ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
ElevenPaths ElevenPaths y Saint Patrick Technology nos unimos para ofrecerte soluciones basadas en las últimas tecnologías BigData Hoy anunciamos nuestra última nueva asociación con Saint Patrick Technology, la compañía referente en el desarrollo de soluciones basadas en las últimas tecnologías AR, VR, NFC, RFI y Big...
ElevenPaths ElevenPaths and Etisalat Digital announce their collaboration for Mobile Security R&D Madrid, November 21 2016.– ElevenPaths, Telefónica Cyber Security Unit, and Etisalat Digital, two of the world’s leading providers of communications services and solutions, announced today their collaboration in the...
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
ElevenPaths En busca de una mejora de la privacidad en las criptodivisas con Dash, Zcash y Monero Cuando se habla de criptodivisas a menudo nos encontramos con la creencia de que su uso es completamente anónimo. Quienes hayan investigado un poco sobre alguna de ellas (porque...
ElevenPaths La increíble historia de Firefox y el certificado raíz de la FNMT Firefox 49 incluirá el certificado raíz de la FNMT tras ocho años esperando… o al menos eso parece. Muchas páginas oficiales de organizaciones gubernamentales españolas utilizan un certificado expedido...
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
ElevenPaths Caso de éxito durante los Juegos Panamericanos 2019 Fuimos los ganadores del concurso público de los Juegos Panamericanos 2019 como mejor proveedor de tecnología y ciberseguridad.
Área de Innovación y Laboratorio de ElevenPaths ¿Quieres realizar tu TFG o TFM sobre un reto tecnológico tutorizado nuestros expertos? II Edición del Programa TUTORÍA Un año más lanzamos nuestro programa TUTORÍA: Tutorización Universitaria para la Transferencia y Observatorio de Retos de Innovación Avanzada. Coordinado por ElevenPaths y destinado al asesoramiento, ayuda y orientación...
Un ataque, 5 erroresElevenPaths 19 agosto, 2013 Hace pocos días se ha dado a conocer que el popular periódico Washington Post sufrió un ataque coordinado y su web fue comprometida. Lograron redirigir a los visitantes a una página panfletaria. Se sabe que un simple phishing a ciertos reporteros ha supuesto una parte del origen del problema. Nada fuera de lo común, pero después del incidente cabe reflexionar, ¿cuántos errores en cadena se han cometido y cómo se podría haber evitado? El autodenominado grupo de atacantes Syrian Electronic Army, consiguió tomar cierto control de la web del prestigioso periódico. La propia cabecera admitió que una parte del ataque comenzó el robo a un reportero de deportes la cuenta de correo a través de una simple falsificación del portal interno de Outlook. ¿Qué errores se esconden tras este incidente? 1) Como todo ataque, comenzó con algo de investigación. Los atacantes recopilaron nombres y cuentas de correo de reporteros (al parecer los que disponían de cuenta en Twitter). A estos les enviaron correos personalizados “que parecían venir de colegas de trabajo” invitando a introducir su contraseña de email puesto que al parecer la sesión había “expirado”. Aunque en algunos casos sea inevitable, conviene controlar en lo posible la fuga de información sensible que pueden suponer datos como el correo, nombres o direcciones URL internas que se pueden filtrar a través de diversos medios, como metadatos, cuentas personales de trabajadores en redes sociales… Esta es una asignatura pendiente para muchas empresas, que facilitan la labor de investigación previa de muchos atacantes. 2) Como se puede apreciar en la imagen del ataque real, el correo llevaba a un phishing normal y corriente (no es “sofisticado” como lo califican desde el Washington Post), donde se falsifica a través de un dominio de tercer nivel (site88.com) la dirección del periódico. Fuente: http://krebsonsecurity.com/2013/08/washington-post-site-hacked-after-successful-phishing-campaign/ El dominio real que se pretende suplantar se puede apreciar en esta otra imagen: Aunque no se ha dado a conocer el contenido del correo enviado en primera instancia que invitaba a visitar el enlace, es más que probable que también falsificara el dominio de procedencia, haciendo creer que venían de otros compañeros. Se sabe que se enviaron en una segunda ronda, correos desde una cuenta ya robada. Aquí los errores son claros y variados. Washington Post (como la mayoría) no utiliza DKIM y ni siquiera es muy restrictivo a la hora de usar SPF (no bloquea por defecto, sino que deja la elección al cliente). … puede que técnicamente se pudiese haber evitado que el primer correo llegara a los buzones de los usuarios. Al menos esa primera ronda que proviene de un tercero (una vez que una cuenta es robada, no hay forma de evitar que el atacante la use para enviar nuevos correos aún más creíbles). En todo caso, una vez el correo está en el buzón de entrada, quizás lo más importante es que los administradores tampoco han “entrenado” a sus usuarios para no caer en este tipo de estafas simples (correos que redirigen a enlaces que piden credenciales) aunque parezcan provenir de compañeros. 3) Ya con la web falsa mostrada en el navegador, la víctima no comprueba que el acceso no se hace cifrado, ni por supuesto, el certificado. El SSL, socialmente roto, es otra de las grandes asignaturas pendientes para los usuarios. Entrenarlos y ayudarles en este sentido es algo muy necesario. 4) Con la contraseña del correo de la víctima en las manos, el atacante probablemente, ya podría haber publicado en la web oficial como si de un editor se tratara. Sin embargo, la versión oficial salta (sin relación aparente con el phishing perpetrado previamente) a un problema de un tercero para justificar el ataque a su web. Parece que el phishing se utilizó solo para acceder al Twitter de algunos editores y el ataque a la web es en realidad un acto “complementario” al ataque. Washington Post utiliza Outbrain, una red de publicidad que se encarga de sugerir al lector otros temas y artículos en los que puede estar interesado. Outbrain reconoce un problema de seguridad, que fue comprometida, y que eso explica por qué consiguieron atacar a la CNN, y la revista Time “de un solo golpe” (también usan Outbrain). Por tanto (aunque en un principio no quedaba claro) parece que no hubo relación entre el problema de seguridad en Outbrain que condujo a la redirección en la web y el robo de credenciales de ciertos redactores o editores. En otros escenarios, lo habitual hubiese sido (simplificando): Se podría haber utilizado algún sistema de “recordar contraseña” a través del correo ya robado para obtener el acceso tanto al Twitter de sus editores como quizás a algún componente de la web manejada por los editores. Nunca se debe devolver el dato en texto claro en un correo, sino que se debe obligar a la generación de una contraseña nueva, y que este hecho sea notificado inmediatamente al administrador. El usuario podría utilizar la misma contraseña para el correo que para editar en la página. Esto debe estar prohibido por políticas. El atacante, haciéndose pasar por el legítimo dueño de la cuenta de correo, podría haber solicitado acceso especial para publicar en la web (ingeniería social). 5) Finalmente, es probable que atacante escalara privilegios o eludiese restricciones para poder controlar artículos en la web gracias al fallo de seguridad en Outbrain. En cualquier caso, una auditoría previa interna de su web, tipo “caja blanca” podría haber facilitado el descubrir lo antes posible la vulnerabilidad y solucionar previamente el fallo. Conclusiones Puede resultar muy aventurado deducir cómo ocurrió un ataque sin manejar los datos reales, sin embargo, esta estructura básica de errores en cadena expuesta con el caso del Washington Post de fondo, resulta el escenario más habitual en la mayoría de los ataques. El phishing poco sofisticado sigue siendo una herramienta eficaz y muy usada para cumplir los objetivos de los atacantes. El usuario, su desconocimiento, las tecnologías que no se entienden y la falta de políticas estrictas por miedo a incomodar al propio usuario, son el cóctel perfecto para que cualquiera que sepa clonar una página, pueda conseguir unas credenciales valiosas para realizar otros ataques más dañinos. Sergio de los Santos ssantos@11paths.com Fuga de información en empresas líderes en Data Loss PreventionExtended Validation Certificate (EV SSL): Cómo funciona técnica y socialmente
Gonzalo Álvarez Marañón Criptografía chivata: cómo crackear dispositivos inviolables La llave de seguridad Titan de Google o la YubiKey de Yubico son el último grito en seguridad de autenticación multifactor. Según la propia página de Google: «Las llaves cuentan...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityReport20H2: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe...
ElevenPaths ElevenPaths Radio 3×07 – Entrevista a Mercè Molist ¿Conoces la historia del hacking en España? Primero debemos conocer su ética, su forma de vida y de pensamiento, su cultura… Para hablar sobre hackers y hacking en España, tenemos...
