros expertos del Security Cyberoperations Center.
ElevenPaths Informe de tendencias: Ciberamenazas Hacktivistas 2019 Las amenazas hacktivistas han seguido ganando terreno durante 2019, especialmente asoaciados a movimientos ideológicos pero, ¿qué peligros implican?
Área de Innovación y Laboratorio de ElevenPaths Authcode: mejoramos nuestro sistema de autenticación continua con la Universidad de Murcia Las soluciones de autenticación más avanzadas son necesarias. Authcode, nuestra herramienta de autenticación continua, es un ejemplo de ello.
Área de Innovación y Laboratorio de ElevenPaths TheTHE: The Threat Hunting Environment, nuestra herramienta para investigadores Llega TheTHE, una herramienta única en su categoría que permite a analistas y equipos de Threat Hunting a realizar su trabajo de forma más ágil y práctica.
ElevenPaths ElevenPaths Radio – 2×01 Entrevista a Mario García Comenzamos la segunda temporada de nuestros podcast con esta interesante entrevista a Mario García, Country Manager Iberia de Check Point.
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 3-7 de febrero Te traemos las noticias de ciberseguridad más destacadas de esta semana en este resumen de nuestros expertos del Security Cyberoperations Center.
