ElevenPaths Telefónica y BOTECH FPI, juntos contra el fraude en el sector bancario El pasado 31 de mayo se consolidó la alianza entre Telefónica y BOTECH FPI (Fraud, Prevention & Intelligence) con el objetivo de explotar las sinergias de estas empresas en...
Área de Innovación y Laboratorio de ElevenPaths PoC: CapaciCard ya trabaja con el touchpad de los portátiles Hemos seguido desarrollando CapaciCard para que trabaje con el touchpad de del ordenador, de la misma forma en la que ya lo hace con la pantalla de cualquier móvil....
ElevenPaths Telefónica Empresas ya es Socio Platino de RSA La seguridad de la información representa un gran desafío para las organizaciones desde los albores de la era digital. Sin embargo, hoy en día se han combinado varios factores...
ElevenPaths Cybersecurity Shot_Fuga de Información de R2Games Cybersecurity Shot es un tipo de informe de investigación sobre casos de actualidad relacionados con bases de datos filtradas en la red así con algunas recomendaciones que podrían haberlo evitado. Cada entrega trae...
Carlos Ávila JavaScript está en todos lados… ¡Y sus debilidades también! En la década de los 90, en muchos casos JavaScript nos servía poco más que para lanzar nieve en navidad o cambiar de skins en ciertas fechas a nuestras...
Área de Innovación y Laboratorio de ElevenPaths PoC: CapaciCard ya trabaja con el touchpad de los portátiles Hemos seguido desarrollando CapaciCard para que trabaje con el touchpad de del ordenador, de la misma forma en la que ya lo hace con la pantalla de cualquier móvil....
ElevenPaths FOCA Open Source En el último Security Innovation Day 2017 realizado hace unos pocos días, hemos presentado muchas novedades, nuevas patentes, nuevas herramientas y nuevas alianzas… sin embargo, algo un tanto especial...
ElevenPaths Latch Plugins Contest 2016 is over Today, Monday, December 12 at 1 pm (CET), was the deadline for the submission of plugin applications to the Latch Plugins Contest, the Latch contest that looks for innovative...
Carlos Ávila JavaScript está en todos lados… ¡Y sus debilidades también! En la década de los 90, en muchos casos JavaScript nos servía poco más que para lanzar nieve en navidad o cambiar de skins en ciertas fechas a nuestras...
Área de Innovación y Laboratorio de ElevenPaths PoC: CapaciCard ya trabaja con el touchpad de los portátiles Hemos seguido desarrollando CapaciCard para que trabaje con el touchpad de del ordenador, de la misma forma en la que ya lo hace con la pantalla de cualquier móvil....
ElevenPaths Qué hemos presentado en el Security Day 2015 (I): éxito empresarial con la firma biométrica manuscrita El pasado 28 de mayo, celebramos la segunda edición de nuestro evento anual de seguridad, ElevenPaths Security Day 2015, donde presentamos nuestras nuevas soluciones de seguridad pensadas para simplificar...
ElevenPaths Firma digital de documentos con SealSign (III) En un artículo anterior vimos los distintos productos de SealSign e indicamos que se basaban en la firma digital, la cual puede utilizar tanto biometría como certificados digitales. En...
Un ataque, 5 erroresElevenPaths 19 agosto, 2013 Hace pocos días se ha dado a conocer que el popular periódico Washington Post sufrió un ataque coordinado y su web fue comprometida. Lograron redirigir a los visitantes a una página panfletaria. Se sabe que un simple phishing a ciertos reporteros ha supuesto una parte del origen del problema. Nada fuera de lo común, pero después del incidente cabe reflexionar, ¿cuántos errores en cadena se han cometido y cómo se podría haber evitado? El autodenominado grupo de atacantes Syrian Electronic Army, consiguió tomar cierto control de la web del prestigioso periódico. La propia cabecera admitió que una parte del ataque comenzó el robo a un reportero de deportes la cuenta de correo a través de una simple falsificación del portal interno de Outlook. ¿Qué errores se esconden tras este incidente? 1) Como todo ataque, comenzó con algo de investigación. Los atacantes recopilaron nombres y cuentas de correo de reporteros (al parecer los que disponían de cuenta en Twitter). A estos les enviaron correos personalizados “que parecían venir de colegas de trabajo” invitando a introducir su contraseña de email puesto que al parecer la sesión había “expirado”. Aunque en algunos casos sea inevitable, conviene controlar en lo posible la fuga de información sensible que pueden suponer datos como el correo, nombres o direcciones URL internas que se pueden filtrar a través de diversos medios, como metadatos, cuentas personales de trabajadores en redes sociales… Esta es una asignatura pendiente para muchas empresas, que facilitan la labor de investigación previa de muchos atacantes. 2) Como se puede apreciar en la imagen del ataque real, el correo llevaba a un phishing normal y corriente (no es “sofisticado” como lo califican desde el Washington Post), donde se falsifica a través de un dominio de tercer nivel (site88.com) la dirección del periódico. Fuente: http://krebsonsecurity.com/2013/08/washington-post-site-hacked-after-successful-phishing-campaign/ El dominio real que se pretende suplantar se puede apreciar en esta otra imagen: Aunque no se ha dado a conocer el contenido del correo enviado en primera instancia que invitaba a visitar el enlace, es más que probable que también falsificara el dominio de procedencia, haciendo creer que venían de otros compañeros. Se sabe que se enviaron en una segunda ronda, correos desde una cuenta ya robada. Aquí los errores son claros y variados. Washington Post (como la mayoría) no utiliza DKIM y ni siquiera es muy restrictivo a la hora de usar SPF (no bloquea por defecto, sino que deja la elección al cliente). … puede que técnicamente se pudiese haber evitado que el primer correo llegara a los buzones de los usuarios. Al menos esa primera ronda que proviene de un tercero (una vez que una cuenta es robada, no hay forma de evitar que el atacante la use para enviar nuevos correos aún más creíbles). En todo caso, una vez el correo está en el buzón de entrada, quizás lo más importante es que los administradores tampoco han “entrenado” a sus usuarios para no caer en este tipo de estafas simples (correos que redirigen a enlaces que piden credenciales) aunque parezcan provenir de compañeros. 3) Ya con la web falsa mostrada en el navegador, la víctima no comprueba que el acceso no se hace cifrado, ni por supuesto, el certificado. El SSL, socialmente roto, es otra de las grandes asignaturas pendientes para los usuarios. Entrenarlos y ayudarles en este sentido es algo muy necesario. 4) Con la contraseña del correo de la víctima en las manos, el atacante probablemente, ya podría haber publicado en la web oficial como si de un editor se tratara. Sin embargo, la versión oficial salta (sin relación aparente con el phishing perpetrado previamente) a un problema de un tercero para justificar el ataque a su web. Parece que el phishing se utilizó solo para acceder al Twitter de algunos editores y el ataque a la web es en realidad un acto “complementario” al ataque. Washington Post utiliza Outbrain, una red de publicidad que se encarga de sugerir al lector otros temas y artículos en los que puede estar interesado. Outbrain reconoce un problema de seguridad, que fue comprometida, y que eso explica por qué consiguieron atacar a la CNN, y la revista Time “de un solo golpe” (también usan Outbrain). Por tanto (aunque en un principio no quedaba claro) parece que no hubo relación entre el problema de seguridad en Outbrain que condujo a la redirección en la web y el robo de credenciales de ciertos redactores o editores. En otros escenarios, lo habitual hubiese sido (simplificando): Se podría haber utilizado algún sistema de “recordar contraseña” a través del correo ya robado para obtener el acceso tanto al Twitter de sus editores como quizás a algún componente de la web manejada por los editores. Nunca se debe devolver el dato en texto claro en un correo, sino que se debe obligar a la generación de una contraseña nueva, y que este hecho sea notificado inmediatamente al administrador. El usuario podría utilizar la misma contraseña para el correo que para editar en la página. Esto debe estar prohibido por políticas. El atacante, haciéndose pasar por el legítimo dueño de la cuenta de correo, podría haber solicitado acceso especial para publicar en la web (ingeniería social). 5) Finalmente, es probable que atacante escalara privilegios o eludiese restricciones para poder controlar artículos en la web gracias al fallo de seguridad en Outbrain. En cualquier caso, una auditoría previa interna de su web, tipo “caja blanca” podría haber facilitado el descubrir lo antes posible la vulnerabilidad y solucionar previamente el fallo. Conclusiones Puede resultar muy aventurado deducir cómo ocurrió un ataque sin manejar los datos reales, sin embargo, esta estructura básica de errores en cadena expuesta con el caso del Washington Post de fondo, resulta el escenario más habitual en la mayoría de los ataques. El phishing poco sofisticado sigue siendo una herramienta eficaz y muy usada para cumplir los objetivos de los atacantes. El usuario, su desconocimiento, las tecnologías que no se entienden y la falta de políticas estrictas por miedo a incomodar al propio usuario, son el cóctel perfecto para que cualquiera que sepa clonar una página, pueda conseguir unas credenciales valiosas para realizar otros ataques más dañinos. Sergio de los Santos ssantos@11paths.com Information leakage in Data Loss Prevention leader companiesExtended Validation Certificate (EV SSL): Cómo funciona técnica y socialmente
Carlos Ávila JavaScript está en todos lados… ¡Y sus debilidades también! En la década de los 90, en muchos casos JavaScript nos servía poco más que para lanzar nieve en navidad o cambiar de skins en ciertas fechas a nuestras...
ElevenPaths Telefónica y BOTECH FPI, juntos contra el fraude en el sector bancario El pasado 31 de mayo se consolidó la alianza entre Telefónica y BOTECH FPI (Fraud, Prevention & Intelligence) con el objetivo de explotar las sinergias de estas empresas en...
Área de Innovación y Laboratorio de ElevenPaths PoC: CapaciCard ya trabaja con el touchpad de los portátiles Hemos seguido desarrollando CapaciCard para que trabaje con el touchpad de del ordenador, de la misma forma en la que ya lo hace con la pantalla de cualquier móvil....
Área de Innovación y Laboratorio de ElevenPaths Nueva herramienta Aridi: obteniendo información del sistema y su infraestructura en Linux Dentro de nuestro programa de tutorización de proyectos fin de máster, desde el área de Innovación y Laboratorio de ElevenPaths, hemos considerado oportuno destacar el trabajo de Daniel Pozo...
Gabriel Bergel Implementando ciberseguridad desde cero (Parte 2) Con el objetivo de continuar con el post publicado en nuestro blog hace unos días sobre “Cómo implementar Ciberseguridad desde cero”, continuamos con nuestros consejos de cómo empezar a...
Área de Innovación y Laboratorio de ElevenPaths KORDO, nuestra tecnología para solucionar el registro de jornada (apoyada en Latch) Desde el pasado 12 de mayo, las empresas deben registrar diariamente la jornada de sus trabajadores, tras la aprobación por el Gobierno del Real Decreto-ley de medidas urgentes de...
